Помощничек
Главная | Обратная связь

Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Организация IP – подсетей. Назначение IP адресов. Сеть кампуса

⇐ ПредыдущаяСтр 10 из 14Следующая ⇒


 

IP адреса характеризуют сетевые соединения, а не компьютеры.IP адреса назначены на сетевые интерфейсы на компьютерах. На настоящий момент большинство компьютеров в IP-сети обладают единственным сетевым интерфейсом (и имеют, как следствие, единственный IP адрес). Но компьютеры (и другие устройства) могут иметь несколько (если не много) сетевых интерфейсов - и каждый интерфейс будет иметь свой IP адрес. Так, устройство с 6 работающими интерфейсами (например, маршрутизатор) будет иметь 6 IP адресов – по одному на каждую сеть, с которой он соединен.

В текущей (IPv4) реализации IP адресов, IP адрес состоит из 4-х байтов. Для удобства (и по организационным причинам) IP адреса обычно записываются в виде четырех десятичных чисел, разделенных точками.

Часть IP-адреса компьютера определяет сеть, в которой находится данный компьютер, оставшиеся биты IP адреса определяют непосредственно компьютер (сетевой интерфейс). Старшие биты IP адреса определяют, к какому 'классу' относится сеть:

· IP адрес сети класса A использует крайние левые 8 битов для идентификации сети, оставшиеся 24 бита (три байта) идентифицируют сетевые интерфейсы компьютера в сети. Адреса класса A всегда имеют крайний левый бит, равный нулю (признак класса А) - поэтому первый байт адреса (номер сети) принимает значения от 0 до 127. Так доступно максимум 27= 128 номеров для сетей класса A, с каждым, содержащим до 33,554,430 возможных интерфейсов. Однако, сети 0.0.0.0 (известна как заданный по умолчанию маршрут) и 127.0.0.0 (зарезервирована для организации обратной связи (loopback)) имеют специальные предназначения и не доступны для использования, чтобы идентифицировать реальные сети. Соответственно, могут существовать только N=126 номеров для сети класса A, т.е. N=2m-2, где m – количество разрядов, отведенных под номер сети.

· IP адрес сети класса B использует крайние левые 16 битов (первые 2 байта) для идентификации сети, оставшиеся 16 бит идентифицируют сетевые интерфейсы компьютера в сети. Адреса класса B всегда имеют крайние левые два бита, установленные в 1 0 (признак класса В). Сети класса B имеют диапазон адресов от 128 до 191 для первого байта и от 0 до 255 для второго, каждая сеть может содержать до 65534 возможных интерфейсов.

· IP адрес сети класса C использует крайние левые 24 бита для идентификации сети, оставшиеся 8 бит идентифицируют сетевые интерфейсы компьютера в сети. Адрес сети класса C всегда имеет крайние левые 3 бита, установленные в 1 1 0 или диапазон от 192 до 255 для крайнего левого байта. Имеется, таким образом, 4,194,303 номеров, доступных для идентификации сети класса C, каждая может содержать до 254 сетевых интерфейса. Однако, сети класса C с первым байтом, большим, чем 223, зарезервированы и недоступны для использования и зарезервированы для групповых адресов подписки (класс сетей D).

 

 

В результате IP-адрес можно представить в следующих вариантах:

 

Класс сети Пригодный для использования диапазон значений

A 1 - 126

B 128 – 191. 0 - 255

C 192 – 223. 0 - 255. 0 – 255

 

Особые IP – адреса.Эти адреса не могут быть назначены хостам сети.

1) 0.0.0.0 – адрес узла, который сгенерировал этот пакет (применяется в сообщениях ICMP), в маршрутизаторах используется как маршрут по умолчанию;

2) 0.0.X.X (нули в поле номера сети и какие-то значения в поле номера узла) – узел назначения в той же сети, что и отправитель;

3) 255.255.255.255 (все единицы) – пакет рассылается всем узлам в той же сети, что и источник (ограниченное широковещательное сообщение – limited broadcast);

4) X.X.255.255 (в поле номера узла все единицы) – пакет рассылается всем узлам с указанным номером сети Х.Х (широковещательное сообщение – broadcast);

5) 224 - 255.0 - 255.0 - 255.0 - 255 - групповые адреса рассылок – multicast (класс сети – D);

6) 127.X.X.X – адрес модуля маршрутизации этого же узла, который отправляет кадр – loopback, используется для кольцевых тестов («самому себе»).

Специальные адреса, состоящие из последовательности нулей, могут быть использованы только в качестве адреса отправителя, а состоящие из последовательности единиц – только в качестве получателя.

Имеются также специальные адреса, которые зарезервированы для сетей, использующих IP, но не связанных с Internet («внутренние» адреса):

  • Одна сеть класса A - 10.0.0.0
  • 16 сетей класса B - 172.16.0.0 - 172.31.0.0
  • 256 сетей класса C - 192.168.0.0 - 192.168.255.0

 

Эти сочетания используются для того, чтобы не пересечься с "настоящими" сетями и станциями. Такие адреса не обрабатываются маршрутизаторами.

Примеры внутренних адресов.

Для сети класса A (один байт - поле сети, следующие за ним - номер хоста)

 

10.0.0.0 адрес сети класса A;

10.0.1.0 адрес узла этой сети

10.255.255.255 широковещательный адрес этой сети.

 

Для сети класса B (два байта - поле сети, следующие за ним - номер хоста)

 

172.17.0.0 адрес сети класса B

172.17.0.1 адрес узла этой сети

172.17.255.255 широковещательный адрес этой сети

 

Для сети класса C (три байта - поле сети, следующие за ним - номер хоста)

 

192.168.3.0 адрес сети класса C

192.168.3.42 адрес узла этой сети

192.168.3.255 широковещательный адрес этой сети

Почти все сетевые адреса, остающиеся доступными для распределения в настоящее время - адреса класса C.

Сетевая маска.Сетевая маска называется еще маской подсети. Сетевая маска и ее значения показывают, как IP адреса интерпретируются локально на сегменте сети, поскольку это определяет то, как происходит организация подсетей.

Стандартная маска (под-) сети содержит единицы в разрядах, соответствующих полю сети и нули в остальных разрядах. Стандартные сетевые маски для трех классов сетей выглядят так:

  • маска для сети класса А: 255.0.0.0
  • маска для сети класса B: 255.255.0.0
  • маска для сети класса C: 255.255.255.0

Есть две важные особенности относительно сетевой маски, которые нужно помнить:

  • Сетевая маска воздействует только локально (где «локально» означает - на этом специфическом сетевом сегменте);
  • Сетевая маска используется для того, чтобы установить свой, более гибкий порядок разделения IP адреса на номер сети и номер узла.

Подсети. Важно, что организация подсетей имеет локальную конфигурацию, она невидима для остального мира.

Организация крупных сетей (например, класса А) вызывает очевидные проблемы с огромным трафиком и администрированием, если все компьютеры на большом сайте должны быть связаны с той же самой сетью: попытка управлять таким огромным чудовищем была бы кошмаром и сеть бы терпела крах от загрузки собственным трафиком.

Для этого вводят организацию подсетей: адрес сети класса A может быть разбит на несколько (если не много) отдельных сетей. Управлять каждой отдельной сетью значительно проще.

Это позволяет управлять небольшими сетями и, весьма возможно, использовать различные технологии организации сетей. Нельзя смешивать Ethernet, Token Ring, FDDI, ATM и т.п. на одном физическом сегменте сети, но сегменты на разных технологиях могут быть связаны друг с другом.

Другие причины для организации подсетей:

Реализовать физическую инфраструктуру, связывающую отдельные подсети. Организация подсетей позволяет это сделать, используя единственный сетевой номер. Сейчас это обычно делают интернет-провайдеры, которые желают дать своим постоянным клиентам с локальными сетями статические IP адреса.

Сеть перегружена. Ее разбивают на подсети так, чтобы трафик был сосредоточен внутри подсетей, разгружая, таким образом всю сеть, без необходимости увеличивать ее общую пропускную способность.

Разделение на подсети может быть продиктовано соображениями безопасности, т.к. трафик в общей сети может быть перехвачен. Организация подсетей обеспечивает способ, позволяющий предохранить подразделение от несанкционированного доступа.

Имеется оборудование, которое использует различные технологии организации сетей, и есть потребность связать их (как упомянуто выше).

Организация подсетей. Для организации подсетей необходимо выполнить ряд шагов, которые будут пояснены ниже:

  • Установить физическую связанность (сетевые соединения - типа маршрутизаторов).
  • Решить, какого размера должна быть каждая подсеть, т.е. какое количество IP-адресов требуется для каждого сегмента.
  • Определить соответствующую сетевую маску и сетевые адреса.
  • Установить каждому интерфейсу на каждой сети его собственный IP адрес и соответствующую сетевую маску;
  • Установить направления связи на маршрутизаторах и соответствующих шлюзах, направления связи и/или заданные по умолчанию направления связи на сетевых устройствах;
  • Протестировать (проверить) систему, исправить ошибки.

В качестве примера предположим, что организуется подсеть класса C с номером: 192.168.1.0

Это предусматривает максимум 254 связанных интерфейсов (хостов), плюс обязательный сетевой номер (192.168.1.0) и широковещательный адрес (192.168.1.255).

Установка физической связанности. Чтобы выполнить физическое размещение, необходимо установить правильную инфраструктуру для всех устройств, которые следует связать.

Необходимо использовать коммутационные элементы, чтобы связать различные сегменты вместе (маршрутизаторы, коммутаторы, хабы и т.д.).

Детальная конфигурация для каждого применения определяется конкретными условиями и особенностями размещения сети. Рекомендации и советы на эту тему, которые полезно здесь использовать, доступны также в ряде конференций (например, comp.os.linux.networking).

Установление размеров подсети. Каждая сеть имеет два адреса, не используемых для сетевых интерфейсов (компьютеров) - сетевой номер сети (нули в поле адреса хоста) и широковещательный адрес (единицы в поле адреса хоста). Когда организуются подсети, каждая из них требует собственный, уникальный IP адрес и широковещательный адрес.

Таким образом, разделение сети на две подсети приводит к тому, что образуются два адреса сети и два широковещательных адреса – увеличивается число "неиспользуемых" адресов интерфейсов; создание 4-х подсетей приведет к образованию 8-и неиспользуемых адресов интерфейсов и т.д.

Фактически, самая маленькая пригодная для использования подсеть состоит из 4 IP адресов:

  • Два используются для интерфейсов – один для маршрутизатора в этой сети, другой для единственной машины в этой сети.
  • Один адрес сети.
  • Один широковещательный адрес.

При использовании масок одинаковой длины можно получить одинаковые размеры подсетей, однако, можно делить сеть на подсети, или объединять подсети в более крупную подсеть.

При разработке сети целесообразно организовать минимальное число отдельных локальных сетей, которые были бы совместимы по управлению, физическому размещению, по оборудованию и безопасности.

Определение сетевой маски и сетевых адресов. Сетевая маска позволяет разделить сеть на несколько подсетей. Сетевая маска для исходной сети, не разделенной на подсети, - это просто четверка чисел, которая имеет все биты в полях сети, установленные в '1' и все биты в поле номера хоста, установленные в '0'.

Таким образом, для трех классов сетей стандартные сетевые маски выглядят следующим образом:

Класс A (8 сетевых битов): 255.0.0.0

Класс B (16 сетевых бита): 255.255.0.0

Класс C (24 сетевых бита): 255.255.255.0

Способ организации подсетей заимствует (один или более) биты номера хоста и интерпретирует эти заимствованные биты, как часть сетевых битов. Например, для сети класса C с сетевым номером 192.168.1.0 возможно несколько случаев:

Число Число машин

подсетей в сети Сетевая маска

2 126 255.255.255.128 (11111111.11111111.11111111.10000000)

4 62 255.255.255.192 (11111111.11111111.11111111.11000000)

8 30 255.255.255.224 (11111111.11111111.11111111.11100000)

16 14 255.255.255.240 (11111111.11111111.11111111.11110000)

32 6 255.255.255.248 (11111111.11111111.11111111.11111000)

64 2 255.255.255.252 (11111111.11111111.11111111.11111100)

Выбрав подходящую сетевую маску, необходимо определить сетевые, широковещательные адреса и диапазоны адресов для получившихся сетей. Рассматривая сетевые номера класса C и отражая только заключительную часть адреса сети, можно получить:

 

Сетевая маска Подсетей Адр. Шир.вещат. МинIP МаксIP Хостов Всего хостов подсети адрес адрес адрес

--------------------------------------------------------------------------------------------------------------------------

128 2 0 127 1 126 126

128 255 129 254 126 252

 

192 4 0 63 1 62 62

64 127 65 126 62

128 191 129 190 62

192 255 193 254 62 248

 

224 8 0 31 1 30 30

32 63 33 62 30

64 95 65 94 30

96 127 97 126 30

128 159 129 158 30

160 191 161 190 30

192 223 193 222 30

224 255 225 254 30 240

 

При увеличении числа подсетей сокращается число доступных адресов для компьютеров.

Проектируя конкретную сеть (предприятия, кампуса), теперь можно назначить адреса машин, сетевые адреса и сетевые маски.

Маршрутизация.Для примера, в процессе проектирования сети здания принято решение раздели сеть класса C с адресом IP 192.168.1.0 на 4 подсети (в каждой пригодно для использования 62 IP адреса). Однако, две из этих подсетей целесообразно объединить в общую большую сеть, таким образом, формируются три физических сети.

Network Broadcast Netmask Hosts

192.168.1.0 192.168.1.63 255.255.255.192 62

192.168.1.64 192.168.1.127 255.255.255.192 62

182.168.1.128 192.168.1.255 255.255.255.126 124

Заметим, что последняя сеть имеет только 124 сетевых адреса (не 126, как ожидалось бы от сетевой маски) и является сетью, объединившую две подсети. Компьютеры в других двух сетях интерпретируют адрес 192.168.1.192 как сетевой адрес 'несуществующей' подсети. Подобно они будут интерпретировать 192.168.1.191 как широковещательный адрес 'несуществующей' подсети.

Так, если используются 192.168.1.191 или 192 как адреса хостов в третьей подсети, тогда компьютеры двух малых подсетей не смогут связаться с ними.

Это иллюстрирует важный момент при работе с подсетями - пригодные для использования адреса определяются САМОЙ МАЛОЙ подсетью в этом локальном адресном пространстве.

Таблицы маршрутизации.Маршрутизатор для этой сети будет иметь три сетевых карты к локальным сетям и четвертый интерфейс для связи с Internet (который является шлюзом по умолчанию).

Пусть маршрутизатор использует самый первый доступный IP адрес в каждой подсети. Конфигурация сетевых карт будет следующей:

 

Interface Сеть PortIP Address Netmask

eth0 192.168.1.0 192.168.1.1 255.255.255.192

eth1 192.168.1.64 192.168.1.65 255.255.255.192

eth2 192.168.1.128 192.168.1.129 255.255.255.128

Таблица маршрутизации при данной конфигурации будет такой:

Destination Gateway Genmask Iface

192.168.1.0 0.0.0.0 255.255.255.192 eth0

192.168.1.64 0.0.0.0 255.255.255.192 eth1

192.168.1.128 0.0.0.0 255.255.255.128 eth2

 

Организация кампусной сети.Кампусная сеть состоит обычно из сетевых структур нескольких корпусов зданий, принадлежащих одной организации. Структура сети строится на основе структурированной кабельной системы (СКС, стандарт ISO 11801). Сеть каждого здания обычно выглядит таким образом, что на каждом этаже организована горизонтальная подсистема, соединяющая рабочие станции с коммутационным центром этажа. Коммуникационный центр этажа кроме коммутационной стойки (или панели) использует активное сетевое оборудование – концентратор или коммутатор. Для подключения рабочих станций целесообразно использовать витую пару категории 5 и сеть Ethernet или Fast Ethernet (с учетом перспективы развития). При большой протяженности этажа может быть организован дополнительный коммуникационный центр или использовано каскадное соединение концентраторов или коммутаторов. Напомним, что при каскадировании концентраторов необходимо соблюдение соответствующих правил (4-х хабов, 1 или 2-х хабов) или должен проводиться соответствующий расчет задержек (расчет PDV, PVV).

Перспективно использовать на этаже коммутаторы, в том числе способные поддерживать технологию VLAN. В некоторых конкретных случаях бывает целесообразно объединить в одном коммуникационном центре горизонтальные подсистемы смежных этажей.

Согласно методологии СКС трафик горизонтальных подсистем здания объединяется посредством вертикальной подсистемы в коммуникационном центре здания. Здесь в качестве активных коммуникационных элементов в соответствии с масштабом сети рационально использовать коммутаторов частности, коммутаторы третьего уровня или маршрутизаторы. Такие коммутаторы могут реализоваться по схеме, стянутой в точку магистрали, и назначаются для маршрутизации потока здания по этажам. При этом каждый этаж представляется отдельной подсетью, а маршрутизация реализуется использованием масок подсетей (как описано выше).

К такому коммутатору часто подключаются и централизованные серверы зданий, для связи с которыми часто предусматривают использование технологии Port trunking. Реализация каналов связи в вертикальных подсистемах обычно предусматривает использование витой пары категории 5 или оптоволокна (предпочтительно для многоэтажных зданий). В некоторых случаях из экономических соображений используется толстый коаксиальный кабель.

Объединение коммуникационных центров зданий, расположенных на значительных расстояниях (порядка 10 км и более), обычно производится с помощью сети FDDI на оптоволоконных каналах. При более компактном расположении зданий кампуса используется сеть на коммутаторах третьего уровня с распределенной магистралью, причем коммутаторы зданий связываются по схеме «каждый с каждым», образуя структуру с избыточными связями. При этом коммутаторы зданий должны поддерживать технологию «Spanning Tree».Для повышения производительности, как и прежде, можно использовать технологию Port trunking. В соответствии со стандартом IEEE 802.3ad максимальное число каналов в транке – восемь.

Связь с внешней (глобальной) сетью осуществляется через выделенный внешний маршрутизатор, использующий внешние реальные IP адреса для выхода в глобальную сеть и технологию NAT или NAPT.

 

Спецификация ЛВС

По результатам проектирования составляется спецификация ЛВС. Пример спецификации ЛВС показан в таблице 6.

 

 

Таблица 6. Технические средства (ТС) вычислительной сети.

NNN Тип ТС Наименование ТС Цена ТС, у.е. Кол-во ТС, шт. Стоимость ТС, у.е.
Сервер Компьютер Pentium 166 MMX, RAM 16 sdram, HDD 1.6 Gb, VM 14" mono  
Сетевой адаптер Ethernet 3COM
Линия связи Кабель коаксиальный RG 58 0.6 1м 700 м
Активные концентраторы HUB 8-port 10Mbs
Разъемы BNC connector
Разъемы T - connector
Сетевой принтер HP Laser Jet 5
Программное обеспечение
Сетевая операционная система MS Windows NT 4 Server
Интегрированная офисная система 4176MS OFFICE'97 RUS

 

Планирование информационной безопасности

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных [8].

Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8].

Основной критерий для выбора уровня защиты – важность информации. Если в проектируемой вычислительной сети будут обрабатываться конфиденциальные данные, следует выбрать централизованную защиту на основе сервера (независимо от количества обслуживаемых пользователей).

На этом этапе необходимо для разработанной архитектуры ЛВС и требований к ее безопасности с учетом области применения произвести следующие работы:

· составить таблицу угроз информационной безопасности;

· составить таблицу прав доступа пользователей к информации;

· составить перечень (таблицу) мероприятий по защите информации.

Всем защитным мерам должен предшествовать анализ угроз. К числу угроз можно отнести все, что влечет за собой потерю данных в сети, в том числе:

  • воровство или вандализм;
  • пожар;
  • отказы источников питания и скачки напряжения;
  • отказы компонентов;
  • природные явления (молния, наводнения, бури и землетрясения).

Существуют методы и системы, предотвращающие катастрофическую потерю данных:

  • резервное копирование на магнитную ленту;
  • источники бесперебойного питания;
  • отказоустойчивые системы;
  • предупреждение кражи данных;
  • пароли и шифрование;
  • аудит;
  • бездисковые компьютеры;
  • обучение пользователей;
  • физическая защита оборудования;
  • защита от вирусов

Аудит – это запись определенных событий в журнал безопасности сервера.

В проекте нужно выбрать методы и системы для предотвращения потери данных, соответствующие перечню наиболее реальных угроз безопасности в заданной предметной области, приводящих к наиболее тяжелым последствиям для вычислительной сети. Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:

  • список пользователей, имеющих право доступа;
  • функции, которые может выполнять пользователь;
  • привилегии для доступа к выбранной информации.

В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам. Пример определения прав доступа для групп пользователей показан в таблице 7.

Таблица 7. Права доступа для групп пользователей

Название группы Внутренние ресурсы Уровни доступа к внутренним ресурсам Доступ в Internet и электронная почта
Администраторы Все сетевые ресурсы Права администратора в каталогах, в том числе изменение уровня и прав доступа Все сетевые ресурсы
Разработчики Базы данных разрабатываемых документов Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов Все сетевые ресурсы
Сотрудники в офисе Вся информация предприятия (учреждения) Ограничение доступа к папкам (по необходимости) Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции)
Сотрудники вне офиса Вся информация предприятия (учреждения) Ограничение доступа к папкам (по необходимости) Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа
Поставщики, деловые партнеры, клиенты Специальные каталоги и папки для производителей, партнеров и клиентов Доступ только к специально отведенным областям Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя
Потенциальные клиенты Специальные каталоги и папки для клиентов Просмотр объектов (чтение и поиск файлов) При открытом доступе Интрасеть должна быть изолирована; идентификация пользователя не требуется
⇐ Предыдущая-101234567891011121314Следующая ⇒

 




Поиск по сайту:
©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.