Для предотвращения зацикливания пакетов по составным петлям при отказах связей применяются два других приема, называемые тригтерными обновлениями и замораживанием изменений.

Прием триггерных обновлений состоит в том, что маршрутизатор, получив данные об

изменении метрики до какой-либо сети, не ждет истечения периода передачи таблицы

маршрутизации, а передает данные об изменившемся маршруте немедленно.

Второй прием — замораживание изменений — позволяет исключить подобные ситуации.

Он связан с введением тайм-аута на принятие новых данных о сети, которая только что

стала недоступной. Этот тайм-аут предотвращает принятие устаревших сведений о не-

котором маршруте от тех маршрутизаторов, которые находятся на некотором расстоянии

от отказавшей связи и передают устаревшие сведения о ее работоспособности.

 

14. Протокол маршрутизації RIP2 (Routing Information Protocol v2). Формат повідомлень RIP протоколу.

Address Family Identifier - (AFI) Тип адреси, зазвичай підтримується тільки запис AF_INET, яке дорівнює 2 (тобто використовується для протоколу IP)

Route Tag - (RT) Тег маршруту. Призначений для розділення «внутрішніх» маршрутів від «зовнішніх», узятих, наприклад, з іншого IGP або EGP

IP Address - IP адреса місця призначення

Subnet Mask - Маска підмережі

Next Hop - Наступний хоп. Містить IP адреса маршрутизатора до місця призначення. Значення 0.0.0.0 - хопом до місця призначення є відправник пакета. Необхідно, якщо протокол RIP не може бути запущений на всіх маршрутизаторах.

Metric - Метрика маршруту

 

15. Протокол маршрутизації IGRP (Interior Gateway Routing Protocol).

Протокол IGRP (англ. Interior Gateway Routing Protocol) — протокол маршрутизації, IGRP є протоколом внутрішніхроутерів (IGP) з вектором відстані.

Протоколи маршрутизації з вектором відстані вимагають від кожного роутера відправлення через певні інтервали часу всім сусіднім роутера всієї або частини своєї маршрутної таблиці в повідомленнях про коректування маршруту. У міру того, як маршрутна інформація поширюється по мережі, роутери можуть обчислювати відстані до всіх вузлів об’єднання мережі.

Особливості:

v Композитна метрика.

§ Використання тоншої метрики ("ширина" каналу, затримка, надійність, завантаженість)

§ Лічильник ділянок не бере участь у формуванні метрики, але не може перевищувати 255.

v Використання алгоритму Route Poisoning для боротьби із застарілою інформацією, що отримується з других рук через петлі:

§ Маршрути, метрика яких збільшується при черговому оновленні більш ніж на 10%, відкидаються

v Використання цього алгоритму дозволяє відмовитися від "заморожування змін", а це прискорює встановлення в мережі нової топології після обриву зв'язку або відмови маршрутизатора

 

16. Протокол маршрутизації OSPF (Open Shortest Path First). Формат заголовку OSPF.

OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm).

Описание работы протокола

Ø Маршрутизаторы обмениваются hello-пакетами через все интерфейсы, на которых активирован OSPF. Маршрутизаторы, разделяющие общий канал передачи данных, становятся соседями, когда они приходят к договоренности об определённых параметрах, указанных в их hello-пакетах.

Ø На следующем этапе работы протокола маршрутизаторы будут пытаться перейти в состояние смежности со своими соседями. Переход в состояние смежности определяется типом маршрутизаторов, обменивающихся hello-пакетами, и типом сети, по которой передаются hello-пакеты. OSPF определяет несколько типов сетей и несколько типов маршрутизаторов. Пара маршрутизаторов, находящихся в состоянии смежности, синхронизирует между собой базу данных состояния каналов.

Ø Каждый маршрутизатор посылает объявления о состоянии канала маршрутизаторам, с которыми он находится в состоянии смежности.

Ø Каждый маршрутизатор, получивший объявление от смежного маршрутизатора, записывает передаваемую в нём информацию в базу данных состояния каналов маршрутизатора и рассылает копию объявления всем другим смежным с ним маршрутизаторам.

Ø Рассылая объявления внутри одной OSPF-зоны, все маршрутизаторы строят идентичную базу данных состояния каналов маршрутизатора.

Ø Когда база данных построена, каждый маршрутизатор использует алгоритм «кратчайший путь первым» для вычисления графа без петель, который будет описывать кратчайший путь к каждому известному пункту назначения с собой в качестве корня. Этот граф — дерево кратчайших путей.

Ø Каждый маршрутизатор строит таблицу маршрутизации из своего дерева кратчайших путей.

 

17. Протокол маршрутизації EGP (Exterior Gateway Protocol).

EGP (скор. від англ. Exterior Gateway Protocol, протокол зовнішнього шлюзу) - застарілий протокол обміну інформацією між маршрутизаторами кількох автономних систем.

Для реалізації своїх функцій протокол використовує систему наступних повідомлень:

1. Придбання сусіда (Neighbor Acquisition). Перш ніж почати отримувати інформацію від зовнішніх маршрутизаторів, необхідно встановити, який маршрутизатор є сусіднім.

2. Досяжність сусіда (Neighbor reachability). Для маршрутизаторів, які виконують функції зв'язку різних доменів мереж, важливо володіти самою останньою інформацією про роботу своїх сусідів. Якщо маршрутизатор виявляє, що який-небудь шлюз не функціонує, йому необхідно негайно припинити потік даних до цього шлюзу. Для цих цілей і використовується даний тип повідомлень.

EGP-протокол підтримує два види повідомлень цього типу - повідомлення привітання (hello) і відповіді на вітання (i heard you).

18. Протокол маршрутизації BGP

BGP це протокол зовнішніх маршрутизаторів, призначений для зв'язку між маршрутизаторами в різних автономних системах. BGP замінює собою старий EGP, який використовувався в ARPANET.

Системи, що підтримують BGP, обмінюються інформацією про доступність мережі з іншими BGP системами. Ця інформація включає в себе повний шлях по автономним системам, по яких повинен пройти трафік (потік даних), щоб досягти цих мереж. При цьому виникає можливість легко обходити петлі маршрутизації, а також спрощується процес прийняття рішень про маршрутизації.

Основна перевага використання BGP в Internet полягає в зменшенні транзитного трафіку. BGP дозволяє використовувати маршрутизацію, засновану на політичних рішеннях (policy-based routing). Всі правила визначаються адміністратором автономної системи і вказуються в конфігураційних файлах BGP. BGP відрізняється від RIP або OSPF тим, що BGP використовує TCP в якості транспортного протоколу. Дві системи, що використовують BGP, встановлюють TCP з'єднання між собою і потім обмінюються повними таблицями маршрутизації BGP. Поновлення представляються у вигляді змін таблиці маршрутизації (таблиця не передається цілком). Кожна автономна система ідентифікується 16 або 32-бітним номером. BGP визначає вихід з ладу каналу або хоста на іншому кінці TCP з'єднання шляхом регулярної відправки повідомлення "залишайся в живих" (keepalive) своїм сусідам. Рекомендований час між цими повідомленнями становить 30 секунд.

19. Принципи групового мовлення. Формат групової адреси. Область дії групових адрес.

Основной целью группового вещания является создание эффективного механизма передачи данных от одного источника нескольким получателям. Для решения этой задачи могут использоваться несколько подходов, например индивидуальная рассылка, широко вещательная рассылка, привлечение сервисов прикладного уровня.

При индивидуальной рассылке (unicast) на основе уникальных адресов источник данных, которые надо доставить некоторой группе узлов, генерирует их в количестве экземпляров, равном количеству узлов-получателей, состоящих в данной группе (рис. 18.10). То естьпередача по принципу «один ко многим» сводится к нескольким передачам «один к одному.

При широковещательной рассылке (broadcast) станция направляет пакеты, используя широковещательные адреса.

В случае привлечения сервисов прикладного уровня функции по обеспечению групповой доставки перекладываются на самих членов группы. То есть,источник генерирует один экземпляр данных и, используя индивидуальный адрес, передает данные одному из членов группы, который генерирует копию и направляет ее другому члену группы и т. д

 

Адреса IPv4 из диапазона 224.0.0.0-239.255.255.255 относятся к классу D и они зарезервированы для групового вещания. Адреса из этого диапазона используются:

□ для идентификации групп;

□ для идентификации адресов источников группового вещания (в рамках модели

SSM);

□ для административных нужд при реализации группового вещания.

 

20. Відображення групових адрес IP на групові адреси Ethernet. Неоднозначність відображення адрес

ІP-адреса групи відображається на групову адресу Ethernet шляхом розміщення 23молодших бітів адреси ІP у 23 молодших біта групової адреси Ethernet 01-00-5E-00-00-00 (шістнадцятковий). Оскільки значуща частина групової адреси ІP

містить 28 біт, кілька груп хостів можуть відображатися на одну групову адресу

Ethernet.

Матеріал лекції:

v від 00:00:5e:00:00:00 до 00:00:5e:ff:ff:ff

блок MAC- адрес, закріплених за IANA (Internet Assigned Numbers Authority) — «Адміністрація адресного простору Інтернет».

v від 00:00:5e:00:00:00 до 00:00:5e:7f:ff:ff

половина з них відведена для групової адресації.

v Оскільки 01 - ознака групового MAC - адреси, маємо наступний діапазон для відображення групових IP- адрес:

v від 01:00:5e:00:00:00 до 01:00:5e:7f: ff: ff

Неоднозначність відображення адрес:

Вирішення проблеми неоднозначності адрес:

v Мережевий інтерфейс може прийняти не призначений йому кадр

v Модуль IP перевіряє адресу, вказану в заголовку IP, порівнюючи його з власною груповою адресою

v Навіть при такій надмірності групова адресація набагато ефективніше широкомовлення.

 

21. Протоколи групового мовлення (IGMP, DVMRP, MOSPF, PIM-SM).

 

Протокол IGMP используется исключительно при взаимодействии непосредственно связанных друг с другом маршрутизатора и хоста, когда последний выступает (или желает выступать) в роли получателя трафика группового вещания.

К основным функциям протокола IGMP относятся оповещение маршрутизатора о желании хоста быть включенным в группу и опрос членов группы.

 

Протокол MOSPF (Multicast extensions to OSPF — расширения протокола OSPF для группового вещания), описанный в спецификации RFC 1584, опирается на обычные механизмы OSPF для поддержки группового вещания. MOSPF-маршрутизаторы добавляют к информации о состоянии связей, распространяемой по протоколу OSPF, данные о членстве в группах узлов в непосредственно присоединенных сетях. Эти данные рассылаются по сети в дополнительном сообщении о членстве в группе (group membership). В результате помимо топологии связей, MOSPF-маршрутизаторам становится известно о наличии членов каждой из групп в каждой подсети области. На основании этой информации маршрутизатор находит дерево кратчайших путей для каждой группы. Это позволяет распространять групповые пакеты не широковещательно, а по кратчайшим путям от источника до подсетей, в которых есть активные члены группы.

 

Протокол PIM-SM является одной из двух версий протокола PIM (Protocol Independent Multicast — независимое от протокола групповое вещание), описываемого в спецификации

RFC 2362:

Главной особенностью протокола PIM-SM является то, что он рассчитан на работу в разряженном режиме, то есть он посылает групповые пакеты только по явному запросу получателя. Для доставки данных каждой конкретной группе получателей протокол PIM-SM строит одно разделяемое дерево, общее для всех источников этой группы.

22. Наведіть переваги та недоліки використання приватних комп’ютерних мереж.

Переваги технології VPN

1 При об'єднанні локальних мереж в загальну VPN мережу ви можете отримати цілком працездатний загальний простір при мінімальних витратах і високій мірі захисту.

2 Використання шифрування інформації при передачі усе це проходить абсолютно непомітно для користувача і нічим не відрізняється від роботи в локальній мережі. Окрім цього VPN є чудовим способом організації доступу окремого комп'ютера в локальну мережу компанії.

3 Можливість працювати віддалено за допомогою спеціальної програми ви можете з'єднатися з VPN- шлюзом вашої локальної мережі і працювати так само як будь-який інший співробітник вашої компанії знаходиться в офісі.

4 Це не лише украй зручно, але і досить дешево.

 

Недоліки технології VPN

Одними з небагатьох недоліків, які має технологія VPN, є необхідність закупівлі невеликої кількості устаткування і програмного забезпечення, а також збільшення об'ємів зовнішнього трафіку. Втім ці витрати досить невеликі і враховуючи величезну кількість переваг VPN, з ними цілком можна миритися.

 

23. Основні підходи щодо організації віртуальних приватних мереж.

 

1 Удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через модем либо общедоступную сеть.

Организация такой модели виртуальной частной сети предполагает наличие VPN-сервера в центральном офисе, к которому подключаются удаленные клиенты. Удаленные клиенты могут работать на дому, либо, используя переносной компьютер, из любого места планеты, где есть доступ к всемирной паутине.

2 Связь в одну общую сеть территориально распределенных филиалов фирмы. Этот способ называется Intranet VPN.

При организации такой схемы подключения требуется наличие VPN серверов равное количеству связываемых офисов. Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ресурсам «материнской» компании, а также без проблем обмениваться данными между собой.

3 Так называемый Extranet VPN, когда через безопасные каналы доступа предоставляется доступ для клиентов организации. Набирает широкое распространение в связи с популярностью электронной коммерции. В этом случае для удаленных клиентов будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных. Средства защиты информации – протоколы шифрования.

 

24. Наведіть основні вимоги, що висуваються до загальнодоступних мереж на базі яких будуються VPN мережі.

Все задачи администрированиядолжны решаться администратором безопасности - пользователь должен быть исключен из схемы администрирования,

Должна предоставляться возможность шифрования виртуальных каналов связи, как в составе ЛВС, так и каналов сети общего пользования,

процедура генерирования ключей шифрования и их распределения в сети должна осуществляться сервером VPN автоматически с минимально возможным періодом

25. VPN на базі IP-мережі.

IP VPN — это создание виртуальных частных сетей связи на базе IP-сети с использова­нием технологии MPLS (Multi Protocol Label Switching), которая позволяет объединять удалённые офисы Клиента в единую защищенную корпоративную сеть с полным спектром телекоммуникационных услуг и гарантией качества обслуживания.

По сравнению с другими технологиями, на базе которых также строятся VPN (например, Frame Relay, выделен­ные подключения, шифрование трафика в Интернет), MPLS является самой эффективной для передачи IP-трафика и, соответственно, оптимальна для работы в сети IP-ориентированных приложений.

Возможности технологии MPLS позволяют сети IP VPN быть гибкой и многофункциональной. Без значительных затрат (в сравнении с арендой и, тем более, прокладкой каналов) в виртуальной частной сети реализуется любая топология от «звезды» до «каждый с каждым». В сети функционируют любые системы, поддерживающие IP-протокол, то есть подавляющее большинство существующих приложений. При этом в IP VPN, в отличие от публичных сетей, гарантируются параметры качества связи (Quality of Service). IP VPN решения наиболее предпочтительны и позволяют создать оптимальную корпоративную сеть, как с технологической, так и с экономической точки зрения.

 

26. Технологія трансляції мережевих адрес (NAT).

NAT (від англ. Network Address Translation - «перетворення мережних адрес») - це механізм в мережах TCP / IP, що дозволяє перетворювати IP-адреси транзитних пакетів.

 

Існує 3 базових концепції трансляції адрес: статична (Static Network Address Translation), динамічна (Dynamic Address Translation), маскарадна (NAPT, NAT Overload, PAT).

Статичний NAT - Відображення незареєстрованого IP-адреси на зареєстрований IP-адресу на підставі один до одного. Особливо корисно, коли пристрій повинен бути доступним ззовні мережі.

Динамічний NAT - Відображає незареєстрований IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованим та зареєстрованим адресою, але відображення може мінятися в залежності від зареєстрованої адреси, доступного в пулі адрес, під час комунікації.

Перевантажений NAT (NAPT, NAT Overload, PAT, маськарадінг) - форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдину зареєстрований IP-адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation). При перевантаженні кожен комп'ютер в приватної мережі транслюється в той же самий адрес, але з різним номером порту.

Позволяет сэкономить IP-адреса (только в случае использования NAT в режиме PAT)

Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу.

Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы

27. Технологія трансляції мережевих адрес і номерів портів

перезавантаження NAT

 

Однією з найбільш потужних функцій NAT є здатність використовувати РАТ. Це іноді називається NAT-адресацією "багато-в-один" або перевантаженням адреси. При використанні перевантаження (overloading) сотні вузлів з ​​приватними адресами можуть отримувати доступ до Internet, використовуючи лише один глобальний адресу. NAT- маршрутизатор відслідковує різні сеанси зв'язку встановлюючи відповідність ТСР і номерів портів UDР в таблиці трансляції.

Port Address Translation (PAT) — це можливість мережевих пристроїв, яка транслює TCP або UDP зв'язки, встановлені між хостами в приватній мережі та хостами в публічниій мережі. Вона дає можливість одиничній публічній IP-адресі бути використаною багатьма хостами в приватній мережі, яка зазвичай є LAN (Local Area Network).

Пристрій PAT прозоро змінює IP пакети, коли вони проходять через нього. Ці зміни роблять всі пакети, які надіслані назовні (в публічну мережу), з багатьох хостів в приватній мережі такими, наче вони виходять в публічну мережу від одиничного хоста (пристрою PAT).

PAT є підмножиною NAT, і є тісно пов'язана з концепцією NAT. PAT також відомий, як NAT Overload. В PAT загалом тільки одна експонована публічно IP-адреса і багато приватних (внутрішніх) хостів, з'єднаних через експоновану адресу. Вхідні пакети з відкритої мережі маршрутизуються до своїх призначень у внутрішній мережі за посиланнями в таблиці, збереженій всередині пристрою PAT, який відстежує внутрішні і зовнішні пари портів.

Коли відбувається трансляція PAT, і приватна адреса IP, і номер порта відсилача модифікуються; пристрій PAT вибирає номери портів, які будуть видимі хостам зовнішньої мережі. В такий спосіб PAT оперує і на рівні 3 (мережевий), і на — 4 (транспортний), моделі OSI, тоді як базовий NAT оперує тільки на рівні 3.

28. В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.