Руководство системного администратора • третье издание { h h y с п п т п р


\JCI рассказано, в каких случаях адреса оказываются неуникальными. 2Y1



Pdf просмотр
страница26/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров12954
Скачиваний0
ТипРуководство
1   ...   22   23   24   25   26   27   28   29   ...   82
6\JCI
рассказано, в каких случаях адреса оказываются неуникальными.
2Y1
Часть II. Робота все т

процессов замаскироваться под стандартные сервисы, системы ограничивают доступ к портам с номерами до 1024 только для пользователя root. Типы адресов В протоколе IP и на канальном уровне поддерживается несколько типов адресов направленный — адрес, который обозначает отдельный компьютер в действительности сетевой интерфейс групповой — адрес, идентифицирующий группу узлов широковещательный — адрес, обозначающий все узлы локальной сети Режим группового вешания используется в таких приложениях, как, например, видеоконференции, где одна и та же последовательность пакетов посылается всем участникам конференции. Протокол IGMP (Internet Group
Management Protocol — протокол управления группами Internet) отвечает за управление группами узлов, идентифицируемыми как один групповой адресат. Режим группового вешания все еще является экспериментальным Тем не менее, он находит все более широкое применение в таких областях, как передача голосовых данных по сетями передача видео по запросу. На канальном уровне младший бит старшего байта группового адреса первый байт, передаваемый по кабелю) установлен равным I. те. любой адрес с нечетным первым байтом рассматривается как групповой. Такие адреса используются различными аппаратными устройствами в протоколах начальной конфигурации. Адрес группового вешания в Internet — Е. Широковещательные адреса канального уровня, если рассматривать их в двоичном виде, состоят из одних единиц. В протоколе IP групповые адреса начинаются с байта, значение которого находится в диапазоне 224—239. В широковещательных адресах последняя часть адреса в двоичном виде состоит из одних единиц.
13.4. адреса адрес имеет в длин) четыре байта и состоит из двух частей сетевой п машинной. Первая часть обозначает логическую сеть, к которой относится адреса вторая идентифицирует конкрегпый компьютер в сети. По соглашению адреса записываются в Rime группы десятичных чисел по одному на каждый байт, разделенных точками. Например. адрес нашем машины boulder выглядит как 128.138.240.1. Левый байт — старший и всегда является компонентом сетевой части адреса Если первым байтом адреса является число 127. оно обозначает интерфейс обратной связи — фиктивную сеть, не имеющую реального аппаратного интерфейса и состоящую только из локальной машины. Адрес 127.0.0.1 всегда ссылается на текущую машину ее символическое имя — localhosi адрес и другие параметры сетевого интерфейса задаются командой ifconfig. Ее полное описание дано в параграфе 13.10. Классы адресов Исторически адреса группировались в классы, определявшиеся на основании первых битов самого левого байта. Классы отличались распределением байтов адреса между сетевой и машинной частями. Современные маршрутизаторы используют явные маски для задания сетевой части адреса.
Глоео 13. Сети TCP/IP
293
причем компоненты адреса могут разделяться по границе отдельных битои. а необязательно байтов. Тем не менее, традиционные классы все euie используются по умолчанию, если не предоставлена явная маска. Классы А, В и С обозначают обычные адреса классы D и Е применяются при групповой адресации ив исследовательских целях. В табл. 13.3 представлены характеристики каждого класса адресов. Сетевая часть адреса обозначена буквой С, а машинная — булевой М.
Тоблицо 13.3. Клоссы 1Р-одресов
] 1л(]СС Первый бас Формат Комментарии А
1-126 СМ мм Самые ранние сети или адреса, зарезервированные для Министерства обороны США В
128—191
С.С.М.М Крупные организации, обычно с подсетя- ми адреса данного класса почти полностью заняты С
192-223
С.С.С.М Небольшие организации адреса данного класса получить легко, они выделяются целыми блоками
D
224-:39 Групповые адреса, не назначаются на постоянной основе Е
240-254 Экспериментальные адреса Значения 0 и 255 для обычных адресов не используются. Значение 127 зарезервировано для адресов обратной связи. Организация подсетей В редких случаях в состав локальной сети входит более ста компьютеров. По этой причине полезность адресов класса Аи класса В (которые допускают наличие водной сети соответственно 16777214 и 65534 машин) весьма сомнительна. К примеру, 126 адресов класса А занимают половину доступного адресного пространства Большинство организации, имеющих эти адреса, пользуются улучшенным вариантом схемы адресации, в которой применяются подсети. Здесь некоторая доля машинной части адреса "заимствуется" для расширения сетевой части. Например, четыре байта адреса класса В обычно интерпретируются как
С.С.М.М. При наличии подсети третий байт также отводится под номер сети, а не номер машины, поэтому формат адреса становится таким С.С.С.М. Это превращает один сетевой адрес класса В в 256 сетей, подобных сетям класса Св каждую из которых может входить 254 компьютера. Переназначение адресов производится с помошью команды ifconfig. которая назначает сетевому интерфейсу так называемую маску подсети.
Каждый бит маски, соответствующий сетевой части адреса, равен I, а биты машинной части равны 0. Например, маска для адреса класса Сбудет иметь вид 255.255.255.0 в десятичной системе ив шестнадцатеричной. Ядро, как правило, использует класс адреса для того, чтобы выяснить, какие биты относятся к сетевой части Если задается явная млека, то эта функция просто отменяется.
Более подробная информация о команде ifconfig содержится в параграфе С
>91
Чость II. Роботов сетях
Граница между сетевой и машинной частями адреса необязательно приходится на границу байта, но чаше всего бывает именно так. Биты сетевой части должны быть смежными. Конфигурация вида С.С.М.С раньше допускалась, хотя и не была распространена. Сегодня подобный формат адреса недопустим. Сетевые маски, не оканчивающиеся на границе байта, труднее декодировать. Они обычно записываются в виде суффикса /XX, где XX — число битов в сетевой части адреса (длина маски. Например, адрес 128.138.243.0/26 обозначает первую из четырех сетей с общим компонентом адреса 128.138.243. В трех других сетях последний байт адреса идентифицируется значениями
64, 128 и 192. Сетевая маска, связанная с ЭТИМИ сетями, имеет вид
255.255.255.192. нли OxFFFFFFCO. В двоичном представлении это 26 единиц, за которыми следуют шесть нулей (рис. В. адрес Десятичная маска
255 255

255

192
Швстнвдцатвричная маска ' 1

• '
• t 1 С 1 Двоичная маска Ittl НИИ
выбирается по умолчанию лля алресов класса В, / 2 4 и /26 (наиболее реалистичное значение, если учитывать нехватку алресов в сети см. ниже. Таблица 13.4. Пример раЫиифровки 1Р-адресо
1
Р-сдрес Сетевая масса Сетовай адрче
Широковещательна
Смрес
128 138 243.100/16 255 253 0.0 128.138 0.0 128.13d 255.255 128.138.243 100/24 25f 255.255.0 128.138 243.0 128.138.2*3.255 128 138.243.100/26 255 255.255 192 128.138 24? 64 128.138.243.127 Кит Оуэнз (Keith Owens) написал прекрасный сценарий ipcalc.pl. который помогает выполнять адресную арифметику. Он доступен по адресу ftp.ocs.com.au и требует наличия интерпретатора Perl 5. Сценарий отображает всю информацию, касающуюся заданного сетевого адреса. Мы даже обнаружили, что была написана версия этого сценария лля системы Palm Pilot
(www.ajw.com/ipcalc.htm). Ниже приведен образец работы сценария (формат вывода для наглядности немного изменен
% ipcalc.pl 128.138.243.100/26
I P a d d r e s s
128 13B . 243 . 100 / 26 128. .138 .243. .100/26
Mask D i e s 11111111 11111111 11111111 11000000
Mask b y t e s
255 . 255 . 255 . 192 255. .255. .255. .192
A d d r e s s
10000000 10001010 11110011 0]100100
Network
128 138 243 64 128. .138 .243. .64
B r o a d - a s :
128 138 243 127 128. .138. .243. .127
F i r s t Host 128 138 243 6b
128. ,13B . 24 J . .65
L a s t Host
12B
13B
243 126 128. .138. .243. .126
Total Hosts 62
FTR 100.243.138.128.in-aadr.arpa
IP Address {hex} 808AF364 В Red Hat существует программа, которая также называется ipcalc и выполняет аналогичные вычисления, но имеет несколько отличающийся синтаксис. Исходный документ RFC. посвященный IP-подсетям (RFC950). не разрешал использовать первый и последний адреса подсети (состоящие из всех нулей и всех единиц соответственно. В нашем случае это привело бык исключению половины подсетей, с адресами 0 и 192. В действительности все Игнорировали это правило, кроме компаний Novell и Cisco. (Правда, в последних версиях операционной системы IOS компании Cisco — 12 0 и выше — подсеть 0 доступна по умолчанию) Разработчики данного документа ошиблись, хотя их намерения были благородными. Запрет подсети 0 был вызнан опасением, что возникнет путаница из-за совпадения адреса подсети и сетевого адреса без маски. Этот страх оказался беспочвенным, поэтому адреса подсетей, состоящие из всс\ нулей и всех единиц, широко используются сегодня. На самом деле подобный запрет относится к машинной части адреса. Сетевой (все нули) и широковещательный (все единицы) адреса сокращают число узлов в каждой локальной сети на 2, поэтому в самой маленькой сети формально будет 4 узла два реальных, соединенных напрямую, и аю
Чость II Роботов сетях
фиктивных (сетевой и широковещательный адреса. Для того чтобы создать подобную сеть, необходимо выделить два бита под машинную часть адресате. суффикс адреса будет /30, а сетевая маска — 255.255.255.252, или
OxFFFFFFFC Сетевые маски понятны компьютерам в локальной сети, но внешний миро них не зиает и продолжает интерпретировать адреса в соответствии с заложенными в них классами. В нашем случае (адрес 128.138.243.100) ненужно сообщать миру о каждой подсети, достаточно сообщить об одной сети класса В. Когда пакет прибудет в пункт назначения, после которого происходит разделение на подсети, к адресу нужно применить сетевую маску, обнаружить реального получателя и направить ему пакет. Кризис адресов Примерно в 1992 г. сообщество Internet наконец-то осознало три фундаментальные проблемы, возникающие вследствие применения исходной схемы выделения адресов. Во-первых, при существующих темпах развития адресное пространство класса В — наиболее желанное для организаций умеренного размера — окажется исчерпанным к середине 1995 г. Во-вторых, таблицы маршрутизации серверов, управляющих магистралями, стали настолько большими, что появились опасения относительно нехватки памяти на маршрутизаторах. И в-третьих, адреса выделялись по принципу "первым попросил — первым получил" без учета информации о местоположении адресата. Таким образом, соседние адреса могли находиться как водной организации, таки на разных континентах. Представьте, какая путаница могла бы возникнуть, если бы также бессистемно назначались почтовые индексы Для решения проблемы было одновременно предложено два подхода один на ближайшее будущее, а другой — более долгосрочный. Первое из решении — протокол CIDR (Classless Inter-Domain Routing — бесклассовая междоменная маршрутизация) — предусматривало изменение принципов управления существующими четырехбайтовыми адресами и упрощение таблиц маршрутизации за счет введения понятия смежности. Долговременное решение — это стандарт IPv6. Он представляет собой следующее поколение протокола IP. в котором длина адреса увеличена до
16-ти байтов и учтен ряд других ошибок, выявленных на протяжении 25 лет эксплуатации протокола IP. Некоторые элементы протокола вообще исключены из нового стандарта, так как опыт показал, что онн не имеют практической ценности. В результате протокол стал потенциально быстрее и проще и реализации. В нем интегрированы средства аутентификации и обеспечения безопасности, а также устранена процедура фрагментации на промежуточных маршрутизаторах. Благодаря байтовым адресам появилась возможность использовать адресов, что составляет примерно 665570793348S66943S98599 адресов на один квадратный метр поверхности Земли. Размерность 16 была выбрана потому, что проведенные вычисления показали существует небольшая вероятность того, что ми байтов адреса окажется недостаточно. В 2000 г. протокол IPv6 все еще проходил проиесс стандартизации. А вот протокол CIDR был полностью внедрен в эксплуатацию он поддерживается серверами магистралей и ведущими производителями маршрутизирующего оборудования. Существенную роль в уменьшении требуемого чнела адресов сыграла также система NAT, обеспечивающая повторное использование существующих адресов (описывается далее в главе.
Глоео 13. Сети TCP/IP
297
Сложность стандарта IPv6, эффективность протокола CIDR и системы
NAT. а также инертность существующей сети Internet заставляет предполагать, что потребуется много времени, прежде чем произойдет переход на IPv6. Он может быть ускорен такими странами, как Япония и Китай, которые не получают необходимую долю адресного пространства, или какой-нибудь новой суперпопулярной системой, ориентированной на стандарт IPv6. Кандидатами на эту роль могут бьггь терминалы или беспроводные устройства, встраивающие номер телефона в адрес IPv6. Системы передачи голосовых данных по сетям также выиграют от более близкого соответствия между телефонными номерами и адресами IPv6.
CIDR: протокол бесклоссовой междоменной маршрутизоции Протокол CIDR, описанный в документе RFC1519, устраняет потребность в системе классов, на основании которой раньше определялась сетевая часть адреса. Он является прямым расширением идеи подсетей, поскольку также позволяет задавать сетевую маску, определяющую границу между сетевой и машинной частями адреса. Нов целях маршрутизации допускается, чтобы сетевая часть была меньше, чем того требует класс адреса. Благодаря укороченной маске возникает эффект объединения нескольких сетей о этой причине протокол CIDR иногда называют протоколом формирования иадсетеи. При использовании протокола CIDR можно одной организаций вылечить несколько сетей класса С. причем ненужно для каждой из них создавать отдельную запись в таблице маршрутизации. Предположим, например, что организации предоставлен блок из 32-v адресов класса С, пронумерованных последовательно от 192.144.0.0 доп нотации C1DR — 192.144.0.0/21). Внутри самой организации адреса могут распределяться так
• 1 сеть с длиной маски 21 — 2046 узлов, сетевая маска 255.255.224.0;
• 32 сети с длиной маскп 24 — 254 узла в каждой, сетевая маска
255.255.255.0;
• 64 сети с длиной маски 25 — 126 узлов в каждой, сетевая маски
255.255.255.128,
• 128 сетей с длиной маски 26 — 62 узла в каждой, сетевая маска
255.255.255.192; и т д . Возможно смешение подсетей с разной длиной сетевой части адреса, если только они не перекрывают друг друга. Например, провайдер Internet, которому выделена адресная область 193.143.0.0/21, может создать группу сетей /30 для РРР-клиентов, несколько сетей /24 для крупных клиентов и ряд сетей /27 для более мелких компаний Все узлы в сети должны конфигурироваться с помошью одиой сетевой маски Нельзя для одного узла задать длину маски 24, а для другого — 25. Ценность протокола CIDR шключается в том. что дня перечисленных адресов необязательно иметь 256, 128 или даже 32 записи в таблице маршрутизации. Ведь все они ссылаются на компьютеры водной и той же организации, поэтому пакеты предварительно нужно доставлять в неким Первоначальная спецификация Ethernet для коаксиального кабеля RG-11 допускала наличие узлов в локальной сети. Очевидно, это было связано с максимальной длиной кабеля подсчитывалось среднее расстояние между компьютерами. Подобное ограничение по- прежнему может быть "зашито" гле-то в программном обеспечении, поэтому данная конфигурация сети является непрактичной.
3'
г
Чость 11. Робота в сетях
общий приемный пункт. А в таблицу маршрутизации достаточно внести запись 199.144.0.0/21. С появлением протокола CIDR системным администраторам пришлось поднатореть в двоичной и шестнадиатеричной арифметике. Правда, многие открыли для себя UNIX-утнлиту be. которая выполняет преобразования в любой системе счислений при помощи директив ibase и ohasc. В табл. 13.5 представлена шпаргалка по нашему примеру.
Тоблицо 13.5. Коифигуроция сети в зависимости от длины сетевой моски Сетевая Мошинная Узлов/сетей
2
Сетевая маска Сетевая маско часть чосгъ т (десятичная) (шестнадцотеричная)
/20 12 4094 255.255.240.0 OxFFFFFOOO
/21 II 2046 255.255.248.0 0xFFFFF800
/22 10 1022 255.255.252.0 OxFFFFFCOO
/23 9 510 255.255.254.0 OxFFFFFEOO
/24 8 254 255.255.255.0 OxFFFFFFOO
/26 7 126 255.255.255.128 DxFFFFFF80
/26 6 62 255.255.255.192 OxFFFFFFCO
/27 5 30 255.255.255.224 OxFFFFFFEO
/28 4 14 255.255.255.240 OxFFFFFFFO
/29 3 6 255.255.255.248 0xFFFFFFF8
/30 2 2 255.255.255.252 OxFFFFFFFC
1
Размеры сетевой и машинной частей адреса в сумме всегда дают 32.
2
Число узлов определяется по формуле длина машинной части. Адреса узлов, состоящие из всех нулей и всех единиц, являются зарезервированными. Когда протокол CIDR появился в 1993 г. таблицы маршрутизации магистральных серверов содержали примерно 20000 записей. Несмотря на последующий экспоненциальный рост сети Internet, размер таблиц увеличился всего до 80000 записей к лету 2000 г. Столь умеренный рост связан с активной агрегацией старых и новых адресных областей. Имеется одна неагрегированная область адресного пространства, называемая "болотом" 192 (есть также ряд более мелких "болот" в диапазонах
199 и 205). Она состоит из ранних адресов класса С. владельцы которых не могут выполнить их агрегацию, но и не хотят номеижь их на другие адреса. Особенно остро данная проблема стоит в CLLK Европа и Азия, начавшие подключаться к Internet позже, учли ошибки США и более разумно подошли к вопросу выделения адресов. Организации, владеющие адресами в диапазоне
192, должны вернуть их в Американскую канцелярию номеров Internet
(American Registry for Internet Numbers. ARIN) и получить новые блоки адресов от своих провайдеров. К сожалению, стоимость перерегистрации (по крайней мере, в адресном пространстве IPv4) отпугивает большинство организаций от подобного шага. Когда мы начали писать книгу летом 1999 г, число записей в таблицах составляло 60000. А гол спустя их было уже 80000 — процентный рост Существующие маршрутизаторы и алгоритмы маршрутизации могут выдержать годовой прирост в несколько процентов, но ие
25%. Глобальную статистику маршрутизации вы можете узнать по адресу www.antc.uore- gon.edu/route-views/dynamics.
Глоео 13. Сети TCP/IP
299
Хотя протокол C I D R предусматривался как промежуточное решение, оказалось, что он отлично справляется с проблемой роста сети Internet. По крайней мере, в ближайшем будушем причин для беспокойства не предвидится. По сути, протокол C I D R зарекомендовал себя настолько хорошо, что теперь неясно, нужен ли вообше новый протокол IP. Конечно, в разработку и прототипную реализацию спецификации IPv6 был вложен огромный инженерный труд и будет стыдно, если он окажется напрасным, но широкомасштабное внедрение стандарта IPv6, очевидно, напрямую зависит от появления какого-нибудь суперпопулярного приложения, ориентированного исключительно на IPv6, или отрешения компании Microsoft отправить протокол IPv4 "на пенсию. Выделение одре сов В самом начале эпохи Internet отдельные организации обращались вин формационный центр сети Internet (Internet Network Information Center,
InterNIC) за получением адресов. В настоящее время в Америке эту функцию выполняет ARIN. Только провайдеры Internet, выделяющие достаточное число алресов в год. имеют право направлять запрос в A R I N напрямую. Все остальные организации должны обращаться к своим локальным провайдерам. Формально назначаются лишь сетевые адреса. Организации должны самостоятельно определять номера компьютеров и закреплять за ними адреса. В административном порядке организация ICANN делегировала полномочия по распределению адресои трем региональным канцеляриям, которые предоставляют блоки адресов провайдерам Internet в рамках своих регионов табл. 13.6). Провайдеры, в свою очередь, выделяют адреса отдельным клиентам. Только крупные провайдеры могут напрямую контактировать со своими региональными канцеляриями. Таблица 13.6. Региональные концелярии, отвечоющие за распределение 1п1етеМэдресон Название
Web-Одрес
Охватывоемый регион
ARIN www.aan.net Северная и Южная Америка, Африка южнее Сахары
APNIC www.apnic.net
Алия и Океания
RIPE www.ilpe.net Европа и прилегающие области Делегирование полномочий от ICANN к ARIN, RIPE и A P N I C , а затем к национальным или региональным провайдерам Internet обеспечивает должную агрегацию адресов в таблицах маршрутизации магистральных сетей. Клиенты, получившие адреса из адресного блока своего провайдера, ие имеют маршрутных записей в магистральных серверах. Достаточно одной записи, ссылающейся на самого провайдера. Изначально адресное пространство распределялось не самым честным образом. Правительство США зарезервировало примерно половину адресов для себя, предоставив Европе и Азии сравнительно небольшие блоки. Однако в Европе и Азии гораздо рациональнее управляли адресным пространством, чем в Америке. Это очень хорошо видно на текущей карте распределения адресов. Она доступна по адресу http://vAvw.caida.org/anaIysis/topology/as_core_network
ЗС-
Чость П Роботов сетях
На этой карте демонстрируется все адресное пространство в целом, выделенные области, маршрутизируемые (те. доступные) области, а также адреса, трафик для которых постоянно замеряется в нескольких основных точках США Частные адреса и система NAT Другое временное решение проблемы исчерпания адресного пространства заключается в использовании частных областей адресов (RFC 19IS) В эпоху протокола CIDR организации получали свои адреса у провайдеров Internet. Если организация хотела сменить провайдера, она должна была оплатить услуги по переадресации своих сетей. Дело в том, что провайдер предоставлял адресное пространство только своим клиентам. При смене провайдера можно было попытаться убедить старого провайдера оставить зарезервированные за организацией адреса и попросить нового провайдера настроить на них систему маршрутизации. Но обычно провайдеры не хотели заниматься подобными вещами и требовали от клиентов перерегистрации. В противоположность этому частные адреса неизвестны провайдеру. Документ RFC19I8 определил, что одна сеть класса А, 16 сетей класса В и
256 сетей класса С резервируются для частного использования и никогда не выделяются глобально. Это делается для того, чтобы пакеты, несущие в себе частные адреса, никогда не выходили в глобальную сеть. Их должен фильтровать маршрутизатор В табл. 13.7 указаны диапазоны частных адресов в последней колонке каждый диапазон представлен в более короткой нотации протокола C1DR). Из перечисленных диапазонов организации могут выбирать для себя сети нужного размера Таблице 13.7. адреса, эорезервировоиьые для чосного использования
Клосс Начало Конец Диапазон CIDR А 10.0.0.0 10.255.255.255 10.0.0.0/8 В 172.16.0.0 172.31.255.255 172.16.0.0/12 С 192.168.0.0 192.168.255.255 192.168.0.0/16 Чтобы узлы, использующие частные адреса, могли получать доступ в
Internet, на пограничном маршрутизаторе организации выполняется система
NAT (Network Address Translation — трансляция сетевых адресов. Эта система перехватывает пакеты и заменяет в них адрес отправителя реальным внешним адресом Может также происходить замена номера порта. Система хранит таблицу преобразований между внутренними и внешними адресами/портами, чтобы ответные пакеты могли поступить правильному адресату. Благодаря использованию номеров портов появляется возможность подключить несколько исходящих соединений к общему адресу. Таким образом, группа внутренних узлов может совместно использовать одинаковый внешний адрес Иногда в организации достаточно иметь один-единствен- ный "настоящий" внешний адрес. Организация, использующая систему NAT. по-прежнему должна запрашивать диапазон адресов у провайдера, но большинство адресов теперь используется лля внутрисистемных привязок и не назначается отдельным компьютерам. Если организация захочет сменить провайдера, потребуется
Глоео 13. Сети TCP/IP
301
лишь изменить конфигурацию пограничного маршрутизатора и системы NAT. ноне самих компьютеров. у Система NAT реализована в маршрутизаторах нескольких фирм-произ- т водителей, включая Cisco. Можно также заставить саму систему выполнять функции NAT, хотя мы и не рекомендуем делать этого. Подобной
^ способностью обладают операционные системы Red Hat и FreeBSD*. Подробнее этот процесс описан в параграфах 13.14 и 13.15. По определенным причинам система NAT в Linux называется "IР-маскирование". Неправильная конфигурация системы NAT может привести к тому, что пакеты с частными адресами начнут проникать в Internet. Они достигнут узла назначения, но ответные пакеты не смогут прийти обратно. Организация
CAJDA (Cooperative Association for Internet Data Analysis — совместная ассоциация по анализу данных в сети Internet), занимающаяся замером трафика магистральных сетей, сообщает о том. что 0.1-0,2% пакетов, проходящих через магистраль, имеют либо частные адреса, либо неправильные контрольные суммы. На первый взгляд, это кажется очень незначительным показателем, нона самом деле он приводит к тому, что через узел МАЕ (одна из основных точек обмена, через которую идет трафик различных провайдеров Internet) каждые 10 минут проходит 20000 пакетов. Дополнительную информацию по статистике сети Internet и средствам измерения производительности глобальной сети можно получить иа узле www.caida.org. Одним из недостатков системы NAT (а возможно, и ее преимуществом) является то, что произвольный узел в сети Internet не может напрямую подключиться к внутреннему компьютеру вашей организации. В некоторых реализациях (например, в брандмауэрах Cisco PIX) разрешается создавать туннели, которые поддерживают прямые соединения с выбранными узлами. Другая проблема заключается в том, что некоторые приложения встраивают адреса в информационную часть пакетов. Такие приложения (к ним относятся определенные протоколы маршрутизации, программы потоковой доставки данных RealVideo и SHOUTcast, команды PORT и PASV, сообщения ICQ и многие игры) не могут нормально работать совместно с
NAT. Система NAT скрывает внутреннюю структуру сети. Это может показаться достоинствам сточки зрення безопасности, но специалисты в дайной области говорят, что на самом деле система NAT не обеспечивает должную безопасность и уж во всяком случае ие устраняет потребность в брандмауэре. Кроме того, она препятствует попыткам оценить размеры и топологию сети
Internet.
Адресоция в стондорте IPv6 В IPv6 адрес имеет длину 128 битов. Изначально столь длинные адреса вводились для того, чтобы решить проблему сокращения адресного пространства. Сегодня они также служат целям маршрутизации и локализации ссылок. адреса никогда ие были географически упорядочены подобно тому, как это имеет место в с;гучае телефонных номеров или почтовых индексов. Строго говоря. Red Hat поддерживает систему PAT (Port Address Translation — трансляция адресов портов, а не NAT адрес машины, выполняющей трансляцию, используется в качестве единственного "внешнего" адреса, а номер исходящего порта служит основой для мультиплексирования соединений.
3 '



Поделитесь с Вашими друзьями:
1   ...   22   23   24   25   26   27   28   29   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал