Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
45
Добавлен:
25.03.2016
Размер:
291.84 Кб
Скачать

Глава 20 Дополнительные

функции

маршрутизаторов

IP-сетей

Основными функциями IP-маршрутизатора являются создание таблицы маршрутизации и

продвижение IP-пакетов на основе данных этой таблицы. Для выполнения этих функций мар-

маршрутизатор должен поддерживать протокол IP, рассмотренный в главе 18, а также протоколы

маршрутизации, с которыми мы познакомились в главе 19. Помимо этих базовых функций со-

современные IP-маршрутизаторы поддерживают ряд важных более сложных возможностей, ко-

которые превращают IP-маршрутизаторы в гибкие и мощные многофункциональные устройства

по обработке трафика. В этой главе мы рассмотрим наиболее важные из этих нетривиальных

возможностей, наиболее часто используемые администраторами сетей.

Маршрутизатор является пограничным устройством, соединяющим сеть с внешним миром. По-

Поэтому естественно возложить на него функции по защите сети от внешних атак. Эти функции IP-

маршрутизаторы выполняют путем фильтрации пользовательского трафика в соответствии с раз-

разнообразными признаками, передаваемыми в IP-пакетах: адресами отправителя и получателя,

идентификатором типа протокола, вложенным в IP-пакет, идентификатором типа приложения, ге-

генерирующего этот трафик. Подобная функциональность предотвращает проникновение нежела-

нежелательного трафика во внутреннюю сеть и снижает вероятность атаки на ее хосты. Важную роль в

защите внутренних ресурсов сети играет технология трансляции сетевых адресов (NAT), которая

позволяет скрыть от внешних пользователей реальные адреса, используемые хостами сети.

Сравнительно новым свойством IP-сетей является поддержка параметров качества обслужи-

обслуживания (QoS). Отдельные механизмы, необходимые для контроля и предотвращения перегру-

перегрузок, IP-маршрутизаторы поддерживают на протяжении уже долгого времени, однако стандар-

стандарты систем обеспечения QoS были разработаны для IP-сетей только в конце 90-х. Существует

две технологии поддержания параметров QoS для IP-сетей — интегрированное обслуживание

и дифференцированное обслуживание. Первая обеспечивает качество обслуживания для от-

отдельных потоков, а вторая разработана для агрегированных потоков, представляющих неболь-

небольшое число классов трафика. Технология интегрированного обслуживания сегодня находит ос-

основное применение на периферии сети, 8 корпоративных сетях и сетях доступа, в то время как

технология дифференцированного обслуживания начинает применяться на магистралях се-

сетей. Причина такого разделения областей применения достаточно очевидна — обеспечение

параметров QoS для каждого отдельного потока создает для маршрутизаторов дополнительную

нагрузку, пропорциональную количеству обслуживаемых потоков. Через магистраль могут

проходить сотни тысяч пользовательских потоков, поэтому реализация технологии интегриро-

интегрированного обслуживания может потребовать от магистрального маршрутизатора слишком высо-

высоких показателей вычислительной мощности и оперативной памяти.

Завершает главу рассмотрение функциональной структуры маршрутизаторов.

Фильтрация

Ключевые слова: фильтрация данных, фильтрация маршрутных объявлений,

списки доступа маршрутизаторов, стандартный список доступа,

метасимволы, ключевые слова списка доступа, ICMP, ping.

Протоколы 1Р-маршрутизации создают таблицы маршрутизации, на основе ко-

которых любой узел составной сети может обмениваться информацией с любым

другим узлом. Благодаря этому принципу дейтаграммных сетей каждый пользо-

пользователь Интернета может получать доступ к любому публичному сайту.

Напомним, что в сетях, основанных не технике виртуальных каналов, взаимо-

взаимодействие произвольных узлов невозможно без предварительной процедуры уста-

установления между ними виртуального канала.

Однако такая всеобщая достижимость узлов и сетей не всегда отражает потреб-

потребности их владельцев. Поэтому многие маршрутизаторы поддерживают развитые

средства фильтрации пользовательского трафика, а также фильтрации объявле-

объявлений протоколов маршрутизации, что позволяет дифференцированно управлять

достижимостью узлов.

Фильтрация пользовательского трафика

Под фильтрацией понимается нестандартная обработка, tP-пакетов маршрутизаторами,

- приводящая к ртбрзсыванию^екоторых пакетов или изменению их маршрута.

Фильтрация пользовательского трафика маршрутизаторами аналогична по прин-

принципу действия фильтрации, выполняемой коммутаторами локальных сетей (см. гла-

главу 15).

Условия фильтрации маршрутизаторов обычно существенно сложнее и учиты-

учитывают гораздо больше признаков, чем коммутаторы локальных сетей. Например,

это могут быть:

? IP-адрес источника и приемника;

? МАС-адреса источника и приемника;

? идентификатор интерфейса, с которого поступил пакет;

? тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP

или OSPF);

? номер порта TCP/UDP (то есть тип протокола прикладного уровня).

При наличии фильтра маршрутизатор сначала проверяет совпадение условия, опи-

описанного этим фильтром, с признаками пакета, и при положительной проверке

выполняет над пакетом ряд нестандартных действий. Например, пакет может

быть отброшен (drop); направлен к следующему маршрутизатору, отличающе-

отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный

кандидат на отбрасывание при возникновении перегрузки. Одним из таких дей-

действий может быть и обычная передача пакета в соответствии с записями табли-

таблицы маршрутизации

Рассмотрим примеры фильтров, написанных на командном языке маршрутиза-

маршрутизаторов Cisco. Эти фильтры, называемые списками доступа, сегодня в IP-маршру-

IP-маршрутизаторах являются очень распространенным средством ограничения пользова-

пользовательского трафика.

Наиболее простым является стандартный список доступа, который учитывает

в качестве условия фильтрации только IP-адрес источника.

Общая форма такого условия выглядит следующим образом:

access-list номер_списка_доступа { deny | permit }

{ адрес_источника [ метасимволы_источника ] | any}

Стандартный список доступа определяет два действия с пакетом, который удов-

удовлетворяет описанному в фильтре условию: deny, то есть отбросить, и permit, то

есть передать для стандартной обработки в соответствии с таблицей маршрути-

маршрутизации. Условием выбора того или иного действия в стандартном списке доступа

является совпадение IP-адреса источника пакета с адресом источника, заданным

в списке. Совпадение проверяется в том же стиле, что и при проверке таблицы

маршрутизации, при этом метасимволы являются аналогом маски, но в несколь-

несколько модифицированном виде. Двоичный нуль в поле метасимволов источника оз-

означает, что требуется совпадение значения этого разряда в адресе пришедшего

пакета и в адресе, заданном в списке доступа. Двоичная единица означает, что

совпадения в этом разряде не требуется. Практически, если вы хотите задать усло-

условие для всех адресов некоторой подсети, то должны использовать инвертированное

значение маски этой подсети. Параметр any означает любое значение адреса —

это просто более понятная и краткая форма записи значения 255.255.255.255

в поле метасимволов источника.

Пример стандартного списка доступа:

access-list I deny 192.78.46.0 0.0.0.255

Здесь:

? 1 — номер списка доступа;

? deny — действие с пакетом, который удовлетворяет условию данного списка

доступа;

? 192.78.46.0 — адрес источника;

? 0.0.0.255 — метасимволы источника.

Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адре-

адреса источника имеется значение 192.78.46.0.

Список доступа может включать более одного условия. В этом случае он состоит

из нескольких строк с ключевым словом access-list и одним и тем же номером

списка доступа. Так, если мы хотим разрешить прохождение через маршрутиза-

тор пакетов хоста 192.78.46.12, запрещая передачу пакетов одному из хостов сети

Соседние файлы в папке olifer_v_g_olifer_n_a_kompyuternye_seti_principy_tehnologii