PART 1 1.2.2 Одноранговые сети Обычно клиентское и серверное программное обеспечение запускается на разных компьютерах, но эти роли может играть и один компьютер. В небольших корпоративных и домашних сетях многие компьютеры работают и как серверы, и как клиенты. Такие сети называются одноранговыми. 1.2.1.1 Обзор компонентов сети Маршрут, по которому сообщение идет от источника к месту назначения, может быть простым (например, один кабель, соединяющий один компьютер с другим), или сложным (например, сети, буквально охватывающие весь мир). Такая сетевая инфраструктура обеспечивает стабильный и надежный канал для передачи данных. Сетевая инфраструктура включает в себя три категории компонентов сети. Устройства Средcтва подключения Сервисы Устройства и средства подключения - это физические элементы или аппаратное обеспечение сети. Аппаратное обеспечение зачастую является видимой частью сетевой платформы: ноутбук, ПК, коммутатор, маршрутизатор, беспроводная точка доступа или кабели, используемые для соединения устройств. Сервисы включают в себя множество сетевых приложений, которые люди используют ежедневно, например сервисы электронной почты и веб-хостинга. Процессы обеспечивают функциональность, посредством которой сообщения направляются и перемещаются в пределах сети. Процессы менее очевидны для нас, но критически важны для работы сетей. 1.2.3 Оконченные устройства Сетевые устройства, с которыми пользователи знакомы лучше всего, называются оконечными устройствами. Оконечное устройство является либо отправителем (источником), либо получателем (местом назначения) сообщения, передаваемого по сети. Каждому оконечному устройству в сети назначается адрес, чтобы устройства можно было отличить. Если оконечное устройство инициирует обмен данными, то в качестве получателя сообщения оно использует адрес оконечного устройства назначения. 1.2.4 Промежуточные сетевые устройства Промежуточные устройства соединяют отдельные оконечные устройства с сетью и могут соединять несколько отдельных сетей для создания объединенной сети. Такие устройства обеспечивают подключение и прохождение потоков данных по сети. Для определения пути передачи сообщения промежуточные устройства используют адрес оконечного устройства назначения в сочетании с информацией о связях в сети. 1.2.5 Средства сетевого подключения Связь в сети осуществляется через среды передачи данных Средство подключение предоставляет собой канал, по которому сообщение передается от источника к адресату. В современных сетях в основном используются три типа средств подключения, связывающих устройства и обеспечивающих маршрут передачи данных. Металлические провода в кабелях — данные кодируются в электрические импульсы. Стеклянные или пластиковые волокна (оптоволоконный кабель) — данные кодируются в световые импульсы. Беспроводная передача — данные кодируются при помощи электромагнитных волн радиочастотного диапазона. 1.3.1 Представления сети Для представления различных устройств и каналов, из которых состоит сеть, на схемах сетей часто используются символы. Этот тип изображения сети называется схемой топологии. Помимо этого, при обсуждении способов подключения устройств и средств подключения друг к другу используется специализированная терминология. Важные термины, которые следует запомнить. Сетевая интерфейсная плата (Network Interface Card, NIC) — интерфейсная плата или адаптер сети LAN, который обеспечивает физическое подключение к сети на настольном компьютере или другом устройстве. Средство подключения, соединяющее компьютер с сетевым устройством, подключается непосредственно к сетевой плате (рис. 2). Физический порт — разъем на сетевом устройстве, через который кабели подключены к компьютеру или другому сетевому устройству. Интерфейс — специализированные порты в сетевом устройстве, которые подключаются к отдельным сетям. Поскольку маршрутизаторы используются для связывания сетей, порты маршрутизатора называются сетевыми интерфейсами. Примечание. Термины «порт» и «интерфейс» часто взаимозаменяемы. 1.3.2 Топологические схемы Существует два типа топологических схем. Схемы физической топологии — физическое расположение промежуточных устройств и кабельных линий. Схемы логической топологии — определение устройств, портов и схемы адресации. 1.2.2.1 Типы сетей Локальная сеть (LAN) — сетевая инфраструктура, предоставляющая доступ пользователям и оконечным устройствам на небольшой территории; обычно является домашней сетью, сетью малого или крупного предприятия, управляется одним лицом или ИТ-отделом и принадлежит им. Глобальная сеть (WAN) -— сетевая инфраструктура, предоставляющая доступ к другим сетям на большой территории; обычно принадлежит провайдерам телекоммуникационных услуг и находится под их управлением. Городская сеть (Metropolitan Area Network, MAN) — сетевая инфраструктура, которая охватывает территорию больше, чем локальная сеть, но меньше глобальной сети (например, город). Как правило, управляет городскими сетями одна организация, например крупный сетевой оператор. Беспроводные локальные сети (WLAN) — аналогичны локальным сетям, но соединяют пользователей и оконечные устройства на небольшой территории с помощью беспроводной связи. Сеть хранения данных (SAN) — сетевая инфраструктура, разработанная для поддержки файловых серверов, хранения данных, их получения из хранилища и репликации. Термин internet (со строчной буквы i) используется в английском языке для описания нескольких подключенных друг к другу сетей. Глобальную систему взаимосвязанных компьютерных сетей и доступа обозначают термином Internet (с прописной буквы). 1.4.2 Cети LAN и WAN Сетевые инфраструктуры могут значительно отличаться по следующим критериям: -Площадь покрытия -Количество подключенных пользователей -Количество и типы доступных служб -Область ответственности Двумя наиболее распространенными типами сетевых инфраструктур являются локальные сети (LAN) и глобальные сети (WAN). LAN - это сетевая инфраструктура, которая обеспечивает доступ пользователям и конечным устройствам в небольшой географической зоне. Обычно локальная сеть используется в подразделении предприятия, дома или сети малого бизнеса. Глобальная сеть (WAN) -— сетевая инфраструктура, предоставляющая доступ к другим сетям на большой территории; обычно принадлежит большим корпорациям или провайдерам телекоммуникационных услуг и находится под их управлением. На рисунке показаны локальные сети, подключенные к глобальной сети. В топологии сети показаны три LAN, подключенные по каналу глобальной сети в центре. Легенда показывает, что LAN выделены желтым цветом, а WAN - светло-фиолетовым. WAN находится в центре схемы. Он содержит символ облака, обозначенный облаком с красными WAN соединениями с тремя маршрутизаторами. Каждый маршрутизатор находится частично в глобальной сети, а частично в локальной сети. В левом нижнем углу находится центральная локальная сеть LAN. Он содержит сервер, два многоуровневых коммутатора, два коммутатора LAN и четыре компьютера. В правом нижнем углу находится LAN Филиала. Он содержит коммутатор, сервер, принтер, два IP-телефона, подключенных к ПК, и беспроводную точку доступа с беспроводными подключениями к ноутбуку и смартфону. В правом верхнем углу находится LAN домашнего офиса. Он содержит беспроводной маршрутизатор с проводным подключением к принтеру и беспроводные подключения к ноутбуку и монитору. Особенности LAN: -Сети LAN связывают оконечные устройства в ограниченной области, например в доме, школе, офисном здании или комплексе зданий. -Сети LAN обычно администрирует одна организация или частное лицо. Административный контроль осуществляется на уровне сети и управляет политиками безопасности и контроля доступа. -Как показано на рисунке, сети LAN предоставляют высокоскоростной доступ к внутренним оконечным и промежуточным устройствам. Особенности WAN: -Сети WAN связывают локальные сети в обширных географических областях, таких как города, штаты, регионы, страны или континенты. -Управляют глобальными сетями обычно различные операторы связи. -Сети WAN обычно обеспечивают менее скоростные соединения между локальными сетями. 1.4.4 Интранет и Экстранет Термин «Интранет» часто используется для обозначения частных сетей LAN и WAN, которые принадлежат организации и доступны только ее членам, сотрудникам и прочим авторизованным лицам. Организация может использовать Экстранет для защищенного и безопасного доступа сотрудников, которые работают в других организациях, но которым необходим доступ к данным компании. На рисунке показаны уровни доступа различных групп к интрасети компании, экстрасети компании и Интернету. 1.5.2 Интернет подключение для небольшого дома или офиса Кабельное подключение — обычно предлагают поставщики услуг кабельного телевидения. Данные передаются по тому же кабелю, который используется для передачи сигналов кабельного телевидения. Этот способ обеспечивает подключения к Интернету с высокой пропускной способностью и постоянным доступом к сети. DSL — цифровая абонентская линия обеспечивает подключение к Интернету с высокой пропускной способностью и постоянным доступом к сети. DSL использует телефонные линии связи. Обычно небольшие и домашние офисы используют асимметричные линии DSL (ADSL), в которых данные пользователю передаются с большей скоростью, чем от пользователя. Сотовая связь — для доступа в Интернет используется мобильная телефонная сеть. В любой точке, где доступен сигнал сотовой сети, можно получить доступ в Интернет. Производительность будет ограничена возможностями телефона и базовой станции, к которой он подключен. Спутниковая связь — спутниковые интернет-каналы можно использовать в районах, где нет других способов подключения. Для использования спутниковых антенн необходимо, чтобы спутник находился в зоне прямой видимости. Телефонный коммутируемый доступ — это экономичный вариант подключения с использованием любой телефонной линии и модема. Низкая пропускная способность коммутируемой линии обычно недостаточна для передачи большого объема данных. Однако такая линия может быть полезна для мобильного доступа в пути. Для подключения домов и небольших офисов все чаще используются оптоволоконные кабели. Это позволяет интернет-провайдерам обеспечивать более высокие скорости передачи данных, а также предоставлять больше услуг, например Интернет, телефон и телевидение. 1.5.3 Интернет подключение для предприятий Корпоративные варианты подключения отличаются от вариантов для домашнего пользователя. Компании может требоваться более высокая пропускная способность, выделенная линия и управляемые услуги. Доступные варианты подключения зависят от технологий, которые используют операторы связи, находящиеся рядом. -Выделенная арендованная линия — арендованные линии представляют собой зарезервированные каналы в сети оператора связи, обеспечивающие связь между географически удаленными офисами для передачи голоса и данных в частной сети. Плата за аренду таких каналов связи обычно взимается ежемесячно или ежегодно. -Metro Ethernet - это иногда называется Ethernet WAN. В этом модуле мы будем называть его Metro Ethernet. Metro Ethernet позволяет расширить технологию доступа к локальной сети на глобальную сеть. О технологии локальных сетей Ethernet вы узнаете из следующих глав. -DSL для бизнеса - корпоративное DSL-подключение доступно в различных форматах. Популярностью пользуются симметричные цифровые абонентские линии (Symmetric Digital Subscriber Lines, SDSL), аналогичные абонентской версии DSL, но обеспечивающие одинаковую скорость при получении и отправке данных. -Спутниковая связь — способна обеспечить соединение при отсутствии проводных решений. 1.5.4 Конвергентная сеть Традиционные Отдельные Сети В качестве примера рассмотрим учебное здание, построенное 30 лет назад. В некоторых аудиториях были проложены кабели передачи данных, телефонной сети и телевидения. Эти сети были разрознены, а значит, не могли взаимодействовать друг с другом. Все сети использовали разные технологии для передачи сигнала. В каждой сети для обеспечения успешной связи использовался свой собственный набор правил и стандартов. Несколько сервисов работает в нескольких сетях. Конвергентные сети Сегодня разрозненные сети данных, телефонные и видео сети объединяются. В отличие от выделенных сетей конвергентные сети позволяют передавать данные, голос и видео между различными типами устройств при использовании одной и той же сетевой инфраструктуры. Сетевая инфраструктура использует одни и те же правила, соглашения и стандарты реализации. Конвергентные сети передачи данных обеспечивают доступ к нескольким сервисам в рамках одной сети. 1.6.1 Сетевая архитектура Сети должны поддерживать широкий набор приложений и сервисов, а также множество типов кабелей и устройств, из которых состоит физическая инфраструктура. Термин «сетевая архитектура» в этом контексте относится к технологиям, которые поддерживают инфраструктуру, а также к запрограммированным услугам и правилам или протоколам, которые служат для передачи данных в сети. По мере развития сетей становится очевидным, что для удовлетворения потребностей пользователей архитектура должна соответствовать четырем основным требованиям. Отказоустойчивость (Fault Tolerance) Масштабируемость (Scalability) Гарантированная полоса пропускания или качество обслуживания (QoS) Безопасность (Security) Отказоустойчивая сеть — это сеть, обеспечивающая наименьшее влияние сбоев на наименьшее количество устройств. Масштабируемую сеть можно быстро расширить, обеспечив поддержку новых пользователей и приложений без снижения эффективности обслуживания существующих. На рисунке показано, как можно легко добавить новую сеть к существующей. Помимо этого, масштабируемость сетей возможна благодаря тому, что проектировщики следуют принятым стандартам и протоколам. Это позволяет производителям программного и аппаратного обеспечения приложить все силы к улучшению продуктов и услуг и не думать о разработке нового набора правил для работы в сети. Качество обслуживания (QoS) сегодня является одним из постоянно растущих требований к сети. Новые веб-приложения, например передача голоса и видео в режиме реального времени, задают более высокие требования к качеству предоставляемых услуг. Приходилось ли вам когда-нибудь смотреть видео с постоянными разрывами и паузами? За счет объединения функций передачи данных, голоса и видео в одной сети QoS становится основным механизмом предотвращения перегрузок сети и надежной доставки контента всем пользователям.Перегрузка сети возникает, когда спрос на каналы связи превышает возможности сети. Пропускная способность сети измеряется в количестве бит, передаваемых за одну секунду, то есть в битах в секунду (бит/с). При параллельных попытках передачи информации спрос на каналы связи может превышать возможности сети. Это создает перегрузки сети.Когда объем трафика превышает возможности доставки по сети, устройства помещают пакеты в очередь в памяти и удерживают их до тех пор, пока не будут доступны ресурсы передачи. На рисунке один пользователь запрашивает вебстраницу, а другой совершает телефонный звонок. Благодаря политике QoS маршрутизатор обрабатывает поток данных и голосовой трафик, отдавая приоритет голосовой связи в случае перегрузки сети. Безопасность информации означает защиту пакетов данных, передаваемых по сети, а также информации, хранящейся на подключенных к сети устройствах. Существует три основных требования для достижения безопасности сети Конфиденциальность (Confidentiality) — только указанные и авторизованные получатели могут иметь доступ к данным. Целостность (Integrity) — гарантия того, что информация не была изменена в процессе передачи от исходного пункта к месту назначения. Доступность (Availability) — своевременный и надежный доступ к данным для авторизованных пользователей. 1.7.6 Облачные вычисления Облачные вычисления — один из способов получения доступа к данным и их хранения. Облачные вычисления позволяют хранить личные файлы или резервную копию целого жесткого диска на серверах в Интернете. Например, приложениями для работы с текстом и для редактирования фотографий можно пользоваться из облака. Для предприятий облако расширяет возможности, не требуя при этом больших капиталовложений в создание новой инфраструктуры, обучение нового персонала или лицензирование нового программного обеспечения. Эти экономичные сервисы доступны по запросу на любом устройстве в любой точке мира и обеспечивают должный уровень безопасности и функциональности. Облачные вычисления возможны благодаря центрам обработки данных. Центр обработки данных (ЦОД) — это помещение, в котором располагаются компьютерные системы и соответствующие компоненты. ЦОД может занимать одно помещение в здании, один или несколько этажей или все здание. ЦОД обычно дорого создавать и обслуживать. По этой причине только крупные организации используют собственные ЦОД, чтобы размещать корпоративные данные и предоставлять услуги пользователям. Организации меньших размеров, которые не могут себе позволить содержание собственного частного ЦОД, могут сократить общие расходы на владение, взяв серверные мощности и сервисы хранения данных в облаке в лизинг у более крупной организации с ЦОД. Для обеспечения безопасности, надежности и отказоустойчивости поставщики облачных услуг часто хранят данные в распределенных центрах обработки данных. 1.8.1 Угрозы безопасности К наиболее распространенным внешним угрозам относятся: Вирусы, черви и «троянские кони» (Viruses, worms, and Trojan horses) — вредоносное программное обеспечение и произвольный код, исполняемые на пользовательских устройствах Шпионское и рекламное ПО (Spyware and adware)— программное обеспечение, устанавливаемое на пользовательское устройство и тайно собирающее сведения о пользователе Атаки нулевого дня, также называемые атаками нулевого часа (Zero-day attacks, also called zero-hour attacks), осуществляются в первый день, когда об уязвимости становится известно Хакерские атаки (Hacker attacks)— атаки компетентного злоумышленника на пользовательские устройства или сетевые ресурсы Атаки типа «отказ в обслуживании» ( Denial of service attacks ) — атаки, разработанные для снижения производительности или аварийного завершения процессов на сетевом устройстве Перехват и хищение данных (Data interception and theft ) — атака с целью сбора частной информации из корпоративной сети Кража личной информации (Identity theft)— атака для хищения учетных данных пользователя, чтобы получить доступ к данным частного характера 1.8.2 Решения обеспечения безопасности Для обеспечения безопасности домашних или небольших офисных сетей должны использоваться как минимум следующие компоненты. Антивирусное и антишпионское ПО позволяет предотвратить заражение оконечных устройств вредоносными программами. Фильтрация на межсетевом экране — блокирование попыток несанкционированного доступа к сети. Сюда может входить система реализованных на узле межсетевых экранов, которая используется для предотвращения несанкционированного доступа к оконечному устройству, или базовый сервис фильтрации на домашнем маршрутизаторе для предотвращения несанкционированного доступа в сеть извне. Кроме вышеперечисленного, в более крупных сетях и корпоративных сетях часто имеются другие требования безопасности. Выделенные межсетевые экраны — более широкие возможности межсетевого экрана, который может фильтровать большой объем трафика с повышенной детализацией. Списки контроля доступа (Access Control List, ACL) — дальнейшая фильтрация доступа, а также пересылка трафика. Системы предотвращения вторжений (Intrusion prevention system, IPS) — определение быстро распространяющихся угроз, таких как атаки нулевого дня или нулевого часа. Виртуальные частные сети (Virtual Private Network, VPN) — обеспечение безопасного доступа для удаленных сотрудников. 2.1.1 Операционные системы Часть ОС, которая непосредственно взаимодействует с аппаратным обеспечением компьютера, называется ядром. Часть, которая обеспечивает связь между приложениями и пользователем, называется оболочкой. Пользователь взаимодействует с оболочкой посредством интерфейса командной строки (command-line interface, CLI) или графического интерфейса пользователя (graphical user interface, GUI). 2.1.4 Способы доступа Существует несколько способов открыть CLI и настроить устройство. Ниже приведены наиболее распространенные из них. Консоль — это физический порт управления, обеспечивающий внеполосный доступ к устройству Cisco. Внеполосный доступ осуществляется через выделенный административный канал, который используется исключительно в целях технического обслуживания устройства. Secure Shell (SSH) — метод, позволяющий удаленно установить защищенное подключение CLI через виртуальный интерфейс по сети. В отличие от консольного подключения для SSHподключений на устройстве должны быть активны сетевые службы, включая активный интерфейс с настроенным адресом. Telnet — это незащищенный протокол, позволяющий удаленно начать сеанс CLI через виртуальный интерфейс по сети. В отличие от SSH, Telnet не обеспечивает защищенное зашифрованное соединение. Данные для аутентификации пользователя, пароли и команды передаются по сети в виде простого текста. AUX – внеполосное соединение по телефонной линии 2.1.5 Программы эммуляции терминала Существует несколько программ эмуляции терминала, используемых для подключения к сетевым устройствам при помощи последовательного подключения через консольный порт либо посредством подключения по протоколам SSH/Telnet. Вот несколько примеров таких программ. PuTTY Tera Term SecureCRT OS X Terminal 2.2.1 Основные командные режимы По соображениям безопасности Cisco IOS использует два отдельных командных режима для доступа к административным функциям. Пользовательский режим EXEC — это режим с ограниченными возможностями, но он удобен для базовых операций. В пользовательском режиме доступно только ограниченное число основных команд мониторинга, но невозможно выполнять какие-либо команды, которые могут изменить конфигурацию устройства. Пользовательский режим EXEC можно определить по командной строке CLI, оканчивающейся символом «>». Привилегированный режим EXEC — этот режим должен использовать сетевой администратор для выполнения команд настройки. Режимы конфигурации более высокого уровня, например, режим глобальной конфигурации, доступны только из привилегированного режима EXEC. Привилегированный режим EXEC можно определить по командной строке, оканчивающейся символом «#». 2.2.2 Командные режимы конфигурации Для настройки устройства пользователь должен перейти в режим глобальной конфигурации. В режиме глобальной конфигурации выполняются изменения конфигурации CLI, влияющие на работу устройства в целом. Режим глобальной конфигурации можно определить по командной строке с именем устройства, после которого следует (config)#, например Switch(config)#. Перед тем как перейти в другие специализированные режимы конфигурации, нужно войти в режим глобальной конфигурации. Из режима глобальной конфигурации пользователь может перейти в различные режимы подконфигурации. Каждый из этих режимов позволяет настроить конфигурацию отдельной части или функции устротйства IOS. Два распространенных режима подконфигурации. Режим конфигурации линии — используется для настройки доступа через консоль, SSH, Telnet или вспомогательный порт. Режим конфигурации интерфейса — используется для настройки порта коммутатора или сетевого интерфейса маршрутизатора. При использовании CLI режим определяется по диалогу командной строки, который уникален для каждого режима. По умолчанию каждый диалог начинается с имени устройства. После имени следует остальная часть диалога, которая определяет режим. Например, стандартный диалог для режима конфигурации линии — Switch(config-line)#, а для режима конфигурации интерфейса — Switch(config-if)#. 2.2.4 Переключение между режимами IOS Для переключения диалогов командной строки используются различные команды. Чтобы перейти из пользовательского режима EXEC в привилегированный, введите команду enable. Чтобы вернуться в пользовательский режим EXEC, используйте команду привилегированного режима disable. Примечание. Привилегированный режим EXEC иногда называют режимом включения (enable). Для входа в режим глобальной конфигурации и выхода из него используйте команду привилегированного режима EXEC configure terminal. Чтобы вернуться в привилегированный режим EXEC, введите команду режима глобальной конфигурации exit. Есть множество разных режимов подконфигурации. Например, для перехода в режим подконфигурации линии введите команду line, а затем тип и номер нужной линии управления. Для выхода из режима подконфигурации и возврата в режим глобальной конфигурации используйте команду exit. Обратите внимание на изменения диалога командной строки. Switch(config)# line console 0 Switch(config-line)# exit Switch(config)# Чтобы перейти из любого режима подконфигурации в рамках режима глобальной конфигурации на один уровень выше в иерархии режимов, введите команду exit. Чтобы перейти из любого режима подконфигурации в привилегированный режим EXEC, введите команду end или используйте сочетание клавиш Ctrl+Z. Также можно напрямую переходить из одного режима подконфигурации в другой. Обратите внимание, что после выбора интерфейса командная строка изменяется с (config-line)# на (configif)#. 2.3.1 Базовая структура команд IOS Для команды могут требоваться один или несколько аргументов. Чтобы определить, какие ключевые слова и аргументы нужны для команды, обратитесь к синтаксису команд. Синтаксис обеспечивает шаблон или формат, который необходимо использовать при вводе команды. Как показано в таблице, полужирным шрифтом выделены команды и ключевые слова, которые вводятся как есть. Курсивом выделены аргументы, для которых пользователь указывает значение. Например, синтаксис для использования команды description следующий description string. Аргумент является значением string, предоставленным пользователем. Команда description обычно используется для определения назначения интерфейса. Например, команда description Connects to the main headquarter office switch (Подключение к коммутатору головного офиса) определяет, где находится другое устройство на другой стороне соединения. Ниже представлены примеры условных обозначений для документирования и использования команд IOS: ping ip-address - команда ping, а пользовательский аргумент - это ip-адрес целевого устройства. Например, ping 10.10.10.5. traceroute ip-address - команда traceroute, а определяемый пользователем аргумент является ipадресом целевого устройства. Например, traceroute 192.168.254.254. Если команда сложная с несколькими аргументами, вы можете увидеть ее в следующем виде: Switch(config-if)# switchport port-security aging { static | time time | type {absolute | inactivity}} Команда обычно сопровождается подробным описанием её и каждого её аргумента. Главным источником информации о конкретных командах IOS является справочник команд Cisco IOS. Для доступа к контекстной справке просто введите вопросительный знак ? в командной строке CLI. 2.3.5 Горячие клавиши Интерфейс командной строки IOS предусматривает горячие клавиши и клавиши быстрого вызова, которые упрощают процесс настройки, мониторинга, поиска и устранения неполадок. Команды и ключевые слова можно сокращать до минимального количества символов, которые однозначно идентифицируют выбранную команду или слово. Например, команду configure можно сократить до conf, поскольку configure— это единственная команда, которая начинается с символов conf. Сокращение con использовать нельзя, так как с символов con начинается несколько команд. Ключевые слова также можно сокращать. В таблице перечислены сочетания клавиш для улучшения редактирования в командной строке. Когда вывод команды создает больше текста, чем может отображаться в окне терминала, IOS отобразит приглашение “--More--”. В следующей таблице описаны сочетания клавиш, которые могут использоваться в работе при отображении этого запроса. 2.4.1 Настройка имени узлов Чтобы удалить настроенное имя узла и вернуть стандартный диалог командной строки для коммутатора, используйте команду глобальной конфигурации no hostname. 2.4.3 Настройка паролей Самый важный пароль, который нужно настроить, — пароль для доступа к привилегированному режиму EXEC, Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной настройки enable secret password . Для защиты доступа к пользовательскому режиму EXEC необходимо настроить консольный порт. Перейдите в режим конфигурации консоли линии с помощью команды глобальной конфигурации line console 0. Ноль используется для обозначения первого (а в большинстве случаев — единственного) интерфейса консоли. Затем задайте пароль пользовательского режима EXEC с помощью команды password password . Наконец, включите доступ к пользовательскому режиму EXEC с помощью команды login. Теперь для доступа к пользовательскому режиму EXEC с консоли будет необходим пароль. Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству. Для защиты линий VTY, используемых для связи по протоколам SSH и Telnet, перейдите в режим VTY линии с помощью команды глобальной конфигурации line vty 0 15. Большинство коммутаторов Cisco поддерживают до 16 линий VTY, пронумерованных от 0 до 15. Затем задайте пароль VTY с помощью команды password password . Наконец, включите доступ к VTY с помощью команды login. 2.4.4 Шифрование паролей Чтобы зашифровать пароли, используйте команду глобальной конфигурации service passwordencryption. Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации. С помощью команды show running-config убедитесь, что пароли зашифрованы. 2.4.5 Баннерное сообщение Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной настройки banner motd # сообщение дня #. Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». 2.5. Сохранение конфигурации Конфигурация устройства хранится в двух системных файлах. startup-config — файл в энергонезависимом ОЗУ (NVRAM), содержащий все команды, которые будут использоваться устройством после запуска или перезагрузки. Содержимое NVRAM не теряется при выключении питания устройства. running-config — файл в ОЗУ, отражающий текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. ОЗУ — энергозависимая память. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима EXEC copy running-config startup-config. 2.5.2 Изменение текущей конфигурации Если изменения, внесенные в текущей конфигурации, не приносят желаемого результата, а файл текущей конфигурации еще не был сохранен, можно восстановить устройства в их предыдущей конфигурации путем индивидуального удаления измененных команд или путем перезагрузки устройства, используя команду привилегированного режима EXEC reload для восстановления стартовой конфигурации. Недостатком использования команды reload для удаления несохраненной текущей конфигурации является кратковременный переход устройства в автономный режим и, как следствие, простой сети. Выполняя перезагрузку, IOS определит, что изменения текущей конфигурации не были сохранены в файл загрузочной конфигурации. Появится сообщение с вопросом, нужно ли сохранить изменения. Для отмены изменений введите n или no. Если нежелательные изменения были сохранены в файл загрузочной конфигурации, возможно, придется удалить все конфигурации. Для этого нужно удалить загрузочную конфигурацию и перезапустить устройство. Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима EXEC erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу ввода для подтверждения. После удаления загрузочной конфигурации из NVRAM перезапустите устройство, чтобы удалить файл текущей конфигурации из ОЗУ. При перезагрузке на коммутаторе применяется загрузочная конфигурация по умолчанию, с которой изначально поставлялось устройство. 2.5.4 Запись конфигурации в текстовый файл Файлы конфигурации можно также сохранить и поместить в текстовый документ. Эта последовательность действий позволит в дальнейшем редактировать или повторно использовать рабочую копию файлов конфигурации. Пусть, например, коммутатор был настроен и текущая конфигурация сохранена на устройстве. Откройте программу эмуляции терминала, например PuTTY или Tera Term (рис. 1), связанную с коммутатором. Активируйте ведение журнала в программе терминала и назначьте файлу журнала имя и место сохранения. На рис. 2 показано, что All session output (Все выходные данные сеанса) будут записываться в указанный файл (например, MySwitchLogs). В командной строке привилегированного режима EXEC выполните команды show runningconfig или show startup-config. Текст, отображенный в окне терминала, будет помещен в выбранный файл. Отключите ведение журнала в программе терминала. На рис. 3 показано, как отключить ведение журнала сеанса, выбрав None (Нет). 2.6.1 IP адреса Чтобы устройства обнаружили друг друга и установили сквозное подключение по сети Интернет, используются IP-адреса. IP-адреса необходимо настроить для всех оконечных устройств в сети. Структура адреса IPv4 — это точечно-десятичное представление в виде четырех десятичных чисел в диапазоне от 0 до 255. Адреса IPv4 присваиваются отдельным устройствам, подключенным к сети. Помимо адреса IPv4 необходима маска подсети. Маска подсети IPv4 — это 32-битовое значение, которое отделяет сетевую часть адреса от узловой части. Маска подсети в сочетании с адресом IPv4 определяет, к какой конкретной подсети относится устройство. В примере узлу назначен адрес IPv4 (192.168.1.10), маска подсети (255.255.255.0) и шлюз по умолчанию (192.168.1.1). Адрес шлюза по умолчанию — это IP-адрес маршрутизатора, который узел будет использовать для доступа к удаленным сетям, в том числе к Интернету. IP-адреса могут быть назначены физическим портам и виртуальным интерфейсам на устройствах. Виртуальный интерфейс означает, что с данным устройством не связано дополнительное физическое оборудование. Длина IPv6-адресов составляет 128 бит, написанных в виде строки шестнадцатеричных значений. Каждые 4 бита представлены одной шестнадцатеричной цифрой, причем общее количество шестнадцатеричных значений равно 32. Группы из четырех шестнадцатеричных цифр разделяются двоеточием (:). IPv6-адреса нечувствительны к регистру, их можно записывать как строчными, так и прописными буквами. 2.7.1 Автоматическая настройка IP адресов оконченных устройств Чтобы вручную настроить IPv4-адрес на узле Windows, откройте «Панель управления» > «Центр управления сетями и общим доступом» > «Изменение параметров адаптера» и выберите адаптер. Щелкните его правой кнопкой мыши и выберите Свойства, чтобы открыть Свойства подключения по локальной сети Выберите «Протокол Интернета версии 4 (TCP/IPv4)» и затем Свойства, чтобы открыть окно Свойства: протокол Интернета версии 4 (TCP/IPv4). Настройте адрес IPv4 и маску подсети, а также шлюз по умолчанию. Для автоматической настройки IPv4-адресов компьютеры обычно используют по умолчанию DHCP. DHCP — это технология, которая используется практически во всех сетях. В сети DHCP автоматически настраивает адреса IPv4 для каждого оконечного устройства в сети с включенным протоколом DHCP Можно отобразить настройки IP-адресов на ПК с ОС Windows, введя команду ipconfig в командной строке. В выходных данных команды вы увидите IPv4-адрес, маску подсети и шлюз, полученные с DHCP-сервера. IPv6 использует DHCPv6 и SLAAC (Stateless Address Autoconfiguration) для динамического распределения адресов. IPv6 использует DHCPv6 и SLAAC (Stateless Address Autoconfiguration) для динамического распределения адресов. 2.7.4 Настройка виртуального интерфейса коммутатора Для удаленного доступа к коммутатору на интерфейсе (SVI) нужно настроить IP-адрес и маску подсети. Чтобы настроить SVI на коммутаторе, используйте команду глобальной конфигурации interface vlan 1. Vlan 1 — это не физический интерфейс, а виртуальный. Затем назначьте IPv4-адрес с помощью команды интерфейсной настройки ip address ip-address subnetmask . Наконец, включите виртуальный интерфейс с помощью команды конфигурации интерфейса no shutdown. 2.7.5 Проверка адресации интерфейсов Так же как вы используете команды и утилиты, например ipconfig, для проверки сетевой конфигурации узла, вы используете команды для проверки интерфейсов и параметров адресов промежуточных устройств (коммутаторов и маршрутизаторов). show ip interface brief. Эта команда позволяет проверить состояние интерфейсов коммутаторов. 2.7.6 Тестирование сквозного подключения Команду ping можно использовать для проверки подключения к другому устройству по сети или к веб-сайту в Интернете. 3.1.7 Форматирование и инкапсуляция сообщений Для доставки и обработки письма в компьютерной сети необходимо придерживаться определенных правил форматирования. Компьютерные сообщения инкапсулируются подобно тому, как письмо вкладывается в конверт. Для инкапсуляции каждого сообщения компьютера перед отправкой по сети используется особый формат, который называется кадром. Кадр действует как конверт: в нем указаны адрес узла-источника и адрес назначения. Обратите внимание, что адрес источника и адрес назначения указаны как в адресной части кадра, так и в инкапсулированном сообщении. Разница между этими двумя типами адресов будет рассмотрена далее в этой главе. Формат и содержимое кадра зависят от типа сообщения и канала передачи. Неверно отформатированные сообщения не могут быть доставлены на узел назначения и обработаны на нем. При передаче длинного сообщения от одного узла к другому по сети необходимо поделить его на части. Размеры этих частей, или кадров, очень строго регулируются. Кроме всего прочего, они зависят от используемого канала. Слишком длинные или короткие кадры не доставляются. Ограничения по размеру кадров заставляют узел-источник делить длинные сообщения на части, соответствующие требованиям к минимальному и максимальному размеру. Длинное сообщение разбивается на отдельные кадры, каждый из которых содержит часть исходного сообщения. Каждый кадр содержит информацию об адресах. Узел-адресат восстанавливает исходное сообщение по частям. 3.1.9 Синхронизация сообщений Ниже приведены правила синхронизации сообщений. Способ доступа Способ доступа определяет, когда конкретный человек сможет отправить сообщение. Если два человека говорят одновременно, происходит конфликт информационных потоков и обоим приходится начинать сначала. Управление потоком Синхронизация влияет и на количество отправляемой информации, и на скорость ее доставки. Если один человек говорит слишком быстро, другому сложно расслышать и понять сообщение. В случае сетевых коммуникаций узлы-источника и узлы назначения используют способы управления потоком, чтобы согласовать время для успешного обмена данными. Тайм-аут ответа Если человек задает вопрос и не получает ответа за приемлемое время, он предполагает, что ответа не будет, и предпринимает соответствующие действия. Он может повторить вопрос или продолжить разговор. У сетевых узлов также есть правила, определяющие время ожидания ответа и действия, выполняемые по истечении этого времени. 3.1.10 Варианты доставки сообщений Способы доставки сообщений могут различаться. Иногда информацию нужно передать только одному человеку. В других случаях ее нужно одновременно передать группе людей или даже всем жителям определенного района. Кроме того, бывает, что отправителю нужно убедиться, что сообщение успешно доставлено. Для этого получатель должен отправить подтверждение доставки. Если подтверждения не требуется, метод доставки сообщения называется неподтвержденным. Узлы в сети используют аналогичные варианты доставки сообщений. Метод рассылки «один к одному» называется одноадресным. Это означает, что у сообщения есть только один адресат. Если узел рассылает сообщения методом «один ко многим», это многоадресная рассылка. Многоадресная рассылка предусматривает одновременную отправку одного и того же сообщения группе узлов. Если всем сетевым узлам необходимо получить сообщение в одно и то же время, используется широковещательная рассылка. Широковещательная рассылка представляет собой метод доставки сообщений «один ко всем». Некоторые протоколы предусматривают многоадресную отправку специального сообщения всем устройствам аналогично широковещательной рассылке. Кроме того, подтверждение получения от узлов может требоваться для одних сообщений и не требоваться для других. Одноадресная передача - информация передается на одно конечное устройство. Многоадресная передача - информация передается на одно или несколько конечных устройств. Широковещательная передача - информация передается на все конечные устройства. 3.2.1 Сетевые протоколы На уровне общения между людьми одни правила коммуникации формализованы, другие просто понятны, исходя из обычаев и практики. Для успешного обмена данными между устройствами набор сетевых протоколов должен описывать точные требования к процедуре. Сетевые протоколы определяют общий формат и набор правил для обмена сообщениями между устройствами. Наиболее популярными сетевыми протоколами являются протокол передачи гипертекста (Hypertext Transfer Protocol, HTTP), протокол управления передачей (Transmission Control Protocol, TCP) и протокол Интернета (Internet Protocol, IP). Примечание. Под IP в этом курсе понимаются оба протокола IPv4 и IPv6. Протокол IPv6 — последняя версия протокола IP, пришедшая на замену более распространенной версии IPv4. 3.2.2 Функции Сетевого протокола Протоколы сетевой связи отвечают за различные функции, необходимые для сетевой связи между конечными устройствами.Компьютеры и сетевые устройства используют согласованные протоколы для связи. 3.2.3 Взаимодействие протоколов Связь между веб-сервером и веб-клиентом — пример взаимодействия нескольких протоколов. Протокол HTTP — протокол уровня приложений, который управляет взаимодействием вебсервера и веб-клиента. HTTP определяет содержание и формат запросов и ответов, которыми обмениваются клиент и сервер. Программное обеспечение и веб-клиента, и вебсервера реализует HTTP как часть приложения. Для управления процессом передачи сообщений между клиентом и сервером HTTP обращается к другим протоколам. Протокол TCP — это транспортный протокол, управляющий отдельными сеансами связи. TCP делит сообщения HTTP на более мелкие части, называемые сегментами. Эти сегменты передаются между веб-сервером и клиентскими процессами, запущенными на узле назначения. TCP также отвечает за управление размером и скоростью, с которой происходит обмен сообщениями сервера и клиента. Протокол IP отвечает за прием форматированных сегментов TCP, инкапсуляцию их в пакеты, присвоение им соответствующих адресов и их доставку к узлу назначения. Протокол Ethernet — протокол сетевого доступа, который описывает две основные функции: связь по каналу передачи данных и физическое перемещение данных по средству подключения. Протоколы сетевого доступа отвечают за прием пакетов от протокола IP и их форматирование для отправки через средство подключения. 3.3.2 Наборы протоколов и отраслевые стандарты Набор протоколов представляет собой множество протоколов, которые используются вместе для предоставления комплексных сетевых сервисов. Набор протоколов может быть определен организацией по стандартизации или разработан поставщиком. Наборы протоколов, как и те четыре, что показаны на рисунке, могут включать большое количество протоколов. Однако в рамках данного курса рассматривается только набор протоколов TCP/IP. Набор протоколов TCP/IP является открытым стандартом, то есть эти протоколы находятся в свободном доступе, и любой разработчик может использовать эти протоколы в аппаратном или программном обеспечении. Некоторые протоколы являются частными. Примерами частных протоколов являются устаревшие наборы протоколов AppleTalk и Novell Netware. Нередко поставщик (или группа поставщиков) разрабатывает частный протокол для удовлетворения потребностей своих заказчиков, а затем способствует принятию этого частного протокола в качестве открытого стандарта. 3.3.4 Набор протоколов TCP/IP На сегодняшний день набор протоколов TCP/IP включает множество протоколов. Наиболее распространенные показаны на рисунке. Отдельные протоколы реализованы на разных уровнях согласно модели протокола TCP/IP: на уровне приложений, транспортном, сетевом уровнях и уровне доступа к сети. Протоколы TCP/IP работают на уровне приложений, транспортном, сетевом уровнях. Протоколы уровня сетевого доступа обеспечивают доставку IP-пакетов по физическому средству подключения. Эти протоколы более низких сетевых уровней разработаны организациями по стандартизации. Набор протоколов TCP/IP реализован в виде стека TCP/IP как на отправляющем, так и на принимающем узлах для обеспечения сквозной доставки данных по сети. Протоколы Ethernet используются для передачи IP-пакетов по средству подключения, используемому сетью LAN. Уровень приложений Система доменных имен Система доменных имен (* DNS ) Преобразует имена доменов, например cisco.com, в IPадреса. Конфигурация хоста DHCPv4 - протокол динамической настройки узлов. Сервер DHCPv4 динамически назначает информацию адресации IPv4 клиентам DHCPv4 при запуске и позволяет повторно использовать адреса, когда они больше не нужны. DHCPv6 - протокол динамической настройки узлов для протокола IPv6. DHCPv6 похож на DHCPv4. Сервер DHCPv6 динамически назначает информацию адресации IPv6 клиентам DHCPv6 при запуске. SLAAC - Автоматическая конфигурация адреса без сохранения состояния (Stateless Address Autoconfiguration, SLAAC) Метод, позволяющий устройству получать информацию об адресации IPv6 без использования сервера DHCPv6. Электронная почта SMTP - простой протокол пересылки почты. SMTP ― упрощенный протокол передачи электронной почты, с помощью которого клиенты отправляют электронную почту на почтовый сервер, а серверы отправляют электронную почту на другие серверы. POP3 - Протокол почтового отделения (Post Office Protocol version 3, POP3) Позволяет клиентам получать электронную почту с почтового сервера и загружать ее в локальное почтовое приложение клиента. IMAP - протокол доступа к сообщениям в Интернете (IMAP) Позволяет клиентам получать доступ к электронным сообщениям, которые хранятся на почтовом сервере Передача файлов FTP - Протокол передачи файлов Устанавливает правила, которые позволяют пользователю получать доступ к файлам на других узлах и обмениваться ими по сети FTP - надежный протокол доставки файлов с подтверждением и установлением соединения SFTP - SSH протокол передачи файлов. Протокол передачи файлов поверх SSH (SFTP) — SFTP является расширением протокола Secure Shell (SSH) и может использоваться для создания защищенного сеанса передачи файлов. SSH — это метод безопасного удаленного входа, который обычно используется для доступа к командной строке устройства. TFTP - простейший протокол передачи файлов Простой протокол передачи файлов без подключения с максимальными усилиями, неподтвержденными доставкой файлов. Он использует меньше накладных расходов, чем FTP Веб и Веб-Сервис HTTP — Hypertext Transfer Protocol (протокол передачи гипертекста) Задает правила обмена в Интернете текстом, графическими изображениями, звуковыми, видео и другими файлами мультимедиа по Интернету. HTTPS - Защищенный HTTP (HTTPS) Безопасная форма HTTP, которая шифрует данные, которые обмениваются через Интернет. REST - Representational State Transfer. Веб-служба, использующая интерфейсы прикладного программирования (API) и HTTP-запросы для создания веб-приложений. Транспортный уровень протокол с установлением соединения TCP - Протокол управления передачей (TCP) обеспечивает устойчивое взаимодействие между процессами, работающими на разных хостах, и обеспечивает надежную передачу данных с подтверждением успешной доставки. Без установления соединения UDP - Протокол пользовательских датаграмм (UDP) Позволяет процессу, запущенному на одном узле, отправлять пакеты процессу, запущенному на другом узле. Не подтверждает успешную доставку датаграммы Межсетевой уровень Протокол Интернета (Internet Protocol, IР) IPv4 - Интернет-протокол версии 4 (IPv4) Получает сегменты сообщений из транспортного уровня, упаковывает сообщения в пакеты и направляет пакеты для сквозной доставки по сети. IPv4 использует 32-разрядный адрес. IPv6 - Интернет-протокол версии 6 (IPv6) Подобен IPv4, но использует 128-битный адрес. NAT - преобразование сетевых адресов. Преобразует IP-адреса частной сети в глобальные уникальные публичные IP-адреса Обмен сообщениями ICMPv4 - Протокол управляющих сообщений в Интернете (Internet Control Message Protocol, ICMP) Обеспечивает обратную связь от хоста назначения к исходному хосту, чтобы сообщать об ошибках доставки пакетов ICMPv6 - ICMP для IPv6. Аналогичная функциональность ICMPv4, но используется для пакетов IPv6. ICMPv6 ND - ICMPv6 протокол обнаружения соседей. Включает четыре сообщения протокола, которые используются для разрешения адресов и обнаружения повторяющихся адресов. Протоколы маршрутизации OSPF — открытый протокол предпочтения кратчайшего пути Протокол маршрутизации состояния связи, который использует иерархическую структуру на основе областей. Это протокол внутренней маршрутизации, являющийся открытым стандартом. EIGRP — усовершенствованный внутренний протокол маршрутизации шлюзов EIGRP ― это усовершенствованный внутренний протокол маршрутизации шлюзов, разработанный компанией Cisco, который использует составной показатель, строящийся на пропускной способности, задержке, нагрузке и надежности. BGP - Протокол пограничного шлюза BGP Открытый стандартный протокол маршрутизации внешнего шлюза, используемый между Интернет-провайдерами (ISP). Протокол BGP также обеспечивает обмен данными маршрутизации между интернет-провайдерами и их крупными частными клиентами. Уровень сетевого доступа Разрешение адресов ARP - Протокол разрешения адресов (ARP) Обеспечивает динамическое сопоставление между IP-адресами и аппаратными адресами Протокол канального уровня Ethernet определяет правила для стандартов прокладки кабелей и обмена сигналами на уровне доступа к сети. WLAN - беспроводная локальная сеть (WLAN) Определяет правила беспроводной сигнализации на радиочастотах 2,4 ГГц и 5 ГГц. 3.3.5 Обмен данными TCP/IP Весь процесс обмена данными на примере веб-сервера, передающего данные клиенту. 1. Веб-сервер преобразует страницу на гипертекстовом языке описания документов (HTML) в данные для отправки. 2. Заголовок протокола HTTP уровня приложений добавляется в начало данных в формате HTML. Заголовок содержит различные данные, включая версию HTTP, которую использует сервер, а также код состояния, указывающий, что у него имеется информация для веб-клиента. 3. Протокол уровня приложений HTTP передает данные веб-страницы в формате HTML на транспортный уровень. Протокол транспортного уровня TCP используется для управления отдельным сеансом связи между веб-сервером и веб-клиентом. 4. Затем информация IP добавляется перед информацией TCP. IP назначает соответствующие IPадреса источника и места назначения. Такая информация называется IP-пакетом. 5. Протокол Ethernet добавляет в начало и в конец IP-пакета информацию, называемую кадром канала данных. Этот кадр доставляется на ближайший маршрутизатор на пути к клиенту. Маршрутизатор удаляет информацию Ethernet, анализирует IP-пакет, определяет наилучший путь для пакета, вкладывает его в новый кадр и пересылает на следующий маршрутизатор по пути к месту назначения. Каждый маршрутизатор удаляет и добавляет новую информацию кадра канального уровня перед пересылкой пакета. 6. Затем эти данные передаются по объединенной сети, состоящей из средств подключения и промежуточных устройств. 7. Клиент получает кадры канального уровня, содержащие передаваемые данные. При обработке кадра заголовки протоколов удаляются в обратном пдшмуорядке. Сначала обрабатывается и удаляется информация Ethernet, вслед за ней — информация IP-протокола, затем TCP и, наконец, HTTP. 8. Затем данные веб-страницы передаются программному обеспечению браузера клиента. 3.4.2 Стандарты интернета Организации по стандартизации обычно являются независимыми от поставщиков некоммерческими организациями, созданными для разработки и продвижения концепции открытых стандартов. Каждая организация играет свою роль в разработке и продвижении стандартов протокола TCP/IP. Общество Интернет (Internet Society, ISOC) отвечает за содействие открытой разработке и расширению использования Интернета во всем мире. Совет по архитектуре сети Интернет (Internet Architecture Board, IAB) отвечает за общее руководство и разработку интернет-стандартов. Инженерная группа по развитию Интернета (Internet Engineering Task Force, IETF) разрабатывает, обновляет и поддерживает технологии Интернета и TCP/IP. Она также выпускает документы для разработки новых и обновления существующих протоколов, известные как «Рабочие предложения» (Request for Comments, RFC). Исследовательская группа интернет-технологий (Internet Research Task Force, IRTF), проводящая долгосрочные исследования Интернета и протоколов TCP/IP, включает в себя Группу исследования защиты от спама (Anti-Spam Research Group, ASRG), Группу исследования криптографической защиты (Crypto Forum Research Group, CFRG) и Группу исследования одноранговых сетей (Peer-to-Peer Research Group, P2PRG). Корпорация по управлению доменными именами и IP-адресами (Internet Corporation for Assigned Names and Numbers, ICANN) — некоммерческая организация в США, координирующая действия по выделению IP-адресов, управлению доменными именами, а также другими данными, используемыми в протоколах TCP/IP. Администрация адресного пространства Интернет (Internet Assigned Numbers Authority, IANA) отвечает за контроль и управление распределением IP-адресов, управление доменными именами и идентификаторами протоколов для ICANN. 3.4.3 Организация по стандартизации в области электроники и связи Другие организации по стандартизации занимаются разработкой и продвижением стандартов в области электроники и связи, применяемых при доставке IP-пакетов в виде сигналов через проводное или беспроводное средство подключения. Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers, IEEE; произносится по-английски «ай трипл и») — организация, занимающаяся внедрением технологических инноваций и созданием стандартов в различных отраслях, включая энергетику, здравоохранение, телекоммуникации и сетевые технологии. Альянс отраслей электронной промышленности (Electronic Industries Alliance, EIA) наиболее известен своими стандартами, связанными с электрической проводкой, разъемами и 19дюймовыми стойками, которые используются для монтажа сетевого оборудования. Ассоциация телекоммуникационной промышленности (Telecommunications Industry Association, TIA) отвечает за развитие стандартов связи в различных областях, включая радиооборудование, базовые станции сотовой связи, устройства передачи голоса по IP (VoIP), спутниковую связь и многое другое. Международный союз электросвязи, сектор стандартизации телекоммуникаций (International Telecommunications Union-Telecommunication Standardization Sector, ITU-T) — одна из крупнейших и старейших организаций по стандартам связи. ITU-T определяет стандарты для сжатия видео, телевидения по протоколу IP (IPTV) и широкополосной связи, например линий DSL. 3.5.1 Преимущества использования многоуровневой модели Многоуровневая модель для описания сетевых протоколов и операций обеспечивает следующие преимущества. Упрощение разработки протоколов, поскольку протоколы, работающие на определенном уровне, определяют формат обрабатываемых данных и интерфейс верхних и нижних уровней. Стимулирование конкуренции, так как продукты разных поставщиков могут взаимодействовать друг с другом. Предотвращение влияния изменений технологий или функций одного уровня на другие уровни (верхние и нижние). Общий язык для описания функций сетевого взаимодействия. Как показано на рисунке, модель TCP/IP и модель взаимодействия открытых систем (Open Systems Interconnection, OSI) — основные используемые модели функционирования сети. Каждая из них представляет собой базовый тип многоуровневой модели сетевого взаимодействия. Протокольная модель соответствует структуре определенного набора протоколов. TCP/IP является протокольной моделью, поскольку в ней описываются функции, которые выполняются на каждом уровне протоколов, входящих в набор протоколов TCP/IP. TCP/IP также используется в качестве эталонной модели. Эталонная модель обеспечивает единообразное применение всех сетевых протоколов и сервисов, описывая то, что необходимо сделать на определенном уровне, но не предписывая конкретные способы выполнения. Модель OSI является популярной эталонной моделью объединенной сети, одновременно будучи протокольной моделью для набора протоколов OSI. 3.5.2 Эталонная модель OSI Модель OSI определяет широкий список функций и сервисов, реализуемых на каждом уровне. Кроме того, она описывает взаимодействие каждого уровня с вышестоящими и нижестоящими уровнями. Рассматриваемые в рамках этого курса протоколы TCP/IP соотносятся как с моделью OSI, так и с моделью TCP/IP. Примечание. Если уровни модели TCP/IP обозначаются только по названию, то 7 уровней модели OSI часто обозначаются по номеру. Например, физический уровень называется первым уровнем модели OSI. 3.5.3 Модель протоколов TCP/IP Протокольная модель сетевого взаимодействия TCP/IP была создана в начале 70-х годов и иногда называется моделью сети Интернет. Как показано на рисунке, такая модель определяет четыре категории функций, необходимых для успешного взаимодействия. Архитектура набора протоколов TCP/IP построена на основе этой модели. Вот почему модель Интернета обычно называют моделью TCP/IP. 3.5.4 Сравнение моделей Набор протоколов TCP/IP может быть описан с точки зрения эталонной модели OSI. В модели OSI уровень доступа к сети и прикладной уровень модели TCP/IP дополнительно подразделяются для описания отдельных функций, которые реализуются на этих уровнях. На уровне доступа к сети набор протоколов TCP/IP не определяет список протоколов, используемых для передачи по физическому средству подключения; он описывает только передачу с сетевого уровня физическим сетевым протоколам. Уровни 1 и 2 модели OSI описывают процедуры доступа к средствам подключения и физическим средствам отправки данных по сети. 3.6.1 Сегментация сообщений Разделение потока данных на более мелкие части называется сегментацией. Сегментация сообщения предоставляет два основных преимущества. Отправка небольших отдельных частей от источника к получателю в сети позволяет поддерживать множество различных чередующихся сеансов обмена сообщениями, это называется мультиплексированием. Сегментация позволяет повысить надежность сетевого взаимодействия. Если какую-либо часть сообщения не удается доставить к месту назначения из-за отказа сети, необходимо будет повторно передать только недостающие части сообщения. Сегментация сообщения предоставляет два основных преимущества. -Повышает скорость . Поскольку большой поток данных сегментирован на пакеты, большие объемы данных могут быть отправлены по сети без привязки канала связи. Отправка небольших фрагментов в сети позволяет поддерживать множество различных чередующихся сеансов обмена сообщениями, это называется мультиплексированием. -Повышает эффективность. Если один сегмент не может достичь места назначения из-за сбоя в сети или перегрузки сети, необходимо повторно передать только этот сегмент вместо повторной передачи всего потока данных. Недостаток использования сегментации и мультиплексирования для передачи сообщений через сеть — сложность, которая свойственна всему процессу. Представьте себе, необходимо отправить письмо из 100 страниц, но каждый конверт вмещает только одну страницу. Поэтому потребуется 100 конвертов. Возможно, письма поступят не по порядку. Следовательно, информация должна включать порядковый номер.TCP отвечает за последовательность отдельных сегментов. 3.6.3 Единица данных протокола (PDU) По мере того как данные приложений передаются по стеку протоколов до перемещения через средство сетевого подключения, различные протоколы добавляют в них информацию на каждом из уровней. Это называется процессом инкапсуляции. Форма, которую принимает массив данных на каждом из уровней, называется протокольным блоком данных (PDU). В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом. На каждом этапе процесса PDU получает другое имя, отражающее новые функции. Универсальной схемы именования для PDU нет, и в этом курсе PDU называются в соответствии с терминологией набора протоколов TCP/IP. При отправке сообщения по сети процесс инкапсуляции идет от верхнего уровня к нижнему. Данные на каждом уровне оказываются вложенными внутрь инкапсулированного протокола. Например, сегмент TCP является частью данных внутри IP-пакета. Примечание: Если заголовок транспортного уровня TCP – это сегмент. А для UDP это датаграмма. Обратный процесс на принимающем узле называется декапсуляцией. Деинкапсуляция — это процесс удаления одного или нескольких заголовков принимающим устройством. По мере продвижения данных по стеку к приложениям для конечных пользователей они деинкапсулируются. 3.7.1 Сетевые адреса Сетевой и канальный уровни отвечают за доставку данных с устройства-источника на устройство назначения. Протоколы на обоих уровнях содержат адреса источника и места назначения, но эти адреса служат разным целям. Адрес источника и места назначения сетевого уровня необходим для доставки IP-пакета от источника к месту назначения в той же или в удаленной сети. Адрес источника и места назначения канального уровня необходим для доставки кадра канала данных от одной сетевой интерфейсной платы (NIC) к другой сетевой интерфейсной плате в той же сети. 3.7.2 IP Адрес IP-адрес — это логический адрес сетевого уровня, или уровня 3, необходимый для доставки IPпакета от источника к месту назначения IP-пакет содержит два IP-адреса. IP-адрес источника — IP-адрес устройства-отправителя, изначального источника пакета. IP-адрес места назначения — IP-адрес устройства-получателя, конечного места назначения пакета. Адреса сетевого уровня, или IP-адреса, представляют собой сетевые адреса источника и места назначения. Это верно, независимо от того, находятся ли источник и адресат в одной и той же IPсети или в разных IP-сетях. IP-адрес состоит из двух частей. -Сетевая часть IP-адреса — левая часть адреса, которая указывает на принадлежность IP-адреса к определенной сети. Все устройства в одной сети будут иметь одинаковую сетевую часть адреса. -Узловая часть — оставшаяся часть адреса, которая идентифицирует конкретное устройство в сети. Узловая часть уникальна для каждого устройства в сети. Примечание: Маска подсети (IPv4) или длина префикса (IPv6) используется для идентификации сетевой части IP-адреса из хост-части. 3.3.2.2 Адреса канального уровня Физический адрес канального уровня играет другую роль. Назначение адреса канального уровня — доставить кадр канала данных с одного сетевого интерфейса на другой в одной и той же сети. Прежде чем IP-пакет можно будет отправить по проводной или беспроводной сети, его необходимо инкапсулировать в кадр канала данных для последующего перемещения по физическому средству подключения. В ходе пересылки IP-пакетов от узла к маршрутизатору, между маршрутизаторами и, наконец, от маршрутизатора к узлу в каждой точке на пути своего следования IP-пакет инкапсулируется в новый кадр канала передачи данных. Каждый кадр канального уровня содержит адрес каналаисточника (передавшего этот кадр сетевой платы) и адрес канала назначения (сетевой платы, принимающей этот кадр). Протокол канального уровня (уровня 2) используется только для доставки пакета между сетевыми интерфейсными платами в одной сети. Маршрутизатор удаляет информацию уровня 2 после получения пакета сетевой интерфейсной платой и добавляет новую информацию канального уровня перед пересылкой пакета другой сетевой интерфейсной плате по пути к месту назначения. На канальном уровне IP-пакет инкапсулируется в кадр, содержащий следующую информацию канального уровня. Адрес источника канального уровня — физический адрес сетевой интерфейсной платы устройства, которое передает пакет. Адрес места назначения канального уровня — физический адрес сетевой интерфейсной платы устройства, которое получает пакет. Это адрес ближайшего транзитного маршрутизатора или устройства назначения. Кадр канального уровня также содержит концевик, о котором будет рассказано в следующих главах. 3.7.3 Устройства в одной сети Роль адресов сетевого уровня Адреса сетевого уровня, или IP-адреса, представляют собой сетевые адреса источника и места назначения. IP-адрес состоит из двух частей. Сетевая часть — левая часть адреса, определяющая, какой сети принадлежит IP-адрес. Все устройства в одной сети будут иметь одинаковую сетевую часть адреса. Узловая часть — остальная часть адреса, определяющая конкретное устройство в сети. Узловая часть уникальна для каждого устройства в сети. Примечание. Маска подсети используется для отделения сетевой части от узловой части. Маска подсети рассматривается в следующих главах. В данном примере есть клиентский компьютер (PC1), который взаимодействует с файловым сервером (FTP server), находящимся в той же IP-сети. IP-адрес источника — IP-адрес устройства-отправителя, клиентского компьютера PC1: 192.168.1.110. IP-адрес места назначения — IP-адрес устройства-получателя, FTP server: 192.168.1.9. 3.7.4 Роль адресов канального уровня Если отправитель и получатель IP-пакета находятся в одной и той же сети, кадр канала данных отправляется напрямую принимающему устройству. В сети Ethernet адреса канала данных называются MAC-адресом (Media Access Control) Ethernet. MAC-адреса физически присвоены сетевой интерфейсной плате Ethernet. MAC-адрес источника — это адрес канального уровня, или MAC-адрес Ethernet устройства, отправляющего кадр канала данных с инкапсулированным IP-пакетом. MAC-адрес сетевой интерфейсной платы Ethernet PC1: AA-AA-AA-AA-AA-AA в шестнадцатиричном представлении. MAC-адрес места назначения — адрес канального уровня принимающего устройства, если оно находится в той же сети, что и устройство-отправитель. В этом примере MAC-адресом получателя является MAC-адрес файлового сервера (FTP server): CC-CC-CC-CC-CC-CC в шестнадцатиричном представлении. Теперь кадр с инкапсулированным IP-пакетом может быть передан напрямую с PC1 на FTP server. 3.7.3 Устройства в удаленной сети Роль адресов сетевого уровня Если отправитель и получатель пакета находятся в разных сетях, IP-адреса источника и места назначения будут представлять узлы в разных сетях. На это будет указывать сетевая часть IPадреса узла назначения. IP-адрес источника — IP-адрес устройства-отправителя, клиентского компьютера PC1: 192.168.1.110. IP-адрес места назначения — IP-адрес устройства-получателя, Web Server: 172.16.1.99. Роль адресов канального уровня Если отправитель и получатель IP-пакета находятся в разных сетях, кадр канала данных Ethernet не может быть отправлен напрямую к узлу назначения, поскольку он недоступен в сети отправителя. Кадр Ethernet нужно выслать на другое устройство: маршрутизатор или шлюз по умолчанию. В нашем примере шлюз по умолчанию — R1. R1 имеет адрес канала данных Ethernet в той же сети, что и PC1. Это позволяет PC1 получить доступ к маршрутизатору напрямую. MAC-адрес источника — MAC-адрес Ethernet отправляющего устройства, PC1. MAC-адрес интерфейса Ethernet на PC1 — AA-AA-AA-AA-AA-AA. MAC-адрес места назначения — устройство-отправитель использует MAC-адрес Ethernet шлюза по умолчанию или маршрутизатора, если получающее и передающее устройства находятся в разных сетях. В этом примере MAC-адресом места назначения является MACадрес интерфейса Ethernet R1 (11-11-11-11-11-11). Этот интерфейс прикреплен к той же сети, что и PC1. Кадр Ethernet с инкапсулированным IP-пакетом теперь может быть передан на R1. R1 пересылает пакет к месту назначения (Web Server). Это может означать, что R1 пересылает пакет на другой маршрутизатор или непосредственно на Web Server, если он находится в одной из сетей, подключенных к R1. Для каждого узла в локальной сети важно правильно настроить IP-адрес основного шлюза. Все пакеты, предназначенные для отправки в удаленную сеть, направляются на шлюз по умолчанию. MAC-адреса Ethernet и шлюз по умолчанию рассматриваются в следующих главах. 3.8.1 Повтор Правила Все методы связи имеют три общих элемента: источник сообщения (отправитель), адресат сообщения (получатель) и канал. Отправка сообщения регулируется правилами, называемыми протоколами. Протоколы должны включать: идентифицированные отправитель и получатель, общий язык и грамматику, скорость и сроки доставки, а также требования подтверждения. Сетевые протоколы определяют параметры кодирования, форматирования, инкапсуляции, размера, синхронизации и доставки сообщений. Кодирование — это процесс преобразования информации в форму, приемлемую для последующей передачи. Декодирование — обратный процесс, в результате которого информация преобразуется в исходный вид. Формат зависит от типа сообщения и канала доставки. Синхронизация ― включает способ доступа, управление процессами и время ожидания ответа. Параметры доставки сообщений включают одноадресную, многоадресную и широковещательную рассылку. Протоколы Протоколы реализуются конечными устройствами и промежуточными устройствами в программном, аппаратном или обоих вариантах. Сообщение, отправляемое по компьютерной сети, обычно требует использования нескольких протоколов, каждый из которых имеет свои собственные функции и формат. Каждый сетевой протокол имеет свою функцию, формат и правила связи. Семейство протоколов Ethernet включает IP, TCP, HTTP и многие другие. Протоколы обеспечивают защиту данных, обеспечивая проверку подлинности, целостность данных и шифрование данных: SSH, SSL и TLS. Протоколы позволяют маршрутизаторам обмениваться информацией о маршруте, сравнивать информацию о маршруте, а затем выбирать оптимальный путь к сети назначения: OSPF и BGP. Протоколы используются для автоматического обнаружения устройств или служб: DHCP и DNS. Компьютеры и сетевые устройства используют согласованные протоколы, которые обеспечивают следующие функции: адресация, надежность, управление потоком, последовательность, обнаружение ошибок и интерфейс приложения. Наборы протоколов Группа взаимосвязанных протоколов, необходимых для выполнения коммуникаций, называется набором протоколов. Стек протоколов показывает, как отдельные протоколы реализованы в одном наборе. Начиная с 1970-х годов было несколько различных пакетов протоколов, некоторые из которых были разработаны организацией по стандартизации, а другие разработаны различными поставщиками. Протоколы TCP/IP работают на транспортном, сетевом уровнях и уровне приложений. TCP/IP - это набор протоколов, используемый современными сетями и интернетом. TCP/IP предлагает поставщикам и производителям два важных аспекта: открытый набор стандартных протоколов и набор протоколов на основе стандартов. Процесс передачи пакетов протоколов TCP/IP позволяет осуществлять такие процессы, как инкапсулирование веб-сервера и отправка веб-страницы клиенту, а также деинкапсулирование веб-страницы клиентом для отображения в веб-браузере. Организации по стандартизации Открытые стандарты способствуют совместимости, конкуренции и инновациям. Организации по стандартизации обычно являются независимыми от поставщиков некоммерческими организациями, созданными для разработки и продвижения концепции открытых стандартов. Различные организации несут разные обязанности по продвижению и созданию стандартов для Интернета, в том числе: ISOC, IAB, IETF и IRTF. Организации по стандартизации, разрабатывающие и поддерживающие TCP/IP, включают: ICANN и IANA. Организации по стандартам электронных и коммуникационных стандартов включают в себя: IEEE, EIA, TIA и ITU-T. Две эталонные модели, которые используются для описания сетевых операций: OSI и TCP/IP. Модель OSI состоит из семи уровней: 7 - Уровень приложений 6 - Уровень представления 5 - Сеансовый уровень 4 - Транспортный уровень 3 - Сетевой уровень. 2 - Канальный уровень 1 - Физический уровень Модель TCP/IP состоит из четырех уровней. 4 - Прикладной уровень 3 - Транспортный уровень 2 - Межсетевой уровень 1 - Уровень сетевого доступа Инкапсуляция данных Сегментация сообщения предоставляет два основных преимущества. Путем отправки более мелких отдельных фрагментов из источника в место назначения можно чередовать много разных цепочек сообщений в сети. Это называется мультиплексированием. Сегментация позволяет повысить надежность сетевого взаимодействия. Если какую-либо часть сообщения не удается доставить к месту назначения, необходимо будет повторно передать только недостающие части сообщения. TCP отвечает за последовательность отдельных сегментов. Форма, которую принимает массив данных на каждом из уровней, называется протокольным блоком данных (PDU). В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом. При отправке сообщения по сети процесс инкапсуляции идет от верхнего уровня к нижнему. Обратный процесс на принимающем узле называется деинкапсуляцией. Деинкапсуляция — это процесс удаления одного или нескольких заголовков принимающим устройством. По мере продвижения данных по стеку к приложениям для конечных пользователей они деинкапсулируются. Доступ к данным Сетевой и канальный уровни отвечают за доставку данных с устройства-источника на устройство назначения. Протоколы на обоих уровнях содержат адреса источника и места назначения, но эти адреса служат разным целям. Адрес источника и места назначения сетевого уровня - необходим для доставки IP-пакета от источника к месту назначения в той же или в удаленной сети. Адрес источника и места назначения канального уровня - необходим для доставки кадра канала данных от одной сетевой интерфейсной платы (NIC) к другой сетевой интерфейсной плате в той же сети. Адреса сетевого уровня, или IP-адреса, представляют собой сетевые адреса источника и места назначения. IP-адрес содержит две части: сетевую часть (IPv4) или префикс (IPv6) и часть узла (IPv4) или идентификатор интерфейса (IPv6). Если отправитель и получатель IP-пакета находятся в одной и той же сети, кадр канала данных отправляется напрямую принимающему устройству. В сети Ethernet адреса канала данных называются MAC-адресом (Media Access Control) Ethernet. Если отправитель и получатель пакета находятся в разных сетях, IP-адреса источника и места назначения будут представлять узлы в разных сетях. Кадр Ethernet нужно выслать на другое устройство: маршрутизатор или шлюз по умолчанию. 4.1.1 Физический уровень Физический уровень OSI обеспечивает средства транспортировки битов, образующих кадр данных канального уровня, по средствам сетевого подключения. Этот уровень принимает от канального уровня целый кадр данных и кодирует его в виде последовательности сигналов, которые затем пересылаются по средству подключения локальной сети. Закодированные биты, из которых состоит кадр, принимаются либо оконечным, либо промежуточным устройством. В ходе передачи от узла источника к узлу назначения (узлу-адресату) данные подвергаются следующим преобразованиям. На транспортном уровне пользовательские данные сегментируются, на сетевом — распределяются по пакетам, а затем инкапсулируются в кадры на канальном уровне. Физический уровень кодирует кадры и формирует электрические, оптические или радиосигналы, с помощью которых представлена информация о битах в каждом кадре. Затем эти сигналы последовательно передаются по средствам подключения. Физический уровень узла назначения принимает эти отдельные сигналы от средств подключения, восстанавливает представляемые ими биты и передает эти биты на канальный уровень в виде целого кадра. 4.1.2.2 Средства подключения физического уровня Существует три основных типа средств сетевого подключения. Физический уровень создает представления битов и группирует их для каждого из этих типов следующим образом. Медный кабель (Copper cable): сигналы представляют собой последовательность электрических импульсов. Оптоволоконный кабель (fiber-optic cable): сигналы представляют собой управляемые изменения светового излучения. Беспроводная сеть (Wireless): сигналы представляют собой радиосигналы микроволнового диапазона. Для обеспечения функциональной совместимости на физическом уровне все аспекты этих функций регламентируются организациями по стандартизации. 4.2.1 Стандарты физического уровня Протоколы и операции вышестоящих уровней модели OSI реализованы в программном обеспечении, созданном разработчиками программного обеспечения и компьютерными специалистами. Службы и протоколы в стеке протоколов TCP/IP определяются Инженерной группой по развитию Интернета (IETF). Физический уровень состоит из электронных схем, средств подключения и разъемов, разрабатываемых инженерами. Поэтому закономерно, что стандарты, регламентирующие это оборудование, определяются соответствующими организациями по электротехнике и связи. В создании и реализации стандартов физического уровня участвует целый ряд различных международных и национальных организаций, правительственных регулирующих организаций, а также частных компаний. Например, стандарты на оборудование, средства подключения, кодирование и сигналы физического уровня разрабатывают следующие организации. Международная организация по стандартизации (ISO) Ассоциация телекоммуникационной промышленности/Ассоциация электронной промышленности (TIA/EIA) Международный союз электросвязи (ITU) Американский национальный институт стандартизации (ANSI) Институт инженеров по электротехнике и электронике (IEEE) Региональные органы регулирования телекоммуникаций, в том числе Федеральная комиссия по связи (FCC) в США и Европейский институт телекоммуникационных стандартов (ETSI). Кроме этого, нередко местные спецификации разрабатываются региональными группами по кабельным стандартам, например CSA (Канадская ассоциация по стандартизации), CENELEC (Европейский комитет электротехнической стандартизации) и JSA/JIS (Японская ассоциация по стандартизации). Стандарты физического уровня регламентируют три функциональные области. Физические компоненты Кодирование Способы передачи сигналов физические компоненты Физические компоненты — это электронные устройства, средства подключения, а также другие соединители и разъемы, обеспечивающие передачу сигналов, с помощью которых представлены биты информации. Все аппаратные компоненты, в том числе сетевые интерфейсные платы (NIC), интерфейсы и соединители, а также материалы и конструкция кабелей описаны в стандартах, относящихся к физическому уровню. Различные порты и интерфейсы маршрутизатора Cisco 1941 также являются примерами физических компонентов, разъемы и схемы подключения контактов, для которых определяются стандартами. 4.2.5 Пропускная способность BANDWIDTH Основными характеристиками передачи данных являются пропускная способность (bandwidth) и производительность (throughput). Пропускная способность (bandwidth) — это количественная характеристика, отражающая возможности передачи данных по конкретному средству подключения. В цифровых сетях под пропускной способностью понимается объем данных, который можно передать из одной точки в другую за определенное время. Обычно пропускная способность измеряется в килобитах в секунду (Кбит/с), мегабитах в секунду (Мбит/с) или гигабитах в секунду (Гбит/с). Иногда под пропускной способностью понимают скорость доставки битов, хотя это не совсем точно. Например, и в сети Ethernet 10 Мбит/с, и в сети Ethernet 100 Мбит/с биты передаются со скоростью распространения электрического сигнала. Разница заключается в количестве битов, передаваемых в секунду. Фактическая пропускная способность сети определяется сочетанием следующих факторов. Свойства физических средств подключения Технологии передачи и обнаружения сигналов в сети. На реальную пропускную способность влияют свойства физических средств подключения, используемые технологии и законы физики. 4.2.5 Терминология пропускной способности Термины, используемые для измерения качества полосы пропускания, включают: 1)Задержка; 2)Производительность (throughput); 3)Полезная пропускная способность. -Задержка Задержки в сети оказывают влияние на итоговое время, необходимое для доставки данных из одной точки в другую. Производительность сети, состоящей из нескольких сетей или нескольких сегментов, не может превышать скорость самого медленного соединения между источником и получателем. Даже если все или большинство сегментов имеют высокую пропускную способность, один-единственный сегмент с низкой производительностью создаст узкое место и производительность всей сети будет снижена. -Производительность (throughput) — это количество битов, передаваемых по средствам подключения за определенный период времени. Из-за множества факторов производительность (throughput) обычно не соответствует заявленной пропускной способности (bandwidth) в реализациях на физическом уровне. Производительность способность обычно ниже, чем пропускная способность. Есть три фактора, которые влияют на производительность:Объем трафика, Тип трафика и Суммарная задержка, зависящая от количества сетевых устройств между источником и пунктом назначения. Существует множество веб-сервисов проверки скорости, позволяющих узнать реальную производительность интернет-соединения. На рисунке показан пример результата тестирования скорости. -Полезная пропускная способность Существует также третий параметр, характеризующий передачу полезных данных, который называется полезной пропускной способностью (goodput). Полезная пропускная способность — это объем полезных данных, передаваемых за определенный период времени. Полезная пропускная способность (goodput) равна производительности (throughput) за вычетом служебного трафика, необходимого для создания сеансов, подтверждений, инкапсуляции и повторной передачи битов. Полезная пропускная способность (goodput) всегда ниже производительности, которая, как правило, ниже пропускной способности. 4.1.3.3 Производительность ( THROUGHPUT) Производительность (throughput) — это количество битов, передаваемых по средствам подключения за определенный период времени.Из-за множества факторов производительность (throughput) обычно не соответствует заявленной пропускной способности (bandwidth) в реализациях на физическом уровне. На производительность влияет ряд факторов, в том числе следующие. Объем трафика Тип трафика Суммарная задержка, зависящая от количества сетевых устройств между источником и пунктом назначения. Производительность сети, состоящей из нескольких сетей или нескольких сегментов, не может превышать скорость самого медленного соединения между источником и получателем. Даже если все или большинство сегментов имеют высокую пропускную способность, один-единственный сегмент с низкой производительностью создаст узкое место и производительность всей сети будет снижена. Существует также третий параметр, характеризующий передачу полезных данных, который называется полезной пропускной способностью (goodput). Полезная пропускная способность — это объем полезных данных, передаваемых за определенный период времени. Полезная пропускная способность (goodput) равна производительности (throughput) за вычетом служебного трафика, необходимого для создания сеансов, подтверждений и инкапсуляции. 4.3.1 Характеристики медных кабелей Сети используют медные кабели, потому что они не требуют больших затрат, удобны в установке и обладают низким сопротивлением электрическому току. Однако при передаче сигналов по медным кабелям имеются ограничения по дальности передачи и помехоустойчивости. Данные по медным кабелям передаются в виде электрических импульсов. Однако, чем больше дальность передачи сигнала, тем сильнее он искажается. Это называется затуханием сигналов. Временные характеристики и значения напряжения электрических импульсов также подвержены влиянию следующих источников помех. Электромагнитные помехи (ЭМП) или радиочастотные помехи (РЧП). Сигналы ЭМП и РЧП могут искажать и нарушать сигналы данных, передаваемые по медному кабелю. Потенциальными источниками ЭМП и РЧП являются источники радиочастотного излучения и электромагнитные устройства, например флуоресцентные лампы или электродвигатели. Переходные помехи. Это помехи, вызванные воздействием электрических или магнитных полей сигнала одного кабеля на сигнал соседнего кабеля Для защиты от вредного влияния ЭМП и РЧП некоторые типы медных кабелей обернуты металлической экранирующей оболочкой. Такие кабели требуют надлежащего заземления. В некоторых типах медных кабелей провода каждой пары скручены между собой, что обеспечивает эффективное подавление переходных помех.Защищенность медного кабеля от электронных помех можно также повысить за счет следующих мер. Выбор типа и категории кабеля, наиболее подходящих для данного сетевого окружения Проектирование кабельной инфраструктуры здания с обходом известных и потенциальных источников помех Соблюдение правил прокладки и подключения кабелей при монтаже. 4.3.2 Типы медных кабелей Для построения сетей используется три основных типа медных кабелей. Неэкранированная витая пара (UTP) - Unshielded Twisted-Pair Экранированная витая пара (STP) - Shielded Twisted-Pair Коаксиальные кабели - Coaxial Эти кабели используются для соединения узлов локальной сети и подключения устройств сетевой инфраструктуры, таких как коммутаторы, маршрутизаторы и беспроводные точки доступа. При этом физические разъемы одного типа могут использоваться для нескольких типов подключений. Например, разъем RJ-45 широко используется в локальных сетях и в глобальных сетях (WAN). 4.3.3 Кабели на основе неэкранированной витой пары Кабели на основе неэкранированной витой пары (UTP) являются самым распространенным средством подключения. Кабели UTP с разъемами RJ-45 используются для соединения узлов с промежуточными сетевыми устройствами, такими как коммутаторы и маршрутизаторы. Кабель UTP для локальных сетей состоит из четырех скрученных пар проводников с цветовой маркировкой, которые заключены в общую гибкую пластиковую оболочку, защищающую кабель от незначительных повреждений. Скручивание проводников снижает влияние помех от других проводников. 4.3.4 Кабель на основе экранированной витой пары Кабели на основе экранированной витой пары (STP) лучше защищены от помех, чем кабели UTP. Но при этом они значительно дороже, и их сложнее монтировать. Как и для кабелей типа UTP, для кабелей STP используется разъем RJ-45. В кабелях STP применяется как экранирование для защиты от ЭМП и РЧП, так и скручивание проводников для защиты от переходных помех. Для получения наиболее полного эффекта от экранирования кабели STP оснащаются специальными экранированными разъемами для линий передачи данных STP. Если такой кабель не заземлить должным образом, то экран может действовать как антенна и принимать нежелательные сигналы. 4.3.5 Коaксильный кабель Коаксиальный кабель называется так потому, что он содержит два соосных проводника. Коаксиальный кабель состоит из следующих элементов. Медный проводник, используемый для передачи электрических сигналов. Слой гибкой пластиковой изоляции вокруг медного проводника. Медная оплетка или металлическая фольга, окружающая слой изолирующего материала и выступающая в качестве второго провода в цепи, а также экрана для внутреннего проводника. Этот второй слой, называемый экраном, также снижает уровень внешних электромагнитных помех. Снаружи кабель покрыт кабельной оболочкой для защиты от незначительных физических повреждений. С коаксиальным кабелем используются различные типы разъемов. Хотя в современных сетях Ethernet коаксиальные кабели фактически уступили место кабелям UTP, кабели коаксиальной структуры используются в следующих областях. Оборудование беспроводных сетей. Коаксиальные кабели используются для подключения антенн к устройствам беспроводной связи. Коаксиальный кабель обеспечивает передачу энергии радиочастотных сигналов между антеннами и радиооборудованием. Сети кабельного телевидения с доступом в Интернет. Операторы кабельных сетей предоставляют своим клиентам доступ в Интернет, частично заменяя коаксиальные кабели и соответствующие усилительные элементы на оптоволоконные кабели. Однако соединения в помещениях клиентов по-прежнему выполняются коаксиальными кабелями. 4.4.1 Свойства кабелей UTP Кабель на основе неэкранированной витой пары (UTP), используемый в качестве средства сетевого подключения, состоит из четырех скрученных пар медных проводников с цветовой маркировкой, заключенных в общую гибкую пластиковую оболочку. Благодаря небольшому диаметру кабеля его удобно монтировать. В кабелях UTP не предусмотрено экранирование для защиты от ЭМП и РЧП. Вместо этого для ограничения отрицательного влияния переходных помех применяются следующие решения, Взаимоподавление. Теперь проектировщики объединяют провода одной электрической цепи в пару. При размещении двух проводов одной электрической цепи в непосредственной близости друг к другу магнитные поля вокруг них противоположны друг другу. Поэтому два магнитных поля взаимно компенсируются, а также обеспечивается компенсация влияния внешних ЭМП и РЧП. Различный шаг витков в парах. Для повышения эффекта подавления помех проектировщики используют различный шаг витков в соседних парах одного кабеля. Кабели UTP должны точно соответствовать спецификациям, регламентирующим допустимое количество витков на 1 метр кабеля. Обратите внимание, что на рисунке оранжевый и белооранжевый провода скручены реже, чем синий и бело-синий. Пары разных цветов скручены с разным шагом скрутки. В кабелях UTP защита от искажений сигнала и эффективное самоэкранирование пар проводов осуществляются исключительно за счет эффекта подавления помех, достигаемого скручиванием проводов в паре. 4.4.2 Стандарты прокладки кабелей UTP Кабели UTP соответствуют требованиям стандартов, совместно выработанных организациями TIA и EIA. В частности, в стандарте TIA/EIA-568A описываются технические требования к прокладке кабеля в локальных сетях. Это наиболее часто применяемый в этой сфере стандарт. В нем, в частности, определены следующие элементы. Типы кабелей Длина кабелей Разъемы Оконцовка кабелей Методы тестирования кабелей. Электрические характеристики медных кабелей определяются Институтом инженеров по электротехнике и электронике (IEEE). IEEE классифицирует кабели UTP согласно их характеристикам. Кабели разделяются на категории в соответствии с возможной скоростью передачи данных по ним. Например, кабель категории 5 (Cat5) обычно используется в сетях Fast Ethernet 100BASE-TX. К другим категориям кабелей относятся: расширенная категория 5 (Cat 5e), категория 6 (Cat6) и категория 6а. Кабели более высоких категорий предназначены для передачи данных на более высокой скорости. В результате разработки и внедрения новых технологий Ethernet для гигабитных скоростей передачи данных в настоящее время минимально допустимым типом кабелей является Сat5e, а для прокладки новых сетей рекомендуется Cat6. Некоторые производители выпускают кабели с характеристиками выше, чем у кабелей категории 6a TIA/EIA, и позиционируют их как кабели категории 7 4.2.2.4 Типы кабелей UTP В различных ситуациях могут применяться различные схемы подключения проводов кабелей UTP к разъемам. Другими словами, отдельные провода кабеля могут подключаться к различным группам контактов разъема RJ-45 в разном порядке. Ниже описаны основные типы кабелей, которые можно получить, применяя различный порядок подключения проводов. Прямой кабель Ethernet ( Straight-through): наиболее распространенный тип сетевого кабеля; как правило, используется для подключения узла к коммутатору и коммутатора к маршрутизатору. Перекрестный кабель Ethernet (Crossover): используется для соединения однотипных устройств, например для подключения коммутатора к коммутатору, компьютера к компьютеру или маршрутизатора к маршрутизатору. Консольный кабель (Rollover): фирменный кабель Cisco; используется для подключения рабочей станции к консольному порту маршрутизатора или коммутатора. На рисунке приведена информация о типах кабелей UTP, соответствующих стандартах и типичных вариантах применения. Также на рисунке показано расположение различных пар проводников для стандартов TIA 568A и TIA 568B. 4.5.1 Свойства оптоволоконных кабелей Оптоволоконные кабели позволяют передавать данные на большие расстояния и с более высокой пропускной способностью, чем другие средства сетевого подключения. В отличие от медных проводов оптоволоконный кабель позволяет передавать сигналы с более низким затуханием. Такой кабель также абсолютно невосприимчив к воздействию электромагнитных и радиочастотных помех. Оптические кабели обычно используются для соединения сетевых устройств друг с другом. Оптическое волокно — это гибкая, очень тонкая и прозрачная нить из химически чистого стекла толщиной немногим более человеческого волоса. Для передачи по оптоволоконному кабелю биты кодируются с помощью световых импульсов. Оптоволоконный кабель действует как световод, или «оптический волновод», обеспечивающий передачу светового сигнала между двумя концами кабеля с минимальными потерями. В качестве аналогии представьте себе пустой сердечник от рулона бумажных полотенец, внутренние стенки которого покрыты зеркально отражающим материалом. Его длина составляет тысячу метров. При помощи небольшой лазерной указки через него со скоростью света передаются сигналы азбуки Морзе. По сути, именно так функционирует оптоволоконный кабель, только он имеет гораздо меньший диаметр и создан с применением самых современных оптических технологий. В настоящее время оптоволоконные кабели используются в следующих четырех областях. Корпоративные сети. Оптоволоконные кабели используются в качестве магистральных кабелей и для соединений между устройствами сетевой инфраструктуры. Технология «оптоволокно до квартиры» (FTTH). Оптоволоконные кабели используются для постоянного широкополосного доступа индивидуальных пользователей и небольших предприятий к сети. Сети дальней связи. Оптоволоконные кабели используются провайдерами услуг для международной и междугородной связи. Подводные кабельные сети. Оптоволоконные кабели используются для строительства надежных высокоскоростных линий связи, способных работать в тяжелых условиях больших глубин и обеспечивать связь на больших расстояниях, вплоть до трансокеанских 4.5.2 Типы оптоволоконных кабелей Световые импульсы, с помощью которых биты данных кодируются для передачи, могут генерироваться следующими источниками. Лазеры Светоизлучающие диоды (LED). На стороне приема полупроводниковые устройства, называемые фотодиодами, принимают световые импульсы и преобразуют их в напряжения. Оптоволоконные кабели подразделяются на два основных типа. Одномодовый оптоволоконный кабель (Singlemode fiber). Имеет сердечник очень малого диаметра. Для передачи луча света требуется дорогостоящая лазерная технология . Широко используется для организации линий связи протяженностью несколько сот километров, например для дальней телефонии и кабельного телевидения. Многомодовый оптоволоконный кабель (Multimode fiber). Имеет сердечник большего диаметра. Для передачи световых импульсов используются светодиодные излучатели. Свет, излучаемый светодиодом, входит в многомодовое волокно под разными углами. Такие кабели популярны в локальных сетях, поскольку позволяют использовать для работы недорогие светодиоды. Многомодовый кабель обеспечивает пропускную способность до 10 Гбит/с на расстоянии до 550 метров. Одно из основных отличий между МОК и ООК — уровень дисперсии. Под дисперсией в данном контексте понимается расширение светового импульса по мере его движения по оптическому волокну. Чем выше дисперсия, тем больше потери сигнала. 4.5.4 Оптоволоконные разъемы Поскольку свет по оптоволокну передается только в одном направлении, для работы в полнодуплексном режиме требуются два оптоволокна. Поэтому в оптических соединительных кабелях имеется два волокна, на концах каждого из которых смонтированы стандартные одноволоконные разъемы. Некоторые оптоволоконные разъемы допускают подключение к ним как передающих, так и принимающих волокон. Такие разъемы называются дуплексными. Примером является дуплексный многомодовый разъем типа LC. Для подключения устройств сетевой инфраструктуры требуются соединительные оптоволоконные кабели. Чтобы различать одномодовые и многомодовые соединительные кабели, используется цветовая маркировка. Желтая маркировка используется для одномодовых оптоволоконных кабелей, а оранжевая (или голубая) — для многомодовых. ST разъем - один из первых типов коннекторов. Разъем надежно фиксируется закручивающимся механизмом байонетного типа. Разъем SC иногда называют квадратным или стандартным разъемом. Этот тип разъема, широко используемый в локальных и глобальных сетях, оснащен механизмом с защёлкой push-pull для обеспечения надежного монтажа. Этот тип разъема используется с многомодовыми и одномодовыми оптоволоконными кабелями. Разъем LC simplex представляет собой меньшую версию разъема SC. Он иногда называется малым или локальным разъемом, быстро набирает популярность из-за малого размера. Дуплексные многомодовые разъемы LC аналогичны симплексным разъемам LC, но с использованием дуплексного разъема. 4.5.5 Соединительные оптоволоконные кабели Для подключения устройств сетевой инфраструктуры требуются соединительные оптоволоконные кабели. Чтобы различать одномодовые и многомодовые соединительные кабели, используется цветовая маркировка. Желтая маркировка используется для одномодовых оптоволоконных кабелей, а оранжевая (или голубая) — для многомодовых. 4.5.6 Оптоволоконные кабели и медные кабели: сравнение 4.6.1 Свойства беспроводной среды передачи данных Средства беспроводного подключения обеспечивают передачу двоичных разрядов данных в виде электромагнитных сигналов радиочастотного или микроволнового диапазона. Беспроводная среда имеет следующие особенности, которые необходимо учитывать. Зона покрытия. Беспроводные технологии передачи данных хорошо работают на открытых пространствах. Однако некоторые строительные материалы, используемые при возведении зданий и сооружений, а также условия местности могут ограничивать зону покрытия. Помехи. Качество беспроводных соединений восприимчиво к помехам и может ухудшаться при работе таких обычных устройств, как беспроводные телефоны, некоторые типы флуоресцентных ламп, микроволновые печи, а также под влиянием других беспроводных коммуникаций. Безопасность. Для доступа к среде беспроводного подключения не требуется подключаться к физическим кабелям. Поэтому доступ к этой среде могут получать несанкционированные пользователи и устройства. Совместный доступ к средству подключения. Сети WLAN работают в полудуплексном режиме, что означает, что в каждый момент времени передачу или прием может осуществлять только одно устройство. Средства беспроводного подключения совместно используют все беспроводные пользователи. Чем больше пользователей одновременно подключаются к WLAN, тем меньшая пропускная способность приходится на каждого из них. Полудуплексный режим будет рассмотрен позже в этой главе. 4.6.2 Типы средств беспроводного подключения Стандарты IEEE и телекоммуникационные отраслевые стандарты беспроводной передачи данных охватывают как канальный, так и физический уровни. Примечание. Для создания сетей передачи данных могут использоваться и другие беспроводные технологии, например сотовая или спутниковая связь. Однако в данной главе эти беспроводные технологии не рассматриваются. В каждом из упомянутых стандартов спецификации физического уровня применяются к следующим областям. Кодирование данных с помощью радиосигналов Частота и мощность передачи Требования к приему и декодированию сигналов Проектирование и возведение антенн. Wi-Fi является торговой маркой Wi-Fi Alliance. Wi-Fi используется с сертифицированными продуктами, которые относятся к устройствам беспроводной локальной сети (WLAN) и поддерживают стандарты IEEE 802.11. 4.6.3 Беспроводная локальная сеть Чаще всего беспроводная передача данных используется для беспроводной связи устройств через локальную сеть (LAN). Как правило, для создания беспроводной LAN требуются следующие сетевые устройства. Беспроводная точка доступа (Wireless Acess Point): концентрирует беспроводные сигналы от пользователей. Подключается к сетевой инфраструктуре на основе медных кабелей, например Ethernet. Беспроводные маршрутизаторы для дома и небольших предприятий в одном устройстве сочетают функции маршрутизатора, коммутатора и точки доступа. Беспроводные сетевые платы (Wireless NIC adapters): обеспечивают возможность беспроводного подключения для каждого узла в сети. По мере развития технологии был создан целый ряд стандартов беспроводной локальной сети (WLAN) на основе Ethernet. Поэтому, приобретая беспроводные устройства, следует обращать особое внимание на их совместимость.Маршрутизаторы и компьютеры обычно используют одинаковые контакты для отправки. Использовать кросс-овер кабель для связи между ними. 5.1.1 Двоичные адреса и адреса IPv4 5.2.1 Шестнадцатеричные система Аналогично тому, как десятичный формат является системой счисления по основанию 10, шестнадцатеричный формат представляет собой систему счисления по основанию 16. В шестнадцатеричной системе используются числа от 0 до 9, а также буквы от A до Е. На рисунке показаны десятичные и шестнадцатеричные эквиваленты для двоичных значений от 0000 до 1111. Шестнадцатеричная система счисления используется для представления MAC-адресов Ethernet и IP-адресов версии 6. Каждые 4 бита представляются одной шестнадцатеричной цифрой, образуя 32 шестнадцатеричных значения. IPv6-адреса нечувствительны к регистру, их можно записывать как строчными, так и прописными буквами. Обратно: 6.1.1 Канальный уровень Канальный уровень модели OSI (уровень 2) выполняет следующие функции. Обеспечение доступа вышестоящих уровней к средству подключения Прием пакетов уровня 3 и упаковка их в кадры Подготовка сетевых данных для передачи по физической сети Управление передачей и приемом данных в средстве подключения Обмен кадрами между узлами по физическим средствам сетевого подключения, например по кабелям UTP или оптоволоконным кабелям Прием пакетов и их перенаправление протоколам вышестоящего уровня Обнаружение ошибок. На втором уровне сетевое устройство, подключенное к общему средству подключения, называется узлом. Узлы формируют и пересылают кадры. Канальный уровень отвечает за обмен кадрами Ethernet между узлами источника и назначения по физическим средствам подключения. Канальный уровень эффективно разделяет переходы между средствами подключения, возникающие в ходе пересылки пакетов, от коммуникационных процессов на более высоких уровнях сетевой модели OSI. Канальный уровень отправляет пакеты протоколу вышестоящего уровня и принимает их от него (в данном случае это протокол IPv4 или IPv6). Протоколу вышестоящего уровня не требуется знать, какое средство подключения будет использоваться при передаче данных. 4.3.1.2 Подуровни канального уровня Канальный уровень разделяется на следующих два подуровня. Управление логическим соединением (Logical Link Control, LLC). Этот верхний подуровень взаимодействует с сетевым уровнем. Он помещает в кадр информацию, указывающую, какой протокол сетевого уровня используется для данного кадра. Данная информация позволяет различным протоколам 3-го уровня, таким как IPv4 и IPv6, использовать один и тот же сетевой интерфейс и одно и то же средство подключения. Управление доступом к среде (Media Access Control, MAC). Это нижний подуровень, который определяет процессы доступа к среде, выполняемые оборудованием. Он обеспечивает адресацию канального уровня и доступ к различным сетевым технологиям. Подуровень LLC взаимодействует с сетевым уровнем, а подуровень MAC обеспечивает работу различных технологий сетевого доступа. В частности, подуровень MAC взаимодействует с технологией локальной сети Ethernet для передачи и приема кадров по медному или оптоволоконному кабелю. Также подуровень MAC взаимодействует с такими беспроводными технологиями, как Wi-Fi и Bluetooth для беспроводной передачи и приема кадров. ---------Дополнительно: 6.1.4 Стандарты канального уровня В отличие от протоколов верхних уровней стека TCP/IP протоколы канального уровня, как правило, не определяются документами RFC (Request for Comments, RFC). Несмотря на то, что Инженерная группа по развитию Интернета (IETF) поддерживает функциональные протоколы и службы для стека протоколов TCP/IP на верхних уровнях, IETF не определяет функции и принципы работы уровня доступа к сети для этой модели. Определением открытых стандартов и протоколов, применимых к канальному уровню доступа, занимаются следующие организации. Институт инженеров по электротехнике и электронике (IEEE) Международный союз электросвязи (ITU) Международная организация по стандартизации (ISO) Американский национальный институт стандартизации (ANSI). 4.4.1.1 Управление доступом к сети Помещением кадров данных в среду управляет подуровень управления доступом к среде. Управление доступом к среде работает аналогично правилам дорожного движения, регулирующим выезд автомобилей на дорогу. Так же существуют различные методы контроля помещения кадров в средство подключения. Правила доступа к различным средствам подключения определяются протоколами канального уровня. Эти методы управления доступом к средству подключения определяют, используют ли узлы данное средство совместно и каким образом это происходит. Выбор метода управления доступом к средству подключения зависит от следующих факторов. Топология: как соединение между узлами выглядит на канальном уровне. Совместное использование средства подключения: как осуществляется общий доступ узлов к средству подключения Совместное использование средства подключения может осуществляться по принципу «точка-точка», как в глобальной сети, или по принципу разделяемого доступа к среде, как в локальных сетях. 6.2.1 Физическая и логическая топология Топология сети описывает расположение или взаимосвязь сетевых устройств, а также соединения между ними. Топологии LAN и WAN можно рассматривать с двух точек зрения. Физическая топология. Этот термин относится к физическим соединениям и определяет, каким образом соединяются друг с другом оконечные устройства и устройства сетевой инфраструктуры, такие как маршрутизаторы, коммутаторы и беспроводные точки доступа. Физическая топология чаще всего организована по схеме «точка-точка» или «звезда». Логическая топология: термин, используемый для описания путей передачи кадров между узлами. Структура логической топологии состоит из виртуальных соединений между узлами сети. Эти логические пути сигналов определены протоколами канального уровня. Логическая топология каналов «точка-точка» сравнительно проста, хотя совместно используемая среда подключения позволяет применять различные методы управления доступом. При управлении доступом данных к среде канальный уровень «видит» логическую топологию сети. Именно логическая топология влияет на выбор типа кадрирования в сети и управления доступом к среде. 6.2.2 Распространённые физические топологии Соединения в глобальных сетях обычно организуются с помощью следующих физических топологий. «Точка-точка» (Point-to-Point): это простейшая топология, представляющая собой постоянное соединение между двумя оконечными точками. Именно по этой причине данная топология глобальной сети является наиболее распространенной. «Звездообразная» (Hub and spoke): версия звездообразной топологии для глобальной сети, в которой центральный узел соединен с периферийными с помощью соединений «точкаточка». Ячеистая (Mesh): эта топология обеспечивает высокую доступность, но требует, чтобы каждая оконечная система была связана со всеми остальными системами. Поэтому административные и физические расходы могут быть весьма значительными. Каждый канал в такой сети фактически является каналом, связанным с другим узлом соединением «точкаточка». На рисунке показаны три наиболее распространенные физические топологии глобальной сети. Гибрид — это вариант или сочетание каких-либо из вышеуказанных топологий. Например, частично-ячеистая сеть — это гибридная топология, в которой соединены некоторые, но не все, конечные устройства. 6.2.3 Физическая топология «Точка-точка» Физические двухточечные топологии напрямую связывают два узла. В такой сети двум узлам не нужно использовать среду совместно с другими узлами. Кроме того, узлу не нужно определять, адресован ли входящий кадр именно ему или же другому узлу. Следовательно, протоколы управления логическими соединениями канального уровня могут быть очень простыми, поскольку все кадры в среде могут передаваться только между двумя узлами. Узел на одном конце помещает кадры в среду, а узел на другом конце двухточечного соединения получает эти кадры из среды. 4.4.2.3 Логическая топология «Точка-точка» Оконечные узлы, взаимодействующие по двухточечной сети, могут быть физически соединены с помощью нескольких промежуточных устройств. Однако то, как эти физические устройства используются в сети, не влияет на логическую топологию. Как показано на рисунке 1, находящиеся на некотором удалении друг от друга узел источника и узел назначения могут соединяться друг с другом не напрямую. В некоторых случаях логическое соединение между узлами формирует так называемый виртуальный канал. Виртуальный канал — это логическое соединение, созданное в сети между двумя сетевыми устройствами. Два узла на обоих концах виртуального канала обмениваются кадрами между собой. Это происходит и в том случае, если кадры передаются через промежуточные устройства, как показано на рисунке 2. Виртуальные каналы — это важные компоненты логических соединений, используемые в некоторых технологиях уровня 2. Метод доступа к среде, используемый протоколом канального уровня, определяется логической двухточечной топологией, а не физической топологией. Это означает, что логическое двухточечное соединение между двумя узлами не обязательно связывает два физических узла, расположенные на разных концах одного физического канала связи. 6.2.4 Физические топологии локальных сетей Физическая топология определяет, как именно физически соединены оконечные системы. В локальных сетях с совместно используемой средой оконечные устройства могут быть соединены с помощью следующих физических топологий. Звезда (Star): в топологиях типа «звезда» оконечные устройства подключаются к центральному промежуточному устройству. В ранних топологиях типа «звезда» оконечные устройства соединялись с помощью концентраторов Ethernet. Однако теперь в топологиях типа «звезда» используются коммутаторы Ethernet. Топологию типа «звезда» отличают простой монтаж, высокая масштабируемость (простое добавление и удаление оконечных устройств) и простое устранение неполадок. Расширенная звезда (Extended Star): в расширенной звездообразной топологии дополнительные коммутаторы Ethernet обеспечивают соединение с другими звездообразными топологиями. Расширенная звезда — это пример гибридной топологии. Шина (Bus): все оконечные системы связаны друг с другом общим кабелем, имеющим на концах специальные заглушки («терминаторы»). Для соединения оконечных устройств коммутаторы не требуются. Шинные топологии на основе коаксиальных кабелей использовались ранее в сетях Ethernet благодаря своей дешевизне и простому монтажу. Кольцо (Ring): каждая оконечная система соединяется с соседней системой, образуя сеть в форме кольца. В отличие от шинной топологии кольцевая топология не требует применения терминаторов. Кольцевые топологии использовались в устаревших сетях FDDI (Fiber Distributed Data Interface) и Token Ring. На рисунке показана организация соединений между оконечными устройствами в локальных сетях. Как правило, при графическом изображении структуры сетей прямыми линиями обозначаются локальные сети Ethernet, включая топологии типа «звезда» и «расширенная звезда». 6.2.5 Полудуплексная и полнодуплексная передача данных Дуплексная связь — это связь с возможностью передачи информации между двумя устройствами в обоих направлениях. При полудуплексной связи передача данных в каждый момент времени возможна только в одном направлении (т. е. их можно либо передавать, либо принимать), тогда как при полнодуплексной связи данные можно передавать и принимать одновременно. Полудуплексная связь : оба устройства могут передавать и получать информацию через среду, но не одновременно. Полудуплексный режим используется в устаревших шинных топологиях и при использовании концентраторов Ethernet. Сети WLAN также работают в полудуплексном режиме. Полудуплексный режим позволяет осуществлять передачу или прием по общей среде одновременно только одному устройству и используется в случае применения методов конкурентного доступа. На рисунке 1 показан полудуплексный режим связи. Полнодуплексная связь: оба устройства одновременно могут передавать и принимать данные по средствам подключения. Канальный уровень предполагает одновременную доступность среды обоим узлам для передачи. Коммутаторы Ethernet по умолчанию работают в полнодуплексном режиме, но могут работать и в полудуплексе при подключении к таким устройствам, как коммутаторы Ethernet. На рисунке 2 показан полнодуплексный режим связи. Важно, чтобы два связанных интерфейса, например сетевой интерфейс узла и интерфейс коммутатора Ethernet, использовали один и тот же дуплексный режим. В противном случае будет возникать несоответствие дуплексных режимов, приводящее к снижению эффективности и задержкам в канале связи. 6.2.6 Управления доступом к среде передачи данных В некоторых сетевых топологиях множество узлов использует общее средство подключения. Такие сети называются сетями с множественным доступом. Примерами таких сетей являются локальные сети Ethernet и беспроводные локальные сети (WLAN). В любой момент может возникнуть ситуация, когда несколько устройств пытается отправить или получить данные, используя одно и то же средство подключения. В некоторых сетях с множественным доступом необходимы правила регулирования доступа устройств к общей физической среде. Существует два основных метода управления доступом к общей среде. Конкурентный доступ (Contention-based access): все узлы, работающие в полудуплексном режиме, соревнуются за использование среды, но осуществлять передачу в каждый момент времени может лишь одно устройство. Однако существует специальный протокол, определяющий, что должно происходить в случае одновременной передачи обоими устройствами. Примерами такого типа управления доступом являются локальные сети Ethernet с концентраторами и беспроводные локальные сети (WLAN). Управляемый (Контролируемый) доступ (Controlled access): каждому узлу отводится собственное время для использования среды. Такие детерминистические типы сетей являются неэффективными из-за того, что устройство должно дожидаться своей очереди для доступа к среде. Примерами такого типа управления доступом являются устаревшие сети Token Ring. На рисунке 2 показан управляемый доступ. По умолчанию коммутаторы Ethernet работают в полнодуплексном режиме. Это позволяет коммутатору и подключенному к нему в полнодуплексном режиме устройству осуществлять передачу и прием одновременно. 6.2.7 Конкурентный доступ — CSMA/CD (Collision detected) Примерами сетей с конкурентным доступом являются беспроводные локальные сети (WLAN), локальные сети Ethernet с концентраторами и устаревшие сети Ethernet с шинной топологией. Все эти сети работают в полудуплексном режиме. При этом необходим специальный протокол, определяющий, когда устройство может осуществлять передачу, и что происходит в случае одновременной передачи несколькими устройствами. В полудуплексных сетях Ethernet используется протокол множественного доступа с прослушиванием несущей и обнаружением столкновений (Carrier Sense Multiple Access/Collision Detection; CSMA/CD). Протокол CSMA работает по следующему алгоритму: 1. В PC1 имеется кадр Ethernet, который нужно передать в PC3. 2. Сетевая плата PC1 должна определить, осуществляет ли кто-либо передачу по среде. Если она не обнаруживает сигнал несущей, другими словами, не принимает данные от другого устройства, то делает вывод о том, что сеть свободна для передачи. 3. Сетевая плата PC1 передает кадр Ethernet. 4. Концентратор Ethernet принимает кадр. Концентратор Ethernet также называют многопортовым ретранслятором. Он осуществляет регенерацию всех битов, принятых на входящем порте, и их рассылку через все остальные порты. 5. Если другое устройство, например PC2, хочет осуществить передачу, но в данный момент принимает кадр, оно должно дождаться освобождения канала. 6. Кадр будет доставлен всем устройствам, подключенным к концентратору. Но поскольку в кадре указан адрес целевого канала данных, относящегося к PC3, то только это устройство будет принимать и сохранять весь кадр. Сетевые платы всех остальных устройств игнорируют кадр, как показано на рисунке 3. Если два устройства выполняют передачу одновременно, возникает конфликт. Оба устройства обнаружат конфликт в сети. Это называется обнаружением конфликтов (CD). Сетевая плата распознает этот конфликт, сравнивая отправленные данные с принятыми или определяя превышение нормальной амплитуды сигнала в среде передачи данных. Данные, передаваемые обоими устройствами, будут повреждены, из-за чего потребуется их повторная отправка. 4.4.3.5 Конкуретный доступ CSMA/CA (Collision Avoidance) Другим видом доступа CSMA, используемым в беспроводных локальных сетях IEEE 802.11, является множественный доступ с прослушиванием несущей и избежанием столкновений (Carrier Sense Multiple Access/Collision Avoidance; CSMA/CA). При доступе CMSA/CA для контроля освобождения среды используется метод, аналогичный CSMA/CD. В CMSA/CA также используются дополнительные процедуры. CMSA/CA не обнаруживает конфликты, а старается избежать их, ожидая своей очереди для передачи. Каждое передающее устройство включает в передаваемую информацию сведения о времени, необходимом ему для передачи. Все остальные беспроводные устройства принимают эту информацию и знают, как долго среда передачи данных будет занята (см. рисунок). После передачи беспроводным устройством кадра 802.11 приемник возвращает подтверждение, информируя отправителя о доставке кадра. Независимо от вида сети (будь то локальная сеть Ethernet с концентраторами или беспроводная локальная сеть), системы с конкурентным доступом плохо масштабируются при интенсивном использовании средства подключения. Следует отметить, что в локальных сетях Ethernet с коммутаторами конкурентный доступ не используется, поскольку коммутатор и сетевая плата узла работают в полнодуплексном режиме. 6.3.1 Кадр Канальный уровень подготавливает пакет для перемещения по среде передачи данных локальной сети, добавляя к нему заголовок и концевик с целью создать кадр. Описание кадра является ключевым элементом каждого протокола канального уровня. Хотя кадры канального уровня описываются множеством различных протоколов канального уровня, кадры любого типа состоят из трех основных компонентов. Заголовок Данные Концевик. Все протоколы канального уровня инкапсулируют единицу данных протокола (PDU) уровня 3 в пределах поля данных кадра. Однако структура кадра и полей, содержащихся в заголовке и концевике, отличается в зависимости от протокола. Не существует такой структуры кадра, которая соответствовала бы требованиям всех видов передачи данных во всех типах средств подключения. Количество управляющей информации, которая должна присутствовать в кадре, зависит от окружения и изменяется в соответствии с требованиями управления доступом для конкретной среды и логической топологии. 6.3.2 Поля кадра Кадрирование делит поток на дешифруемые группы. Управляющая информация помещается в заголовок и концевик в виде значений в разных полях. Этот формат придает физическим сигналам структуру, которую узлы способны принимать и декодировать в пакеты в точке назначения. Существуют следующие типы полей кадра. Флаги начала и конца кадра: используются для определения границ начала и конца кадра. Адресация: указывает узлы источника и назначения в среде передачи данных. Тип: указывает протокол уровня 3 в поле данных. Управление: указывает особые службы управления потоком, например качество обслуживания (QoS). Служба QoS используется для приоритетной пересылки определенных типов сообщений. Кадры каналов передачи данных, в которых пересылаются пакеты протокола VoIP, обычно пользуются приоритетом, поскольку они чувствительны к задержкам. Данные: содержит полезную нагрузку кадра (т. е. заголовок пакета, заголовок сегмента и данные). Обнаружение ошибок: эти поля кадра используются для обнаружения ошибок и помещаются после данных для формирования концевика. Не каждый протокол включает в себя все эти поля. Фактический формат кадра определяется стандартами для конкретного канального протокола. Протоколы канального уровня добавляют концевик в конец каждого кадра. Концевик используется, чтобы проверить наличие ошибок в принятом кадре. Этот процесс называется обнаружением ошибок. Для этого в концевике кадра размещается специальная информация, полученная путем математической или логической обработки содержимого кадра. Биты обнаружения ошибок добавляются на канальном уровне, т. к. сигналы в среде передачи данных могут быть подвержены помехам, искажениям или потерям, в результате чего значения представленных этими сигналами битов могут изменяться. Передающий узел путем логической обработки содержимого кадра создает так называемый циклический избыточный код (cyclic redundancy check, CRC). Значение этого кода помещается в поле контрольной последовательности кадра (Frame Check Sequence, FCS) и предоставляет информацию о содержимом кадра. Поле FCS в концевике кадра Ethernet позволяет принимающему узлу проверять кадр на наличие ошибок передачи. 6.3.3 Адрес уровня 2 Канальный уровень обеспечивает адресацию, используемую при пересылке кадра по совместно используемой среде передачи данных в локальной сети. Адреса устройств на этом уровне называются физическими адресами. Адресация канального уровня содержится в заголовке кадра и указывает узел назначения кадра в локальной сети. Заголовок кадра может также содержать адрес источника кадра. В отличие от логических адресов уровня 3, которые являются иерархическими, физические адреса не указывают, в какой сети находится устройство. Физический адрес — это адрес конкретного физического устройства. Если устройство перемещается в другую сеть или подсеть, оно продолжит функционировать с тем же физическим адресом уровня 2. В ходе пересылки IP-пакетов от узла к маршрутизатору, между маршрутизаторами и, наконец, от маршрутизатора к узлу в каждой точке на пути своего следования IP-пакет инкапсулируется в новый кадр канала передачи данных. Каждый кадр канального уровня содержит адрес каналаисточника (передавшего этот кадр сетевой платы) и адрес канала назначения (сетевой платы, принимающей этот кадр). Адрес, соответствующий конкретному устройству и не являющийся иерархическим, нельзя использовать для поиска устройств в больших сетях или в Интернете. Это было бы так же сложно, как искать единственный конкретный дом по всему земному шару, зная лишь номер дома и название улицы. Однако физический адрес можно использовать для обнаружения устройства в ограниченной зоне. Поэтому адрес канального уровня используется только для локальной доставки пакетов. Адреса этого уровня не имеют смысла за пределами локальной сети. Сравните их с уровнем 3, где адреса в заголовке пакета передаются от узла источника на узел назначения, независимо от количества транзитных участков сети на протяжении маршрута. Если данные должны перейти в другой сегмент сети, необходимо промежуточное устройство, например маршрутизатор. Маршрутизатор должен принять кадр согласно физическому адресу и деинкапсулировать его для анализа иерархического адреса или IP-адреса. С помощью IP-адреса маршрутизатор может определить местоположение устройства назначения в сети, а также наилучший путь к нему. Узнав, куда необходимо переслать пакет, маршрутизатор создает для него новый кадр, который отправляется в следующий сетевой сегмент к месту назначения. 6.3.4 Кадры LAN и WAN В сети на основе стека протоколов TCP/IP все протоколы уровня 2 модели OSI работают с протоколом IP на уровне 3 модели OSI. Однако фактически используемый протокол уровня 2 зависит от логической топологии сети и физической среды передачи данных. Каждый протокол управляет доступом к среде для указанных логических топологий уровня 2. Это означает, что при реализации этих протоколов в качестве узлов, действующих на канальном уровне, может использоваться целый ряд различных сетевых устройств. К таким устройствам относятся сетевые платы на компьютерах, а также интерфейсы на маршрутизаторах и коммутаторах уровня 2. Протокол уровня 2, используемый для конкретной топологии сети, определяется технологией, используемой для реализации этой топологии. Эта технология, в свою очередь, определяется размером сети (с точки зрения количества узлов и территории) и сервисами, предоставляемыми в этой сети. В локальных сетях обычно используются технологии, которые обеспечивают высокую пропускную способность и поддерживают большое количество узлов. Сравнительно небольшая протяженность локальных сетей (в пределах одного здания или комплекса зданий) и высокая плотность пользователей обеспечивают рентабельность этой технологии. Однако использование технологии с высокой пропускной способностью обычно нерентабельно для глобальных сетей, охватывающих обширные территории (например, города или целые области). Ввиду высокой стоимости физических каналов большой протяженности и технологий, используемых для передачи сигналов на большие расстояния, пропускная способность таких сетей, как правило, определяется уровнем рентабельности. Разница в пропускной способности требует использования различных протоколов для локальных и глобальных сетей. К протоколам канального уровня относятся: Ethernet Беспроводная сеть 802.11 Протокол точка-точка (протокол PPP) -HDLC (Высокоуровневый протокол управления каналом) Протокол ретрансляции кадров (протокол Frame Relay) 4.5.1.2 Сетевой доступ Уровень доступа к сети на основе стека протоколов TCP/IP эквивалентен канальному уровню (уровень 2) и физическому уровню (уровень 1) OSI. Физический уровень OSI обеспечивает средства транспортировки битов, образующих кадр данных канального уровня, по средству сетевого подключения. Физические компоненты — это электронные устройства, средства подключения, а также другие соединители и разъемы, обеспечивающие передачу сигналов, с помощью которых представлены биты информации. Все аппаратные компоненты, в том числе сетевые интерфейсные платы (NIC), интерфейсы и соединители, а также материалы и конструкция кабелей описаны в стандартах, относящихся к физическому уровню. Стандарты физического уровня регламентируют три функциональные области: физические компоненты, методы кодирования кадров и способы передачи сигналов. Для работы сети важно обеспечить необходимое средство подключения. Без надлежащего физического подключения (проводного или беспроводного) связь между двумя устройствами будет невозможна. Проводная связь осуществляется с помощью медных и оптоволоконных кабелей. В сетях используются три основных типа медных кабелей: неэкранированная витая пара (UTP), экранированная витая пара (STP) и коаксиальный кабель. Кабели UTP являются наиболее распространенной средой передачи на основе медного провода. Оптоволоконные кабели в настоящее время широко используются для подключения устройств сетевой инфраструктуры. Они обеспечивают более высокую дальность передачи и пропускную способность (скорость передачи данных), чем другие средства подключения. В отличие от медных проводов оптоволоконный кабель позволяет передавать сигналы с более низким затуханием. Такой кабель также абсолютно невосприимчив к воздействию электромагнитных и радиочастотных помех. Средства беспроводного подключения обеспечивают передачу двоичных разрядов данных в виде электромагнитных сигналов радиочастотного или микроволнового диапазона. Число устройств, поддерживающих беспроводную связь, продолжает увеличиваться. Именно поэтому средства беспроводного подключения стали самой популярной средой для домашних сетей и быстро набирают популярность в корпоративных сетях. Канальный уровень отвечает за обмен кадрами между узлами через физическую среду передачи данных. Он обеспечивает доступ к среде передачи данных для вышестоящих уровней, а также управляет способами приема и передачи данных в этой среде. В разных вариантах реализации протоколов канального уровня применяются различные способы управления доступом к среде. Эти методы управления доступом к среде определяют, используют ли узлы данную среду совместно и каким образом это происходит. Выбор способа управления доступом к среде зависит от топологии и наличия необходимости совместного доступа к среде. Топологии локальной и глобальной сети могут быть физическими или логическими. Именно логическая топология влияет на выбор типа кадрирования в сети и управления доступом к среде. Глобальные сети обычно реализуются с помощью топологий типа «точка-точка» (point-to-point), «звезда» (hub and spoke) или «ячеистая» (mesh). В локальных сетях с совместным использованием среды передачи оконечные устройства могут соединяться с использованием звездообразной (star), шинной (bus), кольцевой (ring) или расширенной звездообразной (extended star) физической топологии. Все протоколы канального уровня инкапсулируют единицу данных протокола (PDU) уровня 3 в пределах поля данных кадра. Однако структура кадра и полей, содержащихся в заголовке и концевике, отличается в зависимости от протокола. 7.0.0 Ethernet Физический уровень OSI обеспечивает средства транспортировки битов, образующих кадр данных канального уровня, по средству сетевого подключения. В настоящее время Ethernet является основной технологией для локальных сетей (LAN) во всем мире. Ethernet функционирует на канальном и физическом уровнях. Стандарты протоколов Ethernet определяют многие аспекты сетевого обмена данными, включая формат и размер кадра, интервал отправки и кодирование. При пересылке сообщений между узлами в сети Ethernet, узлы форматируют их в соответствии со стандартами макета кадра. Поскольку технология Ethernet состоит из стандартов на этих более низких уровнях, принцип ее работы можно лучше всего понять на примере модели OSI. Модель OSI отделяет функциональные возможности адресации канального уровня, формирования кадров и доступа к среде передачи данных от стандартов физического уровня такой среды. Стандарты Ethernet регламентируют как протоколы уровня 2, так и технологии уровня 1. Несмотря на то, что технические требования Ethernet поддерживают различные среды передачи данных, полосы пропускания и другие варианты уровней 1 и 2, основной формат кадра и схема адреса будут одинаковыми для всех разновидностей Ethernet. В этой главе подробно рассматриваются характеристики и работа технологии Ethernet по мере ее развития, начиная с совместно используемой среды передачи данных и свободного обмена данными и заканчивая современной высокоскоростной и полнодуплексной технологией. 7.1.1 Инкапсуляция Ethernet На сегодняшний день Ethernet является самой часто используемой технологией для локальных сетей (LAN).Ethernet функционирует на канальном и физическом уровнях. Это семейство сетевых технологий, которые регламентируются стандартами IEEE 802.2 и 802.3. Технология Ethernet поддерживает передачу данных на следующих скоростях. 10 Мбит/с 100 Мбит/с 1 000 Мбит/с (1 Гбит/с) 10 000 Мбит/с (10 Гбит/с) 40 000 Мбит/с (40 Гбит/с) 100 000 Мбит/с (100 Гбит/с). Стандарты Ethernet регламентируют как протоколы уровня 2, так и технологии уровня 1. Для протоколов уровня 2, как и в случае со всеми стандартами группы IEEE 802, технология Ethernet опирается на работу этих двух отдельных подуровней канального уровня, а также на подуровни управления логической связью (LLC) и MAC. Подуровень LLC Подуровень LLC технологии Ethernet обеспечивает связь между верхними и нижними уровнями. Как правило, это происходит между сетевым программным обеспечением и аппаратным обеспечением устройства. Подуровень LLC использует данные сетевых протоколов, которые обычно представлены в виде IPv4-пакета, и добавляет управляющую информацию для доставки пакета к узлу назначения. LLC используется для связи с верхними уровнями приложений и передачи пакета на нижние уровни. LLC реализован в программном обеспечении, и его применение не зависит от оборудования. LLC для компьютера можно рассматривать как программное обеспечение драйвера сетевой платы (NIC). Драйвер сетевой платы — это программа, которая непосредственно взаимодействует с аппаратными средствами компьютера на сетевой плате для передачи данных между подуровнем MAC и физической средой. Подуровень MAC MAC представляет собой более низкий подуровень канального уровня. MAC реализуется аппаратно — обычно в сетевой плате компьютера. Спецификации содержатся в стандартах IEEE 802.3. На рис. приведен список общих стандартов IEEE Ethernet. 7.1.3 Подуровень МАС Подуровень MAC технологии Ethernet выполняет две основные задачи. Инкапсуляция данных Управление доступом к среде. Инкапсуляция данных Процесс инкапсуляции данных включает в себя сборку кадра перед его отправкой и разборку кадра после его получения. При формировании кадра на уровне MAC к единице данных протокола (PDU) сетевого уровня добавляются заголовок и концевик. Инкапсуляция данных обеспечивает три основных функции. Разделение кадра: процесс формирования кадров предоставляет важные разделители, которые используются для определения группы бит, составляющих кадр. Эти разграничивающие биты обеспечивают синхронизацию между передающими и получающими узлами. Адресация: процесс инкапсуляции содержит единицу данных протокола (PDU) уровня 3 и также обеспечивает адресацию канального уровня. Обнаружение ошибок: каждый кадр содержит концевик, позволяющий выявлять ошибки передачи. Управление доступом к среде Вторая функция подуровня MAC — управление доступом к среде передачи данных. Управление доступом к среде передачи данных отвечает за размещение кадров в этой среде и удаление из нее кадров. Как понятно из названия этой функции, она позволяет управлять доступом к среде передачи данных. Этот подуровень напрямую взаимодействует с физическим уровнем.Основная логическая топология Ethernet — это шина с множественным доступом; следовательно, среда передачи данных используется всеми узлами (устройствами) в одном сегменте сети. Ethernet — это способ организации сети на основе конкурентного доступа. Конкурентный доступ означает, что любое устройство может постоянно пытаться передавать данные в общей среде при наличии у него таких данных для отправки. В полудуплексных локальных сетях Ethernet для обнаружения и устранения коллизий используется метод множественного доступа с контролем несущей и обнаружением коллизий (Carrier Sense Multiple Access/Collision Detection; CSMA/CD). В современных локальных сетях Ethernet используются полнодуплексные коммутаторы, которые позволяют одновременно нескольким устройствам отправлять и получать данные без коллизий. Ethernet II — это формат кадра Ethernet, используемый в сетях TCP/IP. 7.1.4 Поля кадра Ethernet Минимальный размер кадра Ethernet — 64 байта, максимальный — 1518 байт. К этому количеству относятся все байты, начиная с поля «MAC-адрес назначения» и заканчивая полем «Контрольная последовательность кадра (FCS)». Поле «Преамбула» при описании размера кадра не включено. Любой кадр с длиной менее 64 байтов считается «фрагментом коллизии» или «карликовым кадром» и автоматически отклоняется принимающими станциями. Кадры с длиной более 1500 байт называются Jumbo-кадрами (значительно превышающие допустимый размер) или Baby Giant (слегка превышающие допустимый размер). 7.2.1 MAC-адрес и шестнадцатеричная система счисления Decimal Binary Hexadecimal MAC-адрес Ethernet — это 48-битное двоичное значение, выраженное в виде 12 шестнадцатеричных чисел (4 бита для каждой шестнадцатеричной цифры). Аналогично тому, как десятичный формат является системой счисления по основанию 10, шестнадцатеричный формат представляет собой систему счисления по основанию 16. В шестнадцатеричной системе используются числа от 0 до 9, а также буквы от A до Е. На рис. 1 показаны десятичные и шестнадцатеричные эквиваленты для двоичных значений от 0000 до 1111. Проще представить значение в виде одной шестнадцатеричной цифры, чем в виде четырех двоичных разрядов. Если 8 бит (1 байт) — это общепринятая бинарная группа, то двоичный код 00000000–11111111 может быть представлен в шестнадцатеричной системе счисления как диапазон 00–FF/ Чтобы заполнить 8-битное представление, всегда отображаются ведущие нули. Например, двоичное значение 0000 1010 показано в шестнадцатеричной системе как 0A. Представление шестнадцатеричных значений Шестнадцатеричное значение обычно представлено в тексте значением, которое располагается после 0x (например, 0x73) или подстрочного индекса 16. В остальных, более редких случаях, за ним может располагаться H (например, 73H). Однако, поскольку подстрочный текст не распознается в командной строке или средах программирования, перед техническим представлением шестнадцатеричных значений стоит «0x» (нулевой Х). Так, приведенные выше примеры будут отображаться как 0x0A и 0x73 соответственно. Шестнадцатеричная система счисления используется для представления MAC-адресов Ethernet и IP-адресов версии 6. Шестнадцатеричные преобразования Числовые преобразования между десятичными и шестнадцатеричными значениями не вызывают затруднений, однако быстрое деление или умножение на 16 не всегда удобно. При необходимости такого преобразования обычно проще преобразовать десятичное или шестнадцатеричное значение в двоичное, а затем преобразовать двоичное значение соответственно либо в десятичное, либо в шестнадцатеричное. 7.2.2 MAC-адрес: идентификация Ethernet Каждое устройство в сети Ethernet подключено к одной и той же общей среде передачи данных. Раньше для технологии Ethernet применяли преимущественно полудуплексную топологию с использованием сначала шины с множественным доступом, а затем концентраторов Ethernet. Это означало, что все узлы получали все передаваемые кадры. Для предотвращения чрезмерных нагрузок, возникающих при обработке каждого кадра, были созданы MAC-адреса, которые используются для определения фактического источника и назначения. MAC-адресация предоставляет метод идентификации устройств на более низком уровне модели OSI. Структура MAC-адресов Значение MAC-адреса — это непосредственный результат применения правил, которые разработаны институтом IEEE для поставщиков, чтобы обеспечить уникальные в глобальном масштабе адреса для каждого устройства Ethernet. В соответствии с этими правилами каждый поставщик, который занимается реализацией устройств Ethernet, должен быть зарегистрирован в IEEE. IEEE присваивает поставщику 3-байтный (24-битный) код, который называется уникальным идентификатором организации (OUI). Институт IEEE требует от поставщиков соблюдения двух простых правил: Все MAC-адреса, назначаемые сетевой плате или другому устройству Ethernet, должны в обязательном порядке использовать этот идентификатор OUI поставщика в первых 3 байтах. Для всех MAC-адресов с одинаковым идентификатором OUI необходимо устанавливать уникальные значения в последних 3 байтах. 7.2.3 Обработка кадров MAC-адрес часто называется «встроенным» или «зашитым» адресом (burned-in address, BIA), поскольку исторически сложилось так, что он записывается в ПЗУ (постоянное запоминающее устройство) на сетевой плате. Это означает, что адрес вносится в чип ПЗУ на аппаратном уровне без возможности дальнейшего изменения. Примечание. Операционные системы и сетевые платы современных компьютеров поддерживают возможность изменения MAC-адреса с помощью программ. Это удобно при попытке получения доступа к сети, в которой используется фильтрация на основе BIA. Следовательно, фильтрация или отслеживание трафика на основе MAC-адреса более не является надежным способом. При запуске компьютера сетевая плата сначала копирует MAC-адрес из ПЗУ в ОЗУ. Когда устройство пересылает сообщение в сеть Ethernet, оно добавляет к кадру информацию заголовка. Информация заголовка содержит MAC-адреса источника и назначения. При поступлении кадра Ethernet на сетевую плату она проверяет MAC-адрес назначения, чтобы определить, совпадает ли он с физическим MAC-адресом устройства, сохраненным в ОЗУ. Если не удается обнаружить совпадения, устройство отклоняет кадр. При наличии совпадения сетевая плата передает кадр вверх по уровням модели OSI, где происходит процесс деинкапсуляции. Примечание. Сетевые платы устройств Ethernet принимают кадры также в том случае, если MACадрес назначения является широковещательной рассылкой или группой многоадресной рассылки, в которую включен узел. Всем устройствам, которые могут быть узлами источника или назначения кадра Ethernet, необходимо присвоить MAC-адрес. К ним относятся рабочие станции, серверы, принтеры, мобильные устройства и маршрутизаторы. 5.1.2.4 Представления МАС адресов На узле Windows MAC-адрес адаптера Ethernet можно определить с помощью команды ipconfig /all. На узлах MAC или Linux используется команда ifconfig. В зависимости от устройства и операционной системы вы увидите различные представления MACадресов. 5.1.2.5 Индивидуальный МАС-адрес В сети Ethernet для одноадресной, многоадресной и широковещательной рассылки уровня 2 используются разные MAC-адреса. Индивидуальный MAC-адрес — это уникальный адрес, который используется при отправке кадра от одного передающего устройства к одному устройству назначения. Для определения MAC-адреса назначения на узле источника используется протокол разрешения адресов (ARP). MAC-адрес назначения может быть адресом одноадресной, широковещательной или многоадресной рассылки, но MAC-адрес источника всегда должен быть индивидуальным. 7.2.5 МАС-адрес широковещательной рассылки В пакете широковещательной рассылки содержится IPv4-адрес назначения, в узловой части которого присутствуют только единицы (1). Эта нумерация в адресе означает, что все узлы в локальной сети (домене широковещательной рассылки) получат и обработают пакет. Широковещательные рассылки предусмотрены во многих сетевых протоколах, например DHCP и ARP. Как показано, узел источника отправляет IPv4-пакет широковещательной рассылки на все устройства в сети. IPv4-адрес назначения (192.168.1.255) — это адрес широковещательной рассылки. Если IPv4-пакет широковещательной рассылки инкапсулирован в кадре Ethernet, MACадрес назначения является MAC-адресом широковещательной рассылки в шестнадцатеричном формате FF-FF-FF-FF-FF-FF (48 единиц в двоичном формате). 7.2.6 МАС-адрес многоадресной рассылки Групповые адреса позволяют исходному устройству рассылать пакет группе устройств. Устройства, относящиеся к группе многоадресной рассылки, получают ее IP-адрес. Диапазон IPv4адресов многоадресной рассылки — от 224.0.0.0 до 239.255.255.255. Диапазон IPv6-адресов многоадресной рассылки начинается с FF00:: /8. Поскольку адреса многоадресной рассылки представляют собой группу адресов (которая иногда называется также группой узлов), они используются только как адреса назначения пакета. Источник всегда имеет адрес одноадресной рассылки. Адреса многоадресной рассылки используются, например, в играх с удаленным подключением, в которых участвует несколько человек из разных мест. Кроме того, такие адреса используются при дистанционном обучении в режиме видеоконференции, когда несколько учащихся подключено к одному и тому же курсу. Как и в случае с адресами для одноадресной и широковещательной рассылки, IP-адресу для многоадресной рассылки требуется соответствующий MAC-адрес, чтобы фактически передавать кадры по локальной сети. MAC-адрес многоадресной рассылки, связанный с IPv4-адресом многоадресной рассылки, — это особое значение, которое начинается с 01-00-5E в шестнадцатиричном формате. Остальная часть MAC-адреса многоадресной рассылки создается путем преобразования нижних 23 бит IP-адреса группы многоадресной рассылки в 6 шестнадцатеричных символов. Для IPv6-адреса MAC-адрес многоадресной рассылки начинается с 33-33. В качестве примера используется шестнадцатеричный адрес многоадресной рассылки 01-00-5E00-00-C8. Последний байт (или 8 бит) IPv4-адреса 224.0.0.200 — это десятичное значение 200. Самый простой способ определить шестнадцатеричный эквивалент заключается в том, чтобы сначала преобразовать это значение в двоичный формат, вставив пробел между группами из 4 бит: 200 (десятичное значение) = 1100 1000 (двоичное значение). Затем можно использовать таблицу преобразования двоичного формата в шестнадцатеричный: 1100 1000 (двоичное значение) = 0xC8. Настройка базовых парметров коммутатора: o Подключитесь к коммутатору с помощью консоли и перейдите в режим глобальной настройки. Switch> enable Switch# configure terminal Switch(config)# o Назначьте коммутатору имя узла в соответствии с таблицей адресации. Switch(config)# hostname S1 o Отключите поиск DNS. S1(config)# no ip domain-lookup o Настройте и включите интерфейс SVI для сети VLAN 1. S1(config)# interface vlan 1 S1(config-if)# ip address 192.168.1.1 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# end * Для отображения МАС-адреса на коммутаторе можно использовать различные команды: -show ip interfaces vlan1 -show arp -show mac address-table 7.3.1 Основная информация о коммутаторах Коммутатор Ethernet уровня 2 использует MAC-адреса для принятия решения о пересылке. Устройство не имеет информации о протоколе, передаваемом в части кадра, выделенной для данных, например, в IPv4-пакете. Коммутатор пересылает пакеты только на основе MAC-адресов Ethernet уровня 2. В отличие от устаревших концентраторов Ethernet, которые повторяют биты на всех портах, кроме входящего, коммутатор Ethernet обращается к таблице MAC-адресов для пересылки каждого конкретного кадра Примечание. Таблицу MAC-адресов иногда называют таблицей ассоциативной памяти (CAM). Хотя понятие «таблица ассоциативной памяти» используется относительно часто, в этом курсе мы будем называть ее таблицей MAC-адресов. 5.2.1.2 Получение информации о МАС-адресах Коммутатор создает таблицу MAC-адресов динамически, проверяя MAC-адрес источника в кадрах, принимаемых портом. Он пересылает кадры на основе совпадения между MAC-адресом назначения в кадре и записью в таблице MAC-адресов. При каждом поступлении кадра Ethernet в коммутатор выполняется следующий процесс. Получение информации: проверка MAC-адреса источника При каждом поступлении кадра в коммутатор выполняется проверка на наличие новой информации. Проверяются MAC-адрес источника, указанный в кадре, и номер порта, по которому кадр поступает в коммутатор. Если MAC-адрес источника отсутствует, он добавляется в таблицу вместе с номером входящего порта. Если MAC-адрес источника уже существует, коммутатор обновляет таймер обновления для этой записи. По умолчанию в большинстве коммутаторов Ethernet данные в таблице хранятся в течение 5 минут. Примечание. Если MAC-адрес источника указан в таблице, но с другим портом, коммутатор считает эту запись новой. Запись заменяется на тот же MAC-адрес, но с более актуальным номером порта. Пересылка: проверка MAC-адреса назначения Если MAC-адрес назначения является адресом одноадресной рассылки, коммутатор ищет совпадение между MAC-адресом назначения в кадре и записью в таблице MAC-адресов. Если MAC-адрес назначения есть в таблице, коммутатор пересылает кадр через указанный порт. Если MAC-адреса назначения нет в таблице, коммутатор пересылает кадр через все порты, кроме входящего порта. Этот процесс называется одноадресной рассылкой без адреса Примечание. Если MAC-адрес назначения является адресом широковещательной или многоадресной рассылки, коммутатор также пересылает кадр через все порты, кроме входящего порта. В таблице коммутатора может быть несколько MAC-адресов, связанных с одним портом. Обычно это происходит тогда, когда коммутатор соединен с другим коммутатором. В таблице МАС-адресов коммутатора вводится отдельная запись для каждого кадра, получаемого с другого МАС-адреса источника. Если IP-адрес устройства находится в удаленной сети, отправить кадр Ethernet в устройство назначения напрямую невозможно. Вместо этого кадр Ethernet отправляется по MAC-адресу шлюза по умолчанию, т. е. маршрутизатора. Просмотр таблицы МАС-адресов: S2# show mac address-table Очистка таблицы МАС-адресов: S2# clear mac address-table dynamic 7.3.3 Фильтрация кадров Поскольку коммутатор получает кадры от разных устройств, его таблица MAC-адресов заполняется через проверку MAC-адреса источника каждого кадра. Если в таблице MAC-адресов коммутатора есть MAC-адрес назначения, он может выполнять фильтрацию кадров и пересылать его через один порт. 7.4.1 Способы переадресации кадра на коммутаторах Cisco Коммутаторы используют один из двух способов пересылки для коммутации данных между портами: Коммутация с промежуточным хранением (store-and-forward) Сквозная коммутация (cut-through) При коммутации с промежуточным хранением, когда коммутатор получает кадр, он хранит данные в буфере до тех пор, пока не будет получен весь кадр. Во время сохранения коммутатор анализирует кадр, чтобы получить информацию о его адресате. При этом коммутатор также выполняет проверку на наличие ошибок, используя концевую часть кадра Ethernet — циклический избыточный код (CRC). CRC использует математическую формулу, основанную на количестве бит (единиц) в кадре, что позволяет определить наличие ошибок в полученном кадре. После подтверждения целостности кадра он перенаправляется через соответствующий порт к узлу назначения. Если же в кадре обнаружена ошибка, коммутатор отклонит его. Отклонение кадров с ошибками позволяет уменьшить ширину полосы пропускания, потребляемую поврежденными данными. Коммутация с промежуточным хранением необходима для анализа качества обслуживания (QoS) в конвергированных сетях, в которых требуется классификация кадра для назначения приоритетов проходящего трафика. Например, при передаче речи по IP потоки данных должны иметь больший приоритет, чем трафик, используемый для просмотра веб-страниц. 7.4.2 Сквозная коммутация (cut-through) При использовании сквозной коммутации коммутатор обрабатывает данные по мере их поступления даже в том случае, если передача еще не завершена. Коммутатор добавляет в буфер только ту часть кадра, которая требуется для чтения MAC-адреса назначения, чтобы он смог определить, на какой порт пересылать данные. MAC-адрес назначения указан в первых 6 байтах кадра после преамбулы. Коммутатор не проверяет кадр на наличие каких-либо ошибок. Существуют два варианта сквозной коммутации. Коммутация с быстрой пересылкой.( Fast-forward switching) Коммутация с быстрой пересылкой обеспечивает наименьший уровень задержки. При такой коммутации пакет пересылается сразу же после чтения адреса назначения. Поскольку при коммутации с быстрой пересылкой переадресация начинается до получения всего кадра целиком иногда пакеты передаются с ошибками. Это происходит редко, а сетевой адаптер назначения отклоняет пакет с ошибками после его получения. В режиме быстрой пересылки задержка измеряется с момента получения первого бита до передачи первого бита. Коммутация с быстрой пересылкой является типичным способом сквозной коммутации. Коммутация с исключением фрагментов.( Fragment-free switching) При коммутации с исключением фрагментов коммутатор сохраняет первые 64 байта кадра перед его отправкой. Коммутацию с исключением фрагментов можно рассматривать как компромиссный вариант между коммутацией с промежуточным хранением и коммутацией с быстрой пересылкой. Причина, по которой при коммутации с исключением фрагментов сохраняются только первые 64 байта кадра, заключается в том, что большинство сетевых ошибок и коллизий происходит именно в первых 64 байтах. Коммутация с исключением фрагментов позволяет повысить эффективность коммутации с быстрой пересылкой благодаря выполнению небольшой проверки ошибок в первых 64 байтах кадра, чтобы перед пересылкой кадра убедиться в отсутствии коллизии. Коммутация с исключением фрагментов представляет собой компромисс Некоторые коммутаторы настроены на использование сквозной коммутации для каждого порта до тех пор, пока не будет достигнуто указанное предельное количество ошибок, после чего автоматически устанавливается коммутация с промежуточным хранением. Когда частота повторения ошибок снизится до установленного предельного значения, порт переключится на использование сквозной коммутации. 7.4.3 Буфферизация памяти на коммутаторах Коммутатор Ethernet может использовать метод буферизации для хранения кадров до их пересылки. Кроме того, буферизацию можно использовать в том случае, если порт назначения занят по причине его перегрузки, и коммутатор сохраняет кадр до тех пор, пока не появится возможность его передачи. Существуют два метода буферизации памяти: буферизация на базе портов и буферизация совместно используемой памяти. Буферизация памяти на базе портов (Port-based Memory Buffering) В процессе буферизации памяти на базе портов кадры хранятся в очередях, связанных с определенными входящими и исходящими портами. Кадр пересылается на исходящий порт только в том случае, если все кадры, находящиеся в очереди перед ним, были успешно отправлены. Один кадр может стать причиной задержки передачи всех кадров в памяти из-за занятости порта назначения. Такая задержка возникает и в том случае, если другие кадры можно передать на открытые порты назначения. Буферизация совместно используемой памяти (Shared Memory Buffering) При буферизации совместно используемой памяти все кадры помещаются в буфер, который является общим для всех портов коммутатора. Объем буферной памяти, который требуется каждому порту, выделяется динамически. Кадры в буфере динамически связываются с портом назначения. Это позволяет получать пакет на один порт и затем пересылать его на другой порт без перемещения в другую очередь. Коммутатор сохраняет сопоставление кадра со связанными портами, на которые необходимо переслать пакет. Сохраненное сопоставление удаляется после успешной передачи кадра. Количество кадров, сохраненных в буфере, ограничено размером всего буфера памяти и не ограничивается буфером одного порта. Это позволяет передавать кадры большего объема, при этом число сброшенных кадров будет меньше. Это особенно важно для асимметричной коммутации. Асимметричная коммутация позволяет использовать различные скорости передачи данных на разных портах. Это обеспечивает выделение большей полосы пропускания некоторым портам, например, порту, подключенному к серверу. 7.4.4 Настройка дуплексного режима и скорости К двум базовым параметрам коммутатора относятся пропускная способность и дуплексный режим, которые задаются для каждого отдельного порта коммутатора. Важно, чтобы настройки дуплексного режима и пропускной способности порта коммутатора и подключенных устройств, таких как компьютер или другой коммутатор, совпадали. Для обмена данными в сетях Ethernet используются два типа настроек дуплексного режима: полудуплексный и полнодуплексный. Полнодуплексный режим: одновременная отправка и получение данных в обе стороны. Полудуплексный режим: отправка данных только одной стороной. Автоопределение — это дополнительная функция, которой оснащено большинство коммутаторов и сетевых плат Ethernet. Автоопределение позволяет двум устройствам автоматически обмениваться информацией о скорости и возможностях дуплексного режима. Коммутатор и подключенное устройство выбирают режим с максимальной производительностью. Если оба устройства поддерживают полнодуплексный режим, для работы выбирается этот режим вместе с максимальной пропускной способностью, общей для двух устройств. Например, сетевая плата Ethernet компьютера PC-A, показанная на рис. может работать в полнодуплексном или полудуплексном режиме на скорости 10 или 100 Мбит/с. Компьютер PC-A соединен через порт 1 с коммутатором S1, который может работать в полнодуплексном или полудуплексном режиме на скорости 10, 100 или 1 000 Мбит/с (1 Гбит/с). Если в обоих устройствах есть автоопределение, то будет выбраны полнодуплексный режим и скорость 100 Мбит/с. Примечание. В большинстве коммутаторов и сетевых плат Ethernet компании Cisco используется автоопределение скорости и настроек дуплексного режима. Порты Gigabit Ethernet работают только в полнодуплексном режиме. Несовпадение дуплексных режимов Одна из самых распространенных проблем с производительностью каналов Ethernet на скорости 10/100 Мбит/с возникает тогда, когда один порт работает в полудуплексном режиме, а другой порт — в полнодуплексном. Это происходит при сбросе одного или обоих портов канала, в результате чего автоопределение не приводит к одинаковой конфигурации обоих устройств связи. Это также может произойти тогда, когда пользователи меняют конфигурацию на одной стороне канала и забывают про другую. Автоопределение должно быть включено либо отключено на обеих сторонах канала. 7.4.5 Функция Auto-MDIX Помимо правильной настройки дуплексного режима необходимо определить соответствующий тип кабеля для каждого порта. Ранее для соединений между определенными устройствами (типа «коммутатор-коммутатор», «коммутатор-маршрутизатор», «коммутатор-узел» и «маршрутизаторглавное устройство») требовалось использование кабелей особого типа (перекрестных или прямых). Большинство современных коммутирующих устройств поддерживают команду конфигурации интерфейса mdix auto, которая доступна через CLI и позволяет использовать автоматическую функцию Auto-MDIX (интерфейс, зависящий от передающей среды с перекрестным соединением). Если функция Auto-MDIX включена, коммутатор определяет необходимый тип кабеля, подключенного к порту, и настраивает интерфейс соответствующим образом. Таким образом, для подключения к медным портам 10/100/1000 Мбит/с на коммутаторе можно использовать либо перекрестный, либо прямой кабель независимо от типа устройства на другом конце соединения. Примечание. Функция Auto-MDIX включена по умолчанию на коммутаторах с операционной системой Cisco IOS 12.2 (18) SE или более поздней версии. 5.3.1.1 Устройство назначения в той же сети Устройству в локальной сети Ethernet присваиваются два основных адреса. Физический адрес (MAC-адрес): используется для обмена данными между сетевыми платами Ethernet устройств, находящихся в одной сети. Логический адрес (IP-адрес): используется для отправки пакетов от источника к назначению. IP-адреса используются для определения адресов источника и назначения. IP-адрес назначения может находиться в той же IP-сети, что и источник, либо в удаленной сети. Примечание. В большинстве приложений используется система доменных имен (DNS), позволяющая определить IP-адрес при указании имени домена, например, www.cisco.com. DNS рассматривается в главе далее. Адреса уровня 2 или физические адреса, как и MAC-адреса в сети Ethernet, имеют другое назначение. Они используются для доставки кадра, передаваемого по каналу в инкапсулированном IP-пакете, от одной сетевой платы к другой в той же сети. Если IP-адрес назначения находится в той же сети, то MAC-адресом назначения является адрес устройства назначения. На рисунке показаны MAC-адреса Ethernet и IP-адрес компьютера PC-A, который отправляет IPпакет на файловый сервер в той же сети. Кадр Ethernet уровня 2 содержит следующее: MAC-адрес назначения: это MAC-адрес сетевой платы Ethernet файлового сервера. MAC-адрес источника: это MAC-адрес сетевой платы Ethernet компьютера PC-A. IP-пакет уровня 3 содержит следующее: IP-адрес источника: это IPадрес устройства источника, т. е. компьютера PC-A. IP-адрес назначения: это IPадрес устройства назначения, т. е. файлового сервера. 5.3.2.1 Устройства назначения в удаленной сети Если IP-адрес назначения находится в удаленной сети, то MAC-адресом назначения является адрес шлюза узла по умолчанию, например, сетевой платы маршрутизатора, как показано на рисунке. Если использовать аналогию с работой почты, то это похоже на ситуацию, когда ктонибудь передает письмо в местное почтовое отделение. Все, что необходимо сделать — это принести письмо на почту, а далее ответственность за отправку письма адресату несет уже почтовое отделение. На рисунке показаны MAC-адреса Ethernet и IPv4-адрес компьютера PC-A, который отправляет IPпакет на веб-сервер в удаленной сети. Маршрутизаторы проверяют IPv4-адрес назначения для определения наилучшего способа пересылки IPv4-пакета. Это аналогично отправке почты по адресу получателя. При получении маршрутизатором кадра Ethernet происходит деинкапсуляция информации уровня 2. На основе IP-адреса назначения маршрутизатор определяет следующее транзитное устройство и инкапсулирует IP-пакет в новый кадр для передачи в исходящий интерфейс. В каждом канале на своем пути IP-пакет инкапсулируется в кадре в зависимости от используемой технологии канала передачи данных, которая связана с этим каналом, например, технологии Ethernet. Если следующее транзитное устройство является назначением, то MAC-адресом назначения будет адрес сетевой платы Ethernet этого устройства. Каким образом IPv4-адреса IPv4-пакетов в потоке данных ассоциируются с MAC-адресами в каждом канале на пути к узлу назначения? Для этого используется протокол разрешения адресов (ARP). 5.3.1.2 Протокол разрешения адресов (ARP) Следует помнить, что у каждого устройства с IP-адресом в сети Ethernet есть также МАС-адрес. Когда устройство отправляет кадр Ethernet, он содержит оба этих адреса: MAC-адрес назначения: это MAC-адрес сетевой платы Ethernet, который является MACадресом устройства назначения или маршрутизатора. MAC-адрес источника: это MAC-адрес сетевой платы Ethernet отправителя. Для определения MAC-адреса назначения устройство использует протокол разрешения адресов (ARP). Протокол ARP выполняет две основные функции. Сопоставление IPv4-адресов и МАС-адресов Сохранение таблицы сопоставлений 5.3.2.2 Функции ARP Сопоставление IPv4-адресов и МАС-адресов Когда пакет отправляется на канальный уровень для инкапсуляции в кадре Ethernet, устройство обращается к таблице в своей памяти, чтобы найти MAC-адрес, который сопоставлен с IPv4адресом. Эта таблица называется таблицей ARP или кэшем ARP. Таблица ARP хранится в оперативной памяти устройства. Передающее устройство ищет в своей таблице ARP IPv4-адрес назначения и соответствующий MAC-адрес. Если IPv4-адрес назначения пакета находится в той же сети, что и IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес назначения. Если IPv4-адрес назначения пакета находится не в той же сети, что IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес шлюза по умолчанию. В обоих случаях необходимо найти IPv4-адрес и соответствующий MAC-адрес устройства. Каждая запись или строка в таблице ARP связывает IPv4-адрес с MAC-адресом. Отношение между двумя значениями называется сопоставлением. Это значит, что IPv4-адрес можно найти в таблице и с его помощью определить соответствующий MAC-адрес. Таблица ARP временно сохраняет (кэширует) сопоставление устройств в локальной сети (LAN). Если устройство находит IPv4-адрес, то в качестве MAC-адреса в кадре используется соответствующий MAC-адрес. Если запись не найдена, устройство отправляет ARP-запрос. 5.3.2.3 ARP-запрос ARP-запрос отправляется в том случае, когда устройству требуется MAC-адрес, связанный с IPv4адресом, но в его таблице ARP нет данных о IPv4-адресе. Сообщения ARP-запроса инкапсулируются непосредственно в кадре Ethernet. Заголовок IPv4 отсутствует. В сообщении ARP-запроса содержится следующее: IPv4-адрес назначения: это IPv4-адрес, для которого требуется определить соответствующий MAC-адрес. MAC-адрес назначения: это неизвестный MAC-адрес, который в сообщении запроса ARP отсутствует. ARP-запрос инкапсулируется в кадре Ethernet со следующей информацией в заголовке: MAC-адрес назначения: широковещательный адрес, требующей принятия и обработки ARPзапроса всеми сетевыми платами Ethernet в локальной сети (LAN). MAC-адрес источника: это отправитель MAC-адреса в ARP-запросе. Тип: в сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP. Поскольку ARP-запросы являются широковещательной рассылкой, они рассылаются через все порты коммутатора, кроме принимающего порта. Все сетевые платы Ethernet в локальной сети (LAN) обрабатывают широковещательные рассылки. Каждое устройство обрабатывает ARPзапрос на предмет совпадения целевого IPv4-адреса с собственным адресом. Маршрутизатор не пересылает широковещательные рассылки другим интерфейсам. Только у одного устройства в локальной сети (LAN) будет IPv4-адрес, совпадающий в целевым IPv4-адресом в ARP-запросе. Ответ от других устройств не поступает. 5.3.2.4 ARP-ответ Только устройство с IPv4-адресом, связанным с целевым IPv4-адресом в ARP-запросе, возвращает ARP-ответ. В сообщении ARP-ответа содержится следующее: IPv4-адрес отправителя: это IPv4-адрес отправителя, т. е. устройства, чей MAC-адрес был запрошен. MAC-адрес отправителя: это MAC-адрес отправителя, т. е. MAC-адрес, который был запрошен отправителем в ARP-запросе. ARP-ответ инкапсулируется в кадре Ethernet со следующей информацией в заголовке: MAC-адрес назначения: это MAC-адрес отправителя ARP-запроса. MAC-адрес источника: это отправитель MAC-адреса в ARP-ответе. Тип: в сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP. Одноадресный ARP-ответ получит только то устройство, которое отправило ARP-запрос. После получения ARP-ответа устройство добавит IPv4-адрес и соответствующий MAC-адрес в свою таблицу ARP. Теперь пакеты для этого IPv4-адреса можно инкапсулировать в кадрах, используя соответствующий ему MAC-адрес. Если на ARP-запрос не отвечает ни одно устройство, пакет отбрасывается, поскольку сформировать кадр невозможно. Записи в таблице ARP получают метку времени. Если к моменту истечения метки времени устройство не получит кадр от какого-либо устройства, запись для этого устройства будет удалена из таблицы ARP. Кроме того, в таблицу ARP можно добавлять статические записи сопоставления, но это делается не часто. Срок действия статических записей в таблице ARP не истекает со временем, поэтому их необходимо удалять вручную. Примечание. Для IPv6 используется протокол, аналогичный протоколу разрешения адресов (ARP) для IPv4, который называется «протокол обнаружения соседей» ICMPv6. Для IPv6 используются сообщения опроса и объявления соседей, которые схожи по своему назначению с ARP-запросами и ответами в IPv4. 5.3.2.5 Роль ARP в процессе удаленного обмена данными Если IPv4-адрес назначения находится не в той же сети, что IPv4-адрес источника, устройству источника необходимо отправить кадр в свой шлюз по умолчанию. Это интерфейс локального маршрутизатора Когда в устройстве источника есть пакет в IPv4-адресом в другой сети, оно инкапсулирует этот пакет в кадре, используя MAC-адрес назначения маршрутизатора. IPv4-адрес шлюза по умолчанию хранится в конфигурации IPv4 узлов. Когда узел создает пакет для адресата, он сравнивает IPv4-адрес назначения и свой собственный IPv4-адрес, чтобы определить, находятся ли эти два IPv4-адреса в одной и той же сети уровня 3. Если узел назначения находится в другой сети, источник ищет в своей таблице ARP запись с IPv4-адресом шлюза по умолчанию. Если запись отсутствует, то для определения MAC-адреса шлюза по умолчанию используется процесс ARP. 5.3.2.6 Удаление записи из таблицы ARP В каждом устройстве есть таймер кэша ARP, который удаляет записи из таблицы ARP, не используемые в течение указанного периода времени. Этот период может быть разным в зависимости от операционной системы устройства. Например, некоторые операционные системы Windows хранят записи кэша ARP в течение 2 минут, как показано на рисунке. Кроме того, можно использовать некоторые команды, чтобы вручную удалить все или некоторые записи из таблицы ARP. После удаления записи процесс отправки ARP-запроса и получения ARPответа необходимо задействовать повторно, чтобы зарегистрировать сопоставление в таблице ARP. 5.3.2.7 Таблицы ARP На маршрутизаторе Cisco для отображения таблицы ARP используется команда show ip arp. На компьютерах под управлением Windows 7 для отображения таблицы ARP используется команда arp –a. Очистка arp таблицы делается по команде arp -d 5.3.3.1 Широковещательные рассылки ARP Поскольку ARP-запрос является кадром широковещательной рассылки, его получают и обрабатывают все устройства в локальной сети. В стандартной корпоративной сети такие широковещательные рассылки, скорее всего, не окажут серьезного влияния на производительность сети. Но если в сети много устройств и все они одновременно попытаются получить доступ к сетевым службам, это может на короткий период времени негативно повлиять на работу сети, как показано на рисунке. После того как устройства разошлют начальные запросы широковещательной рассылки ARP и получат необходимые MAC-адреса, любое влияние на сеть будет сведено к минимуму. 5.3.3.2 Спуффинг с помощью ARP В некоторых случаях использование протокола разрешения адресов (ARP) может представлять определенный риск для безопасности. Такие атаки получили название ARP-спуфинг или «отравление» ARP-кэша. В ходе таких атак злоумышленник отправляет ответ на ARP-запрос IPv4адреса с адресом другого устройства, например, шлюза по умолчанию, как показано на рисунке. Злоумышленник отправляет ARP-ответ со своим MAC-адресом. Получатель ARP-ответа добавит фальсифицированный MAC-адрес в свою таблицу ARP, что позволит злоумышленнику получать отправляемые пакеты. Коммутаторы корпоративного уровня оснащены функцией защиты от такого рода атак, которая называется Dynamic ARP Inspection (DAI). Функция DAI не рассматривается в этом курсе. 8.1.1 Сетевой уровень Сетевой уровень, или третий уровень модели OSI, предоставляет сервисы, позволяющие оконечным устройствам обмениваться данными по сети. IP версии 4 (IPv4) и IP версии 6 (IPv6) являются протоколами связи основного сетевого уровня. Другие протоколы сетевого уровня включают протоколы маршрутизации, такие как Open Shortest Path First (OSPF), и протоколы обмена сообщениями, такие как Internet Control Message Protocol (ICMP). Для выполнения сквозных коммуникаций через границы сети протоколы сетевого уровня выполняют четыре основные операции: Адресация оконечных устройств - Оконечным устройствам необходимо назначить уникальный IP-адрес для возможности их идентификации в сети. Инкапсуляция - Сетевой уровень получает единицу данных протокола (PDU) от транспортного уровня. Во время выполнения процесса, который называется инкапсуляцией, сетевой уровень добавляет информацию заголовка IP, например IP-адрес узла источника (отправляющего) и узла назначения (получающего). Процесс инкапсуляции выполняется источником IP-пакета. Маршрутизация - Сетевой уровень предоставляет сервисы, с помощью которых пакеты направляются к узлу назначения в другой сети Для перемещения к другим сетям пакет должен быть обработан маршрутизатором. Роль маршрутизатора заключается в том, чтобы выбрать пути для пакетов и направить их к узлу назначения. Такой процесс называется маршрутизацией. До того как достигнуть узла назначения, пакет может пройти через несколько маршрутизаторов. Каждый маршрут на пути пакета к узлу назначения называется переходом. Деинкапсуляция - По прибытии пакета на сетевой уровень узла назначения этот узел проверяет IP-заголовок пакета. Если IP-адрес назначения в заголовке совпадает с его собственным IP-адресом, заголовок IP удаляется из пакета. После деинкапсуляции пакета, выполняемой сетевым узлом, полученная единица данных протокола (PDU) уровня 4 пересылается соответствующей службе на транспортном уровне. Процесс деинкапсуляции выполняется конечным узлом IP-пакета. В отличие от транспортного уровня (уровень 4 модели OSI), который управляет передачей данных между процессами, запущенными на каждом узле, протоколы сетевого уровня (IPv4 и IPv6) указывают структуру пакета и тип обработки, которые используются для перемещения данных от одного узла к другому. Функционирование без учета данных, передаваемых в каждом пакете, позволяет сетевому уровню передавать пакеты для нескольких типов коммуникации между несколькими узлами. 8.1.2 Инкапсуляция IP Протокол IP инкапсулирует сегмент транспортного уровня (уровень чуть выше сетевого уровня) или другие данные путем добавления заголовка IP. IP заголовок используется для доставки пакета на узел назначения. Процесс инкапсуляции данных от уровня к уровню обеспечивает возможность разрабатывать и масштабировать сервисы на различных уровнях без влияния на другие уровни. Это означает, что сегменты транспортного уровня можно легко упаковать с помощью протоколов IPv4 или IPv6 или любого нового протокола, который может быть создан в будущем. IP-заголовок проверяется устройствами уровня 3 (т.е. маршрутизаторами и коммутаторами уровня 3), когда он перемещается по сети к месту назначения. Важно отметить, что информация об IPадресации остается неизменной с момента выхода пакета с исходного хоста до момента его прибытия на хост назначения, за исключением случаев, когда она переводится устройством, выполняющим преобразование сетевых адресов (NAT) для IPv4. Примечание: NAT обсуждается в последующих модулях. Маршрутизаторы реализуют протоколы маршрутизации для маршрутизации пакетов между сетями. Во время маршрутизации, выполняемой этими промежуточными устройствами, учитывается содержимое заголовка только того пакета, который инкапсулирует сегмент. Во всех остальных случаях часть данных пакета (т.е. инкапсулированная единица данных протокола (PDU) транспортного уровня) во время выполнения процессов на сетевом уровне остается неизменной. 8.1.3 Характеристики протокола IP Протокол IP был разработан как протокол с низкой нагрузкой. Он обеспечивает только те функции, которые необходимы для доставки пакета от узла источника к узлу назначения по взаимосвязанной системе сетей. Этот протокол не предназначен для мониторинга и управления потоком пакетов. Эти функции, при необходимости, выполняются другими протоколами на других уровнях, в первую очередь — протоколом TCP. Основные характеристики IP: Без установления соединения - означает, что перед отправкой пакетов данных соединение с хостом назначения не устанавливается. Негарантированная доставка - показывает, что IP-протокол по своей сути неустойчив, так как доставка пакетов не гарантируется. Независимость от среды - работа не зависит от средства подключения (медный, оптоволоконный кабель или беспроводная среда). 8.1.4 Без установки соединения IP является протоколом без установления соединения, а это означает, что перед отправкой данных выделенное сквозное соединение не устанавливается. Обмен данными без установления соединения по своей сути аналогичен отправке письма без предварительного уведомления получателя. 8.1.5 Негарантированная доставка IP также не нуждается в дополнительных полях в заголовке для поддержки установленного соединения. Этот процесс значительно снижает нагрузку IP. Тем не менее без предварительно установленного сквозного подключения отправителям неизвестно, имеются ли устройстваадресаты и способны ли они функционировать в момент отсылки пакетов, а также получит ли пакет узел назначения и смогут ли устройства-адресаты получить доступ к пакету и прочитать его.Протокол IP не гарантирует получение всех доставляемых пакетов. 8.1.6 Независимость от среды Ненадежный протокол — тот, который не способен контролировать не доставленные или поврежденные пакеты и восстанавливать их. IP-пакеты отправляются с информацией о расположении места назначения, но не содержат сведений, которые могли бы быть обработаны для информирования отправителя о том, что доставка была успешной. Пакеты могут прибыть на узел назначения поврежденными или с нарушением порядка либо не прибыть совсем. В случае возникновения таких ошибок информация, которая содержится в заголовке IP, не позволяет выполнить повторную пересылку пакетов. Если отсутствие пакетов или несоблюдение очередности создает проблемы для приложений, использующих данные, сервисы верхнего уровня, например TCP, должны устранить эти проблемы. Это обеспечивает высокую эффективность работы протокола IP. В пакете протоколов TCP/IP обеспечение надежности — задача протокола TCP транспортного уровня. Протокол IP действует независимо от среды, которая служит для передачи данных на нижних уровнях стека протоколов. Как показано на рисунке, любой отдельный пакет IP может передаваться по кабелю (с помощью электрических импульсов, например оптических сигналов по оптоволоконному кабелю) или в виде радиосигналов в беспроводных сетях. Канальный уровень в модели OSI отвечает за прием IP-пакета и его подготовку к транспортировке по среде передачи данных. Это означает, что пересылка пакетов IP не ограничивается какой-либо конкретной коммуникационной средой. Существует одна важная характеристика среды передачи, которая учитывается на сетевом уровне: максимальный размер единицы данных протокола (PDU), который способна переслать каждая среда (MTU). Часть обмена контрольными данными между канальным уровнем и сетевым уровнем — это установление максимального размера пакета. Канальный уровень передает значение MTU на сетевой уровень. Затем сетевой уровень определяет размер пакетов.В некоторых случаях промежуточное устройство (как правило, это маршрутизатор) должно разделить пакет IPv4 во время его пересылки из одной среды передачи данных в среду с меньшим максимальным размером передаваемого блока данных (MTU). Этот процесс называется разделением пакета или фрагментацией. Фрагментация вызывает задержку. Пакеты IPv6 не могут быть фрагментированы маршрутизатором. 8.2.1 Пакет IPv4 IPv4 является одним из основных протоколов связи сетевого уровня. Заголовок пакета IPv4 используется для обеспечения доставки пакета на следующую остановку по пути к конечному устройству назначения.Заголовок пакета IPv4 состоит из нескольких полей, включающих важную информацию о пакете. Эти поля содержат двоичные числа, которые анализируются процессом уровня 3. 8.2.2 Поля заголовка пакета IPv4 Два наиболее часто используемых поля — это IP-адрес источника и IP-адрес назначения. Эти поля определяют, откуда поступил пакет и куда он направляется. Обычно в процессе передачи от узла источника к узлу назначения эти адреса не меняются. Поля «Размер заголовка» (Internet Header Length, IHL), «Общий размер» и «Контрольная сумма заголовка» используются для определения и проверки пакета. Остальные поля используются для переупорядочивания фрагментированного пакета. В связи с этим IPv4-пакет использует поля «Идентификация», «Флаги» и «Смещение фрагмента» для отслеживания фрагментов. Маршрутизатору может понадобиться выполнить фрагментацию пакета IPv4 при его пересылке из одной среды передачи данных в другую среду с меньшим максимальным размером передаваемого блока данных (MTU). Поля «Параметры» и «Заполнитель» используются редко и в данной главе не рассматриваются. 8.3.1 Пакет IPv6. Ограничения IPv4 IPv4 по-прежнему используется и сегодня. Этот раздел посвящен IPv6, который в конечном итоге заменит IPv4. Чтобы лучше понять, почему вам нужно знать протокол IPv6, он помогает понять ограничения IPv4 и преимущества IPv6. На протяжении многих лет разрабатывались дополнительные протоколы и процессы для решения новых задач. Тем не менее даже в результате изменений IPv4 по-прежнему имеет три основных недостатка. Нехватка IP-адресов. - IPv4 может предложить лишь ограниченное количество уникальных публичных IP4-адресов. Несмотря на то что существует примерно 4 миллиарда IPv4-адресов, возросшее число новых устройств, в которых используется протокол IP, а также потенциальный рост менее развитых регионов привели к необходимости дополнительного увеличения количества адресов. Нехватка сквозных соединений. - Преобразование сетевых адресов (NAT) представляет собой технологию, которая обычно применяется в сетях IPv4. NAT позволяет различным устройствам совместно использовать один публичный IPv4-адрес. При этом, поскольку публичный IPv4-адрес используется совместно, IPv4-адрес узла внутренней сети скрыт. Это может представлять проблему при использовании технологий, для которых необходимы сквозные соединения. Повышенная сложность сети — несмотря на то, что NAT продлил срок службы IPv4, он был предназначен только как механизм перехода на IPv6. NAT в своей разнообразной реализации создает дополнительную сложность в сети, создавая задержку и затрудняя поиск и устранение неисправностей. 8.3.2 Обзор IPv6 В начале 90-х годов специалисты инженерной группы по развитию Интернета (IETF) подняли вопрос о недостатках протокола IPv4 и начали поиски альтернативных решений. Результатом поисков стала разработка протокола IP версии 6 (IPv6). К улучшениям, которые предлагает протокол IPv6, относятся: Расширенное адресное пространство. IPv6-адреса используют 128-битную иерархическую адресацию, в отличие от протокола IPv4, использующего 32 бита. Улучшенная обработка пакетов. Структура заголовка IPv6 была упрощена благодаря уменьшению количества полей. Отсутствие необходимости в использовании NAT. Благодаря большому количеству публичных IPv6-адресов нет необходимости в преобразовании сетевых адресов (NAT) между частными и публичными адресами IPv4. Это позволяет избежать некоторых проблем, связанных с NAT, с которыми сталкиваются приложения, требующие сквозного подключения. 32-битное адресное пространство IPv4 предусматривает примерно 4294967296 уникальных адресов. Адресное пространство протокола IPv6 поддерживает 340282366920938463463374607431768211456 или 340 ундециллионов адресов. Это примерно эквивалентно каждой песчинке на Земле. 8.3.3 Поля заголовка пакета IPv4 в заголовке пакета IPv6 Одним из основных конструктивных улучшений протокола IPv6 по сравнению с IPv4 является упрощенный заголовок IPv6. Например, заголовок IPv4 состоит из 20 октетов (до 60 байт, если используется поле «Параметры») и 12 основных полей заголовка, не учитывая поля «Параметры» и «Заполнитель». Как видно на рисунке, в IPv6 некоторые поля остались прежними, некоторые поля заголовка IPv4 более не используются, а в некоторых полях изменены названия и расположение. 8.4.1 Методы маршрутизации узлов. Решение о перенаправлении узла. С IPv4 и IPv6 пакеты всегда создаются на исходном хосте. Хост источника должен иметь возможность направлять пакет на хост назначения. Для этого хост-конечные устройства создают собственную таблицу маршрутизации. В этом разделе описывается, как конечные устройства используют таблицы маршрутизации. Другим предназначением сетевого узла является пересылка пакетов между узлами. Узел может отправить пакет на следующие адреса: Себе - хост может пинговать себя посылая пакеты на специальный IPv4-адрес 127.0.0.1 или IPv6-адрес ::1, который называется интерфейсом обратной связи. Отправка эхозапроса на интерфейс loopback тестирует стек протокола TCP/IP на узле. Локальный узел. Узел в той же локальной сети, в которой также находится отправляющий узел. Хосты источника и назначения используют один и тот же сетевой адрес. Удаленный узел. Узел в удаленной сети. Хосты источника и назначения не используют один и тот же сетевой адрес. Определяет, предназначен ли пакет для локального узла или удаленного узла, определяется конечным устройством источника. Конечное устройство источника определяет, находится ли конечный IP-адрес в той же сети, в которой находится само устройство источника. Метод определения варьируется в зависимости от версии IP: В IPv4 исходное устройство использует собственную маску подсети вместе с собственным адресом IPv4 и адресом назначения IPv4 для определения того, находится ли узел назначения в одной сети. В IPv6 — локальный маршрутизатор объявляет адрес локальной сети (префикс) всем устройствам в сети. В домашней или корпоративной сети могут находиться несколько проводных и беспроводных устройств, соединенных друг с другом с помощью промежуточного устройства, такого как коммутатор локальной сети (LAN) или точка беспроводного доступа (WAP). Это промежуточное устройство обеспечивает соединение между локальными узлами в локальной сети. Локальные узлы могут получать доступ друг к другу и обмениваться информацией без использования какихлибо дополнительных устройств. Если узел отправляет пакет устройству, которое настроено в этой же IP-сети в качестве главного устройства, пакет просто пересылается из интерфейса узла через промежуточное устройство прямо на устройство назначения. Разумеется, в большинстве случаев нам требуется, чтобы наши устройства могли устанавливать соединения за пределами сегмента локальной сети: подключаться к другим домам, офисам и Интернету. Устройства, которые не входят в сегмент локальной сети, называются удаленными узлами. Если исходное устройство отправляет пакет к удаленному устройству назначения, то в этом случае требуется помощь маршрутизаторов и выполнение маршрутизации. Маршрутизация — это процесс определения оптимального пути к хосту назначения. Маршрутизатор, подключенный к сегменту локальной сети, называется шлюзом по умолчанию. 8.4.2 Шлюз по умолчанию Шлюз по умолчанию — это сетевое устройство (т.е. маршрутизатор или коммутатор уровня 3), которое направляет трафик в другие сети. Если в качестве аналогии сети использовать комнату, шлюзом по умолчанию будет входная дверь. Для того чтобы попасть в другую комнату или сеть, нужно найти входную дверь. В сети шлюзом по умолчанию обычно является маршрутизатор со следующими функциями: Имеет локальный IP-адрес в том же диапазоне адресов, что и другие хосты в сети. Он может принимать данные в локальную сеть и пересылать данные из локальной сети. Направляет трафик в другие сети. Шлюз по умолчанию необходим для отправки трафика за пределы локальной сети. Трафик не может быть перенаправлен за пределы локальной сети, если отсутствует шлюз по умолчанию, адрес шлюза по умолчанию не настроен или шлюз по умолчанию отключен. 8.4.3 Хост маршруты к шлюзу по умолчанию Таблица маршрутизации узла, как правило, содержит шлюз по умолчанию. В IPv4, узел получает IPv4-адрес шлюза по умолчанию динамически от протокола динамической настройки узла (DHCP) или из вручную настроенных параметров. В IPv6 маршрутизатор объявляет адрес шлюза по умолчанию, или узел можно настроить вручную. На рисунке компьютеры PC1 и PC2 настроены на использование шлюза по умолчанию с IPv4адресом 192.168.10.1. В таблице маршрутизации ПК при наличии настроенного шлюза по умолчанию создается маршрут по умолчанию. Маршрут по умолчанию — маршрут или путь, по которому идет компьютер, когда он пытается связаться с удаленной сетью. И компьютер PC1, и компьютер PC2 будут иметь маршрут по умолчанию для отправки всего трафика, предназначенного для удаленных сетей, к маршрутизатору R1. 8.4.4 Таблицы маршрутизации узла На узле Windows команда route print или netstat -r можно использовать для отображения таблицы маршрутизации узла. Обе команды выдают одинаковый результат. Сначала полученные выходные данные могут показаться слишком обширными, однако разобраться в них довольно легко. На рисунке отображается образец топологии и выходные данные, созданные командой netstat –r. 8.5.1 Решение о пересылке пакетов маршрутизатора В предыдущем разделе рассматривались таблицы маршрутизации узлов. Большинство сетей также содержат маршрутизаторы, которые являются промежуточными устройствами. Маршрутизаторы также содержат таблицы маршрутизации. В этом разделе рассматриваются операции маршрутизатора на сетевом уровне. Когда узел отправляет пакет другому узлу, он использует свою таблицу маршрутизации, чтобы определить место отправки пакета. Если узел назначения находится в удаленной сети, пакет пересылается на шлюз по умолчанию, который обычно является локальным маршрутизатором. Когда пакет поступает на интерфейс маршрутизатора: Маршрутизатор считывает IP-адрес назначения и просматривает свою таблицу маршрутизации, определяя, куда нужно переслать пакет. Таблица маршрутизации содержит список всех известных сетевых адресов (префиксов) и куда пересылать пакет. Эти записи известны как записи маршрута или маршруты. Маршрутизатор пересылает пакет, используя наилучшую соответствующую запись маршрута. 8.5.2 Таблица маршрутизации IP-маршрутизатора Таблица маршрутизации маршрутизатора содержит записи сетевого маршрута, перечисляющие все возможные известные сетевые назначения. В таблице маршрутизации хранятся три типа записей маршрута: Сети с прямым подключением (Directly-connected networks)- эти записи сетевого маршрута являются активными интерфейсами маршрутизатора. Маршрутизаторы добавляют маршрут с прямым подключением, когда интерфейс настроен с IP-адресом и активирован. Каждый из интерфейсов маршрутизатора подключен к разному сегменту сети. На рисунке сети с прямым подключением в таблице маршрутизации R1 IPv4 будут иметь значения 192.168.10.0/24 и 209.165.200.224/30. Удаленные сети — это сети, подключенные к другим маршрутизаторам. Маршрутизаторы узнают о удаленных сетях либо путем явной настройки администратором, либо путем обмена информацией о маршрутах с помощью протокола динамической маршрутизации. На рисунке удаленная сеть в таблице маршрутизации R1 IPv4 будет иметь значение 10.1.1.0/24. Маршрут по умолчанию — как и узел, большинство маршрутизаторов также включают запись маршрута по умолчанию, в качестве последнего средства, если иного маршрута до нужной сети в таблице маршрутизации нет. Маршрут по умолчанию используется, если в таблице IP-маршрутизации нет лучшего (наибольшего) соответствия. На рисунке таблица маршрутизации R1 IPv4, скорее всего, будет включать маршрут по умолчанию для пересылки всех пакетов маршрутизатору R2. На рисунке представлены сети с прямым подключением и удаленные сети маршрутизатора R1. Маршрутизатор может узнать о удаленных сетях одним из двух способов: Вручную. Данные об удаленных сетях вручную вводятся в таблицу маршрутов с использованием статических маршрутов. Динамически. Удаленные маршруты автоматически добавляются с использованием протокола динамической маршрутизации. 8.5.3 Статическая маршрутизация Статические маршруты - это записи маршрутов, которые настраиваются вручную. На рисунке показан пример статического маршрута, настроенного вручную на маршрутизаторе R1. Статический маршрут включает в себя адрес удаленной сети и IP-адрес маршрутизатора следующего перехода. В случае изменения топологии сети статический маршрут не обновляется автоматически и должен быть перенастроен вручную. Например, на рисунке R1 имеет статический маршрут для достижения сети 10.1.1.0/24 через R2. Если этот путь больше не доступен, потребуется перенастроить R1 на новый статический маршрут к сети 10.1.1.0/24 через R3. Поэтому маршрутизатор R3 должен иметь запись маршрута в таблице маршрутизации для отправки пакетов, предназначенных для 10.1.1.0/24, на R2. Статическая маршрутизация имеет следующие характеристики: Статический маршрут должен быть настроен вручную. Администратору необходимо перенастроить статический маршрут, если есть изменения в топологии и статический маршрут больше не является жизнеспособным. Статический маршрут подходит для небольшой сети и когда избыточных каналов мало или нет. Статический маршрут обычно используется с протоколом динамической маршрутизации для настройки маршрута по умолчанию. 8.5.4 Динамическая маршрутизация Протокол динамической маршрутизации позволяет маршрутизаторам автоматически получать информацию о удаленных сетях, включая маршрут по умолчанию, от других маршрутизаторов. Маршрутизаторы, использующие протоколы динамической маршрутизации, автоматически обмениваются информацией о маршрутизации с другими маршрутизаторами и выполняют обновления в случае каких-либо изменений в топологии без участия сетевого администратора. При изменении топологии сети маршрутизаторы совместно используют эту информацию с помощью протокола динамической маршрутизации и автоматически обновляют свои таблицы маршрутизации.Протоколы динамической маршрутизации включают OSPF и расширенный протокол маршрутизации внутреннего шлюза (EIGRP). Базовая конфигурация требует, чтобы администратор сети включил непосредственно подключенные сети в рамках протокола динамической маршрутизации. Протокол динамической маршрутизации будет автоматически выполнять следующие действия: Обнаружение удаленных сетей; Обновление данных маршрутизации; Выбор оптимального пути к сетям назначения; Поиск нового оптимального пути в случае, если текущий путь недоступен. Если маршрутизатор вручную настроен со статическим маршрутом или узнает о удаленной сети динамически с помощью протокола динамической маршрутизации, адрес удаленной сети и адрес следующего перехода вводятся в таблицу IP-маршрутизации. Примечание: Во многих случаях маршрутизаторы одновременно используют протоколы динамической маршрутизации и статические маршруты 8.5.6 Введение в таблицу маршрутизации IPv4 Обратите внимание на рисунке, что R2 подключен к Интернету. Поэтому администратор настраивает R1 со статическим маршрутом, отправляющим пакеты R2, если в таблице маршрутизации нет конкретной записи, соответствующей IP-адресу назначения. R1 и R2 также используют маршрутизацию OSPF для объявления напрямую подключенных сетей. Команда show ip route привилегированного режима EXEC используется для просмотра таблицы маршрутизации IPv4 на маршрутизаторе Cisco IOS. В примере показана таблица маршрутизации IPv4 маршрутизатора R1. В начале каждой записи таблицы маршрутизации находится код, который используется для идентификации типа маршрута или способа его изучения. К общим источникам маршрутов (кодам) относятся следующие: L - IP-адрес локального интерфейса с прямым подключением C – Присоединенная напрямую сеть S — Статический маршрут был вручную настроен администратором O - OSPF D - EIGRP В таблице маршрутизации отображаются все известные маршруты назначения IPv4 для R1. Присоединенная напрямую маршрут создается автоматически, когда интерфейс маршрутизатора настроен с информацией об IP-адресе и активирован. Маршрутизатор добавляет две записи маршрута с кодами C (т.е. подключенная сеть) и L (т.е. IP-адрес локального интерфейса подключенной сети). Записи маршрута также определяют интерфейс выхода для доступа к сети. Две напрямую подключенные сети в этом примере — 192.168.10.0/24 и 209.165.200.224/30. Маршрутизаторы R1 и R2 также используют протокол динамической маршрутизации OSPF для обмена информацией о маршрутизаторе. В примере таблицы маршрутизации R1 содержит запись маршрута для сети 10.1.1.0/24, которую он динамически узнал от маршрутизатора R2 по протоколу маршрутизации OSPF. Маршрут по умолчанию (default route) имеет сетевой адрес всех нулей. Например, сетевой адрес IPv4 — 0.0.0.0. Статическая запись маршрута в таблице маршрутизации начинается с кода S\ *, как показано в примере. 9.1.1 Разрешения адресов. MAC и IP. Устройства разрешения в одной сети. Иногда хост должен отправить сообщение, но он знает только IP-адрес устройства назначения. Хост так же должен знать MAC-адрес этого устройства, но как его можно обнаружить? Именно здесь решающее значение приобретает процесс разрешение адресов. Устройству в локальной сети Ethernet присваиваются два основных адреса. Физический адрес (MAC-адрес) используется для обмена данными между сетевыми платами Ethernet устройств, находящихся в одной сети. Логический адрес (IP-адрес) используется для отправки пакетов от источника к назначению. IP-адрес назначения может находиться в той же IP-сети, что и источник, либо в удаленной сети. Они используются для доставки кадра, передаваемого по каналу в инкапсулированном IP-пакете, от одной сетевой интерфейсной платы к другой в той же сети. Если IP-адрес назначения находится в той же сети, то MAC-адресом назначения является адрес устройства назначения. Рассмотрим следующий пример с использованием упрощенных MAC-адресов. В этом примере ПК1 хочет отправить пакет к ПК2. На рисунке показаны MAC-адреса назначения и источника уровня 2, а также адреса IPv4 уровня 3, которые будут включены в пакет, отправленный с ПК1. Кадр Ethernet уровня 2 содержит следующее. MAC-адрес — упрощенный MAC-адрес ПК2, 55-55. Исходный MAC-адрес — упрощенный MAC-адрес сетевого адаптера Ethernet на ПК1, aaaa-aa. IP-пакет уровня 3 содержит следующее: Исходный IPv4-адрес — это адрес IPv4 ПК1, 192.168.10.10. Адрес назначения IPv4 — это адрес IPv4 ПК2, 192.168.10.11. 9.1.2 Устройства назначения в удаленной сети Если IP-адрес назначения находится в удаленной сети, то MAC-адресом назначения является адрес шлюза хоста по умолчанию. Рассмотрим следующий пример с использованием упрощенных MAC-адресов. В этом примере ПК1 хочет отправить пакет к ПК2. ПК2 расположен в удаленной сети. Поскольку адрес назначения IPv4 не находится в той же локальной сети, что и ПК1, MAC-адрес назначения — это адрес локального шлюза по умолчанию (маршрутизатор). Маршрутизаторы проверяют IPv4-адрес назначения для определения наилучшего способа пересылки IPv4-пакета. При получении маршрутизатором кадра Ethernet происходит деинкапсуляция информации уровня 2. На основе IP-адреса назначения маршрутизатор определяет следующее транзитное устройство и инкапсулирует IP-пакет в новый кадр для передачи в исходящий интерфейс. В каждом канале на пути IP-пакет инкапсулируется в кадр. Кадр связан с конкретной технологии канала передачи данных, связанной с этим каналом, например Ethernet. Если следующее транзитное устройство является назначением, то MAC-адресом назначения будет адрес сетевой платы Ethernet этого устройства, как показано на рисунке. Каким образом IP-адреса IP-пакетов в потоке данных ассоциируются с MAC-адресами в каждом канале на пути к узлу назначения? В IPv4 для этого используется протокол разрешения адресов (ARP). Для пакетов IPv6 этим процессом является обнаружение соседей ICMPv6 (ND). 9.2.1 Протокол ARP Если в сети используется протокол связи IPv4, для сопоставления IPv4-адресов с MAC-адресами необходимо использовать протокол разрешения адресов или ARP. В этом разделе объясняется, как работает ARP. Каждое IP-устройство в сети Ethernet имеет уникальный MAC-адрес Ethernet. Когда устройство отправляет кадр Ethernet, он содержит оба этих адреса. MAC-адрес назначения - MAC-адрес Ethernet устройства назначения в том же сегменте локальной сети . Если узел назначения находится в другой сети, то адресом назначения в кадре будет адрес шлюза по умолчанию (например, маршрутизатора). MAC-адрес источника - Это MAC-адрес сетевой платы Ethernet отправителя. Чтобы отправить пакет другому узлу в той же локальной сети IPv4, узел должен знать адрес IPv4 и MAC-адрес устройства назначения. Адреса назначения устройства IPv4 либо известны, либо разрешаются по имени устройства. Однако MAC-адреса должны быть обнаружены. Устройство использует протокол разрешения адресов (ARP) для определения MAC-адреса назначения локального устройства, если известен IPv4-адрес. Протокол ARP выполняет две основные функции. Сопоставление IPv4-адресов и МАС-адресов Ведение таблицы соответствий IPv4-MAC-адресов 9.2.2 Функции ARP Когда пакет отправляется на канальный уровень для инкапсуляции в кадре Ethernet, устройство обращается к таблице в своей памяти, чтобы найти MAC-адрес, который сопоставлен с IPv4адресом. Эта таблица хранится в ОЗУ и называется ARP-таблицей или ARP-кешем. Передающее устройство ищет в своей таблице ARP IPv4-адрес назначения и соответствующий MAC-адрес. Если IPv4-адрес назначения пакета находится в той же сети, что и IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес назначения. Если IPv4-адрес назначения пакета находится не в той же сети, что IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес шлюза по умолчанию. В обоих случаях необходимо найти IPv4-адрес и соответствующий MAC-адрес устройства. Каждая запись или строка в таблице ARP связывает IPv4-адрес с MAC-адресом. Отношение между двумя значениями называется сопоставлением. Это просто означает, что адрес IPv4 можно найти в таблице и с его помощью определить соответствующий MAC-адрес. Таблица ARP временно сохраняет (кеширует) сопоставление устройств в локальной сети (LAN). Если устройство находит IPv4-адрес, то в качестве MAC-адреса в кадре используется соответствующий MAC-адрес. Если запись не найдена, устройство отправляет ARP-запрос. ARP-запрос отправляется в том случае, когда устройству требуется MAC-адрес, связанный с IPv4адресом, но в его таблице ARP нет данных о IPv4-адресе. Сообщения ARP-запроса инкапсулируются непосредственно в кадре Ethernet. Заголовок IPv4 отсутствует. ARP-запрос инкапсулируется в кадре Ethernet со следующей информацией в заголовке. MAC-адрес назначения. Широковещательный адрес FF-FF-FF-FF-FF-FF, требующей принятия и обработки ARP-запроса всеми сетевыми интерфейсными платами Ethernet в локальной сети (LAN). MAC-адрес источника. Это отправитель MAC-адреса в ARP-запросе. Тип. В сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP. Поскольку ARP-запросы являются широковещательной рассылкой, они рассылаются через все порты коммутатора, кроме принимающего порта. Все сетевые адаптеры Ethernet в процессе локальной сети транслируют и должны доставить запрос ARP в свою операционную систему для обработки. Каждое устройство обрабатывает ARP-запрос на предмет совпадения целевого IPv4адреса с собственным адресом. Маршрутизатор не пересылает широковещательные рассылки другим интерфейсам. Только у одного устройства в локальной сети (LAN) будет IPv4-адрес, совпадающий в целевым IPv4-адресом в ARP-запросе. Ответ от других устройств не поступает. ARP ответ: Только устройство с IPv4-адресом, связанным с целевым IPv4-адресом в ARP-запросе, возвращает ARP-ответ. ARP-ответ инкапсулируется в кадре Ethernet со следующей информацией в заголовке. MAC-адрес получателя. Это отправитель MAC-адреса в ARP-запросе. MAC-адрес источника. Это отправитель MAC-адреса в ARP-запросе. Тип. В сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP. Одноадресный ARP-ответ получит только то устройство, которое отправило ARP-запрос. После получения ARP-ответа устройство добавит адрес IPv4 и соответствующий MAC-адрес в свою таблицу ARP. Теперь пакеты для этого IPv4-адреса можно инкапсулировать в кадрах, используя соответствующий ему MAC-адрес. Если на ARP-запрос не отвечает ни одно устройство, пакет отбрасывается, поскольку сформировать кадр невозможно. Записи в таблице ARP получают метку времени. Если к моменту истечения метки времени устройство не получит кадр от какого-либо устройства, запись для этого устройства будет удалена из таблицы ARP. Кроме того, в таблицу ARP можно добавлять статические записи сопоставления, но это делается нечасто. Срок действия статических записей в таблице ARP не истекает со временем, поэтому их необходимо удалять вручную. Примечание: Для IPv6 используется протокол, аналогичный протоколу разрешения адресов (ARP) для IPv4, который называется «протокол обнаружения соседей» ICMPv6 (ND). Для IPv6 используются сообщения опроса и объявления соседей, которые схожи по своему назначению с ARP-запросами и ответами в IPv4. 9.2.5 Роль ARP в обмене данными с удаленными сетями Если IPv4-адрес назначения находится не в той же сети, что IPv4-адрес источника, устройствуотправителю необходимо отправить кадр на свой шлюз по умолчанию. Это интерфейс локального маршрутизатора Когда в устройстве источника есть пакет с IPv4-адресом в другой сети, оно инкапсулирует этот пакет в кадре, используя MAC-адрес назначения маршрутизатора. IPv4-адрес шлюза по умолчанию хранится в конфигурации IPv4 узлов. Когда узел создает пакет для адресата, он сравнивает IPv4-адрес назначения и свой собственный IPv4-адрес, чтобы определить, находятся ли эти два IPv4-адреса в одной и той же сети уровня 3. Если конечный хост находится в другой сети, источник ищет в своей таблице ARP запись с IPv4-адресом шлюза по умолчанию. Если запись отсутствует, то для определения MAC-адреса шлюза по умолчанию используется процесс ARP. 9.2.6 Удаление записей из таблицы ARP В каждом устройстве есть таймер кэша ARP, который удаляет записи из таблицы ARP, не используемые в течение указанного периода времени. Этот период может быть разным в зависимости от операционной системы устройства. Например, новые операционные системы Windows хранят записи таблицы ARP от 15 до 45 секунд. Кроме того, можно использовать некоторые команды, чтобы вручную удалить все или некоторые записи из таблицы ARP. После удаления записи процесс отправки ARP-запроса и получения ARP- ответа необходимо задействовать повторно, чтобы зарегистрировать сопоставление в таблице ARP 9.2.7 Таблица ARP на сетевых устройствах На маршрутизаторе Cisco для просмотра таблицы ARP используется команда show ip arp. На компьютерах под управлением Windows 10 для отображения таблицы ARP используется команда arp –a. 9.2.8 Проблемы ARP широковещательная рассылка ARP и ARP- спуфинг Поскольку ARP-запрос является кадром широковещательной рассылки, его получают и обрабатывают все устройства в локальной сети. В стандартной бизнес-сети такие широковещательные рассылки, скорее всего, не окажут серьезного влияния на производительность сети. Но если в сети много устройств и все они одновременно попытаются получить доступ к сетевым службам, это может на короткий период времени негативно повлиять на работу сети. После того как устройства разошлют начальные запросы широковещательной рассылки ARP и получат необходимые MAC-адреса, любое влияние на сеть будет сведено к минимуму. В некоторых случаях использование протокола разрешения адресов (ARP) может представлять определенный риск для безопасности. Злоумышленник может использовать ARP spoofing для выполнения атаки «отравление» ARP-кеша. В ходе таких атак хакер отправляет ответ на ARPзапрос IPv4-адреса с адресом другого устройства, например шлюза по умолчанию, как показано на рисунке. Хакер отправляет ARP-ответ со своим MAC-адресом. Получатель ARP-ответа добавит фальсифицированный MAC-адрес в свою таблицу ARP, что позволит хакеру получать отправляемые пакеты. Коммутаторы корпоративного уровня оснащены функцией защиты от такого рода атак, которая называется Dynamic ARP Inspection (DAI). Функция DAI не рассматривается в этом курсе. 9.3.1 Обнаружение соседних IPv6 устройств Если ваша сеть использует протокол связи IPv6, то протокол Neighbor Discovery или ND - это то, что вам нужно для сопоставления адресов IPv6 с MAC-адресами. В этом разделе объясняется, как работает ND. 9.3.2 Протокол обнаружения соседей IPv6 Протокол обнаружения соседей IPv6 называется ND или NDP. В этом курсе мы будем называть его ND. ND обеспечивает разрешение адресов, обнаружение маршрутизаторов и службы перенаправления для IPv6 с использованием ICMPv6. ICMPv6 ND использует пять сообщений ICMPv6 для выполнения этих служб: Сообщение «Запрос соседнего узла» (Neighbor Solicitation, NS); Сообщение «Ответ соседнего узла» (Neighbor Advertisement, NA); Сообщение «Запрос к маршрутизатору» (Router Solicitation, RS); Сообщение «Ответ маршрутизатора» (Router Advertisement, RA); Сообщение «Перенаправление» (Redirect Message). «Запрос соседнего узла» и «Ответ соседнего узла» используются для обмена сообщениями между устройствами, например разрешения адресов (аналогично ARP для IPv4). Устройства включают как хост-компьютеры, так и маршрутизаторы. «Запрос к маршрутизатору» и «Ответ маршрутизатора» предназначены для обмена сообщениями между устройствами и маршрутизаторами. Обычно обнаружение маршрутизатора используется для динамического распределения адресов и автонастройки адресов без состояния (SLAAC). 9.3.3 Обнаружение соседей IPv6 – разрешение адресов Подобно ARP для IPv4, IPv6 устройства используют IPv6 ND для определения MAC-адреса устройства, которое имеет известный IPv6 адрес. Сообщения ICMPv6 «Запрос соседнего узла» и «Оповещение соседних узлов о присутствии» используются для разрешения MAC-адресов. Это похоже на запросы ARP и ответы ARP, используемые ARP для IPv4. Например, предположим, что PC1 хочет выполнить эхо-запрос PC2 по адресу IPv6 2001:db8:acad::11. Чтобы определить MAC-адрес для известного IPv6-адреса, PC1 отправляет сообщение ICMPv6 Neighbor Solicitation. Сообщения ICMPv6 «Запрос соседнего узла» отправляются с помощью специальных адресов многоадресной рассылки Ethernet и IPv6. Это позволяет сетевой адаптер Ethernet принимающего устройства определить, является ли сообщение «Запрос соседнего узла» предназначенным ему, не отправляя его в операционную систему для обработки. PC2 отвечает на запрос сообщением ICMPv6 «Ответ соседнего узла», которое содержит MACадрес. 10.1.1 Базовая настройка маршрутизатора При настройке начальных параметров маршрутизатора необходимо выполнить следующие задачи. 10.1.2 Базовая Конфигурация маршрутизатора В этом примере маршрутизатор R1 в схеме топологии будет настроен с исходными настройками. Чтобы настроить имя устройства для R1, используйте следующие команды. Примечание: Обратите внимание на то, как в запросе маршрутизатора теперь отображается имя узла маршрутизатора. Весь доступ маршрутизатора должен быть защищен. Привилегированный режим EXEC предоставляет пользователю полный доступ к устройству и его конфигурации. Таким образом, это самый важный режим для защиты. Следующие команды обеспечивают защиту привилегированного режима EXEC и пользовательского режима EXEC, разрешают удаленный доступ Telnet и SSH, а также шифруют все пароли открытого текста (например, пользовательские EXEC и VTY line). Правовое уведомление предупреждает пользователей о том, что к устройству должны обращаться только разрешенные пользователи. Правовое уведомление настраивается следующим образом. Если предыдущие команды были настроены и маршрутизатор случайно потерял питание, все настроенные команды будут потеряны. По этой причине важно сохранить конфигурацию при внесении изменений. Следующая команда сохраняет конфигурацию в NVRAM. 10.2.1 Настройка интерфейсов маршрутизатора Задача настройки интерфейса маршрутизатора очень похожа на управление SVI на коммутаторе: Примечание: Когда интерфейс маршрутизатора включен, должны отображаться информационные сообщения, подтверждающие включенную связь. Несмотря на то, что команда description не требуется для включения интерфейса, рекомендуется использовать ее. Текст описания может содержать не более 240 символов. Использование команды no shutdown активирует интерфейс и аналогично включению интерфейса. Для активации физического уровня интерфейс должен быть также подключен к другому устройству (коммутатору или маршрутизатору). Примечание: В межмаршрутизаторских соединениях, где нет коммутатора Ethernet, оба взаимосвязанных интерфейса должны быть настроены и включены. 10.2.2 Пример настройки интерфейсов маршрутизатора В этом примере будут включены напрямую подключенные интерфейсы R1 в схеме топологии. 10.2.7 Проверка конфигурации интерфейса Для проверки конфигурации интерфейса можно использовать несколько команд. Наиболее полезными из них являются show ip interface brief команды show ipv6 interface brief and, как показано в примере. 10.2.4 Команды проверки конфигурации 10.3.1 Шлюз по умолчанию для хоста Если локальная сеть имеет только один маршрутизатор, это будет маршрутизатор шлюза, и все узлы и коммутаторы в сети должны быть настроены с этой информацией. Если в локальной сети имеется несколько маршрутизаторов, необходимо выбрать один из них в качестве маршрутизатора шлюза по умолчанию. В этом разделе объясняется, как настроить шлюз по умолчанию на узлах и коммутаторах. Чтобы оконечное устройство могло обмениваться данными по сети, ему необходимо присвоить правильный IP-адрес, включая адрес шлюза по умолчанию. Шлюз по умолчанию используется только в том случае, когда узлу необходимо отправить пакет устройству в другой сети. Адресом шлюза по умолчанию, как правило, является адрес интерфейса маршрутизатора, связанный с локальной сетью, в которой находится узел. IP-адрес узлового устройства и адрес интерфейса маршрутизатора должны находиться в одной сети. Например, предположим, что топология сети IPv4 состоит из маршрутизатора, соединяющего две отдельные локальные сети. G0/0 подключен к сети 192.168.10.0, а G0/0.1 — к сети 192.168.11.0. Для каждого главного устройства указан соответствующий адрес шлюза по умолчанию. В этом примере, если PC1 отправляет пакет PC2, то шлюз по умолчанию не используется. Вместо этого компьютер PC1 отправляет пакет с IPv4-адресом PC2 и пересылает этот пакет непосредственно к PC2 через коммутатор. Что если PC1 отправил пакет на PC3? PC1 будет обращаться к пакету с адресом IPv4 PC3, но будет перенаправлять пакет на шлюз по умолчанию, который является интерфейсом G0/0/0 R1. Маршрутизатор принимает пакет, проверяет таблицу маршрутизации, чтобы на основании адреса назначения определить подходящий выходной интерфейс. Затем R1 отправляет пакет из соответствующего интерфейса на PC3. Такой же процесс будет происходить в сети IPv6, хотя это не отображается в топологии. Устройства будут использовать IPv6 адрес локального маршрутизатора в качестве шлюза по умолчанию. 10.3.2 Шлюз по умолчанию для коммутатора Коммутатор, который соединяет клиентские компьютеры, обычно является устройством уровня 2. По этой причине коммутатору уровня 2 для нормального функционирования не требуется IPадрес. Однако, конфигурацию IP можно настроить на коммутаторе, чтобы предоставить администратору удаленный доступ к коммутатору. Для подключения и управления коммутатором через локальную IP-сеть необходимо настроить виртуальный интерфейс коммутатора (SVI). SVI настроен с IPv4-адресом и маской подсети в локальной локальной сети. Коммутатор также должен иметь адрес шлюза по умолчанию, настроенный для удаленного управления коммутатором из другой сети. Адрес основного шлюза, как правило, настроен на всех устройствах, которым необходим обмен данными за пределами своей локальной сети. Чтобы настроить шлюз IPv4 по умолчанию на коммутаторе, используйте команду глобальной конфигурации ip default-gateway ip-address. Значение ip-address, которое указано, является IPv4адресом локального интерфейса маршрутизатора, подключенного к коммутатору. На рисунке показан администратор, настраивающий удаленное подключение к коммутатору S1 другой сети. В этом примере узел администратора будет использовать шлюз по умолчанию для отправки пакета на интерфейс G0/0/1 R1. R1 переслал пакет S1 с интерфейса G0/0/0. Поскольку адрес источника пакета IPv4 поступает из другой сети, S1 потребуется шлюз по умолчанию для пересылки пакета на интерфейс G0/0/0 R1. S1 необходимо настроить шлюзом по умолчанию, чтобы иметь возможность реагировать и устанавливать SSH-соединение с административным узлом. Примечание: Пакеты, которые создаются узлами, подключенными к коммутатору, уже должны содержать информацию о шлюзе по умолчанию, настроенном для обмена данными в удаленных сетях. Коммутатор рабочей группы также может быть настроен с IPv6-адресом на SVI. Однако коммутатор не требует настройки вручную IPv6-адреса шлюза по умолчанию. Коммутатор автоматически получит шлюз по умолчанию из сообщения ICMPv6 Router Advertisement от маршрутизатора. 11.1.1 Структура IPv4 Сетевая и узловая часть адресов. Адрес IPv4 является иерархическим и состоит из раздела сети и раздела хоста. Определяя ту или иную часть, необходимо обращать внимание не на десятичное значение, а на 32-битный поток, как показано нарисунке. Биты в сетевой части адреса должны быть одинаковыми у всех устройств, находящихся в одной сети. Биты в хостовой части адреса должны быть уникальными для каждого хоста в сети. Если два узла имеют одну битовую комбинацию в определенной сетевой части 32-битного потока, то эти два узла находятся в одной и той же сети. Но как узлы определяют, какая из частей 32-битного потока является сетевой, а какая — узловой? Это задача маски подсети. 11.1.2 Маска подсети Как показано на рисунке, для назначения адреса IPv4 узлу требуется следующее: IPv4 адрес - это уникальный IPv4 адрес хоста. Маска подсети - используется для определения сетевой части и части хоста адреса IPv4. Примечание: Для доступа к удаленным сетям требуется IPv4-адрес шлюза по умолчанию, а IPv4адрес DNS-сервера необходим для преобразования доменных имен в IPv4-адреса. Маска подсети IPv4 — это 32-битовое значение, которое отделяет сетевую часть адреса от хостовой части. При назначении устройству IPv4-адреса для определения адреса сети, к которому относится данное устройство, используется маска подсети. Сетевой адрес представляет все устройства в одной сети. На следующем рисунке показана 32-битная маска подсети в десятичном и двоичном форматах с точками. Обратите внимание, что маска подсети представляет собой последовательную последовательность из единичных битов (1), за которой следует последовательная последовательность из нулевых битов (0). Для идентификации сетевой и узловой части IPv4-адреса маска подсети побитово сравнивается с IPv4-адресом слева направо, как показано на рисунке. Обратите внимание, что маска подсети на самом деле не содержит сетевой или узловой части IPv4-адреса; она лишь указывает компьютеру, где искать эти части в конкретном IPv4-адресе. Сам процесс, используемый для определения сетевой и узловой частей адреса, называется логической операцией И (AND). 11.1.3 Длина префикса Представление сетевых адресов и адресов узлов путем в виде маски подсети в десятичном формате с точкой-разделителем может быть очень громоздким. К счастью, существует альтернативный, более простой, способ определения маски подсети, называемый длиной префикса. Длина префикса означает количество бит, установленных в единицу (1) в маске подсети. Она обозначается наклонной чертой вправо («/»), после которой идет набор единиц. Следовательно, нужно подсчитать число битов в маске подсети и поставить перед этим значением косую черту. Примеры см. в таблице. В первом столбце перечислены различные маски подсети, которые могут использоваться с адресом узла. Во втором столбце указан полученный 32-битный двоичный адрес. В последнем столбце указана полученная длина префикса. Примечание: Сетевой адрес также называется префиксом или сетевым префиксом. Длина префикса означает количество бит, установленных в единицу (1) в маске подсети. При представлении адреса IPv4 с использованием длины префикса, адрес IPv4 записывается за ним длина префикса. 192.168.10.10 255.255.0 будет записан как 192.168.10.10/24. Об использовании различных типов длины префикса вы узнаете позже. Сейчас же мы будем говорить о маске подсети /24 (т.е. 255.255.255.0). 11.1.4 Определение сети: Логическое И Логическая операция И — одна из трех основных двоичных операций, используемых в дискретной логике. Двумя другими операциями являются ИЛИ (OR) и НЕ (NOT). Операция И используется для определения сетевого адреса.Логическое И — это сравнение двух битов, результаты которого показаны на рисунке ниже. Обратите внимание, что 1 И 1 = 1. Любая другая комбинация приводит к 0. 1И1=1 0И1=0 1И0=0 0И0=0 Примечание: В цифровой логике 1 представляет True, а 0 — False. При использовании операции AND оба входных значения должны быть True (1), чтобы результат был True (1). Для того чтобы определить сетевой адрес IPv4-узла, к IPv4-адресу и маске подсети побитово применяется логическая операция И. Применение логической операции И к адресу и маске подсети в результате дает сетевой адрес. Пример: IPv4 адрес узла (192.168.10.10) - IPv4-адрес хоста в десятичном формате с точками и в двоичном виде. Маска подсети (255.255.255.0) - Маска подсети узла в десятичном формате с точками и в двоичном виде. Сетевой адрес (192.168.10.0) - Логическая операция AND между адресом IPv4 и маской подсети приводит к тому, что сетевой адрес IPv4 отображается в десятичном формате с точками и в двоичном виде. Используя первую последовательность битов в качестве примера, обратите внимание, что операция логического И выполняется на 1 бите адресе хоста с 1 битом маски подсети. Это приводит к 1 биту сетевого адреса. 1 И 1 = 1. Операция логического И между адресом узла IPv4 и маской подсети приводит к созданию IPv4адреса сети для этого узла. В этом примере операция логического И между адресом узла 192.168.10.10 и маской подсети 255.255.255.0 (/24) приводит к созданию IPv4-адреса сети 192.168.10.0/24. Это важная операция IPv4, так как она сообщает хосту, к какой сети он принадлежит. 11.1.6 Сетевой адрес, адрес хоста и адрес трансляции В каждой сети есть три типа IP-адресов: Сетевой адрес Адрес хоста Широковещательный адрес Сетевой адрес Сетевой адрес — это адрес, представляющий определенную сеть. Устройство принадлежит этой сети, если оно удовлетворяет трем критериям: Он имеет ту же маску подсети, что и сетевой адрес. Он имеет те же биты сети, что и сетевой адрес, как указано маской подсети. Он расположен в том же домене широковещательной рассылки, что и другие узлы с тем же сетевым адресом. Узел определяет свой сетевой адрес, выполняя операцию логического И между IPv4-адресом и маской подсети.Как показано в таблице, сетевой адрес имеет все 0 бит в части узла, как определено маской подсети. В этом примере сетевой адрес — 192.168.10.0/24. Сетевой адрес не может быть назначен устройству. Адреса узлов Адреса узлов — это адреса, которые могут быть назначены устройству, например компьютеру, ноутбуку, смартфону, веб-камере, принтеру, маршрутизатору и т.д. Основной частью адреса являются биты, обозначенные 0 битами в маске подсети. Адреса хоста могут иметь любую комбинацию битов в части хоста, за исключением всех 0 битов (это будет сетевой адрес) или всех 1 битов (это будет широковещательный адрес). Все устройства в одной сети должны иметь одинаковую маску подсети и одинаковые биты сети. Только биты хоста будут отличаться и должны быть уникальными. Обратите внимание, что в таблице есть первый и последний адрес хоста: Первый используемый адрес - этот первый узел в сети имеет все 0 бит с последним (самым правым) битом в 1 бит. В этом примере это 192.168.10.1/24. Последний используемый адрес - этот последний узел в сети имеет все 1 бит с последним (самым правым) битом в 0 бит. В этом примере это 192.168.10.254/24. Любые адреса между 192.168.10.1/24 по 192.168.10.254/24 включительно могут быть назначены устройству в сети. Широковещательный адрес Широковещательный адрес — это адрес, который используется, когда он необходим для доступа ко всем устройствам в IPv4-сети. Как показано в таблице, сетевой широковещательный адрес имеет все 1 бит в части узла, определяемой маской подсети. В этом примере сетевой адрес — 192.168.10.255/24. Широковещательный адрес не может быть назначен устройству. 11.2.1 Одноадресная рассылка Одноадресная передача относится к одному устройству, отправляющему сообщение другому устройству в режиме один-в-один. Одноадресный пакет имеет IP-адрес назначения, который является одноадресный адрес, который передается одному получателю. Исходный IP-адрес может быть только одноадресный адрес, так как пакет может быть получен только из одного источника. Это независимо от того, является ли конечный IP-адрес одноадресным, широковещательным или многоадресным. IPv4-адреса узла являются одноадресными и входят в диапазон адресов от 1.1.1.1 до 223.255.255.255. Однако в этом диапазоне есть множество адресов, зарезервированных для специальных целей. Такие адреса будут рассмотрены позже. 11.2.2 Широковещательная рассылка Широковещательная рассылка связана с устройством, отправляющее сообщение всем остальным устройствам в сети в режиме «один-ко всем». Пакет широковещательной рассылки содержит IPv4-адрес назначения, в узловой части которого присутствуют только единицы (1). Примечание: IPv4 использует широковещательные пакеты. Однако, широковещательные пакеты в IPv6 отсутствуют. Широковещательный пакет должен обрабатываться всеми устройствами в одном домене широковещательной рассылки. Домен широковещательной рассылки идентифицирует все узлы в одном сегменте сети. Есть два типа широковещательной рассылки: прямая и ограниченная. Прямая широковещательная рассылка передается всем узлам в конкретной сети. Например, узел в сети 172.16.4.0/24 отправляет пакет на адрес 172.16.4.255. Ограниченная широковещательная рассылка отправляется на адрес 255.255.255.255. По умолчанию, маршрутизаторы не пересылают широковещательные рассылки. Широковещательный пакет использует ресурсы в сети и заставляет каждый принимающий узел в сети обрабатывать этот пакет. Таким образом, трафик широковещательной рассылки должен быть ограниченным, чтобы не влиять на производительность сети и других устройств. Поскольку маршрутизаторы разделяют домены широковещательной рассылки, разделение сетей может повысить производительность сети за счет устранения чрезмерного трафика широковещательной рассылки. Направленная широковещательная рассылка В дополнение к широковещательному адресу 255.255.255.255 для каждой сети имеется широковещательный IPv4 адрес. Пакет широковещательной рассылки содержит IPv4-адрес назначения, в узловой части которого присутствуют только единицы (1).. Например, направленный широковещательный адрес для 192.168.1.0/24 — 192.168.1.255. Этот адрес позволяет осуществлять связь со всеми узлами в этой сети. Чтобы отправить данные всем узлам в сети, узел может отправить один пакет, адресован широковещательному адресу сети. Устройство, не подключенное напрямую к сети назначения, пересылает широковещательную передачу с IP-адресом так же, как и одноадресные IP-пакеты, предназначенные узлу в этой сети. Когда направленный широковещательный пакет достигает маршрутизатора, который напрямую подключен к сети назначения, этот пакет транслируется в сети назначения. Примечание: Из-за проблем безопасности и предыдущих злоупотреблений со стороны злоумышленников, направленные широковещательные рассылки по умолчанию отключаются, начиная с Cisco IOS версии 12.0 с командой глобальной конфигурации no ip directed-broadcasts. 11.2.3 Многоадресная рассылка Многоадресная рассылка уменьшает трафик, позволяя узлу отправлять один пакет выбранной группе узлов, которые подписаны на группу многоадресной рассылки. Многоадресный пакет — это пакет с IP-адресом назначения, который является адресом многоадресной рассылки. Для многоадресной рассылки в протоколе IPv4 зарезервированы адреса от 224.0.0.0 до 239.255.255.255. Узлы, которые получают конкретные многоадресные данные, называются клиентами многоадресной рассылки. Клиенты многоадресной рассылки используют сервисы, запрошенные программой клиента для подписки на группу многоадресной рассылки. Каждая группа многоадресной рассылки представлена одним групповым IPv4-адресом назначения. Когда IPv4-узел подписывается на группу многоадресной рассылки, он обрабатывает пакеты, адресованные на этот групповой адрес, а также пакеты, адресованные на его уникальный индивидуальный адрес. Протоколы маршрутизации, такие как OSPF, используют многоадресную передачу. Например, маршрутизаторы с включенной функцией OSPF взаимодействуют друг с другом, используя зарезервированный адрес многоадресной рассылки OSPF 224.0.0.5. Только устройства с поддержкой OSPF будут обрабатывать эти пакеты с адресом IPv4 назначения 224.0.0.5. 11.3.1 Типы адресов. Общедоступные и частные адреса IPv4 Так же, как существуют различные способы передачи пакета IPv4, существуют также различные типы адресов IPv4. Некоторые IPv4 адреса не могут использоваться для выхода в Интернет, а другие специально выделены для маршрутизации в Интернет. Некоторые из них используются для проверки соединения, другие назначаются самостоятельно. Как администратор сети, вы в конечном итоге будете очень знакомы с типами IPv4 адресов, но пока вы должны хотя бы знать, что это такое и когда их использовать. Публичные IPv4-адреса представляют собой адреса, на глобальном уровне маршрутизируемые между маршрутизаторами интернет-провайдеров (Internet Service Provider, ISP). Однако, не все доступные IPv4-адреса можно использовать в Интернете. Имеются блоки адресов, называемые частными адресами, которые в большинстве компаний назначаются в качестве IPv4-адресов внутренних хостов. В середине 1990-х гг. из-за исчерпания адресного пространства IPv4 были введены частные адреса IPv4. Частные адреса IPv4 не являются уникальными и могут использоваться в любой внутренней сети.Долгосрочным решением проблемы истощения адресов IPv4 был IPv6. Частные адреса определяются в RFC 1918 и иногда называют адресное пространство RFC 1918. 11.3.2 Маршрутизация в Интернет Большинство внутренних сетей, от крупных предприятий до домашних сетей, используют частные IPv4 адреса для адресации всех внутренних устройств (интрасети), включая хосты и маршрутизаторы. Однако, частные адреса не являются глобально маршрутизируемыми. На рисунке клиентские сети 1, 2 и 3 отправляют пакеты за пределы своих внутренних сетей. Эти пакеты имеют исходный IPv4 адрес, который является частным адресом, и адрес назначения IPv4, который является общедоступным (глобально маршрутизируемым). Пакеты с частным адресом должны быть отфильтрованы (отброшены) или транслированы в публичный адрес перед отправкой пакета поставщику услуг Интернета. Прежде чем поставщик услуг Интернета сможет переслать этот пакет, он должен преобразовать исходный адрес IPv4, который является частным адресом, в публичный адрес IPv4 с помощью преобразования сетевых адресов (NAT). NAT выполняет преобразование между частными и общедоступными адресами IPv4. Это обычно выполняется на маршрутизаторе, который обеспечивает соединение между внутренней сетью и сетью ISP. Частные IPv4 адреса в интрасети организации будут преобразованы в общедоступные IPv4 адреса перед маршрутизацией в Интернет. Примечание: Несмотря на то, что устройство с частным IPv4-адресом не доступно напрямую с другого устройства через Интернет, IETF не рассматривает частные IPv4-адреса или NAT в качестве эффективных мер безопасности. Организации, имеющие доступные в Интернете ресурсы, такие как веб-сервер, также будут иметь устройства с общедоступными IPv4-адресами. Как показано на рисунке, эта часть сети известна как DMZ (демилитаризованная зона). Маршрутизатор на рисунке не только выполняет маршрутизацию, он также выполняет NAT и выступает в качестве брандмауэра для обеспечения безопасности. Частные адреса IPv4 обычно используются в образовательных целях вместо использования публичного адреса IPv4, который, скорее всего, принадлежит организации. 11.3.4 IPv4 адреса специального назначения Некоторые адреса (например, сетевые и широковещательные) нельзя назначать узлам. Также есть особые адреса, которые можно назначать узлам, но с ограничениями способов взаимодействия этих узлов в сети. адреса loopback Адреса loopback (127.0.0.0 /8 или от 127.0.0.1 до 127.255.255.254): чаще определяются как только один адрес 127.0.0.1— это особые адреса, которые используют узлы, чтобы направлять трафик самим себе. Например, они могут использоваться узлом, чтобы проверить работоспособность конфигурации TCP/IP, как показано на рисунке. Посмотрите, как адрес loopback 127.0.0.1 отвечает на эхозапрос ping. Также обратите внимание, как любой адрес в этом блоке адресов возвращает пакет на локальный узел. Локальные адреса канала Локальные адреса канала или адреса автоматической частной IP-адресации (APIPA) 169.254.0.0 /16 или от 169.254.0.1 до 169.254.255.254 Они используются клиентом DHCP Windows для самостоятельной настройки в случае отсутствия доступных DHCP-серверов. Локальные адреса связи могут использоваться в одноранговом соединении, но не используются для этой цели. 11.3.5 Устаревшая классовая адресация В 1981 г. IPv4-адреса в сети Интернет назначались с помощью классовой адресации согласно RFC 790 (Назначенные адреса). Заказчикам выделялся сетевой адрес на основе одного из трех классов: A, B или C. Согласно стандарту RFC одноадресные диапазоны делятся на следующие классы. Класс A (от 0.0.0.0/8 до 127.0.0.0/8) разработан для очень крупных сетей, имеющих более 16 млн адресов хостов. Для обозначения сетевого адреса IPv4-адреса класса А использовали фиксированный префикс /8 с первым октетом. Остальные три октета использовались для адресов хостов. Класс B (от 128.0.0.0/16 до 191.255.0.0/16) разработан для поддержки потребностей средних и крупных сетей, содержащих приблизительно 65 000 адресов хостов. Адрес класса B использовал фиксированный префикс /16, два старших октета для обозначения сетевого адреса. Оставшиеся два октета определяли адреса хостов. Класс C (от 192.0.0.0/24 до 223.255.255.0/24) предназначен для небольших сетей с количеством хостов не более 254. Блоки адресов класса С использовали префикс /24 для трех старших октетов для указания адреса сети и последний октет для указания адресов хостов. Примечание: Также имеется многоадресный блок класса D (от 224.0.0.0 до 239.0.0.0) и блок экспериментальных адресов класса E (от 240.0.0.0 до 255.0.0.0). В то время, с ограниченным количеством компьютеров, использующих Интернет, классическая адресация была эффективным средством распределения адресов. Как показано на рисунке, сети классов A и B имеют очень большое количество адресов узлов, а класс C имеет очень мало. На сети класса А приходится 50% сетей IPv4. Это привело к тому, что большинство доступных адресов IPv4 не используются. В середине 1990-х годов, с появлением World Wide Web (WWW), классическая адресация устарела, чтобы более эффективно распределять ограниченное адресное пространство IPv4. Классовое распределение адресов было заменено бесклассовой адресацией, которая используется сегодня. Бесклассовая адресация игнорирует правила классов (A, B, C). Общедоступные сетевые адреса IPv4 (сетевые адреса и маски подсети) выделяются на основе числа адресов, которые могут быть оправданы. 11.3.6 Назначение IP алресов Публичные IPv4-адреса представляют собой адреса, на глобальном уровне маршрутизируемые между маршрутизаторами интернет-провайдеров (Internet Service Provider, ISP). Публичные адреса IPv4 должны быть уникальными. Назначение IPv4- и IPv6-адресов регулируется Администрацией адресного пространства Интернет (IANA) IANA управляет блоками IP-адресов и распределяет их между региональными интернетрегистраторами (RIR). Пять RIR показаны на рисунке. Региональные интернет-регистраторы (RIR) отвечают за распределение IP-адресов между интернет-провайдерами (ISP), которые, в свою очередь, предоставляют блоки IPv4-адресов организациям и менее крупным провайдерам. Организации могут получить свои адреса непосредственно от региональных интернет-регистраторов (RIR) (в зависимости от правил конкретного регионального интернет-регистратора (RIR)). Региональные интернет-регистры 11.4.1 Широковещательный домен и сегментация Вы когда-нибудь получали электронное письмо, адресованное каждому человеку на работе или в школе? Это было широковещательная электронная почта. В локальной сети Ethernet устройства используют широковещательные передачи и протокол разрешения адресов (ARP) для поиска других устройств. ARP использует для отправки широковещательный адрес на уровне 2 с известным IPv4-адресу в локальной сети, чтобы обнаружить MAC-адрес назначения. Устройства в локальных сетях Ethernet также находят другие устройства, использующие службы. Узел, как правило, получает свои настройки IPv4-адреса с помощью протокола динамической настройки узла (DHCP). Коммутаторы выполняют широковещательную рассылку на все интерфейсы, за исключением того интерфейса, через который была получена рассылка. Например, если бы коммутатор, показанный на рисунке, получил широковещательную рассылку, он бы переслал ее другим коммутаторам и другим пользователям, подключенным к сети. Маршрутизаторы не выполняют широковещательную рассылку. Когда маршрутизатор получает широковещательную рассылку, он не пересылает ее на другие интерфейсы. 11.4.2 Проблемы с крупными широковещательными доменами Крупный широковещательный домен представляет собой сеть, соединяющую множество узлов. Проблема крупного широковещательного домена заключается в следующем: узлы могут генерировать избыточную рассылку и негативно влиять на работу сети. Для решения этой проблемы надо сократить размер сети, создав меньшие домены широковещательной рассылки. Такой процесс называется разделением на подсети. Мелкие сети называются подсетями. 11.4.3 Причины сегментации сети Разделение на подсети снижает общий объем сетевого трафика и повышает производительность сети. Кроме того, это дает возможность администраторам применять меры безопасности. Определить подсети, которым разрешено и которым не разрешено взаимодействовать друг с другом. Другая причина заключается в том, что он уменьшает количество устройств, пострадавших от ненормального широковещательного трафика из-за неправильных конфигураций, аппаратных и программных проблем или злонамеренных намерений. Существует несколько способов использования подсетей для управления сетевыми устройствами. -Разделение на подсети по местоположению -Разделение на подсети по группам или функциям -Разделение на подсети по типу устройств Сетевые администраторы могут создавать подсети, используя любое другое подразделение, которое имеет смысл для сети. Понимание принципа разделения сети на подсети — главный навык, которым должен обладать каждый сетевой администратор. Разработаны различные методы, помогающие понять суть этого процесса. 11.5.1 Разделение сети IPv4 на подсети. На границе октетов Разделение на подсети — это критически важный навык, который необходимо иметь при администрировании сети IPv4. Для создания IPv4подсетей мы задействуем один или несколько бит из узловой части в качестве бит сетевой части. Для этого мы расширяем маску подсети. Мы заимствуем биты из узловой части адреса и создаем дополнительные биты для сети. Чем больше заимствовано бит из узловой части, тем больше подсетей можно создать. Чем больше бит, заимствованных для увеличения числа подсетей, тем меньше количество узлов в подсети. Разделение сетей проще всего выполнить на границах октетов /8, /16 и /24. В таблице указаны эти длины префикса. Обратите внимание, что увеличение длины префикса сокращает число узлов в каждой подсети. 11.5.2 Подсеть в пределах октета В ранее приведенных примерах мы использовали биты узлов из общих префиксов сети /8, /16 и /24. Однако подсеть может заимствовать биты из любой позиции бит в узловой части для создания других масок. Например, адрес сети /24 обычно разбивается на подсети с помощью более длинных префиксов, заимствуя биты из четвертого октета. Благодаря этому администратор может гибко назначать сетевые адреса меньшему числу оконечных устройств. См. таблицу, чтобы увидеть шесть способов подсети сети /24. 11.6.1 Создание подсети с префиксом /16 Некоторые подсети проще, чем другие подсети. В этом разделе объясняется, как создать подсети, каждая из которых имеет одинаковое количество узлов. Если требуется большее количество подсетей, необходимо использовать IPv4-сеть с большим числом бит в узловой части для заимствования. Например, адрес сети 172.16.0.0 имеет маску по умолчанию /16 или 255.255.0.0. Этот адрес имеет по 16 бит в сетевой и узловой части. 16 бит в узловой части можно использовать для создания подсетей. 11.6.2 Создание 100 подсетей с префиксом /16 Рассмотрим крупное предприятие, которому необходимо хотя бы 100 подсетей, и которое выбрало частный адрес 172.16.0.0/16 в качестве адреса внутренней сети. При заимствовании бит из адреса /16 начните заимствовать биты в третьем октете, продолжая слева направо. Заимствуйте один бит каждый раз до тех пор, пока не будет достигнуто число бит, необходимое для создания 100 подсетей. На рисунке показано количество подсетей, которое может быть создано при заимствовании бит из третьего и четвертого октетов. Обратите внимание, что теперь может быть заимствовано до 14 бит из узловой части. 11.7.1 Разделение на подсети в соответствии с требованиями. Частная подсеть и общедоступное адресное пространство IPv4 Хотя удобно быстро сегментировать сеть в подсети, сеть организации может использовать как публичные, так и частные IPv4 адреса. Это влияет на то, как вы будете делить на подсети вашей сети. На рисунке показана типичная корпоративная сеть: Интранет - это внутренняя часть сети компании, доступная только внутри организации. Устройства в интрасети используют частные адреса IPv4. DMZ - Это часть сети компании, содержащей ресурсы, доступные в Интернете, такие как веб-сервер. Устройства в DMZ используют общедоступные адреса IPv4. Как Интранет, так и DMZ имеют свои собственные требования и проблемы в области подсетей. Интрасеть использует частное пространство адресации IPv4. Это позволяет организации использовать любой из частных сетевых адресов IPv4, включая префикс 10.0.0.0/8 с 24 битами узлов и более 16 миллионами узлов. Использование сетевого адреса с 24 битами узлов делает подсеть проще и гибче. Это включает создание подсетей на границе октета с использованием /16 или /24. Например, частный сетевой адрес IPv4 10.0.0.0/8 может быть поделен на подсети с помощью маски /16. Как показано в таблице, это приводит к 256 подсетям с 65 534 узлами на подсеть. Если организации требуется менее 200 подсетей, что позволяет некоторый рост, это дает каждой подсети более чем достаточно адресов. Другой вариант использования частного IP-адреса 10.0.0.0/8 является разделением на подсети с использованием маски /24. Как показано в таблице, это приводит к 65 536 подсетям с 254 узлами на подсеть. Если организации требуется более 256 подсетей, то с помощью параметра /24 можно использовать 254 узла на подсеть. 10.0.0.0/8 также можно разделить на подсети, используя любое другое количество префиксов, например /12, /18, /20 и т.д. Это даст администратору сети широкий выбор опций. Использование частного IP-адреса 10.0.0.0/8 упрощает планирование и реализацию подсети. Пара слов о DMZ? Поскольку эти устройства должны быть общедоступными из Интернета, устройства в DMZ требуют общедоступных адресов IPv4. Истощение публичного адресного пространства IPv4 стало проблемой, начиная с середины 1990-х годов. С 2011 года IANA и четыре из пяти RIR исчерпали адресное пространство IPv4. Несмотря на то, что организации осуществляют переход на IPv6, оставшееся адресное пространство IPv4 остается крайне ограниченным. Это означает, что организация должна максимально эффективно использовать собственное ограниченное количество публичных адресов IPv4. Это требует, чтобы администратор сети разделил свое общедоступное адресное пространство на подсети с разными масками подсети, чтобы свести к минимуму количество неиспользуемых адресов узлов в каждой подсети. Это называется маска переменной длины подсети (VLSM). 11.7.2 Минимизация неиспользуемых адресов IPv4 узлов и максимизация подсетей Чтобы свести к минимуму число неиспользуемых адресов IPv4 узлов и максимизировать количество доступных подсетей, при планировании подсетей необходимо учитывать два фактора: количество адресов узлов, необходимых для каждой сети, и количество необходимых отдельных подсетей. В таблице на рисунке показаны особенности разделения на подсети с префиксом /24. Обратите внимание, на обратную зависимость между числом подсетей и числом узлов. Чем больше бит заимствовано для создания подсетей, тем меньше доступно бит в узловой части. Если требуется больше узлов, значит, нужно больше бит в узловой части, что приводит к уменьшению количества подсетей. Количество адресов узлов, необходимых в самой крупной подсети, определяет, сколько бит нужно оставить в узловой части адреса. Как вы помните, два адреса использовать нельзя, поэтому фактически количество доступных адресов рассчитывается как 2^n-2. 11.8.1 VLSM (Variable Length Subnet Mask) Как упоминалось в предыдущем разделе, публичные и частные адреса влияют на способ подсети вашей сети. Существуют и другие проблемы, которые влияют на схемы подсетей. Стандартная схема подсетей /16 создает подсети, каждая из которых имеет одинаковое количество узлов. Не каждой подсети, которую вы создаете, потребуется столько хостов, поэтому многие IPv4 адреса остаются неиспользуемыми. Возможно, вам понадобится одна подсеть, содержащая еще много хостов. Именно поэтому была разработана маска подсети переменной длины (VLSM). 11.8.3 Сохранение IPv4 адресов Из-за истощения общего адресного пространства IPv4 использование доступных адресов узлов является основной проблемой при подсетях IPv4. Примечание: Более крупный адрес IPv6 позволяет гораздо проще планировать и распределять адреса, чем позволяет IPv4. Сохранение адресов IPv6 не является проблемой. Это одна из движущих сил для перехода на IPv6. В традиционном разбиении на подсети каждой подсети выделяется одинаковое количество адресов. Если все подсети имеют одинаковые требования к количеству узлов, такие блоки адресов фиксированного размера будут эффективными. Как правило, с публичными адресами IPv4 это не так. Например, в топологии, показанной на рисунке 1, используются семь подсетей: по одной для каждой из четырех локальных сетей (LAN) и по одной для каждого из трех каналов сети WAN между маршрутизаторами. В традиционном разбиении на подсети с указанным адресом 192.168.20.0/24 из узловой части в последнем октете можно позаимствовать три бита, чтобы обеспечить создание семи подсетей. Как показано на рисунке 2, при заимствовании трех бит можно создать 8 подсетей, а оставшихся пяти бит в узловой части хватит для 30 адресов узлов в каждой подсети. Такая схема позволяет создать требуемые подсети и соответствует требованиям к узлу в крупнейших локальных сетях (LAN). Хотя при таком стандартном разделении на подсети обеспечивается соответствие требованиям к крупнейшим локальным сетям (LAN) и разделение пространства адресов на соответствующее количество подсетей, это все равно приводит к значительному необоснованному расходованию неиспользуемых адресов. Например, в каждой подсети для трех каналов WAN требуется только два адреса. Поскольку каждая из подсетей содержит 30 доступных для использования адресов, в каждой из подсетей оказывается 28 неиспользуемых адресов. Как показано на рисунке 3, в результате мы получаем 84 неиспользуемых адреса (28x3). Кроме того, это также ограничивает расширение сети в будущем, уменьшая общее число доступных подсетей. Такое неэффективное использование адресов характерно для традиционного разделения на подсети. Применение традиционной схемы разделения на подсети по такому сценарию не является эффективным и подразумевает нецелесообразное расходование ресурсов. Разделение подсети на несколько подсетей или использование маски подсети переменной длины (VLSM) позволяет предотвратить появление избыточных адресов. 11.9.1 Структурированное проектирование. Планирование адресации сети. В сети существуют устройства различных типов, которым нужны адреса, включая следующие: Клиентские устройства конечных пользователей - Большинство сетей динамически выделяют адреса с помощью протокола динамической настройки узла (DHCP). Это сокращает нагрузку на персонал, занимающийся поддержкой сети, и фактически устраняет ошибки ввода. При использовании DHCP адреса арендуются только на определенный период времени и могут использоваться повторно по истечении срока аренды. Это важная функция для сетей, поддерживающих переходные пользователи и беспроводные устройства. Изменение схемы разбиения на подсети означает необходимость повторной настройки DHCP-сервера и обновления IP-адресов клиентами. Клиенты IPv6 могут получить сведения об адресе с помощью DHCPv6 или SLAAC. Серверы и периферийные устройства - Они должны иметь предсказуемый статический IP-адрес. Используйте сплошную нумерацию для таких устройств. Серверы, доступные из Интернета - Серверы, которые должны быть общедоступными в Интернете, должны иметь публичный IPv4 адрес, к которому чаще всего обращаются с помощью NAT. В некоторых организациях внутренние серверы (необщедоступные) должны быть доступны удаленным пользователям. В большинстве случаев этим серверам присваиваются частные адреса внутри, и пользователю требуется создать подключение виртуальной частной сети (VPN) для доступа к серверу. Это имеет тот же эффект, как если бы пользователь обращался к серверу с хоста в интрасети. Промежуточные устройства - Таким устройствам адреса назначаются для управления сетью, ее мониторинга и обеспечения безопасности. Поскольку нам необходимо знать, как связаться с промежуточными устройствами, у таких устройств должны быть предсказуемые статически заданные адреса. Шлюз - IP-адреса назначаются каждому интерфейсу маршрутизаторов и устройств межсетевого экрана, которые служат шлюзом для узлов в сети. Как правило, для интерфейса маршрутизатора используется самый младший или самый старший адрес в сети. При проектировании схемы IP-адресации обычно рекомендуется использовать готовый шаблон назначения адресов каждому типу устройств. Это помогает администраторам добавлять и удалять устройства, фильтровать трафик на основе IP-адресов, а также упрощает документирование. 12.1.1 Потребность в IPv6 Протокол IPv6 был разработан как преемник протокола IPv4. IPv6 имеет большее 128-битное адресное пространство, что достаточно для 340 ундециллионов адресов. Однако протокол IPv6 — это не только большее число адресов. Когда специалисты IETF начали разработку преемника IPv4, они использовали эту возможность для устранения ограничений протокола IPv4 и внесения улучшений. Среди улучшений — протокол управляющих сообщений версии 6 (ICMPv6), который включает в себя разрешение адресов и автонастройку адресов, что отсутствовало в протоколе ICMP для IPv4 (ICMPv4). Сокращение адресного пространства протокола IPv4 — основной стимулирующий фактор для перехода к IPv6. У четырех из пяти региональных интернет-регистраторов (RIR) нет свободных IPv4-адресов. Максимальное количество IPv4-адресов — 4,3 миллиарда. Частные адреса вместе с механизмом преобразования сетевых адресов (NAT) позволяли замедлить процесс истощения адресного пространства . Однако механизм преобразования сетевых адресов (NAT) имеет определенные ограничения, которые ухудшают коммуникации в одноранговой сети. С увеличением числа мобильных устройств мобильные провайдеры лидировали по пути перехода на IPv6. Современный Интернет существенно отличается от Интернета прошедших десятилетий. Сегодня это не просто электронная почта, веб-страницы и передача файлов между компьютерами. По мере развития Интернет становится Интернетом вещей. Скоро можно будет получить доступ к Интернету не только через компьютеры, планшеты и смартфоны. Завтра практически все устройства — от автомобилей и биомедицинского оборудования до бытовой техники и природной экосистемы буду оснащены сенсорами и подключены к Интернету. В связи с распространением Интернета ограниченным адресным пространством IPv4, проблемами с преобразованием сетевых адресов и проникновением Интернета в нашу жизнь пришло время для перехода на протокол IPv6. 12.1.2 Совместное использование протоколов IPv4 и IPv6 Точной даты для перехода на протокол IPv6 нет. Как IPv4, так и IPv6 будут сосуществовать в ближайшем будущем, и переход займет несколько лет. Специалисты IETF создали различные протоколы и инструменты, которые позволяют сетевым администраторам постепенно переводить свои сети на протокол IPv6. Методы перехода можно разделить на 3 категории. -Двойной стек (Dual stack) Протоколы IPv4 и IPv6 можно одновременно использовать в одной сети посредством двойного стека. Устройства с двойным стеком одновременно работают с протокольными стеками IPv4 и IPv6. Известный как собственный IPv6, это означает, что сеть клиента имеет подключение IPv6 к своему Интернет-провайдеру и может получать доступ к контенту, найденному в Интернете, через IPv6. -Туннелирование (Tunneling) Туннелирование — это способ передачи IPv6-пакета по IPv4-сети. IPv6-пакет инкапсулируется внутрь IPv4-пакета, как и другие типы данных. -Преобразование (Translation) Преобразование сетевых адресов 64 (NAT64) позволяет устройствам под управлением IPv6 обмениваться данными с устройствами под управлением IPv4 посредством способа преобразования, аналогичного NAT для IPv4. Пакет IPv6 преобразуется в пакет IPv4, а пакет IPv4 преобразуется в пакет IPv6. Примечание: Туннелирование и трансляция предназначены для перехода на собственный IPv6 и должны использоваться только там, где это необходимо. Конечная цель — это естественный обмен данными в формате IPv6 между источником и назначением. 12.2.1 Формат адресов IPv6 Первым шагом к изучению IPv6 в сетях является понимание способа написания и форматирования IPv6 адреса. Адреса IPv6 намного больше, чем адреса IPv4, поэтому мы вряд ли закончим их. Длина IPv6-адресов составляет 128 бит, написанных в виде строки шестнадцатеричных значений. Каждые 4 бита представлены одной шестнадцатеричной цифрой, причем общее количество шестнадцатеричных значений равно 32, как показано на рисунке. IPv6-адреса нечувствительны к регистру, их можно записывать как строчными, так и прописными буквами. Предпочтительный формат Формат записи адреса IPv6 ― x:x:x:x:x:x:x:x, где каждый x состоит из четырех шестнадцатеричных значений. Термин октет относится к восьми битам адреса IPv4. В IPv6-адресах сегмент из 16 бит или четырех шестнадцатеричных цифр неофициально называют гекстетом. Каждый х — это 1 гекстет, 16 бит или 4 шестнадцатеричные цифры. Предпочтительный формат означает, что IPv6-адрес записан с помощью 32 шестнадцатеричных цифр. Тем не менее, это не самый оптимальный способ представления IPv6-адреса. Существуют два правила, которые помогают уменьшить количество цифр, необходимых для представления адреса IPv6. Пример записи IPv6-адресов в предпочтительном формате: 2001 : 0db8 : 0000 : 1111 : 0000 : 0000 : 0000: 0200 12.2.2 Правило 1: Пропуск начальных нулевых разрядов Первое правило для сокращения записи IPv6-адресов — пропуск всех начальных 0 (нулей) в шестнадцатеричной записи. Вот четыре примера способов опустить ведущие нули: 01AB можно представить как 1AB 09f0 может быть представлен как 9f0 0a00 может быть представлен как a00 00AB можно представить как AB Это правило применяется только к начальным нулям, а НЕ к конечным, иначе адрес будет непонятен. Например, гекстет «АВС» может быть представлен как «0АВС», либо как «АВС0» (а это разные значения). 12.2.3 Правило 2 – Двойное двоеточие Второе правило для сокращения записи адресов IPv6 заключается в том, что двойное двоеточие (::) может заменить любую единую, смежную строку одного или нескольких 16-битных сегментов (гекстетов), состоящих из нулей. Например, 2001:db8:cafe:1:0:0:0:1 (ведущие 0s опущены) можно представить как 2001:db8:cafe:1::1. Двойное двоеточие (::) используется вместо трех гекстетов все0 (0:0:0). Двойное двоеточие (::) может использоваться в адресе только один раз, в противном случае в результате может возникнуть несколько адресов. Сочетание этого правила с методом пропуска нулей помогает значительно сократить запись IPv6-адреса. Обычно это называется сжатым форматом. Вот пример неправильного использования двоеточия: 2001:db8::abcd::1234. Двойная двоеточие используется дважды в приведенном выше примере. Ниже приведены возможные расширения этого адреса с неправильным сжатым форматом: 2001:db8::abcd:0000:0000:1234 2001:db8::abcd:0000:0000:0000:1234 2001:db8:0000:abcd::1234 2001:db8:0000:0000:abcd::1234 Если адрес содержит более одной смежной строки всех гексет, рекомендуется использовать двойное двоеточие (::) для самой длинной строки. Если строки равны, первая строка должна использовать двойное двоеточие (::). 12.3.1 Типы IPv6 адресов: Одноадресный, многоадресный, произвольный Как и в случае IPv4, существуют различные типы адресов IPv6. На самом деле, существует три широкие категории адресов IPv6: Индивидуальный (или одноадресной рассылки, unicast) : служит для однозначного определения интерфейса на устройстве под управлением протокола IPv6. Групповой (или адрес многоадресной рассылки) : используется для отправки одного IPv6-пакета на несколько адресов назначения. Произвольный (или адрес произвольной рассылки(anycast)) : любой индивидуальный IPv6-адрес, который может быть назначен нескольким устройствам. Пакет, отправляемый на адрес произвольной рассылки, направляется к ближайшему устройству с этим адресом. Произвольные адреса в данном курсе не рассматриваются. В отличие от IPv4, IPv6 не использует широковещательный адрес. Однако есть групповой IPv6адрес для всех узлов, который дает аналогичный результат. 12.3.2 Длина префикса Как вы помните, префикс, или сетевая часть адреса IPv4, может быть обозначен маской подсети в десятичном формате с разделительными точками или длиной префикса (запись с наклонной чертой). Например, IPv4-адрес 192.168.1.10 с маской подсети в десятичном формате с разделительными точками 255.255.255.0 эквивалентен записи 192.168.1.10/24. В IPv4 /24 называется префиксом. В IPv6 это называется длиной префикса. IPv6 не использует для маски подсети десятичное представление с разделительными точками. Как и IPv4, длина префикса представлена в виде косой черты и используется для указания сетевой части адреса IPv6. Диапазон длины префикса может составлять от 0 до 128. Обычная длина префикса IPv6 для локальных сетей и большинства сетей других типов — /64, как показано на рисунке. Настоятельно рекомендуется использовать 64-битный идентификатор интерфейса для большинства сетей. Это связано с тем, что автоконфигурация адресов без учета (SLAAC) использует 64 бита для идентификатора интерфейса. Это также упрощает создание и управление подсетями. 12.3.3 Другие типы IPv6 адресов одноадресной рассылки Индивидуальный адрес служит для однозначного определения интерфейса устройства под управлением протокола IPv6. Пакет, который отправляется на такой адрес, будет получен интерфейсом, назначенным для этого адреса. Как и в случае с протоколом IPv4, IPv6-адрес должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым. На рисунке показаны различные типы одноадресных адресов IPv6. В отличие от устройств IPv4, имеющих только один адрес, адреса IPv6 обычно имеют два одноадресных адреса: Глобальный индивидуальный адрес аналогичен публичному IPv4-адресу. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически. Локальный адрес канала (LLA) — это необходимо для каждого устройства с поддержкой IPv6. Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу. В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут. Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения. 12.3.4 Примечание об уникальном локальном адресе Уникальные локальные адреса (диапазон fc00::/7 до fdff::/7) пока не реализованы. Таким образом, этот модуль охватывает только конфигурацию GUA и LLA. Однако уникальные локальные адреса могут использоваться для адресов устройств, которые не должны быть доступны извне, таких как внутренние серверы и принтеры. Уникальные локальные IPv6-адреса имеют некоторые общие особенности с частными адресами RFC 1918 для IPv4, но при этом между ними имеются и значительные различия. Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов. Уникальные локальные адреса могут использоваться для устройств, которым никогда не понадобится использование других сетей или получение из них данных. Уникальные локальные адреса не маршрутизируются глобально и не преобразуются в глобальный адрес IPv6. Примечание: Многие сайты используют частные адреса RFC 1918, чтобы обеспечить безопасность или защитить сеть от потенциальных угроз. Однако обеспечение безопасности никогда не было целью технологий NAT/PAT, поэтому организация IETF всегда рекомендовала принимать соответствующие меры предосторожности при использовании маршрутизаторов в Интернете. 12.3.5 Глобальные индивидуальные IPv6 адреса (GUA) Глобальные индивидуальные IPv6-адреса (GUA) уникальны по всему миру и доступны для маршрутизации через Интернет IPv6. Эти адреса эквивалентны публичным IPv4-адресам. Корпорация по управлению доменными именами и IP-адресами (Internet Committee for Assigned Names and Numbers, ICANN), оператор Администрации адресного пространства Интернет (IANA) выделяет блоки IPv6-адресов пяти региональным интернет-регистраторам (RIR). В настоящее время назначаются только глобальные индивидуальные адреса с первыми тремя битами 001 или 2000::/3. На рисунке показан диапазон значений для первого гекстета, где первая шестнадцатеричная цифра для доступных в настоящее время GUA начинается с 2 или 3. Это лишь 1/8 от всего доступного адресного пространства IPv6, за исключением очень незначительного количества других типов адресов индивидуальных и групповых адресов. Примечание: Адрес 2001:0DB8::/32 зарезервирован для документации, в том числе в для использования в примерах 12.3.6 Структура GUA IPv6 Префикс глобальной маршрутизации Префикс глобальной маршрутизации — это префиксальная или сетевая часть адреса, назначаемая интернет-провайдером заказчику или узлу. Например, поставщики услуг Интернета обычно назначают своим клиентам префикс глобальной маршрутизации /48. Префикс глобальной маршрутизации обычно зависит от политик поставщика услуг Интернета. На предыдущем рисунке показан GUA с префиксом глобальной маршрутизации /48. Префиксы /48 — наиболее распространенные назначаемые префиксы глобальной маршрутизации, и именно они будут использоваться в большинстве примеров в рамках данного курса. Например, IPv6-адрес 2001:0DB8:ACAD::/48 имеет префикс, который означает, что первые 48 бит (3 гекстета) (2001:0DB8:ACAD) — это префиксальная или сетевая часть адреса. Двойное двоеточие (::) перед длиной префикса /48 означает, что остальная часть адреса состоит из нулей. Размер префикса глобальной маршрутизации определяет размер идентификатора подсети. Идентификатор подсети Поле Идентификатор подсети — это область между префиксом глобальной маршрутизации и идентификатором интерфейса. В отличие от IPv4, где вы должны заимствовать биты из части узла для создания подсетей, IPv6 был разработан с учетом подсетей. Идентификатор подсети используется организациями для обозначения подсетей на своем сайте. Чем выше значение идентификатора подсети, тем больше существует подсетей. Примечание: Многие организации получают префикс глобальной маршрутизации /32. При использовании рекомендованного префикса /64 для создания 64-битного идентификатора интерфейса остается 32-битный идентификатор подсети. Это означает, что организация с префиксом глобальной маршрутизации /32 и 32-разрядным идентификатором подсети будет иметь 4,3 миллиарда подсетей, каждая из которых будет иметь 18 квинтиллионов устройств на подсеть. Это столько подсетей, сколько публичных IPv4 адресов! Адрес IPv6 на предыдущем рисунке имеет префикс глобальной маршрутизации /48, который является общим для многих корпоративных сетей. Это делает его особенно легким изучение различных частей адреса. В глобальном индивидуальном адресе с префиксом /64 первые четыре гекстета обозначают сетевую часть адреса, а четвертый гекстет — идентификатор подсети. Остальные четыре гекстета используются для идентификатора интерфейса. Идентификатор интерфейса Идентификатор IPv6-интерфейса эквивалентен узловой части IPv4-адреса. Термин «идентификатор интерфейса» используется в том случае, когда один узел может иметь несколько интерфейсов, каждый из которых имеет один или более IPv6-адресов. На рисунке показан пример структуры IPv6 GUA. Настоятельно рекомендуется использовать в большинстве случаев / 64 подсети, что создает 64-битный идентификатор интерфейса. 64-разрядный идентификатор интерфейса позволяет использовать 18 квинтиллионов устройств или хостов в подсети. Подсеть /64 или префикс (Global Routing Prefix + Subnet ID) оставляет 64 бита для идентификатора интерфейса. Рекомендуется, чтобы устройства с поддержкой SLAAC могли создавать свой собственный 64-битный идентификатор интерфейса. Это также делает разработку плана адресации IPv6 простой и эффективной. Примечание: В отличие от IPv4, при использовании протокола IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или из одних 1. Адрес «все 1» может использоваться, поскольку широковещательные адреса не используются в IPv6. Можно также использовать адрес из одних 0, но он зарезервирован в качестве адреса произвольной рассылки маршрутизатора подсети, и его следует назначать только маршрутизаторам. 12.3.7 Локальный IPv6 адрес канала Локальный IPv6-адрес канала позволяет устройству обмениваться данными с другими устройствами с включенным протоколом IPv6 в том же канале (подсети) и только в нем. Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы канала, в котором создается пакет. GUA не является обязательным требованием. Однако каждый сетевой интерфейс с поддержкой IPv6 должен иметь LLA. Если локальный адрес канала не настроен вручную на интерфейсе, устройство автоматически создает его самостоятельно, не обращаясь к DHCP-серверу. Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже в том случае, если устройству не был назначен глобальный индивидуальный IPv6-адрес. Это позволяет устройствам под управлением IPv6 обмениваться данными с другими устройствами под управлением IPv6 в одной подсети, в том числе со шлюзом по умолчанию (маршрутизатором). IPv6 LLA находятся в диапазоне fe80::/10. /10 указывает, что первые 10 битов — 1111 1110 10xx хххх. Диапазон значений первого гекстета: от 1111 1110 1000 0000 (fe80) до 1111 1110 1011 1111(febf). На рисунке приводится пример осуществления связи с помощью групповых адресов для всех узлов. Компьютер может напрямую взаимодействовать с принтером с помощью LLA. 12.4.1 Статическая конфигурация GUA на маршрутизаторе Как вы узнали в предыдущем разделе, GUAs IPv6 аналогичны публичным адресам IPv4. Глобальные индивидуальные IPv6-адреса (GUA) уникальны по всему миру и доступны для маршрутизации через Интернет IPv6. IPv6 LLA позволяет двум устройствам с поддержкой IPv6 взаимодействовать друг с другом по одному каналу (подсети). Статически настроить GUAs и LLA IPv6 на маршрутизаторах, чтобы помочь вам создать сеть IPv6. Эта тема научит вас, как это сделать! Большинство команд настройки и проверки IPv6-сети в операционной системе Cisco IOS похожи на свои аналоги для IPv4-сети. Во многих случаях единственное отличие между ними — использование в командах ipv6 вместо ip. Например, команда Cisco IOS для настройки адреса IPv4 на интерфейсе является ip address ipaddress subnet-mask. В отличие от этого команда для настройки GUA IPv6 на интерфейсе является ipv6 address ipv6-address/prefix-length. Обратите внимание на отсутствие пробела между ipv6-address и prefix-length. Для примера настройки используется топология, показанная на рис. 1, и следующие IPv6-подсети: 2001:db8:acad:1:/64 2001:db8:acad:2:/64 2001:db8:acad:3:/64 12.4.2 Статическая конфигурация глобального уникального IPv6-адреса на узле Windows Ручная настройка IPv6-адреса на узле аналогична настройке IPv4-адреса. Как и в случае с IPv4, настройка статических адресов для клиентов не распространяется на крупные сети. Именно поэтому большинство сетевых администраторов IPv6-сети будут назначать IPv6-адреса динамически. Устройство может автоматически получать глобальный индивидуальный IPv6-адрес двумя способами. Автоматическая конфигурация адреса без сохранения состояния (Stateless Address Autoconfiguration, SLAAC) Адресация DHCPv6 с учётом состояний. SLAAC и DHCPv6 рассматриваются в следующем разделе. Примечание: Если используется DHCPv6 или SLAAC, локальный адрес канала локального маршрутизатора автоматически указывается как адрес шлюза по умолчанию. 12.4.3 Статическая конфигурация локального адреса одноадресной рассылки Ручная настройка локального адреса канала позволяет создавать адрес, который легче узнать и запомнить. Как правило, достаточно создать распознаваемые локальные адреса на маршрутизаторах. Это удобно потому, что локальные адреса маршрутизаторов используются как адреса шлюза по умолчанию и в объявлениях маршрутизации. LLA можно настроить вручную с помощью ipv6 address команды link-local ipv6-link-local-address. Если адрес начинается с гекстета в диапазоне от FE80 до FEBF, то параметр link-local локального канала должны следовать за адресом. На рисунке показан пример топологии с LLA на каждом интерфейсе. Статически настроенные LLA используются для того, чтобы сделать их более легко узнаваемыми как принадлежащие маршрутизатору R1. В этом примере все интерфейсы маршрутизатора R1 настроены с LLA, начинающегося с fe80::1:n, и уникальной правой цифрой «n». «1» представляет маршрутизатор R1. Следуя тому же синтаксису, что и маршрутизатор R1, если топология включает маршрутизатор R2, у него будут три интерфейса, настроенные с LLAs fe80::2:1, fe80::2:2 и fe80::2:3. Примечание: Точный же LLA может быть настроен для каждого канала, если он уникален для этого канала. Это возможно по той причине, что локальные интерфейсы канала должны быть уникальными только на данном канале. Тем не менее, распространенная практика заключается в создании различных LLA на каждом интерфейсе маршрутизатора, чтобы упростить идентификацию маршрутизатора и конкретного интерфейса. 12.5.1 Динамическая адресация для глобальных динамических адресов для одноадресной рассылки IPv6. Сообщения RS и RA ICMPv6 Если вы не хотите статически настраивать GUAs IPv6, не нужно беспокоиться. Большинство устройств получают свои интерфейсы GUA IPv6 динамически. В этом разделе объясняется, как этот процесс работает с использованием сообщений объявления маршрутизатора (RA- Router Advertisement) и запроса маршрутизатора (RS- Router Solicitation). Эта тема становится довольно технической, но когда вы поймете разницу между тремя методами, которые может использовать реклама маршрутизатора, а также то, как процесс EUI-64 для создания идентификатора интерфейса отличается от случайно сгенерированного процесса, вы совершите огромный скачок в вашем опыте IPv6! Для GUA устройство получает адрес динамически через сообщения протокола управления сообщениями Интернета версии 6 (ICMPv6). IPv6-маршрутизаторы каждые 200 секунд отправляют сообщения RA ICMPv6 всем устройствам в сети под управлением IPv6. Сообщение RA также будет отправлено в ответ на хост, отправляющий сообщение RS ICMPv6, которое является запросом на сообщение RA. Оба сообщения показаны на рисунке. Сообщения RA на интерфейсах Ethernet маршрутизатора IPv6. Маршрутизатор должен быть включен для маршрутизации IPv6, которая по умолчанию не включена. Чтобы маршрутизатор работал как IPv6-маршрутизатор, необходимо использовать команду глобальной настрйоки ipv6 unicast-routing. Сообщение RA ICMPv6 указывает IPv6-устройству, как ему получить информацию по адресации. Окончательное решение зависит от операционной системы устройства. Сообщение RA ICMPv6 включает следующую информацию. Префикс сети и длину префикса: сообщают устройству, к какой сети оно относится Адрес шлюза по умолчанию: локальный IPv6-адрес канала, IPv6-адрес источника сообщения RA DNS-адрес и имя домена: адреса DNS-серверов и имя домена. Существует три метода для сообщений RA: Метод 1: SLAAC - «У меня есть все, что вам нужно, включая префикс, длину префикса и адрес шлюза по умолчанию». Метод 2:SLAAC и DHCPv6. «Вот моя информация, но вам нужно получить другие сведения, такие как DNS-адреса от DHCPv6-сервера». Метод 3: Stateful DHCPv6 (без SLAAC) - «Я могу дать вам ваш адрес шлюза по умолчанию. Вам нужно попросить сервер DHCPv6 с сохранением состояния для всей вашей другой информации». .