- •Глава 20 Дополнительные
- •192.78.46.0/24, То список доступа будет выглядеть следующим образом:
- •9 Система интегрированного обслуживания (Integiated Seiwcji. Intbotv) ориентирован;!
- •IntServ — в сетях доступа, где количество микропотоков относительно невелико,
- •1. Источник данных (компьютер с1 на рис. 20.3) посылает получателям по уни-
- •4. Каждый маршрутизатор, поддерживающий протокол rsvp вдоль восходящего
- •1 Традиционная технология nat в виде исключения допускает сеансы обратного направ-
- •V.35, над которым могут работать протоколы lap-b, lap-d или lap-f, обеспе-
- •Isp относящегося к категории Tiar 1, сегодня требуются магистральные маршру-
- •2 Мбит/с. Маршрутизатор удаленного офиса может поддерживать работу по ком-
Isp относящегося к категории Tiar 1, сегодня требуются магистральные маршру-
маршрутизаторы с интерфейсами 10 Гбит/с, которые в недалеком будущем будут заме-
заменены маршрутизаторами с портами DWDM, работающими с 40 волнами и обес-
обеспечивающими общую скорость порта 40Q Гбит/с. Пограничные маршрутизаторы
такого оператора также будут относиться к лучшим маршрутизаторам этого класса
по производительности, работая с портами доступа со скоростями от 622 Мбит/с
до 2,5 Гбит/с.
Менее крупным операторам связи, то есть региональным и локальным, такие вы-
высокопроизводительные маршрутизаторы не требуются, так как объемы переда-
ваемого ими трафика гораздо меньше. Поэтому магистральный маршрутизатор
такого оператора может ограничиться поддержкой интерфейсов 2-155 Мбит/с,
а пограничный должен, кроме того, обеспечивать коммутируемый доступ або-
абонентов через телефонные сети. В небольших сетях магистральных маршрутиза-
маршрутизаторов может не быть вообще, такая сеть будет состоять из одних (или даже одно-
одного) пограничных маршрутизаторов.
Аналогичная картина наблюдается и в корпоративных сетях, где также применя-
применяются маршрутизаторы различной производительности и надежности. Например,
крупные корпорации могут применять магистральные и пограничные маршрути-
маршрутизаторы, близкие по характеристикам к маршрутизаторам операторов связи катего-
категории Tiar 1. Однако более обычной является ситуация, когда в корпоративных се-
сетях применяется оборудование с характеристиками на один уровень ниже. Это
значит, что крупные многонациональные корпорации применяют оборудование,
которое обычно используется региональными операторами и т. д., по нисходящей.
Маршрутизаторы региональных отделений соединяют региональные отделений между со-
собой и с шгислральной сетью. Сеть регионального отделений, так же как и магистральная сеть,
может состойте изнескольких-локальных сетей. -Такой" маршрутизатор-обычно представляет
собой некоторую упрощённую версию магистрального корпоративного маршрутизатора. >•¦¦ •
Если он выполнен на основе шасси, то количество слотов его шасси меньше D-5).
Возможен также конструктив с фиксированным количеством портов. Поддержи-
Поддерживаемые интерфейсы локальных и глобальных сетей менее скоростные. Это наи-
наиболее обширный класс выпускаемых маршрутизаторов, характеристики которых
могут приближаться к характеристикам магистральных маршрутизаторов, а мо-
могут и опускаться до характеристик маршрутизаторов удаленных офисов.
Маршрутизаторы удаленных офисов соединяют, как правило,- единственную локальную
сеть удаленного офиса с магистральной сетью или сетью регионального отделения по гло-
о"аяы$ой связи' ' ' л " ' !
Как правило, интерфейс локальной сети — это Ethernet 10/100 Мбит/с, а интер-
интерфейс глобальной сети — выделенная линия со скоростью 64 Кбит/с, 1,544 или
2 Мбит/с. Маршрутизатор удаленного офиса может поддерживать работу по ком-
коммутируемой телефонной линии в качестве резервной связи для выделенного ка-
канала. Существует очень большое количество типов маршрутизаторов удаленных
офисов. Это объясняется как массовостью потенциальных потребителей, так и
специализацией такого типа устройств, проявляющейся в поддержке какого-ли-
какого-либо конкретного типа глобальной связи. Например, существуют маршрутизаторы,
работающие только в ISDN-сети, существуют модели только для аналоговых вы-
выделенных линий и т. п.
Чем меньше требований предъявляется к производительности маршрутизатора,
тем более вероятно, что он выполнен по классической схеме первых маршрути-
маршрутизаторов (и мостов локальных сетей), то есть схемы на основе единственного цен-
центрального процессора и лишенных процессоров портов. Такая схема гораздо де-
дешевле, но ее производительность полностью определяется производительностью
процессора и не масштабируется с ростом числа портов.
Программный маршрутизатор, являясь одной из популярных реализаций такой схемы,
представляет собой программный модуль универсальной операционной системы семейства
Unbc или Windows.
И только появление в глобальных сетях высокоскоростных технологий, таких
как ATM, SONET/SDH, DWDM, привело к резкому повышению требований к
производительности маршрутизаторов, в результате чего представители наибо-
наиболее совершенного класса маршрутизаторов повсеместно перешли на многопро-
многопроцессорные схемы с коммутирующим блоком, успешно опробованные на коммута-
коммутаторах локальных сетей.
Маршрутизаторы локальных Сетей предназначены для разделения крупных локальных
сетей на подсети. Это особый класс маршрутизаторов, которые, как правило, не имеют ин-
интерфейсов глобальных сетей.
Многие маршрутизаторы этого типа ведут свое происхождение от коммутаторов
локальных сетей, что и дало им второе название — коммутаторы 3-го уровня.
Коммутаторы 3-го уровня выполняют все функции маршрутизаторов, но, кроме
того, могут работать и как обычные коммутаторы локальных сетей, то есть ком-
коммутаторы 2-го уровня. Режим работы (маршрутизатор или коммутатор) зависит
от параметров конфигурации. Возможен также комбинированный режим работы,
когда несколько портов коммутатора 3-го уровня имеют один и тот же IP-адрес
сети (рис. 20.12). В этом случае передача пакетов между группой портов, при-
принадлежащих одной сети, выполняется в режиме коммутации, на канальном уров-
уровне, то есть на основе МАС-адресов. Если же порты принадлежат разным IP-се-
IP-сетям, то тогда коммутатор выполняет маршрутизацию между сетями. Выбор
режима передачи пакета определяется конфигурированием IP-адресов портов и,
соответственно, компьютеров.
Рис. 20.12. Комбинированный режим работы коммутатора 3-го уровня
Пример
Например, если два компьютера (С1 и С2 на рис. 20.12) имеют адреса, принадлежа-
принадлежащие одной сети, то при обмене информацией они не будут передавать пакеты маршру-
маршрутизатору по умолчанию, а будут использовать протокол ARP для того, чтобы узнать
МАС-адрес компьютера назначения. Пусть компьютеру С1 требуется передать пакет
компьютеру С2. Коммутатор 3-го уровня передает кадр ARP-запроса компьютера С1
с широковещательным MAC-адресом всем портам, принадлежащим одной IP-сети, то
есть портам Р1, Р2, РЗ и Р4. Компьютер С2 распознает свой IP-адрес A94.100.15.3)
в этом запросе и отвечает направленным кадром с МАС-адресом назначения компью-
компьютера Cl (MAC1), помещая в ответ собственный МАС-адрес (МАС2). После этого ком-
компьютер С1 направляет IP-пакет компьютеру С2, помещая его в кадр с адресом назна-
назначения МАС2. Коммутатор 3-го уровня передает этот кадр с порта Р1 на порт Р2 в
соответствии с алгоритмом моста на основе таблицы продвижения 2-го уровня. Ана-
Аналогичным образом будет работать коммутатор 3-го уровня. В случае когда компьюте-
компьютеры принадлежат разным IP-сетям, поведение компьютера-отправителя диктует ком-
коммутатору 3-го уровня способ продвижения пакета. Если, например, компьютер С1
отправляет пакет компьютеру СЗ, находящемуся в другой сети, то он обязан передать
пакет маршрутизатору по умолчанию, а не пытаться с помощью АКР узнать МАС-ад-
МАС-адрес компьютера назначения. Поэтому компьютер С1 делает ARP-запрос о МАС-адре-
се известного ему маршрутизатора по умолчанию, которым для него является порт Р1
с IP-адресом IP-R1. После получения МАС-адреса порта PI (MAC-P1) компьютер
С1 посылает ему IP-пакет для компьютера СЗ (то есть по IP-адресу назначения
194.100.17.11), оформив его как кадр Ethernet с адресом назначения МАС-Р1. Полу-
Получив кадр с собственным МАС-адресом, коммутатор 3-го уровня обрабатывает его по
схеме маршрутизации, а не коммутации.
Коммутаторы 3-го уровня поддерживают технику VLAN, являясь основным ти-
типом устройств для соединения отдельных виртуальных сетей в составную IP-
сеть. Обычно каждой виртуальной сети присваивается номер IP-сети, так что пе-
передача внутри сетей идет на основе МАС-адресов, а между сетями — на основе
IP-адресов. В представленном на рис. 20.12 примере сети порты Р1-Р4 могут
принадлежать одной виртуальной сети, а порты Р5, Р6 — другой.
Выводы
IP-маршрутизаторы позволяют фильтровать пользовательский трафик на основе различных
признаков, включающих адреса источника и назначения, тип протокола, который переносят
IP-пакеты, номера UPD- и TCP-портов и некоторые другие. Это свойство маршрутизаторов
широко используется для защиты сетей от атак злоумышленников и ограничения доступа ле-
легальных пользователей.
Фильтрация маршрутных объявлений обеспечивает управление связностью сетей в целом, пре-
предотвращая появление записей об определенных сетях в таблицах маршрутизации.
IP-маршрутизаторы уже долгое время поддерживают многие механизмы QoS: приоритетные
и взвешенные очереди, профилирование трафика, обратную связь для TCP-трафика. Однако
только в середине 90-х годов, когда Интернет начал переносить чувствительный к задержкам
трафик, начались работы по созданию системы стандартов QoS для IP-сетей.
Сегодня существует две системы стандартов QoS для IP-сетей — IntServ и DiffServ. Первая
обеспечивает гарантированное качество обслуживания микропотоков, используя сигнальный
протокол RSVP для резервирования ресурсов маршрутизаторов. Недостатком такого подхода
является большая нагрузка на магистральные маршрутизаторы, которые должны хранить ин-
информацию состояния тысяч пользовательских потоков.
В технологии DiftServ используется агрегированный подход, когда качество обслуживания обес-
обеспечивается для небольшого количества классов трафика. Это существенно снижает нагрузку
на маршрутизаторы. Кроме того, технология DiffServ основана на модели независимого пове-
поведения маршрутизаторов (РНВ), когда каждый маршрутизатор самостоятельно решает, какие
ресурсы он должен выделить каждому классу, что также упрощает работу маршрутизаторов и
дает возможность реализовать дифференцированное обслуживание в пределах сети постав-
поставщика услуг. Однако упрощенный подход технологии DiffServ ведет к снижению уровня гаран-
гарантий параметров QoS, то есть к повышению вероятности возникновения в сети ситуаций, когда
параметры QoS будут выходит за требуемые для клиента границы.
Типичный маршрутизатор представляет собой программируемое вычислительное устройство,
которое работает под управлением специализированной операционной системы, оптимизи-
оптимизированной для выполнения операций построения таблиц маршрутизации и продвижения паке-
пакетов на их основе.
Маршрутизатор часто строится по мультипроцессорной схеме, причем используется сим-
симметричное мультипроцессирование, асимметричное мультипроцессирование и их сочетание.
Наиболее рутинные операции обработки пакетов выполняются программно специализирован-
специализированными процессорами или аппаратно большими интегральными схемами. Более высокоуровне-
высокоуровневые действия выполняют программно универсальные процессоры.
Маршрутизаторы можно классифицировать различными способами. Их можно разделить на
магистральные и пограничные маршрутизаторы (по положению относительно границ сети), на
маршрутизаторы операторов связи и корпоративные маршрутизаторы (в зависимости от типа
предприятия, владеющего сетью). Маршрутизаторы, работающие в корпоративной сети, при-
принято также делить на собственно корпоративные маршрутизаторы (работающие в центральной
сети предприятия), маршрутизаторы региональных подразделений и маршрутизаторы уда-
удаленных офисов. Существует также специальный класс маршрутизаторов локальных сетей, ко-
которые не поддерживают WAN-интерфейсы (их обычно называют коммутаторами 3-го уровня).
Технология трансляции сетевых адресов (NAT) позволяет предприятию решить проблему де-
дефицита IP-адресов, а также повысить безопасность сети путем сокрытия адресов узлов своей
сети за счет использования во внутренней сети частных адресов, которые при выходе пакета
во внешнюю сеть транслируются в глобальные IP-адреса.
Традиционная технология NAT подразделяется на базовую технологию NAT (Basic NAT), ис-
использующую для отображения только IP-адреса, и технологию NAPT. В последней для отобра-
отображения привлекаются еще и так называемые транспортные идентификаторы, которыми чаще
всего являются номера TCP- и UDP-портов.
Вопросы и задания
1. Какие параметры пакета могут использоваться при фильтрации трафика мар-
маршрутизатором? Варианты ответов:
О IP-адрес источника;
О протокол, переносимый в 1Р-пакеге;
О номер TCP- или UDP-порта;
О IP-адрес источника предыдущего пакета.
2. Чем результат фильтрации объявлений маршрутизации отличается от резуль-
результата фильтрации пользовательского трафика?
3. Какую смысловую нагрузку несет термин «интегрированные» в названии тех-
технологии IntServ?
4. За счет какого параметра можно ограничить пульсацию входного потока па-
пакетов, профилируемого по алгоритму ведра маркеров?
5. Почему в методе случайного раннего обнаружения (RED) вероятность отбра-
отбрасывания пакетов зависит от усредненной длины очереди, а не от текущей?
6. Поясните основные этапы резервирования ресурсов маршрутизаторов по про-
протоколу RSVP.
7. В чем состоит принципиальное ограничение технологии IntServ? Варианты
ответов:
О ее нельзя применять для групповой адресации;
О маршрутизатор должен хранить информацию о состоянии каждого потока;
О конечные узлы должны периодически повторять резервирование.
8. Почему в технологии DiffServ не используется сигнальный протокол?
9. В чем отличие между EF- и AF-сервисом?
10. Благодаря каким своим особенностям технология DiffServ нашла поддержку
среди операторов связи? Варианты ответов:
О она может быть реализована в пределах сети оператора независимо от се-
сетей других операторов;
О маршрутизаторы работают с классами трафика, что не создает большой
дополнительной нагрузки на маршрутизаторы;
О она предусматривает автоматизацию расчетов параметров QoS.
11. В чем назначение технологии NAT? Варианты ответов:
О отражение DOS-атак;
О решение проблемы дефицита адресов в протоколе IPv4;
О защита внутреннего адресного пространства сети предприятия.
12. Какие дополнительные признаки пакетов используются в технологии NAT
для отображения множества внутренних адресов на один глобальный адрес?
13. Заполните столбец «Назначенный порт» в табл. 20.2.
Таблица
Частный
10.0.25.1
10.0.25.2
10.0.25.3
10.0.25.2
10.0.25.1
20.2.
адрес
Пример NAT-таблицы
14. Перечислите основные варианты архитектуры маршрутизаторов.
15. По каким критериям обычно классифицируют маршрутизаторы?
16. В чем состоят особенности коммутаторов 3-го уровня?
17. Составьте список или списки доступа для маршрутизатора Cisco, соединяю-
соединяющего предприятие с Интернетом (рис. 20.13). Список доступа должен обеспе-
обеспечивать:
О обмен пользователей сети 194.100.12.0/24 (кроме пользователя 194.100.12.25)
только с узлами сетей 132.22.0.0/16 и 201.17.200.0/24 (обмен информаци-
информацией с Интернетом для этих пользователей запрещен);
О пользователю 194.100.12.25 разрешен любой обмен без каких-либо ограни-
ограничений;
О доступ к серверам сети 201.17.200.0/24 из Интернета возможен только по
протоколам FTP и HTTP, а доступ к этим серверам по протоколу ICMP
должен быть запрещен.
Рис. 20.13. Фильтрация трафика с помощью маршрутизатора
18. При изучении технологии NAT мы упростили реальную картину. В частно-
частности, мы не затрагивали проблемы, которые могут возникнуть при поступле-
поступлении во внутреннюю сеть ICMP-сообшений об ошибках. Предложите свой
вариант алгоритма, который должен применяться протоколом NAT при появ-
появлении на внешнем интерфейсе ICMP-сообщения. (Подсказка: прежде чем пе-
передавать ICMP-сообщение далее, протокол NAT должен внести исправления
не только в заголовок IP, но и в поле данных ICMP.)
19. Почему для UDP-трафика неприменим механизм RED?