Частные адреса и система NAT.
Другое временное решение проблемы исчерпания адресного пространства заключается в использовании частных областей IP-адресов (RFC 1918). В эпоху протокола CIDR организации получали свои IP-адреса у провайдеров Интернет. Если организация хотела сменить провайдера, она должна была оплатить услуги по переадресации своих сетей. Дело в том, что провайдер предоставлял адресное пространство только своим клиентам. При смене провайдера можно было попытаться убедить старого провайдера оставить зарезервированные за организацией адреса и попросить нового провайдера настроить на них систему маршрутизации. Но обычно провайдеры не хотели заниматься подобными вещами и требовали от клиентов перерегистрации.
В противоположность этому частные адреса не известны провайдеру. Документ RFC1918 определил, что одна сеть класса А, 16 сетей класса В и 256 сетей класса С резервируются для частного использования и никогда не выделяются глобально. Это делается для того, чтобы пакеты, несущие в себе частные адреса, никогда не выходили в глобальную сеть. Их должен фильтровать маршрутизатор. В табл. 3 представлены диапазоны частных адресов (в последней колонке каждый диапазон представлен в более короткой нотации протокола C1DR). Из перечисленных диапазонов организации могут выбирать для себя сети нужного размера. В настоящее время такие IP-адреса называют «серыми».
Таблица 3. IP-адреса, зарезервированные для частного использования.
Класс | Начало диапазона | Конец диапазона | Диапазон в нотации CIDR |
A | 10.0.0.0 | 10.255.255.255 | 10.0.0.0/8 |
B | 172.16.0.0 | 176.31.255.255 | 172.16.0.0/12 |
C | 192.168.0.0 | 192.168.255.255 | 192.168.0.0/16 |
Чтобы узлы, использующие частные адреса, могли получать доступ в Интернет, на пограничном маршрутизаторе организации выполняется система NAT (Network Address Translation — трансляция сетевых адресов). Эта система перехватывает пакеты и заменяет в них адрес отправителя реальным внешним IP-адресом. Может также происходить замена номера порта. Система хранит таблицу преобразований между внутренними и внешними адресами/портами, чтобы ответные пакеты могли поступить правильному адресату.
Благодаря использованию номеров портов появляется возможность подключить несколько исходящих соединений к общему IP-адресу. Таким образом, группа внутренних узлов может совместно использовать одинаковый внешний IP-адрес. Иногда в организации достаточно иметь один-единственный «настоящий» внешний адрес.
Организация, использующая систему NAT, по-прежнему должна запрашивать диапазон адресов у провайдера, но большинство адресов теперь используется для внутрисистемных привязок и не назначается отдельным компьютерам. Если организация захочет сменить провайдера, потребуется лишь изменить конфигурацию пограничного маршрутизатора и системы NAT, но не самих компьютеров. Система NAT реализована в маршрутизаторах большинства фирм-производителей, включая Cisco. Можно также заставить непосредственно операционную систему выполнять функции NAT, хотя данный способ и не рекомендуется. Подобной способностью обладают операционные системы Red Hat и FreeBSD (строго говоря, Red Hat поддерживает систему PAT (Port Address Translation — трансляция адресов портов), а не NAT; IP-адрес машины, выполняющей трансляцию, используется в качестве единственного "внешнего" адреса, а номер исходящего порта служит основой для мультиплексирования соединений).
Неправильная конфигурация системы NAT может привести к тому, что пакеты с частными адресами начнут проникать в Интернет. Они достигнут узла назначения, но ответные пакеты не смогут прийти обратно. Организация CAIDA (Cooperative Association for Интернет Data Analysis — совместная ассоциация по анализу данных в сети Интернет), занимающаяся замером трафика магистральных сетей, сообщает о том, что 0.1-0.2% пакетов, проходящих через магистраль, имеют либо частные адреса, либо неправильные контрольные суммы. На первый взгляд, это кажется очень незначительным показателем, но на самом деле он приводит к тому, что через узел МАЕ-West (одна из основных точек обмена, через которую идет трафик различных провайдеров Интернет) каждые 10 минут проходит более 20000 «лишних» пакетов. Дополнительную информацию по статистике сети Интернет и средствам измерения производительности глобальной сети можно получить на Web-узле www.caida.org.
Особенностью системы NAT, которую можно рассматривать и как недостаток, и как преимущество, является то, что произвольный узел в сети Интернет не может напрямую подключиться к внутреннему компьютеру вашей организации. В некоторых реализациях (например, в брандмауэрах Cisco PIX) разрешается создавать туннели, которые поддерживают прямые соединения с выбранными узлами.
Другая проблема заключается в том, что некоторые приложения встраивают IP-адреса в информационную часть пакетов. Такие приложения (к ним относятся определенные протоколы маршрутизации, программы потоковой доставки данных RealVideo и SHOUTcast, FTP-команды PORT и PASV, сообщения ICQ и многие игры) не могут нормально работать совместно с NAT.
Система NAT скрывает внутреннюю структуру сети. Это может показаться достоинствам с точки зрения безопасности, но специалисты в данной области говорят, что на самом деле система NAT не обеспечивает должную безопасность и уж во всяком случае не устраняет потребность в брандмауэре. Кроме того, она препятствует попыткам оценить размеры и топологию сети Интернет.
Адресация в стандарте IPv6.
В IPv6 адрес имеет длину 128 битов (16 байтов). Изначально столь длинные адреса вводились для того, чтобы решить проблему сокращения адресного пространства IPv4. Сегодня они также служат целям маршрутизации и локализации ссылок.
IP-адреса никогда не были географически упорядочены подобно тому, как это имеет место в случае телефонных номеров или почтовых индексов.
Теперь, с внедрением в стандарт IPv6 понятия сегментации адресного пространства, IP-адреса стали, по крайней мере, группироваться в кластеры вокруг провайдеров Интернет.
Граница между сетевой и машинной частями адреса в IPv6 зафиксирована на отметке 64 бита. В сетевой части адреса граница между блоками общей и локальной топологии также зафиксирована и проходит на отметке 48 битов, как представлено в табл. 4.
Таблица 4. Формат адреса IPv6.
Полный адрес IPv6 (128 битов) | |||
Тип адреса | Префикс провайдера | Подсеть | Идентификатор узла |
3 бита | 45 битов | 16 битов | 64 бита |
В таблице 5 представлена интерпретация каждого компонента адреса в формате IPv6.
Таблица 5. Компоненты адреса IPv6.
Биты | Акроним | Интерпретация |
1-3 | FP | Format Prefix – префикс формата: определяет тип адреса, например, однонаправленный или групповой. |
4-16 | TLA ID | Тop-Level Aggregation ID – идентификатор агрегации верхнего уровня, например провайдера магистральной сети. |
17-24 | RES | Reserved – зарезервировано на будущее. |
25-48 | NLA ID | Next-Level Aggregation ID – идентификатор агрегации следующего уровня, например регионального провайдера Интернет или организации. |
49-64 | SLA ID | Side-Level Aggregation ID – идентификатор агрегации уровня организации, например локальной подсети. |
65-128 | INTERFACE ID | Идентификатор интерфейса (МАС-адрес плюс биты-заполнители). |
Из перечисленных элементов только идентификаторы SLA и INTERFACE "принадлежат" узлу и организации, в которой он находится. Другие идентификаторы предоставляются провайдером. Идентификатор SLA определяет локальную подсеть, а 64-разрядный идентификатор интерфейса определяет сетевую плату компьютера В последнем, как правило, содержится 48-разрядный МАС-адрес, внутрь которого вставлены два байта-заполнителя (0xFFFE). Специальный бит МАС-адреса (седьмой слева в старшем байте), называемый битом "и", определяет то, каким является этот адрес: универсальным или локальным (RFC2373). Его наличие позволяет автоматически нумеровать узлы, что очень удобно для администраторов, которым остается управлять только подсетями.
В IPv6 МАС-адреса видны на уровне IP, что имеет как положительные, так и отрицательные стороны. Тип и модель сетевой платы кодируются в первой половине МАС-адреса, что облетает задачу хакерам. Это вызвало беспокойство со стороны специалистов в области безопасности. Однако разработчики стандарта IPv6 указали на то, что использование МАС-адресов не является обязательным. Были предложены схемы включения случайного идентификатора в локальную часть адреса.
С другой стороны, назначать адреса IPv6 проще, чем адреса IPv4, так как нужно отслеживать только адрес подсети. Узлы могут самостоятельно конфигурировать себя (по крайней мере, теоретически).
Префикс формата определяет тип адреса: однонаправленный, групповой или широковещательный. Для однонаправленных адресов префикс равен 001 (в двоичной системе). Идентификаторы TLA и NLA определяют соответственно магистральный сервер верхнего уровня и локального провайдера Интернет.
Большинство поставщиков разрабатывает или уже внедрило в эксплуатацию собственный стек протоколов IPv6.
Подробную информацию о реализации стека IPv6 можно получить по адресу http://playground.sun.com/piJb/ipng/html/ipng-iniplementation.html
Вот несколько полезных источников информации, касающейся IPv6:
4. www.6bone.net — испытательный полигон для сетей IPv6;
5. www.6ren.net — всемирная научно-исследовательская и общеобразовательная сеть IPv6;
6. www.ipv6.org — список FAQ-документов и различная техническая информация;
7. www.ipv6forum.com — форум приверженцев IPv6.
Основное преимущество стандарта IPv6 заключается в том, что он решает проблему смены адресов. В пространстве IPv4 провайдеры выделяют адресные блоки своим клиентам, но эти адреса не являются переносимыми – когда клиент меняет провайдера, он должен вернуть старые адреса и запросить новые. В IPv6 новый провайдер просто предоставляет клиенту собственный адресный префикс, который добавляется к локальной части существующего адреса. Обычно это выполняется на одной машине: пограничном маршрутизаторе организации. Подобная схема напоминает систему NAT, но лишена ее недостатков.
ЗАКЛЮЧЕНИЕ
Протокол IPv6 предназначен для преодоления кризиса IP-адресов, однако его реализация достаточно сложна. Эффективность протокола CIDR и системы NAT, инертность существующей сети Интернет, а также сложность протокола IPv6 позволяют предположить, что глобальный переход на данную версию IP-протокола произойдет не скоро.
Интенсифицирующим фактором могут выступить страны Японии и Китая, особенно остро нуждающиеся в расширении адресного пространства. Кроме того, ускорить переход на IPv6 может появление каких-либо новых уникальных популярных систем, ориентированных на стандарт IPv6.
Кандидатами на эту роль могут быть WAP-терминалы или беспроводные устройства, встраивающие телефонные номера в адреса IPv6. Системы передачи голосовых данных по IP-сетям также выиграют от более близкого соответствия телефонных номеров и адресов IPv6.