Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Интернет в вопросах и ответах

Крис Льюис

Вопрос: Когда мы впервые подключались к Интернет, то пригласили консультанта для настройки маршрутизатора и схемы адресов межсетевого протокола (IP-адресов). В то время у нас был только один сетевой адрес класса С, присвоенный нашим поставщиком услуг Интернет. Чтобы разбить его на несколько подсетевых номеров, консультант использовал маски подсетей. При этом участки самой сети были тем самым поделены на различные сегменты маршрутизации. Для чего вообще необходима подобная разбивка сети на подсети?

Ответ: Действительно консультант разбил сеть класса С на несколько отдельных подсетей. Это значит, что все ваши 256 адресов были разбиты на отдельные группы, которые в равной степени могут использоваться в различных маршрутизируемых сетях. Создание нескольких подсетей под одним сетевым номером делает трафик более управляемым.

Деление одного сетевого номера на несколько подсетевых обусловлено множеством причин. Одна из них — использование в сети легальных IP-адресов, полученных от поставщика услуг Интернет. В этом случае при наличии, скажем, у вас 200 персональных компьютеров, которые необходимо подсоединить к Интернет, он, скорее всего, назначит вам только один адрес класса С. Тогда, чтобы управлять широковещательным трафиком или применять различные стратегии защиты к разным группам компьютеров, вы можете разбить этот адрес на несколько сегментов маршрутизации, способных при передаче широковещательных сообщений работать как отдельные сети.

Согласно известному вам правилу записи IP-адресов, имеются четыре отличительных числа, каждое из которых представляет 8 бит действительного IP-адреса. В таком, как у вас, адресе класса С три первых числа зафиксированы, т. е. 24 бита уже присвоены и не могут быть изменены. Если вам был присвоен адрес класса С, например 200.1.1.0, то последнее число этого адреса можно изменять любым способом.

Процесс деления на подсети лучше всего рассматривать на конкретных примерах. Допустим, поставщик услуг Интернет дал вам сетевой номер класса С 200.1.1.0. Тогда вы можете присваивать компьютерам вашей сети любой из номеров в интервале от 200.1.1.1 до 200.1.1.254, поскольку значение 200.1.1.0 уже занято самим сетевым номером (некоторые IP-стеки используют этот адрес для широковещания), а значение 200.1.1.255 зарезервировано как широковещательный адрес.

Предположим, нам нужно разбить этот сетевой номер на четыре подсети, применяя для каждого из сетевых интерфейсов свое значение маски подсети. Мы знаем, что в интервале от 200.1.1.0 до 200.1.1.255 имеется всего 256 номеров (с учетом нуля). Разделив число 256 на четыре, мы имеем 64. Следовательно, для получения четырех одинаковых подсетей из одного сетевого номера класса С мы должны пронумеровать их следующим образом: номера для первой подсети расположить в интервале от 200.1.1.0 до 200.1.1.63, для второй — от 200.1.1.64 до 200.1.1.127, для третьей — от 200.1.1.128 до 200.1.1.191 и для четвертой — от 200.1.1.192 до 200.1.1.255. В интервале каждой из четырех областей имеется по 64 отдельных номера. Здесь, так же как и в случае с целой сетью, первый и последний номера каждой подсети не должны присваиваться хостам, т. е. они резервируются.

И еще один важный вопрос: как выбрать параметр, который должен соответствовать каждому сетевому интерфейсу, чтобы обеспечить вышеописанное разбиение сети? Это делается с помощью вычитания в каждой подсети из числа 256 требуемого числа отдельных номеров. В каждой подсети нам нужно иметь 64 номера, тогда, из 256 вычитая 64, мы получаем 192. Значит, значение маски подсети равно 255.255.255.192.

Вопрос: Мы подсоединились к Интернет через маршрутизатор, выполняющий функции межсетевого экрана. В то время, когда сеть с доступом в Интернет была небольшой и ни на одной из машин не содержалось секретной информации, такая установка была вполне подходящей. Но сегодня мы намерены более интенсивно использовать Интернет и рассматриваем более сложный вариант firewall-системы. Нам приходилось слышать о серверах-посредниках и трансляторах адресов. Какова между ними разница и что больше подходит для нашей сети?

Ответ: Существуют три типа межсетевых экранов. Первый, который вы используете сейчас, является фильтром пакетов (иногда его называют фильтрующим маршрутизатором — screening router). Он пропускает пакеты только согласно списку доступа, заданному на маршрутизаторе. Большинство маршрутизаторов позволяют вам разрешать лишь исходящие TCP-соединения. Они также накладывают ограничения на значения IР-адресов доступных извне машин внутренней сети и допускают использование только разрешенных типов протоколов. Таким образом были организованы самые первые соединения с Интернет. Однако такую защиту сети можно было довольно легко преодолеть.

Два других типа межсетевых экранов — трансляторы адресов и серверы-посредники — необходимы, чтобы скрыть внутреннюю схему сети от тех, кто находится в Интернет. Трансляторы адресов, такие, как Cisco PIX, изменяют адресную часть IP-заголовка, чтобы представить во внешней сети Интернет другой IP-номер, а не тот, который имеет внутренний хост. В firewall-системах такого типа используется отображение внутренних адресов на внешние, и оно может быть установлено как постоянно, так и по требованию. Итак, транслятор адресов препятствует тому, чтобы внешние пользователи узнали настоящий адрес внутренней машины.

Такого же результата, но другим способом можно достичь с помощью сервера-посредника. На нем (обычно это Unix-машина) установлены два типа демонов приложений, таких, как telnet, HTTP и FTP. Один из них предназначен для использования внутренними машинами, а другой — внешними. В процессе работы посредник обменивается информацией между демонами.

Далее, транслятор адресов должен быть определен как принятый по умолчанию маршрутизатор. Обычно это делается путем объявления маршрута 0.0.0.0. В результате, если какая-нибудь машина внутренней сети посылает пакет сетевому номеру, маршрут к которому ей неизвестен, для дальнейшей доставки она пошлет этот пакет firewall-системе. Данный метод нормально "работает" со всеми сетевыми номерами Интернет, однако при наличии повреждений внутри вашей сети может вызвать появление ряда проблем.

К примеру, линия связи во внутренней сети нарушается. Тогда использующая ее машина больше не получит доступа к машинам, находящимся на другой стороне испорченной линии, а будет направлять весь свой трафик на принятый по умолчанию маршрутизатор (в нашем случае им является межсетевой экран), что в конце концов может привести к перенасыщению соединения с Интернет или вообще вывести его из строя.

С сервером-посредником вы можете избежать этой проблемы. Приложения, необходимые для связи с Интернет (обычно это Web-браузеры), позволяют вам определить адрес посредника для каждого из приложений, будь-то FTP, telnet или HTTP. В результате каждое приложение, нуждающееся в выходе в Интернет, пошлет свой трафик по определенному адресу сервера-посредника и вам не нужно будет объявлять маршрут 0.0.0.0 во внутренней сети. Все же необходимо отметить следующее: сервер-посредник не может так быстро пересылать пакеты, как это делает транслятор адресов. Поэтому принимая решение о выборе межсетевого экрана, нужно учитывать сферу его применения и конкретную ситуацию.





  
10 '1997
СОДЕРЖАНИЕ

колонка редактора

• И вечный бой, покой нам только снится

локальные сети

• SMP-серверы

• О Европейской Директиве и экранированных кабельных проводках

• Что могут сетевые компьютеры

• Как мы переходили с NetWare на Windows NT

корпоративные сети

• Дерево NDS: профилактика и решение проблем роста

• Модернизация сети с помощью АТМ (часть II)

• Windows NT против Unix: гонка продолжается

• Unicenter TNG: от управления ЭВМ к контролю над предприятием

• Делайте то, что актуально сегодня

услуги сетей связи

• Российский рынок телефонных услуг

• Измерения в системе сигнализации №7

• Страсти по CDMA

• Системные решения для громкоговорящей трансляционной сети

интернет и интрасети

• Грядет эра Java-управления

• Активы и пассивы сетевых mass media

защита данных

• Системы RAID - хранилища данных в сетях

новые продукты

• Универсальная система доступа NEVADA, Tainet Challenger 288 - модем со спидометром

только на сервере

• Интернет в вопросах и ответах

• Технология SecureFast фирмы Cabletron Systems и концепция потокового вещания корпорации Microsoft



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх