Заключение. Продвижение кадров, пакетов через сетевые устройства.
Брандмауэры (сетевые фильтры).
Брандмауэры можно определить как набор аппаратно-программных средств, предназначенных для предотвращения доступа в сеть извне и для контроля над данными, поступающими в сеть или выходящими из нее. Брандмауэры получили широкое распространение с 90-х годов с развитием сети Internеt.
Для эффективной работы брандмауэра требуется, чтобы весь трафик проходил через него, но сам он должен быть непреступен для внешних атак.
Условно брандмауэры можно разделить на следующие группы:
· брандмауэры с фильтрацией пакетов,
· шлюзы сеансового уровня,
· шлюзы прикладного уровня,
· брандмауэры экспертного уровня.
Наибольшее распространение получили брандмауэры с фильтрацией пакетов, т.к. они самые дешевые. Обычно они реализованы на маршрутизаторах. Самое простое - сравнить IP-адрес пришедшего пакета со списком разрешенных. Недостаток таких брандмауэров в том, что он не может отличить имитационный пакет, то есть пакет, содержащий IP-адрес законного пользователя (если его как-то узнали и сымитировали).
Существенным улучшением является так называемая динамическая фильтрация пакетов, при которой производится ping (запрос) по IP-адресу, очевидно, что если атака пришла извне, то ping не достигнет отправителя пакета, и пакет будет отвергнут.
С помощью двух простых брандмауэров, установленных в двух сегментах сети, организация может, например, отделить таким образом бухгалтерию от отдела продаж.
Подробнее о брандмауэрах будет рассказано в курсе «Безопасность…».
Процесс прохождения кадра или пакета через устройство называют продвижением. Если устройство обнаруживает поломку пакета, или если устройство не в состоянии передать получить пакет в настоящее время (например, пакет некуда положить, так как внутренние буферы заполнены), то пакет просто отбрасывается.
Проверку целостности пакетов осуществляют коммутаторы с буферизующей и, частично, с адаптивной коммутацией, мосты и маршрутизаторы.
Некоторые устройства могут изменять вид пакета, точнее, его верхний заголовок (вспомним, что в поле данных тоже может быть пакет с некоторым заголовком). Это делают транслирующие мосты, и могут делать маршрутизаторы. У концентраторов, имеющих порты для подключение к сетям с разными сетевыми технологиями, процесс преобразования кадров возможен только для этих двух технологий.
Достаточно распространены устройства, которые могут обеспечивать более быстрое продвижение одних пакетов по сравнению с другими. Это может быть реализовано следующими способами:
1. либо администратор задает разные приоритеты на разные порты,
2. либо аппаратно устройство имеет разные скорости передачи на разных портах,
3. либо устройство выбирает данные о том, какую скорость передачи требует пакет из самого пакета (здесь речь идет о соотношении времени ожидания разных пакетов, то есть о том, сколько пакет лежит в буфере, дожидаясь своей очереди).
Фильтрация – процесс, при котором могут отбрасываться не поломанные пакеты по другим причинам, задаваемым администратором. Например, адресная фильтрация предполагает отбрасывание пакетов с «запретным» адресом отправителя или с «запретным» адресом получателя. Могут отбрасываться пакеты «запретных» типов данных и т.п. Фильтрацию пакетов могут производить некоторые коммутаторы, мосты, маршрутизаторы. Брандмауэры только этим и занимаются.
Пакет – единица передаваемой информации плавающей длины. Ячейка – небольшой пакет фиксированного размера. Кадр – единица передаваемой информации на канальном уровне. Дейтаграмма – единица информации, передаваемой без подтверждения.
Несмотря на кажущуюся сложность и многообразие, протоколы маршрутизации базируются всего на двух простых алгоритмах, известных уже несколько десятилетий.
Для выполнения своей основной функции - переключения трафика - каждый маршрутизатор использует таблицу, в которой отражена топология сети на данный момент времени.
В самом общем случае таблица маршрутизации содержит адрес сети назначения, адрес следующего узла на пути к этой сети и метрику (стоимость) пути. Создание и последующее обновление таблицы маршрутизации при изменении топологии сети осуществляется с помощью протоколов маршрутизации. Наибольшей популярностью пользуются протоколы динамической маршрутизации.
Алгоритм Беллмана-Форда (также известный как алгоритм Форда-Фулкерсона) был положен в основу первого протокола маршрутизации, созданного для сети ARPANET. Так называемые протоколы вектора расстояния (distance vector protocols), такие, как RIP, IGRP, BGP, используют те же принципы. В 1979 году на смену протоколу вектора расстояний пришел протокол состояния канала (link state protocol), ставший основным в ARPANET. Современные протоколы состояния канала включают OSPF, IS-IS, NLSP и др.
В настоящее время оба типа протоколов нашли себе применение, так как у каждого из них есть свои достоинства и недостатки.
Желающие ознакомиться с деталями реализации конкретных протоколов могут обратиться к ресурсам Internet (http://www.lanmag.ru , http://www.citforum.ru), мы же сосредоточимся на общих принципах, легших сегодня в основу протоколов маршрутизации.
В порядке старшинства мы начнем с протоколов вектора расстояний.
