Руководство системного администратора • третье издание { h h y с п п т п р



Pdf просмотр
страница27/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров12829
Скачиваний0
ТипРуководство
1   ...   23   24   25   26   27   28   29   30   ...   82
г
Чость 11. Робота в сетях
Теперь, с внедрением в стандарт IPvo понятия сегментации адресного пространства. адреса стали, по крайней мере, фуппироваться в кластеры вокруг провайдеров Internet. Граница между сетевой и машинной частями адреса в IPv6 зафиксирована на отметке 64 бита В сетевой части адреса граница между блоками обшей и локальной топологии также зафиксирована и проходит па отметке 48 битов (табл. 13.8).
Тоблицо 13.8 Компоненты одресо IPv6 Полный адрес IPv6 (128 битов)
1 Префикс провайдера
1
Подсеть Идентификатор узла
45 битов
16 битов |
64 бита Биты Акроним Интерпретация
I - 3
FP
Format Prefix - префикс формата определяет гил адреса, например однонаправленный нлн групповой
4 - 16
I LA ID lop-Level Aggregation ID - идентификатор агрегаиии верхнего уровня, например провайдера магистральной сеш
|7 - 2 4
RES
Reserved - зарезервировало на будущее
25 —48
NLA ID
Ncxl-Le*cl Aggregation ID - идентификатора рсгации следующего уровня, например регионального провайдера
Internet иди организации
49-- 6 4
SLA ID
Side-Level Aggregation ID - идентификатор агрегашш уровня организации, например локнльной подсети
65-—128
INTERF
ACE ID Идентификатор интерфейса (МАС-адрес плюс биты-за- полнители) Из перечисленных элементов только идентификаторы SLA и I N T E R F A C E принадлежат" узлу и организации, в которой он находится. Другие идентификаторы предоставляются провайдером. Идентификатор SLA определяет локальную подсеть, а 64-разрядныи идентификатор интерфейса определяет сетевую плату компьютера В последнем, как правило, содержится разрядный МАС-адрес, внутрь которого вставлены два байта-заполнителя
(OxFFFE). Специальный бит МЛС-адреса (седьмой слева в старшем байте, называемый битом "и, определяет то, каким является этот адрес универсальным или локальным (RFC2373). Его наличие позволяет автоматически нумеровать узлы, что очень удобно для администраторов, которым остается управлять только подсетями. В IPv6 МАС-адреса видны на уровне Р. что имеет как положительные, таки отрицательные стороны Тип и модель сетевой платы кодируются впервой половине МАС-адреса. что облетает задачу хакерам. Это вызвало беспокойство со стороны специалистов в области безопасности. Однако разработчики стандарта IPv6 указали на то. что использование МАС-адресов не является обязательным. Были предложены схемы включения случайного идентификатора в локальную часть адреса.
Глоео 13. Сети TCP/IP
303
С другой стороны, назначать адреса IPv6 проще, чем адреса IPv4, так как нужно отслеживать только адрес подсети. Узлы могут самостоятельно конфигурировать себя (по крайней мере, теоретически. Префикс формата определяет тип адреса однонаправленный, групповой или широковещательный. Для однонаправленных адресов префикс равен 001 в двоичной системе. Идентификаторы TLA и NLA определяют соответственно магистральный сервер верхнего уровня и локального провайдера
Internet. Большинство поставщиков разрабатывает или уже внедрило в эксплуатацию собственный стек протоколов IPv6. В табл. 13.9 указана степень готовности стеков IPv6 различных производителей операционных систем и маршрутизаторов. (Переключатели не заботятся об адресах IPv6, так как не принимают участия в маршрутизации и не заглядывают внутрь заголовка)
Тоблицо 13.9. Готовность стеков IPv6 розничных поставщиков Система Поддержка IPv6 Комментарии
Solaris да
Solaris 8 и выше
HP-UX да Пакеты инструментальных средств разработки поставляются с HP-UX 11.00
Red Hat да Поддержка IPv6 интегрирована в ядре Linux версий 2.2 и выше
FreeBSD да
FreeBSD 4.0 и выше
Windows 2K частично Доступна исследовательская версия (включая исходные тексты)
Cisco да Реализован в алгоритме медленного обнаружения маршрута
Jumper нет
-
Bay да Поставляется с 1997 г.
1
Воне было поддержки IPv6, нов этой системе могут выполняться стеки сторонних поставщиков, таких как INRIA и КАМЕ.
2
Возможно, по требованию клиентов будет реализован в алгоритме быстрого обнаружения маршрута. Подробную информацию о реализации стека IPv6 можно получить по адресу http://playground.sun.com/piJb/ipng/html/ipng-iniplementation.html Адресные канцелярии недавно начали выделять адреса в пространстве
IPv6. Пока что ARIN предоставляет адреса только крупным провайдерам, которые в ближайшие 12 месяцев планируют развернуть сеть IPv6. Эти провайдеры могут затем предоставлять адреса своим клиентам. Вот несколько полезных источников информации, касающейся IPv6:
• www.6bone.net — испытательный полигон для сетей IPv6;
• www.6ren.net — всемирная научно-исследовательская и общеобразовательная сеть IPv6;
• www.ipv6.org — список документов и различная техническая информация форум приверженцев IPv6.
3'
г
Чость 11. Робота в сетях
Основное преимущество стандарта IPv6 заключается в том. что он решает проблему смены адресов. В пространстве IPv4 провайдеры выделяют адресные блоки своим клиентам, но эти адреса не являются переносимыми когда клиент меняет провайдера, он должен вернуть старые адреса и запросить новые. В IPv6 новый провайдер просто предоставляет клиенту собственный адресный префикс, который добавляется к локальной части существующего адреса. Обычно это выполняется на одной машине пограничном маршрутизаторе организации. Подобная схема напоминает систему NAT, ноли ш е на ее недостатков.
13.5. Маршрутизация Маршрутизация это процесс направления пакета по лабиринту сетей, находящихся между отправителем и адресатом. Маршрутизация в T C P / I P происходит подобно тому, как путешественник, первый раз посетивший незнакомую страну, отыскивает нужный ему дом, задавая вопросы местным жителям. Первый человек, скот о рым он заговорит, возможно, укажет ему нужный город. Войдя в этот город, путешественник спросит другого прохожего о нужной улице, и тот расскажет, как туда попасть. В конце концов наш путешественник подойдет достаточно близко к конечному пункту своих странствий, чтобы кто-нибудь указал ему дом, который он ищет. Данные маршрутизации в системе T C P / I P имеют форму правил (маршру-
тов), например " Для того чтобы достичь сети А, посылайте пакеты через машину С " . Может существовать и стандартный маршрут он объясняет, что нужно делать с пакетами, предназначенными для отправки в сеть, маршрут к которой ие указан явным образом. Данные маршрутизации хранятся водной из таблиц ядра. Любой элемент подобной таблицы содержит несколько параметров, включая сетевую маску для каждой перечисленной сети (раньше это поле было опциона ль н ы м , но теперь о и о обязательно, если стандартная сетевая маска неверна. Для направления пакета по конкретному адресу ядро подбирает наиболее подходящий маршрут (те. тот, где самая длинная маска. Если ни один из маршрутов (в том числе стандартный) не подходит, то отправителю возвращается- сообщение обо ш и б к е "network unreachable" (сеть недоступна. Словом ар ш рут из а ц и я " употребляется с целью обозначения процедуры поиска сетевого адреса в специальной таблице для направления пакета а пункт его назначения для обозначения процесса построения упомянутой таблицы. Ниже мы рассмотрим, как осуществляется переадресация пакетов и как вручную добавить или удалить маршрут. Более сложные вопросы, связанные с работой протоколов маршрутизации, создающих и обслуживающих маршрутные таблицы, освещаются в главе 14. Таблицы маршрутизации Таблицу маршрутизации можно просмотреть с помощью команды net- stat -г, доступной во всех системах, или route get в системах. Команда будет подробно изучена в параграфе 20.4, здесь же мы приведем небольшой пример, чтобы у читателей было представление ото м , что такое маршруты. В рассматриваемой системе две сетевые платы 132.236.227.93 ( e t h O ) в сети
132.236.227.0/24 ив сети 132.236.212.0/26.
% n e t s t a t - г - п
K e r n e l I P r o u t i n g c a b l e
D e s t i n a t i o n Mask Gateway F1 MSS If
Глоео 13. Сети TCP/IP
305

1 3 2 . 2 3 6 .
. 2 2 7 . 0 2 5 5 . . 2 5 5 , . 2 5 5 . 0 1 3 2 . . 2 3 6 . 2 2 7 .
.93 и
1 5 0 0 ethO d e f a u l t
0 . 0 , . 0 . 0 132.
. 2 3 6 . . 2 2 7 . . 1
I:G
1 5 0 0 ethO
1 3 2 . 2 3 6 . . 2 1 2 . 0 2 5 5 . . 2 5 5 . . 2 5 5 . 1 9 2 1 3 2 . . 2 3 6 . . 2 1 2 .
.1 и
1 5 0 0 e t h l
1 3 2 . 2 3 6 . 2 2 0 . 6 4 2 5 5 . 2 5 5 . . 2 5 5 . 1 9 2 1 3 2 . . 2 3 6 . . 2 1 2 . . 6
UG 1500 e t h l
1 2 7 . 0 . 0 .
. 1 2 5 5 . 2 5 5 . . 2 5 5 . 2 5 5 1 2 7 .
.0.0.
. 1 0
3 5 8 4 luO Поле d e s t i n a t i o n обычно содержит сетевой адрес. В поле g a t e w a y должен быть указан адрес узла Например, четвертый маршрут говорит о том, что для достижения сети 132.236.220.64/26 пакеты следует посылать в шлюз
132.236.212.6 через интерфейс e t h l . Вторая запись содержит стандартный маршрут пакеты, не адресованные явно нн одной из указанных сетей (или самому компьютеру, будут направлены в стандартный шлюз 132.236.227.1. Компьютеры могут посылать пакеты только тем шлюзам, которые физически подключены к той же самой сети. Вести таблицы маршрутизации можно статически, динамически или комбинированным методом. Статический маршрут — это маршрут, который задается явно с помощью команды route. Он должен оставаться в таблице маршрутизации на всем протяжении работы системы. Во многих случаях такие маршруты задаются с помошью одного из стартовых сценариев ко время начального запуска системы. Например, в Red Hai команды
# route add -net 132.236.220.64 netmaak 255.255.255.192 132.236.212.6
I route add default 132.236.227.1 добавляют четвертый и второй маршруты из числа тех, что отображаются выше командой netstat -г -п (первый и третий маршруты добавляются командой ifconlig при конфигурировании устройств e t h O и e t h l ) .
Полное описание команды route приведено в параграфе 13.10-
Последний маршрут также добавляется на этапе начальной загрузки. Он определяет псевдоустройство, называемое интерфейсом обратной связи. Это устройство не дает пакетам, которые компьютер посылает сам себе, выходить в сеть. Вместо этого они напрямую переносятся из выходной очереди во входную внутри ядра. В относительно стабильной локальной сети статическая маршрутизация достаточно эффективное решение. Эта система проста в управлении и надежна, но она требует, чтобы системный администратор знал топологию сети на момент начальной загрузки и чтобы эта топология в периоды между загрузками не изменялась. Компьютеры локальной сети имеют один единственный выход во внешним мир, поэтому маршрутизация осуществляется очень просто достаточно на этапе начальной загрузки добавить стандартный маршрут. В сетях с более сложной топологией требуется динамическая маршрутизация. Она выполняется процессом-демоном, который ведет и модифицирует таблицу маршрутизации. Демоны маршрутизации, "обитающие" на различных машинах, обшаются между собой с пелью определения топологии сети и решения вопроса о том, как добраться до дальних адресатов. Имеется несколько таких демонов. В главе 14 мы опишем стандартный демон routed и более совершенный демона также протоколы, на которых они общаются.
306
Чость II. FO6OTO в сетях

Переадресующие пакеты протокола 1СМР В принципе, протокол IP не предусматривает средств управления маршрутной информацией, нов нем есть небольшой механизм контроля нарушений — переадресующие пакеты. Если маршрутизатор направляет пакет компьютеру, находящемуся в той же сети, из которой этот пакет был получен первоначально, то что-то работает явно неправильно. Поскольку отправитель, маршрутизатор н маршрутизатор следующего уровня находятся водной сети, то пакет, вероятно, можно послать не через два перехода, а через один. Маршрутизатор делает вывод о том. что таблицы маршрутизации отправителя — неточные или неполные. В этой ситуации маршрутизатор может уведомить отправителя о данной проблеме с помошью переалресуюшего пакета. Такой пакет, по сути дела, сообщает "Ие нужно посылать мне пакеты дня машины *хх. их следует адресовать машине т ". Протокол ICMP позволяет посылать переадресующие пакеты как по адресам отдельных компьютеров, таки целым сетям. Во многих реализациях, однако, допускается создание пакетов только первого типа. Получив переадресуюший пакет, отправитель должен обновить свою таблицу маршрутизации, чтобы следующие пакеты, предназначенные для данного адресата, шли но более прямому пути Раньше, когда только появилась технология группового вешания, некоторые системы генерировали переадресуюшие пакеты в ответ на получение групповых пакетов. Современные системы избавлены от полобной проблемы Стандартный lCMP-сиенарий не подразумевает этапа аутентификации Маршрутизатор получает от другою, известного ему маршрутизатора команду перенаправить трафик в другое место. Нужно ли подчиниться этой команде В действительности такой сценарии создает определенные проблемы сточки зрения безопасности. Поэтому переадресуюшие пакеты запрещены в ядрах
Linux на также в маршрутизаторах Cisco Считается, что не стоит позволюь непроверенным узлам модифицировать таблицы маршрутизации.
13.6. ARP: протокол преобразования адресов Несмотря на то что идентификация пакетов осуществляется при помоши адресок. для фактической передачи данных через канальный уровень должны применяться апнаратые адреса. Определением того, какой аппаратный адрес связан сданным адресом, занимается протокол *RP
(Address Resolution Proiocol — протокол преобразования адресов) Fro можно применять в сетях любых типов, которые поддерживают широковешательный режим, но чаще всею зтот протокол рассматривают в контексте сети Ethernet. Когда компьютер А хочет послать пакет компьютеру Б. расположенному в том же самом сегменте, он использует протокол ARP для отыскатшя аппаратного адреса Б. Если Б не находится в той же сети. Ас помошью протокола ARP выясняет аппаратный адрес маршрутизатора следующего уровня, которому будут посылаться пакеты, адресованные Б Так как в ARP применяются широковещательные пакеты, которые не могут выити за пределы локальной сети, этот протокол позволяет находить голько адреса компьютеров, непосредственно подключенных к той же самой сети. Это не касается соединений тина "точка-точка", где получатель очевиден.
** Часто маршрутизатор можно сконфигурировать так. что он будет пропускать широковещательные пакеты в другие сети. Не делайте этого
Глово 13. Сети TCP/IP
307
Каждый компьютер хранит в оперативной памяти специальную таблицу, называемую кэшем ARP. Кэш содерж»гг результаты последних запросов. В нормальных условиях многие адреса, необходимые компьютеру, выявляются вскоре после начальной загрузки, поэтому протокол ARP не оказывает серьезного воздействия на загруженность сети. Протокол ARP функционирует путем широковещательной рассылкн" пакета примерно следующего содержания "Знает ли кто-нибудь аппаратный адрес для 128.138.116.4?" Машина, которую разыскивают, узнает свой адрес и посылает ответ "Это п. мой Eihemet-aapec — 8:0:20:0:fb 6a". Исходный запрос содержит адрес и Е[Ьегпе1-алрес запрашиваюшен стороны, благодаря чему разыскиваемая машина может ответить, не выдавая собственный запрос. Таким образом, оба компьютера узнают адреса друг друга всего за один сеанс обмена пакетами. Другие компьютеры, 'слышавшие" исходное широковещательное сообщение, посланное инициатором запроса, тоже могут записать информацию о его адресах. В большинстве систем имеется команда агр, которую можно применять для изучения и обработки содержимого кэша ARP. Она обычно используется для добавления и удаления записей. Команда агр -а отображает содержите кэша; естественно, в каждой системе у нее свой формат. Вот примеры выполнения команды агр -а в Solans и Red Hat: s o ! a r l s % / u « r / s b i n / a r p - a
Net to Media Table
Device IP Address Mask F l a g s Phys Addr hmeO t i t a n l a 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5 00:5C:da:6Ь:Ь5:90 hmeO ©arth 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5 0 0 : 5 0 : d a : 1 2 : 4 e : e 5 hmeO p l u t o 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5 0 0 : 5 0 : d a : l 2 : 4 e : 1 9 redhat% / s b l n / а гр. x o r . c o t n (192.108.21.180) at 00:50;DA:12:4E:E5 [ e t h e r ] on ethO l o l l i p o p . x o r . c o m (192.108.21.48) at 0 8 : 0 0 : 2 0 : 7 9 : 4 F : 4 9 [ e t h e r ] on ethO Команда агр, как правило, используется в целях отладки н при работе со специальным оборудованием. Некоторые устройства не могут общаться по протоколу ARP (например, сетевые принтеры и специализированные графические мониторы, и для включения их в сеть нужно сконфигурировать другую машину в качестве агента-посредника ARP. Обычно этой цели служит команда агр. Если два компьютера в сети имеют одинаковый адрес, тона одном из них запись в ARP-таблиие будет правильной, а на другом — нет. С помошью команды агр можно найти машину-нарушитель. Иногда аппаратные адреса нужно транслировать в адреса. Многие специальные аппаратные устройства (бездисковые рабочие станции, сетевые компьютеры, принтеры) делают это вовремя начальной загрузки. Вместо того чтобы жестко задавать адрес в файле конфигурации, машина может обратиться к центральному серверу, который сообщит ей ее собственный адрес. Обратные преобразования адресов выполняет протокол RARP (Reverse
ARP — обратный протокол ARP), который представляет собой устаревшее расширение протокола ARP. В AR.P применяются средства широковешания канального уровня, а не протокола IP.
308
Чооъ II Рсбото Б сетях
В отличие от ARP. RARP требует, чтобы в каждой сети был запущен центральный серверный процесс Протокол RARP ие предполагает самокон- фитурирования; нужно указать явное соответствие между адресами и их I Р-эквивалентамн. В большинстве систем, которые поддерживают RARP. в качестве процесса выступает демона данные конфигурации извлекаются из файлов /etc/others и /etc/hosts. Протокол RARP в настоящее время практически не используется. Сначала ему на смену пришел протокол ВООТР, а затем — DHCP.
13.7. DHCP: протокол динамического конфигурирования узлов Для добавления узлов в сеть всегда требовалась ручная настройка. Но если компьютеры Мае или Iniel без проблем подключаются к сети, то почему нельзя делать тоже самое в UNIX? Протокол DHCP (Dynamic Host
Configuration Protocol — протокол динамического конфигурирования узлов) позволяет удовлетворить столь естественную потребность пользователей. Этот протокол дает возможность клиенту взять некоторые сетевые и административные параметры "в аренду" у центрального сервера, отвечающего за их распространение. Парадигма аренды особенно подходит для персональных компьютеров, которые выключены, если на них никто не работает, и провайдеров Internet, имеющих дело с клиентами, подключающимися по коммутируемым линиям. К "арендуемым" параметрам относятся адреса и сетевые маски шлюзы (стандартные маршруты адреса серверов
• нмена машин, на которых выполняется система Syslog; адреса серверов WINS, NTP и проксн-серверов; адреса серверов TFTP (для загрузки начального образа) и десятки других (см. документ RFC2132). Экзотические параметры редко используются на практике. В большинстве случаев сервер предоставит лишь базовые сетевые параметры, такне как адреса, сетевые маски, стандартные шлюзы и имена серверов DNS. Периодически клиенты должны повторно обращаться к DHСР-серверу. чтобы обновить свои параметры. Если параметр не будет обновлен, он станет недействительным. сервер будет волен предоставить его другому клиенту. Срок аренды может меняться, но обычно он достаточно большой до нескольких дней. Протокол DHCP существенно облегчает жизнь системным администраторам. Когда сервер DHCP сконфигурирован и запущен, клиенты автоматически определяют параметры сетевой конфигурации на этапе начальной загрузки. Никакой путаницы не возникает Программное обеспечение D H C P В табл. 13.10 перечислены программные компоненты DHCP, входящие в состав четырех наших тестовых систем.
Гпово 13. Сети TCP/IP
309
Таблица 13.10. Программные компоненты DHCP в тестовых сислемох
Системо клиент сервер
Solaris
/sbj.ro/dhcpagent
/usr/iib/met/in .dhcpd
1
HP-UX встроенный, также auto_paranis bootpd
Red Hal
/usr/sbin/dheped и /sbin/pump
/шг/sbin/dlicpd DT ISC
FreeBSD
/gbin/dhcllent
/usr/ports/net/ise-dbepZ Имеется sheM-сцсиариЙ dhcpconfig, который позволяет конфигурировать DHCP-cep- вер Solaris. Консорциум разработчиков программного обеспечения lriernei (Inierne?
Software Consortium, ISC) создал эталонную реализацию протокола Клиент, сервер и агент ретрансляции доступны по адресу ftp.isc.oiS- Сервер
ISC также поддерживает протокол ВООТР (он напоминает DHCP, ноне так сложен. Мы рекомендуем пакета не пакеты конкретных поставщиков В типичной гетерогенной среде процедура администрации сильно упростится, если будет применяться стандартная единая реализация протокола DHCP. Программное обеспечение ISC — это надежное решение, распространяемое на условиях открытой лицензии и без проблем инсталлируемое в большинстве версий U N I X На момент написания данной книги готопился выпуск 3.0, в котором были обешаны иовые полезные параметры конфигурации, включая раздельные пулы адресов, условное поведение и многое другое. клиенты должны инициировать диалог с сервером при помоши пакета с общим широковещательным адресом все единицы, гак как они еще не знают свои сетевые маски. К "сожалению, некоторые ядра
(HP-UX и Linux) могут работать только с локальными широковещательными адресами. Это не позволяет клиентами серверам соединяться друг с другом и обмениваться информацией. В документации по ISC укатываются пути решения данной проблемы. Тем не менее, гетерогенные среды все ешс представляют определенные трудности дпя протокола DHCP. Каждым рач при установке нового сервера или клиента нового типа приходится тщательно все проверять. сервер ISC понимает протокол динамического обновления базы данных DNS. Сервер не только предоставляет компьютеру адрес и другие сетевые параметры, но также вносит в базу данных DNS запись о соответствии между именем машины и ее адресом Дополнительная информация об этом приведена в параграфе 16.12. Мы вкратце рассмотрим особенности протокола DHCP, а затем опишем, как установить сервер ISC, реализующий этот протокол. Вопросы конфигу- рирования клиентов будут обсуждаться в параграфах, посвящен и конкретным клиентам. Схема работы это расширение протокола ВООТР, который был придуман для того, чтобы бездисковые станции UNIX могли загружаться посети. Подсистема ВООТР предоставляет клиентам адреса, сетевые маски, стандартные шлюзы, а также информацию, касающуюся начальной загрузки через TFT Р
(Trivial File Transfer Protocol — простейший протокол передачи файлов)
310
Чость И. Роботов сетях
Протокол DHCP не ограничивается этими параметрами, вводя понятие "аренды. клиент начинает диалог с сервером. посылая сообщение
DHCPDISCOVER", которое можно перевести так "Помогите мне узнать, кто я. Так как клиент не знает ни свой собственный, ни серверный адрес, он посылает сообщение по широковещательному адресу 255.255.255.255, указывая адрес отправителя 0.0.0.0. Сообщение DISCOVER может содержать подсказки от клиента, например информацию о том. какова аппаратная архитектура клиента или какой конкретный адрес ему требуется. Сообщение DISCOVER обычно принимается сервером. находящимся в той же подсети Но оно может также поступить в другие подсети через специальный прокси-сервер, называемый агентом ретрансляции.
В ответ серверы выдают сообщение OFFER, содержащее предлагаемый адрес и другие базовые параметры. Клиент получает это сообщение (возможно, от нескольких серверов одновременно) и принимает одно из предложений, посылая выбранному серверу сообщение REQUEST Обычно сервер возвращает в ответ подтверждающее сообщение АС К и назначает клиенту адрес В сообщение АС К может включаться произвольное число конфигурируе- мых параметров оно также задает срок аренды. В ответ на неправильное сообщение REQUEST сервер может выдать сообщение NAK. указывающее на то. что клиенту необходимо начать процесс сначала. Прежде чем начать использовать адрес, клиент должен проверить его с помощью протокола ARP. Если адрес уже где-то задействован, клиент посылает серверу сообщение DECLINE, и все начинается сначала. Когда срок аренды приближается к концу, клиент должен обновить арендованные параметры, послав новое сообщение REQUEST. Если клиент решает прекратить аренду, он посылает сообщение RELEASE. Сервер обязан отслеживать адреса, предоставленные в аренду, и сохранять эту информацию между перезагрузками. Предполагается, что клиенты делают тоже самое, хотя это необязательно. Цель заключается в максимальной стабилизации сетевой конфигурации. Протокол DHCP обычно не используется для конфигурирования коммутируемых РРР-интерфейсов. Этой цели служит специальный протокол РРРСР
(РРР Control Protocol — протокол управления РРР-Соеди нениями
D H C P - сервер сервер ISC доступен по адресу fip.isc.oig или www.isc.org. Ниже рассмотрена версия 2.0. Близка к завершению версия 3.0. поэтому не забудьте проверить, актуален ли приведенный ниже материал в той версии, которую вы загрузите. Распакуйте файл tar.gz и перейдите в дистрибуиионный каталог. Там должны быть подкаталоги для сервера, клиента н агента ретрансляции, а также каталог для совместно используемого кода. Запустите команду ./con- figure, аза ней — make и make install, чтобы скомпилировать и установить каждый компонент. Для конфигурации сервера. dhcpd. нужно отредактировать файл dhepd.conF в каталоге scr>er и записать его под именем /etc/dhcpd. сои Г" Все сообщения начинаются с префикса "DHCP". Чтобы текст легче читался, мы будем исключать этот префикс при упоминании имен сообщений.
•* Будьте осторожны У файла dbcpd.conf очень "чувствительный" формат достаточно удалить какую-нибудь точку с запятой, и будет выдано непонятное сообщение об ошибке.
Глово 13 Сети TCP/IP
311
Необходимо также создать пустой файл базы данных по арендуемым параметрам, назвав его /var/db/dhcp.leases. Убедитесь, что демон dhcpd имеет право записи в этот файл. Для настройки файла dhcpd.conf потребуется следующая информация
• подсети, для которых демон dhcpd должен управлять адресами, и диапазоны выделяемых адресов начальный и максимальный срок аренды в секундах конфигурационные параметры клиентов ВООТР, если таковые имеются им назначаются статические адреса, также должны быть указаны их аппаратные МАС-адреса); все остальные параметры, которые сервер должен передавать клиентам сетевая маска, стандартный маршрут, домен DNS, серверы имени т.д. На тап-странице, посвященной демону dhcpd, рассмотрен процесс конфигурации. Точный синтаксис конфигурационного файла описан на тап-странице, которая посвящена файлу dhcpd.conf. Обе эти страницы расположены в подкаталоге server дистрибуционного каталога. Демон dhcpd должен запускаться автоматически на этапе начальной загрузки системы. Удобно сделать запуск демона условным, осуществляемым при наличии файла /etc/dhcpd.conf Ниже показан пример конфигурационного файла dhcpd.conf. взятого из системы с двумя интерфейсными устройствами одним внутренними одним внешним, подключенным к Internet. На компьютере выполняется система NAT для трансляции адресов внутренней сети, которой выделяется
10 адресов. Файл содержит пустую запись для внешнего интерфейса обязательна) п запись h o s t для одной конкретной машины, которой нужен фиксированный адрес.
• dhcpd.conf

# глобальные параметры o p t i o n domain-name " s y n a c k . n e t " ; o p t i o n domain-name-servers g w . s y n a c k . n e t ; o p t i o n subnet-mask 2 5 5 . 2 5 5 . 2 5 5 . 0 ; d e f a u l t - l e a s e - t i i n e 600; m a x - l e a s e - t i m e 7200; s u b n e t 1 9 2 . 1 6 8 . 1 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 range 1 9 2 . 1 6 8 . 1 . 5 1 1 9 2 . 1 6 B . 1 . 6 0 ; o p t i o n b r o a d c a s t - a d d r e s s 1 9 2 . 1 6 8 . 1 . 2 5 5 ; o p t i o n r o u t e r s g w . s y n a c k . n e t ;
} subnet 2C9.180.251.0 netmask 2 5 5 . 2 5 5 , 2 5 5 . 0
) h o s t g a n d a l f I hardware e t h e r n e t 0 8 : 0 0 : 0 7 : 1 2 : 3 4 : 5 6 ; f i x e d - a d d r e s s g a n d a l f . s y n a c k . n e t ; Адреса, назначаемые сервером, потенциально могут конфликтовать с содержимым базы данных DNS. Очень часто каждому динамически выделяемому адресу присваивается обшее имя (например, dhcpl.synack.nei)
312
Чость I! Робота в сетях
и разрешается, чтобы имена отдельных машин "соеушествовали" с адресами. Если имеется одна из последних версий системы BIND, которая поддерживает динамические обновления, можно сконфигурировать демон dhcpd, чтобы он обновлял базу данных DNS при выделении очередного адреса. Динамическое обновление — сложная процедура, но она позволяет устранить конфликты имен узлов.
Подробнее о DNS будет рассказано в главе 16.
Демон dhcpd добавляет запись о каждом акте аренды в файл dhcp.leases. Он также периодически создает резервную копию этого файла, переименовывая его в dhcpd.leases" и воссоздавая исходный файл dhep.leases на основании информации из базы данных, находящейся в памяти. Если в процессе этой операции произойдет сбой, останется только файл dhcpd.leases". В таком случае демон dhcpd откажется запускаться, и придется переименовывать файл вручную. Нельзя просто создать пустой файл dhcp.leases, иначе возникнет хаос, так как у клиентов окажутся дублирующиеся адреса.
13.8. РРР: протокол двухточечного соединения
РРР (Point-to-Point Protocol — протокол двухточечного соединения) — это протокол, определяющий правила кодирования пакетов для передачи по медленному (и часто ненадежному) последовательному каналу. Каналы данного типа просто ретранслируют потоки битов и не знают о том, где начинается и заканчивается пакет. За кодирование и декодирование пакетов, передаваемых через последовательный канал, отвечает драйвер РРР. Он добавляет к пакету заголовок канального уровня и маркеры-разграничители. Протокол РРР иногда применяется в новых "домашних" технологиях, таких как DSL и кабельные модемы, но пользователи обычно об этом не знают. Инкапсуляция пакетов выполняется интерфейсным устройством, и
Recb трафик проходит через Ethernet, так что пользователь видит лишь
Et lie соединение. Предшественниками РРР послужили протоколы SLIP (Serial Line Internet
Protocol — межсетевой протокол дня последовательного канала) и CSLIP
(Compressed SLIP — сокращенный протокол SLIP), разработанные соответственно Риком Адамсом (Rick Adams) и Ваном Джейкобсоном. Протокол
РРР отличается от них тем. что позволяет передавать пакеты множества протоколов по одному каналу. Описание этого протокола приведено в
RFC 1331. В состав протокола РРР входят три компонента процедура инкапсуляции дейтаграмм для передачи их по последовательным каналам. протокол LCP (Link Control Protocol — протокол управления каналом, предназначенный для установления, конфигурирования и тестирования соединении иа канальном уровне семейство протоколов NCP (Network Control Protocol — протокол управления сетью, обеспечивающих конфигурирование и функционирование различных протоколов сетевого уровня. Эти компоненты вместе с таблицами состояний, безупречными сточки зрения теории конечных автоматов, подробно описываются в документации, поэтому мы не будем на них останавливаться.
Глово 13. Сети TCP/IP
313
Поддержка РРР имеется во всех четырех тестовых системах. В табл. 13.11 указано местоположение соответствующих команд и конфигурационных файлов.
Тоблицо 13.11. Комонды и конфигурационные файлы протоколо РРР в розничных системой Система Команды Конфигурационные файлы
Solaris
/usr/sbin/tepppd
/usr/sbin/aspppls
/elc/asppp.cf
/etc/uucp/Sysicme
/etc/uucp/Deviccs
/clc/uucp/ Diale is
/etc/uucp/Aulh
HP-UX
/uar/bin/pppd
/elc/ppp/Aulosurt
/etc/ppp/Systems
/eic/ррр/Filler
/etc/ppp/Dcvices
/etc/ppp/Dialere
/etc/ppp/Auth
/etc/ppp/Keys
Red Hai
/usr/sbin/pppd
/usr/sbin/chal
/elc/ppp/options
/etc/ррр/ ppp.conf
/ctc/ppp/aliow
FreeBSD
/usr/sbin/pppd
/usr/sbin/chat
/etc/ppp/options
/elc/ppp/options.ttyserver
/etc/ppp/cha t.ttyservcr Списки файлов и команд поданы независимо друг от др га. Между командой и указанным рядом с ней файлом необязательно есть соответствие. Производительность Р Р Р Протокол РРР обеспечивает все функциональные возможности Ethernet, нона гораздо
меньшей скорости. Обычные офисные локальные сети работают со скоростью 10 или 100 Мбит/с. те. примерно 10000—100000 Кбит/с. А коммутируемое соединение функционирует со скоростью 28—56 Кбит/с." Подобное соотношение приводит к тому, что для передачи файла размером
1 Мбайт через РРР-каиал требуется примерно 5 минут. Это еще можно стерпеть при отправке электронной почты, ноне при работе с узлами Чтобы повысить скорость, можно задать параметр MTU (максимальный размер передаваемого блока) соединения очень низким. По умолчанию он равен 512 байтам задайте 128. если выполняется много интерактивной работы Работать с NFS через РРР-канал очень неудобно из-за н щ кой скорости Имеет смысл делать это только в том случае, когда NFS использует протокола не UDP. В некоторых системах (например, в Solaris) протокол TCP применяется в NFS по умолчанию.
Подробнее об NFS говорится в главе 17.
В X Windows также используется TCP. поэтому через РРР-канал можно запускать Х-приложения. Программы наподобие xterm работают прекрасно. Протокол РРР чаще всего применяется в соединениях со скоростью работы 19200 бод. Он может использоваться ив более медленных каналах, но скорость становится невыносимо низкой.
3 1 4
Чость II. Роботов сетях
но следует избегать приложений с экзотическими шрифтами и растровой графикой. Подключение к сети посредством РРР Для того чтобы соединить компьютер с сетью средствами РРР, нужно обеспечить выполнение трех требований. Ядро компьютера должно уметь посылать пакеты по последовательному каналу в соответствии с требованиями протокола РРР. Необходимо, чтобы в системе была программа пользовательского уровня, позволяющая устанавливать и обслуживать РРР-соединения. На другом коние последовательного канала должна быть система, понимающая используемый протокол . Как зосгавить компьютер общаться по протоколу РРР Для установки РРР-соединения нужно, чтобы система могла посылать и принимать РРР-пакеты. В UNIX протокол РРР реализован в виде модуля ядра, который помещает сетевые пакеты в выходную очередь последовательного устройства и извлекает поступающие пакеты из входной очереди. Обычно этот модуль функционирует подобно сетевому интерфейсу, поэтому им можно манипулировать с помощью стандартных средств, например команды ifconfig.
Белее подробные сведения о команде ifconfig вы найдете в параграфе 13.10.
Управление РРР-каналами Точная последовательность событий, происходящих при установлении
РРР-соединения. зависит от операционной системы и типа сервера, с которым осуществляется связь. Соединения можно устанавливать либо вручную, либо динамически. При ручном подключении пользователь запускает команду, которая вызывает модем, ахолит в удаленную систему и загружает в ней демон протокола РРР. Если эта процедура заканчивается успешно, последовательный порт конфигурируется как сетевой интерфейс. В этом случае канал обычно остается активным длительное время, что лучше всего подходит лля выделенных телефонных линий. В динамической конфигурации демон наблюдает за последовательными "сетевыми" интерфейсами, отслеживая запросы на передачу данных через них. Когда кто-то пытается послать пакет, демон автоматически вызывает модем для установления соединения, передает пакет и, если канал возвращается в режим ожидания, по истечении соответствующего периода времени разрывает соединение. Динамические каналы применяются, когда по телефонной линии перелаются как голосовые, так н двоичные данные, а также когда осуществляются звонки на большие расстояния или соединение является платным. Программы, реализующие обе эти схемы, входят в состав большинства версий РРР
Паиск компьютера для связи Когда организуется канал связи между двумя удаленными узлами компании или между офисом и домом, можно просто инсталлировать
Глово 13. Сети TCP/IP
315
протокол РРР на обоих концах соединения. Если же речь идет об использовании этого протокола лля подключения к Internet, следует обратиться к провайдеру. Большинство провайдеров предлагает коммутируемые соединения по разумной цене. Присвоение одресов Каждому РРР-интерфейсу должен быть назначен адрес, подобно тому как это имеет место при включении нового компьютера в сеть Ethernet, Существует несколько способов назначения алресов РРР-каналам (иногда для установления связи присваивать адреса вообще не требуется. Ниже рассмотрен самый простой из них.
Более детсигьнап информация о назначении адресов приведена в парагра-
фе 13.10.
РРР-канал нужно рассматривать как отдельную сеть, те. сеть, состоящую из двух машин (ее часто называют "двухточечной" сетью. Сетевой адрес присваивается каналу также, как и новому сегменту Ethernet, в соответствии с правилами, принятыми в организации Можно выбрать два любых адреса компьютеров в этой сети и присвоить по одному адресу каждому концу канала. Необходимо следовать и другим местным правилам, например стандартам назначения маски подсети. Каждый из компьютеров, нмеюший подобное соединение, становится для внешнего миром "шлюзом" к рассматриваемой двухточечной сети. Для назначения адресов может также применяться протокол DHCP. Домашним клиентам провайдеры Internet обычно предоставляют услуги
DHCP, а организациям выделяют статические адреса.
Маршрутизоция Поскольку протокол РРР требует, чтобы удаленный сервер выступал н роли маршрутизатора, вопросы IР-маршрутизации должны учитываться также, как и на реальном шлюзе (например, на машине, соединяющей две сети Ethernet). Задача маршрутизации заключается в направлении пакетов по шлюзам в заданные пункты назначения. Настраивать схему маршрутизации можно разными способами. На рядовом РРР-клиенте должен быть задан маршрут по умолчанию, обеспечивающий направление пакетов к РРР-серверу. Необходимо, чтобы сервер был известен остальным машинам сети как шлюз к клиенту.
Подробнее о маршрутизации читайте п г wee 14.
Большинство РРР-систем выполняют эти операции автоматически Безопасность Проблемы безопасности возникают всякий раз. когда в сеть добавляется новый компьютер. Поскольку машина, подключенная средствами РРР, является полноправным членом сети, с ней нужно обращаться должным образом следить, чтобы не было учетных записей без паролей или с ненадежными паролями, чтобы были инсталлированы все средства защиты и т.д.
В главе 21 содержится более подробная информация о безопасности.
311
Чость II Роботов сетях

Терминолычые серверы Когда организация предоставляет РРР-каналы домашним пользователям, может оказаться, что число запросов превышает число последовательных портов. Существует множество терминальных серверов, работающих по протоколу РРР, а в самых новых из них даже есть встроенные модемы. Наш фаворит — Luceru Ponmasier 3. Пользуется популярностью также серия Cisco
Access Server AS5x0O. Эти системы позволяют легко управлять последовательными портами и поставляются с предустановленным программным обеспечением РРР. В них можно организовать пуд модемов, обслуживающих удаленных РРР-пользователей. Диалоговые сценарии Во многих реализациях РРР применяется диалоговый сценарий, предназначенный для подключения к модему, регистрации на удаленной машине и запуска РРР-сервера. Идея такого сценария первоначально появилась в протоколе UUCP. Сам сценарий состоит из набора посылаемых строки строк, которые предполагается получить обратно. Имеется простенькая условная конструкция, позволяющая выражать правила вида "ожидать строки 'Login", но если она не будет получена — послать символ возврата каретки и подождать еще. Как правило, имеются готовые сценарии, которые можно адаптировать к конкретной конфигурации. В сценарии нужно установить такие параметры, как номер телефона, по которому делается звонок, и команда, запускаемая после успешного входа в систему. В большинстве сценариев содержится пароль в незашифрованном виде, поэтому следует соответствующим образом установить права доступа к ним.
13.9. Вопросы безопасности Теме безопасности посвящена отдельная глава (21), но ряд вопросов, касающихся сетей, заслуживает отдельного упоминания. В этом параграфе мы рассмотрим те ситуации при работе в сети, в которых традиционно возникают проблемы безопасности, и опишем пути решения этих проблем.
Перенаправление 1Р-покетов Если в системе разрешено перенаправление пакетов, компьютер может выступать в роли маршрутизатора. Активизировать эту функцию рекомендуется только тогда, когда в системе есть несколько сетевых интерфейсов иона действительно играет роль уполномоченного сетевого маршрутизатора. Посредством механизма перенаправления можно сделать так, что внешние пакеты будут казаться поступившими от локального компьютера. Эта уловка позволяет пакетам обходнть сетевые сканеры и фильтры пакетов.
Переадресующие директивы Посредством переадресующих пакетов можно злонамеренно менять направление трафика и редактировать таблицы маршрутизации. Большинство операционных систем по умолчанию принимает эти пакеты и следует заключенным в них директивам. Но, согласитесь, вряд ли можно назвать приемлемой ситуацию, когда на несколько часов весь трафик организации
Глово 13. Сети TCP/IP
317
перенаправляется конкуренту, особенно если в это время осуществляется резервное копирование. Мы рекомендуем так конфигурировать маршрутизаторы (или осуществляющие их функции системы, чтобы переадресуюшне С директивы игнорировались н фиксировались в журнальном файле.
Напровленная моршрутизоция Механизм направленной маршрутизации в протоколе IP позволяет явно указать последовательность шлюзов, через которые должен пройти пакет на пути к получателю. При этом отключается алгоритм поиска следующего перехода, выполняемый на каждом шлюзе для определения того, куда нужно послать пакет. Направленная маршрутизация была частью исходной спецификации протокола IP и служила для целей тестирования. Но она создает проблему сточки зрения обеспечения безопасности, ведь пакеты часто фильтруются в зависимости оттого, откуда они прибыли. Злоумышленник может так подобрать маршрут, что пакет будет казаться прибывшим из внутренней сети, а не из Internet, поэтому брандмауэр его пропустит. Мы рекомендуем не принимать и не перенаправлять направленные подобным образом пакеты. Широковещательные пакеты и другие виды нолравленных широковещательных сообщений Пакеты, направленные посредством команды ping, несут в себе широковещательный адрес сети (а неконкретного узла) и доставляются всем узлам сети. Такие пакеты применяются в атаках типа "отказ в обслуживании, например в так называемых атаках "smnrf' (по имени программы, в которой они впервые были применены) Большинство узлов располагает средствами запрета широковещательных запросов, те. их можно сконфигурировать на запрет приема и перенаправления таких пакетов. Маршрутизатор также способен фильтровать широковещательные пакеты, поступающие из Internet, чтобы они не попадали в локальную сеть. Лучше всего устанавливать средствз защиты как на саму машину, таки на брандмауэр, если это возможно. Широковещательные пакеты одновременно являются "направленными" в том смысле, что они посылаются по широковещательному адресу конкретной удаленной сети. Стандартные подходы к обработке таких пакетов постепенно меняются. Например, в операционной системе Cisco IOS версий х по умолчанию осуществлялась переадресация направленных широковещательных пакетов, нов версиях 12.0 и выше этого уже нет. Обычно можно настроить стек TCP/IP так. чтобы широковещательные пакеты, приходящие из других сетей, игнорировались, но, поскольку это нужно сделать для каждого сетевого интерфейса, такая задача является аесьма трудоемкой в крупной организации. Брандмауэры UNIX В Red Hat и FreeBSD имеются встроенные средства фильтрации пакетов программные брандмауэры. Мы опишем эти средства в соответствующих параграфах (13.14 и 13.15), хотя и не рекомендуем использовать рабочую станцию в качестве брандмауэра. Безопасность систем (особенно в том виде, в каком они выпускаются нашими любимыми поставщиками) if так невысока, а безопасность Windows NT — еше хуже. Поэтому советуем
318
Чость II Роботов сетях
приобрести аппаратный брандмауэр. Даже самые сложные программные решения, например система Firewall-1 компании Checkpoint (работает в
Solaris), уступают в надежности аппаратным аналогам наподобие устройств
Р1Х компании Cisco, хотя имеют почти такую же иену
Узнать подробнее о брандмауэрах можно в параграфе 21.9.
Виртуальные частные сети Многим организациям, имеющим офисы в различных частях света, хотелось бы, чтобы все эти офисы были соединены в одну большую частную сеть. К сожалению, стоимость аренды трансконтинентальных и даже транснациональных линий связи делает это нереальным. Таким организациям приходится использовать Internet в качестве "частного" канала, организуя серию защищенных, зашифрованных "туннелей" в офисах. Подобные конгломераты называются виртуальными частными сетями.
В некоторых частных сетях используется протокол IPSEC, который недавно был стандартизирован организацией IETF, В других сетях применяются собственные патентованные решения, как правило, несовместимые друг с другом. Мы рекомендуем обратить внимание на такие продукты, как маршрутизатор 3660 компании Cisco и брандмауэр Firebox фирмы Watch -
Guard; оба они поддерживают туннелирование и шифрование. Устройство
Firebox использует протокол РРР для управления последовательным портом Системный администратор может установить соединение с этим устройством, чтобы сконфигурировать его или получить доступ в виртуальную частную сеть для тестирования.
IPSEC: безопасный протокол IP
IPS ЕС (IP Secure — безопасный протокол IP) — это стандартизирован пая организацией IETF система аутентификации и шифрования соединений. Ее внедрению мешают федеральные законы США, запрещающие экспорт стойких (с большой длиной ключа) систем шифрования. Поэтом' ряд неамериканских компаний выпустит собственные реализации протокола. К сожалению, нив одной из реализаций не предусмотрены средства распространения ключей шифрования, что является важнейшей предпосылкой для широкого внедрения и использования протокола IPS ЕС. В документе
RFC2409 (рассматриваемом комитетами по стандартизации) определен протокол протокол обмена ключами в сети
Internet), представляющий собой гибридную систему обмена ключами шифрования. В настоящий момент в протоколе IPSEC шифруется заголовок транспортного уровня, содержащий номера портов отправителя и получателя. К сожалению, данная методика напрямую конфликтует с принципами работы большинства брандмауэров. В IETF рассматривается предложение об ее отмене. В табл. 13.12 приведены сведения, касающиеся реализации протокола
IPSEC в наших тестовых системах. Нетрудно догадаться, что протокол IPSEC снижает производительность всего стека сетевых протоколов, Чтобы установить соединение по протоколу IPSEC между двумя конечными узлами, нужно создать две базы данных SAD (Security Association
Database — база данных о связях в системе безопасности) и SPD (Security
Гпово 13. Сети TCP/IP
319

Policy Database — база данных о политике безопасности. Добавлять в них записи можио с помощью команды selkey, в которой имеются подкоманды add и spdadd. Дополнительную информацию вы сможете найти на узле www.kame.net.
Тоблица 13.12. Реализоции протоколе IPSEC в роэличных опероционных системе
Системо Поддержка Комментарии
Solaris да В версии 8 и выше
HP-UX да В состав HP-UX 11.00 входит система Presidium
IPSec/9000
Red Hat неполная Вскоре появится бесплатная система FrecS/WAN
1
FreeBSD да В версии 4.0 и выше имеется реализация протоколе
IPS ЕС проекта КАМЕ Вона имеется с 1999 г.
13.10. Добавление компьютеров к сети Процесс добавления нового компьютера в существующую сеть состоит всего из нескольких этапов. Проблема заключается в том, что в некоторых системах файлы, которые требуется модифицировать, глубоко спрятаны, поэтому задача становится нетривиальной. В других системах имеется сценарий инсталляции, отображающий приглашение на ввод соответствуюши.\ сетевых параметров. Работать со сценарием удобно до тех пор, пока не потребуется отменить какие-нибудь установки Основные этапы таковы назначение компьютеру адреса и сетевого имени настройка компьютера на конфигурирование своих сетевых интерфейсов вовремя начальной загрузки задание стандартного маршрута и. возможно, других параметров маршрутизации настройка сервера, чтобы к компьютеру можно было получать доступ через Internet. Сначала мы опишем всю процедуру в общем виде, а затем рассмотрим особенности добавления компьютеров к каждой из наших тестовых систем Естественно, к приведенной последовательности можно добавить этан отладки После любого изменения, которое способно повлиять на процесс начальной загрузки, необходимо обязательно перезагрузиться и проверить правильность функционирования системы, даже если речь идет о крупном сервере. Ведь когда через полгода произойдет внезапный сбой питания н система откажется загружаться, будет очень трудно вспомнить, какие изменения оказались источником проблем. Стоит упомянуть такой факт- некоторые системы способны самостоятельно определить, подключены они к сети или нет. Процедура начальной загрузки в томи другом случаях может значительно различаться машина, прекрасно работавшая в автономном режиме, может необъяснимо зависнут вовремя начальной загрузки после подключения к ней сетевого кабеля, даже если никаких изменений в конфигурации сделано не было. Процесс проектирования и построения физической сети описан в главе 15. Когда читатель имеет дело с уже сформированной сетью ив обших Ч' >320
Чость II. Роботов сетях
чертах знает, как она построена, то, наверное, нет смысла еше что-то читать о физических аспектах организации сетей, если только не планируется расширение действующей сети Ниже мы опишем процесс конфигурирования сети Ethernet; для других топологий процедура будет схожей. Присваивание сетевых имени адресов В распоряжении администраторов имеется множество методик, по которым определяется соответствие между именами компьютеров и адресами в локальной сети файл hosts, СУБД NIS и NIS+, система DNS или комбинация каких-либо из этих средств. Если используется несколько систем, необходимо продумать их совместную работу. Конечная система должна учитывать возможность наращивания сети, уметь работать в гетерогенной среде и позволять компьютеру загружаться даже в тех случаях, когда не все сервисы доступны. Использование файла /etc/hosts — старейший и простейший способ преобразования имен в адреса. Каждая строка файла начинается с адреса и содержит различные символьные имена, под которыми известен данный адрес. Ниже показан пример содержимого файла /etc/hosts для узла lollipop:
1 2 7 . 0 . 0 . 1 l o c a l h o s t
1 9 2 . 1 0 8 . 2 1 . 4 8 l o l l i p o p . x o r . c o m l o l l i p o p l o g h o s t
192.108.21.254 chimchim-gw.xor.com ehimchim-gw
1 9 2 . 1 0 8 . 2 1 . 1 n s . x o r . c o m ne
1 9 2 . 2 2 5 . 3 3 . 5 l i c e n s e a . x o r . c o m l i c e n s e - s e r v e r Чаще всего впервой записи файла определяется узел localhost. По слухам, в некоторых системах это является обязательным требованием (во FreeBSD, например. Поскольку файл /etc/hosts содержит лишь локальные адреса привязки, большинство современных систем использует его для хранения адресов, требующихся при начальной загрузке. Остальные локальные и глобальные адреса проверяются в базе данных DNS. Иногда в файле /etc/hosts хранятся записи, о которых не следует знать другим компьютерами которых нет в базе данных DNS. Файл /etc/hosts важен для начальной загрузки, так как сервер DNS еще недоступен. Он должен содержать адреса самого компьютера и адрес обратной связи. Кроме того, желательно наличие стандартного шлюза и адреса сервера имен. Во многих организациях в этот файл помещаются адреса всех важных узлов, серверов и шлюзов, иногда — адреса всех локальных узлов и внешнего резервного сервера имен. Если файл /etc/hosts содержит адреса всех локальных узлов, он должен быть реплицирован на каждую машину, где требуется работать с символическими адресами компьютеров. Существуют различные методики хранения единой версии файла на центральном узле и его распространения на другие компьютеры организации (или совместного использования различными машинами подробнее об этом говорится в главе 18. Но лучше все же упраалять адресами посредством DNS. В главе 16 описана система DNS и пакет BIND — реализация DNS в UNIX. Команда hostname назначает компьютеру сетевое имя. Она обычно запускается вовремя начальной загрузки из какого-нибудь стартового



Поделитесь с Вашими друзьями:
1   ...   23   24   25   26   27   28   29   30   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал