Какие две части адреса используются маршрутизатором для отправки трафика по сети
Обновлено: 21.11.2024
Сегодня маршрутизация в Интернете осуществляется с помощью протокола маршрутизации, известного как BGP (протокол пограничного шлюза). Отдельные сети в Интернете представлены в виде автономной системы (АС). Автономная система имеет глобально уникальный номер автономной системы (ASN), который присваивается региональным интернет-реестром (RIR), который также занимается распределением IP-адресов по сетям. Каждая отдельная автономная система устанавливает пиринговые сеансы BGP с другими автономными системами для обмена маршрутной информацией. Сеанс пиринга BGP — это сеанс TCP, установленный между двумя маршрутизаторами, каждый из которых находится в определенной автономной системе. Этот сеанс пиринга BGP проходит через канал, например интерфейс 10Gigabit Ethernet между этими маршрутизаторами. Информация о маршрутизации содержит префикс IP-адреса и маску подсети. Это переводит, какие IP-адреса связаны с номером автономной системы (происхождение AS). Информация о маршрутизации распространяется по этим автономным системам на основе политик, определяемых отдельными сетями.
Здесь все становится немного интереснее, поскольку на то, как обрабатывается маршрутизация в Интернете, влияют различные факторы. На сегодняшний день существует два основных типа отношений между автономными системами: транзит и пиринг.
Транзит — это когда автономная система платит вышестоящей сети (известной как транзитный провайдер) за возможность перенаправлять трафик к ним, которые будут перенаправлять этот трафик дальше. Он также предусматривает, что при покупке автономной системы (кто является клиентом в этих отношениях) информация о маршрутизации будет распространяться на соседние устройства. Транзит включает в себя получение прямого подключения из клиентской сети к вышестоящей транзитной сети провайдера. Такого рода соединения могут представлять собой несколько 10-гигабитных каналов Ethernet между маршрутизаторами друг друга. Ценообразование на транзит основано на использовании сети в конкретном доминирующем направлении с выставлением счетов за 95-й процентиль. Транзитный провайдер будет смотреть на использование за месяц, и в направлении с преобладающим трафиком он будет выставлять счет на 95-м процентиле использования. Единица, используемая при выставлении счетов, измеряется в битах в секунду (бит/с) и указывается в цене за Мбит/с (например, 2 доллара США за Мбит/с).
Пиринг — это когда автономная система подключается к другой автономной системе и соглашается обмениваться трафиком друг с другом (и информацией о маршрутизации) своих собственных сетей и любых клиентов (транзитных клиентов), которые у них есть. При пиринге есть два метода, на которых формируется подключение. В первом случае устанавливается прямое соединение между отдельными сетевыми маршрутизаторами с несколькими каналами 10Gigabit Ethernet или 100Gigabit Ethernet. Этот тип подключения известен как «частный пиринг» или PNI (частное сетевое соединение). Этот тип соединения обеспечивает обеим сторонам четкое представление об использовании интерфейса трафика в обоих направлениях (входящем и исходящем). Другая форма пиринга, которая устанавливается, — это коммутаторы Internet Exchange или IX. С помощью Internet Exchange несколько сетей получат прямое подключение к набору коммутаторов Ethernet. Отдельные сети могут устанавливать сеансы BGP через этот обмен с другими участниками. Преимущество Internet Exchange заключается в том, что он позволяет нескольким сетям подключаться к общему местоположению и использовать его для подключения «один ко многим». Недостатком является то, что любая конкретная сеть не имеет информации об использовании сети другими участниками.
Большинство сетей развертывают свое сетевое оборудование (маршрутизаторы, транспортное оборудование DWDM) в объектах колокейшн, где сети устанавливают прямое соединение друг с другом. Это может быть через коммутаторы Internet Exchange (которые также можно найти на этих объектах совместного размещения) или прямые соединения, которые представляют собой оптоволоконные кабели, проложенные между отдельными наборами / стойками, где расположено сетевое оборудование.
Сети будут определять свою политику маршрутизации, чтобы предпочесть маршрутизацию в другие сети на основе множества элементов.Процесс принятия решения о наилучшем пути BGP в операционной системе маршрутизатора определяет, как маршрутизатор будет предпочитать один путь BGP другому. Сетевые операторы разработают свою политику, чтобы повлиять на процесс принятия решения о наилучшем пути BGP на основе таких факторов, как стоимость доставки трафика в сеть назначения в дополнение к производительности.
Типичная политика маршрутизации в большинстве сетей требует, чтобы внутренние (их собственные) маршруты и маршруты, полученные от их собственных клиентов, были предпочтительнее всех других путей. После этого большинство сетей будут предпочитать пиринговые маршруты, поскольку пиринг обычно бесплатен и часто может обеспечить более короткий/оптимальный путь для достижения пункта назначения. Наконец, наименее предпочтительный маршрут к месту назначения — это платные транзитные ссылки. Когда речь идет о транзитных путях, как стоимость, так и производительность обычно являются факторами, определяющими, как добраться до сети назначения.
Сами политики маршрутизации определяются на маршрутизаторах на простом текстовом языке политик, специфичном для операционной системы маршрутизатора. Они содержат два типа функций: сопоставление на одном или нескольких маршрутах и действие для этого совпадения. Сопоставление может включать в себя список фактических префиксов IP и длин подсетей, источников ASN, путей AS или других типов атрибутов BGP (сообщества, следующий переход и т. д.). Действия могут включать сброс атрибутов BGP, таких как local-preference, Multi-Exit-Discriminators (MED) и различных других значений (сообщества, происхождение и т. д.). Ниже приведен упрощенный пример политики маршрутизации для маршрутов, полученных от транзитного провайдера. В нем есть несколько условий, позволяющих оператору сопоставлять определенные интернет-маршруты, чтобы установить другое значение локального предпочтения, чтобы контролировать, какой трафик должен пересылаться через этого провайдера. Существуют дополнительные действия для установки других атрибутов BGP, связанных с классификацией маршрутов, чтобы их можно было легко идентифицировать и применять к ним другие маршрутизаторы в сети.
Сетевые операторы настраивают свою политику маршрутизации, чтобы определить, как отправлять и получать трафик через соседние автономные системы. Эта практика широко известна как управление трафиком BGP. Внесение изменений в исходящий трафик, безусловно, проще всего реализовать, поскольку оно включает в себя определение конкретных маршрутов, которые вы хотите направить, и повышение предпочтения маршрутизации для выхода через определенное соседство. Операторы должны позаботиться о том, чтобы проверить определенные вещи до и после любого изменения политики, чтобы понять влияние своих действий.
Управление входящим трафиком немного сложнее, так как для этого требуется, чтобы оператор сети изменил объявления с информацией о маршрутизации, покидающие вашу сеть, чтобы повлиять на то, как другие автономные системы в Интернете предпочитают направлять вас к вам. В то время как влияние на непосредственно прилегающие к вам сети несколько тривиально, влияние на сети, расположенные дальше тех, которые непосредственно связаны с вами, может оказаться сложной задачей. Этот метод требует использования функций, которые транзитный провайдер может предоставить через BGP. В протоколе BGP есть атрибут определенного типа, известный как сообщества. Сообщества — это строки, которые вы можете передавать в обновлении маршрутизации между сеансами BGP. Большинство сетей используют сообщества для классификации маршрутов как транзитные, одноранговые и клиентские. Отношения транзит-клиент обычно дают клиенту определенные возможности для управления дальнейшим распространением маршрутов в соседние области. Это дает сети возможность управлять трафиком дальше вверх по течению от сетей, к которым она не подключена напрямую.
Траффик-инжиниринг сегодня используется в Интернете по нескольким причинам. Первая причина может заключаться в снижении затрат на полосу пропускания за счет предпочтения определенных путей (разных транзитных провайдеров). Другой — из соображений производительности, когда конкретный транзитный провайдер может иметь менее перегруженный путь с меньшей задержкой к сети назначения. Сетевые операторы будут просматривать различные показатели, чтобы определить, есть ли проблема, и начать вносить изменения в политику, чтобы изучить результат. Конечно, в Интернете имеет значение масштаб перемещаемого трафика. Перемещение трафика на несколько Гбит/с с одного пути на другой может повысить производительность, но если вы переместите трафик на десятки Гбит/с, вы можете столкнуться с перегрузкой на этом вновь выбранном пути. Связи между различными сетями в Интернете сегодня работают там, где они масштабируют пропускную способность в зависимости от наблюдаемого использования. Даже если вы платите транзитному провайдеру за подключение, это не означает, что каждая ссылка на внешние сети масштабируется в соответствии с объемом трафика, который вы хотите передать. По мере роста трафика будут добавляться ссылки между отдельными сетями. Таким образом, массовые изменения в использовании Интернета могут привести к перегрузке, поскольку эти новые пути обрабатывают больший объем трафика, чем когда-либо прежде.В результате сетевые операторы должны уделять внимание постепенному перемещению трафика, а также связи с другими сетями, чтобы оценить влияние любых перемещений трафика.
Вышеописанные операции управления трафиком усложняются тем, что вы не единственный человек в Интернете, пытающийся направить трафик в определенные пункты назначения. Другие сети также находятся в аналогичном положении, когда они пытаются доставлять трафик и будут выполнять собственную обработку трафика. Есть также много сетей, которые отказываются от пиринга с другими сетями по нескольким причинам. Например, некоторые сети могут указывать на дисбаланс входящего и исходящего трафика (коэффициенты трафика) или чувствовать, что трафик в их сети сбрасывается. В этих случаях единственный способ добраться до этих пунктов назначения — через транзитного провайдера. В некоторых случаях эти сети могут предлагать продукт «платного пиринга» для обеспечения прямого подключения. Этот платный пиринговый продукт может быть оценен по цене, которая ниже цены, которую вы заплатили бы за транзит, или может предложить незагруженный путь, который вы обычно наблюдаете при транзите. Тот факт, что у вас есть маршрут через общественный транспорт, не означает, что он не будет загружен в любое время дня (например, в часы пик).
Один из способов устранить переходы между сетями – устранить их с помощью прямых подключений. AWS предоставляет для этого сервис, известный как AWS Direct Connect. С помощью Direct Connect клиенты могут напрямую подключать свою сеть к сетевой инфраструктуре AWS. Это позволит обойти Интернет через прямое физическое подключение и устранить любые потенциальные проблемы с маршрутизацией или пропускной способностью Интернета.
Пример трассировки на основе UDP (с использованием четко определенных диапазонов портов трассировки), где несколько маршрутов позволяют генерировать TTL Exceeded для пакетов, связанных с этими портами назначения:
Обратите внимание, что последний переход не отвечает, так как он, скорее всего, блокирует UDP-пакеты, предназначенные для высоких портов.
Скачки, показанные в traceroute, дают некоторое представление о типах сетевых устройств, через которые проходят ваши пакеты. Многие сетевые операторы будут добавлять описательную информацию в обратные записи PTR DNS, хотя каждая сеть будет отличаться. Обычно в записях DNS указывается имя маршрутизатора, какой-либо географический код и физический или логический интерфейс маршрутизатора, через который проходит трафик. Каждая отдельная сеть называет свои собственные маршрутизаторы по-разному, поэтому информация здесь обычно указывает, является ли устройство «основным» маршрутизатором (без внешних или клиентских интерфейсов) или «пограничным» маршрутизатором (с подключением к внешней сети). Конечно, это не жесткое правило, и в сети часто можно найти многофункциональные устройства. Географический идентификатор может варьироваться между кодами аэропортов IATA, телекоммуникационными кодами CLLI (или их вариантами) или внутренними идентификаторами, уникальными для этой конкретной сети. Иногда здесь также будут появляться сокращенные версии физических адресов или названий городов. Фактический интерфейс может указывать тип и скорость интерфейса, хотя они являются точными только в том случае, если вы считаете, что оператор должен публично раскрыть это и поддерживать свои записи DNS в актуальном состоянии.
Одна важная часть traceroute заключается в том, что данные следует воспринимать с некоторым скептицизмом. Traceroute будет отображать время приема-передачи (RTT) для каждого отдельного перехода, когда пакеты проходят через сеть к месту назначения. Хотя это значение может дать некоторое представление о задержке этих прыжков, на фактическое значение могут влиять различные факторы. Например, многие современные маршрутизаторы сегодня рассматривают пакеты с истекающим значением TTL как имеющие низкий приоритет по сравнению с другими функциями, которые выполняет маршрутизатор (пересылка пакетов, протоколы маршрутизации). В результате обработка пакетов с истекшим значением TTL и последующего генерируемого сообщения ICMP TTL Exceeded может занять некоторое время. Вот почему очень часто можно наблюдать высокое значение RTT на промежуточных переходах внутри трассировки (до сотен миллисекунд).Это не всегда указывает на наличие проблемы с сетью, и люди всегда должны измерять сквозную задержку (через ping или некоторые тесты приложений). В ситуациях, когда RTT увеличивается на определенном узле и продолжает увеличиваться, это может быть индикатором общего увеличения задержки в определенной точке сети. Другим элементом, часто наблюдаемым в traceroute, являются прыжки, которые не отвечают на traceroute, которые будут отображаться как *. Это означает, что маршрутизатор(ы) на этом конкретном узле либо отбросил пакет с истекшим сроком жизни, либо не сгенерировал сообщение ICMP TTL Exceeded. Обычно это результат двух возможных вещей. Во-первых, многие современные маршрутизаторы сегодня реализуют контроль уровня управления (CoPP), который представляет собой фильтры пакетов на маршрутизаторе для управления обработкой определенных типов пакетов. Сегодня во многих современных маршрутизаторах использование ASIC (специализированных интегральных схем) улучшило функции поиска и пересылки пакетов. Когда ASIC маршрутизатора получает пакет со значением TTL, равным единице, он направляет пакет в дополнительное место внутри маршрутизатора для обработки генерации ICMP TTL Exceeded. На большинстве маршрутизаторов генерация ICMP TTL Exceeded выполняется на ЦП, встроенном в линейную карту, или в основной мозг самого маршрутизатора (известный как процессор маршрутизации, модуль маршрутизации или супервизор). Поскольку ЦП линейной карты или механизма маршрутизации занят выполнением таких задач, как программирование таблиц переадресации и протоколов маршрутизации, маршрутизаторы позволят установить защиту, чтобы ограничить скорость отправки этим компонентам пакетов с превышением TTL. CoPP позволяет оператору устанавливать такие функции, как ограничение сообщений TTL Exceeded до значения, например, 100 пакетов в секунду. Кроме того, сам маршрутизатор может иметь дополнительный ограничитель скорости, определяющий количество генерируемых сообщений ICMP TTL Exceeded. В этой ситуации вы обнаружите, что переходы в вашем traceroute иногда могут вообще не отвечать из-за использования CoPP. По этой же причине при выполнении проверки связи с отдельными переходами (маршрутизаторами) на трассировочном маршруте вы увидите потерю пакетов, поскольку CoPP отбрасывает пакеты. Другая область, где может применяться CoPP, — это когда маршрутизатор может просто отклонить все пакеты с превышением TTL. Внутри traceroute эти переходы всегда будут сопровождаться символом * независимо от того, сколько раз вы выполняете traceroute.
Устранение неполадок в Интернете — непростая задача, и для ее решения необходимо изучить множество наборов информации (трассировка, таблицы маршрутизации BGP), чтобы прийти к выводу о том, что может произойти. Использование очков для просмотра в Интернете или серверов маршрутизации полезно для предоставления другой точки зрения в Интернете при устранении неполадок. На странице Зазеркалья в Википедии есть несколько ссылок на сайты, которые можно использовать для проверки связи, трассировки маршрутов и изучения таблицы маршрутизации BGP из разных точек мира в различных сетях.
При обращении в сети или размещении сообщений на форумах в поисках поддержки по проблемам маршрутизации в Интернете важно предоставить полезную информацию для устранения неполадок. Это включает в себя IP-адрес источника (общедоступный IP-адрес, а не преобразованный частный/NAT), IP-адрес назначения (еще раз общедоступный IP-адрес), используемый протокол и порты (например, TCP/80) и конкретное время/ дата, когда вы заметили проблему. Трассировка в обоих направлениях невероятно полезна, поскольку пути в Интернете могут быть асимметричными.
Как работает Интернет?
С чего начать? Интернет-адреса
Поскольку Интернет представляет собой глобальную сеть компьютеров, каждый компьютер, подключенный к Интернету, должен иметь уникальный адрес. Интернет-адреса имеют вид nnn.nnn.nnn.nnn, где nnn должно быть числом от 0 до 255. Этот адрес известен как IP-адрес. (IP означает Интернет-протокол; подробнее об этом позже.)
На рисунке ниже показаны два компьютера, подключенных к Интернету. ваш компьютер с IP-адресом 1.2.3.4 и другой компьютер с IP-адресом 5.6.7.8. Интернет представлен как абстрактный объект между ними. (По мере продвижения этой статьи Интернет-часть Диаграммы 1 будет объясняться и перерисовываться несколько раз по мере раскрытия деталей Интернета.)
Диаграмма 1 |
Если вы подключаетесь к Интернету через интернет-службу Провайдер (ISP), вам обычно назначается временный IP-адрес на время вашего сеанса телефонного подключения. Если вы подключаетесь к Интернету из локальной сети (LAN), ваш компьютер может иметь постоянный IP-адрес или может получить временный IP-адрес от сервера DHCP (протокол динамической конфигурации хоста). В любом случае, если вы подключены к Интернету, ваш компьютер имеет уникальный IP-адрес.
Стеки и пакеты протоколов
Уровень протокола | Комментарии |
---|---|
Приложение Уровень протоколов | Протоколы, специфичные для таких приложений, как WWW, электронная почта, FTP и т. д. |
Уровень протокола управления передачей | TCP направляет пакеты определенному приложению на компьютере, используя номер порта. |
Уровень протокола Интернета | IP направляет пакеты на определенный компьютер, используя IP-адрес . |
Аппаратный уровень | Преобразует двоичные пакетные данные в сетевые сигналы и обратно. (Например, сетевая карта Ethernet, модем для телефонных линий и т. д. .) |
Если бы мы пошли по пути, то сообщение "Привет, компьютер 5.6.7.8!" брал с нашего компа на комп с IP адресом 5.6.7.8, получилось бы примерно так:
<ПР>Сетевая инфраструктура
Теперь вы знаете, как пакеты передаются с одного компьютера на другой через Интернет. Но что между ними? Из чего на самом деле состоит Интернет? Давайте посмотрим на другую диаграмму:
Диаграмма 3 |
Здесь мы видим диаграмму 1, перерисованную с большей детализацией. Физическое подключение через телефонную сеть к интернет-провайдеру было несложно догадаться, но помимо этого могло быть какое-то объяснение.
У поставщика услуг Интернета есть пул модемов для своих клиентов с коммутируемым доступом. Это управляется каким-либо компьютером (обычно выделенным), который управляет потоком данных от модемного пула к магистральному или выделенному маршрутизатору. Эту настройку можно назвать сервером портов, поскольку она «обслуживает» доступ к сети. Здесь также обычно собирается информация об оплате и использовании.
После того как ваши пакеты проходят через телефонную сеть и локальное оборудование вашего интернет-провайдера, они перенаправляются на магистральную сеть интернет-провайдера или на магистральную сеть, у которой интернет-провайдер покупает полосу пропускания. Отсюда пакеты обычно проходят через несколько маршрутизаторов и по нескольким магистралям, выделенным линиям и другим сетям, пока не найдут пункт назначения — компьютер с адресом 5.6.7.8. Но было бы неплохо, если бы мы знали точный маршрут, по которому наши пакеты проходят через Интернет? Как оказалось, способ есть.
Интернет-инфраструктура
Магистральная сеть Интернета состоит из множества крупных сетей, которые соединяются друг с другом. Эти крупные сети известны как поставщики сетевых услуг или NSP. Одними из крупных NSP являются UUNet, CerfNet, IBM, BBN Planet, SprintNet, PSINet и другие. Эти сети взаимодействуют друг с другом для обмена пакетным трафиком. Каждый NSP должен подключаться к трем точкам доступа к сети или NAP. В точках NAP пакетный трафик может переходить из одной магистрали NSP в магистральную сеть другого NSP. NSP также соединяются на городских биржах или MAE. MAE служат той же цели, что и NAP, но находятся в частной собственности. NAP были первоначальными точками подключения к Интернету.И NAP, и MAE называются точками обмена интернет-трафиком или IX. NSP также продают полосу пропускания более мелким сетям, таким как интернет-провайдеры и более мелкие поставщики полосы пропускания. На рисунке ниже показана эта иерархическая инфраструктура.
Диаграмма 4 |
Это не точное представление реального фрагмента Интернета. Диаграмма 4 предназначена только для демонстрации того, как поставщики сетевых услуг могут взаимодействовать друг с другом и более мелкими интернет-провайдерами. Ни один из компонентов физической сети не показан на диаграмме 4 так, как на диаграмме 3. Это связано с тем, что магистральная инфраструктура отдельного NSP сама по себе представляет собой сложный рисунок. Большинство поставщиков сетевых услуг публикуют карты своей сетевой инфраструктуры на своих веб-сайтах, и их легко найти. Нарисовать реальную карту Интернета было бы почти невозможно из-за его размера, сложности и постоянно меняющейся структуры.
Иерархия интернет-маршрутизации
Как же пакеты попадают в Интернет? Каждый ли компьютер, подключенный к Интернету, знает, где находятся другие компьютеры? Пакеты просто «рассылаются» на каждый компьютер в Интернете? Ответ на оба предыдущих вопроса — «нет». Ни один компьютер не знает, где находятся другие компьютеры, и пакеты не отправляются каждому компьютеру. Информация, используемая для доставки пакетов к месту назначения, содержится в таблицах маршрутизации, хранящихся на каждом маршрутизаторе, подключенном к Интернету.
Маршрутизаторы — это коммутаторы пакетов. Маршрутизатор обычно подключается между сетями для маршрутизации пакетов между ними. Каждый маршрутизатор знает о своих подсетях и используемых ими IP-адресах. Маршрутизатор обычно не знает, какие IP-адреса находятся «над ним». Изучите диаграмму 5 ниже. Черные ящики, соединяющие магистрали, — это маршрутизаторы. Более крупные магистрали NSP наверху подключаются к NAP. Под ними несколько подсетей, а под ними еще подсетей. Внизу две локальные сети с подключенными компьютерами.
Диаграмма 5 |
Когда пакет поступает на маршрутизатор, маршрутизатор проверяет IP-адрес, помещенный туда уровнем протокола IP на исходном компьютере. Маршрутизатор проверяет свою таблицу маршрутизации. Если сеть, содержащая IP-адрес, найдена, пакет отправляется в эту сеть. Если сеть, содержащая IP-адрес, не найдена, маршрутизатор отправляет пакет по маршруту по умолчанию, обычно вверх по магистральной иерархии к следующему маршрутизатору. Будем надеяться, что следующий маршрутизатор будет знать, куда отправить пакет. Если это не так, пакет снова направляется вверх, пока не достигнет магистрали NSP. Маршрутизаторы, подключенные к магистралям NSP, содержат самые большие таблицы маршрутизации, и здесь пакет будет перенаправлен на правильную магистраль, где он начнет свое путешествие «вниз» через все более и более мелкие сети, пока не найдет пункт назначения.
Доменные имена и разрешение адресов
Многие компьютеры, подключенные к Интернету, содержат часть базы данных DNS и программное обеспечение, позволяющее другим пользователям получать к ней доступ. Эти компьютеры называются DNS-серверами. Ни один DNS-сервер не содержит всю базу данных; они содержат только его подмножество. Если DNS-сервер не содержит доменного имени, запрошенного другим компьютером, DNS-сервер перенаправляет запрашивающий компьютер на другой DNS-сервер.
Диаграмма 6 |
Служба доменных имен имеет иерархическую структуру, аналогичную к иерархии IP-маршрутизации. Компьютер, запрашивающий разрешение имени, будет перенаправлен «вверх» по иерархии до тех пор, пока не будет найден DNS-сервер, способный разрешить доменное имя в запросе. На рис. 6 показана часть иерархии. В верхней части дерева находятся корни доменов. Некоторые из старых, более распространенных доменов видны вверху. Что не показано, так это множество DNS-серверов по всему миру, которые формируют остальную часть иерархии.
При настройке подключения к Интернету (например, для локальной сети или удаленного доступа к сети в Windows) в процессе установки обычно указываются один первичный и один или несколько вторичных DNS-серверов. Таким образом, любые интернет-приложения, которым требуется разрешение доменных имен, смогут работать правильно. Например, когда вы вводите веб-адрес в свой веб-браузер, браузер сначала подключается к вашему основному DNS-серверу. После получения IP-адреса для введенного вами доменного имени браузер подключается к целевому компьютеру и запрашивает нужную веб-страницу.
Если вы используете удаленный доступ к сети:
Откройте окно удаленного доступа к сети (которое можно найти в проводнике Windows под дисководом компакт-дисков и над сетевым окружением). Щелкните правой кнопкой мыши свое подключение к Интернету и выберите «Свойства». Внизу окна свойств подключения нажмите Настройки TCP/IP.кнопка.
Если у вас есть постоянное подключение к Интернету:
щелкните правой кнопкой мыши Сетевое окружение и выберите Свойства. Щелкните Свойства TCP/IP. Выберите вкладку Конфигурация DNS вверху.
Теперь вы должны посмотреть на IP-адреса ваших DNS-серверов. Здесь вы можете отключить DNS или установить для своих DNS-серверов значение 0.0.0.0. (Сначала запишите IP-адреса ваших DNS-серверов. Возможно, вам также придется перезагрузить Windows.) Теперь введите адрес в веб-браузере. Браузер не сможет разрешить доменное имя, и вы, вероятно, получите неприятное диалоговое окно, объясняющее, что DNS-сервер не найден. Однако, если вы введете соответствующий IP-адрес вместо имени домена, браузер сможет получить нужную веб-страницу. (Используйте ping для получения IP-адреса перед отключением DNS.) Другие операционные системы Microsoft аналогичны.
Пересмотр интернет-протоколов
Как упоминалось ранее в разделе о стеках протоколов, можно предположить, что в Интернете используется множество протоколов. Это верно; существует множество протоколов связи, необходимых для работы Интернета. К ним относятся протоколы TCP и IP, протоколы маршрутизации, протоколы управления доступом к среде, протоколы прикладного уровня и т. д. В следующих разделах описываются некоторые из наиболее важных и часто используемых протоколов в Интернете. Сначала обсуждаются протоколы более высокого уровня, а затем протоколы более низкого уровня.
Когда вы вводите URL-адрес в веб-браузере, происходит следующее:
Протоколы приложений: SMTP и электронная почта
Когда вы открываете почтовый клиент для чтения электронной почты, обычно происходит следующее:
<ПР>Протокол управления передачей
Под прикладным уровнем в стеке протоколов находится уровень TCP. Когда приложения открывают соединение с другим компьютером в Интернете, отправляемые ими сообщения (используя определенный протокол прикладного уровня) передаются по стеку на уровень TCP. TCP отвечает за маршрутизацию протоколов приложений к правильному приложению на целевом компьютере. Для этого используются номера портов. Порты можно рассматривать как отдельные каналы на каждом компьютере. Например, вы можете просматривать веб-страницы, читая электронную почту. Это связано с тем, что эти два приложения (веб-браузер и почтовый клиент) использовали разные номера портов. Когда пакет поступает на компьютер и продвигается вверх по стеку протоколов, уровень TCP решает, какое приложение получит пакет, основываясь на номере порта.
TCP работает следующим образом:
<УЛ>TCP не является текстовым протоколом. TCP — это ориентированная на соединение, надежная служба потока байтов. Ориентированность на соединение означает, что два приложения, использующие TCP, должны сначала установить соединение перед обменом данными. TCP надежен, потому что для каждого полученного пакета отправителю отправляется подтверждение доставки. TCP также включает в свой заголовок контрольную сумму для проверки полученных данных на наличие ошибок. Заголовок TCP выглядит следующим образом:
Диаграмма 7 |
Обратите внимание, что здесь нет места для IP-адреса в заголовке TCP. Это потому, что TCP ничего не знает об IP-адресах. Задача TCP заключается в надежной передаче данных уровня приложения от приложения к приложению. Задача передачи данных от компьютера к компьютеру — это работа IP.
Интернет-протокол
В отличие от TCP, IP является ненадежным протоколом без установления соединения. IP не важно, дойдет ли пакет до адресата или нет. IP также не знает о соединениях и номерах портов. Работа IP также заключается в отправке и маршрутизации пакетов на другие компьютеры. IP-пакеты являются независимыми объектами и могут поступать не по порядку или вообще не поступать. Задача TCP состоит в том, чтобы убедиться, что пакеты прибывают и находятся в правильном порядке. Единственное, что у IP общего с TCP, — это то, как он получает данные и добавляет свою собственную информацию заголовка IP к данным TCP. Заголовок IP выглядит следующим образом:
Диаграмма 8 |
Выше мы видим IP-адреса отправителя и принимающие компьютеры в заголовке IP. Ниже показано, как выглядит пакет после прохождения через прикладной уровень, уровень TCP и уровень IP. Данные прикладного уровня сегментируются на уровне TCP, добавляется заголовок TCP, пакет передается на уровень IP, добавляется заголовок IP, а затем пакет передается через Интернет.
Подведение итогов
Теперь вы знаете, как работает Интернет. Но как долго он будет оставаться таким? Версия IP, используемая в настоящее время в Интернете (версия 4), позволяет использовать только 232 адреса. В конце концов свободных IP-адресов не останется. Удивлен? Не волнуйтесь. IP версии 6 в настоящее время тестируется на исследовательской базе консорциумом исследовательских институтов и корпораций. И после этого? Кто знает. Интернет прошел долгий путь с момента его создания в качестве исследовательского проекта министерства обороны. Никто на самом деле не знает, чем станет Интернет. Однако одно можно сказать наверняка. Интернет объединит мир, как никакой другой механизм. Информационная эра в самом разгаре, и я рад быть ее частью.
Рус Шулер, 1998 г.
Обновления 2002 г.
Ресурсы
Ниже приведены некоторые интересные ссылки, связанные с некоторыми обсуждаемыми темами. (Надеюсь, они все еще работают. Все открываются в новом окне.)
Библиография
Следующие книги являются отличным источником информации и очень помогли в написании этой статьи. Я считаю, что книга Стивенса является лучшим справочником по TCP/IP и может считаться библией Интернета. Книга Шелдона охватывает гораздо более широкий круг вопросов и содержит огромное количество информации о сетях.
Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.
Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..
На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.
Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.
Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.
Слой 2 содержит два подслоя:
Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.
Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.
Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:
Портырежима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.
ПортыTagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:
Портымагистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.
Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс. Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты. Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют заголовка (тега) 802.1Q. . Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.
Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:
Одноадресный, многоадресный и широковещательный трафик.
VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.
Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.
Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети
Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG
.Агрегация каналов не поддерживается на устройствах NFX150.
Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки
Управление штормом не поддерживается на устройствах NFX150.
Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard
См. также
Обзор коммутации Ethernet и прозрачного режима уровня 2
Прозрачный режим уровня 2 позволяет развертывать брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.
Устройство работает в прозрачном режиме, если есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.
Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки.Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.
В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.
В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.
В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.
Шлюзы прикладного уровня (ALG)
Аутентификация пользователя брандмауэра (FWAUTH)
Обнаружение и предотвращение вторжений (IDP)
Единое управление угрозами (UTM)
Преобразование сетевых адресов (NAT)
На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.
Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:
Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.
Отслеживание протокола управления группами Интернета (IGMP) — протокол передачи сигналов между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.
Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.
Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX является квалифицированным; то есть используются как идентификатор VLAN, так и MAC-адрес.
Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:
G-ARP на интерфейсе уровня 2
Мониторинг IP-адресов на любом интерфейсе
Транзит трафика через IRB
Интерфейс IRB в экземпляре маршрутизации
Интерфейс IRB, обрабатывающий трафик уровня 3
Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.
Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000
Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.
Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.
Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.
Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме. После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.
Потоки IPv6 в прозрачном режиме на устройствах безопасности
В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.
Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве.Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.
По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.
В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:
Кластеры шасси уровня 2 в прозрачном режиме.
Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:
В этой статье описываются основы IP-маршрутизации. Мы рассмотрим пример простой сети и проследим жизнь пакета при его маршрутизации от одного узла к другому. Будут обсуждены таблицы маршрутизации на каждом узле.
Прежде чем мы углубимся в IP-маршрутизацию, нам нужно понять IP-адреса. Это описано в следующем разделе.
Классификация IP-адресов
IP-адреса – это 32-битные целые числа, представленные в знакомой точечной нотации. Точечная нотация — это не что иное, как десятичное представление каждого байта IP-адреса. Например, IP-адрес с шестнадцатеричным значением 0x800A080B представлен как 128.10.8.11.
Интернет, как следует из названия, представляет собой сеть сетей. Таким образом, чтобы однозначно идентифицировать хост в Интернете, необходимо знать идентификатор сети и идентификатор хоста в сети. Таким образом, IP-адрес состоит из двух компонентов: идентификатора сети и идентификатора хоста. Идентификатор сети — это номер, присвоенный сети в Интернете. Идентификатор хоста представляет собой идентификатор, назначенный хосту в сети.
На рисунке ниже показаны различные классы IP-адресов. Эти адреса различаются количеством битов, присвоенных идентификаторам сети и хоста. Разные классы адресов служат разным потребностям. Например, IP-адрес класса A подходит, когда Интернет состоит из небольшого количества сетей, но каждая сеть состоит из большого количества хостов. С другой стороны, адресация класса C подходит для Интернета с очень большим количеством сетей и небольшим количеством узлов в сети.
Пример Интернета
Подсети
На рисунке ниже показан небольшой интернет, состоящий из трех сетей 128.8, 128.9.1 и 128.9.2. Строго говоря, интернет состоит из сети 128.8 и подсетей (подсетей) 128.9.1 и 128.9.2. Как мы видели в предыдущем разделе, 128.8 и 128.9 должны были классифицироваться как сетевая часть IP-адреса класса B. В этой сети 128.9 был разделен на две подсети (128.9.1 и 128.9.2) с использованием одного из байтов двухбайтового идентификатора хоста в качестве идентификатора подсети.
Еще один способ взглянуть на это так: первые три байта IP-адресов в подсетях 128.9.1 и 128.9.2 используются для маршрутизации пакета. Остальные биты в IP-адресе не важны с точки зрения маршрутизации. Спецификация битов, которые должны использоваться для маршрутизации, определяется путем связывания маски подсети с записью маршрутизации. В этом примере маска подсети — 255.255.255.0 (0xFFFFFF00).
IP-маршрутизация
Сети в Интернете связаны друг с другом через маршрутизаторы. Маршрутизаторы передают трафик из одной сети/подсети в другую. Маршрутизаторы поддерживают таблицу маршрутизации, чтобы решить, как маршрутизировать IP-пакеты. Каждая запись маршрутизации состоит из адреса назначения, маски подсети и поля «маршрут к». Когда сообщение необходимо перенаправить на IP-адрес, выполняются следующие шаги:
- IP-адрес назначения маскируется маской подсети, а затем сравнивается с полем назначения для всех записей в таблице маршрутизации.
- Это сравнение может дать совпадение с более чем одной записью, и будет выбрана запись с самой длинной маской подсети. Например. , пакет, предназначенный для 128.8.1.2, достигающий узла A, будет соответствовать записям, соответствующим 128.8.1.2 и 128.8.0. Будет выбрана запись, соответствующая 128.8.1.2, так как она имеет более длинную маску подсети.
- После выбора записи выполняется обращение к полю «Маршрут к», и предпринимаемые действия зависят от содержимого этого поля:
- Если в поле "route to" указано SELF, пакет предназначен для этого узла. IP-пакет передается ОС для обработки приложения.
- Если поле «маршрут к» содержит идентификатор интерфейса локальной сети, пакет предназначен для локальной сети, которая напрямую подключена к маршрутизатору/хосту. В этом случае пакет направляется непосредственно в локальную сеть.
- Если поле «маршрут к» содержит IP-адрес, пакет перенаправляется на указанный IP-адрес. Дальнейшая маршрутизация пакета будет осуществляться по указанному IP-адресу.
Примечание. IP-маршрутизация также поддерживает запись по умолчанию. Если пакет не соответствует какой-либо другой записи, он направляется в соответствии с записью по умолчанию.
Несколько IP-адресов
Другим важным аспектом Интернета является то, что узел в Интернете может иметь несколько IP-адресов. Для каждого интерфейса будет один IP-адрес. Например, маршрутизатор на рисунке выше имеет три IP-адреса, а именно. 128.8.1.1, 128.9.1.1 и 128.9.2.1.
Маршрутизация пакета от хоста A к хосту C
Здесь мы проследим путь, по которому IP-пакет отправляется с узла A на узел C. Показаны поля, связанные с маршрутизацией, в заголовке Ethernet MAC и IP-заголовке.
Читайте также:
- Обзор Bluetooth-гарнитуры Urbanears plattan 2
- Настройка роутера tp link tl wr844n
- Почему динамик Bluetooth пищит
- Проблема Bluetooth Poco x3
- Рейтинг уличных видеокамер для видеонаблюдения с Wi-Fi