14. Технология nat и proxy-arp.
В широко применяемой сегодня технологии трансляции сетевых адресов (Network Address Translation, NAT) предполагается продвижение пакета во внешней сети (в Интернете) на основании адресов, отличающихся от тех, которые используются для маршрутизации пакета во внутренней (корпоративной) сети. Одной из наиболее популярных причин использования технологии NAT является дефицит IP-адресов.
NAT-устройство динамически отображает набор частных адресов на набор глобальных адресов, полученных от поставщика услуг и присвоенных внешнему интерфейсу маршрутизатора.
Внутренние маршрутизаторы «знают» маршруты ко всем внешним сетям, а внешним маршрутизаторам ничего не известно о существовании частных сетей.
Традиционная технология NAT подразделяется на технологии базовой трансляции сетевых адресов и трансляции сетевых адресов и портов. В технологии Basic NAT для отображения используются только IP-адреса, а в технологии NAPT — еще и так называемые транспортные идентификаторы, в качестве которых чаще всего выступают TCP- и UDP-порты.
Basic NAT
Если количество локальных узлов, которым необходимо обеспечить выход во внешнюю сеть, меньше или равно имеющегося количества глобальных адресов, то для каждого частного адреса гарантировано однозначное отображение на глобальный адрес. Понятно, что в такой ситуации целью трансляции является не столько решение проблемы дефицита адресов, сколько обеспечение безопасности.
NAPT же позволяет всем узлам внутренней сети одновременно взаимодействовать с внешними сетями, используя единственный зарегистрированный IP-адрес.
При прохождении пакета из внутренней во внешнюю сеть каждой паре {внутренний частный адрес; номер TCP- или UDP-порта отправителя} ставится в соответствие пара {глобальный IP-адрес внешнего интерфейса; назначенный номер TCP- или UDP-порта}. Назначенный номер порта должен быть уникален в пределах всех узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таблице.
Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу telnet, то он в качестве адреса назначения использует его глобальный адрес 136.56.28.8. Пакет поступает маршрутизатору R1, который знает, что путь к сети 136.56.0.0/16 идет через пограничный маршрутизатор R2. Модуль NAPT маршрутизатора R2 транслирует адрес 10.0.1.4 и порт TCP 1245 источника в глобально уникальный адрес 181.230.25.1 и уникально назначенный TCP-порт, в приведенном примере — 3451. В таком виде пакет отправляется во внешнюю сеть и достигает сервера telnet.
Когда получатель генерирует ответное сообщение, то он в качестве адреса назначения указывает единственный зарегистрированный глобальный адрес внутренней сети, являющийся адресом внешнего интерфейса NAPT-устройства. В поле номера порта получателя сервер помещает назначенный номер TCP-порта, взятый из поля порта отправителя пришедшего пакета. При поступлении ответного пакета на NAPT-устройство внутренней сети именно по номеру порта в таблице трансляции выбирается нужная строка. По ней определяется внутренний IP-адрес соответствующего узла и действительный номер порта. Эта процедура трансляции полностью прозрачна для конечных узлов.
Протокол Proxy-ARP — это одна из разновидностей протокола ARP, позволяющая отображать IP-адреса на аппаратные адреса в сетях, поддерживающих широковещание, даже в тех случаях, когда искомый узел находится за пределами данного домена коллизий.
Рассмотрим пример:
Пусть приложение, работающее, например, на компьютере С, решает послать пакет компьютеру D. Ему известен IP-адрес узла назначения (IPD), однако, для передачи пакета по сети Ethernet его необходимо упаковать в кадр Ethernet и снабдить МАС-адресом. Для определения МАС-адреса IP-протокол узла С обращается к протоколу ARP, который посылает широковещательное сообщение с ARP-запросом. Если бы в этой сети на маршрутизаторе не был установлен протокол Proxy-ARP, на этот запрос не откликнулся бы ни один узел. Однако протокол Proxy-ARP установлен на маршрутизаторе и работает следующим образом. При подключении к сети удаленного узла D в таблицу ARP-маршрутизатора заносится запись:
IPD - MAC1 - int2, которая означает, что:
при поступлении ARP-запроса на маршрутизатор относительно адреса IPD в ARP-ответ будет помещен аппаратный адрес MAC1, соответствующий аппаратному адресу интерфейса 1 маршрутизатора;
узел, имеющий адрес IPD, подключен к интерфейсу 2 маршрутизатора.
В ответ на посланный узлом С широковещательный ARP-запрос откликается маршрутизатор с установленным протоколом Proxy-ARP. Он посылает «ложный» ARP-ответ, в котором на место аппаратного адреса компьютера D помещает собственный адрес MAC1. Узел С, неподозревая «подвоха», посылает кадр с IP-пакетом по адресу MAC1. Получив кадр, маршрутизатор с установленным протоколом Proxy-ARP «понимает», что он направлен не ему (в пакете указан чужой IP-адрес) и, следовательно, надо искать адресата в ARP-таблице. Из таблицы видно, что кадр надо направить узлу, подключенному ко второму интерфейсу.
15. Понятие динамической маршрутизации. Дистанционно-векторный (RIP) протокол маршрутизации в IP сетях. Построение таблицы маршрутизации и адаптация RIP маршрутизаторов к изменениям сети ( к появлению и уничтожению маршрутов). Понятие и использование метрики в RIP.
При адаптивной (динамической) маршрутизации все изменения конфигурации сети автоматически отражаются в таблицах маршрутизации. Собирается информация о топологии связей в сети, что позволяет оперативно отрабатывать все текущие изменения. Если по истечении времени жизни маршрута существование маршрута не подтверждается протоколом маршрутизации, то он считается нерабочим.
Протокол RIP (Routing Information Protocol — протокол маршрутной информации) является внутренним протоколом маршрутизации дистанционно-векторного типа. Для IP имеются две версии RIP — RIPv1 и RIPv2. Протокол RIPv1 не передает маски, RIPv2 - передаёт.
Для измерения расстояния до сети протоколы RIP используют понятие метрики. Чаще всего метрика - количество хопов (промежуточных маршрутизаторов) до сети назначения.
Построение таблицы маршрутизации разобьём на 5 этапов и рассмотрим на примере:
Этап 1 - создание минимальной таблицы. Автоматически создается минимальная таблица маршрутизации, в которой учитываются только непосредственно подсоединенные сети.
Минимальная таблица маршрутизации маршрутизатора R1:
Этап 2 - рассылка минимальной таблицы соседям. После инициализации каждый маршрутизатор начинает посылать своим соседям сообщения протокола RIP, в которых содержится его минимальная таблица.
Таким образом, маршрутизатор R1 передает маршрутизаторам R2 и R3 следующие сообщения:
сеть 201.36.14.0, расстояние 1;
сеть 132.11.0.0, расстояние 1;
сеть 194.27.18.0, расстояние 1.
Этап 3 - получение RIP-сообщений от соседей и обработка полученной информации.
Таблица маршрутизации маршрутизатора R1:
Записи с четвертой по девятую получены от соседних маршрутизаторов, и они претендуют на помещение в таблицу. Однако только записи с четвертой по седьмую попадают в таблицу, а записи восьмая и девятая — нет. Это происходит потому, что они содержат данные об уже имеющихся в таблице маршрутизатора R1 сетях, а расстояние до них больше, чем в существующих записях.
Этап 4 - рассылка новой таблицы соседям.
Этап 5 — получение RIP-сообщений от соседей и обработка полученной информации. Аналогично 3 этапу.
Если маршрутизаторы периодически повторяют этапы рассылки и обработки RIP-сообщений, то за конечное время в сети установится корректный режим маршрутизации.
К новым маршрутам маршрутизаторы RIP приспосабливаются просто — они передают новую информацию в очередном сообщении своим соседям и постепенно эта информация становится известна всем маршрутизаторам сети. А вот к изменениям, связанным с потерей какого-либо маршрута, маршрутизаторы RIP адаптируются сложнее. Это связано с тем, что в формате сообщений протокола RIP нет поля, которое бы указывало на то, что путь к данной сети больше не существует.
Для уведомления о том, что некоторый маршрут недействителен, используются два механизма:
истечение времени жизни маршрута (больше 180 с), при подтверждении маршрута счетчик устанавливается в исходное положение;
указание специального (бесконечного) расстояния до сети, ставшей недоступной (условно бесконечное расстояние = 16 хопов).