No Image

Модели коммутаторов третьего уровня

СОДЕРЖАНИЕ
103 просмотров
11 марта 2020

Функции и технические характеристики маршрутизаторов

Маршрутизаторы

В разделе 7.3.2. были рассмотрены основные функции маршрутизаторов, которые состоят в составлении таблицы маршрутизации и организации передачи данных на основе этой таблицы через сложную составную сеть, состоящую из подсетей, построенных по разным локальным и глобальным технологиям.

Основными характеристиками маршрутизаторов являются: общая производительность в пакетах в секунду, набор поддерживаемых сетевых протоколов и протоколов маршрутизации, набор поддерживаемых сетевых интерфейсов глобальных и локальных сетей.

К числу дополнительных функций маршрутизаторов относятся одновременная поддержка сразу нескольких сетевых протоколов и нескольких протоколов маршрутизации, возможность приоритетной обработки трафика, разделение функций построения таблиц маршрутизации и продвижения пакетов между маршрутизаторами разного класса на основании готовых таблиц маршрутизации. Это примеры тех функции, которые расширяют возможности основных функций, связанных с маршрутизацией трафика. Однако, современные аппаратные IP- маршрутизаторы снабжаются целым рядом дополнительных функций, которые превращают его в многофункциональное устройство по обработке трафика. Это автоматическая настройка стека TCP/IP на компьютерах сети по протоколу DHCP, средства защиты сети от внешних атак – межсетевые экраны и анализаторы вторжений, технологии трансляции сетевых адресов NAT, поддержка защищенных внешних соединений VPN, организация группового вещания по протоколу IGMP и многое другое.

С технической точки зрения типичный аппаратный маршрутизатор представляет собой сложный специализированный компьютер, работающий под управлением специализированной операционной системы, оптимизированной для выполнения операций построения таблиц маршрутизации и перемещения пакетов на основе этих таблиц. Многие такие системы в свое время разрабатывались на основе UNIX.

Маршрутизатор часто строится по многопроцессорной схеме, причем используется симметричная многопроцессорность. Наиболее рутинные операции обработки пакетов выполняются программно и аппаратно специализированными процессорами или чисто аппаратно большими интегральными схемами (БИС/АSIC). Более высокоуровневые действия выполняют программно универсальные процессоры.

По конструктивному исполнению наиболее часто встречаются маршрутизаторы с фиксированным количеством портов и модульные.

По областям применения маршрутизаторы делятся на: магистральные маршрутизаторы, маршрутизаторы региональных подразделений, маршрутизаторы удаленных офисов и маршрутизаторы локальных сетей – коммутаторы третьего уровня.

Магистральные маршрутизаторы – это наиболее мощные устройства, способные обрабатывать сотни тысяч или миллионы пакетов в секунду, оснащенные большим количеством интерфейсов локальных и глобальных сетей. Чаще всего магистральный маршрутизатор конструктивно выполняется по модульной схеме на основе шасси с большим количеством слотов – до 12-14. Большое внимание в магистральных маршрутизаторах уделяется надежности и отказоустойчивости маршрутизатора, которая достигается за счет системы терморегуляции, избыточных источников питания, модулей «горячей замены» (hot-swap) и симметричной многопроцессорности.

Маршрутизаторы региональных отделений – это обычно несколько упрощенные версии магистральных маршрутизаторов. Количество слотов в его шасси – обычно до 4-5. Возможны и решения с фиксированным количеством портов. Поддерживаемые интерфейсы локальных и глобальных сетей – менее скоростные.

Маршрутизаторы удаленных офисов соединяют, как правило, единственную локальную сеть удаленного офиса с центральной сетью или региональным отделением по глобальной связи, поэтому имеют небольшое фиксированное количество портов.. Маршрутизатор удаленного офиса в качестве резервной связи для выделенного канала может поддерживать работу по коммутируемой телефонной линии. Существует очень много типов маршрутизаторов удаленных офисов. Их производительность обычно составляет от 5 до 20-30 тысяч пакетов в секунду.

Маршрутизаторы локальных сетей (коммутаторы третьего уровня) предназначены для разделения крупных локальных сетей на подсети. Основное требование, предъявляемое к ним – высокая скорость маршрутизации, так как в такой сети все порты – скоростные, не менее 10 Мб/с.

Объем внешнего трафика в ЛВС постоянно растет. В недалеком прошлом наметился разрыв между производительностью типичного коммутатора в ЛВС и маршрутизатора, объединяющего подсети ЛВС.

Решение данной проблемы шло по двум направлениям:

1. отказ от маршрутизации там, где это возможно;

2. увеличение производительности маршрутизаторов.

Коммутаторы третьего уровня – это устройства, совмещающие функции коммутаторов и маршрутизаторов. Функции коммутации и маршрутизации могут совмещаться двумя способами:

2. классический способ – маршрутизация выполняется по каждому пакету, требующему передачи из сети в сеть, а коммутация – для пакетов, принадлежащих одной сети.

3. нестандартный способ – маршрутизируются первые несколько пакетов устойчивого потока, а все остальные пакеты этого потока коммутируются на основе MAC-адресов.

В первом способе, если кадр имеет MAC-адрес назначения, отличный от MAC-адреса порта маршрутизатора, то кадр коммутируется, а если кадр направлен непосредственно порту маршрутизатора, то маршрутизируется. Характерная особенность устройств данного типа – использование специализированных заказных БИС, многопроцессорность, распараллеливание с помощью специальных процессоров портов, как у коммутаторов. Максимальная скорость достигается, когда вместо универсальных или специализированных процессоров используются специализированные БИС, то есть используется не программная, а аппаратная реализация алгоритмов. Так как реализация жесткая, то в аппаратную часть переносятся несколько базовых сетевых протоколов (IP, IPX).

Во втором способе выявление долговременных потоков выполняется на основании совпадения адресов отправителей и получателей, поля качества обслуживания у определенного количества кадров в их IP-пакетах.Когда поток выявлен, первый коммутатор на пути следования потока выполняет нестандартную обработку пакета – он помещает в кадр канального протокола, например, Ethernet, не MAC-адрес порта следующего маршрутизатора, а MAC-адрес узла назначения. Как только эта замена произведена, кадр с таким MAC-адресом перестает поступать на блоки маршрутизации второго и последующих коммутаторов/маршрутизаторов, а проходит через блоки коммутации этих устройств. Процесс передачи пакетов действительно ускоряется, так как они не проходят многократно повторяющиеся этапы маршрутизации. В то же время маршрутизируются первые пакеты, поэтому сохраняется фильтрация широковещательного шторма, защита от несанкционированного доступа и другие преимущества сети, разделенной на подсети.

Основной проблемой данного подхода является то, на основании какой информации первый маршрутизатор узнает MAC-адрес узла назначения. Этот узел обычно находится за пределами непосредственно подключенных к первому маршрутизатору сетей, и протокол ARP здесь бессилен. Именно здесь начинаются различия между большинством фирменных технологий ускоренной маршрутизации. Многие компании разработали собственные протоколы определения таких адресов и передачи их между маршрутизаторами. Эти протоколы используют как распределенный подход, когда все маршрутизаторы в равной степени задействованы в определении MAC-адреса, так и централизованный, когда в сети существует выделенный маршрутизатор, который занимается такими задачами по запросам от других.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Как то на паре, один преподаватель сказал, когда лекция заканчивалась – это был конец пары: "Что-то тут концом пахнет". 8516 – | 8100 – или читать все.

Как настроить коммутаторы cisco 3 уровня, на примере cisco 3560

Как настроить коммутаторы cisco 3 уровня, на примере cisco 3560

настроить cisco 3560

Всем привет, сегодня хочу рассмотреть вопрос, о том как настроить коммутаторы cisco 3 уровня модели OSI, на примере cisco 3560. Напомню, что коммутаторы cisco 3 уровня не используются для выхода в интернет в качестве шлюза, а только маршрутизируют трафик между vlan в локальной сети. Для выхода в интернет cisco как и все вендоры предоставляет маршрутизатор? ниже представлена самая распространенная схема подключения.

Читайте также:  Ulefone power 5 antutu

Оборудование и схема сети

Предположим, что у меня коммутатор 3 уровня cisco 3560 24 порта, он выглядит как то вот так.

Он будет маршрутизировать трафик между vlan в моей локальной сети, и к нему допустим будут подключены 3 коммутатора 2 уровня модели OSI, уровня доступа, коммутаторы cisco 2960, а сам cisco 3560 будет выступать в качестве коммутатора уровня распределения. Напомню, что на втором уровне коммутируется трафик на основе mac адресов. Уровень доступа это куда подключаются конечные устройства, в нашем случае компьютеры, сервера или принтеры.. Ниже схема.

Что такое коммутатор второго уровня

Коммутатор второго уровня это железка работающая на втором уровне сетевой модели OSI

  • Коммутирует трафик на основе мак адресов
  • Используется в качестве уровня доступа
  • Служит для первичного сегментирования локальных сетей
  • Самая маленькая стоимость за порт/пользователь

В технической документации коммутатор второго уровня обозначает в виде вот такого значка

Что такое коммутатор третьего уровня

Коммутатор третьего уровня это железка работающая на третьем уровне модели OSI умеющая:

  • IP маршрутизация
  • Агрегирование коммутаторов уровня доступа
  • Использование в качестве коммутаторов уровня распределения
  • Высокая производительность

В технической документации коммутатор третьего уровня обозначает в виде вот такого значка

Помогать мне будет в создании тестового стенда программа симулятор сети, Cisco packet tracer 6.2. Скачать Cisco packet tracer 6.2, можно тут. Вот более детальная схема моего тестового полигона. В качестве ядра у меня cisco catalyst 3560, на нем два vlan: 2 и 3, со статическими ip адресами VLAN2 192.168.1.251 и VLAN3 192.168.2.251. Ниже два коммутатора уровня доступа, используются для организации VLAN и как аплинки. В локальной сети есть 4 компьютера, по два в каждом vlan. Нужно чтобы компьютер PC3 из vlan2 мог пинговать компьютер PC5 из vlan3.

С целью мы определились можно приступать. Напоминать, про то что такое vlan я не буду можете почитать тут.

Настройка cisco коммутатора 2 уровня

Настройка коммутатора второго уровня очень простая. Начнем настройку cisco catalyst 2960, как вы видите у меня компьютеры PC03 и PC04 подключены к Switch0, портам fa0/1 и fa0/2. По плану наш Switch0 должен иметь два vlan. Приступим к их созданию. Переходим в привилегированный режим и вводим команду

теперь в режим конфигурации

Создаем VLAN2 и VLAN3. Для этого пишем команду

задаем имя пусть так и будет VLAN2

Выходим из него

Аналогичным образом создаем VLAN3.

Теперь добавим интерфейс fa0/1 в vlan 2, а интерфейс fa0/2 в vlan 3. Пишем команду.

Говорим что порт будет работать в режиме доступа

switchport mode access

закидываем его в VLAN2

switchport access vlan 2

Теперь добавим fa0/2 в vlan 3.

switchport mode access

switchport access vlan 3

Теперь сохраним это все в памяти коммутатора командой

Настроим теперь trunk порт. В качестве trunk порта у меня будет гигабитный порт gig 0/1. Вводим команду для настройки порта gig 0/1.

Сделаем его режим trunk

И разрешим через транк нужные вланы

Сохраняем настройки. Все настройка коммутатора второго уровня почти закончена.

Теперь таким же методом настраивает коммутатор Switch1 и компьютеры PC5 в VLAN2 и PC6 в VLAN3. Все на втором уровне модели OSI мы закончили, переходим к 3 уровню.

Настройка cisco 3560

Настройка cisco 3560, будет производится следующим образом. так как наше ядро должно маршрутизировать внутренний локальный трафик, то мы должны создать такие же vlan, задать им ip адреса, так как они будут выступать в роли шлюзов по умолчанию, а так же trunk порты.

Начнем с транк портов, у нас это gig 0/1 и gig 0/2.

заходим в настройку интерфейса gig 0/1 и gig 0/2

int range gig 0/1-2

Попытаемся включить режим транка

switchport mode trunk

но в итоге вы получите вот такую подсказку: Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode. Смысл ее в том, что вам сначала предлагают включить инкапсуляцию пакетов. Давайте настроим инкапсуляцию на cisco 3560.

Теперь укажем режим и разрешенные vlan

switchport mode trunk

switchport trunk allowed vlan 2,3

Сохраним настройки Cisco

Далее создадим vlan и назначим им ip адреса, которые будут выступать в роли шлюзов.

Назначим ip адреса для каждого из них, напомню для vlan 2 это 192.168.1.251/24, а для vlan 3 192.168.2.251/24

ip address 192.168.1.251 255.255.255.0

ip address 192.168.2.251 255.255.255.0

Теперь включим маршрутизацию между vlan, делается это командой

Проверка доступности

Открываем командную строку на PC3 и пробуем пропинговать его самого, шлюз и PC5. Вводим по очереди

Видим, что все отлично пингуется, значит связь есть.

Проверим теперь с PC3 соседа из VLAN3 PC6

Как видим, первый запрос потерялся, это происходит по тому, что перестроилась arp таблица, а дальше видим пакеты доходят до адресата.

Как видите настройка коммутатора второго уровня и третьего закончена. Задача выполнена. Вот как можно использовать коммутаторы cisco 3 уровня, и создать отличное ядро локальной сети. Если у вас есть вопросы и пожелания пишите в комментариях.

В последние время наметилась тенденция сглаживания различий между коммутаторами и маршрутизаторами. Производители коммутаторов наделяют некоторые свои модели функциями маршрутизации, что позволяет использовать скорость коммутаторов и преимущества маршрутизаторов. Такие коммутаторы получили название коммутаторов третьего уровня. Функции коммутации и маршрутизации могут быть совмещены двумя способами:

1) Классическим, когда маршрутизация выполняется по каждому пакету, требующему передачи из сети в сеть, а коммутация выполняется для пакетов, принадлежащих одной сети.

2) Методом маршрутизации потока, когда маршрутизируется несколько первых пакетов устойчивого потока, а все остальные пакеты этого потока коммутируются.

15.5. Коммутаторы 3-го уровня с классической маршрутизацией.

Обычный коммутатор "прозрачен" для компьютеров сети, не имеет собственных MAC-адресов портов и захватывает все кадры, приходящие на порт, независимо от их адреса назначения, для последующей коммутации. Классический коммутатор 3-го уровня, подобно обычному коммутатору, захватывает все кадры своими портами независимо от их МАС-адресов, однако порты коммутатора 3-го уровня имеют и собственные MAC-адреса. Если захваченный кадр направлен на MAC-адрес какого-либо компьютера в сети, то пакет коммутируется. Если захваченный кадр направлен на MAC-адрес порта коммутатора, то пакет маршрутизируется. Коммутатор 3-го уровня может поддерживать динамические протоколы маршрутизации, такие как RIP или OSPF, а может полагаться на статическое задание маршрутов или на получение таблицы маршрутизации от другого маршрутизатора. Такие комбинированные устройства появились сразу после разработки коммутаторов, поддерживающих виртуальные локальные сети (VLAN). Для связи VLAN требовался маршрутизатор. Размещение маршрутизатора в одном корпусе с коммутатором позволяло получить некоторый выигрыш в производительности. Примерами таких коммутаторов могут служить хорошо известные коммутаторы LANplex (теперь CoreBuilder) 6000 и 2500 компании 3Com.

Читайте также:  Эмуляция вызова в телефоне нокиа

15.6. Коммутаторы 3-го уровня с маршрутизацией потоков.

Еще один тип коммутаторов 3-го уровня — это коммутаторы, которые ускоряют процесс маршрутизации за счет выявления устойчивых потоков в сети и обработки по схеме маршрутизации только нескольких первых пакетов потока. Последующие пакеты обрабатываются по схеме коммутации. Многие фирмы разработали подобные схемы, однако до сих пор они являются нестандартными, хотя работа над стандартизацией этого подхода идет в рамках одной из рабочих групп IETF.

Поток – это последовательность пакетов, имеющих некоторые общие свойства. По меньшей мере у них должны совпадать адрес отправителя и адрес получателя, и тогда их можно отправлять по одному и тому же маршруту. Желательно, чтобы пакеты потока имели одно и то же требование к качеству обслуживания (QoS, Quality of Service), т.е. одинаковые требования к скорости передачи данных, задержках в передаче пакетов, доле потерь пакетов и т.п. Приведем пример использования потоков для ускорения маршрутизации.

Маршрутизация потока пакетов

Если бы все коммутаторы 3-го уровня, изображенные на рис. , работали по классической схеме, то каждый пакет, отправляемый из рабочей станции, принадлежащей одной IP-сети, серверу, принадлежащему другой IP-сети, проходил бы через блоки маршрутизации всех трех коммутаторов. В схеме ускоренной маршрутизации такую обработку проходит только несколько первых пакетов долговременного потока, то есть классическая схема работает до тех пор, пока долговременный поток не будет выявлен. После этого первый коммутатор на пути следования потока выполняет нестандартную обработку пакета — он помещает в кадр канального протокола (например Ethernet) не МАС-адрес порта следующего маршрутизатора, а МАС-адрес узла назначения, который на рисунке обозначен как МАСК. Как только эта замена произведена, кадр с таким МАС-адресом перестает поступать на блоки маршрутизации второго и третьего коммутатора, а проходит только через блоки коммутации этих устройств. Процесс передачи пакетов действительно ускоряется, так как они не проходят многократно повторяющиеся этапы маршрутизации. В то же время защитные свойства маршрутизаторы сохраняют, так как первые пакеты проверяются на допустимость передачи в сеть назначения, поэтому сохраняются фильтрация широковещательного шторма, защита от несанкционированного доступа и другие преимущества сети, разделенной на подсети.

Для реализации описанной схемы нужно решить несколько проблем. Первая – на основании каких признаков определяется долговременный поток. Это достаточно легкая проблема, и основные подходы к ее решению очевидны – совпадение адресов и портов соединения, общие признаки качества обслуживания, некоторый порог одинаковых пакетов для фиксации долговременности. Вторая проблема более серьезная. На основании какой информации первый коммутатор узнает МАС-адрес узла назначения? Этот узел непосредственно не подключен к сети первого коммутатора, поэтому использование протокола ARP здесь не поможет. Именно здесь расходятся пути большинства фирменных технологий ускоренной маршрутизации. Многие компании разработали собственные служебные протоколы, с помощью которых коммутаторы запрашивают этот МАС-адрес друг у друга, пока последний на пути коммутатор не выяснит его в своей сети, с помощью протокола ARP. Фирменные протоколы используют как распределенный подход, когда все коммутаторы равны в решении проблемы нахождения МАС-адреса, так и централизованный, когда в сети существует выделенный коммутатор, который помогает ее решить для всех.

Примерами коммутаторов 3-го уровня, работающими по схеме маршрутизации потоков, являются коммутаторы SmartSwitch компании Cabletron, а также коммутатор Catalyst 5000 компании Cisco, выполняющий свои функции совместно с маршрутизаторами Cisco 7500 по технологии Cisco NetFlow.

15.7. Шлюз (gateway), межсетевой экран (firewall), прокси-сервер, NAT.

Термин "шлюз" и термин "маршрутизатор" во многом схожи, но шлюз является более общим термином (всякий маршрутизатор является шлюзом). Шлюзом называется любое сетевое устройство, которое одновременно подключено к нескольким сетям при помощи нескольких сетевых интерфейсов, имеет в каждой сети свой адрес сетевого уровня и занимается продвижением пакетов между этими сетями. Например, шлюзом является компьютер одна сетевая карта которого подключена к сети 192.168.28.10.0 и имеет там IP-адрес 192.168.28.10.1, а другая сетевая карта подключена к сети 172.16.0.0 и имеет там IP-адрес 172.16.1.1. Шлюзом также будет являться и маршрутизатор. Даже обычный домашний компьютер, имеющий сетевую карту и модем можно рассматривать как шлюз, т.к. он имеет два интерфейса: один интерфейс – это интерфейс сетевой карты (локальной сети), IP-адрес которого может быть произвольным, а второй интерфейс – это интерфейс удаленного доступа (Internet), IP-адрес которого определяется провайдером, при подключении к нему по протоколу PPP.

Шлюз выполняет функции маршрутизации и продвижения пакетов между интерфейсами. Шлюзы также позволяют объединять разнородные (гетерогенные) сети, преобразуя, например, кадры Ethernet в кадры FDDI. Шлюз также является средством обеспечения безопасности подсети. Если сегмент сети соединен с остальной сетью через шлюз, то на шлюзе может быть установлен межсетевой экран (firewall, брандмауэр) – специальное программное обеспечение, которое контролирует как пакеты выходящие из данного сегмента, так и пакеты поступающие в данный сегмент. Межсетевой экран с фильтрацией пакетов уже был рассмотрен ранее (см. маршрутизаторы). Путем написания специальных правил, можно ограничить разрешенное взаимодействие между компьютерам сети и компьютерами сегмента. Правила имеют вид: "через шлюз допускается прохождение пакетов с IP-адресом отправителя 172.18.10.1 (порт 80) и IP-адресом получателя 192.168.1.1 (порт 21), в четверг с 15.00 до 19.00". Пакеты, не удовлетворяющие правилам фильтрации отбрасываются, а факт их наличия регистрируется в специальном журнале. Поскольку сервисы в сети связаны с определенными номерами портов, то закрыв входящие соединения на 23 порт, можно запретить извне управлять компьютерами сегмента по протоколу Telnet, а закрыв исходящие соединения на 80 порт можно запретить сотрудникам отдела (сегмента) просматривать Web-страницы.

Межсетевые экраны с фильтрацией пакетов просты, и в ряде случаев входят в состав самой операционной системы (например IPChains в OC Linux). Однако межсетевые экраны с фильтрацией пакетов имеют и ряд недостатков:

– возможно задавать правила фильтрации по IP-адресам компьютеров, но не по имени пользователя.

– подсеть "видна" (маршрутизируется) извне.

– при выходе из строя межсетевого экрана подсеть становится незащищенной.

Для преодоления этих недостатков, в качестве межсетевого экрана используют прокси-сервера (proxy server). Прокси-сервер – это сервер посредник. Одно из назначений прокси-сервера – это ускорение работы сети, при подключении ее к Internet. Так например, кэширующий прокси-сервер Squid в ОС Linux сохраняет в достаточно большом кэше на диске Web-страницы, просмотренные разными пользователями, так что если какой-либо пользователь обратится к просмотренной кем-либо ранее странице, то эта страница не будет заново загружаться через Internet, а будет взята из кэша Squid. Прокси-сервер может использоваться и для сокрытия личности пользователя, путешествующего по Internet. Для этого пользователь сначала соединяется с анонимным прокси-сервером (например в Новой Зеландии), который получает пакеты от пользователя и перенаправляет их дальше от своего имени.

Читайте также:  Как отформатировать жесткий диск без удаления windows

Установка прокси-сервера на шлюзе позволяет скрыть структуру подсети от внешней сети и реализовать гибкий межсетевой экран. При запрете продвижения IP-пакетов между интерфейсами шлюза, вся подсеть, с точки зрения внешней сети, представлена только одним IP-адресом – адресом прокси-сервера. Пользователь внешней сети, который хочет соединиться с компьютером внутри подсети, должен пройти следующую процедуру:

• Установить соединение с определенным портом прокси-сервера и указать имя компьютера внутри подсети с которым необходимо соединиться. Для каждого вида сервиса (http, ftp, smtp и т.д.) должна существовать своя программа-посредник, "прослушивающая" свой порт. Может существовать и универсальная программа – посредник, обслуживающая несколько сервисов. Если для какого-то сервиса программы-посредника нет (или она вышла из строя), то данный сервис будет не доступен. При установлении соединения возможно, хотя и не обязательно, проведение аутентификации (подтверждения личности) пользователя по его имени, паролю, IP-адресу. Возможна также регистрация факта и времени подключения в специальном журнале.

• Прокси-сервер создает соединение c компьютером внутри подсети, а затем обеспечивает обмен пакетами между внешней сетью и подсетью, подменяя адреса в проходящих через него пакетах. Возможно протоколирование соединения и фильтрация передаваемых данных (поскольку программа-посредник "понимает" протокол прикладного уровня своего сервиса).

Аналогичным образом происходит и соединение подсеть – внешняя сеть.

Другой технологией, позволяющей скрыть сеть предприятия, являеется NAT (Network Address Translation – трансляция сетевых адресов). NAT также позволяет компьютерам локальной сети работать с Internet через один IP-адрес. Технология осуществляет подмену IP-адресов отправителя и получателя, в проходящих через шлюз пакетах.

Поясним принцип работы NAT на примере. Допустим, имеется локальная сеть из десяти компью-теров. Все компьютера в сети имеют "серые" адреса 192.168.1.1 – 192.168.1.20, которые изолированы от сети Internet (не передаются маршрутизаторами Internet) и их не надо согласовывать с InterNIC. На компьютере "А", с IP-адресом 192.168.1.1 имеется модем, сетевой интерфейс которого, при подключении к Internet по протоколу PPP, автоматически получает от провайдера IP-адрес w1.x1.y1.z1. (запись условная). Таким образом, компьютер "А" имеет два сетевых интерфейса с адресами 192.168.1.1 и w1.x1.y1.z1. и является шлюзом локальная сеть – Internet.

Пусть пользователь компьютера "Б" локальной сети (IP-адрес 192.168.1.10) обращается с помощью Web-браузера Internet Explorer к серверу www.microsoft.com, с IP-адресом w2.x2.y2.z2. (запись условная). Поскольку IP-адрес w2.x2.y2.z2. не относится к локальной сети, то на шлюз (компьютер "А") будет направлен IP-пакет со следующими данными:

• IP-адрес приемника: w2.x2.y2.z2 (www.microsoft.com)

• IP-адрес источника: 192.168.1.10 (компьютер "Б")

• Порт приемника: TCP-порт 80 (порт сервера Microsoft, протокол http)

• Порт источника: TCP-порт 1025 (порт компьютера "Б")

Этот IP-пакет перенаправляется протоколу NAT, который преобразовывает адреса исходящего пакета следующим образом.

• IP-адрес приемника: w2.x2.y2.z2 (www.microsoft.com)

• IP-адрес источника: w1.x1.y1.z1 (компьютер "А")

• Порт приемника: TCP-порт 80 (порт сервера Microsoft, протокол http)

• Порт источника: TCP-порт 5000 (порт компьютера "А")

При этом протокол NAT сохраняет в своей таблице преобразованных адресов запись:

Преобразованный IP-пакет отправляется по Интернету. Пакет, посылаемый в ответ на этот пакет, принимается протоколом NAT. Полученный пакет содержит следующие адресные данные.

• IP-адрес приемника: w1.x1.y1.z1 (компьютер "А")

• IP-адрес источника: w2.x2.y2.z2 (www.microsoft.com)

• Порт приемника: TCP-порт 5000 (порт компьютера "А")

• Порт источника: TCP-порт 80 (порт сервера Microsoft, протокол http)

Протокол NAT проверяет свою таблицу преобразованных адресов, после чего делает обратную замену:

• IP-адрес приемника: 192.168.1.10 (компьютер "Б")

• IP-адрес источника: w2.x2.y2.z2 (www.microsoft.com)

• Порт приемника: TCP-порт 1025 (порт компьютера "Б")

• Порт источника: TCP-порт 80 (порт сервера Microsoft, протокол http)

Преобразованный пакет направляется в локальную сеть. Протокол NAT подменяет адрес в IP-пакете, передавая его от своего имени, и пользуясь номером порта для того, чтобы "запомнить" какому компьютеру надо будет вернуть ответ на этот пакет.

Шлюз не может одновременно создать с одного и того же своего порта два соединения с 80 портом сервера www.microsoft.com, т.к. для создания сокета необходимо, чтобы хотя бы один из параметров " IP-адрес отправителя, номер порта отправителя" – "IP-адрес получателя, номер порта получателя" у двух сетевых соединений не совпадали. Поэтому, если к серверу www.microsoft.com одновременно обратятся два компьютера локальной сети, то пакеты одного из них будут отправлены с порта 5000 (как в примере), а пакеты другого – будут отправлены, например, с порта 5001. При получении ответа от сервера www.microsoft.com, пакеты, поступившие на порт 5000, будут переправлены первому компьютеру, а пакеты, поступившие на порт 5001 – второму компьютеру.

При использовании NAT возникает следующая проблема: пакеты, содержащие IP-адрес только в заголовке пакета, правильно преобразовываются протоколом NAT, однако пакеты, содержащие IP-адрес в поле данных, могут неправильно преобразовываться при помощи NAT. Например, протокол FTP хранит IP-адрес в заголовке FTP для команды FTP PORT. Заголовок FTP, как и любой протокол прикладного уровня, хранится в поле данных IP-пакета. Если NAT не сможет правильно преобразовать IP-адрес из заголовка FTP и откорректировать поле данных, то могут возникнуть неполадки связи. Для устранения этой проблемы существуют редакторы NAT, работающие с заголовками прикладных протоколов. Не для всех протоколов необходим редактор NAT, например для протокола HTTP он не нужен. В ОС Windows 2000 реализованы редакторы NAT для следующих протоколов: FTP, ICMP, PPTP, NetBIOS через TCP/IP, RPC, Direct Play, H.323, Регистрация ILS на основе LDAP. Однако для зашифрованного трафика использование редактора NAT не предусмотрено, что следует учитывать при использовании NAT.

  1. Компьютерные сети. Принципы, технологии, протоколы: Учебник для ВУЗов 4-е изд. / В.Г.Олифер, Н.А.Олифер. – СПб: Издательство «Питер», 2011.- 944с.:ил
  2. Компьютерные сети. Учебный курс/Пер. с англ. – М.: Издательский отдел "Русская Редакция" ТОО "Channel Trading Ltd.", 1997.
  3. Валда Хиллей. Секреты Windows NT Server 4.0. – К.: Диалектика, 1997.
  4. Хант К. Серия "Для специалиста": Персональные компьютеры в сетях TCP/IP. – BHV-Киев, 1997.
  5. Хелен Кастер. Основы Windows NT и NTFS./Пер. с англ. – М.: Издательский отдел "Русская Редакция" ТОО "Channel Trading Ltd.", 1996.
  6. Программа сетевой академии Cisco CCNA 1и 2. Вспомогательное руководство, 3-е изд., с испр.: Пер. С англ..- М.: Издательский дом "Вильямс", 2008.-1168с.ил.

Дата добавления: 2018-03-20 ; просмотров: 880 ;

Комментировать
103 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock detector