Хоча технологія NAT і подібні засоби підстановки та імітації адреси необхідні при використанні приватних IP-адрес, деякі організації приймають рішення застосовувати ці засоби в своїх внутрішніх мережах стосовно дійсних загальнодоступних IP-адрес. Справа в тому, що взаємодія клієнтов з мережею в межах цієї мережі без застосування якої-небудь форми "приховування" адрес може призвести до того, що адресна структура такої внутрішньої мережі стане відома стороннім людям, що мають достаточню кваліфікацію. Вони можуть спробувати використати цю інформацію для того, щоб проникнути всередину організації — із загальнодоступної мережі Internet у внутрішнє корпоративне мережеве середовище, — і атакувати (attack) мережу. Ось чому для забезпечення безпеки IP вважається прийнятним застосовувати проксі-сервер або подібну службу, яка позиціонує себе на межі між внутрішнім і зовнішнім трафіком. Коли вихідний трафик проходить через проксі із зовнішньої мережі, проксі-служба замінює внутрішні мережеві адреса одним або декількома різними адресами, щоб трафік, який переміщується по загальнодоступній мережі Internet, не зміг стати джерелом інформації про адресну структуру внутрішньої мережі. Так же, проксі-сервери можуть забезпечити так зване зворотнє посередництво (reverse proxying). При цьому проксі-сервер отримує можливість звертатись до серверів у внутрішній мережі, демонструючи навколишньому світу тільки свою власну адресу, а потім пересилаючи внутрішнім серверам для подальшої обробки тільки припустимі запити. Ще раз повторимо, що сторонні люди при цьому можуть дізнатися тільки адресу проксі-сервера, який діє від імени внутрішнього сервера.
Таким чином, одна з найважливіших функцій проксі-сервера складається в забезпеченні перетворення адрес джерела в проходящих через нього вихідних пакетах. Це допомогає уникнути втрати інформації про фактичні адреси внутрішньої мережі; в протилежному випадку сторонні люди можуть скористатися засобами зчитування адрес і вияснити, які саме адреси використовуються в будь-якому даному діапазоні.
Мережевий простір
Є декілька стримуючих факторів, які звичайно регламентують схеми IP-адресації, і ми розділимо їх на дві групи. В першую групу вмістимо фактори, які визначають кількість і розмір мереж. Серед них:
1. кількість фізичних місцерозташувань мереж;
2. кількість мережевих пристроїв в кожному місцерозташуванні;
3. обсяг широкомовленевого трафіка в кожному місцерозташуванні; доступність IP-адрес;
4. затримка, викликана маршрутизацією з однієї мережі в іншу.
Хоча є можливість провести міст між двома фізичними місцерозташуваннями мереж по з’єднанню WAN (Wide-Area Network, глобальна мережа), на практиці це робиться лише стосовно протоколів, які взагалі не допускають маршрутизації (наприклад, SNA та NetBEUI). Маршрутизація (замість створення моста) здійсниться в першу чергу для того, щоб запобігти непотрібним пересилкам із заповнених дорогостоящих схем глобальної мережі (WAN). Отже, мінімально необхідна кількість IP-мереж — по одній для кожного місцярозташування в компанії та кожного канала WAN.
Далі. Оскільки IP-адрес недостатньо, розумно зменшувати мережі; але в будь-якому випадку в них повинна бути достатня кількість використовуваних адрес
2) щоб кожному пристрою припало по одній адресі, та крім того залишався достатній простір для зростання. IP-мережа — це широкомовленевий домен (broadcast domain). Це значить, що коли один хост мережі відсилає широкомовленеве повідомлення, всі інші хости цієї мережі повинні його прийняти і обробити. Відповідно, швидкість мережевих з’єднань і процесорів хостов, а також кількість і характер застосовуваних протоколів, обмежують фактичний розмір мережі.
Інакше кажучи, чим більше широкомовлення і протоколів в мережі, тем менше повинно бути хостів.
В більшості маршрутизаторів рішення про маршрутизацію на мережевому рівні звичайно приймаються програмним забезпеченням, тому виконуються вони достатньо повільно, якщо порівнювати із аналогічними рішеннями, які приймаються на Канальному рівні комутаторами. Справа в тому, що комутатори приймають рішення, використовуючи таке обладнання, як спеціалізовані інтегральні схеми (Application Specific Integrated Circuits, ASIC). Відносно новий пристрій під назвою комутатора Мережевого рівня (lауег-3 switch) просто реалізує логічну схему цього рівня, прийняту в програмному забезпеченні, у власній спеціалізованій інтегральній схемі. В результаті швидкість маршрутизації значно збільшується. На практиці комутація Мережевого рівня дозволяє розділяти велику мережу на множину дрібних підмереж, при цьому майже не погіршуючи продуктивність.
Інша група, що допомагає визначитись з тим, як обирати IP-адреса, зв’язана із наступними проектними вимогами:
1. мінімізація розміру таблиць маршрутизації;
2. мінімізація часу, потрібного на "складання" мережі;
3. збільшення гнучкості, спрощення управління та пошуку несправностей. Час, необхідний для здійснення маршрутизації з однієї мережі в іншу, залежить від розміру таблиці маршрутизації, — чим більше таблиця, тим довше по ній проводиться пошук. Однак ми вже визначили кількість необхідних мереж; як же зменшити кількість маршрутів в таблиці? Відповідь — концентрація маршрутів (route aggregation), або сумовані адреси (summary addresses).
В даному випадку важливо зрозуміти, що не існує однозначного відношення між мережами і маршрутами до них. Якщо маршрутизатор отримує шлях до 10.1.1.0/25 і 10.1.128/25, він може направити його до 10.1.1.0/24 до вишестоящих сусідів, і замість цих двох шляхів /25.
Ось ще одна перевага сумування. Якщо мережа 10.1.1.128/25 буде відключено, то маршрутизатори, які містять шлях до 10.1.1.128/25, повинні будуть його видалити, но маршрутизатори, які зберігають лише сумовані шляхи, навіть не дізнаються що відбулося.
Сенс всього цього полягає в тому, щоб пронумерувати мережі, в результаті чого вони зможуть бути сумовані, а це мінімізує кількість шляхів в таблиці маршрутизації і забезпечить їм більшу стабільность. В кінцевому підсумку, процесор зможе пропускати пакети, не витрачаючи час на таблицю маршрутизації.
Простір хостів
Розглянемо присвоєння IP-адрес хостам. Перевагами стратегії продуманого іменування хостів є більш гнучке оточення та легкість підтримки. Припустимо, компанія має 500 філіалів по всьому світу, в кожному з яких є мережа /24, і всі ці мережі застосовують наступну угоду з нумерації:
IP-адресі Опис
10.х.х.0 Мережеві адреси
10.х.х.1— 10.х.х.14 Комутатори та регульовані концентратори
10.х.х.17 DHCP- та DNS-сервер
10.Х.Х.18 Файловий сервер та сервер друку
10.х.х.19— 10.х.х.30 Сервер додатків
10.х.х.33—10.х.х.6 Принтери
10.Х.Х.65-10.Х.Х.246 DHCP-клієнти
10.Х.Х.247—10.х.х.253 Різнорідні і статичні клієнти
10.х.х.254 Шлюзова адреса
10.Х.Х.255 Широкомовленева адреса
Ви можете легко визначити пристрій за його IP-адресою, де б він не знаходився. Ще більш важливо, хоча менш очевидно, що ці групи адрес повинні бути сформовані в двійковому, а не десятковому представленні. Це значить, що слід тримати групи всередині двійкових границь. В цьому прикладі сервери идентифікуються за адресами 10.х.х.16/28, навіть якщо для них настроені маски підмереж 255.255.255.0. Двійкова система зручна ще з однієї причини: коли-нибудь вам може знадобитися класифікувати трафк, щоб застосувати спеціальний уровень Quality of Service (QoS) або якусь політику. Можливо, ви встановите низький пріоритет для трафіка до 10.х.х.32/27 (принтери) і від цієї адреси. Якщо адреси принтеров не містяться в двійковому представленні, деякі з них можуть бути виключені із цього правила, а інші пристрої помилково включені в нього. Інше разповсюджене застосування двійкового представлення адрес — правила брандмауерів. Можна заборонити весь трафік від 10.х.х.0/26 (мережеве обладнання, сервери, принтери), який виходить мережу Internet. В результаті запобігають можливості застосування серверів хакерами в якості вихідних пунктів для атак інших мереж, але при цьому DHCP-клієнти зберігають можливість отримання доступу через брандмауер.
q Основні терміни.
ASIC(Application Specific Integrated Circuit, спеціалізрована інтегральна схема) — спеціальний різновид інтегральної схеми. ASIC забезпечує спосіб реалізації визначеної програмної логіки безпосередньо в мікросхемі, в результаті чого ця логіка при обробці даних виконується настільки швидко, наскілько це можливо. Саме ASIC надають високошвидкісним та високооб’ємним маршрутизаторам можливість виконання складних функцій визначення та управління адресами, які відповідають об’ємам даних та потребами в швидкій обробці.
CIDR(Classless Inter-Domain Routing, безкласова междоменна маршрутизація) — різновид маскування підмереж, при якій зникає чітка диференціація між мережевою і хостовою частиною адреси по границях октета; замість цего використовуєся префіксна нотація /n, де n позначає кількість разрядів в мережевій частині даної адреси.
IANA (Internet Assigned Numbers Authority, Агенція по виділенню імен і унікальних параметрів протоколів Internet) — підрозділ Спілки Internet (ISOC), що раніше відповідав за реєстрацію доменних імен і розподіл загальнодоступних IP-адрес. Тепер ця функція виконується агенцією ICANN.
IPSec,або IP Sec(IP Security, IP-захист) — специфікація безпеки, що забезпечує я підтримку різних форм шифрування і аутентифікації, розподілення ключів та супутніх функцій. Факультативний компонент IPv4,та обов’язковий — в IPv6.
IP-перенумерація(IP renumdering) — процес заміни одного набору числових IP-адрес на інший набір таких адрес із-за зміни постачальника послуг або перерозподілення адрес.
IP-шлюз(IP gateway) — в терминології TCP/IP так називається маршрутизатор, який забезпечує доступ до ресурсів за межами локальної мережевої адреси підмережі. (Шлюзом по замовчуванням називається клиентський конфігураційний запис TCP/IP, що визначає маршрутизатор, которий клієнт повинен використовути для відправки даних за межі локальної підмережі.)
ISP(Internet Service Provider, постачальник доступа в мережу Internet) — компанія, чиєю основною спеціалізацією є надання доступу в Internet приватним особам і організаціям. В теперешній час саме постачальники доступу в Internet, в основному, здійснюють виділення загальнодоступних IP-адрес.
loopback(петля) — адреса, що на відправника. В IPv4 домен класу А 127.0.0.0 (або 127.0.0.1 для конкретної машинної адреси) зарезервований для виконання зворотніх петель. В протоколі IPv6 існує єдина возвратна адреса, яка позначається як "::1" (всі нулі, крім останнього розряда, в якому ставиться одиниця). Пропускаючи трафік через стек TCP/IP в обох напрямках, зворотня адреса використовується для тестування програмного забезпечення TCP/IP.
МАС-адреса(адреса управління доступом до середовища) — спеціальний тип мережевої адреси, що управляється подрівнем Канального рівня, в звичайній ситуації зараніу встанавлений для всіх інтерфейсів для їх уникальної ідентифікації в будь-якому сегменті мережевого кабеля (або віртуальному факсе). Организация ICANN контролює присвоення виробниками ідентификаторів, забезпечуючи унікальность таких адрес. Коли IP-фрейми передаються від одного інтерфейса другому, адреса МАС-рівня відправникаі отримувача застосовується для впливу на передачу.
МАС-рівень(Media Access Control layer, MAC layer) — підрівень Канального рівня. Є частиною визначення управління доступом до середовища, в якому діють методи мережевого доступа, такі як Ethernet і Token Ring.
ОUI(Organizationally Unique Identifier, організаційно унікальний ідентифікатор) — унікальний ідентифікатор, який присвоюється організаціями IANA або ICANN, який займає перші три байта МАС-адреси мережевої інтерфейсної плати та ідентифікуючий її виробника.
QoS(Quality of Service,якість обслуговування) — спеціальний рівень гарантії роботи служб, зв’язаний з протоколами Прикладного рівня, при якому тимчасові вимоги для даних (наприклад, голосу або відео) передбачають спеціальні норми контролю затримки при доставці видимих або слишимих потоків даних.
Альтернативна адреса(anycast address) — новий тип адрес, реалізований в протоколі IPv6; альтернативною називається звичайна адреса, яка може присвоюваться декільком хостам або інтерфейсам. Пакети, направлені на альтернативнуй адресу, доставляються найближчому (в показниках відстані маршрутизації) до відправника власнику цієї адреси. В протоколі IPv4 альтернативні адреса відсутні.
Атака(attack) — спроба проникнення в систему або мережу, підриву її захисту або блокування доступу у неї.
Безпечне наскрізне з’єднання(cecure end-to-end connection) — мережеве з’єднання, при якрму вихідні відправляюча та приймаюча IP-адреси незмінні, а зв’язок між відправником та отримувачем зберігається весь час, доки з’єднання залишається активним.
Брандмауер(firewall) — сетевое пограничное пристрій, размещаемое між загальнодоступной и частной сторонами мережі; обеспечивает множество служб фильтрації и проверки, гарантуючи наявність тільки санкціонованого вхідного та вихідного трафіка.
Групова адреса(multicast address) — одна з групи адрес, зарезервованих для відсилки одного повідомлення багатьом інтерфейсам або вузлам. Члени підписуються на групові адреси, щоб отримувати оновлення маршрутів, потокові дані (відео-, аудіо-, телеконференції) та іншу інформацію. В протоколе IPv4 для широкомовлення зарезервована група адрес класу D. В протоколі IPv6 всі групові адресі починаються з 0xFF. Контролює ці адреси Організація з присвоення імен і номерів в мережі Internet (ICANN) при підтримці Агенції з виділення імен і унікальних параметрів протоколов Internet (IANA).
Доменне ім’я(domain name) — символічне ім’я мережевого ресурса TCP/IP; Служба доменних імен (Domain Name System, DNS) перетворює такі імена в числові IP-адреса, забезпечуючи коректну адресацію вихідного трафіка. Управління доменними іменами здійснюється декількома приватними та державними організаціями по всьому світу.
Комутатор Мережевого рівня(layer-3 switch) — специальний мережевий пристрій, що сполучає функції управління мережею, концентратора та маршрутизатора. Дозволяє створювати і управляти множиною віртуальних підмереж в межах одного пристрою, забезпечуючи надзвичайно високу пропускну здатність при окремих з’єднаннях між парами пристроїв, під’єдинаних до нього.
Концентрація (групуовання) маршрутов(route aggregation) — різновид аналізу IP-адрес, який дозволяює маршрутизаторам демонструвати спільним зацікавленість визначеним мережевим префіксом, який представляє "спільну частину" ряда мережевих IP-адресов. В результаті зменшується загальн е число позицій в окремих таблицях маршрутизації.
Маска підмережі(subnet mask) — специальная бітовая комбинация, яка маскує мережеву частину IP-адрес одиницями.
Маскування підмереж маскою постійної довжини(Constant-length subnet masking, CLSM) —- схема организації підмереж IP, при якій всі підмережі використовують одну і ту ж маску, яка, таким чином, розділяє фрагментований адресний простір на визначену кількість рівновеликих підмереж.
Маскування підмережі маскою змінної довжини(Variable-Length Subnet Masking, VLSM) — схема організації підмережі для IP-адрес, яка робить можливим визначення для мережевого префікса контейнерів різних розмерів. Найбольша підмережа визначає максимальний розмір контейнера, і кожний окремий контейнер в даному адресному просторі може бути підрозділено на ще більш дрібні підконтейнери (іноді називаємі під-підмережами).
Зворотнє посередництво(reverse proxying) — методика, з допомогою якої проксі-сервер представляє внутрішній мережевий ресурс (наприклад, Web-, FTP- або поштовий сервер) таким чином наче він розміщується на цьому проксі-сервере; в результате зовнішні клієнти отримують доступ до зовнішніх мережевих ресурсів, не маючи можливості дізнатись структуру IP-адрес внутрішньої мережі.
Загальнодоступні IP-адреси(public IP address) – будь-яка адреса TCP/IP, виділена організаціями IANA, ICANN або постачальником доступу до мережі Internet для ексклюзивного використання визначеної організацією.
Октет(octet) — позначення 8-бітного числа в терминології TCP/IP; числові адреси протоколу IPv4 складаютьсяз чотирьох октетів.
Організації підмереж(subnetting) — застосування розрядів, захоплених з хостової частини IP-адреси, для розширення і підрозділення адресного простору мережевої частини діапазона IP-адрес.
Організація супермереж(supernetting) — методика захоплення розрядів з мережевої частини IP-адреси та їх передачі хостовій частині; в результаті складається більш широкий адресний простір для провідних адрес.
Перетворення мережевих адрес(Network Address Translation, NAT) — спеціальне мережеве програмне забезпечення, яке керує мережевими з’єднаннями від імені множини клієнтів у внутрішній мережі і заміенює вихідні адреси у всьому вихідному трафіку на адресу зовнішнього мережевого інтерфейса. Програмне забезпечення NAT також завідує пересилкою відповіді на вихідний трафик відправникам. Часто застосовується для забезпечення клієнтів, які користуються приватними IP-адресами, доступу до мережі Internet.
Проксі-сервер(proxy server) — специальний тип мережевої пограничной служби, яка вміщується між зовнішніми та внутрішніми мережевими адресами. Від імени внутрішніх клієнтів проксі-сервер встановлює з’єднання із зовнішними ресурсами і виконує імітацію адрес. Для зовнішних клієнтів із загальнодоступної мережі Internet проксі-сервер представляє внутрішні ресурси таким чином, наче вони разміщуються на ньому самому.
Розширений мережевий префікс(extended network prefix)— частина IP-адреси, яка виражає суму мережевої частини адреси і кількості розрядів, які застосовуються для відправника та отримувача. Число транзитів з мережі джерела в мережу призначення визначається кількістю маршрутизаторів, через які повинен пройти (або проходить) пакет.
Фізична числова адрес(physical numeric address) — синонім адреси управління доступом до середовища (МАС-адреси).
Хостова частина(host portion) — крайні праві розряди IP-адреси, призначені для ідентифікації хостів в супермережі, мережі або підмережі.
Приватна IP-адреса(private IP address) — будь-яка IP-адреса класу А, В або С, зарезервована агенцією IANA для приватного застосування, документована в RFC 1918 і призначена для неконтрольованого використання в організаціях. Оскільки немає гарантії, що такі адреса є унікальними, їх маршрутизація в мережі Internet неможлива.
Числова IP-адреса— IP-адреса, виражена в точечному десятковому або двійковому представленні.
Широкомовленева адреса(brodcast address) — адреса мережі або підмережі,яка складається із самих одиниць; дозволяє відправити одну і ту ж інформацію всім інтерфейсам даної мережі.