- •Глава 20 Дополнительные
- •192.78.46.0/24, То список доступа будет выглядеть следующим образом:
- •9 Система интегрированного обслуживания (Integiated Seiwcji. Intbotv) ориентирован;!
- •IntServ — в сетях доступа, где количество микропотоков относительно невелико,
- •1. Источник данных (компьютер с1 на рис. 20.3) посылает получателям по уни-
- •4. Каждый маршрутизатор, поддерживающий протокол rsvp вдоль восходящего
- •1 Традиционная технология nat в виде исключения допускает сеансы обратного направ-
- •V.35, над которым могут работать протоколы lap-b, lap-d или lap-f, обеспе-
- •Isp относящегося к категории Tiar 1, сегодня требуются магистральные маршру-
- •2 Мбит/с. Маршрутизатор удаленного офиса может поддерживать работу по ком-
Глава 20 Дополнительные
функции
маршрутизаторов
IP-сетей
Основными функциями IP-маршрутизатора являются создание таблицы маршрутизации и
продвижение IP-пакетов на основе данных этой таблицы. Для выполнения этих функций мар-
маршрутизатор должен поддерживать протокол IP, рассмотренный в главе 18, а также протоколы
маршрутизации, с которыми мы познакомились в главе 19. Помимо этих базовых функций со-
современные IP-маршрутизаторы поддерживают ряд важных более сложных возможностей, ко-
которые превращают IP-маршрутизаторы в гибкие и мощные многофункциональные устройства
по обработке трафика. В этой главе мы рассмотрим наиболее важные из этих нетривиальных
возможностей, наиболее часто используемые администраторами сетей.
Маршрутизатор является пограничным устройством, соединяющим сеть с внешним миром. По-
Поэтому естественно возложить на него функции по защите сети от внешних атак. Эти функции IP-
маршрутизаторы выполняют путем фильтрации пользовательского трафика в соответствии с раз-
разнообразными признаками, передаваемыми в IP-пакетах: адресами отправителя и получателя,
идентификатором типа протокола, вложенным в IP-пакет, идентификатором типа приложения, ге-
генерирующего этот трафик. Подобная функциональность предотвращает проникновение нежела-
нежелательного трафика во внутреннюю сеть и снижает вероятность атаки на ее хосты. Важную роль в
защите внутренних ресурсов сети играет технология трансляции сетевых адресов (NAT), которая
позволяет скрыть от внешних пользователей реальные адреса, используемые хостами сети.
Сравнительно новым свойством IP-сетей является поддержка параметров качества обслужи-
обслуживания (QoS). Отдельные механизмы, необходимые для контроля и предотвращения перегру-
перегрузок, IP-маршрутизаторы поддерживают на протяжении уже долгого времени, однако стандар-
стандарты систем обеспечения QoS были разработаны для IP-сетей только в конце 90-х. Существует
две технологии поддержания параметров QoS для IP-сетей — интегрированное обслуживание
и дифференцированное обслуживание. Первая обеспечивает качество обслуживания для от-
отдельных потоков, а вторая разработана для агрегированных потоков, представляющих неболь-
небольшое число классов трафика. Технология интегрированного обслуживания сегодня находит ос-
основное применение на периферии сети, 8 корпоративных сетях и сетях доступа, в то время как
технология дифференцированного обслуживания начинает применяться на магистралях се-
сетей. Причина такого разделения областей применения достаточно очевидна — обеспечение
параметров QoS для каждого отдельного потока создает для маршрутизаторов дополнительную
нагрузку, пропорциональную количеству обслуживаемых потоков. Через магистраль могут
проходить сотни тысяч пользовательских потоков, поэтому реализация технологии интегриро-
интегрированного обслуживания может потребовать от магистрального маршрутизатора слишком высо-
высоких показателей вычислительной мощности и оперативной памяти.
Завершает главу рассмотрение функциональной структуры маршрутизаторов.
Фильтрация
Ключевые слова: фильтрация данных, фильтрация маршрутных объявлений,
списки доступа маршрутизаторов, стандартный список доступа,
метасимволы, ключевые слова списка доступа, ICMP, ping.
Протоколы 1Р-маршрутизации создают таблицы маршрутизации, на основе ко-
которых любой узел составной сети может обмениваться информацией с любым
другим узлом. Благодаря этому принципу дейтаграммных сетей каждый пользо-
пользователь Интернета может получать доступ к любому публичному сайту.
Напомним, что в сетях, основанных не технике виртуальных каналов, взаимо-
взаимодействие произвольных узлов невозможно без предварительной процедуры уста-
установления между ними виртуального канала.
Однако такая всеобщая достижимость узлов и сетей не всегда отражает потреб-
потребности их владельцев. Поэтому многие маршрутизаторы поддерживают развитые
средства фильтрации пользовательского трафика, а также фильтрации объявле-
объявлений протоколов маршрутизации, что позволяет дифференцированно управлять
достижимостью узлов.
Фильтрация пользовательского трафика
Под фильтрацией понимается нестандартная обработка, tP-пакетов маршрутизаторами,
- приводящая к ртбрзсыванию^екоторых пакетов или изменению их маршрута.
Фильтрация пользовательского трафика маршрутизаторами аналогична по прин-
принципу действия фильтрации, выполняемой коммутаторами локальных сетей (см. гла-
главу 15).
Условия фильтрации маршрутизаторов обычно существенно сложнее и учиты-
учитывают гораздо больше признаков, чем коммутаторы локальных сетей. Например,
это могут быть:
? IP-адрес источника и приемника;
? МАС-адреса источника и приемника;
? идентификатор интерфейса, с которого поступил пакет;
? тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP
или OSPF);
? номер порта TCP/UDP (то есть тип протокола прикладного уровня).
При наличии фильтра маршрутизатор сначала проверяет совпадение условия, опи-
описанного этим фильтром, с признаками пакета, и при положительной проверке
выполняет над пакетом ряд нестандартных действий. Например, пакет может
быть отброшен (drop); направлен к следующему маршрутизатору, отличающе-
отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный
кандидат на отбрасывание при возникновении перегрузки. Одним из таких дей-
действий может быть и обычная передача пакета в соответствии с записями табли-
таблицы маршрутизации
Рассмотрим примеры фильтров, написанных на командном языке маршрутиза-
маршрутизаторов Cisco. Эти фильтры, называемые списками доступа, сегодня в IP-маршру-
IP-маршрутизаторах являются очень распространенным средством ограничения пользова-
пользовательского трафика.
Наиболее простым является стандартный список доступа, который учитывает
в качестве условия фильтрации только IP-адрес источника.
Общая форма такого условия выглядит следующим образом:
access-list номер_списка_доступа { deny | permit }
{ адрес_источника [ метасимволы_источника ] | any}
Стандартный список доступа определяет два действия с пакетом, который удов-
удовлетворяет описанному в фильтре условию: deny, то есть отбросить, и permit, то
есть передать для стандартной обработки в соответствии с таблицей маршрути-
маршрутизации. Условием выбора того или иного действия в стандартном списке доступа
является совпадение IP-адреса источника пакета с адресом источника, заданным
в списке. Совпадение проверяется в том же стиле, что и при проверке таблицы
маршрутизации, при этом метасимволы являются аналогом маски, но в несколь-
несколько модифицированном виде. Двоичный нуль в поле метасимволов источника оз-
означает, что требуется совпадение значения этого разряда в адресе пришедшего
пакета и в адресе, заданном в списке доступа. Двоичная единица означает, что
совпадения в этом разряде не требуется. Практически, если вы хотите задать усло-
условие для всех адресов некоторой подсети, то должны использовать инвертированное
значение маски этой подсети. Параметр any означает любое значение адреса —
это просто более понятная и краткая форма записи значения 255.255.255.255
в поле метасимволов источника.
Пример стандартного списка доступа:
access-list I deny 192.78.46.0 0.0.0.255
Здесь:
? 1 — номер списка доступа;
? deny — действие с пакетом, который удовлетворяет условию данного списка
доступа;
? 192.78.46.0 — адрес источника;
? 0.0.0.255 — метасимволы источника.
Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адре-
адреса источника имеется значение 192.78.46.0.
Список доступа может включать более одного условия. В этом случае он состоит
из нескольких строк с ключевым словом access-list и одним и тем же номером
списка доступа. Так, если мы хотим разрешить прохождение через маршрутиза-
тор пакетов хоста 192.78.46.12, запрещая передачу пакетов одному из хостов сети