Протокол 1. Право в силе. Свобода - идея. Либерализм. Золото. Вера. Самоуправление. Деспотизм капитала. Внутренний враг. Толпа. Анархия. Политика и мораль. Право сильного. Необоримость масонско-еврейской власти. Цель оправдывает средства. Толпа - слепец. Политическая

Протокол 2 Экономические войны - основание еврейского преобладания. Показная администрация и «тайные советники». Успехи разрушительных учений. Приспособляемость в политике. Роль прессы. Стоимость золота и ценность еврейской жертвы.Нам необходимо, чтобы войны по

Протокол 3 Символический змей и его значение. Неустойчивость конституционных весов. Террор во дворцах. Власть и честолюбие. Парламентские говорильни, памфлеты. Злоупотребление властью. Экономическое рабство. «Правда народа». Кулачество и аристократия. Армия

Протокол 11 Программа новой конституции. Некоторые подробности предположенного переворота. Гои - бараны. Тайное масонство и его «показные ложи».Государственный Совет явится как подчеркиватель власти правителя: он, как показная часть Законодательного корпуса, будет как

Протокол 12 Масонское толкование слова «свобода». Будущее прессы в масонском царстве. Контроль над прессой. Корреспондентские агентства. Что такое прогресс в понятиях масонства? Еще о прессе. Масонская солидарность в современной прессе. Возбуждение провинциальных

Протокол 13 Нужда в насущном хлебе. Вопросы политики. Вопросы промышленности. Увеселения. Народные дома. «Истина одна». Великие проблемы.Нужда в насущном хлебе заставляет гоев молчать и быть нашими покорными слугами. Взятые в нашу прессу из их числа агенты будут обсуждать

Протокол 14 Религия будущего. Будущее крепостное право. Недоступность познания тайн религии будущего. Порнография и будущее печатного слова.Когда мы воцаримся, нам нежелательно будет существование другой религии, кроме нашей о едином боге, с которым наша судьба связана

Протокол 15 Однодневный мировой переворот. Казни. Будущая участь гоев-масонов. Мистичность власти. Размножение масонских лож. Центральное управление мудрецов. «Азефовщина». Масонство как руководитель всех тайных обществ. Значение публичного успеха. Коллективизм. Жертвы.

Протокол 17 Адвокатура. Влияние священничества гоев. Свобода совести. Папский двор. Царь Иудейский как патриарх-папа. Способы борьбы с существующей Церковью. Задачи современной прессы. Организация полиции. Добровольческая полиция. Шпионство по образцу кагального

Протокол 18 Меры охраны. Наблюдение в среде заговорщиков. Открытая охрана гибель власти. Охрана Иудейского царя. Мистический престиж власти. Арест по первому подозрению.Когда нам будет нужно усилить строгие меры охраны (страшнейший яд для престижа власти), мы устроим

Протокол 20 Финансовая программа, Прогрессивный налог, Марочный прогрессивный сбор. Фондовая касса, % бумаги и застой денежного обращения. Отчетность. Отмена представительства. Застой капиталов. Денежный выпуск. Золотая валюта. Валюта стоимости рабочей силы. Бюджет.

Протокол 21 Внутренние займы. Пассив и налоги. Конверсии, Банкротство, Сберегательные кассы и рента. Уничтожение фондовых бирж. Таксирование промышленных ценностей.К доложенному Вам на прошлом собрании прибавлю еще подробное объяснение о внутренних займах. О внешних же я

Протокол 22 Тайна грядущего. Многовековое зло как основание будущего блага. Ореол власти и мистическое ей поклонение.Во всем, что мною до сих пор доложено вам, я старался тщательно обрисовать тайну происходящего - бывшего и текущего, стремящегося в поток великих, грядущих

Протокол 23 Сокращение производства предметов роскоши. Кустарное производство. Безработица. Запрещение пьянства. Убийство старого общества и воскрешение его в новом виде. Избранник Б(б)ожий.Чтобы народы привыкли к послушанию, надо их приучить к скромности, а потому

Протокол IP предоставляет механизм для пересылки по интернету элементов, называемых датаграммами IP (IP datagram). Как показано на рис. 6.1, датаграмма IP формируется из заголовка IP и перемещаемой по сети порции данных.

Рис. 6.1. Формат датаграммы

Протокол IP можно назвать "протоколом наилучшей попытки". Это означает, что IP гарантирует не целостность доставки датаграммы в пункт назначения, а только наилучшую попытку выполнить доставку (см. рис. 6.2). Датаграмма может разрушиться по следующим причинам:

■ Ошибка в одном из битов во время пересылки в носителе.

■ Перегруженный маршрутизатор отбросил датаграмму, чтобы освободить свое буферное пространство.

■ Временно недоступен путь к точке назначения.

Рис. 6.2. Доставка в IP по принципу наилучшей попытки

Все операции по обеспечению надежности доставки данных осуществляются на уровне TCP. Восстановление испорченных данных зависит от действий на этом уровне.

Основными функциями IP являются: прием данных от TCP или UDP, создание датаграммы, маршрутизация ее по сети и доставка приложению-получателю. Каждая датаграмма IP маршрутизируется отдельно. Для маршрутизации датаграммы в IP существуют два средства:

■ маска подсети

■ таблица маршрутизации IP (таблица маршрутов)

Предположим, что компьютер имеет IP-адрес 130.15.12.131 и подключен к локальной сети, а данные нужно послать:

Из: 130.15.12.131

В: 130.15.12.22

Можно предположить, что обе системы находятся в одной и той же подсети. Компьютер должен проверить, верно ли такое предположение. Проверка выполняется по маске подсети. Допустим, что хост имеет маску подсети:

т.е. есть маска состоит из 24 единиц и 8 нулей:

11111111111111111111111100000000

Вспомним, что единицы в маске подсети идентифицируют сеть и часть адреса для подсетей. Так как части для сети и подсети в адресах источника и назначения - 130.15.12, значит оба хоста находятся в одной подсети.

Компьютер фактически выполняет операцию "логическое И" между маской и каждым из IP-адресов. В результате нули маски подсети очищают часть адреса для хоста, оставляя только части для сети и подсети.

В этом примере маршрутизация является прямой. Это означает, что датаграмма должна быть помещена в кадр и передана непосредственно в точку назначения локальной сети, как показано на рис. 6.3.

Рис. 6.3. Обрамление кадром и передача датаграммы

Адрес назначения, помещенный в заголовок кадра, должен быть физическим адресом системы назначения. Чтобы определить существование элемента для физического адреса 130.15.12.22, проверяется таблица протокола ARP. Если в таблице нет нужной записи, для ее формирования используется протокол ARP.

Предположим, что нужно переслать данные:

Из: 130.15.12.131

Быстрая проверка маски подсети показывает, что система назначения не принадлежит локальной подсети. В этом случае IP должен обратиться к локальной таблице маршрутизации.

Таблица маршрутизации хоста обычно очень проста. На рис. 6.4 показана локальная сеть, которая связана с удаленными сайтами посредством единственного маршрутизатора. Если точка назначения не находится в локальной сети, у хоста нет другого выбора, как обратиться к маршрутизатору.

Рис. 6.4. Перенаправление трафика через маршрутизатор по умолчанию

Каждый настольный компьютер или хост локальной сети имеет таблицу маршрутизации, которая сообщает IP, как маршрутизировать датаграммы к системам, не подключенным к локальной сети. Для указания пути к удаленному месту эта таблица нуждается в единственной записи (для маршрутизации по умолчанию):

default 130.15.12.1

Другими словами, нужно направлять любые нелокальные датаграммы на маршрутизатор по умолчанию с IP-адресом 130.15.12.1 (отметим, что адрес назначения 0.0.0.0 используется в таблице маршрутизации для значения по умолчанию).

Для сохранения простоты таблицы маршрутизации хоста IP может не анализировать полный маршрут к точке назначения. Требуется только выяснить следующее попадание (next hop иногда переводится как следующий участок. - Прим. пер .) и направить датаграмму туда .

Чтобы отправить датаграмму на интерфейс маршрутизатора 130.15.12.1, ее надо поместить в кадр, заголовок которого содержит физический адрес сетевого адаптера этого маршрутизатора.

Когда маршрутизатор получит кадр, он удалит заголовок и завершающую часть кадра, а также исследует заголовок датаграммы IP, чтобы решить, куда ее нужно направить далее.

Иногда таблицы маршрутизации хостов не столь просты. Рассмотрим, например, два маршрутизатора подсети 128.121.50.0 (см. рис. 6.5). Второй маршрутизатор управляет небольшой локальной сетью с несколькими рабочими станциями.

Рис. 6.5. Выбор маршрутизатора

Маршрутизатор tigger управляет локальной сетью, и его таблицу маршрутизации можно вывести командой netstat -nr . В выводе используется термин шлюз - gateway , а не маршрутизатор - router . (Другие компьютеры могут выводить таблицу в несколько ином формате. Она будет содержать похожую, но не идентичную информацию. Например, некоторые системы могут выводить столбец со сведениями о расстоянии до следующей точки назначения.)

Destination Gateway Flags Refcnt Use Interface

127.0.0.1 127.0.0.1 UH 6 62806 lo0

Default 128.121.50.50 UG 62 2999087 le0

128.121.54.0 128.121.50.2 UG 0 0 le0

128.121.50.0 128.121.50.145 U 33 1406799 le0

Командой netstat выводятся сведения о том, где и как будет маршрутизироваться трафик tigger .

■ Первое место назначения в таблице - это кольцевой адрес 127.0.0.1, который служит обозначением для трафика между клиентами и серверами в пределах системы tigger .

■ Запись default используется для выполнения маршрутизации к любой точке назначения, которая не указана в таблице. Трафик должен быть направлен на интерфейс маршрутизатора по IP-адресу 128.121.50.50.

■ Датаграммы к любой системе подсети 128.121.54.0 должны быть направлены на интерфейс маршрутизатора по IP-адресу 128.121.50.2.

■ Последняя запись не обеспечивает получения новой информации для маршрутизации, но позволяет получить интересную статистику о местном трафике. Чтобы маршрутизировать трафик к любой системе подсети 128.121.50.0, нужно направить его на адрес 128.121.50.145. При этом 128.121.50.145 - это собственный адрес tigger , а 128.121.50.0 - собственный адрес локальной сети tigger .

Команда netstat выводит и другую интересную информацию:

■ Флаги (Flags) сообщают, является ли маршрут пригодным для использования и будет ли следующее попадание хостом (H) или шлюзом (G).

■ REFcnt отслеживает текущее количество активных применений маршрута.

■ Столбец Use подсчитывает число датаграмм, которые были посланы по маршруту (после последней инициализации).

■ Интерфейс lo0 является логическим интерфейсом для кольцевого трафика. Весь внешний трафик проходит через один интерфейс Ethernet - le0 .

Отметим, что включение в отчет локальной подсети 128.121.50.0 позволило обнаружить, что посланный вовне трафик вдвое больше, чем трафик, направленный к системам локальной сети.

Каждая запись в таблице маршрутизации обеспечивает информацию о маршрутизации к отдельной точке назначения, которая может быть отдельным хостом, сетью, суперсетью или значением по умолчанию .

Существует общее правило использования в протоколе IP таблицы маршрутизации независимо от расположения этой таблицы - на хосте или маршрутизаторе. Выбираемый в таблице элемент должен наиболее точно соответствовать IP-адресу назначения. Другими словами, когда IP просматривает адреса хостов назначения, концептуально выполняются следующие действия:

■ Сначала в таблице ищется адрес, полностью совпадающий с IP-адресом назначения. Если он будет найден, эта запись используется для маршрутизации трафика.

■ Если такого адреса нет, в таблице ищется запись для подсети системы назначения.

■ Если нет и такого адреса, в таблице проводится поиск сети назначения.

■ Если отсутствует и этот адрес, в таблице проводится поиск элемента с соответствующим префиксом маршрутизации.

■ Если не будет найден и этот адрес, используется маршрутизатор по умолчанию.

Разумеется, реальное выполнение предполагает однократный просмотр таблицы с отбрасыванием всех найденных, но менее точных совпадений.

В отличие от таблиц маршрутизации хостов, которые могут быть очень простыми, таблицы маршрутизаторов часто содержат намного больше информации. Маршрутизатор имеет два или более интерфейсов, и каждая датаграмма должна быть передана через соответствующий ей интерфейс. Маршрутизатору могут потребоваться записи о следующих попаданиях для множества различных сетей и подсетей (см. рис. 6.6).

Рис. 6.6. Маршрутизация по многим направлениям

Некоторые маршрутизаторы имеют очень простые таблицы маршрутизации. Например, маршрутизатор филиала компании (см. рис. 6.7) направляет трафик из главного офиса в локальные сети и перенаправляет весь выходящий трафик по региональной сети в главный офис компании.

Рис. 6.7. Маршрутизация в филиале компании

Этот маршрутизатор имеет два интерфейса:

Первая запись описывает только прямое соединение с локально подключенной подсетью 130.15.40.0. Подсеть достигается непосредственно через собственный интерфейс.

Вторая запись указывает маршрут по умолчанию к остальной части сети. Маршрутизатор для следующего попадания - 130.15.201.1 - доступен через интерфейс 2. Главный офис компании достигается косвенным путем, через маршрутизатор следующего попадания. Оба маршрута были введены вручную.

Пока мы рассматривали только выбор единственного направления к точке назначения. Рисунок 6.8 поясняет действия при глобальной маршрутизации в IP. Если протоколы TCP или UDP хоста А захотят послать данные своему партнеру на хосте В, они передадут эти данные IP, сопроводив их IP-адресом хоста назначения. IP добавит заголовок, содержащий IP-адрес назначения для данных.

■ IP хоста А исследует адрес назначения, чтобы проверить, не находится ли он в локальной подсети. Если нет, IP выполнит поиск в таблице маршрутизации.

■ Из таблицы видно, что следующим попаданием является маршрутизатор X. Датаграмма будет заключена в кадр, а в его заголовок будет помещен физический адрес локальной сети для маршрутизатора X.

■ Когда датаграмма прибудет на маршрутизатор X, удаляется ее обрамление кадром. IP маршрутизатора X сравнивает IP-адрес назначения со всеми своими адресами (по маске подсети) и проверяет, не находится ли точка назначения в локально подключенной подсети.

Рис. 6.8. Глобальная маршрутизация

■ Если нет, IP выполнит поиск в таблице маршрутизации. Следующим попаданием станет маршрутизатор Y, куда и будет направлена датаграмма после обрамления ее новым кадром.

■ Когда датаграмма поступит на маршрутизатор Y, будет удалено обрамление кадром. Протокол IP маршрутизатора Y сравнит IP-адрес назначения со всеми своими адресами (по маске подсети) и проверит, не находится ли точка назначения в локально подключенной подсети. Для нашего примера поиск будет успешным и датаграмма будет послана хосту B.

Маршрут от хоста А к хосту В содержал три попадания (участка): A-X, X-Y и Y-B.

В IP существует несколько возможностей, обеспечивающих гибкость и пригодность этого протокола к различным окружениям. Среди прочих следует упомянуть адаптивную маршрутизацию (adaptive routing), а также фрагментацию и сборку датаграммы (datagram fragmentation and reassembly).

Маршрутизация датаграмм адаптивна по своей природе. Лучший вариант для следующего попадания в любом из устройств выполняется при поиске в таблице маршрутизации текущего сетевого узла. Записи таблицы маршрутизации могут изменяться с течением времени, отражая текущее состояние сети.

Если одна из связей (см. рис. 6.9) будет разорвана, датаграмма может переключиться на другой маршрут (если он будет доступен).

Рис. 6.9. Адаптивная маршрутизация

Изменение в топологии сети приводит к автоматическому перенаправлению датаграммы по другому маршруту. Адаптивная маршрутизация характеризуется гибкостью и надежностью.

С другой стороны, заголовок IP может содержать точный маршрут для перемещения к точке назначения. Это позволяет маршрутизировать важный трафик по засекреченному сетевому пути.

Перед тем как датаграмма отправится по сети к участку следующего попадания, она инкапсулируется внутри заголовка (заголовков) второго уровня, требующегося для данной сетевой технологии (см. рис. 6.10). Например, для прохождения сети 802.3 или 802.5 добавляются: заголовок LLC, подзаголовок SNAP, MAC-заголовок и завершающая часть MAC.

Рис. 6.10. Формат пересылки кадра локальной сети

Как было показано в главе 4, каждая технология локальной или глобальной сети имеет собственные ограничения на длину кадров. Датаграмма должна размещаться внутри кадра, и, следовательно, его максимальная длина будет ограничивать размер датаграммы, пересылаемой по носителю.

Максимальная длина датаграммы для конкретного носителя вычисляется как разность максимального размера кадра, длины заголовка кадра, длины завершающей части кадра и размера заголовка уровня связи данных:

Максимальный размер кадра – длина заголовка кадра – длина завершающей части кадра – размер заголовка уровня связи данных

Максимально возможная длина датаграммы в заданном носителе называется максимальным элементом пересылки (Maximum Transmission Unit - MTU). Например, для DIX Ethernet значение MTU равно 1500 октетам, для 802.3 - 1492 октетам, для FDDI - 4352, для SMDS - 9180 октетам.

В больших сетях интернета хост источника может не знать размеров всех ограничений по пути пересылки датаграммы. Что же произойдет, если хост отправит слишком большую для одной из промежуточных сетей датаграмму?

Когда такая датаграмма достигнет маршрутизатора, подключенного к промежуточной сети, IP решит проблему с размером датаграммы, разделив ее на несколько небольших фрагментов. Хост назначения далее должен будет провести сборку всех полученных кадров и восстановить исходную датаграмму.

Фрагментация наиболее часто выполняется в маршрутизаторах, однако приложения UDP могут разделить длинное сообщение на фрагменты датаграмм сразу в хосте источника.

Рассмотрим более детально характеристики протокола IP версии 4, в том числе элементы формата этого протокола - формат заголовка IP и правила управления датаграммой, пересылаемой по сети. Протокол IP версии 6 рассмотрен в главе 22 (IP версии 5 не существует).

Заголовок датаграммы организован как 5 или более 32-разрядных слов . Максимальная длина заголовка - 15 слов (т.е. 60 октетов), но на практике большинство заголовков датаграмм имеют минимально возможную длину в 5 слов (20 октетов).

Поля заголовка показаны на рис. 6.11. Они структурированы как последовательность слов. Отметим, что биты слов пронумерованы от 0 до 31.

Рис. 6.11. Формат датаграммы протокола IP

Наиболее важными полями заголовка являются: Destination IP Address (IP-адрес назначения), Source IP Address (IP-адрес источника) и Protocol (протокол).

IP-адрес назначения позволяет маршрутизировать датаграмму. Как только она достигает точки назначения, поле протокола позволяет доставить ее в требуемую службу, подобную TCP или UDP, Кроме TCP и UDP, существует еще несколько протоколов, способных посылать и получать датаграммы. Организация IANA отвечает за координацию присваивания значений параметрам TCP/IP, включая значения в поле протокола . Некоторые значения из этого поля имеют лицензионный, специфичный для конкретного производителя смысл.

В таблице 6.1 показаны наиболее распространенные значения из поля протокола .

Таблица 6.1 Общепринятые номера из поля протокола заголовка IP

В настоящее время используется четвертая версия IP (версия "Следующее поколение" имеет номер 6).

Длина заголовка измеряется в 32-разрядных словах. Если не нужны дополнительные варианты, можно ограничиться длиной заголовка в 5 слов (т.е. 20 октетов). Если задействованы один или больше дополнительных вариантов, может потребоваться заполнить конец заголовка незначащими нулями до границы 32-разрядного слова.

Поле длины датаграммы определяет размер датаграммы в октетах. В это значение включается как заголовок, так и часть данных датаграммы. В таком 16-разрядном поле можно указывать значения до 2 16 -1 октет = 65 535 октетов.

Сетевые технологии - не единственная причина ограничений на размер датаграмм. Различные типы компьютеров, поддерживающих IP, имеют разные ограничения, связанные с размером буферов памяти, используемых для сетевого трафика (стандарт IP требует, чтобы все хосты были способны принимать датаграммы не менее чем из 576 октетов).

Первоначальным спонсором набора протоколов TCP/IP было Министерство обороны США, для которого было важно задание приоритетов датаграмм. Приоритеты мало используются вне военных и правительственных организаций. Для приоритета предназначены 3 бита, обеспечивающие 8 различных уровней.

Стандарт IP не регламентирует действия с битами приоритета. Первоначально они предназначались для установки параметров подсетей, которые будет пересекать датаграмма при следующем попадании. Например, на основе битов приоритета управляется протокол Token-Ring. В этом случае IP должен отображать биты приоритета в соответствующие уровни Token-Ring.

Тип обслуживания (Type of Service - TOS) содержит биты, определяющие качество обслуживания информации, которое может повлиять на обработку датаграмм. Например, когда маршрутизатору не хватает памяти, он вынужден отклонять некоторые датаграммы. Он мог бы рассматривать только датаграммы, у которых бит надежности установлен в единицу, и отбрасывать датаграммы с нулевым битом надежности.

Положение приоритета и типа обслуживания:

Тип обслуживания определяет (как описано в текущем документе Assigned Numbers ) значения, приведенные в таблице 6.2. Это взаимоисключающие значения - для любой IP-датаграммы требуется только одно значение TOS. Стандарт Assigned Numbers рекомендует использовать специальные значения для каждого из приложений. Например для telnet - минимизировать задержку, для копирования файлов - максимизировать производительность и надежность при доставке управляющих сетевых сообщений.

Таблица 6.2 Значения поля типа обслуживания (TOS)

Некоторые маршрутизаторы полностью игнорируют поле типа обслуживания, в то время как другие могут использовать его при выборе трафика, который следует предохранить на случай недостатка оперативной памяти. Можно надеяться, что в будущем поле типа обслуживания будет играть гораздо большую роль. Рекомендуемые в документе Assigned Numbers значения представлены в таблице 6.3.

Когда в интернет-системе IP происходит изменение топологии, например обрыв связи или инициализация нового маршрутизатора, некоторые датаграммы могут сбиться со своего маршрута за тот короткий период времени, пока не будет выбран новый маршрутизатор.

Более серьезные проблемы возникают из-за ошибок при ручном вводе информации о маршрутизации. Такие ошибки могут привести к потере датаграммы или зацикливанию ее по круговому маршруту на длительное время.

Поле времени жизни (Time-To-Live - TTL) ограничивает время присутствия датаграммы в интернете. TTL устанавливается хостом-отправителем и уменьшается каждым маршрутизатором, через который проходит датаграмма. Если датаграмма не достигает пункта назначения, а ее поле TTL становиться нулевым, она отбрасывается.

Хотя формально время жизни оценивается в секундах, реально TTL реализуется как простой счетчик попаданий, значение которого уменьшается (обычно на единицу) в каждом маршрутизаторе. Можно указывать большее уменьшение счетчика для датаграмм, которые перемещаются по очень медленным соединениям или требуют длительного времени для пересылки.

Контрольная сумма (checksum) находится в 16-разрядном поле и вычисляется по значению остальных полей заголовка IP как сумма всех дополнений до единицы 16-разрядных слов заголовка. До вычисления поле контрольной суммы содержит 0. Контрольная сумма должна пересчитываться при перемещении датаграммы по сети, поскольку в датаграмме изменяется поле TTL. Могут изменяться и другие значения из заголовка вследствие фрагментации или записи информации в дополнительные поля.

Поля идентификации (Identification), флагов (Flags) и смещения фрагмента (Fragment Offset) позволяют фрагментировать и восстанавливать (собирать) датаграмму. Когда IP нужно переслать датаграмму большего размера, чем MTU следующего участка, то:

1. Сначала проверяется содержимое поля флагов. Если значение "Не фрагментировать" установлено в 1, ничего делать не нужно - датаграмма отбрасывается и перестает существовать.

2. Если флаг "Не фрагментировать" установлен в 0, то поле данных разделяется на отдельные части в соответствии с MTU следующего участка. Полученные части выравниваются по 8-октетной границе.

3. Каждой части присваивается заголовок IP, подобный заголовку исходной датаграммы, в частности копируются значения полей источника, назначения, протокола и идентификации. Однако следующие поля устанавливаются индивидуально для каждой из частей:

a. Длина датаграммы будет отражать текущую длину полученной датаграммы.

b. Флаг More из поля флагов устанавливается в 1 для всех частей, кроме последней.

c. Поле смещения фрагмента будет указывать позицию полученной части относительно начала исходной датаграммы. Начальная позиция принимается за 0. Смещение фрагмента равно реальному смещению, разделенному на 8.

d. Для каждого фрагмента вычисляется собственная контрольная сумма.

Теперь настало время более подробно рассмотреть поля при фрагментации датаграммы.

Поле идентификации содержит 16-разрядное число, помогающее хосту назначения распознать фрагмент датаграммы при сборке.

Поле флагов содержит три бита:

Бит 0 зарезервирован, но должен иметь значение 0. Отправитель может указать в следующем бите значение 1, и датаграмму нельзя будет фрагментировать. Если ее нельзя будет доставить без фрагментации, а бит фрагментации равен 1, то датаграмма будет отброшена с посылкой сообщения отправителю.

Бит 2 устанавливается в 0 для последней или единственной части датаграммы. Бит 2, установленный в 1, указывает, что датаграмма фрагментирована и имеет следующие далее части.

Блок фрагментации (fragment block) - это 8-октетная порция данных. Число в поле смещения фрагмента (Fragment Offset) указывает величину смещения данного фрагмента (относительно начала датаграммы) в единицах блоков фрагментирования. Это поле имеет длину 13 бит (т.е. смещение может быть от 0 до 8192 блоков фрагментирования - или от 0 до 65 528 октетов). Предположим, что маршрутизатор разделил датаграмму (с идентификатором 348) из 3000 байт данных на три датаграммы по 1000 байт. Каждый фрагмент будет содержать собственный заголовок и 1000 байт данных (125 блоков фрагментирования). Содержимое полей идентификации, флагов и смещений фрагментов будет следующим:

Когда датаграмма доставляется без фрагментации, значения полей будут следующими:

Хост получателя, приняв датаграмму, помеченную как "Last" и имеющую смещение 0, знает, что она не фрагментирована.

Сборка фрагментированной датаграммы выполняется хостом-получателем . Отдельные части такой датаграммы могут прибывать в произвольном порядке. Когда в точке назначения появляется первый фрагмент, IP выделяет определенную область памяти для последующей сборки всей датаграммы. Поле смещения фрагмента указывает на байтовую границу для данных полученного фрагмента.

Совпадающие по полям идентификации, IP-адреса источника, IP-адреса назначения и протокола фрагменты составляются вместе по мере их поступления. Однако в протоколе IP имеется небольшой недостаток: хост получателя не может узнать общей длины датаграммы, пока не получит последний фрагмент. Поле общей длины (Total Length) содержит сведения только о данном фрагменте, а не об общей длине датаграммы.

Таким образом, система-получатель должна иметь возможность предвидеть, сколько именно буферного пространства нужно зарезервировать для принимаемой датаграммы. Разработчики решают эту проблему различными способами. Некоторые последовательно выделяют для буфера небольшие части памяти, другие сразу предоставляют единый большой буфер.

В любом случае при реализации необходимо обслуживать поступающую датаграмму с общей длиной, как минимум, в 576 октетов. Или, что более точно, система должна быть способна обрабатывать датаграммы с общим размером не менее чем MTU интерфейса, по которому поступают датаграммы.

Рассмотрим следующую последовательность событий:

■ Пересылается датаграмма.

■ Пославший ее процесс аварийно завершается.

■ Датаграмма фрагментируется при пересылке.

■ По пути следования теряется один из фрагментов.

При потере отправленного фрагмента хост получателя должен ждать, пока этот фрагмент не будет отправлен повторно. При этом, разумеется, необходимо ограничить время ожидания . Когда тайм-аут сборки завершится, хост назначения отбросит уже полученные фрагменты и отправит источнику сообщение об ошибке. Обычно величину тайм-аута сборки можно конфигурировать. Ее значение рекомендуется устанавливать в диапазоне от 60 до 120 с.

Учитывая все проблемы поддержки фрагментации, можно сказать, что она приводит к снижению производительности. Поэтому многие программисты стремятся аккуратно разрабатывать приложения, чтобы формируемые датаграммы были достаточно малы и не фрагментировались при пересылке.

В главе 7 мы познакомимся с протоколом исследования MTU, позволяющим исключить фрагментировать датаграмм и использовать наибольший размер MTU при пересылке информации.

Узнать о том, как работает IP, можно по достаточно приблизительным статистическим отчетам. Команда netstat -s выводит содержимое счетчиков для наиболее важных событий в IP. Нижеприведенный отчет получен на сервере tigger.jvnc.net, который доступен хостам всей сети Интернет. Ответим, что в отчете вместо более точного термина "датаграмма" используется термин "пакет" (packet).

13572051 total packets received

0 with size smaller than minimum

8 with data size < data length

0 with header length < data size

0 with data length < header length

0 fragments dropped (dup or out of space)

2 fragments dropped after timeout

За отчетный период не было ни одной датаграммы с плохой контрольной суммой (checksums) и tigger не отбросил ни одной датаграммы из-за недостатка памяти. Было принято 90 фрагментов, что составляет 0,00066% от общего объема информации. Два фрагмента отброшены по тайм-ауту, а 10 непересылаемых (nonforwardable) датаграмм, возможно, возникли при попытке маршрутизации от источника через tigger .

Для одного или нескольких дополнительных вариантов доступно 40 специальных октетов в заголовке IP. Варианты датаграмм выбираются отсылающими их приложениями. Применяются они крайне редко. Список вариантов включает:

■ Strict Source Route (Точный маршрут от источника)

■ Loose Source Route (Произвольный маршрут от источника)

■ Record Route (Запись маршрута)

■ Timestamp (Временная метка)

■ Department of Defense Basic Security (Базовая безопасность Министерства обороны)

■ Department of Defense Extended Security (Улучшенная безопасность Министерства обороны)

■ No Operation (Без операций)

■ End of Option List (Padding) - Конец списка вариантов (заполнитель)

Варианты безопасности используются Министерством обороны и некоторыми правительственными агентствами. Предложено также несколько других вариантов (полный список вариантов и их текущий статус можно найти в последних изданиях Assigned Number и Internet Official Protocol Standard ).

Существуют два источника: Strict Source Route, определяющий полный путь к точке назначения, и Loose Source Route, идентифицирующий контрольные точки по пути следования (milestones). Между контрольными точками можно использовать любые маршруты.

Strict Source Routes иногда применяется для повышения безопасности данных. Однако, как мы увидим далее, этот источник используется и хакерами при взломе систем компьютерной безопасности.

Иногда этот вариант используется при тестировании сетей. Loose Source Route предназначен для помощи при маршрутизации в удаленную точку.

Механизмы обоих вариантов похожи. Единственным отличием является то, что в Strict Source Route можно посещать только системы из заранее заданного списка.

Если используется маршрутизация от источника, обратный трафик от точки назначения к источнику должен повторять тот же путь (набор маршрутизаторов), но в обратном порядке.

При этом возникает одна сложность: с точки зрения источника и системы назначения адреса маршрутизаторов различны. На рис. 6.12 показан путь между двумя хостами. Маршрут от хоста А к хосту В предполагает прохождение через маршрутизаторы, адресами которых для хоста А являются 130.132.9.29 и 130.132.4.11. Путь от хоста В к хосту А проходит через маршрутизаторы с IP-адресами, известными хосту В как 128.36.5.2 и 130.132.4.16. Адреса интерфейсов маршрутизатора различны, поскольку они подключены к разным подсетям.

Рис. 6.12. Пути с точки зрения хостов А и В

Решить эту проблему просто: при каждом посещении маршрутизатора входной адрес заменяется в поле Source Route на выходной адрес, а система назначения получает уже результирующий список в обратном порядке и может использовать маршрутизацию от источника для обратного перемещения.

Можно подумать, что для маршрутизации от источника достаточно создать список маршрутизаторов между источником и точкой назначения. Однако это не так. В таблице 6.4 представлено содержимое полей IP-адреса источника (Source IP Address), IP-адреса места назначения (Destination IP Address) и поля маршрутизации от источника (Source Route) на каждом шаге по пути перемещения:

■ На шаге 1 поле IP-адреса назначения содержит адрес первого маршрутизатора. Указатель из поля Source Route определяет следующее попадание (в таблице - полужирным шрифтом).

■ На шаге 2 поле IP-адреса назначения содержит адрес второго маршрутизатора. Указатель из поля Source Route определяет следующее попадание. В нашем примере - это реальная точка назначения датаграммы.

■ На шаге 3 датаграмма достигает назначения. Ее поля IP-адреса источника и назначения содержат правильные значения, а в Source Route перечислены все пройденные маршрутизаторы.

Таблица 6.4 Маршрутизация от источника

Маршрутизация от источника стала у сетевых хакеров частью арсенала инструментов для взлома. Этот метод может быть использован для проникновения из Интернета в сети, администраторы которых не беспокоятся о безопасности.

Маршрутизаторы, фильтрующие поступающий в организацию трафик, должны позволять блокировать трафик с маршрутизацией от источника или проверять поле Source Route на соответствие реальной точке назначения датаграммы.

Еще одна проблема возникает с многоадресными хостами, подключенными к одной или нескольким подсетям. Дело в том, что такие хосты могут пропускать датаграммы с маршрутизацией от источника, открывая доступ к трафику сети с "черного хода". Многоадресные хосты также должны уметь запрещать маршрутизацию от источника.

Поле записи пути (Record Route) содержит список IP-адресов маршрутизаторов, пройденных датаграммой. Каждый встретившийся по пути следования маршрутизатор пытается добавить свой выходной адрес в такой список.

Но длина списка задается отправителем, и, возможно, что для записи всех адресов по пути следования датаграммы может не хватить места. В этом случае маршрутизатор будет просто пересылать датаграмму без добавления своего адреса.

Существуют три формата для поля временной метки (Timestamp), которое может содержать:

■ Список 32-разрядных временных меток

■ Список IP-адресов и соответствующих им пар временных меток.

■ Список предварительно выбранных в источнике адресов со следующим за ним пространством для записи временной метки (сетевые узлы будут записывать туда временные метки, только когда их адреса будут совпадать с адресами из списка)

В первом и втором случаях может не хватить места для записи. Тогда создается подполе переполнения (overflow) для подсчета узлов, которые не смогли записать свои временные метки.

Вариант базовой безопасности (Basic Security) используется для проверки того, что источник имеет право на отправку датаграммы, маршрутизатор - на трансляцию, а приемник - на ее получение.

Параметр Basic Security состоит из классификационных уровней, изменяющихся от Unclassified (не секретно) до Top Secret (совершенно секретно) и флагов идентификации авторства. Эти уровни определяют правила для датаграммы. Авторство присвоено нескольким организациям, например Агентству национальной безопасности США, ЦРУ и Министерству энергетики.

Датаграмма с Basic Security может содержать и поле Extended Security . Для этих полей существует несколько различных подформатов, определяющих требования различных владельцев авторства.

Маршрутизатор или хост должен уничтожить информацию, на которую у него нет права авторства. Системы безопасности конфигурируются с различными классификационными уровнями и могут посылать и получать сведения об авторстве (авторствах), если это разрешено. Отметим, что многие коммерческие продукты не поддерживают таких возможностей.

Вариант "без операций" (No Operation) применяется для заполнения промежутков между вариантами датаграмм. Например, он используется для выравнивания следующего варианта по 16- или 32-разрядной границе.

Конец списка вариантов (End of Option List) служит для заполнения полей вариантов до 32-разрядной границы.

Существуют два однобайтовых варианта, кодируемых следующим образом:

No Operation 00000001

End of Option List 00000000

Оставшиеся варианты задаются несколькими битами. Каждый начинается октетом типа и октетом длины .

Для рассматриваемых вариантов возникает следующий вопрос: нужно ли их копировать в заголовки получаемых при фрагментации датаграмм? Копирование выполняется для Security, Strict Source Route и Loose Source Route . Поля Record Route и Timestamp копируются только в первый фрагмент датаграммы.

Октет типа подразделяется на:

В таблице 6.5 показаны значения октета типа и его деление на поля Copy (копирование), Class (класс) и Option Number (номер варианта) для каждого стандартного варианта.

Таблица 6.5 Поля Copy, Class и Option Number

Форматы наиболее общих полей вариантов представлены на рис. 6.13.

Рис. 6.13. Форматы полей вариантов

Вариант Strict Source Route (точный маршрут от источника) содержит указатели на список адресов. Указатель определяет позицию следующего обрабатываемого адреса. Первоначально указатель имеет значение 4, которое увеличивается на 4 при каждом попадании.

Вариант Loose Source Route (произвольный маршрут от источника) содержит указатели на список адресов. Исходное положение указателя, как в предыдущем случае, здесь 4 и увеличивается на 4 при достижении каждого из адресов списка.

Вариант Record Route (запись маршрута) содержит указатели и место для записи адресов. Первоначально указатель имеет значение 4, а место, предназначенное для записи адреса, пусто.

При достижении каждого маршрутизатора его адрес записывается по указателю, а значение указателя увеличивается на 4. Когда будет занято все выделенное для записи место, датаграмма продолжит путь к точке назначения без записи дополнительных адресов.

Вариант Timestamp (временная метка) содержит указатель, подполе переполнения и подполе флага. Подполе флага определяет один из трех возможных для временной метки форматов.

Если в подполе флага содержится 0, то при каждом попадании в выделенном месте записывается временная метка, а значение указателя увеличивается на 4. Когда будет заполнено все предварительно выделенное пространство, значение подполя переполнения увеличивается на единицу и все поступающие датаграммы отбрасываются.

Если подполе флага хранит 1, то при каждом попадании по IP-адресу на пустое место будет записываться временная метка, а значение указателя увеличиваться на 8. Когда будет заполнено все предварительно выделенное пространство, значение подполя переполнения увеличивается на единицу и запись меток прекращается. Предположим, что отправитель хочет записать временные метки для списка предварительно выбранных узлов. В этом случае в поле флага нужно указать 3 и заполнить список выбранных адресов интернета. Если в текущий момент указатель установлен на адрес маршрутизатора, это устройство заполнит место для временной метки и увеличит значение указателя на 8.

Значения этих полей устанавливаются военными и правительственными агентствами. Дополнительные сведения можно получить в RFC 1108.

На рис. 6.14 показан результат работы анализатора Sniffer компании Network General для заголовка MAC-кадра сети DIX Ethernet и для заголовка IP.

DLC: Frame 14 arrived at 10:26:10.5797; size is 61 bytes

DLC: Destination = Station Sun 076A03, Sun Atlantis

DLC: Source = Station Sun 07FD89, Sun Jupiter

IP: Version = 4, header length = 20 bytes

IP: .... 0... = normal throughput

IP: .... .0.. = normal reliability

IP: Time to Live = 30 seconds/hops

IP: Header checksum = 12F4 (correct)

IP: Source address =

IP: Destination address =

06 00 20 07 6A 03 (Destination physical address)

08 00 20 07 FD 89 (Source physical address)

45 00 00 2F (Version, Hdr Length, Prec/TOS, Total Length)

11 6A 00 00 (Identification, Flags, Fragment Offset)

1E 06 12 F4 (Time to Live, Protocol, Header Checksum)

C0 2A FC 01 (Source IP Address)

C0 2A FC 14 (Destination IP Address)

Рис. 6.14. Интерпретация заголовков MAC и IP

Заголовок MAC начинается 6-байтовыми физическими адресами систем источника и назначения. Отметим, что анализатор Sniffer заменяет первые 3 байта каждого физического адреса на соответствующее имя компании - производителя сетевого адаптера (в нашем случае это Sun ). Поле типа содержит код X"0800, что означает: "данную информацию доставлять в IP".

На рисунке датаграмма IP следует сразу за коротким MAC-заголовком сети DIX Ethernet. Это кадр стандарта 802.3, а за MAC-заголовком располагаются 8-байтовый заголовок LLC с подзаголовком SNAP.

Размер кадра - 61 байт. В эту величину включается 14-байтовый MAC-заголовок кадра, но не учитывается 4-байтовая завершающая часть MAC, поэтому полный кадр имеет длину 65 байт. Кадры Ethernet или 802.3 для носителя на коаксиальном кабеле должны иметь длину не менее 64 байт, следовательно, кадр едва не стал меньше допустимого минимального размера. Датаграмма кадра имеет общую длину только 47 байт.

Как и многие заголовки IP, рассматриваемый в примере заголовок не содержит вариантов и, следовательно, имеет длину 20 байт. На практике поле Type of Service имеет, как правило, значение 0.

Можно заметить, что датаграмма не является фрагментом более длинной датаграммы, поскольку поле Fragment Offset хранит 0, показывая начало датаграммы, и второй флаг установлен в 0, указывая на ее конец.

Датаграмма зафиксировала информацию о 30 попаданиях в поле TTL. Поле Protocol имеет значение 6, что указывает на доставку датаграммы TCP на хост назначения.

Анализатор Sniffer транслировал IP-адреса источника и назначения в общепринятый формат с точками.

Шестнадцатеричные октеты, создающие исходный заголовок MAC и заголовок IP, показаны в нижней части рисунка. Заданный в Sniffer вывод в шестнадцатеричном формате был заменен на соответствующие, но более простые значения в формате с точками.

Для лучшего понимания работы IP рассмотрим операции по обработке датаграммы в маршрутизаторе и хосте назначения. Выполняемые при этом шаги показаны на рис. 6.15.

Рис. 6.15. Обработке датаграммы

Возникающие проблемы и ошибки приводят обычно к отбрасыванию датаграммы и посылке источнику сообщения об ошибке. Эти процессы будут рассмотрены в главе 7, посвященной протоколу Internet Control Message Protocol (ICMP).

После получения датаграммы маршрутизатор проводит серию проверок, чтобы узнать, не нужно ли отбросить данную датаграмму. Вычисляется контрольная сумма заголовка и сравнивается со значением из поля контрольной суммы.

Просматриваются поля и протокола для выявления имеющих смысл значений. Уменьшается значение из поля времени жизни. При ошибке в контрольной сумме, параметрах или нулевом значении времени жизни, а также в том случае, когда маршрутизатор не имеет достаточного объема памяти для продолжения ее обработки, датаграмма отбрасывается.

На следующем шаге выполняется анализ безопасности посредством серии предварительно сконфигурированных тестов. Например, маршрутизатор может ограничить входной трафик, чтобы было доступно только несколько серверов назначения.

Далее маршрутизатор выполняет процедуру маршрутизации датаграммы. По указанию в заголовке датаграммы выбирается вариант точного или произвольного маршрута от источника. Затем, если это необходимо и разрешено, осуществляется фрагментирование. Если датаграмма не может быть передана дальше без фрагментации, но поле "Не фрагментировать" имеет значение 1, она отбрасывается.

Имеющиеся варианты обрабатываются. Измененные заголовки должны быть построены для каждой датаграммы или ее фрагмента. Наконец повторно вычисляется контрольная сумма заголовка и датаграмма пересылается системе следующего попадания. Это наиболее общий сценарий обработки датаграммы маршрутизатором. Однако иногда он является конечной точкой назначения датаграммы. Например, запрос сетевой управляющей информации может посылаться на сам маршрутизатор.

В хосте назначения вычисляется контрольная сумма, и полученный результат сравнивается с соответствующим полем. Проверяется адрес назначения на принадлежность данному хосту. Проверяется также корректность полей версии, длины заголовка, общей длины и протокола. Датаграмма отбрасывается при любой ошибке или при недостатке буферного пространства для ее обработки хостом.

Если датаграмма фрагментирована, то хост проверяет четыре поля: идентификации, адреса источника, адреса назначения и протокола для выявления фрагментов с идентичными значениями (т.е. принадлежащих одной датаграмме). Далее используется значение из поля смещения фрагмента для позиционирования фрагментов относительно друг друга.

Целая датаграмма пересылается соответствующей службе высокого уровня, например TCP или UDP.

Хост не ожидает полного завершения сборки датаграммы из фрагментов. Когда поступает первый фрагмент, таймер устанавливается в локально конфигурируемое значение (обычно между 1 и 2 минутами). Фрагменты датаграммы, не собранные за это время, отбрасываются.

Все хотят получить максимальные преимущества от коммуникаций, но благоразумный сетевой администратор всегда принимает меры, чтобы защитить ресурсы компьютеров от воздействия извне, в первую очередь от хакеров. Маршрутизаторы со средствами защиты (firewall router; иногда используется дословный перевод - брандмауэр, т.е. противопожарная стенка. - Прим. пер .) стали наиболее популярными устройствами в оборонительном арсенале сетевого администратора.

Маршрутизаторы со средствами защиты устанавливаются для фильтрации трафика с целью обеспечения безопасности сайта. Как показано на рис. 6.16, такие маршрутизаторы могут конфигурироваться на разрешение или запрещение трафика на основе:

■ IP-адреса источника

■ IP-адреса назначения

■ Протокола

■ Приложения

Рис. 6.16. Маршрутизатор со средствами защиты

Например, внутренним пользователям можно разрешить посылку и прием сообщений электронной почты и доступ к внешним серверам WWW, а внешним пользователям - только к небольшому подмножеству серверов сайта.

Дополнительная защита обеспечивается интеллектуальным фильтрующим хостом со средствами защиты. В некоторых реализациях внутренние пользователи должны соединится со средством защиты и аутентифицировать себя для соединения с внешним миром. Пользователям могут индивидуально присваиваться привилегии. Весь трафик из внешнего мира будет фильтроваться средством защиты хоста и может анализироваться по определенным критериям.

Некоторые хосты со средствами защиты работают как прокси. Когда внутренний пользователь запрашивает информацию из внешнего мира, производится соединение с прокси, который и получает эту информацию, а затем передает ее внутреннему пользователю.

Для большей защиты сайты можно установить в режим "демилитаризованной зоны" локальной сети, разместив хосты защиты и все внутренне доступные прикладные серверы в локальной сети, защищенной фильтрующим маршрутизатором. На рис. 6.17 показана такая зона локальной сети, используемая для защиты от внешнего вторжения.

Рис. 6.17. Защита сайта с помощью демилитаризованной зоны

Применение защитного прокси позволяет присваивать компьютерам сайта личные IP-адреса (не известные внешним пользователям, которым доступен только адрес прокси или средства защиты. - Прим. пер .). В этом случае только для систем из демилитаризованной зоны локальной сети потребуются уникальные общедоступные адреса.

Производительность интернета зависит от количества доступных ресурсов на хостах и маршрутизаторах и от эффективности их использования. К таким ресурсам относятся:

■ Полоса пропускания пересылки информации

■ Объем буферной памяти

■ Скорость работы центрального процессора (ЦП)

Совершенных механизмов работы протоколов не существует. Разработка протоколов требует компромисса между широтой возможностей и эффективностью.

IP эффективно использует полосу пропускания. Датаграммы помещаются в очередь для пересылки в точку следующего попадания, как только станет доступна полоса пропускания (bandwidth; по традиции мы будем использовать термин "полоса пропускания", хотя больший смысл имеет термин "доля производительности сети". - Прим. пер .). В результате удается избежать потерь от резервирования полосы пропускания для конкретного трафика или ожидания подтверждения пересылки.

Более того, существуют новые протоколы маршрутизации IP с большими возможностями: они могут распараллеливать трафик по нескольким путям и динамически выбирать маршрутизаторы, чтобы исключить перегрузки на отдельных участках пути следования датаграмм. Применение таких протоколов позволяет улучшить использование доступных ресурсов для пересылки информации.

Однако появляется небольшая перегрузка из-за управляющих сообщений, единственным источником которых становится протокол ICMP.

В результате проявляются и некоторые негативные свойства. Когда трафик направляется из высокоскоростной локальной сети в линию "точка-точка" с малой полосой пропускания, датаграммы начинают скапливаться в очереди маршрутизатора. Увеличивается время доставки от источника к точке назначения, и некоторые датаграммы отбрасываются. В этом случае требуется повторная пересылка датаграмм, еще более увеличивающая нагрузку на сеть и уменьшающая ее пропускную способность.

Отметим также, что при перегрузке сети, доставка датаграмм замедляется и становится менее надежной. Однако некоторые очень эффективные алгоритмы позволяют TCP немедленно реагировать на перегрузки посредством сокращения объема пересылаемых данных и снижения уровня ретрансляции.

Эти алгоритмы оказывают существенное влияние на производительность сети и поэтому стали неотъемлемой частью стандарта TCP (см. главу 10).

Производители маршрутизаторов энергично создают все более совершенные устройства, позволяющие обрабатывать десятки тысяч датаграмм в секунду. Для получения высокой производительности следует также внимательно отнестись к конфигурированию сети, чтобы предполагаемое максимальное использование памяти составляло примерно 50% от общего объема буферной памяти.

Протокол IP, производящий пересылку датаграммы, несет ответственность за ее доставку. Для тех случаев, когда датаграмма по тем или иным причинам не попала в точку назначения, предусмотрен буфер датаграмм, позволяющий произвести операцию пересылки снова. В свою очередь, IP хоста назначения должен выделить некоторое буферное пространство для сборки фрагментированных датаграмм.

Обработка датаграмм не приводит к большой загрузке центрального процессора (ЦП). Анализ заголовка достаточно прост. Не требуется сложного программного обеспечения для обслуживания тайм-аутов и повторной трансляции.

Вследствие динамических изменений и отсутствия соединений протокол IP требует обработки информации о маршрутизации на каждой системе попадания. Однако это реализуется простым просмотром таблицы, что выполняется достаточно быстро даже при большом размере таблиц.

Выполняемый маршрутизаторами анализ безопасности замедляет обработку, особенно при длинном списке условий для проверки каждой датаграммы.

Существует класс IP-адресов, используемых в многоадресных рассылках (см. главу 5), позволяющий маршрутизировать датаграмму от источника к группе систем, заданной одним из адресов класса D. Технологии и протоколы поддержки многоадресных рассылок в приложениях (например, в конференциях) существенно улучшились и расширили свои возможности за последние несколько лет.

В этом разделе мы кратко рассмотрим некоторые из используемых в настоящее время реализаций многоадресных рассылок. Но сначала приведем следующие факты:

■ Протокол IGMP обеспечивает механизм для разрешения многоадресным маршрутизаторам определять принадлежность хостов к группе многоадресной рассылки. IGMP рассматривается как составная часть IP. Сообщения IGMP переносятся датаграммами IP со значением 2 в поле протокола.

■ Многоадресный маршрутизатор - это любая система, выполняющая специальное программное обеспечение многоадресной маршрутизации, которое может выполняться на обычных маршрутизаторах или хостах, сконфигурированных для выполнения многоадресной рассылки.

Рассмотрим сценарий работы многоадресного хоста:

■ Хост, который хочет подключиться к группе и получать многоадресные рассылки, начинает прослушивать адрес многоадресной рассылки для всех хостов (224.0.0.1).

■ Если хост хочет подключиться к конкретной группе, он должен сообщить об этом всем многоадресным маршрутизаторам по локальной связи. Для этого он отправляет сообщение-отчет IGMP по адресу нужной группы многоадресной рассылки. Поле TTL такого сообщения установлено в 1, и сообщение не может покинуть локальную подсеть.

■ Затем хост начинает прослушивать датаграммы, посланные по адресу многоадресной рассылки.

■ Кроме того, хост реагирует на периодические запросы от локальных маршрутизаторов и отвечает соответствующим отчетом.

■ Для выхода из группы хост просто прекращает прослушивание на адрес этой группы и перестает направлять отчеты в группу.

Рассмотренные действия хоста слишком прямолинейны. Маршрутизация должна быть несколько сложнее и поэтому находится в стадии совершенствования. Рассмотрим действия в маршрутизаторе:

■ Многоадресный маршрутизатор прослушивает все интерфейсы для получения отчетов от хостов. Для каждого из его интерфейсов создается список всех многоадресных групп, имеющих не менее одного активного члена в подсети, доступ к которой выполняется через данный маршрутизатор.

■ Маршрутизатор должен посылать другим маршрутизаторам список адресов активных групп для каждой из подключенных к нему подсетей.

■ Поскольку хосты достаточно молчаливы, маршрутизатору приходится периодически проверять локальные системы на принадлежность к конкретной группе. Для этого он время от времени отправляет запрос по адресу "все хосты" . Каждый хост группы будет ожидать в течение произвольного промежутка времени. Первый из откликнувшихся укажет в своем ответе адрес группы . Маршрутизатор и все системы этой группы услышат такой ответ. Поскольку маршрутизатор после этого уже знает, что в группе есть хотя бы один активный член, остальные ответы уже не требуются.

■ Когда маршрутизатор получает датаграмму многоадресной рассылки, он пересылает ее в каждую подключенную к нему подсеть, в которой находится член этой группы. Маршрутизатор может также переслать датаграмму другому многоадресному маршрутизатору.

IGMP-сообщение хоста имеет формат, показанный на рис. 6.18. Значение типа 1 определяет Host Membership Query (запрос о членстве хоста), а значение 2 - Host Membership Report (отчет о членстве хоста).

Рис. 6.18. Формат сообщения IGMP от хоста

Протокол IP определен в RFC 791. Изменения, корректировки и требования совместимости специфицированы в RFC 1122. RFC 1812 подробно описывает требования IP версии 4 к маршрутизаторам и содержит подробные сведения об операциях таких маршрутизаторов.

Варианты безопасности Министерства обороны обсуждаются в RFC 1108. Вычислению контрольной суммы в Интернете посвящены RFC 1071, 1141 и 1624. RFC 815 представляет эффективные алгоритмы для сборки после фрагментации датаграммы в хосте получателя.

RFC 1112 специфицирует расширения хостов для многоадресных рассылок в IP.

Казалось бы, ничего. Однако, я обнаружил, что настроив у себя поддержку IPv6, можно получить несколько очень приятных «фишек», недоступных при использовании только IPv4.

Преимущества

1. Статические "белые" IP-адреса для всех ваших компьютеров (даже за провайдерским NAT)

На сегодня, если не считать прямого IPv6 (которого российские провайдеры пока не дают), наиболее привлекательным способом подключения к IPv6 является регистрация у так называемого туннельного брокера, т.е. компании, которая предоставляет (бесплатно) услугу «перебрасывания» трафика из IPv4 в IPv6 и обратно.

При использовании такого способа, каждый пользователь не только получает прямой доступ к IPv6-интернету (даже находясь за провайдерским IPv4 NAT"ом!), но и имеет собственную подсеть IPv6, которая привязывается не к его текущему IPv4-адресу, а к его эккаунту (имени и паролю) у брокера. Таким образом имеется возможность не только получить диапазон IPv6-адресов, но и сохранить его за собой даже при смене своего непосредственного провайдера IPv4.

Кроме того, пользователям в полное распоряжение выдаётся как минимум подсеть /64 , которой достаточно, чтобы можно было подключить к сети 2 64 устройств, и дать им всем настоящие («белые»), статические Интернетовские адреса.

Таким образом, в случае, когда в вашей локальной сети – несколько компьютеров, и необходимо обеспечить доступ к сервисам некоторых из них снаружи, более не нужно изощряться с пробросом портов на NAT-шлюзе и их запоминанием («так, порт 20022 - это SSH на компьютер в спальне, а 20122 - на тот, что в гостинной»), достаточно просто подключиться к нужному компьютеру, указывая не адрес шлюза, а адрес этого компьютера напрямую.

Может возникнуть вопрос – а как быть с безопасностью? Отсутствие в IPv6-мире NAT, неверно воспринимаемого некоторыми как средство защиты сети от вторжений, на возможность обезопаситься от взломщиков никоим образом не влияет. Достаточно настроить файрвол таким образом, чтобы он не пропускал из Интернета в локальную сеть входящих соединений, кроме тех, которые вы специально хотите разрешить. В GNU/Linux для этих целей имеется инструмент ip6tables , являющийся аналогом используемого для настройки IPv4-файрвола iptables .

2. Более высокая скорость скачивания торрентов

Протокол BitTorrent построен таким образом, что находящиеся за провайдерским NAT и не имеющие возможности принимать входящие соединения пользователи могут «торрентить» файлы только с тех, кто за таким NAT"ом не находится (т.е имеет возможность принять входящее соединение). Это очень существенное ограничение даже сегодня, но вдвойне – в ближайшие годы, т.к. по мере исчерпания IPv4-адресов, всё больше провайдеров будут забирать у пользователей реальные IPv4 и «садить» их за NAT. Таким образом, количество торрентовских peer"ов и seed"ов, имеющих связность между собой, будет падать, вплоть до полной невозможности выкачать некоторые малопопулярные торренты.

Для тех, кто настроил IPv6, эта проблема становится полностью неактуальной. В мире IPv6, все компьютеры могут получить настоящие, «белые» IP-адреса – и благодаря технологиям «заворачивания» IPv6 в IPv4, сделать это можно даже находясь за IPv4 NAT"ом.

Чтобы задействовать новый протокол при скачивании/раздаче торрентов, необходима его поддержка со стороны трекера. IPv6 на сегодня поддерживают два из трёх крупнейших российских трекеров , и к примеру на форуме NoNaMe-Club обсуждение нового протокола развернулось уже более чем на 50 страниц.

Стоит отметить, что после включения IPv6, торренты могут работать быстрее не только у тех, кто находится за злобными провайдерскими NAT, а у всех, сделавших это. Всё дело в том, что имея настроенный доступ в IPv6-интернет, вы получаете возможность качать и с компьютеров тех пользователей Сети, у которых по разным причинам нет возможности раздавать файлы по IPv4. И в конечном итоге, видя больше seed"ов и больше peer"ов – получаете более высокую скорость.

Если вы пользуетесь GNU/Linux, и IPv6 вам интересен прежде всего для скачивания торрентов, вы можете установить себе поддержку IPv6 всего за минуту, без необходимости настраивать её вручную .

3. Более высокая скорость скачивания чего угодно

Если ваш провайдер внедрил IPv4 NAT и параллельно с ним нативный IPv6, вы вполне можете обнаружить, что доступ к интернет-ресурсам по IPv6 у вас работает гораздо быстрее, надёжнее и беспроблемней, чем по IPv4 через NAT.

Объяснение этому простое: Carrier-grade NAT , т.е. трансляция адресов для десятков тысяч абонентов (и хранение в памяти информации о сотнях тысяч установленных ими соединений) – задача крайне ресурсоёмкая даже для очень дорогих специализированных провайдерских роутеров. Неудивительно, что в часы пиковой нагрузки оборудование, отвечающее у вашего провайдера за NAT, может оказаться перегруженным.

В случае же доступа к какому-либо ресурсу по IPv6, никакой трансляции адресов не требуется, провайдером выполняется простая маршрутизация без какой-либо обработки пакетов или отслеживания открытых соединений, а для этого достаточно гораздо меньших вычислительных ресурсов и более дешёвого (а значит вполне вероятно установленного с достаточным запасом) оборудования.

Протокол RC-6 компании Philips является развитием протокола RC-5, что понятно из его наименования. Протокол универсален и хорошо проработан. Вследствие его универсальности, в зависимости от назначения, протокол имеет множество реализаций. Здесь рассмотрим только основные параметры протокола.

Особенности протокола:

• Бифазный способ кодирования данных (похоже на код Манчестер)
• Модулированный сигнал, несущая частота 36 кГц
• Различная информационная емкость посылки в зависимости от назначения
• Множество определенных протоколом вариантов формата, в зависимости от назначения
• Определенный форматом перечень команд для обеспечения совместимости

Передача информации в протоколе RC-6 выполняется модулированными сигналами ИК излучения с базовой частотой 36 кГц и скважностью от двух до четырех. Кодирование информации производится аналогично коду Манчестер. Передача битов информации производится последовательностью паузы и сигнала, причем при передаче "нуля", передается сначала пауза, затем пакет несущей частоты, а при передаче "единицы" - сначала пакет несущей частоты, затем - пауза. Кстати, это прямо противоположно формату RC-5.

Базовой единицей времени (Ƭ) в протоколе принято время, равное 16 периодам несущей частоты (444 мкс). В протоколе определяется пять символов, с помощью которых формируется пакет:

• Предварительный импульс 6Ƭ (2.666 мс) и пауза 2Ƭ (889 мкс)

• Нормальные биты информации. Время передачи бита - 2Ƭ (889 мкс), соответственно, половина этого времени передается пакет несущей частоты (16 периодов) и столько же занимает передача паузы.

• Завершающие биты информации. Время передачи бита удвоено - 4Ƭ (1.778 мс), соответственно, половина этого времени передается пакет несущей частоты (32 периода) и столько же занимает передача паузы.

Предварительный импульс и завершающие биты используются только в заголовке посылки. Поскольку протокол определяет множество вариантов формата, рассмотрим только один из них. Структура посылки, вариант 1, используемый в основном в бытовой технике, позволяет адресовать 256 различных устройств.

Посылка имеет несколько информационных полей:

Заголовок пакета

Заголовок пакета состоит из четырех частей:

• В начале передается предварительный импульс (LS). Предварительный импульс в основном требуется для установки режима приемника - усиления и уровня нуля.
• Затем передается стартовый бит (SB). Его значение всегда равно единице. Стартовый импульс используется для временнóй калибровки приемника.
• Далее передается код режима, три бита (MB2...MB0). В нашем примере код режима равен "000".
• В конце заголовка передается завершающий бит (TR). Длительность завершающего бита в два раза больше нормальных бит. Завершающий бит, аналогично toggle bit в протоколе RC-5, меняет свое значение при каждом последующем нажатии кнопки пульта. Этот бит позволяет отличить два нажатия на одну кнопку от удержания кнопки в нажатом состоянии.

Поле адреса

Поле адреса имеет длину 8 бит и несет информацию об адресе приемника. Такой размер поля адреса в варианте 1 протокола позволяет адресовать до 256 различных устройств. Адрес передается старшим битом вперед.

Поле информации

Поле информации имеет длину 8 бит и несет информацию команде. Такой размер поля информации в варианте 1 протокола позволяет передавать до 256 различных команд. Код команды передается старшим битом вперед.

Пауза

Пауза обязательно присутствует после окончания передачи пакета. Анализ наличия паузы необходим для исключения искажений и конфликтов. Минимальное время паузы составляет время 6Ƭ, равное 2.666 мс.

12.04.2018 | Андрей Леушкин

1 февраля 2011 года последние два блока /8 (максимальное количество хостов 16777216) были отданы APNIC . Это событие сообщило миру, что пространство IPv4-адресов закончилось. Иными словами, интернет-регистраторы могут использовать только те адреса, которые были получены ранее. Нехватку адресов IPv4 должен решить переход на IPv6-адреса. Ход миграции, а также опыт применения различными организациями этого протокола рассмотрим ниже.

Зарубежный опыт

Крупные интернет-провайдеры и службы, а также производители оборудования в честь празднования Всемирного дня IPv6 включили протокол на своем оборудовании. Среди них оказались такие гиганты, как AT&T, Google, Cisco, Facebook, Microsoft Bing, Yahoo! На момент написания статьи эти и многие другие сервисы продолжают работать как в IPv4-, так и в IPv6-сегментах. Например, Google Public DNS доступен не только по 8.8.8.8 и 8.8.4.4 адресам, но и по 2001:4860:4860::8888 и 2001:4860:4860::8844.

Провайдеры AT&T и Orange предоставляют своим клиентам сразу два адреса – один IPv4, другой IPv6, одновременно настраивая оба параметра сетевого соединения. Если в первом случае компании делают это для доступности своих ресурсов, то во втором – для непосредственного доступа к ним.
Довольно интересным является факт использования IPv6 зарубежными организациями в дата-центрах и ЦОД. В силу преимуществ протокола (большие адресные пространства и облегчение заголовка пакета), а также высокой распространенности виртуальных машин по сравнению с физическими использование IPv6 просто необходимо.

IPv6 активно внедряется в странах Азии. Проблема нехватки IPv4-адресов в Китае стоит достаточно остро. По сообщению информационного агентства «Синьхуа », к 2020 году планируется увеличение активных пользователей до 500 тысяч, а к концу 2025 года Китай станет мировым лидером по числу пользователей IPv6.

Российский опыт

Официальной информации об использовании провайдерами IPv6 немного, но некоторые данные доступны по ссылке . Среди крупных провайдеров следует выделить «Вымпелком» («Билайн») и ТТК. Примечателен тот факт, что «Вымпелком» уже успешно перевел несколько регионов на IPv6 внутри мобильной сети и активно использует данный протокол.

Крупные российские интернет-компании тоже не оказались в стороне. «Яндекс» активно применяет IPv6 в своих сетях. Почтовые сервисы, DNS и непосредственно web уже имеют поддержку нового протокола. В своем блоге «Яндекс» сообщает, что в мире поддержка IPv6 в среднем лучше, чем в Рунете и это послужило причиной для организации межсерверного взаимодействия почтовых служб. Пример такой реализации представлен на рисунке 1.

Отдельной проблемой для «Яндекс» стала так называемая спамооборона – комплекс программ и баз данных по защите от спама и нежелательных писем. Антиспам-алгоритмы Яндекс.Почты сочетают не только статистические и эвристические методы, машинное обучение, но и механизм принятия решений, основанный на этих факторах. Проблема заключалась в том, что один из методов проверяет IP-адреса задействованных компьютеров и хранит репутацию их IPv6-адресов, общее количество которых сильно превышает даже общий объем оперативной памяти всех серверов «Яндекса». Однако инженеры нашли компромиссное решение и устранили проблему.

Что касается поисковых систем, то большая их часть уже работает не только на протоколе IPv4, но и на IPv6, исключением является Rambler.ru.

IPv6 в IoT

Интересен факт применения IoT в домашних сетях. По сути, интернет вещей – это своего рода идеальная среда, в которой к единой сети подключены все «умные» устройства с непосредственным доступом к ним из глобальной сети.

Чем обусловлено использование? Разумеется, огромным адресным пространством. Рассмотрим рисунок 2. Здесь мы видим устройство домашней локальной сети.

• Устройства 1 , 2 и 3 приведены схематично как пользовательские устройства.
• Устройство 3 – сервер системы «умный дом», допустим.
• Устройство 4 – точка доступа.
• Устройство 6 – маршрутизатор, обеспечивающий доступ в Интернет для устройств домашней сети.
• Линия связи 5 связывает точку доступа с внутренним интерфейсом маршрутизатора.
• Линия связи 7 соединяет внешний интерфейс маршрутизатора с сетью провайдера (8 ). Обе линии связи используют протокол IPv6. Однако линия 7 (внешний интерфейс маршрутизатора) использует адресное пространство /128, а домашняя подсеть имеет префикс /64.

Далее весь трафик, приходящий на внешний порт маршрутизатора, «роутится» во внутреннюю сеть с белыми IPv6-адресами. Почему не NAT и не port forwarding? Подсеть /64 достаточно велика и подразумевает существование 18446744073709551616 адресов. Вероятное обилие разного рода датчиков и устройств просто невозможно закрепить за конкретным tcp-портом на внешнем интерфейсе. Следует понимать, что внутренняя сеть не ограничивается четырьмя устройствами и не все устройства системы «умный дом» будут подключены к серверу, а будут доступны напрямую.

Промышленное применение IPv6

Применение и переход от IPv4 к IPv6 в промышленности так же обоснован, как и применение в системе «умный дом». Остро стоит проблема нехватки IPv4-адресов. Частным примером можно взять нефтегазовую промышленность и применяемые в ней M2M-датчики . Общая схема взаимодействия изображена на рисунке 3.

Если кратко, в единый диспетчерский центр передается информация со станций по добыче нефти или газа (для справки: в России около 140 месторождений нефти и 11 крупнейших месторождений газа). Таких станций может быть несколько на одном месторождении. Казалось бы, не такое большое количество, однако поднятые на поверхность нефть или газ транспортируются по магистральным нефте- или газопроводам и весь процесс нуждается в постоянном мониторинге, а это сотни тысяч разного рода датчиков, приборов и насосных.

Реализуется M2M (machine-to-machine/межмашинное) взаимодействие благодаря операторам сотовой связи. M2M можно развернуть практически в любой отрасли – ЖКХ, городского транспорта и платежных терминалов (банкоматов).

Общие проблемы:

1. Оборудование должно поддерживать IPv4v6 Dual-Stack.
2. Использование IPv4v6 Dual-Stack в сетях провайдера (и не только) подразумевает полные изменения в опорной и транспортных сетях, сервисных платформах, биллинге, СОРМ и прочем.
3. Оборудование клиента из другой сети должно понимать, что такое IPv6. Если провайдер клиента «не понимает» IPv6, единственным выходом остается только туннелировать IPv6 внутри IPv4-туннеля.
4. Наполнение контентом сети IPv6 слабое, и большинство сервисов ресурсов работает на IPv4.

• 2a02:6b8::feed:0ff — feed off, адрес базового сервера
• 2a02:6b8::feed:bad — feed bad, адрес безопасного сервера
• 2a02:6b8::feed:a11 — feed all, адрес семейного сервера (не выдаются адреса с контентом 18+)

Думаю, что в переводе не нуждается.

Google стремится к запоминанию людьми через, по всей вероятности, мышечную и зрительную память:

• 2001:4860:4860::8888
• 2001:4860:4860::8844

Первый сегмент – число 2001. Интересная связь Google и 2001 года заключается в том, что по соответствующему поисковому запросу можно перейти на сайт , где располагается фраза «Google: Let’s Query Like It’s 2001», что переводится как «Гугл, давайте попробуем как в 2001 году». В том году компания запустила PR (PageRank) – один из алгоритмов ссылочного ранжирования.

Второй и третий сегменты – числа 4860, их очень удобно набирать на цифровой секции клавиатуры.

Далее следует сегмент, содержащий 0000, однако сокращение записи делает ввод нулей необязательным.
Последний сегмент 8888 в основном адресе и 8844 в альтернативном по сути являются отсылкой к адресам в IPv4 – 8.8.8.8 и 8.8.4.4 соответственно.

Заключение

Как показала практика, IPv6, хоть и медленно, но находит применение в современном мире. Несмотря на проблемы, связанные с переходом на новую версию интернет-протокола, это важный и значимый шаг для всех без исключения. VAS Experts готова уже сейчас предложить своим клиентам начать использовать IPv6, реализация которого добавлена в последних версиях СКАТ DPI . В дальнейшем мы планируем развитие Dual Stack (шейпинг, услуги, терминация, выдача адресов), а также полную поддержку технологии NAT.
Более подробную информацию о преимуществах современной системы глубокого анализа трафика СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.
Подписывайтесь на рассылку новостей блога , чтобы не пропустить новые материалы.