Transcript 5-я лекция - Кафедра проектирования и безопасности

Санкт-Петербургский государственный университет
информационных технологий, механики и оптики
Кафедра проектирования компьютерных систем
В. А. Козак
Вычислительные сети
Лекция 5
Сетевой уровень
Санкт-Петербург, 2009
Сетевой уровень (Network layer)
Выполняет функции:
•
•
•
•
•
определения оптимального пути передачи данных (маршрутизации);
трансляции логических адресов и имен в физические;
коммутации;
фрагментации;
отслеживания неполадок и заторов в сети.
Решает задачи:
•
•
•
•
передача сообщений по связям с нестандартной структурой;
согласование разных технологий;
упрощение адресации в крупных сетях;
создание барьеров на пути нежелательного трафика между сетями.
Работает: маршрутизатор.
Основные виды протоколов сетевого уровня:
• сетевые протоколы (продвижение пакетов через сеть): IP, IPX и т.д.;
• протоколы маршрутизации: RIP, OSPF, IS-IS, BGP и т.д.;
• управляющие протоколы: ICMP, IGMP, ARP, RARP, DHCP и т.д.
Различия сетей
Аспект
Возможные значения
Предлагаемый сервис
Ориентированные на соединение или не требующие
соединения
Протоколы
IP, IPX, SNA, ATM, MPLS, AppleTalk …
Адресация
Плоская (802) или иерархическая (IP)
Многоадресная рассылка
Присутствует или отсутствует (а также широковещание)
Размер пакета
У каждой сети есть свой максимум
Качество обслуживания
Может присутствовать и отсутствовать. Много
разновидностей
Обработка ошибок
Надежная, упорядоченная и неупорядоченная доставка
Управление потоком
Скользящее окно, управление скоростью, другое или
никакого
Борьба с перегрузкой
Дырявое ведро, маркерное ведро, сдерживающие пакеты,
нерегулярное раннее обнаружение …
Безопасность
Правила секретности, шифрование и т. д.
Параметры
Различные тайм-ауты, спецификация потока…
Тарификация
По времени соединения, за пакет, побайтно или никак
Таблица 1. Различия сетей
Понятие internetworking
• Сеть в общем случае рассматривается как
совокупность нескольких сетей и называется
составной сетью или интерсетью
(internetwork или internet).
• Сети, входящие в составную сеть,
называются подсетями (subnet),
составляющими сетями или просто сетями.
• Сетевой уровень выступает в качестве координатора,
организующего работу всех подсетей, лежащих на пути
продвижения пакета по составной сети.
• Для перемещения данных в пределах подсетей сетевой уровень
обращается к используемым в этих подсетях технологиям.
Протокол межсетевого взаимодействия
(Internet Protocol, IP)
• Обеспечивает передачу дейтаграмм от отправителя к получателям
через объединенную систему компьютерных сетей (между
сетями).
• Не устанавливает соединение.
• Не даёт гарантии доставки и сохранения порядка доставки.
• Обрабатывает каждый IP-пакет как независимую единицу, не
имеющую связи ни с какими другими IP-пакетами.
• Способен выполнять динамическую фрагментацию пакетов при
передаче их между сетями с различным максимальным размером
кадра.
Преимущества и недостатки технологии IP
Преимущества
• Тесная связь с локальными сетями
• Использование на уровне доступа различных
сетевых технологий
• Эволюционное развитие
• Быстрая адаптация к новым требованиям
• Широкое распространение
• Низкая стоимость услуг
Недостатки
• Накладные расходы
• Безопасность
• Качество обслуживания
Заголовок пакета IPv4
Type of Service: precedence + биты, определяющие критерий выбора маршрута
PR - Precedence (приоритет)
Критерий выбора маршрута
111 – Управление сетью
.......
001 – Приоритетный
000 – Обычный
100
010
001
000
- Минимальная задержка
- Макс. пропускная способность
- Макс. надежность
- Обычный
Фрагментация пакетов
Адресация устройств
При объединении компьютерных устройств в одну сеть неизбежно
возникает задача адресации. Требования к адресам:
• адрес устройства должен однозначно идентифицировать
устройство в сети;
• схема назначения адресов должна сводить к минимуму
вероятность дублирования;
• схема назначения адресов должна сводить к минимуму ручной
труд администраторов;
• адрес должен иметь структуру, подходящую для организации
больших сетей;
• адрес должен быть удобен для пользователей.
Часто одно устройство имеет несколько имен, поскольку на практике
используются несколько схем адресации.
Виды и структура адреса
Виды:
• одиночные (отдельные);
• групповые;
• широковещательные.
Множества адресов:
• плоские;
• иерархические.
Представление:
• числовое;
• символьное.
IP-адрес
• 32-х битное число;
• обычно записывается в виде четырех чисел,
представляющих значения каждого байта в
десятичной форме и разделенных точками.
• Наименьший адрес 0.0.0.0, наибольший –
255.255.255.255;
• адрес состоит из двух логических частей - номера
сети и номера узла в сети;
• различают 5 классов IP-адресов: A, B, C, D и E;
Классы IP-адресов
Использование масок в IP-адресации
Маска - это число, которое используется в паре с IP-адресом;
двоичная запись маски содержит единицы в тех разрядах,
которые должны в IP-адресе интерпретироваться как номер
сети. Поскольку номер сети является цельной частью адреса,
единицы в маске также должны представлять непрерывную
последовательность.
Для стандартных классов сетей маски имеют следующие значения:
• класс А - 11111111.00000000.00000000.00000000 (255.0.0.0);
• класс В - 11111111.11111111.00000000.00000000 (255.255.0.0);
• класс С - 11111111.11111111.11111111.00000000 (255.255.255.0).
Использование масок в IP-адресации
Снабжая каждый IP-адрес маской, можно отказаться от
понятий классов адресов и сделать более гибкой систему
адресации.
Использование масок позволяет лучше структурировать
сеть, выделяя подсети.
В масках количество единиц в последовательности,
определяющей границу номера сети, не обязательно
должно быть кратным 8.
Возможна краткая форма записи совокупности «IPадрес/маска» в виде «IP-адрес/количество единиц в
маске», например адрес 129.64.134.5 / 255.255.128.0
можно записать 129.64.134.5 / 17.
Подсети
За счёт увеличения кол-ва бит в адресе сети и присвоения этим новым
битам различных значений разбиваем сеть на подсети.
Например, имеем сеть 172.24.10.0 / 255.255.255.0 (адрес сети подчеркнут)
Исходная сеть:
Ip-адрес 10101100.00011000.00001010.00000000
Маска
11111111.11111111.11111111.00000000
Подсеть А:
10101100.00011000.00001010.00000000
11111111.11111111.11111111.10000000
Подсеть Б:
10101100.00011000.00001010.10000000
11111111.11111111.11111111.10000000
Особые IP-адреса
• IP-адрес 0.0.0.0 может использоваться хостом только при
загрузке;
• IP-адреса с нулевым номером сети обозначают текущую сеть;
• адрес, состоящий только из единиц, обеспечивает
широковещание в пределах текущей (обычно локальной) сети.
Такая рассылка называется ограниченным
широковещательным сообщением (limited broadcast);
• адреса, в которых указана сеть, но в поле номера хоста одни
единицы, обеспечивают широковещание в пределах любой
удаленной локальной сети, соединенной с Интернетом. Такая
рассылка называется широковещательным сообщением
(broadcast);
• адреса вида 127.xx.yy.zz зарезервированы для тестирования
сетевого программного обеспечения методом обратной
передачи. Этот адрес имеет название loopback.
Network Address Translation (NAT)
Существует проблема нехватки IP-адресов.
Суть NAT: модификация полей адреса (сетевой уровень) и порта
(транспортный уровень) в пакетах, направляющихся во внешнюю
сеть.
Основное применение: доступ множества узлов во внешнюю IP сеть
через единственный IP-адрес.
Преимущества:
•
экономическая выгода вследствие приобретения единственного
IP-подключения, а не IP-сети;
•
сокрытие от внешнего наблюдателя структуры внутренней IPсети;
•
организация системы с распределенной нагрузкой.
Недостатки:
•
не все протоколы могут «преодолеть» NAT;
•
дополнительные сложности с идентификацией пользователей;
•
DoS со стороны узла, осуществляющего NAT;
•
необходимость в дополнительной настройке;
•
получаем подобие сети, ориентированной на соединение.
Важные протоколы
•
Dynamic Host Configuration Protocol (DHCP) автоматизирует процесс
назначения IP-адресов. Протокол DHCP работает в соответствии с
моделью клиент-сервер. При динамическом распределении адресов
DHCP-сервер выдает адрес клиенту на ограниченное время, называемое
временем аренды (lease duration), что дает возможность впоследствии
повторно использовать этот IP-адрес для назначения другому
компьютеру.
•
Internet Control Message Protocol (ICMP). Протокол управляющих
сообщений Интернета. В основном ICMP используется для передачи
сообщений об ошибках и других исключительных ситуациях, возникших
при передаче данных. Также используется для тестирования связи.
Наиболее важные типы сообщений: «Адресат недоступен», «Время
истекло», «Проблема с параметром», «Гашение источника»,
«Переадресовать», «Запрос отклика», «Отклик» и т.д.
•
Address Resolution Protocol (ARP). Протокол разрешения адреса
используется для определения локального адреса по IP-адресу.
Существует также протокол, решающий обратную задачу - нахождение
IP-адреса по известному локальному адресу - реверсивный ARP
(Reverse Address Resolution Protocol, RARP).
Отображение доменных имен на IP-адреса
Для эффективной организации
именования компьютеров в
больших сетях естественным
является применение
иерархических составных имен.
Совокупность имен, у которых
несколько старших составных
частей совпадают, образуют
домен имен (domain).
Пространство доменных имён
Система доменных имен (Domain Name System, DNS) централизованная служба, основанная на распределенной
базе отображений «доменное имя - IP-адрес».
Система DNS использует «клиент-серверную» модель.
Схемы разрешения DNS-имен
Соответствие между доменными именами и IP-адресами
может устанавливаться как средствами локального
хоста, так и средствами централизованной службы.
Две основные схемы разрешения DNS-имен:
• нерекурсивная или итеративная, координируется
клиентом;
• рекурсивной или косвенной, координируется
сервером, обслуживающим поддомен, к которому
принадлежит имя клиента.
IPv6 основные цели
1. Поддержка миллиардов хостов даже при неэффективном
использовании адресного пространства.
2. Уменьшение размера таблиц маршрутизации.
3. Упрощение протокола для ускорения обработки пакетов
маршрутизаторами.
4. Более надежное обеспечение безопасности (аутентификации и
конфиденциальности), чем в нынешнем варианте IP.
5. Необходимость обращать больше внимания на тип сервиса, в
частности, при передаче данных реального времени.
6. Упрощение работы многоадресных рассылок с помощью
указания областей рассылки.
7. Возможность изменения положения хоста без необходимости
изменять его адрес.
8. Возможность дальнейшего развития протокола в будущем.
9. Возможность сосуществования старого и нового протоколов в
течение нескольких лет.
IPv6 особенности
• В общем случае протокол IPv6 несовместим с
протоколом IPv4, но зато совместим со всеми
остальными протоколами Интернета, включая TCP,
UDP, ICMP, IGMP, OSPF, BGP и DNS;
• 16 байтные поля адресов - практически
неограниченный запас интернет-адресов;
• более простой заголовок пакета. 7 полей (вместо 13 у
протокола IPv4);
• улучшенная поддержка необязательных параметров;
• большой шаг вперед в области безопасности;
• уделено больше внимания типу предоставляемых
услуг;
• адреса записываются в виде восьми групп по четыре
шестнадцатеричных цифры, разделенных
двоеточиями, например:
8000:0000:0000:0000:0123:4567:89AB:CDEF
Заголовок IPv6
Дополнительные заголовки IPv6
Дополнительный
заголовок
Описание
Параметры маршрутизации
Разнообразная информация для маршрутизаторов
Параметры получателя
Дополнительная информация для получателя
Маршрутизация
Частичный список транзитных маршрутизаторов на
пути пакета
Фрагментация
Управление фрагментами дейтаграмм
Аутентификация
Проверка подлинности отправителя
Шифрованные данные
Информация о зашифрованном содержимом
Маршрутизация
Важнейшей задачей сетевого уровня является
маршрутизация - передача пакетов между двумя
конечными узлами в составной сети.
Возможные критериями оптимизации маршрута:
• задержка прохождения маршрута отдельным пакетом;
• средняя пропускная способность маршрута для
последовательности пакетов;
• количество пройденных в маршруте промежуточных
маршрутизаторов (хопов);
• надежность линий связи;
• стоимость трафика и т.д.
Таблица маршрутизации
Протоколы маршрутизации
Протоколы маршрутизации
многошаговый подход - маршрутизация от источника
одношаговый подход
алгоритмы фиксированной (или статической)
маршрутизации
алгоритмы простой маршрутизации
алгоритмы адаптивной (или динамической)
маршрутизации.
дистанционно-векторные алгоритмы
алгоритмы состояния связей
……………………………………
Дистанционно-векторный протокол RIP
• Протокол RIP (Routing Information Protocol) - внутренний протокол
маршрутизации дистанционно-векторного типа. Является одним из
наиболее ранних протоколов обмена маршрутной информацией и
до сих пор чрезвычайно распространен в вычислительных сетях
ввиду простоты реализации.
• В процессе работы маршрутизатор общается только с соседями,
периодически обмениваясь с ними копиями своих таблиц
маршрутизации.
• В качестве расстояния до сети стандарты протокола RIP
допускают различные виды метрик: хопы, пропускная способность,
вносимые задержки и надежность сетей, а также любые
комбинации этих метрик.
• Достоинство этого алгоритма - быстрая реакция на хорошие
новости (появление в сети нового маршрутизатора), а недостаток очень медленная реакция на плохие известия (исчезновение
одного из соседей).
Построение таблицы маршрутизации
протокола RIP
1.
2.
3.
4.
5.
создание минимальных таблиц
рассылка минимальных таблиц соседям
получение RIP-сообщений от соседей и обработка полученной
информации
рассылка новой, уже не минимальной, таблицы соседям
получение RIP-сообщений от соседей и обработка полученной
информации
Сеть, объединенная RIP-маршрутизаторами
Адаптация RIP-маршрутизаторов к
изменениям состояния сети
Алгоритм быстро реагирует добавление маршрута, но очень
медленно реагирует на исчезновение маршрута.
Механизмы уведомления о недействительности маршрута:
• истечение времени жизни маршрута (180 сек);
• указание специального расстояния до сети, ставшей
недоступной (15 хопов).
Методы борьбы с ложными маршрутами в протоколе RIP:
• метод расщепления горизонта;
• метод триггерных обновлений;
• метод замораживания изменений.
Протокол «состояния связей» OSPF
Протокол OSPF (Open Shortest Path First, открытый протокол
«кратчайший путь первыми) является достаточно современной
реализацией алгоритма состояния связей (он принят в 1991 году)
и обладает многими особенностями, ориентированными на
применение в больших гетерогенных сетях.
Процесс построения таблицы маршрутизации разбивается на два
крупных этапа:
• построение графа связей сети, в котором вершинами графа
являются маршрутизаторы и IP-сети, а ребрами - интерфейсы
маршрутизаторов;
• нахождении оптимальных маршрутов с помощью полученного
графа.
После первоначального построения таблицы маршрутизации
необходимо отслеживать изменения состояния сети и вносить
коррективы в таблицу маршрутизации. Для этого каждые 10
секунд они передают специальные короткие сообщения HELLO.
Протокол «состояния связей» OSPF
Метрики могут учитывають пропускную способность сетей, задержку
передачи пакетов или надежность передачи пакетов сетью. Для
каждой из метрик строится отдельная таблица маршрутизации.
Значения расстояний для метрики, отражающей производительность
сетей: Ethernet - 10 единиц, Fast Ethernet - 1 единица, канал Т1 - 65
единиц, канал 56 Кбит/с - 1785 единиц и т. д.
У каждой записи в топологической базе данных имеется срок жизни.
К недостаткам протокола OSPF следует отнести его вычислительную
сложность, которая быстро растет с увеличением размерности
сети.
OSPF-маршрутизаторы могут принимать адресную информацию от
других протоколов маршрутизации, например от протокола RIP,
что полезно для работы в гетерогенных сетях.