Технологии защиты информации в сети

Примеры
Задачи

Возрождение

Лекции
Чертеж

Протоколы IPv4 и IPv6

Основной целью протоколов сетевого взаимодействия IP является обеспечение возможности связи хостов сети Интернет через множество различных сетей различных конфигураций. Для этого протокол IP реализуется в конечных узлах, а также в маршрутизаторах, обеспечивающих связь между сетями.

Маршрутизаторы обеспечивают работу в сетях, имеющих следующие различия:

Схемы адресации. Сети могут различные адресации узлов. Например, в локальных сетях IEEE 802 для устройств предусмотрены 16- и 48-битовые двоичные адреса. Сети с коммутацией пакетов X.25 используют 12-разрядные десятичные адреса, закодированные по 4 бита на разряд, в результате чего получается 48-битовый адрес.

Максимальный размер пакета. Может оказаться необходимым разделить пакеты на части (фрагментировать), если сеть не полддреживает данный размер пакетов. Например, в Ethernet максимальным размером пакета является 1500 байт, в сетях X.25 – 1000 байт.

Интерфейсы. Аппаратные и программные интерфейсы различных сетей могут отличаться.

Степень надежности. Разные сетевые службы обеспечивают разный уроыень надежности – от надежного виртуального сквозного канала до простой широковешательной рассылки пакетов.

Рассмотрим передачу данных от системы A одного узла сети к другой системе узла B. Уровень IP узла А получает блоки данных от вышестоящего протокола (TCP, UDP, ICMP и др.). На уровне IP к нему присоединяется заголовок, который описывает глобальный межсетевой адрес B. Полученный пакет называется пакетом IP. Далее IP выяясняет, что адрес находится в другой сети. Поэтому следующим шагом пакет должен быть переслан маршрутизатору. Для этого пакет передается ниже, на уровень LLC (Logical Link Control – управление логическим соединением) с соответствующей информацией адресации. LLC создает протокольную единицу данных LLC, которая передается еще ниже, на уровень MAC (Nedia Access Control – упраление доступом к среде). На уровне MAC создается пакет MAC, заголовок которого содержит адрес маршрутизатора. Пакет пересылается маршрутизатору убирает заголовки и концевики пакета и LLC, а затем анализирует заголовок IP, чтобы определить адрес конечного получателя. Далее маршрутизатор определяет, находится ли адрес получателя в сети, обслуживаемой данным маршрутизатором, либо путь к нему лежит через другие сети. Во втором случае, пакет снова спускается на более низкий уровень, снабжается новым заголовком и переправляется следующему маршрутизатору и т.д., пока не достигнет конечного узла B. Протокол IP не отвечает за гарантированную доставку пакета, и если где-нибудь на промежуточном узле пакет будет отброшен, то это не вызовет никаких ответных сообщений. За доставку пакета отвечает протокол TCP, находящийся выше, который отвечает за установку двухсторонней связи с узлом получаетеля и инициирует отправку ответа. Поскольку, IP-пакеты могут доставляться по различным маршрутам, то порядок их доставки может быть изменен. Если за установленный интервал времени какой-то пакет не был доставлен, то уровень TCP узла В отправляет сообщение узлу А, который повторяет отправку потерянного пакета.

На данный момент межсетевое взаимодействие в интернете происходит по разработанному более 30 лет назад IP-протоколу четвертой версии (IPv4), который имеет множество недостатков. Главный из них — недостаточный объем адресного пространства и неэффективный способ распределения адресов. Именно по этой причине абсолютно очевидно, что переход на более совершенный стандарт IPv6 неизбежен. Новый стандарт позволит выделить отдельный IP-адрес для каждого объекта в физическом мире, будь то веб-камера или мобильный телефон. Уже сегодня IP-адресов катастрофически не хватает, так что рано или поздно придется обязательно переходить на шестую версию интернет-протокола. Однако, внедрение нового протокола требует изменения всего программного и аппаратного обеспечения, функционирующего сейчас в Сети.

Новый протокол наиболее активно внедряется в странах азиатского региона. Дльше всех в практической реализации IPv6 продвинулась Япония, Южная Корея и Китай. Крупнейшая в мире сеть IPv6 была внедренав Китае, правительство которого выделило в 2005 году бюджет $160 млн. В Японии к разработке стандартов подключились крупные корпорации и правительство. Европейский союз не против перенять передовой опыт азиатов. В частности, южно-корейский министр информации министр и коммуникации заявил, что достигнута договоренность с Евросоюзом о совместной разработке протоколов и приложений под IPv6. Еврокомиссия за последние годы выделила около 85 млн. евро на разработку приложений для IPv6. По оценкам экспертов, примерно столько же потратили европейские фирмы. Тем не менее, как считает президент Всемирного форума IPv6 Латиф Ладид, Европа как минимум на два года отстала от той же Южной Кореи по темпам внедрения IP.

Формат заголовка IPv4

На рис.3.1. представлен формат заголовка IPv4. Этот заголовок имеет следующие поля:

Версия (4 бита). В данном случае 4.

Длина заголовка IP (Internet Header length - IHL) (4 бита). Длина заголовка в 32-битовых словах. Минимальное значение равно 5.

Тип сервиса (8 бит). Содержит информацию о приоритете данного пакета модулям IP конечных узлов и маршрутизаторов.

Общая длина (16 бит). Общая длина пакета в байтах. Таким образом, размер IP-пакета версии 4 не может превышать 216 байт=64 кб.

Идентификатор пакета (16 бит). Порядковый номер, присваиваемый пакету, для правильной сборки сообщения на пункте назначения.

Флаги (3 бита). Пока используются только два бита. Бит More (еще) указывает, является ли данный пакет последним в сообщении. Второй бит Not Fragmented запрещает фрагментацию пакета.

Смещение пакета (13 бит). Указывает в 64-битовых единицах смещение данного пакета в исходном сообщении.

Время жизни (8 бит). Указывает в секундах, как долго данный пакет может находится в сети. Максимальное значение равно  Каждый марширутизатор, принмая пакет, должен уменьшить значение, по-крайней мере на 1. Поэтому, данный счетчик больше напоминает счетчик транзитов.

Протокол (8 бит). Указывает протокол более высокого уровня, т.е. указывает на тип заголовка, следующего за заголовком IP.

Контрольная сумма заголовка (16 бит). Контрольная сумма, применяемая только в заголовку. Поскольку, в ходе следования некоторые поля заголовка могут быть изменены (адреса, времени жизни и т.д.), то на каждом промежуточном пункте эта сумма пересчитывается повторно.

Адрес источника (32 бита). Кодируется, чтобы иметь возможность выделить IP-адрес хоста и маску подсети.

Адрес получателя (32 бита). Аналогично предыдущему полю.

Опции переменной длины. Это дополнительные параметры, переданные источником. например, метка секретности, исходная маршрутизация, метки даты-времени.

Поле заполнения (переменной длины). Дополняет заголовок до длины кратной 32 битам.

Адресация в IPv6

Система адресации IPv6 существенно отличается от системы адресации IPv4. Адреса назначения и источника в IPv6 имеют большую длину: 128 бит или 16 байт. Это дает возможность пронумеровать огромное количество узлов: 340 282 366 920 938 463 463 374 607 431 762 211 456 или примерно 1015 адресов на каждого жителя Земли. Выбранная длина IP-адреса должна надолго снять проблему дефицита IP-адресов. Кроме того, в версии IPv6 предполагается использование протокола DHCP, позволяющего разделять одни и те же адреса между большим количеством узлов сети. Использование proxy-серверов, подменяющих внутренние адреса узлов сети одним собственным IP-адресом, также направлено на снижение потребности в IP-адресах.

Однако, главной целью изменения системы адресации было не механическое увеличение разрядности адреса, а обеспечение возможности увеличения числа уровней иерархии в адресе. Вместо прежних двух уровней (номер сети и номер узла) в IPv6 предлагается использовать 5 уровней, включая двухуровневую идентификацию провайдеров, и трехуровневую - абонентов сети.

010

Идентификатор провайдера

Идентификатор абонента

Идентификатор подсети

Идентификатор узла

Предполагается также, что младшие 6 байт, которые содержат идентификатор узла, представляют собой МАС-адрес сетевого адаптера (как это уже давно делается в протоколе IPX), что обеспечит возможность автоконфигурации стека.

В версии IPv6 не вводятся классы адресов сетей, вместо этого предполагается использовать бесклассовую технологию CIDR (Classless Inter-Domain Routing). Эта технология заключается в назначении каждому провайдеру непрерывного диапазона в пространстве IP-адресов. При таком подходе все адреса сетей каждого провайдера имеют общий префикс, так что маршрутизация на магистралях Internet может осуществляться на основе префиксов, а не полных адресов всех сетей конечных абонентов. Локализация адресов позволяет уменьшить объем таблиц в маршрутизаторах всех уровней, а, следовательно, ускорить работу маршрутизаторов и повысить пропускную способность Internet. Деление IP-адреса на номер сети и номер узла в технологии CIDR происходит не на основе нескольких старших бит (класса сети А, В или С), а на основе маски переменной длины, назначаемой провайдером.

Технология CIDR уже успешно используется в текущей версии IPv4 и поддерживается такими протоколами маршрутизации как OSPF, RIP-2, BGP4. Предполагается , что эти же протоколы будут работать и с IPv6.

Идея CIDR требует, в общем случае, перенумерации сетей. Однако эта процедура сопряжена с определенными временными и материальными затратами. Например, в одной из публикаций приводятся данные о том, что для перенумерации сети, состоящей из 100 компьютеров, потребовалось 3 недели работы и 5-6 высокооплачиваемых специалистов. В качестве стимулов для проведения перенумерации сети предлагается введение платы за маршрутизации - оплата за строку маршрутизации или за обновление информации в маршрутизаторах сети, или же введение оплаты за каждый адрес узла.

Техника CIDR помогает также решить известную проблему фрагментации адресного пространства IPv4. Например, очень редко абонент использует все 254 адреса сети класса С или 65 534 адреса сети класса В. Часть адресов узлов пропадает. Требование оплаты каждого адреса узла поможет пользователю решиться на перенумерацию, с тем, чтобы получить ровно столько адресов, сколько ему нужно. Как и в версии IPv4, в IPv6 вводится несколько типов адресов.

Unicast - индивидуальный адрес. Такой адрес определяет отдельный узел - компьютер или порт маршрутизатора. Индивидуальные адреса подразделяются на несколько подтипов:

Global - основной тип адресов в Internet;

Link-local и Site-local - используются в сетях, не подключенных к Internet. Поле идентификатора провайдера заполняется нулями, что дает возможность при подключении к Internet сохранять эти адреса;

Compatible - обеспечивают совместимость с адресами IPv4, IPX, NSAP.

Multicast (one-to-many) - адрес набора узлов, возможно в различных физических сетях. Копии пакета должны быть доставлены каждому узлу набора, используя аппаратные возможности групповой или широковещательной доставки, если это возможно. В протоколе IPv6 отсутствует понятие широковещательного адреса (broadcast), эти адреса реализуются с помощью адресов multicast. Поддержка мультивещания - важная часть стратегии модернизации протокола IP, так как это свойство необходимо для поддержки экономного в отношении пропускной способности сети распространения аудио- и видео- информации многочисленным абонентам.

Anycast (one-to-nearest) - адрес набора узлов. Обозначает группу узлов, которые имеют общий адрес, но в отличие от мультивещания пакет должен быть доставлен любому, лучше ближайшему, члену группы. Этот тип адресов используется для того, чтобы абонент мог без особых сложностей обеспечить прохождение своего трафика через маршрутизаторы определенных провайдеров. В IPv6 предполагается широкое использование маршрутизации от источника (Source Routing), при которой узел-источник задает полный маршрут прохождения пакета через сети. Такая техника освобождает маршрутизаторы от работы по просмотру адресных таблиц при выборе следующего маршрутизатора и тем самым повышает пропускную способность Internet. В последовательности адресов, задаваемых узлом-отправителем по алгоритму Source Routing, наряду с адресами маршрутизаторов типа unicast, можно использовать адреса anycast, которые определяют все маршрутизаторы одного провайдера.

Синтаксически адрес anycast не отличим от адреса unicast. Схема назначения адресов состоит в следующем. Каждому порту маршрутизатора наряду с уникальным адресом присваивается еще один, общий для всех портов и маршрутизаторов данного провайдера адрес, который и является anycast-адресом.

Для обеспечения плавного перехода от версии IPv4 к версии IPv6 введен специальный тип адресов - IPv4-compatible. Такие адреса содержат нули в старших 96 разрядах, а в младшие 32 разряда помещается 4-х байтовый адрес версии IPv4. Такие адреса легко могут транслироваться в обе стороны. Это позволит на начальном этапе внедрения IPv6 решить проблему совместимости частей Internet, работающих по IPv6, с частями Internet, пока поддерживающими только версию IPv4. Для этого узлам в "островках" IPv6 будут присваиваться адреса типа IPv4-compatible. Для передачи трафика IPv6 через те части Internet, маршрутизаторы которых пока не поддерживают версию IPv6, будет использоваться техника туннелирования - пришедший пакет IPv6 будет упаковываться пограничным маршрутизатором в пакет формата IPv4, при этом в качестве адреса будет использоваться младшая часть адреса из пакета IPv6.

Ланшафтный дизайн