|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Маршрутизовані протоколи
Протокол маршрутизації може працювати лише з пакетами, що належать до одного з протоколів, що маршрутизуються, наприклад, IP, IPX або Xerox Network System. Протоколи, що маршрутизуються, визначають формат пакетів (заголовків), найважливішою інформацією з яких для маршрутизації є адреса призначення. Протоколи, що не підтримують маршрутизацію, можуть передаватися між мережами за допомогою тунелів. Подібні можливості зазвичай надають програмні маршрутизатори і деякі моделі апаратних маршрутизаторів. У мережі бажано використовувати який-небудь один протокол, що маршрутизується, оскільки деякі маршрутизатори допускають поєднання різних протоколів, і це завжди знижує продуктивність мережі. Програмна і апаратна маршрутизація. Перші маршрутизатори являли собою спеціалізоване ПЗ, яке оброблювало IP-пакети, що приходять, специфічним чином. Це ПЗ працювало на комп’ютерах, у яких було декілька мережевих інтерфейсів, що входять до складу різних мереж (між якими здійснюється маршрутизація). Надалі з’явилися маршрутизатори у формі спеціалізованих пристроїв. Комп’ютери з ПЗ маршрутизації називають програмними маршрутизаторами, обладнання — апаратними маршрутизаторами. У сучасних апаратних маршрутизаторах для побудови таблиць маршрутизації використовується спеціалізоване ПЗ ("прошивка"), для обробки ж IP-пакетів використовується комутаційна матриця (або інша технологія апаратної комутації), розширена фільтрами адрес в заголовку IP-пакета. Апаратна маршрутизація. Виділяють два типи апаратної маршрутизації: із статичними шаблонами потоків і з таблицями, що динамічно адаптуються. Статичні шаблони потоків реалізують розділення всіх вхідних IP-пакетів на віртуальні потоки; кожен потік характеризується набором ознак: IP-адресами відправника/одержувача, TCP/UPD-портом відправника/одержувача (у разі в разі підтримки маршрутизації на підставі інформації 4-го рівня) та портом, через який прийшов пакет. Оптимізація маршрутизації при цьому будується на ідеї, що всі пакети з однаковими ознаками повинні оброблятися однаково (за однаковими правилами), при цьому правила перевіряються лише для першого пакета в потоці (при появі пакету з набором ознак, що не вкладається в існуючі потоки, створюється новий потік), за результатами аналізу цього пакету формується статичний шаблон, який і використовується для визначення правил комутації пакетів, що приходять (всередині потоку). Звичайний час зберігання шаблону, що не використовується, обмежено (для звільнення ресурсів маршрутизатора). Ключовим недоліком подібної схеми є інерційність по відношенню до зміни таблиці маршрутизації (у разі існуючого потоку зміна правил маршрутизації пакетів не буде "помічена" до моменту видалення шаблону). Динамічно адаптовані таблиці використовують правила маршрутизації "безпосередньо", використовуючи маску і номер мережі з таблиці маршрутизації для перевірки пакету і визначення порту, на який потрібно передати пакет. При цьому зміни в таблиці маршрутизації (в результаті роботи, наприклад, протоколів маршрутизації/резервування) відразу ж впливають на обробку всіх нових отриманих пакетів. Динамічно адаптовані таблиці так само дозволяють легко реалізовувати швидку (апаратну) перевірку списків доступу. Програмна маршрутизація. Програмна маршрутизація виконується або спеціалізованим ПЗ маршрутизаторів (у разі, коли апаратні методи не можуть бути використані, наприклад, у разі організації тунелів), або програмним забезпеченням на комп’ютері. У загальному випадку, будь-який комп’ютер здійснює маршрутизацію своїх власних вихідних пакетів (як мінімум, для розділення пакетів, що відправляються на шлюз за умовчанням і пакетів, призначених вузлам в локальному сегменті мережі). Для маршрутизації чужих IP-пакетів, а так само для побудови таблиць маршрутизації використовується різне ПЗ, наприклад: сервіс RRAS (англ. routing and remote access service) в Windows Server, домени routed, gated в Unix-подібних операційних системах (Linux/BSD тощо). Сучасна практика планування та розгортання комп’ютерних мереж склалася так, що певний клас та потужність апаратури вважається відповідним кількості вузлів або архітектурі мережі та очікуваному об’єму трафіку чи складності його обробки. Найпростішим прикладом є домашня мережа. Як правило, провайдерами Інтернет в житлові приміщення встановлюється одне фізичне з’єднання за технологіями Ethernet, ADSL чи DOCSIS, в залежності від типу комутаційної апаратури на технічних майданчиках провайдера. Якщо в житловому приміщенні є всього один комп’ютер, то з’єднання встановлюється для нього безпосередньо, і додаткових пристроїв не потрібно. Але якщо комп’ютерів більше одного, чи в приміщенні встановлений домашній сервер, чи використовуються комп’ютери класу ноутбуків та КПК типовим рішенням є маршрутизатор. Маршрутизатор визначається як спеціалізований комп’ютер, апаратні та програмні функції якого оптимізовані для керування пакетами даних в телекомунікаційних (в т.ч. комп’ютерних мережах). На сьогоднішній день на споживацькому ринку представлена велика кількість маршрутизаторів домашнього та офісного класу (в іноземній літературі вживається традиційне позначення SOHO) від виробників телекомунікаційного обладнання, таких як ASUS, DLink, LinkSys, NetGear та інших. Всі маршрутизатори такого класу об’єднує компактність, низька споживана електрична потужність, відсутність рухомих частин (вентиляторів, дискових накопичувачів тощо) та їх апаратна реалізація з точки зору набору функцій. Типовий набір функцій SOHO-маршрутизатора: WAN-підключення через одну з наступних технологій: порт RJ45 для підключення по Ethernet; порт RJ11 для підключення по ADSL; коаксіальний порт для DOCSIS; LAN-інтерфейс для підключення клієнтів локальної мережі: через вбудований комутатор Ethernet; через бездротову мережу Wi-Fi (стандарти сімейства 802.11); Для автоматичного налаштування конфігурації IP для доступу до зовнішньої мережі використовуються сервер DHCP та повторювачі DNS; Для прозорого доступу до зовнішньої мережі використовується технологія Network Address Translation (NAT) з додатковими можливостями встановлення адреси DMZ, пере направлення портів, тригер-портів тощо; Для первинного захисту користувачів мережі від зловмисного контенту використовується фільтрація за адресами, URL та Cookies. Такий набір функцій в переважній більшості випадків є цілком задовільним для пересічного користувача Інтернет в домашніх умовах, без необхідності деталізованого налаштування маршрутизатора. Деякі моделі маршрутизаторів LinkSys навіть оснащені спеціальною кнопкою на передній панелі, натискання якої запускає процедуру повністю автоматичного налаштування під наявну на даний момент конфігурацію мережі. З іншого боку, будь — яка інфраструктура мережі, потужніша в порівнянні з інфраструктурою малого офісу, звичайно потребує більш досконалих маршрутизаторів. Перелік функцій промислових маршрутизаторів виходить за межі даної роботи, але можливо окреслити найбільш вживані функції, такі як: Multiple VPN: розподілення корпоративної мережі на сегменти через посередницькі мережі (часто через Інтернет); Підтримка пограничних протоколів маршрутизації та автоматичного пошуку топологій: BGP, STP тощо; Інтелектуальні системи протидії вторгненню (IDS — Intrusion Detection System) та DDOS; Підтримка віддаленого доступу користувачів через протоколи, такі як OpenVPN, модемний доступ, авторизація користувачів в системі RADIUS, як зовнішній так і внутрішній. Ще одною ключовою відмінністю маршрутизаторів сектору SOHO та промислових є акцентування на апаратних або програмних рішеннях. SOHO-маршрутизатори за своєю архітектурою є близькими до однокристальних ЕОМ, тому, природно, в них використовуються процесори, пам’ять та контролери вводу-виводу загального призначення. Специфіка задачі маршрутизації покладена, таким чином, повністю на програмне забезпечення маршрутизатора, що при невисоких обчислювальних потужностях процесора (типовий маршрутизатор SOHO-класу D-Link DIR330 має процесор Broadcom BCM4704, працюючий на тактовій частоті 265 МГц) не може забезпечити стабільної роботи на критичних навантаженнях. Маршрутизатори SOHO-класу також обладнані портами Ethernet, які працюють на швидкості не більше 100 МБіт/с, оскільки більша швидкість в цільовому секторі практично не потрібна. У промислових маршрутизаторів програмне забезпечення більш складне, але деякі типові функції, які реалізує маршрутизатор, виділені як апаратні рішення у вигляді окремих мікропроцесорів та мікропрограм до них. Це дозволяє суттєво розвантажити центральний процесор маршрутизатора при збільшенні загальної продуктивності роботи. Промислові маршрутизатори також мають порти як Ethernet, так і оптоволоконні, що працюють на швидкості передачі даних 1 Гбіт/с та 10 Гбіт/с. Однак такі маршрутизатори мають ціну більш ніж $1000 за одиницю, у порівнянні з менш ніж $80 за SOHO-моделі. Комп’ютерна мережа (КМ) кафедри (рис. 2.7) на даний момент складається з близько 30 персональних комп’ютерів — робочих місць для співробітників кафедри та комп’ютерного класу для студентів. Всі вони з’єднані між собою в один мережевий сегмент за технологією Ethernet та при використанні 6 комутаторів типу «switch». В мережі також присутні — точка доступу Wi-Fi та два внутрішні сервери мережі. Отже, вузли КМ мають чітке розділення на 2 класи — сервери та робочі місця. З огляду на це постає питання про вибір діапазону приватної адресації протоколу IPv4. Інтернет-стандартом RFC1918 визначено 3 діапазони, які рекомендовано використовувати для приватної адресації, тобто такі, пакети до (чи від) яких не будуть передаватися в Інтернет. Це діапазони (в нотації CIDR): 10.0.0.0/8 ємністю 16777216 адрес (24 біта); 172.16.0.0/12 ємністю 1048576 адрес (20 біт); 192.168.0.0/16 ємністю 65536 адрес (16 біт); При виборі плану адресації вузлів в КМ враховувалися такі міркування: Комп’ютерна мережа НТУУ «КПІ» використовує адресний простір 10.0.0.0/8, де другий октет в більшості випадків означає номер учбового корпусу або корпусу гуртожитку, третій октет — умовний номер структурного підрозділу, та четвертий октет — номер вузла в підрозділі. Така адресація є структурно логічною, оскільки відображає географічно-адміністративну структуру мережі НТУУ «КПІ», проте використання всіх трьох октетів адресації унеможливлює додавання КМ до неї як окремої сутності без додаткового тривалого узгодження з НТО «КПІ-Телеком» та додаткових фінансових витрат. Адресний простір 192.168.0.0/16 має достатню ємність, але цей діапазон використовується, по-перше, як адресний простір за замовчуванням для маршрутизаторів, принтерів та іншого обладнання SOHO-класу, яке призначене для роботи в мережі, причому часто обладнання виступає в ролі сервера, в тому числі DHCP, що може призвести до конфлікту адрес. По-друге, потрібно залишити можливість створення незалежних від КМ експериментальних підмереж на тому ж обладнанні, яке працює в КМ. При цьому студенти, як правило, використовують саме цей діапазон адрес з огляду його відносної популярності та з причини попереднього досвіду. Відтак було прийнято рішення використати адресний простір 172.16.0.0/12, виділивши в ньому два внутрішні сегменти — 172.16.0.0/24 для обладнання серверного класу та 172.16.1.0/24 для адресації користувацьких комп’ютерів. Оскільки обидва класи апаратури входять в один і той же сегмент Ethernet і повинні мати можливість адресувати мережеві пакети між собою, то загальний діапазон для КМ було визначено як 172.16.0.0/23, чому відповідає мережева маска 255.255.254.0 та широкомовна адреса 172.16.1.255. Адресний потенціал такої мережі становить 253 адреси для серверних вузлів та стільки ж для клієнтських, що на даному етапі розвитку КМ є цілком достатнім при тому, що в рамках обраного адресного простору зберігається можливість теоретичного розширення потенціалу мережі в більш ніж 2000 разів. В адресному просторі комп’ютерної мережі НТУУ «КПІ» для кафедри виділено адресу з діапазону 10.0.0.0/8, і здійснено фізичне підключення пограничного маршрутизатора (див. нижче) до мережі НТУУ «КПІ». Для доступу до мережі Інтернет організовано IP-in-IP тунель у відповідності з стандартами RFC1853 та RFC2003. В такий спосіб дейтаграми протоколу IP, які мають адресацію джерела та призначення з адресного простору мережі Інтернет проходять всередині мережі НТУУ «КПІ» за допомогою інкапсуляції. Встановлено обмеження пропускної здатності каналу зв’язку з Інтернет на рівні 512 Кбіт/с. Необхідно для комп’ютерів всередині КМ забезпечити можливість: звертатися до всіх ресурсів, які знаходяться в мережі НТУУ «КПІ» без обмеження швидкості; звертатися до HTTP та FTP-сайтів мережі Інтернет з обмеженням швидкості каналу, частина пропускної полоси якого резервується для потреб серверів КМ; зменшити витрати часу на налаштування програмного забезпечення на робочих місцях студентів та співробітників кафедри; приєднатися до КМ по бездротовому доступу Wi-Fi. Також для комп’ютерів, що знаходяться зовні по відношенню до КМ, потрібно забезпечити можливість доступу до HTTP та SMTP серверів кафедри, які фізично знаходяться всередині КМ, але повинні бути адресованими в просторі мереж Інтернет та НТУУ «КПІ». Рисунок 2.7. Структурна схема КМ та її зв’язності з зовнішніми мережами Було запропоновано наступні методи вирішення задачі. Проводити адресну трансляцію (NAT — Network Address Translation) для клієнтських комп’ютерів КМ в напрямку мережі НТУУ «КПІ» без обмежень по обсягу трафіку. Встановити кеш-проксі для доступу до вузлів Інтернет за протоколами FTP та HTTP. В якості кеш-проксі було вибрано широко відомий проект Squid. Для автоматичного налаштування вузлів КМ використати протокол настройки DHCP та сценарій автоматичного налаштування HTTP-проксі WPAD (Web-Proxy Auto Discovery). Встановити точку доступу Wi-Fi на базі маршрутизатора D-Link DIR330 з вимкненим мережевим інтерфейсом WAN. Функції серверів HTTP, DHCP та WPAD (а також FTP для внутрішнього використання) покладено на наявний в КМ сервер на базі Windows 2003 R2, оскільки тимчасова недоступність цих служб не впливає на коректну роботу вузлів КМ. Програму Squid було встановлено на наявний в КМ сервер на базі Gentoo Linux з таких міркувань, що, у порівнянні з аналогами, найбільшу швидкість роботи зі сховищем Squid, яке представляє собою велику кількість порівняно малих файлів, забезпечує файлова система ReiserFS. Функції NAT-транслятора не могли бути покладені на жоден з серверів КМ, оскільки вони не мають мережевого інтерфейсу з прямим з’єднанням до мережі НТУУ «КПІ». Відтак цю роль мав відігравати центральний маршрутизатор. Підсумовуючи вищенаведене, можна сформулювати такий перелік задачі, які мали бути покладені на центральний маршрутизатор КМ: здатність підключитися до 3-х незалежних мереж (Інтернет, мережа НТУУ «КПІ», КМ) через 3 логічно виділені мережеві інтерфейси; здатність реалізувати тунелювання IP-in-IP у відповідності з RFC2003; здатність реалізувати NAT-трансляцію користувачів КМ в мережу НТУУ «КПІ» здатність реалізувати NAT-трансляцію користувачів HTTP та SMTP ресурсів КМ з зовнішніх мереж з додатковими умовами доступності ресурсів за зовнішньою адресацією для внутрішніх клієнтів. Такі задачі, як правило, вирішуються або придбанням та встановленням промислового маршрутизатора, або покладанням їх на один з серверів мережі. Ми вважаємо другий спосіб неоптимальним не тільки з причини відсутності фізичного зв’язку з мережею НТУУ «КПІ», але й тому, що обидва сервери КМ налаштовані і використовуються в експериментальному режимі, а це може стати причиною втрати зв’язності з обома зовнішніми мережами під час виключення або перезавантаження. Перший спосіб, на наш погляд, є неоптимальним з позиції відношення очікуваного результату до обсягу витрат, тобто з міркувань фінансової економії. Спроби реверс-інжинірингу найпопулярніших моделей SOHO-маршрутизаторів робляться з моменту їх появи на масовому ринку. Значний прорив в цій області відбувся, коли LinkSys (зараз підрозділ Cisco Systems, Inc) використала для мкіропрограмного забезпечення (firmware) своїх маршрутизаторів серії WRT модифіковане ядро операційної системи Linux. Це призвело до юридичного тиску та вимушеної публікації вихідних кодів та специфікацій для широкого загалу, що, в свою чергу, започаткувало велику кількість споріднених проектів, ціллю яких було додавання додаткових модулів програмного забезпечення для розширення можливостей маршрутизаторів значно далі, ніж це вважалося достатнім для ринку SOHO. Поточні розробки в цій галузі більше не обмежені лише лінією Linksys WRT, оскільки значна кількість інших виробників будувала свої маршрутизатори на дуже схожому обладнанні. Ми вважаємо, що цілком можливо досягнути потужності маршрутизації та зв’язності порівняної з такими, що можуть бути досягнуті з використанням маршрутизаторів промислових моделей, але лише з використанням обладнання SOHO-класу шляхом детального планування структури програмного забезпечення та інфраструктури мережі. Для цього нами був обраний один з найбільш типових маршрутизаторів SOHO-класу Linksys WRT54GSv4. Підтримка серії маршрутизаторів Linksys WRT наявна в усіх без винятку проектах, які виникли після публікації вихідного коду мікропрограм. Було проаналізовано мікропрограми від 3-х найбільш розповсюджених та детально пророблених проектів, присвячених маршрутизаторам цієї серії — DD-WRT, OpenWRT, FreeWRT. В проекті DD-WRT виявився відсутнім функціонал для побудови IP-in-IP тунелю та нестандартних правил мережевої трансляції. Проект OpenWRT на момент розглядання цього питання мав критичну помилку в модулі, який реалізує підтримку IP-in-IP тунелю, тому було обрано проект мікропрограм FreeWRT, в тому числі і як найбільш (серед своїх аналогів) орієнтований на серверні ролі. Налаштування мережевих інтерфейсів маршрутизатора під керуванням FreeWRT виконано в синтаксисі, який прийнято в сімействі операційних систем Debian Linux.
Даний набір правил визначає: • локально-зворотній інтерфейс lo, стандартний для всіх операційних систем з підтримкою TCP/IP; • інтерфейс eth0.0 внутрішнього сегменту КМ з адресацією Інтернет; • фізичний інтерфейс eth0.1 маршрутизатора КМ до мережі НТУУ «КПІ»; • логічний інтерфейс tunl1 тунелю IP-in-IP для зв’язності КМ з Інтернет; • фізичний інтерфейс eth0.2 до внутрішньої КМ. Локальна таблиця маршрутизації визначається директивами up route і має такий вигляд.
Задача забезпечення NAT-трансляції покладена на вбудований в ядро операційної системи FreeWRT стандартний модуль iptables, конфігурація якого в частині, що стосується завдання зв’язності КМ, виглядає таким чином:
Звертаємо увагу на те, що переадресація запитів до служб HTTP та SMTP всередині КМ здійснюється на різні сервери, тоді як для зовнішнього користувача це не помітно і адреса є єдиною. Завдання бездротового доступу до КМ вирішено шляхом використання маршрутизатора SOHO-класу D-Link DIR330, підключення його LAN-інтерфейсу до КМ НАПЕС, та встановлення мікропрограми з проекту DD-WRT, оскільки його заводський набір мікропрограм не дозволяв потрібної гнучкості налаштування та підсилення потужності радіопередавача з 70 мВт до 251 мВт з метою покриття радіо-доступом всіх приміщень кафедри. Таким чином, виконано встановлення та впровадження в експлуатацію комп’ютерної мережі кафедри НТУУ «КПІ», яка забезпечує необхідний рівень зв’язності для задовільнення потреб співробітників та студентів кафедри в доступі до інформаційних ресурсів Інтернет та мережі НТУУ «КПІ». На прикладі проектування та встановлення комп’ютерної мережі кафедри НТУУ «КПІ» показано, що хоча підхід, орієнтований на суто програмне забезпечення в маршрутизаторах класу SOHO, скоріше за все не дозволить на пікових навантаженнях досягти потужності, порівняної з апаратно-центрованими маршрутизаторами, це, однак, є досить життєздатним, ефективним та дешевим методом побудови промислових мереж, в тому числі внутрішніх мереж для академічних установ та їх підрозділів.
Контрольні запитання
Дати визначення термінам: канал, вузол, мережа, протокол, інтерфейс. Дати визначення терміну «мережева топологія». Суть та структура мережевої моделі OSI. Дати визначення понять комутація та маршрутизація в комп’ютерних мережах Назвати схеми комутації абонентів в мережах. Дати визначення терміну «NAT-шлюз»
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.012 сек.) |