Медведовский И.В., Семьянов П.Р., Платонов В.А. Атака на через «INTERNET».- СПб: НПО «Мир и семья - 95», 1997.
Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика, Электронинформ, 1997.
Галатенко В.А. Информационная безопасность // Открытые системы, 1995- № 4-6, 1996- № 1- 4.
Сборник руководящих документов по защите информации от несанкционированного доступа. – М: Гостехкомиссия, 1998.
8. Концепция национальной безопасности РФ. Сайт Правительства РФ, www.gov.ru.
9. Доктрина информационной безопасности РФ. Сайт Правительства РФ.
Приложение А
(справочное)
ПРИНЦИПЫ НАСТРОЙКИ И ФУНКЦИОНИРОВАНИЯ
АКТИВНОГО СЕТЕВОГО ОБОРУДОВАНИЯ CISCO
Принципы маршрутизации
Составная (объединенная) сеть (Internetwork или Internet) – совокупность нескольких подсетей, соединенных между собой через маршрутизаторы.
Подсеть (Subnet) – составляющая сеть, входящая в составную сеть и представляющая собой локальную или глобальную сеть, внутри которой используется единая технология сетевого взаимодействия (протоколы физического и канального уровней).
Первой задачей сетевого уровня является передача данных между конечными узлами разных подсетей внутри одной составной сети, т.е. преодоление ограничений, накладываемых технологиями физического и канального уровней, составляющих особенность каждой подсети (согласование протоколов). Второй задачей сетевого уровня является определение оптимального маршрута следования пакетов через составную сеть. Задачи сетевого уровня решаются методами маршрутизации и возложены на маршрутизаторы, но могут быть частично возложены и на конечные узлы.
|
|
|
Маршрутизация – это процесс передачи данных, соответствующий сетевому уровню модели OSI, между подсетями внутри одной составной сети.
Маршрутизатор – это специальное устройство или универсальный компьютер, функционирующий на сетевом уровне модели OSI и использующий одну или более метрик для определения оптимального пути передачи сетевого трафика на основании информации сетевого уровня.
На рисунке 3 показана составная сеть. Передача данных между компьютерами Host A и Host B (LANs Ethernet 1 и 4) осуществляется через маршрутизаторы Routers, которые осуществляют выбор маршрута для передаваемого трафика.
Далее на примере показанной составной сети будет рассмотрен упрощенный пример одношаговой маршрутизации, который поможет понять принципы, заложенные в определение оптимального маршрута. В частности, будет рассмотрено схематичное представление таблицы маршрутизации для маршрутизатора Router 2, которая в отличие от реальных таблиц маршрутизации сильно упрощена и использует условные обозначения.
Рисунок 3 – Общая схема логических связей между подсетями в составной сети
|
|
|
Таблица маршрутизации маршрутизатора Router 2
| Сеть назначения | Расстояние до сети назначения (количество хопов) | Сетевой адрес ближайшего маршрутизатора | Сетевой адрес выходного порта |
| LAN Token Ring | 0 (подсоединена) | – | R2(1) |
| LAN Fast Ethernet | 1 | R1(1) | R2(2) |
| LAN Fast Ethernet | 1 | R3(1) | R2(3) |
| LAN Ethernet 1 | 0 (подсоединена) | – | R2(2) |
| WAN X.25 | 1 | R5(1) | R2(3) |
| LAN Ethernet 2 | 0 (подсоединена) | – | R2(3) |
| Default | – | R4(1) | R2(1) |
На рисунке 3 сетевые интерфейсы маршрутизаторов обозначены как RN(I), где N – номер маршрутизатора, а I – номер интерфейса. В качестве метрики определения оптимального маршрута используется хоп – величина, обозначающая количество маршрутизаторов, которые необходимо пройти для достижения подсети назначения.
Маршрутизатор Router 2 содержит сведения о маршрутах к непосредственно подсоединенным сетям, а также к сетям, расстояние до которых составляет 1 хоп. Таким образом он владеет информацией обо всех ближайших (соседних) маршрутизаторах, расположенных в пределах одного хопа. Этой информации достаточно для определения направления передачи, т.е. определения следующего маршрутизатора, которому необходимо передать пакет. Если все маршрутизаторы в состоянии обеспечить передачу в правильном направлении в пределах одного хопа, то совокупность их работы даст в результате наиболее оптимальный маршрут следования пакета через составную сеть. В этом суть наиболее распространенных алгоритмов маршрутизации – алгоритмов одношаговой маршрутизации.
|
|
|
В приведенном примере соседними маршрутизаторами для Router 2 являются Router 1, Router 3, Router 4 и Router 5. Все они расположены на расстоянии одного хопа.
Наряду с наличием сведений обо всех соседних маршрутизаторах, в таблице маршрутизации имеются сведения обо всех сетях как подключенных непосредственно к маршрутизатору Router 2, так и подключенных к каждому из соседних маршрутизаторов. Следует помнить, что логически под подключением маршрутизатора к определенной подсети понимается, что локальный адрес интерфейса маршрутизатора входит в пространство локальных адресов соответствующей подсети, к которой он подключен. Под локальным адресом понимается адрес, поверх которого функционирует маршрутизируемый протокол сетевого уровня, служащий транспортом для протоколов маршрутизации (например, протокол IP).
В приведенном примере непосредственно подсоединенными к маршрутизатору Router 2 сетями (подсетями составной сети) являются LAN Ethernet 1, LAN Ethernet 2 и LAN Token Ring. К соседним маршрутизаторам подключены LAN Fast Ethernet, WAN ISDN и WAN X.25.
|
|
|
Информация двух последних колонок приведенной таблицы маршрутизации позволяет определить адрес интерфейса маршрутизатора, с которого нужно отправить пакет, а также нужный адрес интерфейса маршрутизатора-приемника, т.е. позволяет обновить адресные данные сетевого уровня на текущем участке передачи.
В приведенной таблице маршрутизации маршрут к сети LAN Fast Ethernet имеет два альтернативных пути, имеющих равную длину с точки зрения используемой метрики (т.е. длина маршрута равна одному хопу в обоих случаях). В зависимости от загруженности маршрута может быть выбран второй (альтернативный) путь. Вообще альтернативные пути могут иметь различную длину, и в качестве критерия выбора маршрута может быть и другая метрика, используемая для оценки наряду со значениями хопов. Одновременно используемых метрик может быть несколько. Таблицы, в которых используется информация об альтернативных маршрутах, называются многомаршрутными.
Как видно, включение записей об альтернативных маршрутах в таблицу маршрутизации, хотя и создает некоторую избыточность, но является достаточно полезным, чтобы увеличением вероятности выбора оптимального маршрута компенсировать временные затраты на обработку большего числа строк. Таблица маршрутизации не должна быть избыточна в принципе, т.е. чтобы слишком большое количество информации о маршрутах не снизило производительность маршрутизатора, сделав его одним из узких мест в сети. Алгоритмы одношаговой маршрутизации способствуют исключению подобных ситуаций, т.к. информация в таблице маршрутизации каждого маршрутизатора касается только его непосредственного окружения и позволяет создать небольшое количество избыточных записей только в рамках данного окружения, как в приведенном примере.
Запись Default предназначена для обработки ситуаций, в которых на маршрутизатор приходит пакет, который теоретически никак не должен был появиться именно на этом маршрутизаторе. Пакеты «гуляют» по сети из-за ее высокой загруженности, и переадресация по умолчанию (Default) предотвращает потерю таких пакетов. Но в любом случае каждый пакет имеет время жизни (например, измеряемое в пройденных хопах), поэтому подобная поддержка не приведет к очень продолжительному зацикливанию пакета в сети.
Адрес по умолчанию Default (маршрутизатор по умолчанию) назначается администратором, и по этому адресу отправляются все пакеты, адресованные сетям, явно не прописанным в таблице маршрутизации. Маршрутизатор по умолчанию следует выбрать таким образом, чтобы через него пакеты могли пройти в оставшуюся часть составной сети (не прописанную в таблице маршрутизации) наименее избыточным путем.
В приведенном на рисунке 3 примере наилучшим выбором маршрутизатора по умолчанию является Router 4, поскольку через этот маршрутизатор пакеты кратчайшим путем смогут пройти в сети WAN ISDN, LAN Ethernet 3, LAN Ethernet 4, LAN FDDI и WAN Frame Relay. Здесь также есть одна особенность - Router 4 является соседним маршрутизатором для Router 2, поэтому в таблице маршрутизации Router 2 по правилам через Router 4 должен быть явно прописан путь к WAN ISDN, но этого не сделано, поскольку пакеты, адресованные WAN ISDN все равно попадут в эту составляющую сеть благодаря записи Default. Таким образом запись Default позволяет снизить избыточность записей не только в целом, но и для непосредственного окружения маршрутизатора.
На конечных узлах также используется маршрутизация, когда требуется определить место назначения пакета – либо это узел-получатель в пределах данной подсети, входящей в составную сеть (т.е. номер сети назначения совпадает с номером данной сети), либо это узел-получатель вне данной подсети. Все пакеты, номер сети узла-получателя которых не совпадает с номером исходной сети, по умолчанию должны перенаправляться на маршрутизатор, который должен определить их дальнейший путь следования. В качестве примера ниже представлена таблица маршрутизации компьютера Host A (рис. 3).
Таблица маршрутизации компьютера Host A
| Сеть назначения | Расстояние до сети назначения (количество хопов) | Сетевой адрес ближайшего маршрутизатора | Сетевой адрес выходного порта |
| LAN Ethernet 4 | 0 (своя сеть) | – | HА |
| Default | – | R9(4) | HА |
Важным является тот факт, что маршрутизаторы, обмениваясь друг с другом информацией, поддерживают динамическое обновление таблиц маршрутизации, в то время как на конечных узлах используется статическое заполнение данных таблиц.
Дата добавления: 2018-02-15; просмотров: 1072; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!