IР-адреса
Категория: Сети TCP/IP | Автор: admin | 8-02-2010, 02:24 | Просмотров: 6060

IP-адрес имеет в длину четыре байта и состоит из двух частей: сетевой и машинной. Первая часть обозначает логическую сеть, к которой относится адрес, а вторая идентифицирует конкретный компьютер в сети.

По соглашению IP-адреса записываются в виде группы десятичных чисел (по одному на каждый байт), разделенных точками. Например, IP-адрес нашей машины boulder выглядит как 128.138.240.1. Левый байт — старший и всегда является компонентом сетевой части адреса.

Если первым байтом адреса является число 127, оно обозначает интерфейс обратной связи — фиктивную сеть, не имеющую реального аппаратного интерфейса и состоящую только из локальной машины. Адрес 127.0.0.1 всегда ссылается на текущую машину; ее символическое имя — localhost.

IP-адрес и другие параметры сетевого интерфейса задаются командой ifconfig. Ее полное описание дано в параграфе 13.10.

 

Классы IP-адресов

 

Исторически IP-адреса группировались в классы, определявшиеся на основании первых битов самого левого байта. Классы отличались распределением байтов адреса между сетевой и машинной частями. Современные маршрутизаторы используют явные маски для задания сетевой части адреса, причем компоненты адреса могут разделятся по границе отдельных битов, а не обязательно байтов. Тем не менее, традиционные классы все еще используются по умолчанию, если не предоставлена явная маска.

Классы А, В и С обозначают обычные IP-адреса; классы D и E применяются при групповой адресации и в исследовательских целя. В табл. 13.3 представлены характеристики каждого класса адресов. Сетевая часть адреса обозначена буквой С, а машинная — буквой М.

Таблица 13.3. Классы IP-адресов

Класс

Первый байт1

Формат

Комментарии

А

1-126

С.М.М.М

Самые ранние сети или адреса, зарезервированные для Министерства   обороны США

В

128-191

С.С.М.М

Крупные организации, обычно с подсетями; адреса данного класса почти полностью заняты

С

192-223

С.С.С.М

Небольшие организации; адреса данного класса получить легко, они выделяются целыми блоками

D

224-239

Групповые адреса, не назначаются на постоянной основе

Е

240-254

---

Экспериментальные адреса

1 Значения 0 и 255 для обычных IP-адресов не используются. Значение 127 зарезервировано для адресов обратной связи.

 

Организация подсетей

 

В редких случаях в состав локальной сети входит более ста компьютеров. По этой причине полезность адресов класса А и класса В (которые допускают наличие в одной сети соответственно 16777214 и 65534 машин) весьма сомнительна. К примеру, 126 адресов класса А занимают половину доступного адресного пространства!

Большинство организаций, имеющих эти адреса, пользуются улучшенным, вариантом схемы адресации, в которой применяются подсети. Здесь некоторая доля машинной части адреса "заимствуется" для расширения сетевой части. Например, четыре байта адреса класса В обычно интерпретируются как С.С.М.М. При наличии подсети третий байт также отводится под номер сети, а не номер машины, поэтому формат адреса становится таким: С.С.С.М. Это превращает один сетевой адрес класса В в 256 сетей, подобных сетям класса С, в каждую из которых может входить 254 компьютера.

Переназначение адресов производится с помощью команды ifconfig, которая назначает сетевому интерфейсу так называемую маску подсети. Каждый бит маски, соответствующий сетевой части IP-адреса, равен 1, а биты машинной части равны 0. Например, маска для адреса класса С будет иметь вид 255.255.255.0 в десятичной системе и 0xFFFFFF00 — в шестнадцатеричной. Ядро, как правило, использует класс адреса для того, чтобы выяснить, какие биты относятся к сетевой части. Если задается явная маска, то эта функция просто отменяется.

 

Граница между сетевой и машинной частями адреса не обязательно приходится на границу байта, но чаще всего бывает именно так. Биты сетевой части должны быть смежными. Конфигурация вида С.С.М.С раньше допускалась, хотя и не была распространена. Сегодня подобный формат адреса недопустим.

Сетевые маски, не оканчивающиеся на границе байта, труднее декодировать. Они обычно записываются в виде суффикса /XX, где XX — число битов в сетевой части адреса (длина маски). Например, адрес 128.138.243.0/26 обозначает первую из четырех сетей с общим компонентом адреса 128.138.243. В трех других сетях последний байт адреса идентифицируется значениями 64, 128 и 192. Сетевая маска, связанная с этими сетями, имеет вид 255.255.255.192, или 0xFFFFFFC0. В двоичном представлении это 26 единиц, за которыми следуют шесть нулей (рис. В).

IР-адреса

Рис. В. Структура маски подсети

В сети с длиной маски /26 для нумерации узлов отводится 6 битов (32 - 26 = 6). Таким образом, появляется возможность задать 64 адреса (26 = 64). В действительности можно использовать 62 адреса, поскольку адреса, состоящие из всех нулей и всех единиц, зарезервированы (соответственно для самой сети и широковещательного режима).

Манипулировать всеми этими битами в голове трудно, но есть ряд приемов, позволяющих упростить вычисления. Число узлов в сети и значение последнего байта сетевой маски в сумме всегда дают 256:

последний байт сетевой маски = 256 - размер сети

 

К примеру, в рассмотренном выше случае 256 — 64 = 192 — это последний байт маски. Другое правило гласит, что значение последнего байта фактического сетевого адреса (не сетевой маски) должно нацело делиться на число узлов в сети. В описываемом примере последние байты равны 0, 64, 128 и 192 — каждое из этих чисел делится нацело на 64.

Старшие два бита последнего байта адреса могут принимать значения 00, 01, 10 и 11. Таким образом, сеть 128.138.243.0/24 может быть разделена на четыре сети /26:

  • 128.138.243.0/26        (0 - 00000000);
  • 128.138.243.64/26      (64 - 01000000);
  • 128.138.243.128/26     (128 - 10000000);
  • 128.138.243.192/26     (192 - 11000000).

Выделенные полужирным шрифтом биты последнего байта каждого адреса относятся к сетевой части этого адреса.

Имея конкретный IP-адрес (допустим, 128.138.243.100), невозможно сказать, не узнав сетевую маску, каким будет адрес сети и широковещательный адрес. В табл. 13.4 представлены возможные варианты для масок /16 (выбирается по и умолчанию для адресов класса В), /24 и /26 (наиболее реалистичное значение, если учитывать нехватку адресов в сети; см. ниже)

Таблица 13.4. Пример расшифровки IP-адреса

IP-адрес

Сетевая маска

Сетевой адрес

Широковещательный адрес

128.138.243.100/16

255.255.0.0

128.138.0.0

128.138.255.255

128.138.243.100/24

255.255.255.0

128.138.243.0

128.138.243.255

128.138.243.100/26

255.255.255.192

128.138.243.64

128.138.243.127

Кит Оуэнз (Keith Owens) написал прекрасный Perl-сценарий ipcalc.pl. который помогает выполнять адресную арифметику. Он доступен по адресу ftp.ocs.com.au и требует наличия интерпретатора Perl 5. Сценарий отображает всю информацию, касающуюся заданного сетевого адреса. Мы даже обнаружили, что была написана версия этого сценария для системы Palm Pilot (www.ajw.com/ipcalc. htm).

Ниже приведен образец работы сценария (формат вывода для наглядности немного изменен):

% ipcalc.pl 128.138.243.100/26

IP address     128.138.243.100/26       128.138.243.100/26

Mask bits    11111111    11111111    11111111    11000000

Mask bytes     255.255.255.192          255.255.255.192

Address      10000000    10001010    11110011    01100100

Network        128.138.243.64           128.138.243.64

Broadcast      128.138.243.127          128.138.243.127

First Host     128.138.243.65           128.138.243.65

Last Host      128.138.243.126          128.138.243.126

Total Hosts    62

PTR              100.243.138.128.in-addr.arpa

IP Address (hex) 808AF364

В Red Hat существует программа, которая также называется ipcalc и выполняет аналогичные вычисления, но имеет несколько отличающийся синтаксис.

Исходный документ RFC, посвященный IP-подсетям (RFC950), не разрешал использовать первый и последний адреса подсети (состоящие из всех нулей и всех единиц соответственно). В нашем случае это привело бы к исключению половины подсетей: с адресами 0 и 192. В действительности все игнорировали это правило, кроме компаний Novell и Cisco. (Правда, в последних версиях операционной системы IOS компании Cisco — 12.0 и выше — подсеть 0 доступна по умолчанию.)

Разработчики данного документа ошиблись, хотя их намерения были благородными. Запрет подсети 0 был вызван опасением, что возникнет путаница из-за совпадения адреса подсети и сетевого адреса без маски. Этот страх оказался беспочвенным, поэтому адреса подсетей, состоящие из всех нулей и всех единиц, широко используются сегодня. На самом деле подобный запрет относится к машинной части адреса.

Сетевой (все нули) и широковещательный (все единицы) адреса сокращают число узлов в каждой локальной сети на 2, поэтому в самой маленькой сети формально будет 4 узла: два реальных, соединенных напрямую, и два фиктивных (сетевой и широковещательный адреса). Для того чтобы создать подобную сеть, необходимо выделить два бита под машинную часть адреса, т.е. суффикс адреса будет /30, а сетевая маска — 255.255.255.252, или 0xFFFFFFFC.

Сетевые маски понятны компьютерам в локальной сети, но внешний мир о них не знает и продолжает интерпретировать адреса в соответствии с заложенными в них классами. В нашем случае (адрес 128.138.243.100) не нужно сообщать миру о каждой подсети, достаточно сообщить об одной сети класса В. Когда пакет прибудет в пункт назначения, после которого происходит разделение на подсети, к адресу нужно применить сетевую маску, обнаружить реального получателя и направить ему пакет.

 

Кризис IP-адресов

 

Примерно в 1992 г. сообщество Internet наконец-то осознало три фундаментальные проблемы, возникающие вследствие применения исходной схемы выделения адресов. Во-первых, при существующих темпах развития адресное пространство класса В — наиболее желанное для организаций умеренного размера — окажется исчерпанным к середине 1995 г. Во-вторых, таблицы маршрутизации серверов, управляющих Internet-магистралями, стали настолько большими, что появились опасения относительно нехватки памяти на маршрутизаторах. И в-третьих, IP-адреса выделялись по принципу "первым попросил — первым получил" без учета информации о местоположении адресата. Таким образом, соседние адреса могли находиться как в одной организации, так и на разных континентах. Представьте, какая путаница могла бы возникнуть, если бы так же бессистемно назначались почтовые индексы!

Для решения проблемы было одновременно предложено два подхода: один на ближайшее будущее, а другой — более долгосрочный. Первое из решений — протокол CIDR (Classless Inter-Domain Routing — бесклассовая междоменная маршрутизация) — предусматривало изменение принципов управления существующими четырехбайтовыми адресами и упрощение таблиц маршрутизации за счет введения понятия смежности.

Долговременное решение — это стандарт IPv6. Он представляет собой следующее поколение протокола IP, в котором длина адреса увеличена до 16-ти байтов и учтен ряд других ошибок, выявленных на протяжении 25 лет эксплуатации протокола IP. Некоторые элементы протокола вообще исключены из нового стандарта, так как опыт показал, что они не имеют практической ценности. В результате протокол стал потенциально быстрее и проще в реализации. В нем интегрированы средства аутентификации и обеспечения безопасности, а также устранена процедура фрагментации на промежуточных маршрутизаторах. Благодаря 16-байтовым адресам появилась возможность использовать 2128 адресов, что составляет примерно 665570793348866943898599 адресов на один квадратный метр поверхности Земли. Размерность 16 была выбрана потому, что проведенные вычисления показали: существует небольшая вероятность того, что 8-ми байтов адреса окажется недостаточно.

В 2000 г. протокол IPv6 все еще проходил процесс стандартизации. А вот протокол CIDR был полностью внедрен в эксплуатацию; он поддерживается серверами Internet-магистралей и ведущими производителями маршрутизирующего оборудования. Существенную роль в уменьшении требуемого числа IP-адресов сыграла также система NAT, обеспечивающая повторное использование существующих адресов (описывается далее в главе).

Сложность стандарта IPv6, эффективность протокола CIDR и системы NAT, а также инертность существующей сети Internet заставляет предполагать, что потребуется много времени, прежде чем произойдет переход на IPv6. Он может быть ускорен такими странами, как Япония и Китай, которые не получают необходимую долю адресного пространства, или какой-нибудь новой суперпопулярной системой, ориентированной на стандарт IPv6. Кандидатами на эту роль могут быть WAP-терминалы или беспроводные устройства, встраивающие номер телефона в адрес IPv6. Системы передач; голосовых данных по IP-сетям также выиграют от более близкого соответствие между телефонными номерами и адресами IPv6.

 

CIDR: протокол бесклассовой междоменной маршрутизации

 

Протокол CIDR, описанный в документе RFC1519, устраняет потребность в системе классов, на основании которой раньше определялась сетевая часть IP-адреса. Он является прямым расширением идеи подсетей, поскольку также позволяет задавать сетевую маску, определяющую границу между сетевой и машинной частями адреса. Но в целях маршрутизации допускается, чтобы сетевая часть была меньше, чем того требует класс адреса. Благодаря укороченной маске возникает эффект объединения нескольких сетей. По этой причине протокол CIDR иногда называют протоколом формирования надсетей

При использовании протокола CIDR можно одной организации выделить несколько сетей класса С, причем не нужно для каждой из них создавать отдельную запись в таблице маршрутизации. Предположим, например, что организации предоставлен блок из 32-х адресов класса С, пронумерованных последовательно от 192.144.0.0 до 192.144.31.0 (в нотации CIDR — 192.144.0.0/21). Внутри самой организации адреса могут распределяться так:

  • 1 сеть с длиной маски 21 — 2046 узлов, сетевая маска 255.255.224.0;
  • 32 сети с длиной маски 24 — 254 узла в каждой, сетевая маска 255.255.255.0;
  • 64 сети с длиной маски 25 — 126 узлов в каждой, сетевая маска 255.255.255.128;
  • 128 сетей с длиной маски 26 — 62 узла в каждой, сетевая маска 255.255.255.192;
  • и т.д.

Возможно смешение подсетей с разной длиной сетевой части адреса, если только они не перекрывают друг друга. Например, провайдер Internet, которому выделена адресная область 193.143.0.0/21, может создать группу сетей /30 для РРР-клиентов, несколько сетей /24 для крупных клиентов и ряд сетей /27 для более мелких компаний. Все узлы в сети должны конфигурироваться с помощью одной сетевой маски. Нельзя для одного узла задать длину маски 24, а для другого — 25.

Ценность протокола CIDR заключается в том, что для перечисленных адресов не обязательно иметь 256, 128 или даже 32 записи в таблице маршрутизации. Ведь все они ссылаются на компьютеры в одной и той же организации, поэтому пакеты предварительно нужно доставлять в некий общий приемный пункт. А в таблицу маршрутизации достаточно внести запись 199.144.0.0/21.

С появлением протокола CIDR системным администраторам пришлось поднатореть в двоичной и шестнадцатеричной арифметике. Правда, многие открыли для себя UNIX-утилиту be, которая выполняет преобразования в любой системе счислений при помощи директив ibase и obase. В табл. 13.5 представлена шпаргалка по нашему примеру.

Таблица 13.5. Конфигурация сети в зависимости от длины сетевой маски

Сетевая часть1

Машинная часть

Узлов/сетей2

Сетевая маска (десятичная)

Сетевая маска (шестнадцатеричная)

/20

12

4094

255.255.240.0

0xFFFFF000

/21

11

2046

255.255.248.0

0xFFFFF800

/22

10

1022

255.255.252.0

0xFFFFFC00

/23

9

510

255.255.254.0

0xFFFFFE00

/24

8

254

255.255.255.0

0xFFFFFF00

/26

7

126

255.255.255.128

0xFFFFFF80

/26

6

62

255.255.255.192

0xFFFFFFC0

/27

5

30

255.255.255.224

0xFFFFFFE0

/28

4

14

255.255.255.240

0xFFFFFFF0

/29

3

6

255.255.255.248

0xFFFFFFF8

/30

2

2

255.255.255.252

0xFFFFFFFC

1  Размеры сетевой и машинной частей адреса в сумме всегда дают 32.

2  Число узлов определяется по формуле 2^(длина машинной части)-2. Адреса узлов, состоящие из всех нулей и всех единиц, являются зарезервированными.

Когда протокол CIDR появился в 1993 г., таблицы маршрутизации магистральных серверов содержали примерно 20000 записей. Несмотря на последующий экспоненциальный рост сети Internet, размер таблиц увеличился всего до 80000 записей к лету 2000 г. Столь умеренный рост связан с активной агрегацией старых и новых адресных областей.

Имеется одна неагрегированная область адресного пространства, называемая "болотом" 192 (есть также ряд более мелких "болот" в диапазонах 199 и 205). Она состоит из ранних адресов класса С, владельцы которых не могут выполнить их агрегацию, но и не хотят поменять их на другие адреса. Особенно остро данная проблема стоит в США. Европа и Азия, начавшие подключаться к Internet позже, учли ошибки США и более разумно подошли к вопросу выделения адресов. Организации, владеющие адресами в диапазоне 192, должны вернуть их в Американскую канцелярию номеров Internet (American Registry for Internet Numbers, ARIN) и получить новые блоки адресов от своих провайдеров. К сожалению, стоимость перерегистрации (по крайней мере, в адресном пространстве IPv4) отпугивает большинство организаций от подобного шага.

Хотя протокол CIDR предусматривался как промежуточное решение, оказалось, что он отлично справляется с проблемой роста сети Internet. По крайней мере, в ближайшем будущем причин для беспокойства не предвидится. По сути, протокол CIDR зарекомендовал себя настолько хорошо, что теперь не ясно, нужен ли вообще новый протокол IP. Конечно, в разработку и прототипную реализацию спецификации IPv6 был вложен огромны инженерный труд и будет стыдно, если он окажется напрасным, но широкомасштабное внедрение стандарта IPv6, очевидно, напрямую зависит от появления какого-нибудь суперпопулярного приложения, ориентированного исключительно на IPv6, или от решения компании Microsoft отправить протокол IPv4 "на пенсию".

 

Выделение адресов

 

В самом начале эпохи Internet отдельные организации обращались в информационный центр сети Internet (Internet Network Information Center InterNIC) за получением адресов. В настоящее время в Америке эту функцию выполняет ARIN. Только провайдеры Internet, выделяющие достаточное число адресов в год, имеют право направлять запрос в ARIN напрямую. Все остальные организации должны обращаться к своим локальным провайдерам

Формально назначаются лишь сетевые адреса. Организации должна самостоятельно определять номера компьютеров и закреплять за ними IP-адреса.

В административном порядке организация ICANN делегировала полномочия по распределению адресов трем региональным канцеляриям, которые предоставляют блоки адресов провайдерам Internet в рамках своих регионов (табл. 13.6). Провайдеры, в свою очередь, выделяют адреса отдельным клиентам. Только крупные провайдеры могут напрямую контактировать со своими региональными канцеляриями.

Таблица 13.6. Региональные канцелярии, отвечающие за распределение Internet-адресов

Название

Web-адрес

Охватываемый регион

ARIN

www.arin.net

Северная и Южная Америка, Африка южнее Сахары

APNIC

www.apnic.net

Азия и Океания

RIPE

www.ripe.net

Европа и прилегающие области

 

Делегирование полномочий от ICANN к ARIN, RIPE и APNIC, а затем к национальным или региональным провайдерам Internet обеспечивает должную агрегацию адресов в таблицах маршрутизации магистральных сетей Клиенты, получившие адреса из адресного блока своего провайдера, не имеют маршрутных записей в магистральных серверах. Достаточно одной записи, ссылающейся на самого провайдера.

Изначально адресное пространство распределялось не самым честным образом. Правительство США зарезервировало примерно половину адресов для себя, предоставив Европе и Азии сравнительно небольшие блоки. Однако в Европе и Азии гораздо рациональнее управляли адресным пространством, чем в Америке. Это очень хорошо видно на текущей карте распределения адресов. Она доступна по адресу

http://www.caida.org/analysis/topology/as_core_network

На этой карте демонстрируется все адресное пространство в целом, выделенные области, маршрутизируемые (т.е. доступные) области, а также адреса, трафик для которых постоянно замеряется в нескольких основных точках США.

 

Частные адреса и система NAT

 

Другое временное решение проблемы исчерпания адресного пространства заключается в использовании частных областей IP-адресов (RFC1918). В эпоху протокола CIDR организации получали свои IP-адреса у провайдеров Internet. Если организация хотела сменить провайдера, она должна была оплатить услуги по переадресации своих сетей. Дело в том, что провайдер предоставлял адресное пространство только своим клиентам. При смене провайдера можно было попытаться убедить старого провайдера оставить зарезервированные за организацией адреса и попросить нового провайдера настроить на них систему маршрутизации. Но обычно провайдеры не хотели заниматься подобными вещами и требовали от клиентов перерегистрации.

В противоположность этому частные адреса не известны провайдеру. Документ RFC 1918 определил, что одна сеть класса А, 16 сетей класса В и 256 сетей класса С резервируются для частного использования и никогда не выделяются глобально. Это делается для того, чтобы пакеты, несущие в себе частные адреса, никогда не выходили в глобальную сеть. Их должен фильтровать маршрутизатор. В табл. 13.7 указаны диапазоны частных адресов (в последней колонке каждый диапазон представлен в более короткой нотации протокола CIDR). Из перечисленных диапазонов организации могут выбирать для себя сети нужного размера.

Таблица 13.7. IP-адреса, зарезервированные для частного использования

Класс

Начало

Конец

Диапазон CIDR

А

10.0.0.0

10.255.255.255

10.0.0.0/8

В

172.16.0.0

172.31.255.255

172.16.0.0/12

С

192.168.0.0

192.168.255.255

192.168.0.0/16

 

Чтобы узлы, использующие частные адреса, могли получать доступ в Internet, на пограничном маршрутизаторе организации выполняется система NAT (Network Address Translation — трансляция сетевых адресов). Эта система перехватывает пакеты и заменяет в них адрес отправителя реальным внешним IP-адресом. Может также происходить замена номера порта. Система хранит таблицу преобразований между внутренними и внешними адресами/портами, чтобы ответные пакеты могли поступить правильному адресату.

Благодаря использованию номеров портов появляется возможность подключить несколько исходящих соединений к общему IP-адресу. Таким образом, группа внутренних узлов может совместно использовать одинаковый внешний IP-адрес. Иногда в организации достаточно иметь один-единственный "настоящий" внешний адрес.

Организация, использующая систему NAT, по-прежнему должна запрашивать диапазон адресов у провайдера, но большинство адресов теперь используется для внутрисистемных привязок и не назначается отдельным компьютерам. Если организация захочет сменить провайдера, потребуется лишь изменить конфигурацию пограничного маршрутизатора и системы NAT, но не на самих компьютерах.

Система NAT реализована в маршрутизаторах нескольких фирм-производителей, включая Cisco. Можно также заставить саму UNIX-систему выполнять функции NAT, хотя мы и не рекомендуем делать этого. Подобной способностью обладают операционные системы Red Hat и FreeBSD. Подробнее этот процесс описан в параграфах 13.14 и 13.15. По определенным причинам система NAT в Linux называется "IР-маскирование".

Неправильная конфигурация системы NAT может привести к тому, что пакеты с частными адресами начнут проникать в Internet. Они достигнут узла назначения, но ответные пакеты не смогут прийти обратно. Организация CAIDA (Cooperative Association for Internet Data Analysis — совместная ассоциация по анализу данных в сети Internet), занимающаяся замером трафика магистральных сетей, сообщает о том, что 0,1-0,2% пакетов, проходящих через магистраль, имеют либо частные адреса, либо неправильные контрольные суммы. На первый взгляд, это кажется очень незначительным показателем, но на самом деле он приводит к тому, что через узел MAE-West (одна из основных точек обмена, через которую идет трафик различных провайдеров Internet) каждые 10 минут проходит 20000 пакетов. Дополнительную информацию по статистике сети Internet и средствам измерения производительности глобальной сети можно получить на Web-узле www.caida.org.

Одним из недостатков системы NAT (а возможно, и ее преимуществом) является то, что произвольный узел в сети Internet не может напрямую подключиться к внутреннему компьютеру вашей организации. В некоторых реализациях (например, в брандмауэрах Cisco PIX) разрешается создавать туннели, которые поддерживают прямые соединения с выбранными узлами.

Другая проблема заключается в том, что некоторые приложения встраивают IP-адреса в информационную часть пакетов. Такие приложения (к ним относятся определенные протоколы маршрутизации, программы потоковой доставки данных RealVideo и SHOUTcast, FTP-команды PORT и PASV. сообщения ICQ и многие игры) не могут нормально работать совместно с NAT.

Система NAT скрывает внутреннюю структуру сети. Это может показаться достоинством с точки зрения безопасности, но специалисты в данной области говорят, что на самом деле система NAT не обеспечивает должную безопасность и уж во всяком случае не устраняет потребность в брандмауэре. Кроме того, она препятствует попыткам оценить размеры и топологию сети Internet.

 

Адресация в стандарте IPv6

 

В IPv6 адрес имеет длину 128 битов. Изначально столь длинные адреса вводились для того, чтобы решить проблему сокращения адресного пространства IPv4. Сегодня они также служат целям маршрутизации и локализации ссылок.

IP-адреса никогда не были географически упорядочены подобно тому, как это имеет место в случае телефонных номеров или почтовых индексов.

Теперь, с внедрением в стандарт IPv6 понятия сегментации адресного пространства, IP-адреса стали, по крайней мере, группироваться в кластеры вокруг провайдеров Internet. Граница между сетевой и машинной частями адреса в IPv6 зафиксирована на отметке 64 бита. В сетевой части адреса граница между блоками общей и локальной топологии также зафиксирована и проходит на отметке 48 битов (табл. 13.8).

Таблица 13.8. Компоненты адреса IPv6

IР-адреса

Биты

Акроним

Интерпретация

1-3

FP

Format Prefix — префикс формата; определяет тип адреса, например однонаправленный или групповой

4-16

TLA ID

Тор-Level Aggregation ID — идентификатор агрегации верхнего уровня, например провайдера магистральной сети

17-24

RES

Reserved — зарезервировано на будущее

25-48

NLA ID

Next-Level Aggregation ID — идентификатор агрегации следующего уровня, например регионального провайдера Internet или организации

49-64

SLA ID

Side-Level Aggregation ID — идентификатор агрегации уровня организации, например локальной подсети

65-128

INTERF ACE ID

Идентификатор интерфейса (МАС-адрес плюс биты-заполнители)

 

Из перечисленных элементов только идентификаторы SLA и INTERFACE "принадлежат" узлу и организации, в которой он находится. Другие идентификаторы предоставляются провайдером. Идентификатор SLA определяет локальную подсеть, а 64-разрядный идентификатор интерфейса определяет сетевую плату компьютера. В последнем, как правило, содержится 48-разрядный МАС-адрес, внутрь которого вставлены два байта-заполнителя (0xFFFE). Специальный бит МАС-адреса (седьмой слева в старшем байте), называемый битом "u", определяет то, каким является этот адрес: универсальным или локальным (RFC2373). Его наличие позволяет автоматически нумеровать узлы, что очень удобно для администраторов, которым остается управлять только подсетями.

В IPv6 МАС-адреса видны на уровне IP, что имеет как положительные, так и отрицательные стороны. Тип и модель сетевой платы кодируются в первой половине МАС-адреса, что облегчает задачу хакерам. Это вызвало беспокойство со стороны специалистов в области безопасности. Однако разработчики стандарта IPv6 указали на то, что использование МАС-адресов не является обязательным. Были предложены схемы включения случайного идентификатора в локальную часть адреса.

С другой стороны, назначить адреса IPv6 проще, чем адреса IPv4, так как нужно отслеживать только адрес подсети. Узлы могут самостоятельно конфигурировать себя (по крайней мере, теоретически).

Префикс формата определяет тип адреса: однонаправленный, групповой или широковещательный. Для однонаправленных адресов префикс равен 001 (в двоичной системе). Идентификаторы TLA и NLA определяют соответственно магистральный сервер верхнего уровня и локального провайдера Internet.

Большинство поставщиков разрабатывает или уже внедрило в эксплуатацию собственный стек протоколов IPv6. В табл. 13.9 указана степень готовности стеков IPv6 различных производителей операционных систем и маршрутизаторов. (Переключатели не заботятся об адресах IPv6, так как не принимают участия в маршрутизации и не заглядывают внутрь IР-заголовка).

Таблица 13.9. Готовность стеков IPv6 различных поставщиков

Система

Поддержка IPv6

Комментарии

Solaris

да

Solaris 8 и выше

HP-UX

да

Пакеты инструментальных средств разработки поставляются с HP-UX 11.00

Red Hat

да

Поддержка IPv6 интегрирована в ядре Linux версий 2.2 и выше

FreeBSD

да

FreeBSD 4.0 и выше1

Windows 2K

частично

Доступна исследовательская версия (включая исходные тексты)

Cisco

да

Реализован в алгоритме медленного обнаружен, маршрута2

Juniper

нет

Bay

да

Поставляется с 1997 г.

1  Во FreeBSD 3.4 не было поддержки IPv6, но в этой системе могут выполнять, стеки сторонних поставщиков, таких как INRIA и КАМЕ.

2  Возможно, по требованию клиентов будет реализован в алгоритме быстроте обнаружения маршрута.

 

Подробную информацию о реализации стека IPv6 можно получить по адресу

http://playground.sun.com/pub/ipng/html/ipng-main.html

 

Адресные канцелярии недавно начали выделять адреса в пространстве IPv6. Пока что ARIN предоставляет адреса только крупным провайдерам которые в ближайшие 12 месяцев планируют развернуть сеть IPv6. Эти провайдеры могут затем предоставлять адреса своим клиентам.

Вот несколько полезных источников информации, касающейся IPv6:

  • www.6bone.net — испытательный полигон для сетей IPv6;
  • www.6ren.net — всемирная научно-исследовательская и общеобразовательная сеть IPv6;
  • www.ipv6.org — список FAQ-документов и различная техническая информация;
  • www.ipv6forum.com — форум приверженцев IPv6.

Основное преимущество стандарта IPv6 заключается в том, что он решает проблему смены адресов. В пространстве IPv4 провайдеры выделяют адресные блоки своим клиентам, но эти адреса не являются переносимыми: когда клиент меняет провайдера, он должен вернуть старые адреса и запросить новые. В IPv6 новый провайдер просто предоставляет клиенту собственный адресный префикс, который добавляется к локальной части существующего адреса. Обычно это выполняется на одной машине: пограничном маршрутизаторе организации Подобная схема напоминает систему NAT, но лишена ее недостатков.



 (голосов: 2)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page