Безопасность вычислительных сетей

Безопасность вычислительных сетей

Общие сведения

Коммуникационная сеть – это комплекс объектов, осуществляющих производство, хранение, переработку и потребление некоторого продукта, а так же линии связи, по которым осуществляется передача этого продукта. В зависимости от природы продукта коммуникационные сети бывают разные: если продукт – вещество, то сети материальные, если продукт – энергия, то сети энергетические, если продукт – информация, то сеть информационная.

А если в информационную сеть добавить некие вычислительные устройства (в узлы), то эта сеть будет вычислительной.

Рисунок 1

Вычислительные сети классифицируются по следующим признакам:

1) Территориальный признак: бывают сети: глобальные – охватывают несколько регионов, распространены по всему миру. Следующий вид – локальные сети – расстояние между узлами измеряются сотнями метров. Корпоративная сеть – принадлежит одному предприятию, может включать несколько локальных сетей. Internet не попадает в эту классификацию

2) По способу управления: бывают сети типа клиент-сервер, это сети в которых один или несколько ЭВМ выделяются для оказания определенных функций. Серверы бывают разные (почтовые, файловые, сетевой принтер). Эта архитектура как правило характерна для больших систем. Одноразовая сеть – это сеть, где компьютеры могут обращаться друг к другу, сервера как такового нет. Сетоцентрическая концепция (тонкий клиент) – сходна с клиент-сервером. Здесь есть 1-2 максимум вычислительных устройств, которые выполняют кучу вычислений, а к ним подключаются клиенты без софта и вычислительных ресурсов, но выступает передатчиком между сервером и юзером (ввод-вывод результатов).

3) По типу топологии сети:

А) Общая шина

Рисунок 2

В таких сетях есть общий кабель, к которому подключаются ЭВМ. Делается на коаксиальных кабелях. Они хороши тем, что удобны для монтажа. Ограничения: длинна сегмента (175 м), количества устройств (~30), скорость (10 Мб/сек), доступность информации всем компьютерам в сети и прочее.

Б) Звезда

Рисунок 3

Все ЭВМ подключены к одному, центральному ЭВМ. В качестве центрального блока чаще всего выступают хабы и свитчи (хабы уходят в прошлое). Хаб в 1 момент времени поддерживает 1 канал связи, а свитчи – множество каналов.

В) Кольцо

Рисунок 4

Общий кольцевой замкнутый кабель – применяется чаще всего в магистральных сетях. Если в общей шине, и в звезде используют МДКНОК (устройство сначала использует линию, и если там тишина, то передается информация, а если линия занята, то передача не осуществляется). В кольцевой топологии используется маркерный метод доступа. По сети передается маркер. Если станция получила маркер и ей нужно что-то передать, то она передает информацию, если нет – передает маркер другой станции. Следовательно, примерно одинаковая загрузка сети, при этом постоянная.

 

Так же присутствуют другие топологии, но эти – основные.

4) Сети делятся на однородные и гетерогенные (неоднородные). Однородные сети – в них работают одинаковые компьютеры, в неоднородных сетях – разные. Если в сети работают компьютеры с одинаковым стеком сетевых протоколов, то это однородные сети, а если компьютеры с разным стеком сетевых протоколов, то это неоднородные сети.

Три способа доступа к среде передачи данных:

Дуплексная линия связи – линия связи, по которой данные могут передаваться одновременно в обоих направлениях.

Полудуплексная линия связи – по ней данные могут передавать в обоих направлениях, но в разные промежутки времени.

Симпликсная линия связи – передача данных ведется только в 1 сторону.

Протокол – этонабор семантических и синтаксических правил, описывающих процесс взаимодействия между устройствами сети при передаче информации.

Модель OSI – семиуровневая модель взаимодействия открытых систем – разделяет весь процесс передачи информации на 7 частей:

7) Прикладной – самый верхний уровень – на этом уровне работают протоколы, работающие непосредственно с приложением.

6) Представительский уровень – уровень представления данных – на этом уровне производится пред-кодировка – подготовка данных к сетевой передаче.

5) Сеансовый уровень – установление сеанса связи с получателем.

4) Транспортный уровень – подготовка закодированных данных к передаче, организация виртуального канала связи. TCP – гарантированный канал связи с подтверждением. UDP – отправка пакета без подтверждения доставки.

3) Сетевой уровень – задачи маршрутизации и адресации (логические адреса). Основной протокол – протокол IP. Основная задача – присвоение адреса отдельным пакетам. Также допустима дополнительная дефрагментация в промежуточных узлах маршрута.

2) Логический уровень – основная задача – физическая адресация. MAC-адрес – адрес конкретного порта

1) Физический – взаимодействие данных компьютера и физических носителей.

Рисунок 5

13.09.2013

Концепция TCP/IP

TCP/IP – transmission control protocol/ internet protocol – промышленный стандарт стека протоколов, разработанный для глобальной сети. Стандарты этого стека опубликованы в серии документов, получивших название RFC – request for comment, описывающих внутреннюю работу сети интернет. Этот стек был разработан по заказу министерства обороны США в конце 60-х годов для связи экспериментальной сети ARPAnet с другими сетями, как набор общих протоколов для разнородной вычислительной среды. Большой вклад в практическую реализацию этого стека внес университет Бэркли, реализовав протоколы этого стека в своей ОС Unix. Ведущую роль этого стека объясняется следующими свойствами:

1) Наиболее завершенный стандартный и популярный стек сетевых протоколов с многолетней историей

2) Практически все сети передают основную часть своего трафика с помощью протоколов этого стека.

3) Все современные ОС поддерживают этот стек

4) Он предоставляет гибкую технологию для соединения разнородных систем, как на уровне транспортных подсистем, так и на уровне прикладных приложений

OSI	Описание уровня	TCP/IP
7, 6	Прикладной – на этом уровне располагаются протоколы и сервисы прикладного уровня – FTP (протокол передачи данных), telnet (протокол удаленного терминала), SMTP (почтовый протокол), гипертекстовые, HTTP и проч
5, 4	Основной – представлен TCP и UDP
	Межсетевого взаимодействия – занимается передачей пакетов с использованием различных транспортных технологий локальных сетей, территориальных сетей, линий специальной связи и так далее. Основной протокол – IP. Изначально он проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. К этому уровню так же относятся протоколы, занимающиеся составлением и идентификацией таблиц маршрутизации. RIP – самый просто и неэффективный протокол, протокол OSPF – развитие RIP, протокол ARP/RARD, ICMP – протокол управления сетью.
2, 1	Физический – поддерживает все используемые протоколы физического уровня (Ethernet, token ring, FDDI и т.д.)

 

Формат заголовка IP

Описан в RFC-791

Поле версии

Version 4 бита – показывает версию протокола (почти всегда – IP 4 верссии)

IHL 4 бита – длина заголовка (длина заголовка переменная) измеряется в словах по 32 бита и фактически указывает на начало блока данных от начала пакета. Минимальная длина корректного пакета – 5 слов, 160 бит.

Type of Service 8 бит – поле типа сервиса, с помощью отдельных параметров определяет тип требуемого обслуживания, то есть фактически управляет выбором рабочих характеристик при передаче пакетов через сеть. Здесь используется по-битовое кодирование, то есть каждый бит отвечает за свой параметр

Total Length 16 бит – общая длина пакета – измеряется в байтах. Как правило, пакеты 536 байт.

Identification 16 бит – устанавливает поле отправителем для сборки фрагментов отдельной датаграммы.

Flags 16 бит – различные управляющие флаги.

Fragment offset 13 бит – смещение объекта- используется для дефрагментации на сетевом уровне. Показывает, где в исходной датаграмме находится пересылаемой в данном пакете фрагмент. Смещение этого фрагмента изменяется порциями по 8 байт, первый фрагмент имеет смещение 0.

Time to Live (TTL) 8 бит – время жизни пакета в сети. Если значение этого поля 0, то пакет подлежит уничтожению. Фактически это поле измеряется в количестве переходов между маршрутизаторами до места назначения.

Protocol 8 бит – код протокола следующего уровня. Например 1 – ICMP. 6 – TCP, 17 – UDP и тому подобное.

Headex Checksum 16 бит – контрольная сумма заголовка. Наличие таких полей, как флаги, ТТЛ (поля, которые могут изменяться) заставляет пересчитывать контрольную сумму в каждом маршрутизаторе.

Source Address 32 бита – адрес источника

Destination Address 32 бита – адрес приемника

Options – поле опции (поле переменной длины, его может не быть). Оно решает разные задачи: указать точный маршрут по маршрутизаторам, можно фиксировать пройденные маршрутизаторы, обеспечивать безопасность и так далее. Может изменяться в процессе передачи.

Padding – поле выравнивания длинны заголовка до 4-х битово кратной границы – забивает 0 (тоже поле переменной длины)

Заголовок протокола UDP

Порт – абстракция, с помощью которой осуществляется взаимодействие между прикладными процессами и протоколами транспортного уровня.

Рисунок 6

Номер порта содержит 2 байта

Диапазон памяти для обмена данными

Многие общеизвестные прикладные сервисы и службы имеют фиксированные номера портов. Например: telnet работает с 21 портом, SNMP со 161 портом.

Протокол UDP – взаимодействие между прикладным уровнем и транспортным. В заголовке данного протокола используются:

Порт отправителя 16 бит

Порт получателя 16 бит

Длина пакета 16 бит

Контрольная сумма 16 бит

 

Рисунок 7

Прикладной процесс характеризуется только совокупностью IP-адрес + порт. Эта совокупность называется соккет.

Контрольное суммирование в протоколе UDP:

Когда модуль UDP получает датаграмму от модуля IP, он проверяет контрольную сумму, содержащуюся в ее заголовке. Если контрольная сумма равно 0, то значит отправитель ее не подсчитывал и ее можно игнорировать. Это допустимо в случае, если узлы взаимодействуют через единую сеть Ethernet. Если контрольная сумма правильная или равна 0, то проверяется порт получателя. Если к этому порту подключен прикладной процесс, то это сообщение ставится в очередь для прочтения. В противном случае этот пакет отбрасывается. Если пакеты поступают быстрее, чем их успевает обработать прикладной процесс и очередь сообщений переполняется, то вновь поступающие пакеты так же отбрасываются.

Протокол TCP

Протокол TCP предоставляет транспортные услуги с гарантированной доставкой сообщений, с установлением соединений в виде байтовых потоков и используется в тех случаях, когда требуется надежная доставка сообщений.

Освобождает прикладные процессы от необходимости использовать тайм-ауты и повторные передачи для обеспечения надежности.

Прикладные процессы взаимодействуют с модулем TCP так же, как и с модулем UDP, то есть через порты. Для отдельных приложений выделяются общеизвестные номера портов. Например срвер Telnet использует порт с номером 23.

Когда прикладной процесс начинает использовать модуль TCP, то 2 модуля TCP – на стороне клиента и на стороне сервера начинают общаться и поддерживают информацию о состоянии соединения, называемого виртуальным каналом.

Этот канал потребляет ресурсы обоих модулей, участвующих в соединении и является дуплексным. Протокол TCP разбивает входной поток на сегменты и, при этом, может не сохранять границ, а именно – модуль TCP на передающей стороне может выполнить 5 записей в порт, а прикладной процесс на приемной стороне может выполнить 10 чтений из порта или, напротив, получить все данные за 1 операцию чтения. То есть не существует четкой зависимости между числом и размером записываемых сообщений с 1 стороны и числом и размером получаемых сообщений с другой стороны. ПротоколTCP требует, чтобы все отправленные данные были подтверждены принявшей их стороной. Для этого он использует тайм-ауты и повторные передачи. Отправителям разрешается передавать некоторое количество данных, не дожидаясь подтверждения приема ранее отправленных данных. Таким образом между отправленными и подтвержденными данными существует окно уже отправленных, но еще не подтвержденных данных.

Количество байт, которое можно передавать без подтверждения называют размер окна. Так как ТСР канал является дуплексным, то подтверждение для данных, идущих в одном направлении, могут передаваться одновременно с данными, идущими в обратном направлении.

Приемники на обеих сторонах виртуального канала занимаются управлением потоком с целью недопущения переполнения буфера.

Заголовок ТСР:

Source Port 16 бит

Destination Port 16 бит

Sequence number 32 бита – номер очереди для первого байта данных в данном сегменте

Acknowledgement Number 32 бита – поле содержит следующий номер очереди, который отправитель данного пакета желает получить в обратном направлении. Номера подтверждения отправляются постоянно, как только соединение будет установлено

Data offset 4 бита – смещение данных (размер заголовка) – содержит количество 32 битных слов в заголовке ТСР

Reserved 6 бит – поле резерва

Control Bets 6 бит –контрольные биты:

1) URG – показывает, что задействовано поле срочного указателя

2) ACK – показывает, что задействовано поле подтверждения

3) PSH – показывает необходимость задействовать функцию проталкивания

4) RST – перезагружает данное соединение

5) SYN – синхронизирует номера очереди

6) FIN – закрытие соединения

Window 16 бит – количество байт, получение которых ждет отправитель данного пакета

Checksum 16 бит

Urgent Point 16 бит – поле срочного указателя, содержит номер очереди для байта следующего за срочными данными. Значение этого поля интерпретируется только при выставленном соответствующем контрольном бите.

Options – поле опций переменной длины

Padding – поле выравнивания до границы.

 

ТСР соединение

ТСР соединение проходит через ряд промежуточных состояний, переходя из одного в другое, в ответ на определенные события. Например – получение пакетов с различными выставленными флагами, действия пользователя и так далее.

Можно выделить 3 основных состояния у ТСР соединения:

1) Установление

2) Рабочее состояние или обмен данными

3) Закрытие соединения

А à В.

Для установления канала, в ответ на желание передать данные, узел А передает узлу Б пакет следующего содержания: устанавливается флаг SYN и в поле номер очереди записывает начальное значения номера очереди – ISSa. Узел В, получив такой пакет, понимает, что нужно установить соединение (если на это соединение нет запрета). Узел В отправляет такой пакет:

SYN, ACK, в номер очереди заносит свое начальное значение очереди, а в поле подтверждения отправляет полученное значение, увеличенное на единицу (ISSa+1)

На 3 шаге узел А отправляет В такой пакет: ACB, в номер очереди свой номер, увеличенный на 1, а в номер подтверждения – полученный, увеличенный на 1. (ISSa +1, ISSb+1)

На этом этапе соединение установлено – 3-х этапное рукопожатие.

Затем наступает момент передачи данных.

От узла А к узлу В идут пакеты такого содержания:

ACK, ISSa+1, ACK (ISSb+1), DATA

Закрытие соединения:

Закрытие полнодуплексного соединения является предметом множества интерпретаций, так как, неочевидно, как интерпретировать в соединении сторону, получающую информацию. Клиент, находящийся в состоянии закрытия соединения может получать информацию до тех пор, пока партнер (передающая сторона), не сообщит, что переходит в состояние закрытия соединения. В этом случае модуль ТСР гарантированно получит все буферы с информацией до того, как соединение было закрыто. Поэтому клиенту, не ждущему информацию с соединения, следует ожидать сообщения об успешном закрытии этого соединения.

Это означает, что все данные, получены модулем ТСР, принимающим информацию.

Особое значение имеют 3 случая:

1) Клиент инициирует закрытие соединения, дав команду своему модулю ТСР.

В этом случае создается пакет с флагом FIN, и помещается в очередь пакетов, ожидающих отправления. После этого модуль ТСР уже не будет принимать данных от своего клиента, но может передавать полученные из сети данные. Все пакеты, стоящие в очереди на отправку, будут в случае необходимости отправляться повторно до тех пор, пока не получат своего подтверждения. Когда модуль ТСР другой стороны подтвердит получение пакета с флагом FIN, и сама отправит аналогичный пакет, местная программа может подтвердить его получение.

Заметим, что модуль ТСР, получающий пакет с флагом FIN, будет подтверждать его, но не отправит свой пакет с аналогичным флагом до тех пор, пока его клиент не закроет соединение.

2) Закрытие соединения начинается с того, что получен пакет с флагом FIN.

Если из сети приходит невостребованный пакет с флагом FIN, то принимающий его модуль может подтвердить получение такого пакета и оповестить своего клиента об этом. После этого клиент может ответить командой на закрытие соединения.

3) Оба клиента одновременно дают команду на закрытие соединения.

Приводит к обменами пакетами с флагом FIN. Как только их получение будет подтверждено, их соединение ликвидируется.

Передача данных

Данные, передаваемые модулю ТСР пользовательским приложением, записываются в передающий буфер. В зависимости от требований производительности протокол ТСР может осуществлять отправку данных 2-мя способами.

1 способ: Создавать отдельные пакеты для каждой группы данных, поступивших от приложений. Такой способ используется при частой передаче данных и малом их объеме.

2 способ: дожидаться накопления большого объема данных и только после этого формировать и отправлять пакеты. Доставка данных от модуля TCP/IP пользовательскому приложению может осуществляться 2 способами:

1 способ – при получении сегментов в их исходной последовательности.

2 способ – занесение данных из нескольких сегментов в буфер приема.

В реальных сетях некоторые пакеты поступают с нарушением исходного порядка следования. В этом случае возможны 2 варианта:

1) Протокол TCP на приемной стороне принимает только те пакеты, которые приходят в порядке отправления, а остальные отбрасывает. При этом упрощается реализация протокола, но создается дополнительная нагрузка на сеть, в следствии наличия повторной передачи.

2) Принимает все пакеты, зафиксированные в окне получения, вне зависимости от их порядка поступления. При этом требуются более сложные алгоритмы, а также схема буферизации данных и отслеживания порядка их поступления.

Протокол ТСР поддерживает очередь отправленных пакетов, подтверждение о приеме которых еще не поступили. Согласно спецификации протокола сегмент будет передан повторно, если подтверждение не поступит в течение некоторого времени. Разные реализации протокола могут поддерживать 3 возможные стратегии передачи:

1) Только первый – поддерживается один таймер передачи для всей очереди. При получении подтверждения первый сегмент удаляется из очереди и таймер сбрасывается.

Если время таймера истекает, повторно передается сегмент из начала очереди и таймер обнуляется. Преимущества – повышается эффективность передачи трафика, так как повторно передаются только потерянные сегменты. Недостаток – из-за того, что таймер для 2-го сегмента в очереди не устанавливается, пока не подтвержден прием 1 сегмента, могут возникать задержки в передаче.

2) Пакетная стратегия. Так же поддерживается 1 таймер повторной передачи для всей очереди и, когда приходит подтверждение из очереди повторной передачи, удаляются все сегменты и таймер сбрасывается. Если время таймера истекло, повторно передаются все сегменты из очереди и таймер обнуляется. Преимущества – снижается вероятность длительности задержек. Недостатки – способна привести к ненужной повторной передаче.

3) Индивидуальная стратегия – для каждого сегмента в очереди существует отдельный таймер. При получении подтверждения из очереди повторной передачи удаляется 1 сегмент, а соответствующий таймер обнуляется. По истечении времени какого-либо таймера повторно передается только соответствующий сегмент и его таймер сбрасывается. Этот способ устраняет недостаток 1 варианта ценой более сложной реализации.

При поступлении пакета протокола ТСР на приемной стороне имеется 2 варианта выбора времени отправки подтверждения:

1) Немедленно. Сразу после принятия данных с определенным номером последовательности передается пустой сегмент, содержащий соответствующий номер подтверждения. Преимущества – простота реализации, поддержка полной информированности протокола ТСР на передающей стороне. Недостатки – дополнительные пустые пакеты в сети, что приводит к ее перегрузкам.

2) С накоплением. Когда данные успешно приняты, отмечается необходимость в подтверждении, которая отправляется с очередным исходящим пакетом данных, с соответствующим установленным флагом. Во избежание длительных задержек устанавливается таймер окна. Если время таймера окна истекает до момента отсылки очередного сегмента данных, то отправителю отправляется пустой сегмент, содержащий соответствующий номер подтверждения.

Учитывая недостатки 1 варианта, на практике, как правило, используется 2 вариант, который усложняет работу принимающей стороны и усложняет задачу отправителю, связанную с анализом поступающих пакетов

Эхо протокол

Протокол ICMP предоставляет простые средства для тестирования достижимости отдельных узлов, которые представляют собой очень простой эхо протокол, включающий обмен 2-мя типами сообщений: эхо-запрос TYPE=8, эхо-ответ TYPE = 0. Эта процедура реализована в утилите ping.

Сообщение о недостижимости узла назначения.

Маршрутизатор, обнаруживший, что по какой-либо причине не может доставить IP пакет узлу назначения, должен отправить ICMP пакет источнику с конкретизацией причины недостижения узла назначения и только после этого отбросить пакет. Причина указывается в поле CODE.

Перенаправление маршрута.

Маршрутные таблицы отдельных конечных узлов сети являются статическими. Маршрутные таблицы маршрутизаторов – динамическими и обновляются специальными протоколами маршрутизации. Поэтому с течением времени маршрутные таблицы конечных компьютеров могут устаревать и, как следствие, терять свою актуальность. Если маршрутизатор замечает, что какой-то компьютер начинает отправлять сообщения несуществующим адресам или нерациональным образом, то он формирует и направляет сообщение о перенаправлении маршрута. Этот механизм позволяет отдельным компьютерам держать в своих таблицах маршрутизации адреса своих локальных маршрутизаторов.

Адресация в IP протоколе

Типы адресов стека TCP/IP

Существует 3 типа адресов:

1) Аппаратные адреса – адреса, присвоенные узлу в соответствии с технологией подсети. В стеке протоколов ТСР/IP это так называемые MAC-адреса (Media Access Control). Они назначаются сетевым адаптерам и портам маршрутизаторов производителя оборудования и являются уникальными. Имеет размер 6 байт и записывается в 16-ричном виде

2) Сетевые адреса (IP адреса) – представляют собой основной тип адресов, на основании которых сетевой уровень передает сообщение. Эти адреса имеют размер 4 байта, записываются в 10-ном виде и разделяются точкой. IP-адрес назначается независимо от MAC-адреса. Маршрутизаторы входят в несколько сетей и имеют несколько IP-адресов.

3) Символьные, доменные имена – служат исключительно для удобства представления IP-адресов. Для установления соответствия между IP и символьными адреса создана специальная служба – DNS – Domain Name System.

Структура IP-адреса

IP-адрес состоит из 2-х логических частей:

Номер подсети (ID подсети)

Номер узла (ID узла)

При передаче из одной сети в другую используется номер подсети. Когда пакет попал в нужную сеть, используется номер узла.

По числу разрядов, отводимых для представления номера узла можно вычислить общее количество узлов: если под номер узла отводится N бит, то количество узлов в подсети 2^N – 2. Все 0 и все 1 зарезервирован.

Для определения количества бит, выделяемых под номер подсети и номер узла:

1) Классический способ – с помощью классов

2) С помощью масок

В обоих способах есть общее правило – под номер подсети все отводится несколько первых бит IP-адреса. Оставшиеся бит – номер узла.

Классы IP-адресов

Существует 5 классов IP-адресов. Они описаны в RFC791, за принадлежность к тому или иному классу отвечают первые биты IP-адресов. Адреса класса А – начинаются с 0, под номер подсети отводится 1 байт, соответственно 3 байта под номер узла. Наименьший номер подсети 1.0.0.0., наибольший – 126.0.0.0., наибольший адрес узла 2^24-2

В – с 10, 2 байта под номер подсети, 2 байта под номер узла. Минимальный адрес подсети 126.0.0.0. Максимальный – 191.255.0.0. Узел 2^16-2

С – с 110, 132.0.0.0 – 255.255.255.0 Узлы 2^8-2

D – с 1110, Мультикастовые адреса – групповые адреса.

E – 11110, изначально зарезервированы, но вряд ли когда-либо будут использованы.

Применение таких классов было эффективно в начале развития сетей вообще и IP-адресации в частности. В начале 90-х, с увеличением подсетей, начала ощущаться нехватка IP-адресов.

Выходов нашли 2 – использование масок или использование другой схемы адресации. Но новая адресация – новый протокол, а IP-протокол 4 слишком прижился.

Выбрали маски. Это решило проблему деления на подсети на своей уровне.

Маска подсети – это число, которое определяет количество бит, выделяемых для идентификатора подсетей. Для стандартных классов маски вполне очевидны:

255.0.0.0

255.255.0.0

255.255.255.0

Это стандартный вид запись

Либо же число бит, выделяемых для записи идентификатора подсети. Например – якобы сеть класса А – 17.239.28.7. Если подписать маску 255.255.128.0 – то выйдет новый, промежуточный класс, где под маску под сети выделено количество бит – 17.

Или же - 17.239.28.7/17

Основы IP 6 версии

Недостатки IP 4 версии

1) Плохая масштабируемость, заключающаяся в малом количестве адресов и в чрезмерном росте таблиц маршрутизации, что уменьшает производительность соответствующих систем. Для крупных организаций переход от 1 провайдера к другому требует перестройки всей внутренней системы адресов, что является непростой задачей. IP пакеты сложны в обработке, в следствие переменной длины заголовка и наличия полей, требующих пересчета. Это особенно критично на гигабитных каналах, то есть на магистралях.

2) Отсутствие поддержки на уровне протокола некоторых обязательных механизмов:

· Отсутствие классов обслуживания

· Отсутствие механизмов информационной безопасности

Наличие этих 2-х недостатков привело к потребности в новом протоколе. К нему были сформулированы следующие требования:

1) Полная спецификация

2) Простота архитектуры

3) Расширяемость

4) Топологическая гибкость

5) Быстродействие

6) Надежность

7) Независимость от среды передачи

8) Простота конфигурации

9) Поддержка информационной безопасности

10) Поддержка широковещательной передачи

11) Поддержка классов обслуживания

12) Поддержка туннелирования пакетов

Существовало много разных версий технических разработок, но к концу 93 основных осталось 3:

1) CATNIP – Common Architecture for the Internet

2) TUBA – The TCP/UDP Over CLNP – Addressed Networks

3) SIPP – Simple Internet Protocol Plus – развитие IP протокола 4 версии, в который добавлена новая система адресации и тп. Этот протокол и получил развитие

Главный минус SIPP – 64 разрядность. В этот протокол добавили 128 разрядный адрес и назвали IP6.

Адресация в IP v6

Главная цель изменения системы адресации – не физическое увеличение разрядности, а увеличение количества уровней иерархии в адресе. Если в IP 4 всего 2 уровня иерархии (номер сети и номер узла), то в IP 6 есть 5 уровней иерархии: 2 уровня на провайдера и 3 уровня на абонента:

1) 010

2) Идентификатор провайдера

3) Идентификатор абонента

4) Идентификатор сети

5) Идентификатор узла

В чем плюсы: предполагается, что идентификатор узла - MAC-адрес абонента. При такой схеме адресации вводится без классовая технология адресации. Вместо классов каждому провайдеру присваивается диапазон адресов. Адреса всех абонентов одного и того же провайдера имеют одинаковый префикс. Это позволяет, помимо прочего, уменьшить размер таблиц маршрутизации, особенно в магистральных маршрутизаторах.

Типы адресов

1) Unicast – индивидуальный адрес, определяет отдельный узел в сети или отдельный порт маршрутизатора. Эти адреса делятся на подклассы: Global – основной тип адресов; Link и Site – локальные, идентификатор провайдера равен 0, позволяет подключать готовую сеть к интернету путем добавления адреса провайдера; Compatible – используются для совместимости с IP сетями 4 версии, у этих адресов младшие 4 байта – адреса 4 версии, остальное - 0.

2) Multicast – один ко многим. Пакет или копии должны быть доставлены каждому узлу из набора, имеющего один и тот же адрес.

3) Anycast – пакет должен быть доставлен любому, но лучше ближнему узлу из некоторого набора.

Качество обслуживания

Для поддержки качества обслуживания в протоколе IP 6 введено понятие метка потока, которая указывает на принадлежность данного пакета к некоторому потоку, для которого требуется обеспечить определенные параметры обслуживания. Потоки обрабатываются маршрутизаторами на основе метки потока и идентификатора источника, что позволяет каждому источнику локально назначать значение метки. Для того, чтобы конечные узлы могли сообщить маршрутизаторам сети их потребности в качестве обслуживания своих потоков, необходим дополнительный протокол, которым является протокол RSVP.

Алгоритмы маршрутизации

Это – Совокупность действий, выполняемых активными компонентами сети для обеспечения корректной доставки пакетов абонентам данной сети. Алгоритмы маршрутизации делятся по следующим характеристикам: 1) цели и задачи, решаемые этим алгоритмом 2) типы алгоритмов маршрутизации, каждый из которых по-разному влияет на сеть и ресурсы маршрутизации 3) показатели, влияющие на расчет оптимальных маршрутов.

Цели разработки алгоритмов маршрутизации

1) Оптимальность – характеризует способность алгоритма маршрутизации выбирать наилучший маршрут, зависящий от показателей и от веса этих показателей, используемых при проведении расчета.

2) Простота и низкие непроизводительные затраты – алгоритм маршрутизации должен эффективно выполнять свои функции с минимальными затратами программного обеспечения

3) Живучесть и стабильность. Алгоритмы маршрутизации должны четко функционировать в случае отказа аппаратуры в условиях высокой нагрузки или некорректной реализации.

4) Быстрая сходимость – сходимость – это процесс согласования между всеми маршрутизаторами по оптимальным маршрутам. Алгоритм маршрутизации, который сходится медленно, может привести к образованию так называемых петель маршрутизации.

5) Гибкость – алгоритм маршрутизации должен быстро и точно адаптироваться к разнообразным обстоятельствам в сети. Например – изменение полосы пропускания, длины очереди, величины задержки в сети и так далее.

Типы алгоритмов маршрутизации

1) Статические и динамические алгоритмы – статические алгоритмы как таковые алгоритмами не являются, статические таблицы маршрутизации устанавливаются и изменяются администратором сети вручную. Эти алгоритмы просты для разработки и хорошо функционируют там, где трафик сети предсказуем, а схема сети относительно простая. Такие алгоритмы не могут реагировать на изменения в сети, в связи с чем они не пригодны для современных, постоянно изменяющихся сетей.

Динамические алгоритмы маршрутизации подстраиваются к изменяющимся обстоятельствам в сети в реальном времени. Они выполняют это путем анализа поступающих сообщений об обновлении маршрутизации. Динамические алгоритмы могут дополнять статические там, где это возможно.

2) Одномаршрутные или многомаршрутные. Одномаршрутные поддерживают только 1 маршрут к пункту назначения, а многомаршрутные – несколько

3) Одноуровневые и иерархические алгоритмы. В одноуровневой системе маршрутизации все маршрутизаторы равны по отношению друг к другу. В иерархической системе некоторые маршрутизаторы формируют так называемую базу маршрутизации. Пакеты из не базовых маршрутизаторов перемещаются к базовым и пропускаются через них до тех пор, пока не достигнут общей области пункта назначения. Начиная с этого момента они перемещаются от последнего базового маршрутизатора через 1 или несколько не базовых до конечного пункта назначения. Система маршрутизации в этом случае образует так называемую автономную систему или домены. В очень крупных сетях могут существовать дополнительные уровни иерархии. Основное преимущество - имитация организации большинства компаний и следовательно – поддержка их схемы трафика.

4) Алгоритмы с интеллектом главной вычислительной машины и маршрутизаторы. Интеллект, находящийся в главной вычислительной машине подразумевает так называемую маршрутизацию от источника. То есть конечный узел знает все о маршруте пункта назначения. В этих случаях сами маршрутизаторы функционируют как устройства хранения и пересылки пакетов. Интеллект, находящийся в маршрутизаторе предполагает, что узел отправитель ничего не знает о маршруте к пункту назначения. В этом случае каждый отдельный маршрутизатор определяет маршрут, основываясь только на своих данных. Система с интеллектом в главной вычислительной машине чаще выбирают наилучшие маршруты, так как могут просчитать все возможные варианты в целом. Однако это требует больших вычислительных затрат в узле отправителя, приводит к росту служебного трафика в сети, связанного с анализом возможных вариантов маршрута и в целом снижает вероятность доставки пакета, так как в случае отказа какого-то промежуточного узла пакет не будет доставлен, так как маршрутизаторы не определяют альтернативного варианта доставки

5) Внутридоменные и междоменные алгоритмы.

6) Алгоритм состояния канала и алгоритмы вектора расстояния. Алгоритмы состояния канала направляют потоки маршрутной информации во все узлы объединенной сети. Однако каждый маршрутизатор посылает только ту часть таблицы, которая описывает состояние его собственных каналов. Алгоритмы вектора расстояния (алгоритмы Белдана-Форда) требуют от каждого маршрутизатора посылки всей или части своей маршрутной таблицы, но только своим соседям. Алгоритмы состояния канала фактически направляют небольшие корректировки по всем направлениям, в то время, как алгоритмы вектора расстояния отсылают более крупные корректировки только в соседние маршрутизаторы. Алгоритмы состояния канала отличаются более быстрой сходимостью и меньше склонны к образованию петель маршрутизации, но характеризуются более сложными расчетами, требуя большей процессорной памяти и вычислительной мощности. То есть их реализация и поддержка в целом обходится дороже.

Показатели алгоритмов маршрутизации или так называемые метрики