Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Реализация CIDR с использованием VLSM
Подобный материал:
1   ...   34   35   36   37   38   39   40   41   ...   101

Реализация CIDR с использованием VLSM


Описанная в предыдущем разделе схема адресации IP, основанная на диапазонах адресов в соответствии с четырьмя классами, устарела. Термины, используемые для ее описания — класс А, класс В, класс С, — тоже устарели, однако они по-прежнему широко используются, так как их смысл легко усвоить. В данной книге мы также будем распространены эти термины для простоты изложения. Я рассказал вам о схеме адресации, основанной на классах, чтобы было проще перейти к рассказу о CIDR — новой, модифицированной схеме адресации IPv4. Название CIDR расшифровывается как Classless Inter-Domain Routing — бесклассовая междоменная маршрутизация. Из названия CIDR можно сделать вывод, что эта схема не основана на классах. Однако чтобы понять CIDR, вы должны прежде всего узнать, что означает маска подсети переменной длины (Variable Length Subnet Masking, VLSM). В рамках старой, основанной на классах схемы адресации каждому IP-адресу ставится в соответствие маска подсети по умолчанию. Для IP-адреса, принадлежащего диапазону адресов класса С, старшие 24 бита (три старших октета) маски подсети равны единице, а остальные (младшие) 8 битов маски подсети равны нулю. Таким образом, маска подсети для любого адреса класса С равна 255.255.255.0 (шестнадцатеричное: ffffff00). Для классов А и В маска подсети равна 255.0.0.0 и 255.255.0.0 соответственно. Таким образом, если вы получаете в свое распоряжение адрес сети класса С, вы получаете 256 уникальных IP-адресов, из которых два зарезервированы: один является адресом сети, а другой — широковещательным адресом. В рамках схемы адресации, основанной на классах, каждому, кто нуждается в IP-адресе, выдается адрес сети одного из классов: А, В или С. Таким образом, IP-адреса распределяются наборами по 256 (класс С), 65 536 (класс В) или 16 777 216 (класс А) адресов. В современных условиях недостатка IP-адресов такой подход неэкономичен. Бесклассовая схема адресации позволяет разделить эти наборы на множество менее крупных диапазонов. Схема адресации, основанная на классах, предусматривает использование маски подсети, в которой количество битов, равных единице, обязательно должно быть кратно восьми. Например, для сети класса С маска подсети выглядит следующим образом (слева стоит двоичное число, а справа приводится точечная десятичная нотация):

1111111.1111111.1111111.00000000 = 255.255.255.0

Как видите, старшие 24 разряда (8 битов умножить на 3 октета) равны единице. Таким образом, адрес сети в схеме адресации, основанной на классах, всегда включает в себя количество битов, кратное восьми. Схема VLSM снимает это ограничение.

Для примера представим, что вам выделили один IP-адрес класса С (192.168.0.0). Вам надо организовать работу двух географически удаленных друг от друга офисов, в составе каждого из которых работает по 50 систем. Вы планируете организовать сетевой обмен данными по протоколу IP между всеми системами сети. В рамках схемы адресации, основанной на классах, вы можете объединить все 100 систем в единую IP-сеть с адресом класса С. Но, к сожалению, вы не можете обеспечить прямой скоростной обмен данными между обоими офисами. Иными словами, для обмена данными между всеми имеющимися у вас компьютерами нельзя использовать один сетевой провод. Однако при этом вы вынуждены использовать для всех компьютеров один и тот же адрес сети. Говоря иначе, компьютеры каждого из офисов считают, что все компьютеры другого офиса являются локальными. Если все ваши компьютеры рассматриваются как локальные по отношению друг к другу, значит, подразумевается, что передача данных из одного офиса в другой может осуществляться напрямую, то есть без использования шлюза. Шлюз требуется только в случае, если необходимо передать данные узлу, который не входит в локальную сеть. К сожалению, в вашем случае физическое расположение офисов к этому не располагает.

Шлюз (gateway) — это компьютерная система (обычный компьютер или специализированный маршрутизатор), которая обладает двумя или большим количеством адресов сети — по крайней мере, один из этих адресов соответствует локальной сети, а все остальные соответствуют другим сетям. Таким образом, шлюз напрямую подключен к нескольким сетям. Шлюз выполняет передачу пакетов из сети в сеть. Любые полученные шлюзом пакеты, которые не предназначены для локальной сети, передаются в один из сетевых интерфейсов, подключенных к другим сетям. Выбор интерфейса осуществляется в соответствии с информацией, хранящейся в таблице маршрутизации. В рамках схемы маршрутизации, основанной на классах, для каждого из ваших офисов потребовалось бы выделять отдельный адрес сети класса С. В условиях недостатка IP-адресов такой подход нельзя назвать экономичным.

В рамках CIDR вы можете разбить одну сеть с адресом класса С на любое удобное для вас количество более мелких диапазонов IP-адресов. VLSM позволяет использовать маску подсети, в которой часть, идентифицирующая сеть, может состоять из любого количества битов, которое не обязательно должно быть кратным восьми. В маске подсети класса С старшие 24 бита маски подсети равны единице. Таким образом, маска подсети класса С равна 255.255.255.0 (11111111. 11111111.11111111.00000000). Теперь представьте, что вы присвоили самому старшему биту самого младшего октета значение 1 вместо 0. Теперь в составе маски подсети 25 единиц и 7 нулей, и она становится равной 255.255.255.128. Если теперь вы будете использовать эту сетевую маску для обоих офисов, вы сможете использовать половину диапазона адресов класса С для одного офиса и вторую половину диапазона адресов — для другого офиса. В этом случае компьютеры, установленные в одном из офисов, уже не будут воспринимать компьютеры из другого офиса как сетевые узлы локальной сети. Таким образом, для передачи данных из одного офиса в другой офис по умолчанию будет использоваться шлюз. В результате вы получаете две сети, IP-адреса одной из них простираются от 192.168.0.0 до 192.168.0.127, а вторая включает в себя IP-адреса от 192.168.0.128 до 192.168.0.255. В качестве адреса первой сети будет использоваться адрес 192.168.0.0, а в качестве адреса второй сети — адрес 192.168.0.128. Наконец, адрес 192.168.0.127 будет широковещательным адресом для первой сети, а адрес 192.168.0.255 будет широковещательным адресом для второй сети.

Используя подобный подход, вы можете разбить предоставленный вам диапазон адресов класса С на четыре отдельных сети, на восемь сетей, 16 сетей, 32 сети и т. д. На самом деле для идентификации сети можно использовать любое количество двоичных разрядов IP-адреса, начиная с восьми и заканчивая 30-ю. Дело в том, что в стандарте IPv4 каждый IP-адрес — это 32-битное число. Значит, если вы будете использовать для идентификации сети все 32 бита (сетевая маска 255.255.255.255), то в результате получится сеть, в которой может использоваться всего один адрес, таким образом, отпадает надобность в адресе сети и в широковещательном адресе. Если для идентификации сети используется 31 бит (сетевая маска 255.255.255.254), значит, у вас получится сеть с двумя IP-адресами, однако при этом вы должны использовать один из них для адресации самой сети, а второй — в качестве широковещательного адреса. В результате у вас не остается ни одного адреса для адресации сетевых узлов — это неприемлемо.

В рамках схемы адресации, основанной на классах, сетевая маска всегда начинается с октета 255. То есть самый старший октет всегда равен 255. Далее идут октеты, равные 255, до тех пор пока не встретится первый октет, равный 0. После этого до самого младшего из октетов идут октеты, равные 0.

В рамках CIDR самый старший октет сетевой маски должен оставаться равным 255, однако первый нулевой октет можно заменить на любое из чисел: 128, 192, 224, 240, 248, 252 или 254 (за исключением последнего октета), после этого «пограничного» октета все остальные более младшие октеты должны быть равны нулю. Адрес сети и широковещательный адрес выбираются в соответствии с подсетью. Теперь любая подсеть может быть определена при помощи маски подсети с переменной длиной. Для того чтобы определить подсеть, достаточно просто указать количество битов, используемое для идентификации сети. Это значение может быть от 8 до 32 (исключая 31). Данное значение, как правило, записывается через дробь. Например: /8 или /21. Таким образом, любой сетевой узел можно идентифицировать при помощи IP-адреса и размера маски VLSM, благодаря чему сразу становится ясно, как выглядит адрес сети, широковещательный адрес и сетевая маска.

Например, если некоторому компьютеру предлагается присвоить адрес 192. 168.0.50/27, сразу становится ясно, что адрес сети 192.168.0.32, широковещательный адрес 192.168.0.63, а сетевая маска 255.255.255.224. Для тех, кому сложно с ходу привыкнуть к такой форме записи, я привожу таблицу, при помощи которой вы сможете упростить эту процедуру.


Таблица 9.2. Таблица трансляции адресов CIDR
Маска A B C Сети Кратно Шестнадцатеричное

.0 /8 /16 /24 1 нет 00

.128 /9 /17 /25 2 128 80

.192 /10 /18 /26 4 64 СО

.224 /11 /19 /27 8 32 ЕО

.240 /12 /20 /28 16 16 FO

.248 /13 /21 /29 32 8 F8

.252 /14 /22 /30 64 4 FC

.254 /15 /23 не используется 128 2 FE

.255 /32 0 FF

Бесклассовая адресация используется не только для того, чтобы организовать работу географически удаленных друг от друга сетей. CIDR позволяет изолировать различные департаменты в крупных организациях для того, чтобы обеспечить более надежную защиту (с использованием внутренних брандмауэров), разбить сеть на несколько сегментов и снизить трафик между ними, уменьшив тем самым количество коллизий и снизив время реакции системы.