Podstawy sieci IP m 1 Adresy i sieci Adresy prywatne i publiczne Algorytm rutowania IP Nazwy domen i System Nazw Domen (DNS) Ostatnio sie� IP staje si� coraz popularniejsza, czego powodem jest rozw�j i upowszechnienie sieci Internet. Niestety, niewielu jest przeszkolonych administrator�w sieci, kt�rzy s� w stanie zarz�dza� prac� takich sieci. Cz�sto do pracy w charakterze administrator�w sieci IP kierowani s� i tak ju� zapracowani ludzie od obs�ugi komputer�w. S� oni wtedy odpowiedzialni nie tylko za sprawn� prac� serwer�w i host�w w sieci, lecz r�wnie� urz�dze� takich jak rutery, prze��czniki i koncentratory, kt�re tworz� infrastruktur� sieciow�. Jest to zadanie, do kt�rego wi�kszo�� z nich nie jest przygotowana. Mam nadziej�, �e ksi��ka ta wype�ni luk� w przygotowaniu specjalist�w, kt�rzy w swoich organizacjach rozpoczynaj� prac� z sieciami IP. Mam nadziej�, �e stanie si� ona u�ytecznym wprowadzeniem do zada�, zagadnie� i narz�dzi zwi�zanych z efektywnym zarz�dzaniem zbiorem ruter�w, tak aby tworzy�y one stabiln� i niezawodn� sie� IP, od kt�rej zale�y praca wielu organizacji. Stopie� przygotowania os�b, kt�re skierowano do zada� administrator�w sieci, jest bardzo zr�nicowany. Tote� czasem mo�esz napotka� w ksi��ce materia�, kt�ry b�dzie Ci dobrze znany. Oznacza to wprawdzie, �e jeste� obeznany z tematem, lecz mimo to nalegam, aby� przeczyta� tak�e te informacje, kt�re na pierwszy rzut oka wydaj� si� znane. By� mo�e b�d� one przedstawiane z innego punktu widzenia, co pomo�e Ci zrozumie� rzeczy, kt�re zawsze uwa�a�e� za skomplikowane i niejasne. Mo�esz r�wnie� dowiedzie� si� czego� nowego, czego�, co wcze�niej Ci umkn�o. Rozdzia� 1: Podstawy sieci IP Ten rozdzia� przedstawia podstawowe poj�cia zwi�zane z sieciami IP, ��cznie z adresacj� podsieciami, super sieciami, maskami, algorytmem rutowania IP oraz wzajemnym odwzorowaniem nazw i adres�w przy u�yciu Systemu Nazw Domen (Domain Name System - DNS). Nie s� to wyczerpuj�ce informacje na temat IP, tak jak rozdzia� ten nie jest samouczkiem dla os�b zupe�nie nie obeznanych z tematem. Rozdzia� ten pozwala raczej na przygotowanie wsp�lnej p�aszczyzny zrozumienia tematu przez r�nych czytelnik�w tej ksi��ki. Je�li go pominiesz, mo�e si� okaza�, �e przy opisie jakiego� zagadnienia w dalszej cz�ci ksi��ki znajomo�� pewnych temat�w tu opisanych b�dzie niezb�dna. Je�li chcesz dowiedzie� si� wi�cej na temat dzia�ania protoko��w IP, zach�cam do przeczytania ksi��ki Internetworking with TCP/IP, Vol. l. Aby dobrze pozna� podstawy administracji sieci IP, przeczytaj ksi��k� TCP/IP Administracja sieci (wydan� przez Wydawnictwo RM). Po upewnieniu si�, �e wszyscy mamy podobn� wiedz� podstawow�, w kolejnych kilku rozdzia�ach opisane zostanie zagadnienie budowy w�asnej sieci (w praktyce jest to raczej opis radzenia sobie z problemami wynikaj�cymi z b��dnej konfiguracji sieci, kt�rej prac� czytelnik nadzoruje). Dowiesz si�, na co zwraca� uwag� przy wyborze rutera; jak wybra� dynamiczny protok� rutowania oraz jak skonfigurowa� protok�, kt�ry zosta� wybrany. Dalsze rozdzia�y zawieraj� opis temat�w takich jak: utrzymanie i eksploatacja sieci, do��czenie sieci do innych sieci (w��czaj�c w to sie� Internet). Nauczysz si� te�, w jaki spos�b zabezpiecza� swoj� sie� i konfigurowa� hosty w niej pracuj�ce, tak by broni�y si� przed zagro�eniami p�yn�cymi z pracy w sieci. W ksi��ce tej znajdziesz przyk�ady, sposoby post�powania i porady odnosz�ce si� do systemu Cisco o nazwie Internetiuork Operating System (/OS). Nie my�l jednak, �e informacje te s� Ci niepotrzebne, je�li nie pracujesz z ruterami Cisco. Wi�kszo�� z przyk�ad�w i sposob�w post�powania mo�e by� zastosowana do pracy z ka�dym ruterem, kt�ry obs�uguje odpowiednie protoko�y. Niekt�re z porad, kt�rych by� mo�e nie wykorzystasz bezpo�rednio w pracy z Twoim ruterem, pomog� Ci opracowa� metody post�powania z ruterami, kt�rych u�ywasz w sieci, niezale�nie od tego, kto jest ich dostawc�. Adresy i sieci W ka�dej sieci ka�de miejsce, do kt�rego inne komputery wysy�aj� informacje, musi mie� niepowtarzalny identyfikator. Identyfikator taki nazywany jest zwykle adresem. W niekt�rych technologiach sieciowych adres wskazuje konkretn� maszyn�, podczas gdy w innych, takich jak IP, adres wskazuje punkt przy��czenia do sieci, kt�ry jest powszechnie nazywany interfejsem. W rezultacie pojedyncza maszyna pracuj�ca w sieci, kt�ra jest wyposa�ona w kilka interfejs�w, mo�e mie� kilka adres�w IP - po jednym dla ka�dego z tych interfejs�w. Interfejsy to zwykle fizycznie rozr�nialne przy��cza (tzn. gniazda, do kt�rych do��czany jest kabel sieciowy), ale mog� by� nimi r�wnie� logiczne przy��cza, kt�re maj� jedno wsp�lne przy��cze fizyczne. Mo�esz si� spotka� r�wnie� z innym rozwi�zaniem okre�lanym jako multipleksacja interfejsu, kt�re stosuje si� w przy��czach do sieci ATM. Logiczny podzia� host�w w sieci ATM Adresy i sieci na kilka grup pozwala na traktowanie ka�dej z nich jako oddzielnej sieci logicznej, mimo �e wszystkie hosty przy��czone s� do jednej sieci fizycznej. Urz�dzenie przy��czone do tego typu sieci fizycznej mo�e jednocze�nie nale�e� do kilku sieci logicznych dzi�ki nawi�zaniu kilku logicznych po��cze�, z kt�rych ka�de ma w�asny adres IP. Maszyny, kt�re maj� kilka adres�w, okre�la si� jako multi-homed. Wszystkie rutery s� z definicji maszynami multi-homed, poniewa� zajmuj� si� przesy�aniem pakiet�w pomi�dzy kilkoma sieciami. Jednak�e nie wszystkie maszyny okre�lane mianem multi-homed s� ruterami. Jedna maszyna mo�e mie� kilka przy��cze� do sieci i nie jest to rzadko�ci�, je�li pe�ni funkcj� serwera plik�w wsp�dzielonego przez kilka r�nych sieci, bez rutowania informacji pomi�dzy tymi sieciami. Struktura adresu IP Adresy IP maj� d�ugo�� 32 bit�w. Rozpatruje si� je jako sekwencj� czterech bajt�w lub, stosuj�c terminologi� in�ynier�w sieciowych, czterech oktet�w (bajt�w 8-bito-wych). Aby zapisa� adres IP, nale�y dokona� konwersji ka�dego z oktet�w do postaci zapisu dziesi�tnego i oddzieli� cztery powsta�e w ten spos�b liczby dziesi�tne kropkami. A zatem 32-bitowy adres IP: 10101100 00011101 00100000 01000010 zwykle zapisywany jest jako: 172.29.32.66 Taki format, znany jako zapis kropkowo-dziesi�tny, jest wygodny i b�dziemy go stosowali w wi�kszo�ci przypadk�w opisywanych w tej ksi��ce. B�d� jednak takie przypadki, kiedy wygodniej b�dzie pracowa� z szesnastkow� reprezentacj� adres�w 32-bitowych, poniewa� u�atwi to wykonanie niekt�rych operacji lub pozwoli je lepiej zrozumie�. W zapisie szesnastkowym adres IP, przedstawiony wy�ej, b�dzie reprezentowany w nast�puj�cy spos�b: Oxacld2042 Mimo �e adres IP jest pojedyncz� liczb� 32-bitow�, to zbi�r adres�w IP nie jest p�aski. Zamiast tego adresy zbudowane s� w oparciu o dwupoziomow� hierarchi� sieci i host�w wchodz�cych w sk�ad tych sieci. Ka�da z tych dw�ch przestrzeni adresowych identyfikowana jest przez okre�lon� cz�� adresu IP, w wyniku czego ka�dy adres IP mo�emy podzieli� na numer sieci i numer hosta. W protokole IP numer sieci reprezentuje zbi�r maszyn, kt�re zdolne s� do bezpo�redniej komunikacji w warstwie drugiej sieciowego modelu odniesienia ISO*. Warstwa ta to warstwa ��cza danych, kt�ra odzwierciedla dzia�anie takich rozwi�za� jak Ethernet, Token Ring, FDDI (Fiber Dist�buted Data Interconnect), a tak�e ��cza typu punkt-punkt. Ka�da z tych technologii *ISO to skr�t od International Organizahon for Standardization. Ten model odniesienia pozwala na opis system�w sieciowych w oparciu o wsp�lne podstawy. Szczeg�owy opis siedmiu warstw tego modelu dost�pny jest w wielu tekstach zawieraj�cych opisy sieci i niejestzamieszczony wtej ksi��ce. Rozdzia� 1: Podstawy sieci IP sieciowych traktowana jest przez IP jako jedna sie�, niezale�nie od tego, czy jest to rzeczywi�cie jeden kabel sieciowy, czy te� sk�ada si� ona z kilku segment�w po��czonych ze sob� przez wzmacniaki, mosty lub prze��czniki. Nie powiniene� by� zaskoczony, dowiaduj�c si�, �e numer hosta okre�la konkretn� maszyn�, kt�ra nale�y do danej sieci. Na rysunku 1-1 pokazano przyk�ad opisanego wy�ej sposobu adresowania. ��cze punkt-punkt Rysunek 1 -1: Ethernety 2 i 3 to jedna sie� Na rysunku 1-1 sieci Ethernet 2 i 3 tworz� jedn� sie� IP, mimo �e rozdziela je most, co wynika z faktu, �e urz�dzenie takie jak most jest niewidoczne z poziomu protoko��w warstwy sieci, jak� jest IP.* Host2, HostS i Host4 maj� adresy IP, w kt�rych znajduje si� taki sam numer sieci przydzielony dla tego podw�jnego uk�adu sieci Ethernet po��czonych mostem. ��cze szeregowe pomi�dzy Host4 a HostS tworzy drug� sie� IP i hosty te b�d� mia�y adresy sk�adaj�ce si� z numeru sieci tworzonej przez to po��czenie szeregowe. Sie� Ethernet l jest wi�c trzeci� sieci�, a Host1 i Host2 b�d� mia�y adresy IP zawieraj�ce jej adres. Hosty o nazwach Host2 i Host4 maj� po dwa adresy IP; s� to hosty typu multi-homed i mog� pe�ni� funkcje ruter�w. Dwupoziomowa struktura adres�w IP b�dzie wa�na w dalszej cz�ci ksi��ki, gdy b�dzie mowa o *Dok�adniejsze wyja�nienie r�nic pomi�dzy ruterami a mostami znajduje si� w rozdziale 3. Adresy i sieci nitowaniu. Na razie wystarczy, je�li wska�emy, kt�ra cz�� adresu IP to numer sieci, a kt�ra - numer hosta. Umieszczenie numeru sieci w adresie IP powoduje, �e adres hosta zale�y od sieci, w kt�rej ten host si� znajduje. Oznacza to, �e je�li host zostanie przeniesiony do innej sieci, to konieczna jest zmiana jego adresu. W przeciwie�stwie do innych technologii sieciowych, takich jak IPX Novella, gdzie adres ustalany jest w oparciu o adres sprz�towy karty sieciowej lub AppleTalk firmy Apple Computer, gdzie adres wybierany jest automatycznie, adres IP jest nadawany i wyznaczany r�cznie. Mimo �e dost�pne s� protoko�y takie jak Boot Strap Protocol (BOOTP) i Dynamie Host Configuration Protocol (DHCP), kt�re wspomagaj� wyznaczanie adresu IP dla maszyny w sieci, to serwery obs�uguj�ce te protoko�y wymagaj� r�cznej konfiguracji i nie wszystkie urz�dzenia w sieci s� w stanie wykorzysta� zalety tych us�ug. Konieczno�� zmiany numeru hosta po zmianie jego miejsca pracy oznacza zawsze dodatkowe zadania dla personelu odpowiedzialnego za utrzymanie sieci. Numery sieci i maski Jak napisa�em wcze�niej, wszystkie adresy IP sk�adaj� si� z numeru sieci i numeru hosta w tej sieci. Jednak�e granica pomi�dzy numerem sieci i numerem hosta przebiega r�nie w ka�dej z sieci. Aby oprogramowanie ruter�w i host�w mog�o w �atwy spos�b okre�li�, w kt�rym miejscu znajduje si� wspomniany podzia� adresu, ka�dy z nich ma do��czon� informacj� w postaci maski sieci. Maska ta to liczba 32-bitowa, podobnie jak w adresie IP, w kt�rej wszystkie bity okre�laj�ce sieciow� cz�� adresu s� r�wne l, a bity okre�laj�ce cz�� adresu b�d�c� numerem hosta ustawione s� na 0. Na przyk�ad: 11111111 11111111 00000000 00000000 oznacza, �e pierwszych 16 bit�w adresu IP, z kt�rym skojarzona jest ta maska, reprezentuje numer sieci, a ostatnich 16 bit�w reprezentuje numer hosta w tej sieci. Komputer mo�e w prosty spos�b wyliczy� numer sieci z adresu IP stosuj�c bitowe dzia�anie AND pomi�dzy adresem IP i jego mask�. Pocz�tkowo maski sieci mog�y zawiera� nie przylegaj�ce bity 1. Praktyka ta zosta�a jednak zmieniona, cz�ciowo z powodu trudno�ci, jakie sprawia�a, a cz�ciowo po to, by upro�ci� wymian� informacji o rutowaniu. Obecnie wszystkie maski musz� mie� wszystkie bity l przylegaj�ce. Oznacza to, �e nast�puj�ca maska: 11111111 11111111 00000011 00000000 jest niedozwolona, poniewa� ostatnie dwa bity l nie przylegaj� do innych. Ograniczenie to nie spowodowa�o wi�kszych k�opot�w, poniewa� do chwili jego wprowadzenia u�ywano niewielu masek, w kt�rych bity l nie by�y przylegaj�ce. Podobnie jak adres IP, maska sieciowa jest tradycyjnie reprezentowana przy u�yciu zapisu kropkowo-dziesi�tnego lub szesnastkowego. A zatem maska mo�e by� zapisana jako 255.255.254.0 lub jako OxfffffeOO - ten spos�b jest cz�ciej u�ywany w programach komputerowych. Rozdzia� 1: Podstawy sieci IP Poniewa� jednak maski zawsze s� zwi�zane z adresem IP i bez niego nie maj� wi�kszego znaczenia, coraz popularniejszy staje si� nowy format zapisu maski. W zwi�zku z tym, �e wymagany jest obecnie zapis w postaci nieprzerwanego ci�gu bit�w l, mo�liwe jest pos�ugiwanie si� poj�ciem maski 23-bito-wej. Takie okre�lenie jednoznacznie m�wi, �e mamy na my�li mask� z�o�on� z 23 bit�w l, po kt�rych nast�puje 9 bit�w O lub w zapisie szesnastkowym Oxf f f f f eOO. Pozwala to na uproszczenie stwierdzenia �e �sie� rozpoczyna si� adresem 192. 168.2.0 z mask� 255.255.254.0" i zapisanie go w postaci 192.168.2.0/23. Ten nowy zapis adres�w i masek nazywany jest zapisem adres/maska. Mimo �e wi�kszo�� oprogramowania nie pozwala na u�ycie tego zapisu przy wprowadzaniu adresu i maski, to coraz cz�ciej pojawia si� on przy wy�wietlaniu informacji o adresach. Na przyk�ad aby w bie��cej sesji ogl�da� informacje o maskach w wybranym formacie w systemie IOS Cisco, nale�y wyda� jedno z polece� podanych w tabeli 1 -1. Tabela 1 -1. Okre�lanie formatu wy�wietlania informacji o maskach Polecenie terminal ip netmask-format bit-count terminal ip netmask-format decimal terminal ip netmask-format hexadecimal Format wy�wietlania 192.168.2.0/23 192.168.2.0 255.255.254.0 192.168.2.0 0xFFFFFE0O Innym sposobem jest okre�lenie domy�lnego formatu wy�wietlania maski dla wszystkich sesji poprzez dodanie do konfiguracji rutera nast�puj�cych polece�: line con 0 p netmask-format bit-count line vty 0 4 ip netmask-format bit-count Je�li wola�by� nie u�ywa� podanego wy�ej formatu, to polecenie bit-count mo�esz zast�pi� poleceniem decimal lubhexadecimal. Podstawowy zapis adres/maska pozwala na opisywanie adres�w IP o dowolnym rozmiarze, poczynaj�c od prostego ��cza punkt-punkt, w kt�rym pracuj� dwa hosty w sieci, ko�cz�c na sieciach, w kt�rych znajduje si� wiele milion�w host�w. Rozwa�my na przyk�ad dwa adresy pokazane na rysunku 1-2. Poniewa� maj� one jednakowy 23-bitowy przedrostek i s� kolejnymi numerami, to mo�liwe jest zapisanie przestrzeni adresowej obu wymienionych adres�w przy u�yciu wspomnianego zapisu, w wyniku czego powstaje adres w postaci 192.168.10.0/23. Nie wszystkie kombinacje adres�w i masek sieci mog� by� poprawnie zapisane przy u�yciu takiego zapisu. Na rysunku 1-3 pokazano cztery adresy, kt�re nie mog� by� reprezentowane przez jeden zapis typu adres/maska. Dzieje si� tak dlatego, �e adresy, mimo swej ci�g�o�ci, nie maj� jednakowego 22-bitowego przedrostka. Dlatego nie jest mo�liwe podanie maski o d�ugo�ci 22 bit�w, kt�ra obj�aby wszystkie fe adresy. Je�li b�dziesz chcia� zapisa� te adresy podaj�c 192.168.10.0/22, to zapis ten obejmie tylko dwa z podanych czterech adres�w, a dwa pozosta�e zostan� pomini�te. Adresy i sieci 192.168.10.0 = 11000000 10101000 00001010 00000000 192.168.11.0 = 11000000 10101000 00001011 00000000 255.255.254.0 = 11111111 11111111 11111110 00000000 Rysunek 1 -2: Dwa adresy ze wsp�lnym 23-bitowym przedrostkiem Zamiast takiego zapisu nale�y u�y� dw�ch oddzielnych specyfikacji: 192.168.10.0/23 i 192. 168.12 .0/23, co oznacza dwa oddzielne zapisy w tablicy rutowania, o czym powiemy w dalszej cz�ci tego rozdzia�u. Czy zapis 192.168.10.0/22 okre�la jak�� poprawn� przestrze� adresow�? I tak, i nie. Je�li u�yjesz maski z tym adresem, oka�e si�, �e powsta�a w ten spos�b przestrze� adresowa jest taka sama jak dla adresu 192.168.8.0/22. Czy w tego rodzaju zapisie wa�ny jest adres podstawowy? Tak! Nawet do�wiadczeni administratorzy b��dnie s�dz�, �e opisana w ten spos�b przestrze� adresowa to numery od 192.168.10.0 do 192 .168.13.255, cho� komputer na podstawie zapisu 192 .168.10.0/22 wyznaczy 192.168.10.0 = 11000000 10101000 00001010 192.168.11.0 = 11000000 10101000 00001011 192.168.12.0 = 11000000 10101000 00001100 192.168.13.0 = 11000000 10101000 00001101 255.255.???.0 = 11111111 11111111 liii: 00000000 00000000 00000000 00000000 00000000 Rysunek 1-3: Cztery adresy bez wsp�lnego 22-bitowego przedrostka przestrze� adresow� od 192.168.8.0 do 192 .168.11.255. S� to oczywi�cie dwie zupe�nie inne przestrzenie adres�w. Takie b��dne zapisy mog� powodowa� podw�jne przydzia�y adres�w, problemy z rutowaniem i inne tajemnicze b��dy. Je�li chcesz tego unikn�� i sprawi�, �e zapisy b�d� jednoznaczne, adres podstawowy, maskowany podan� mask�, nie mo�e mie� �adnego bitu l w cz�ci opisuj�cej numery host�w. Ograniczenie to jest na tyle wa�ne, �e ka�dy dobrze napisany program sieciowy b�dzie wymusza� taki w�a�nie zapis i informowa� o b��dzie adresu w przypadku niezastosowania si� do tej regu�y. Og�lna zasada jest nast�puj�ca: dla pewnej liczby N adres�w podstawowych maj�cych ten sam przedrostek N musi by� podstaw� pot�gi 2, a ostatni oktet zawieraj�cy numer sieci (w kt�rym nie ma �adnych bit�w okre�laj�cych numer hosta) musi by� bez reszty podzielny przez N. Rozdzia� 1: Podstawy sieci IP Klasy adres�w IP Podstawowy spos�b zapisu adres�w, opisany wy�ej, pozwala w �atwy spos�b rozr�ni� rozmiar cz�ci b�d�cej adresem sieci oraz cz�ci okre�laj�cej liczb� host�w w tej sieci. �atwo mo�na policzy� hosty w sieci, nast�pnie liczb� t� zaokr�gli� do najbli�szej warto�ci pot�gi liczby dwa i na tej podstawie wyst�pi� o numer sieci i mask� dla tej sieci. Nale�y jeszcze pami�ta� o dodaniu odpowiedniej liczby adres�w zapasowych, kt�re pozwol� na rozbudow� sieci w przysz�o�ci. Nie zawsze jednak przydzielanie adres�w sieci odbywa�o si� w taki spos�b. W pocz�tkowym okresie rozwoju sieci IP maski mia�y ustalone wielko�ci, przez co po dodaniu ich do numer�w sieci powstawa�y klasy sieci. Cho� zast�piono je bardziej elastyczn� architektur� klas sieci opisan� wy�ej, to w literaturze i w j�zyku potocznym cz�sto wyst�puj� odwo�ania do nich (czasem tak�e w tej ksi��ce). Niekt�re protoko�y rutowania, takie jak RIP, nadal pos�uguj� si� tym poj�ciem, dlatego cofnijmy si� w czasie i zajmijmy si� tymi podstawowymi klasami sieci oraz ich ewolucj� w kierunku u�ywanej obecnie nowoczesnej architektury klas sieci. Tw�rcy IP nie przewidywali, �e protok� ten b�dzie musia� obs�ugiwa� sie� o wielko�ci dzisiejszego Internetu. Zak�adali, �e b�dzie istnia�a potrzeba obs�ugi tylko kilku du�ych sieci (dzia�aj�cych w du�ych firmach komputerowych i g��wnych uniwersytetach), �redniej liczby sieci o �redniej wielko�ci oraz wielu ma�ych sieci. Dlatego te� stworzyli trzy klasy sieci: klas� A przeznaczon� dla najwi�kszych sieci, klas� B - dla sieci �redniej wielko�ci oraz klas� C - dla sieci ma�ych. Postanowili r�wnie� u�atwi� podejmowanie decyzji o nitowaniu i zakodowali klas� sieci w pierwszych kilku bitach adresu IP, zgodnie z zasad� pokazan� na rysunku 1-4. Je�li pierwszym bitem adresu jest O, to sie� nale�y do klasy A. W sieci klasy A pierwszy oktet jest numerem sieci, a pozosta�e trzy oktety identyfikuj� host w tej sieci. Poniewa� pierwszy bit adresu jest ustalony na sta�e jako O, to mo�na u�ywa� tylko 127 sieci klasy A, a w ka�dej z nich mo�liwe jest adresowania ponad 16 milion�w host�w. Je�li pierwsze dwa bity adresu to 10, sie� nale�y do klasy B. W sieci klasy B pierwsze dwa oktety oznaczaj� numer sieci, a kolejne dwa - numer hosta w sieci. Pozwala to na utworzenie 16 384 sieci klasy B (zwr�� uwag�, �e podobnie jak w poprzedniej klasie, pierwsze dwa bity s� sta�e), a w ka�dej z nich mo�e by� 65 000 host�w. Klasa B Klasa C Rysunek 1 -4: Klasa adresu jest zakodowana w pierwszych kilku bitach Adresy i sieci Wreszcie je�li pierwsze trzy bity to 110, sie� nale�y do klasy C. W sieci klasy C pierwsze trzy oktety s� numerem sieci, a ostami oktet okre�la numer hosta w sieci. Pozwala to na utworzenie oko�o 2 milion�w sieci, z kt�rych ka�da mo�e sk�ada� si� z 256 host�w. Zwr�� uwag�, jak �atwo jest na podstawie pierwszych kilku bit�w okre�li� klas� sieci, a nast�pnie znale�� cz�� adresu opisuj�c� numer sieci i cz�� z numerem hosta. Taka prostota by�a konieczna, poniewa� komputery w tamtych czasach mia�y znacznie mniejsze moce przetwarzania ni� obecnie. Zgodnie z oryginaln� definicj�, adresy, w kt�rych pierwsze trzy bity to 111, nale�� do klasy D i zosta�y przeznaczone do wykorzystania w przysz�o�ci. Od tego czasu definicja sieci tej klasy zmieni�a si� i klasa D definiowana jest obecnie jako adresy, w kt�rych pierwsze cztery bity to 1110. Adresy te nie oznaczaj� pojedynczego urz�dzenia, lecz zestaw urz�dze�, kt�re wchodz� w sk�ad grupy IP, okre�lanej jako multicast, i zostan� om�wione w nast�pnej cz�ci ksi��ki. Adresy rozpoczynaj�ce si� od 1 1 1 1 nazywane s� obecnie adresami klasy E i s� zarezerwowane do wykorzystania w przysz�o�ci. Prawdopodobnie je�li dla kolejnej klasy adres�w zostanie przydzielony jaki� spos�b ich wykorzystania, to definicja klas zostanie zmodyfikowana tak, �e klasa E b�dzie si� zaczyna�a od 11110, a nowa zdefiniowana klasa F (jako rezerwa na przysz�o��) wyr�niana b�dzie pocz�tkowymi bitami w postaci 11111.* Jak si� wi�c maj� opisane wy�ej klasy sieci do swych najnowszych odpowiednik�w? Zwr�� uwag�, �e sie� klasy A ma 8-bitow� mask� sieci. Oznacza to, �e taka sie� o numerze 10.0.0.0 mo�e by� opisana jako 10.0.0.0/8 przy u�yciu zapisu bezklasowego. Tak�e naturalna maska sieci dla sieci klasy B ma d�ugo�� 16 bit�w, a dla sieci klasy C d�ugo�� ta wynosi 24 bity. W wyniku tak ustalonych d�ugo�ci masek oznaczenie sieci klasy B172.16.0.0 b�dzie nast�puj�ce: 172.16.0.0/16, a dla sieci klasy Co adresie 192.168.1.0-192.168.1.0/24. Nale�y jednak pami�ta�, �e cho� wszystkie sieci znane wcze�niej jako sieci klasy B maj� maski 16-bitowe, to nie jest prawd�, i� wszystkie sieci maj�ce maski o d�ugo�ci 16 bit�w s� sieciami klasy B.+ Rozwa�my przyk�ad sieci 10.0.0.0/16. Wykorzystuje ona mask� 16-bitow�, ale nadal pozostaje sieci� klasy A (a raczej cz�ci� takiej sieci), poniewa� jej binarna reprezentacja nadal zaczyna si� od bitu 0. Na podobnej zasadzie skonstruowana jest sie� opisana przez 192.168.0.0/16, kt�ra nie jest sieci� klasy B, lecz zbiorem 256 sieci klasy C. R�nice te maj� du�e znaczenie, gdy masz do czynienia z hostami i protoko�ami, kt�re s� �wiadome istnienia klas sieci. W takich przypadkach poprawne konfigurowanie maski jest spraw� niezmiernie istotn� dla pracy systemu. W przypadku stosowania adresacji bezklasowej maska 16-bitowa to po prostu maska 16-bitowa. *Wydaje si�, �e jest to ostatni spos�b na wykorzystanie starej struktury klas dla adres�w, ale tak�e w tym przypadku najw�a�ciwszym okre�leniem tej klasy b�dzie przestrze� adres�w multicast. Pury�ci j�zykowi mog� opisywa� te adresy jako 244.0.0.0/4 lub odwo�ywa� si� do nich jako do adres�w z zakresu od 224.0.0.0- 239.255.255.255. U�ywaj sposobu zapisu, kt�ry najbardziej Ci odpowiada. + Podobnie jak maska 8-bitowa nie musi wcale oznacza� sieci klasy A, a maska 24-bitowa nie musi oznacza� sieci klasy C. 9 Rozdzia� 1: Podstawy sieci IP Podsieci i super sieci W miar� jak tw�rcy protoko��w IP nabierali do�wiadczenia w pracy z sieci�, odkryli, �e ustanowione pocz�tkowo klasy sieci pozwala�y na przydzielanie sieci o wielko�ciach, kt�re nie pasowa�y do potrzeb pojawiaj�cych si� technologii LAN. Na przyk�ad nie ma potrzeby przydziela� sieci klasy B, daj�cej mo�liwo�� adresowania ponad 65 000 host�w, sieci Ethernet, w kt�rej b�dzie pracowa�o maksymalnie l 200 urz�dze�. Opracowano rozwi�zanie nazywane podzia�em na podsie�, w kt�rym po raz pierwszy rzeczywi�cie wykorzystane zosta�y maski sieciowe. W podsieciach IP bity nale��ce do adresu IP hosta wykorzystywane s� w charakterze bit�w rozszerzaj�cych numer sieci. Na przyk�ad w sieci klasy Al O. O. O. O numer sieci opisany jest przez 8 pierwszych bit�w, a pozosta�e 24 bity tworz� numer hosta. Tw�rcy sieci IP zdali sobie spraw�, �e mo�liwy jest podzia� tej sieci na podsieci dzi�ki wykorzystaniu kolejnych 8 bit�w adresu, kt�re z adresu hosta zostan� przypisane do adresu sieci, jak pokazano na rysunku 1-5. Takie rozwi�zanie pozwala stworzy� 256 podsieci, a w ka�dej z nich zaadresowa� 65 000 host�w. Mo�liwe jest r�wnie� wykorzystanie 16 bit�w z numeru hosta dla okre�lenia adres�w podsieci, co zwi�ksza liczb� podsieci do 65 000, a liczb� host�w w ka�dej z nich do 256. Maski sieciowe nie musz� przebiega� zgodnie z kolejnymi granicami wyznaczonymi przez 8-bitowe porcje adresu IP. W wielu miejscach u�ywa si� takiego rozwi�zania, poniewa� spos�b podzia�u adresu na cz�� sieciow� i numer hosta jest �atwy do zapami�tania. Je�li sieci klasy A 10.0.0.0 nie b�dziemy dzielili na podsieci, podzia� pomi�dzy adresem sieci i adresem hosta przebiega w miejscu pierwszej kropki w zapisanym dziesi�tnie adresie. Je�li u�yjemy 8-bitowej podsieci (tzn. 16-bitowej maski sieci), to granica podzia�u pomi�dzy podsieci� a adresem hosta b�dzie przebiega�a w miejscu wyst�powania drugiej kropki. Je�li z kolei u�yjemy podsieci o wielko�ci 16 bit�w (24-bitowej maski sieci), to linia podzia�u przebiega�a b�dzie w miejscu trzeciej kropki. Sie� Podsie� Host 10 27.9.4 10 27 9.4 10 27.9 4 Rysunek 1-5: R�ne interpretacje adresu 10.27.9.4 Cho� dla komputer�w takie u�atwienia nie maj� �adnego znaczenia, to dla ludzi s� one bardzo wygodne i pozwalaj� w bardziej naturalny spos�b dzieli� adres na poszczeg�lne cz�ci. Na przyk�ad je�li w naszej przyk�adowej sieci 10.0.0.0 zdecydujemy si� u�y� maski o d�ugo�ci 10 bit�w, to otrzymamy 1024 podsieci, a w ka�dej z nich po 4 miliony host�w. W takim przypadku granica podzia�u pomi�dzy numerem podsieci a numerem hosta przebiega wewn�trz trzeciego oktetu i nie jest wyra�nie widoczna w zapisie kropkowo-dziesi�tnym. 10 Adresy / siec Zastan�w si� nad adresami 10.1.190.0 oraz1 0.1.191.1. Czy nale�� one do tej samej podsieci? Tak, lecz adres 10 . l. 192. l ju� nie b�dzie do niej nale�a�. Nawet szesnastkowy zapis adresu nie pokazuje wyra�nie tego rozdzia�u. Tylko zapis binarny pozwala na wyra�ne rozr�nienie podsieci. Maska podsieci ma zawsze przynajmniej tyle bit�w l, ile jest ich w naturalnej masce dla danej klasy sieci. Oznacza to, �e podsie� jest zawsze mniejsza od sieci, bez wzgl�du na to, z jakiej klasy ta sie� pochodzi. Kilka lat temu, gdy zacz�y si� problemy zwi�zane z wyczerpywaniem si� przestrzeni adresowej, zwr�cono uwag� na fakt, �e nie ma technicznego uzasadnienia dla tak sztywnego traktowania masek. Dlaczego nie przydziela� adres�w sieci z maskami wi�kszymi od naturalnej maski dla sieci klasy C i nie stworzy� blok�w kilku sieci C traktowanych jako jedna sie� lub super sie�?* W�a�ciwie dlaczego ogranicza� takie podej�cie do sieci klasy C? Dlaczego nie po��czy� kolejnych sieci klasy B w jedn� super sie�? Takie rozwi�zania s� podstaw� bezklasowego rutowania pomi�dzy domenami (Classless Interdomain Routing - CIDR), kt�re tworzy stosowan� obecnie w sieci architektur� bezklasow�. Dzi�ki zastosowaniu maski sieciowej do wyznaczania zar�wno podsieci, jak i super sieci, powsta�a nowa grupa bezklasowych protoko��w rutowania, pozwalaj�ca na rozszerzenie funkcji rutowania, kt�re wcze�niej mo�liwe by�o tylko pomi�dzy sieciami z klas. Protoko�y rutowania pracuj�ce z klasami i protoko�y bezklasowe nie mog� by� ze sob� mieszane, poniewa� te drugie wymagaj� znajomo�ci maski adresu, podczas gdy protok� klasowy sam okre�la mask� dla klasy sieci na podstawie pierwszych bit�w adresu. Mo�liwe jest jednak kontrolowane po��czenie obu typ�w protoko��w na obrze�ach domeny rutowania. Rozwi�zanie takie powinno by� jednak stosowane w ostateczno�ci i z pe�n� �wiadomo�ci�jego konsekwencji. Adresy broadcast i multicast Zdarzaj� si� sytuacje, w kt�rych host pracuj�cy w sieci IP musi komunikowa� si� ze wszystkimi innymi hostami pracuj�cymi w tej sieci. Poniewa� nie ma �atwego sposobu na stwierdzenie, jakie inne adresy w sieci s� przypisane do host�w, a nawet trudno jest stwierdzi�, kt�re hosty w danym momencie s� uruchomione, to host mo�e wys�a� kopi� komunikatu na ka�dy adres w danej sieci po kolei. Jest to marnotrawstwo pasma sieci i mocy pracuj�cych w niej komputer�w. Aby poradzi� sobie z tym problemem, IP definiuje adres 255.255.255.255 jako adres broadcast w sieci lokalnej. Ka�dy host pracuj�cy w sieci IP odbiera komunikaty przychodz�ce na jego w�asny adres IP oraz na adres typu broadcast. Broadcast w sieci lokalnej dzia�a dobrze, je�li host chce tylko przes�a� komunikat do innych host�w po��czonych bezpo�rednio do tej samej sieci. Zdarzaj�, si� jednak sytuacje, kiedy host chce wys�a� pakiet do wszystkich host�w, kt�re nie s� bezpo�rednio po��czone z sieci�. IP definiuje taki pakiet jako skierowany broadcast. Jego adres zawiera numer sieci, do kt�re jest on kierowany, oraz wszystkie bity numeru hosta ustawione na 1. *Znanej r�wnie� jako sie� zagregowana lub blok sieci. 11 Rozdzia� 1: Podstawy sieci IP A zatem broadcast skierowany do sieci 10.0.0.0/8 b�dzie mia� adres 10.255.255.255, a w przypadku sieci 172.29.0.0/16 b�dzie to adres 172.29.255.255. W zwi�zku z potencjalnym zagro�eniem ze strony nieuczciwych u�ytkownik�w sieci lub ignorant�w wiele ruter�w mo�e by� skonfigurowanych tak, aby odrzuca�y skierowane pakiety broadcast, nie przepuszczaj�c ich do wn�trza sieci, kt�r� chroni�. W rozdziale 10 pokazano przyk�ady takiej konfiguracji ruter�w. Niekt�re wersje starszego oprogramowania stosowa�y bity O zamiast l dla oznaczania adres�w broadcast. Pomimo �e systemy takie zanikaj�, mo�esz si� na nie natkn��, zw�aszcza je�li w Twojej sieci pracuj� starsze systemy. Wi�kszo�� g��wnych dostawc�w system�w UNIX nadal stosuje domy�lnie bity O dla oznaczania adres�w broadcast. Najnowsze oprogramowanie powinno akceptowa� oba sposoby adresowania pakiet�w broadcast i mie� mo�liwo�� konfigurowania sposobu adresowania przez bity l lub O przy wysy�anych przez siebie pakietach broadcast. Domy�lnym ustawieniem adresu broadcast w nowych systemach jest 1. Podobnie jak adres broadcast, adres multicast jest pojedynczym adresem reprezentuj�cym grup� urz�dze� w sieci. W przeciwie�stwie do adresu broadcast, maszyny korzystaj�ce z adresu multicast musz� wcze�niej wyrazi� �yczenie otrzymania pakiet�w kierowanych na ten adres. Komunikat wysy�any na adres broadcast jest odbierany przez wszystkie maszyny obs�uguj�ce protok� IP, niezale�nie od tego, czy s� one zainteresowane jego zawarto�ci�, czy te� nie. Na przyk�ad niekt�re protoko�y rurowania wykorzystuj� adresy multicast jako adres przeznaczenia dla wysy�anych okresowo informacji o rutowaniu. Pozwala to na �atwe ignorowanie takich komunikat�w przez maszyny, kt�re nie s� zainteresowane uaktualnianiem informacji o rutowaniu. Z kolei broadcast musi by� odebrany i przeanalizowany przez wszystkie maszyny, w��czaj�c w to hosty, kt�re nie obs�uguj� protoko�u IP. Dopiero po odebraniu takiego pakietu maszyna mo�e stwierdzi�, czy jest zainteresowana jego zawarto�ci�. Wynika to z faktu, �e obs�uga pakiet�w broadcast realizowana jest na poziomie sprz�towym i jest zwi�zana g��wnie z funkcj� broadcast IP. Powoduje to, �e pakiet tego typu wysy�any jest do wszystkich kart sieciowych niezale�nie od tego, czy obs�uguje je protok� IP, czy te� inny protok� sieciowy, nie rozumiej�cy komunikat�w broadcast. Hosty pracuj�ce z innym protoko�em powinny gubi� pakiety broadcast, ale takie dzia�anie wymaga od hosta przetworzenia pakietu w celu potwierdzenia, �e nie jest on nim zainteresowany. Inne adresy specjalne Nale�y jeszcze wspomnie� o dw�ch specjalnych adresach IP. Pierwszym z nich jest adres loopback, 127.0.0.1. Adres ten zdefiniowany jest jako adres programowego interfejsu p�tli zwrotnej dzia�aj�cego na danej maszynie. Adres ten nie jest przypisany do �adnego interfejsu sprz�towego i nie ��czy si� z sieci�. Jest u�ywany g��wnie w celu testowania oprogramowania IP na maszynie, kt�ra nie jest przy��czona do sieci, i bez wzgl�du na to, czy interfejs sieciowy lub jego sterowniki dzia�aj� poprawnie. 12 Adresy i sieci Mo�e on by� r�wnie� u�ywany na maszynie lokalnej jako adres interfejsu, kt�ry jest zawsze aktywny i osi�galny przez oprogramowanie, niezale�nie od aktualnego stanu interfejs�w sprz�towych. Adres ten mo�e by� na przyk�ad u�ywany do adresowania odwo�a� oprogramowania klienta z serwerem uruchomionym na tej samej maszynie, bez konieczno�ci u�ywania zewn�trznego adresu IP hosta. Specyfikaq'a protoko�u IP, znana jako Recjuestfor Comment (w skr�cie RFC)*, wymaga aby adres ten, jak i ca�a sie� 171.0.0.0/8, nigdy nie by� przypisywany do zewn�trznego interfejsu maszyny. Je�li tak si� zdarzy, adresy te b�d� gubione przez ka�dy host lub ruter, kt�ry b�dzie otrzymywa� w taki spos�b zaadresowane pakiety. Zwr�� uwag�, i� adres ten narusza zasad�, �e adres IP jednoznacznie identyfikuje host, poniewa� wszystkie hosty pracuj�ce w sieci IP wykorzystuj� ten sam adres dla obs�ugi interfejsu loopback. : Drugim specjalnym adresem IP jest 0.0.0.0. Opr�cz wykorzystania go w starszym oprogramowaniu jako adresu broadcast w sieci lokalnej, niekt�re protoko�y rutowania traktuj� go jako adres przechwytywania lub domy�ln� tras�. Wi�cej na temat tras domy�lnych powiem przy omawianiu algorytmu rutowania IP. Adresy nadaj�ce si� do u�ytku przy danej masce sieci Do tej pory m�wi�em, �e w ka�dej sieci z mask� 24-bitow� mo�na umie�ci� do 256 host�w. Nie jest to do ko�ca prawda. Przypomnij sobie, �e adres zawieraj�cy bity l, w cz�ci okre�laj�cej numer hosta, to adres broadcast. Przypomnij sobie r�wnie�, �e w niekt�rych starszych implementacjach dla okre�lenia adresu broadcast stosowane s� bity 0. W zwi�zku z tym adresy zawieraj�ce bity l i bity O w cz�ci okre�laj�cej numer hosta nie mog� by� stosowane do adresowania hosta w sieci. Daje to rzeczywist� liczb� dost�pnych adres�w host�w w takiej sieci, kt�ra wynosi 254. Takie same restrykcje dotycz� wszystkich sieci i podsieci, niezale�nie od d�ugo�ci maski. Na przyk�ad maska o d�ugo�ci 31 bit�w w zapisie szesnastkowym Oxf f f f f f f e powinna da� mo�liwo�� wydzielenia podsieci, w kt�rej b�d� pracowa�y dwa hosty, idealnej dla konfiguracji ��cza punkt-punkt. Poniewa� jednak nie mo�emy nadawa� hostom numer�w z�o�onych z samych bit�w l ani samych bit�w O, to sie� utworzona tak� mask� jest bezu�yteczna. Poprawn� mask� dla sieci, w kt�rej b�d� dost�pne dwa adresy host�w, jest maska 30-bitowa -Oxfffffffc. Pierwszy host w sieci b�dzie mia� numer l, a drugi 2. Numer O nie jest dost�pny dla host�w, a numer 3 b�dzie adresem broadcast. Wy�ej opisana niejednoznaczno�� wyst�puje tak�e w przypadku podsieci, dla kt�rych numer podsieci sk�ada si� z samych bit�w O lub 1. Niekt�re wersje oprogramowania sieciowego nie potrafi� poprawnie obs�ugiwa� tego typu podsieci. Inne wersje wymagaj� wyra�nego skonfigurowania funkcji programu, tak by te dwie sieci by�y obs�ugiwane poprawnie. Instrukcja informuj�ca, w jaki spos�b uzyska� kopie dokument�w RFC, znajduje si� w dodatku B. 13 Rozdzia� 1: Podstawy sieci IP Na przyk�ad system operacyjny Cisco IOS b�dzie obs�ugiwa� podsie� O, je�li zostanie skonfigurowany poleceniem ip subnet-zero wchodz�cym w sk�ad konfiguracji protoko�u. Nie zach�cam jednak do u�ywania tej mo�liwo�ci, poniewa� mo�emy w jej wyniku uzyska� numery podsieci i sieci, kt�re b�d� nierozr�nialne. Mo�e to nawet spowodowa� b��dy w dzia�aniu dynamicznego protoko�u rutowania u�ywanego w Twojej sieci! Je�li nie masz pewno�ci, czy ca�e wykorzystywane w Twojej sieci oprogramowanie obs�uguje jedn� lub obie wymie nione podsieci (wszystkie bity O i wszystkie bity 1), powiniene� unika� stosowania takich numer�w podsieci. W tabeli 1-2 pokazano liczb� podsieci i host�w dla wszystkich masek podsieci w trzech blokach sieci o r�nej wielko�ci. Na przyk�ad je�li wykorzystywany przez Ciebie blok sieci ma d�ugo�� 16 bit�w, to mo�esz u�y� 25-bitowej maski podsieci w celu uzyskania 510 podsieci i 126 host�w w ka�dej z nich. Je�li jednak d�ugo�� bloku sieci wynosi 20 bit�w, to taka sama 25-bitowa maska pozwoli na zaadresowanie 30 podsieci i 126 host�w w ka�dej z nich. Zwr�� uwag� na to, �e niekt�re maski nie tworz� u�ytecznej liczby podsieci. Takie przypadki oznaczono za pomoc� kreski poziomej. Podobne numery sieci mo�na �atwo podzieli� na bloki sieci o innej d�ugo �ci. Gdy b�dziesz si� zastanawia� nad wyborem maski dla Twoich podsieci, pami�taj o przyk�adach z poni�szej tabeli. Tabela 1-2. Liczba podsieci i host�w w zale�no�ci od d�ugo�ci maski i sieci Liczba podsieci w bloku sieci Efektywna liczba Liczba Maska podsieci 16 bit�w 20 bit�w 24 bity host�w bit�w 16 255.255.0.0 1 - - 65534 17 255.255.128.0 - - - 32766 18 255.255.192.0 2 - - 16382 19 255.255.224.0 6 - 8190 20 255.255.240.0 14 1 - 4094 21 255.255.248.0 30 - - 2046 22 255.255.252.0 62 2 - 1022 23 255.255.254.0 126 6 - 510 24 255.255.255.0 254 14 1 254 25 255.255.255.128 510 30 - 126 26 255.255.255.192 1022 62 2 62 27 255.255.255.224 2046 126 6 30 28 255.255.255.240 4094 254 14 14 29 255.255.255.248 8190 510 30 6 30 255.255.255.252 16382 1022 62 2 31 255.255.255.254 32766 2046 126 - 32 255.255.255.255 65534 4094 254 - 14 resy prywatne i publiczne Adresy prywatne i publiczne Powiedzia�em, �e adres IP musi jednoznacznie identyfikowa� host, ale nie okre�li�em, w jakim zakresie. Aby adres IP m�g� by� jednoznacznie u�ywany przez algorytm rutowania w celu okre�lenia trasy do punktu przeznaczenia, musi by� jednoznaczny w�r�d wszystkich sieci osi�galnych z danego hosta, przy wykorzystaniu protoko�u IP. Taki zbi�r sieci IP jest nazywany intersiecii}. Najlepiej znanym przyk�adem inter-sieci jest Internet. W sieci Internet unikalno�� adres�w IP zapewnia system ich przydzielania. Centralna w�adza administracyjna, znana jako Internet Registry, przydziela numer sieci do miejsca, kt�re do��czane jest do sieci Internet. Taki spos�b przydzielania adres�w gwarantuje, �e �adne inne miejsce w sieci nie b�dzie mia�o przydzielonego tego samego numeru sieci. Dlatego dop�ki jedna organizacja b�dzie przydziela�a r�ne numery poszczeg�lnym hostom w swojej sieci, ka�dy adres IP b�dzie unikalny. Tak wi�c Internet Registry zapewnia unikalne numery sieci, a u�ytkownicy tych sieci zapewniaj� unikalny przydzia� numer�w wewn�trz w�asnych sieci. Takie globalnie unikalne adresy znane s�jakopubliczne adresy IP. W zwi�zku z ogromnym wzrostem liczby komputer�w przy��czanych do sieci Internet istnia�y obawy dotycz�ce wyczerpywania si� przestrzeni adresowej IP. Tote� ustalono, �e pewien zestaw numer�w sieci IP zostanie przeznaczony do prywatnego adresowania host�w wewn�trz sieci wchodz�cych w sk�ad r�nych miejsc w Internecie. Sieci te nie s� przydzielane przez Internet Registry, lecz mo�na ich u�ywa� w ka�dym miejscu (do��czonym do sieci Internet lub nie), kt�re zdecyduje si� wykorzystywa� prywatn� przestrze� adresow�. Adresy IP musz� by� unikalne wewn�trz prywatnej sieci, ale ich unikalno�� nie jest gwarantowana pomi�dzy adresowanymi w ten spos�b sieciami prywatnymi. Dwie sieci prywatne mog� bez problemu u�ywa� tego samego numeru, a wi�c przydzieli� taki sam adres IP dw�m hostom (ka�dy z nich pracuje w innej sieci). Poniewa� adresy prywatne nie s� unikalne, komunikacja pomi�dzy adresowanymi w ten spos�b sieciami nie jest mo�liwa bez odpowiednich uzgodnie� administracji tych sieci, dotycz�cych przydzia�u poszczeg�lnych numer�w host�w. W wyniku skoordynowania przydzielanych w dw�ch sieciach adres�w prywatnych b�dziemy mieli do czynienia w�a�ciwie z jedn� prywatn� przestrzeni� adresow�. Niekt�re przedsi�biorstwa mog� czerpa� wiele korzy�ci z zalet prywatnych przestrzeni adresowych. S� w�r�d nich przedsi�biorstwa, kt�re raczej nie b�d� do��czone do Internetu, przedsi�biorstwa maj�ce du�� liczb� maszyn, kt�re wymagaj� specjalnych warunk�w bezpiecze�stwa i nie powinny by� og�lnie dost�pne, oraz przedsi�biorstwa, kt�re maj� wi�cej komputer�w ni� adres�w w przyznanej im ju� przestrzeni adresowej lub przestrzeni, o kt�r� mog� si� stara�. Przyk�adem podawanym przez zwolennik�w prywatnych adres�w jest du�e lotnisko, na kt�rym monitory wy�wietlaj�ce informacje o przylotach i odlotach maj� przydzielone adresy i s� dost�pne przez TCP/IP. Jest ma�o prawdopodobne, by monitory te by�y dost�pne z innych sieci. Innym przyk�adem jest firma, kt�rej przydzielono niewielk� przestrze� adres�w, maj�ca du�� liczb� komputer�w w sieci laboratoryjnej lub produkcyjnej. 15 Rozdzia� 1: Podstawy sieci lP Komputery te powinny mie� dost�p do wsp�lnych zasob�w korporacji, ale wyj�cie z nich do sieci zewn�trznych nie jest konieczne, a mo�e by� nawet niewskazane.* W takim przypadku prywatne adresy pozwalaj� zachowa� ograniczon� publiczn� pul� adresow�firmy. Adresy przeznaczone do prywatnego u�ytku wymienione zosta�y w tabeli 1-3. Adresy te nie s� unikalne w ca�ej sieci Internet, lecz tylko wewn�trz sieci przedsi�biorstwa, kt�re je stosuje. Hosty maj�ce prywatne adresy s� w stanie komunikowa� si� ze wszystkimi innymi hostami o adresach prywatnych, dzia�aj�cymi w przedsi�biorstwie, jak r�wnie� z hostami pracuj�cymi w sieci tego przedsi�biorstwa, kt�re maj� adresy publiczne. Hosty te nie mog�jednak komunikowa� si� z hostami pracuj�cymi w sieci innego przedsi�biorstwa. Tak�e hosty z adresami publicznymi mog� komunikowa� si� ze wszystkimi hostami o adresach publicznych, niezale�nie od tego, czy pracuj� one w sieci tego samego, czy innego przedsi�biorstwa, a tak�e z hostami o adresach prywatnych z sieci przedsi�biorstwa. Nie mog�jednak komunikowa� si� z hostami o prywatnych adresach pracuj�cymi w sieci innego przedsi�biorstwa. Tabela 1 -3. Adresy zarezerwowane jako prywatna przestrze� adresowa Pocz�tek Koniec Zapis bezklasowy 10.0.0.0172.16.0.0192.168.0.0 10.255.255.255172.31.255.255 192.168.255.255 10.0.0.0/8172.16.0.0/12 192.168.0.0/16 Na rysunku 1-6 pokazano trzy po��czone ze sob� przedsi�biorstwa. Przedsi�biorstwa A i B zastosowa�y adresy z prywatnej przestrzeni adresowej dla niekt�rych host�w i adresy publiczne dla innych host�w. Przedsi�biorstwo C postanowi�o u�ywa� tylko adres�w publicznych. Hosty adresowane z puli prywatnej w sieci przedsi�biorstwa A, takie jak A3, mog� komunikowa� si� z hostami wewn�trz przedsi�biorstwa A, ale nie mog� komunikowa� si� z �adnym hostem poza sieci� A, niezale�nie od tego, jak zaadresowane s� pracuj�ce tam komputery. Tak�e hosty adresowane z puli prywatnej w sieci przedsi�biorstwa B, takie jak B2, mog� komunikowa� si� z hostami wewn�trz przedsi�biorstwa B, niezale�nie od tego, czy maj� one adresy publiczne, jak Bl, czy te� prywatne, jak B3, ale nie mog� komunikowa� si� z �adnym hostem poza sieci� A. Natomiast hosty pracuj�ce w sieci przedsi�biorstwa C, kt�re maj� publiczne adresy, mog� komunikowa� si� ze wszystkimi hostami o publicznych adresach pracuj�cymi w trzech przedsi�biorstwach, ale nie mog� komunikowa� si� z adresowanymi z puli prywatnej hostami w przedsi�biorstwie A oraz B. *Z pocz�tku dla prywatnych adres�w u�ywano sieci testowej 192.0.2.0/24. Dalsze u�ycie tych adres�w jako sta�ych adres�w w sieciach prywatnych nie jest wskazane. Zamiast tego zaleca si� stosowanie adres�w zarezerwowanych dla adresowania prywatnych sieci. 16 Adresy prywatne i publiczne Nale�y pami�ta�, �e adresy prywatne nie s� unikalne w sensie globalnym. Na rysunku 1-6 host A3 m�g�by mie� ten sam adres IP co host B3. Dlatego ka�de przedsi�biorstwo, kt�re stosuje adresy prywatne musi post�powa� zgodnie z okre�lonymi zasadami. Zasady te oraz dodatkowe wskaz�wki zebrane s� w dokumencie RFC 1918. Przedstawi� je w skr�cie. � Informacje o rutowaniu sieci prywatnych nie mog� by� propagowane przez ��cza zewn�trzne przedsi�biorstwa (takie jak ��cze z Internetem lub ��cze prywatne z sieci� innego przedsi�biorstwa). � Pakiety zawieraj�ce adres �r�d�a lub adres przeznaczenia pochodz�ce z sieci prywatnej nie mog� by� przesy�ane takimi zewn�trznymi ��czami. � Odwo�ania po�rednie do takich adres�w (takie jak rekordy w tablicach DNS) musz� by� przechowywane wewn�trz sieci przedsi�biorstwa. I Admsy Publiczne I Adresy Prywatne Rysunek 1-6: Hosty o adresach prywatnych mog� komunikowa� si� tylko z hostami pracuj�cymi w sieci przedsi�biorstwa. Je�li chcesz dowiedzie� si� wi�cej na temat zasad stosowania adres�w prywatnych zapoznaj si� z dokumentem RFC 1918. Wskaz�wki, jak je zdoby�, znajduj� si� w dodatku B. Adresy prywatne nale�y stosowa� bardzo ostro�nie. U�ycie tego typu adres�w ma pewne zalety, np. przestrze� adresowa znacznie wi�ksza ni� przestrze�, jak� przedsi�biorstwo mo�e uzyska� w postaci puli adres�w publicznych, oraz wi�kszy stopie� bezpiecze�stwa sieci, w kt�rej stosowane s� takie adresy. Hosty z adresami prywatnymi nie s� ca�kowicie odporne na atak z sieci, ale przynajmniej znacznie trudniej je zlokalizowa� i zaatakowa� spoza sieci przedsi�biorstwa. Stosowanie tego typu adres�w nie jest wolne od wad. Podstawow� wad� jest konieczno�� zmiany adresu hosta, gdy chcemy, by z prywatnego sta� si� on hostem pracuj�cym w sieci o adresach publicznych. 17 Rozdzia� 1: Podstawy sieci IP Ponadto nale�y przedsi�wzi�� pewne �rodki ostro�no�ci, by informacje o strukturze prywatnych adres�w sieci nie wycieka�y na zewn�trz. Kolejn� wad� jest konieczno�� konfigurowania grup host�w pracuj�cych w innej klasie, kt�re b�d� mog�y komunikowa� si� z hostami pracuj�cymi w sieci Internet. Problem�w tych mo�na cz�ciowo unikn�� przez zastosowanie serwer�w proxy lub funkcji translatora adres�w (Network Address Tmnslator - N AT), ale nale�y pami�ta�, �e rozwi�zania te komplikuj� konfiguracj� sieci. Mog� tam powstawa� b��dy konfiguracyjne wp�ywaj�ce na prac� sieci. Ten ostatni pow�d doprowadzi� wielu u�ytkownik�w Internetu do wniosku, �e nie nale�y stosowa� adres�w prywatnych. Preferuj� oni raczej rozwi�zanie, kt�re doprowadzi do zlikwidowania problemu wyczerpuj�cych si� adres�w IP. Cho� takie podej�cie mo�na uzna� za w�a�ciwe jako rozwi�zanie docelowe, to na razie nie ma �adnych rozwi�za�, kt�re pomog�yby przedsi�biorstwom rozwi�za� problemy z adresacj� swoich host�w. Wierz�, �e przy w�a�ciwym podej�ciu i zrozumieniu problemu mo�liwe jest stosowanie prywatnych przestrzeni adresowych zar�wno w sieciach przedsi�biorstw, kt�re s� do��czone do Internetu, jak i tych, kt�re raczej si� do niego nie do��cz�. W ksi��ce tej we wszystkich przyk�adach u�ywane b�d� adresy prywatne. U podstaw tej decyzji le�y wiele powod�w. Nie chc� dostawa� poczt� elektroniczn� list�w od zagniewanych u�ytkownik�w, kt�rzy stosuj� podane w ksi��ce adresy. Przede wszystkim jednak chcia�em mie� pewno��, �e nie b�dziesz m�g� po prostu skopiowa� podanych w ksi��ce przyk�ad�w do plik�w konfiguracyjnych swojego rutera. W przeciwie�stwie do przyk�ad�w umieszczanych w innych ksi��kach O'Reilly, przyk�ady konfiguracji rutera musz� by� zaadaptowane do potrzeb Twojego miejsca; nie mo�na ich po prostu skopiowa�. Algorytm rutowania IP W sieci IP ka�de urz�dzenie podejmuje samodzielnie decyzje o rutowaniu. Wykorzystywany przy podejmowaniu tych decyzji algorytm jest taki sam, niezale�nie od tego, czy jest to host, czy te� ruter. Komputer wysy�aj�cy informacje nie musi definiowa� ca�ej drogi prowadz�cej przez sie� do punktu przeznaczenia. Musi jedynie wskaza� kolejne urz�dzenie lub przeskok, wchodz�cy w sk�ad pe�nej trasy. Nast�pnie pakiet wysy�any jest do wskazanego urz�dzenia, kt�re jest odpowiedzialne za wskazanie kierunku nast�pnego przeskoku prowadz�cego do punktu przeznaczenia. Proces ten jest powtarzany dot�d, a� pakiet b�dzie ostatecznie dostarczony do urz�dzenia, do kt�rego by� adresowany. Informacje o kolejnych przeskokach w kierunku adresu przeznaczenia przechowywane s� w tablicy rutowania. Ka�dy wiersz w tej tablicy opisuje jedn� sie� IP, podsie� lub hosta oraz adres kolejnego przeskoku, kt�ry tam prowadzi. 18 Algorytm rutowania IP Tradycyjne (klasowe) rutowanie IP Mimo �e wi�kszo�� ruter�w i wiele host�w potrafi nitowa� pakiety w bezklasowych sieciach IP, wiele host�w i niekt�re rutery nadal u�ywaj� algorytmu rutowania powi�zanego z klas� sieci, w kt�rej znajduje si� adres przeznaczenia. Ten klasowy algorytm rutowania jest nast�puj�cy: Foragiven destination IPaddress: if I have a host-specificroutefor this destination extract thenexthopaddress from therouting table entry sendthepacket tothe next hopaddress else determine the network nutnberofthe destination if I have an interface on that network determine the subnet mask for the network from my interface el se determine the subnet mask for the network from its class endif mask the destination address with the mask to get a subnet if I have on interface on that subnet sendthe packet directly tothe destination else if I have an entry in my routing table for the subnet extract the next hop address from the routing table entry sendthepacket to the next hop address else ifI haveadefault route in my routing table extract the next hop address from the routing table send the packet to the next hop address el se report that the destination is unreachable endif endif Algorytm najpierw dokonuje sprawdzenia trasy prowadz�cej bezpo�rednio do hosta. Trasa bezpo�rednia to umieszczony w tablicy rutowania zapis, kt�ry dok�adnie opisuje tras� do adresu IP, gdzie kierowany jest pakiet. Taki zapis mo�e by� u�ywany dla wskazania urz�dzenia pracuj�cego po drugiej stronie szeregowego ��cza punkt-punkt. Je�li trasa bezpo�rednia nie zostanie znaleziona w tablicy rutowania, algorytm pr�buje okre�li� mask� podsieci dla sieci przeznaczenia. W przypadku sieci odleg�ych (takich, do kt�rych wysy�aj�cy pakiety komputer nie jest bezpo�rednio do��czony) w tablicy rutowania nie ma informacji o u�ywanej masce podsieci, u�ywana jest wi�c naturalna maska z klasy sieci. Je�li mamy do czynienia z po��czeniem bezpo�rednim do sieci, maska okre�lana jest na podstawie konfiguracj interfejsu sieciowego hosta. Interfejs ten mo�e, lecz nie musi, by� do��czony do podsieci, w kt�rej znajduje si� adres przeznaczenia, ale algorytm zak�ada, �e maska sieci jest taka sama. W rezultacie nitowanie klasowe nie b�dzie poprawnie dzia�a�o w sieci, w kt�rej stosowane s� r�ne maski podsieci w r�nych obszarach, chyba �e sie� taka b�dzie bardzo starannie skonfigurowana przez administratora, tak by unikn�� niejednoznaczno