УП ВСС
.pdfника-службы. Администратор указывает имя компьютера при создании учетной записи. Это имя компьютера используется в качестве относительного различающегося имени LDAP.
DNS-имя узла называется полным именем компьютера и является полным доменным именем DNS. Полное имя компьютера состоит из имени компьютера (первые 15 байт имени учетной записи SAM компьютера без знака «$») и основного DNSсуффикса (DNS-имени домена, в котором создана эта учетная запись компьютера).
По умолчанию основной DNS-суффикс полного доменного имени компьютера должен совпадать с именем домена Active Directory, к которому принадлежит этот компьютер.
Роли сервера Active Directory. Компьютеры, функционирующие в качестве серверов, могут иметь одну из двух ролей: рядовой сервер или контроллер домена. Сервер, находящийся вне домена, называется выделенным сервером.
Рядовым сервером является компьютер, который отвечает следующим условиям: работает под управлением операционной системы семейства Windows или семейства Windows Server; подключен к домену; не является контроллером домена.
Рядовой сервер не обрабатывает информацию о входе пользователей в сеть, не участвует в репликации Active Directory и не хранит сведений о политике безопасности домена. Рядовые серверы обычно выполняют функции файловых серверов, серверов приложений, серверов баз данных, webсерверов, серверов сертификатов, брандмауэров или серверов удаленного доступа.
Контроллеры домена. Контроллером домена является компьютер, который отвечает следующим условиям: работает под управлением операционной системы семейства Windows Server; использует Active Directory для хранения копии базы данных домена, доступной для чтения и записи; участвует в репликации с несколькими хозяевами; проверяет учетные данные пользователей при входе в сеть.
Контроллеры домена хранят данные каталога и управляют взаимодействием между пользователями и доменом, а именно: процессом входа в домен, проверкой подлинности и поиском в каталоге. Контроллеры домена синхронизируют данные каталога путем репликации с несколькими хозяевами, постоянно проверяя согласованность информации.
71
3.3. Протокол межсетевого взаимодействия IP
Основой межсетевого уровня и всего стека протоколов TCP/IP является протокол IP1 (RFC-791), который относится к классу протоколов негарантированной доставки пакетов (дейтаграмм) без установления соединения (unreliable connectionless packet delivery).
IP-протокол предлагает ненадежную транспортную среду, поскольку не гарантирует доставку IP-дейтаграммы. Алгоритм доставки в рамках данного протокола предполагает «отбрасывание» ошибочных IP-дейтаграмм с выдачей пользователю соответствующего ICMP-сообщения (ICMP-сообщение может и не выдаваться). Очевидно, что обеспечение надежности передачи данных в модели TCP/IP возлагается на транспортный уровень и его протокол TCP.
Структура IP-дейтаграмм, в которую упаковываются TCPпакеты или UDP-дейтаграммы, показана на рис. 1.23.
0 |
3 |
7 |
15 |
18 |
23 |
31 |
Версия |
Длина |
Тип |
|
|
|
|
Длина сегмента |
|
|
заг-ка |
сервиса |
|
|
|
|
(дейтаграммы) |
|
|
Идентификатор |
|
D |
M |
|
Смещение фрагмента |
||
|
|
F |
F |
|
||||
Время жизни |
Транспорт |
|
|
|
|
Контрольная |
||
|
|
|
|
сумма заголовка |
||||
|
|
|
|
|
|
|
||
|
|
IP-адрес отправителя |
|
|||||
|
|
|
|
|||||
|
|
IP-адрес получателя |
|
|||||
|
|
|
|
|
|
|
|
|
|
Дополнительные данные заголовка |
Данные |
||||||
|
выравнивания |
|||||||
|
|
|
|
|
|
|
|
|
|
|
Данные... <=65495 байт |
|
|||||
|
|
|
|
|
|
|
|
|
Заголовок IP-дейтаграммы (20 байт)
Рис. 1.23. Формат IP-дейтаграммы
Одним из фундаментальных понятий IP-протокола является понятие IP-адреса, которым идентифицируются все узлы вычислительной сети. Каждый узел в сети имеет, по крайней мере, один уникальный IP-адрес. IP-адрес отправителя и получателя данных указывается в заголовке IP-дейтаграммы.
1 Существующая версия протокола IPv4 (версия 4). В конце 1992 года Internet-сообщество выбрало в качестве перспективного протокола адресации новый протокол SIPP (Simple Internet Protocol Plus), который обозначается как IPv6 (версия 6) с IP-адресами в 128 бит вместо 32 для IPv4.
72
IP-адрес представляет собой 32-битовый идентификатор. Для более удобного представления IP-адреса принято в так называемой «точечной нотации» – в виде последовательности разделенных точками четырех десятичных (или шестнадцатеричных с префиксом 0x) чисел, представляющих значения отдельных байтов. Для этого 32-х битовый IP-адрес разбивается на четыре группы по 8 бит (1 байт), после чего каждый байт двоичного слова преобразовывается в десятичное (или шестнадцатеричное) число по известным правилам [1].
0 |
7 |
15 |
23 |
31 |
1 0
0
1
0
0
1
1
1 0
0
0
0
1
1 1
0
0
0
0
1
1 1 0
1
1
1
0
0 1 0
1
147 |
135 |
14 |
229 |
|
|
|
|
147.135.14.229
Рис. 1.24. Представление IP-адреса
Поскольку 28=256, а нумерация начинается с нуля, то максимальное десятичное число в обозначении IP-адреса может быть не более 255. Каждый адрес является совокупностью двух идентификаторов: сети – NetID (номер сети) и узла – HostID (номер узла).
Все возможные адреса разделены на 5 классов, схема классификации которых приведена на рис. 1.25 [5].
0 |
|
|
|
7 |
15 |
23 |
31 |
Класс А |
0 |
|
Номер |
|
Номер узла (24 бит) |
|
|
|
|
сети (8 бит) |
|
|
|
||
Класс В |
1 0 |
Номер сети (16 бит) |
Номер узла (16 бит) |
|
|||
Класс С |
1 1 0 |
|
Номер сети (24 бит) |
Номер |
|
||
|
узла (8 бит) |
|
|||||
|
|
|
|
|
|
|
|
Класс D |
1 1 1 0 |
Адреса для многопунктовой адресации |
|
||||
Класс E |
1 1 1 1 0 |
Резерв адресов |
|
|
|||
|
|
|
Рис. 1.25. Классы IP-адресов |
|
|
||
Сети классов A, B и C абсолютно равноправны и отличаются лишь допустимым количеством узлов в них, так адреса
73
класса А используются в крупных сетях (количество узлов до 224-2= 16777214), адреса класса В среднемасштабных сетях (количество узлов до 216-2= 65534) и адреса класса С в небольших сетях (количество узлов до 28-2= 254).
Класс D адресов используется для организации многопунктового (multicast) режима посылки сообщений, т.е. IPдейтаграмма, передаваемая с IP-адресом класса D, доставляется всем узлам сети, имеющим указанный номер группы узлов. Адреса класса Е зарезервированы и не используются.
3.4. Организация межсетевого взаимодействия
Для обеспечения гибкости при создании и администрировании сетей различного размера в 1985 г. было введено понятие «подсеть» (RFC 950), позволяющее использовать один и тот же IP-адрес классов A, B или C для разных подсетей. Такая возможность обеспечивается специальной битовой маской (netmask), ассоциированной с IP-адресом и определяющей распределение битов IP-адреса между номером подсети и номером узла.
Маска сети накладывается на IP-адрес по следующему правилу: если значение бита маски равно единице, то адресация узлов запрещена, а если нуль – разрешена. В сетевой маске биты маскируются только подряд от старшего к младшему, т.е. слева направо.
Рассмотрим следующий пример [1]. Допустим, что в пределах сети с IP-адресом класса C 211.135.14.0 необходимо организовать работу четырех подсетей. Для этого необходимо зарезервировать два (старших) бита из номера узла сети (последний байт адреса), как показано на рис. 1.26.
Тогда маска сети примет в дот-нотации следующий вид
255.255.255.192.
После преобразования IP-адреса для идентификации узла используются оставшиеся 6 бит, поэтому каждая из подсетей может включать до 62 узлов1.
1 Необходимо учитывать, что при каждом делении сети на две подсети два адреса теряются (нулевой – адрес сети и единичный – широковещательный адрес). В рассматриваемом примере при делении на четыре подсети теряются 8 адресов, по два на каждую подсеть.
74
0 |
7 |
15 |
23 |
31 |
IP
Маска
-адрес |
|
1 |
1 |
0 |
1 |
0 |
0 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Номер сети |
(24 бит) |
|
|
|
|
|
|
|
|
|
Номерузла |
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(6 бит) |
|
||||
211.135.14.0 |
|
|
|
|
|
|
|
|
Номер подсети(2 бита) |
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
0 |
|
|
|
|
7 |
15 |
|
23 |
31 |
||||||||||||||||||||||||
сети |
|
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
255.255.255.192 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 1.26. Структура сетевой маски
Номера подсетей при таком делении определяются комбинацией единиц и нулей в 24 и 25 разрядах IP-адреса. Соответственно, для первой подсети эти разряды будут иметь значение 00, второй 01, третьей 10 и четвертой 11.
Диапазоны адресов для узлов определяются номерами:
подсеть №1 211.135.14.1 - 211.135.14.62; подсеть №2 211.135.14.65 - 211.135.14.126; подсеть №3 211.135.14.129 - 211.135.14.190; подсеть №4 211.135.14.193 - 211.135.14.254.
В битовой форме записи сетевой маски совмещается адрес подсети и ее маска. Так для рассмотренного ранее примера IP-адреса класса С 211.135.14.0 в битовой форме сетевая маска записывается в виде 211.135.14/24, где 24 указывает на число маскированных бит IP-адреса. При каждом последующем разделении сети пополам маска увеличивается на 1 бит.
Разбиение сетей на подсети связано с особенностями маршрутизации1 в вычислительных сетях. Внутренний трафик (передаваемые данные) подсети изолируется от сети маршрутизатором. Область адресов сети (подсети) определяется значением сетевой маски. Поэтому узел, получивший IPдейтаграмму, сравнивает IP-адрес назначения с собственным IP-адресом и накладывает на результат маску сети. Ненулевое значение результата этой операции является указанием на передачу пакета из этой сети во внешнюю сеть.
Различают прямую(direct routing) и непрямую(indirect routing) маршрутизацию, динамическую(dynamic routing) и статическую (static routing) маршрутизацию.
1 Маршрутизация (Routing) – передача дейтаграммы от одного узла к другому.
75
При прямой маршрутизации данные передаются между узлами одной сети, а непрямой – между сетями. В случае динамической маршрутизации маршруты передачи данных рассчитываются программным обеспечением устройств маршрутизации через определенные интервалы времени и могут обновляться в зависимости от состояния межсетевых соединений. Динамическая маршрутизация выполняется специальными программами, которые используют в своей работе специальные протоколы, относящиеся к межсетевому уровню.
Примером такого протокола являются протокол RIP, упомянутый ранее, а также протоколы OSPF (протокол выбора кратчайшего пути), EGP (протокол внешнего шлюза), BGP (протокол граничного шлюза) и IGRP (протокол внутренней маршрутизации Cisco).
При статической маршрутизации маршруты устанавливаются администратором сети. Это допускается в тех случаях, когда маршруты известны, а работоспособность промежуточных узлов подтверждается.
Каждое устройство, обеспечивающее маршрутизацию в вычислительных сетях, содержит таблицу маршрутизации, которая состоит из пар адресов «адрес назначения – адрес пе-
ресылки».
При передаче данных маршрутизатор просматривает маршрутную таблицу в три этапа:
1.Поиск полного соответствия адреса назначения – в случае успеха, пакет посылается соответствующему маршрутизатору или непосредственно интерфейсу адресата (связи точкаточка выявляются именно на этом этапе).
2.Поиск соответствия адреса назначения сети назначения (по сетевой маске) – в случае успеха пакет пересылается в сеть назначения (одна запись в таблице маршрутизации соответствует всем узлам, входящим в данную сеть).
3.Поиск маршрута по умолчанию и, если он установлен, дейтаграмма посылается в соответствующий маршрутизатор.
Таблица маршрутизации также содержит поле «метрика», указывающее вес (измеряется числом переходов от узла № 1 к узлу № 2) маршрута. В том случае, если в таблице маршрутизации содержатся два маршрута для передачи данных между двумя узлами, то более предпочтительный маршрут определяется по значению в поле «метрика». Узлы вычислительной сети хранят данные маршрутизации в ядре операционной системы,
76
использующей стек протоколов TCP/IP, например, операционная система Windows.
Маршрутизация IP определяет характер перемещения дейтаграмм IP через объединенные сети. В начале передачи данных весь маршрут между двумя узлами может быть неизвестен. Поэтому в каждом промежуточном пункте определяется следующий пункт назначения путем сопоставления адреса пункта назначения, содержащегося в дейтаграмме, с записью данных в маршрутной таблице текущего узла. Участие каждого узла в процессе маршрутизации заключается в транзитной передаче дейтаграмм. Передача дейтаграмм базируется только на внутренней информации, вне зависимости от того, насколько успешным будет процесс и достигнет или нет дейтаграмма узел назначения. Именно поэтому протокол IP характеризуется как протокол негарантированной доставки пакетов и, более то-
го, не обеспечивает отправку в адрес узла отправителя сообщения о неисправностях. Выполнение этой задачи предоставлено другому протоколу из стека TCP/IP – протоколу ICMP.
Как уже отмечалось ранее, стек протоколов TCP/IP задумывался и был реализован как набор протоколов не «привязанных» к конкретной сетевой среде передачи данных. Поэтому для передачи IP-дейтаграмм через сети различного типа, межсетевой протокол IP был наделен функцией фрагментации IP-дейтаграмм и адаптации их размера к требованиям любой сети. Например, дейтаграммы, сформированные изначально для сетевого сегмента Ethernet с максимальным размером кадра – 1526 байт, могут быть переданы после фрагментации по сегменту сети Х.25, максимальный размер кадра в которой 128 байт.
Возможность фрагментации IP-дейтаграмм может оказаться полезной в сетях, где существуют различные маршруты передачи данных. В этом случае данные могут быть фрагментированы и переданы параллельно по разным маршрутам.
Каждый IP-фрагмент представляет собой полноценную IPдейтаграмму с собственным IP-заголовком. Заголовки всех IPфрагментов содержат одинаковый идентификатор, совпадающий с идентификатором исходной IP-дейтаграммы. Это позволяет идентифицировать все IP-фрагменты, относящиеся к исходной IP-дейтаграмме.
В дополнение к стандартному заголовку заголовок IPфрагмента содержит поле «Смещение фрагмента», описывающее положение этого фрагмента относительно начала исход-
77
ной IP-дейтаграммы. Информация этого поля позволяет корректно восстановить исходную IP-дейтаграмму в принимающем IP-фрагменты узле даже в ситуации, когда IP-фрагменты приходят в произвольном порядке, поскольку могут следовать от источника к адресату по разным маршрутам.
Проиллюстрируем процедуру фрагментации IPдейтаграммы на следующем примере (рис. 1.27). Допустим, узел
№1 получил IP-дейтаграмму с номером (идентификатором) 1001
иразмером 1500 байт (максимально для данных в кадре сети Ethernet). В соответствии с условиями и возможностью маршрутизации этот информационный блок должен быть передан узлу
№2, маршрут к которому проходит через сегмент сети с размером кадра 512 байт (размер поля данных 496 байт).
При фрагментации IP-дейтаграммы в данном случае следует учесть следующее [3]:
–длина IP-дейтаграммы, вложенной в кадр 1500 байт, из которых 20 байт IPзаголовок, т.е. полезные данные составляют 1480 байт;
–максимальный размер поля данных кадра, в формат которой переупаковывается дейтаграмма, составляет 496 байт, из которых 20 байт необходимо отвести на IP-заголовок фрагмента, т.е. максимальный размер полезных данных в одном кадре может составлять 476 байт;
–величина смещения фрагмента, указываемая в заголовке фрагмента, измеряется целым числом восьмибайтных слов (64 бита), поэтому максимальный размер полезных данных, передаваемых в одном кадре, округляется до ближайшего (в меньшую сторону) значения, кратного 8 байтам (при максимальном размере полезных данных 476 байт таким числом будет 472 байта).
Таким образом, для передачи данных узлу № 2 IP-модуль узла № 1 фрагментирует IP-дейтаграмму на четыре фрагмента. В трех первых фрагментах по 472 байта данных и 20 байт IPзаголовка фрагмента. Четвертый фрагмент включает оставшиеся 64 байта данных и 20 байт IP-заголовка последнего ф- рагмента [3].
78
|
0 |
19 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1500 |
|||
Исходная |
|
Заголовок |
|
|
|
|
|
|
Данные (1480 байт) |
|
|
|
|
||||||||
IP-датаграмма |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
19 |
|
|
|
495 |
|
|
|
|
|
|
|
|
|
|
|
||||
Фрагмент №1 |
|
Заголовок |
|
Данные |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
№1 |
|
(472 байта) |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
0 |
19 |
|
|
|
495 |
|
|
|
|
|
|
||||
|
|
|
Фрагмент №2 |
|
Заголовок |
|
Данные |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
№2 |
|
(472 байта) |
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
0 |
19 |
|
|
|
495 |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
Фрагмент №3 |
|
Заголовок |
|
Данные |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
№3 |
|
|
(472 байта) |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
19 |
83 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
Фрагмент №4 |
|
Заголовок |
Данные |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
№4 |
|
(64 байта) |
|
|||||
Рис. 1.27. Фрагментация IP-дейтаграммы
Все фрагменты в IP-заголовке имеют один и тот же идентификатор 1001. В поле «Смещение фрагмента» первого фрагмента записан нуль, поскольку этот фрагмент включает начальный участок фрагментированной дейтаграммы. В аналогичном поле второго сегмента записано 59 (472/8=59), поскольку первый фрагмент включает 59 восьми байтовых слов. Значение этого поля для третьего фрагмента удваивается и становится равным 108. Смещение для четвертого фрагмента составляет
167.
Соответственно, для первых трех фрагментов поле длина дейтаграммы составляет 492, а для четвертого 84.
3.5. Преобразование адресов
Универсальность стека протоколов TCP/IP относительно среды передачи данных, предполагает решение целого ряда задач по обеспечению совместимости верхних уровней модели TCP/IP с различными сетевыми технологиями и средой передачи данных. Для решения таких задач предназначены протоколы сетевого уровня модели TCP/IP ARP и RARP.
Рассмотрим работу протоколов сетевого уровня на примере наиболее распространенной сетевой технологии для ло-
кальных сетей Ethernet (IEEE 802.3).
79
Протокол Ethernet, подобно другим сетевым протоколам (Х.25, Frame Relay, АТМ), обладает собственной системой адресации узлов вычислительной сети, отличной от системы адресации, принятой в TCP/IP. Это приводит к необходимости взаимной трансляции адресов: «IP-адреса» в «Ethernet-адрес» и обратно.
Напомним, что каждый сетевой интерфейс Ethernet имеет уникальный шестибайтовый адрес, который, чаще всего, записывается шестнадцатеричными числами, разделенными двоеточием, например, 2F.14.22.AD.F0.7C. Вместе с тем узел, использующий стек протоколов TCP/IP, адресует все данные в соответствии с протоколом IP, т.е. четырехбайтовым IPадресом.
Поэтому на сетевом уровне модели TCP/IP для отображения IP-адреса в Ethernet-адрес используется протокол ARP (протокол разрешения адресов описан в RFC 826).
Преобразование адресов выполняется путем поиска в таблице, которая называется ARP-таблицей (таблица локальной маршрутизации), хранится в памяти каждого узла (точнее, для каждого сетевого интерфейса формируется такая таблица) и содержит строки соответствия двух адресов для каждого узла сети.
Получив от межсетевого уровня узла № 1 IP-дейтаграмму, адресованную узлу № 2, протокол ARP просматривает сформированную ранее ARP-таблицу с целью определения соответствия IP-адреса узла № 2 и Ethernet-адреса его сетевого интерфейса. Если такое соответствие есть в таблице, то сетевой интерфейс формирует Ethernet-кадр и передает его в сеть.
В случае отсутствия соответствующей строки в ARPтаблице, протокол ARP формирует ARP-запрос, который упаковывается в Ethernet-кадр с широковещательным адресом (адресуется всем узлам сети).
Все узлы локальной сети получают данный Ethernet-кадр с ARP-запросом и сравнивают IP-адрес, указанный в запросе с собственным IP-адресом. Если есть совпадение, а это возможно только на одном узле, то в ответе на ARP-запрос указывается Ethernet-адрес этого узла. Информация из полученного ответа заносится в ARP-таблицу в виде новой строки1 и далее ис-
1 Для того, чтобы ARP-таблица отслеживала изменения в сети, ее строки могут периодически принудительно очищаться.
80