Протоколи СIDR та IPv6

Для вирішення проблеми нестачі IP- адрес одночасно запропоновано два підходи. Перше з рішень – протокол CIDR (Classless Inter-Domain Routing – безкласова між доменна маршрутизація) – передбачало зміни принципів управління існуючими чотирьохбайтовими адресами і спрощення таблиць маршрутизації за рахунок введення поняття суміжності. Протокол усуває потребу в системі класів, на підставі якої раніше визначалася мережева частина IP-адреси. Він є прямим розширенням ідеї підмереж, оскільки дозволяє задавати мережеву маску, що визначає межу між мережевою і машинною частинами адреси. В цілях маршрутизації допускається, щоб мережева частина була менше, ніж того вимагає клас адреси. Завдяки укороченій масці виникає ефект об'єднання декількох мереж. З цієї причини протокол CIDR іноді називають протоколом формування надмереж.

Друге довготривале рішення -- це стандарт IPv6. Він є наступним поколінням протоколу IP, в якому довжина адреси збільшена до 16-ти байтів і врахований ряд інших помилок, виявлених упродовж 25 років експлуатації протоколу IP. У ньому інтегровані засоби аутентифікації і забезпечення безпеки, а також усунена процедура фрагментації на проміжних маршрутизаторах.

6.2.3 Файли конфігурації

Для конфігурації мережі вносимо зміни в наступні файли:

— /etc/hosts - використовується для установки відповідності між іменами вузлів і IP- адресами в локальній мережі. Приклад змісту файлу hosts:

127.0.0.1 localhost

192.108.21.48 test.black.com test loghost

192.108.21.1 hate.black.com hate

192.108.21.254 chain.black.com fence

— /etc/networks - відображає ім'я мережі на мережевий номер і навпаки. У IP- адресах у файлі networks вказується тільки частина, що відповідає номеру мережі або підмережі.

— /etc/sysconfig/network - (специфічний для Linux, FreeBSD використовує /etc/rc.conf), використовується командними файлами завантаження для налаштування мережевих інтерфейсів і статичних маршрутів.

Наприклад:

NETWORKING=yes

HOSTNAME=test.black.com

FORWARD_IPV4=false

DOMAINNAME=black.com

GATEWAY=192.108.21.254

GATEWAYDEV=eth0

— /etc/sysconfig/networking/ifcfg-xxx - (специфічний для Linux, xxx - ім'я інтерфейсу), використовується для налаштування окремих інтерфейсів, у тому числі і псевдонімів(aliases). Приклад - вміст файлу 'ifcfg -lo ':

DEVICE=lo

IPADDR=127.0.0.1

NETMASK=255.0.0.0

NETWORK=127.0.0.0

BROADCAST=127.255.255.255

ONBOOT=yes

NAME=loopback

— /etc/resolv.conf - вміщує список серверів імен (DNS – Domain Name Service), котрим можна посилати запроси.

Файл resolv.conf має формат:

search и'мя_домену …

nameserver ip-адреса

У директиві search вказаний список доменів, які слід опитувати, якщо ім'я комп'ютера виявляється не повністю визначеним. Сервери імен підлягають опитуванню в тому порядку, в якому задані директиви nameserver.

— /etc/hosts.conf - задає порядок перетворення імен і адрес, зазвичай файл hosts продивляється перед зверненням до DNS.

6.2.4 Утиліти для роботи з мережею

hostname [им'я_комп'ютера] – задати/продивитись ім’я комп'ютера.

ifconfig [інтерфейс]

ifconfig інтерфейс [сімейство_адрес] адреса [опції] up | down

Команда ifconfig використовується для підключення і відключення мережевого інтерфейсу, завдання його IP-адреси і маски підмережі, а також інших опцій і параметрів. Вона зазвичай виконується під час початкового завантаження, але може застосовуватися і для внесення змін до працюючої системи. Приклад завдання альтернативної адреси на першому адаптері Ethernet:

sh# ifconfig eth0:0 128.138.240.1 netmask 255.255.255.0 up

Якщо аргументи не передані, ifconfig видає інформацію про стан активних інтерфейсів. Параметр інтерфейсу – зазвичай це ім'я (чи псевдонім, визначуваний в /etc/modules.conf) драйвера, за яким йде номер пристрою, наприклад, eth0 для першого інтерфейсу Ethernet.

Ключове слово 'up' викликає активізацію інтерфейсу. Воно задається неявно при привласненні адреси інтерфейсу. 'down' викликає зупинку роботи драйвера для цього інтерфейсу. 'netmask' встановлює маску мережі IP для цього інтерфейсу. За умовчанням використовується звичайна маска мережі класу A, B або C(що визначається по IP- адресі інтерфейсу), але можна встановити потрібне значення маски.

ping [опції] ім'я_хосту | адреса

Служить для перевірки працездатності окремих комп'ютерів і сегментів мережі. Вона посилає ICMP- пакет ECHO_REQUEST конкретному комп'ютеру і чекає відповіді. Повідомлення команди ping про втрату пакетів говорить лише про те, що якийсь компонент (протокол або драйвер) мережі працює неправильно.

traceroute [опції] ім'я_хосту | адреса

Дозволяє встановити послідовність шлюзів, через які проходить IP- пакет на шляху до пункту свого призначення. Якщо ця команда не працює (чи працює занадто повільно), це може бути пов'язано з помилкою при визначенні імені комп'ютера через DNS. Можна використати 'traceroute -n', вона виводить тільки IP-адреси шлюзів. traceroute використовує символ '*' при неможливості визначити час проходження пакету або при тайм-ауті. Деякі версії обмежують кількість хопов (вузлів) в маршруті за умовчанням, див. документацію для установки цього параметру а також для встановлення значення тайм-ауту для очікування пакетів.

Знаки оклику у виведенні команди сигналізують про серйозні проблеми:

—! – порт недосяжний (ICMP_UNREACH_PORT) та ttl менше 2 (час життя пакету, ttl, обчислюється у хопах);

—!F – потрібна фрагментація (ICMP_UNREACH_NEEDFRAG);

—!P – помилка протоколу (ICMP_UNREACH_PROTOCOL);

—!H – комп'ютер недосяжний (ICMP_UNREACH_HOST);

—!N – мережа недосяжна (ICMP_UNREACH_NET);

—!S – помилка використання адресації відправника (ICMP_ UNREACH_SRCFAIL).

route add [-net | -host] адреса [netmask маска] [gw шлюз] [metric N] [dev xxx]

route del [-net | -host] адреса – виводить та дозволяє змінити статичні маршрути.

Параметр add дозволяє задати маршрут до хосту або мережі по вказаній адресі через вказаний шлюз.

Параметр metric задає лічильник переходів (вагу) маршруту.

netstat [опції] – засіб для моніторингу мережі TCP/IP. Вона дозволяє переглядати таблицю маршрутизації, стан активних мережевих з'єднань і корисні статистичні дані по кожному мережевому інтерфейсу. Ось найчастіше використовувані опції цієї команди:

— -i – інформація про інтерфейси;

— -nr – про маршрутизацію;

— -a – про всі очікуючі (відкриті) сокети.

ip

tc

iptables

6.2.5 Системні параметри ядра

Для того, щоб перевірити, чи дозволено проходження пакетів через Вашу машину:

cat /proc/sys/net/ipv4/ip_forward

Якщо не дозволено, увімкніть:

echo "1" > /proc/sys/net/ipv4/ip_forward

Для того, щоб зробити ці зміни постійними, потрібно відредагувати файл /etc/sysctl.conf.

6.2.6 Дефрагментація пакетів

Іноді пакет занадто великий, щоб пересилатися одним кадром. В такому випадку пакет поділяється на фрагменти і надсилається як декілька пакетів. Вузол отримувача в такому випадку перед передачею пакету збирає пакет з частинок і тільки потім передає його в сокет. Проблема з фрагментами полягає в тому, що іноді міжмережевому екрану потрібно проаналізувати початок пакету, який міститься тільки в першому фрагменті.

Якщо Ваш вузол – єдине з'єднання з зовнішньою мережею, можна налаштувати ядро Linux таким способом, щоб воно збирало всі пакети, які проходять через нього:

echo "1" > /proc/sys/net/ipv4/ip_always_defrag

Таке налаштування було актуальним для попередніх версій ядра, сучасні ядра в разі потреби намагаються зібрати пакет автоматично.

6.3 Хід роботи

1. Визначте MAC- адреса мережевої плати на Вашій машині і її IP- адресу і маску.

2. Задайте нову адресу IP для своєї машини, заздалегідь прибравши стару. Необхідно виділити підмережу з мережі класу "C" 10.10.10.0 так, щоб клас не займав зайвого адресного простору, номери машин вибираються від входу за годинниковою стрілкою, шлюз повинен мати перший номер.

3. Налаштуйте статичну маршрутизацію з маршрутами мінімум на два шлюзи інтрамережі і Інтернет.

4. Додайте колишню IP- адресу в якості псевдоніма до нової IP- адреси. Доповніть, якщо це необхідно, таблицю маршрутизації.

5. Проглянете кеш протоколу ARP на Вашій машині.

6. Запустіть обмін ICMP пакетами з локальним сервером, параметри пакетів: розмір 2048 байт, в тілі пакету рядок: "пакет c машини №xx"

7. Увімкніть режим перехоплення пакетів і переконайтеся, що сусіди теж передають ICMP-пакети відповідного змісту. Для цього скористайтеся утилітою 'tcpdump'.

8. Запишіть в звіт карту відкритих мережевих з'єднань і серверних сокетів для Вашої машини.

9. Налаштуйте міжмережний екран таким чином:

— Перевірити поточний стан пакетного фільтру

— З'ясувати, як запускається netfilter у Вашому дистрибутиві і де він зберігає свої правила.

— Встановити політику таблиць у нехтування пакетами

— Дозволити всі вхідні пакети, пов'язані з вихідними з'єднаннями

— Дозволити вхідні ICMP пакети з запитами ECHO.

— Дозволити вхідні з'єднання на 22 TCP порт.

— За допомогою ULOG журналювати вхідні пакети на 80 TCP порт.

— Зробити ці зміни постійними.

6.4 Вміст звіту

Звіт повинен містити короткий опис використовуваних в роботі утиліт, а також детальний опис дій з виконання роботи (команди і результат їх виконання).

6.5 Контрольні запитання

1. Формат IP-адреси и маски, вибір мережевої маски для підмережі.

2. Призначення і синтаксис виклика утиліти ifconfig.

3. Призначення та відмінності протоколів ARP та RARP.

4. Принципи та протоколи маршрутизації.

5. Налаштування статичної маршрутизації за допомогою утиліти route.

6. Використання утиліти netstat.

7. Використання утиліти tcpdump.

8. Призначення та використання утиліти ip.

9. Призначення та використання утиліти tc.

10. Робота з міжмережевим екраном iptables.

Список рекомендованої літератури

1. http://citforum.ru/operating_systems/unix/glava_12.shtml

2. https://help.ubuntu.com/community/Kernel/Compile

3. http://wiki.kryukov.biz/wiki/%D0%9F%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B_%D1%8F%D0%B4%D1%80%D0%B0_Linux

4. http://kernelnewbies.org/LinuxChanges#head-82b14f7727c01c4fb5dee39d6eae42facd4bc047

5. http://www.ibm.com/developerworks/ru/edu/l-lpic2201/index.html

6. http://informst.ucoz.ru/publ/kak_sdelat_v_virtualbox_zagruzochnuju_fleshku/41-1-0-173

7. http://informst.ucoz.ru/publ/25-1-0-67

8. http://informst.ucoz.ru/publ/25-1-0-66

9. http://cs.stu.cn.ua/post/904/

10. http://en.gentoo-wiki.com/wiki/Build_Your_Own_LiveCD_or_LiveDVD

11. UNIX. Пособие системного администратора. / Пер. с англ. Под ред. д – К.: BHV, 2002 р.