Nettverksprotokollfamilie tcp ip. Nettverksprotokoller UDP, TCP, ICMP. Hva er en IP-adresse

Legg igjen en kommentar 6,950

Forelesning 3. TCP / IP stack. Grunnleggende protokoller TCP/IP

TCP / IP er den underliggende transportnettverksprotokollen. Begrepet "TCP / IP" refererer vanligvis til alt relatert til TCP- og IP-protokollene. Den spenner over hele protokollfamilien, applikasjonsprogrammer og til og med selve nettverket. Familien inkluderer UDP-protokoller, ARP, ICMP, TELNET, FTP og mange andre.

Arkitekturen til TCP / IP-protokollene er designet for et sammenkoblet nettverk som består av separate heterogene pakkeundernett koblet til hverandre via gatewayer, som forskjellige maskiner er koblet til. Hvert av undernettene fungerer i samsvar med sitt eget Spesifikke krav og har sin egen natur av kommunikasjonsmidler. Det antas imidlertid at hvert subnett kan motta en pakke med informasjon (data med en tilsvarende nettverksoverskrift) og levere den til en spesifisert adresse på det aktuelle subnettet. Subnettet er ikke pålagt å garantere obligatorisk pakkelevering og å ha en pålitelig ende-til-ende-protokoll. Dermed kan to maskiner koblet til samme subnett utveksle pakker.

TCP/IP-protokollstabelen har fire lag (figur 3.1).

Figur 3.1 - TCP / IP stack

Lag IV tilsvarer nettverkstilgangslaget, som opererer på grunnlag av standard fysisk og lenkelag som Ethernet, Token Ring, SLIP, PPP og andre. Protokollene til dette laget er ansvarlige for pakkeoverføring data på nettverket på maskinvarenivå.

Nivå III gir samvirkende når du overfører datapakker fra ett subnett til et annet. I dette tilfellet fungerer IP-protokollen.

Layer II er grunnleggende og fungerer over TCP-overføringskontrollprotokollen. Denne protokollen er nødvendig for pålitelig overføring av meldinger mellom hosted på forskjellige biler applikasjonsprogrammer på grunn av dannelsen av virtuelle forbindelser mellom dem.

Nivå I - brukt. TCP / IP-stakken har eksistert i lang tid, og den inkluderer et stort antall applikasjonslagsprotokoller og tjenester (overføringsprotokoll FTP-filer, Telnet-protokollen, Gopher-protokollen for tilgang til ressursene til det verdensomspennende GopherSpace, den mest kjente HTTP-protokoll for å få tilgang til eksterne hypertekstdatabaser i verdensveven og så videre.).

Alle stackprotokoller kan deles inn i to grupper: dataoverføringsprotokoller som overfører nyttelast mellom to parter; tjenesteprotokoller som kreves for riktig arbeid nettverk.

Tjenesteprotokoller bruker nødvendigvis en slags dataoverføringsprotokoll. For eksempel bruker tjenesteprotokollen ICMP IP-protokollen. Internett er en samling av alle tilkoblede datanettverk som bruker protokollene til TCP/IP-stakken.

Transportlagsfunksjoner. TCP, UDP-protokoller.

Det fjerde nivået i modellen er designet for å levere data uten feil, tap og duplisering i sekvensen etter hvert som de ble overført. I dette tilfellet spiller det ingen rolle hvilke data som overføres, fra hvor og hvor, det vil si at det gir selve overføringsmekanismen. Transportlaget tilbyr følgende typer tjenester:

- etablering av en transportforbindelse;

- data overføring;

- frakobling av transportforbindelsen.

Funksjoner utført av transportlaget:

- transformasjon av transportadressen til en nettverksadresse;

- multipleksing av transportforbindelser til nettverksforbindelser;

- etablere og bryte transportforbindelser;

- bestilling av datablokker etter individuelle tilkoblinger;

- oppdagelse av feil og nødvendig kontroll over kvaliteten på tjenestene;

- feilgjenoppretting;

- segmentering, sammenslåing og sammenkobling;

- dataflytkontroll for individuelle tilkoblinger;

- tilsynsfunksjoner;

- overføring av hastende transportdatablokker.

TCP gir en pålitelig tilkoblingsorientert pakkeleveringstjeneste.

TCP-protokoll:

- garanterer levering av IP-datagrammer;

- Utfører segmentering og remontering av store datablokker sendt av programmer;

- sikrer levering av datasegmenter i ønsket rekkefølge;

- sjekker integriteten til de overførte dataene ved hjelp av en kontrollsum;

- sender positive bekreftelser hvis dataene er mottatt. Ved å bruke selektive bekreftelser kan du også sende negative bekreftelser for data som ikke er mottatt;

- tilbyr den foretrukne transporten for programmer som krever pålitelige sesjonsbaserte dataoverføringer, som klient-server-databaser og e-postprogrammer.

TCP er basert på punkt-til-punkt kommunikasjon mellom to noder i et nettverk. TCP mottar data fra programmer og behandler det som en strøm av byte. Byte er gruppert i segmenter, som blir tildelt sekvensnumre av TCP for å sette sammen segmentene på riktig måte på destinasjonsnoden.

For at to TCP-noder skal kommunisere, må de først etablere en økt med hverandre. En TCP-sesjon initieres gjennom en prosess kalt et treveis håndtrykk, som synkroniserer sekvensnumre og formidler kontrollinformasjonen som er nødvendig for å etablere virtuell tilkobling mellom noder. Etter fullføring av denne håndtrykkprosessen, sendes og bekreftes pakker i sekvensiell rekkefølge mellom disse nodene. En lignende prosess brukes av TCP før du avslutter en tilkobling for å sikre at begge nodene er ferdige med å sende og motta data (Figur 3.2).

Figur 3.2 - TCP-segmentoverskriftsformat

Kildeport- og destinasjonsport-feltene er på 2 byte hver og identifiserer sendeprosessen til mottaksprosessen. Feltene for sekvensnummer og bekreftelsesnummer (4 byte lange) nummererer hver databyte som sendes eller mottas. Implementert som usignerte heltall som flush når de når maksimal verdi... Hver side opprettholder sin egen sekvensielle nummerering. Overskriftslengdefeltet er 4 biter langt og er lengden på TCP-segmentoverskriften, målt i 32-biters ord. Lengden på overskriften er ikke fast og kan variere avhengig av verdiene som er angitt i parameterfeltet. Reservefeltet tar 6 bits. Flaggfeltet er 6 bits langt og inneholder seks 1-bits flagg:

- URG-flagget (Urgent Pointer - precision pointer) er satt til 1 hvis det hastende datapekerfeltet brukes;

- ACK-flagget (Acknowledgement) er satt til 1 hvis bekreftelsesnummerfeltet inneholder data. V ellers dette feltet ignoreres;

- PSH (Push)-flagget betyr at den mottakende TCP-stakken umiddelbart bør informere applikasjonen om de mottatte dataene, og ikke vente til bufferen er full;

- RST (Reset)-flagget brukes til å avbryte tilkoblingen: på grunn av en applikasjonsfeil, avvisning av feil segment, forsøk på å opprette en tilkobling i fravær av den forespurte tjenesten;

- SYN (Synkroniser)-flagget settes når en tilkobling og synkronisering startes serienummer;

- FIN (Ferdig)-flagget brukes til å avslutte forbindelsen. Det indikerer at avsenderen er ferdig med å overføre data.

Vindusstørrelsesfeltet (lengde 2 byte) inneholder antall byte som kan sendes etter en byte som allerede er bekreftet. Kontrollsumfeltet (2 byte langt) tjener til å forbedre påliteligheten. Det inneholder sjekksum header, data og pseudo-header. Når du utfører beregninger, settes kontrollsumfeltet til null, og datafeltet fylles med en null byte hvis lengden er et oddetall. Sjekksumalgoritmen legger ganske enkelt alle 16-bits ord til tilleggskode og beregner deretter tillegget for hele beløpet.

UDP, som er en datagramprotokoll, implementerer tjeneste når det er mulig, det vil si at den ikke garanterer leveringen av meldingene, og kompenserer derfor på ingen måte for upåliteligheten til IP-datagramprotokollen. En UDP-dataenhet kalles en UDP-pakke eller brukerdatagram. Hvert datagram har en egen brukerdefinert melding. Dette fører til en begrensning: lengden på et UDP-datagram kan ikke overstige lengden på IP-datafeltet, som igjen er begrenset av størrelsen på teknologirammen lavere nivå... Derfor, hvis UDP-bufferen renner over, blir applikasjonsdataene forkastet. UDP-pakkehodet, som består av fire 2-byte felt, inneholder feltene kildeport, destinasjonsport, UDP-lengde og kontrollsum (figur 3.3).

Kildeporten og destinasjonsportfeltene identifiserer sende- og mottaksprosessene. UDP-lengdefeltet inneholder lengden UDP-pakke i byte. Kontrollsum-feltet inneholder kontrollsummen til UDP-pakken, beregnet over hele UDP-pakken med den tillagte pseudo-headeren.

Figur 3.3 - UDP-pakkehodeformat

Hovedlitteratur: 2

tilleggslitteratur: 7

Kontrollspørsmål:

1. Hvilken protokoll er TCP/IP i OSI?

2. Hva er TCP/IP-protokollarkitekturen for?

3. Hvilke lag har TCP/IP-stakken?

4. Hva er funksjonene til TCP Transmission Control Protocol?

5. Hva er forskjellene mellom TCP og UDP?

TCP / IP-protokoller Driftsgrunnlag globalt nettverk Internett. For å være mer presis er TCP / IP en liste eller stabel med protokoller, og faktisk et sett med regler som informasjon utveksles etter (pakkesvitsjemodellen er implementert).

I denne artikkelen vil vi analysere prinsippene for TCP / IP-protokollstabelen og prøve å forstå hvordan de fungerer.

Merk: Ofte brukes TCP / IP for å referere til et helt nettverk basert på disse to protokollene, TCP og IP.

I modellen av et slikt nettverk, i tillegg til hovedprotokollene TCP (transportlag) og IP (nettverkslagsprotokoll) inkluderer protokoller for applikasjons- og nettverksnivåer (se bilde). Men la oss gå direkte tilbake til TCP- og IP-protokollene.

Hva er TCP/IP-protokoller

TCP - Transfer Control Protocol... Overføringskontrollprotokoll. Den tjener til å sikre og etablere en pålitelig forbindelse mellom to enheter og pålitelig dataoverføring. I dette tilfellet kontrollerer TCP-protokollen optimal størrelse den overførte datapakken, utfører ny pakke hvis overføringen mislykkes.

IP - Internett-protokoll. Internet Protocol eller Address Protocol er ryggraden i hele dataoverføringsarkitekturen. IP brukes til å levere nettverkspakke data på riktig adresse... I dette tilfellet er informasjonen delt inn i pakker, som uavhengig beveger seg gjennom nettverket til ønsket destinasjon.

TCP / IP-protokollformater

IP-protokollformat

Det er to formater for IP-adresser til IP-protokollen.

IPv4-format. Det er et 32-bits binært tall. En praktisk form for notasjon av IP-adressen (IPv4) er en oppføring i form av fire grupper desimaltall(fra 0 til 255), atskilt med prikker. For eksempel: 193.178.0.1.

IPv6-format. Det er et 128-bits binært tall. Vanligvis er IPv6-adresser allerede skrevet i form av åtte grupper. Hver gruppe har fire heksadesimale sifre atskilt med kolon. Eksempel IPv6-adresse 2001: 0db8: 85a3: 08d3: 1319: 8a2e: 0370: 7889.

Hvordan TCP/IP-protokoller fungerer

Hvis det er praktisk, forestill deg å overføre datapakker på nettverket som å sende et brev med posten.

Hvis det er upraktisk, se for deg to datamaskiner koblet sammen med et nettverk. Dessuten kan tilkoblingsnettverket være et hvilket som helst lokalt eller globalt. Det er ingen forskjell i prinsippet om dataoverføring. En datamaskin på et nettverk kan også betraktes som en vert eller node.

IP-protokoll

Hver datamaskin i nettverket har sin egen unike adresse. På det globale Internett har en datamaskin denne adressen, som kalles en IP-adresse (Internet Protocol Address).

I likhet med post, IP adresse dette er husnummeret. Men husnummeret er ikke nok til å motta brevet.

Informasjonen som overføres over nettverket overføres ikke av datamaskinen som sådan, men av applikasjonene som er installert på den. Slike applikasjoner er e-postserver, webserver, FTP, etc. For å identifisere pakken med overført informasjon, er hver søknad vedlagt spesifikk port... For eksempel: en webserver lytter på port 80, FTP lytter på port 21, en SMTP-postserver lytter på port 25, en POP3-server leser postbokser på port 110.

Således, i adressepakken i TCP / IP-protokollen, vises en annen linje i adressatene: port. Analog med post - porten er leilighetsnummeret til avsenderen og adressaten.

Eksempel:

Kildeadresse:

IP: 82.146.47.66

Ankomstadresse:

IP: 195.34.31.236

Det er verdt å huske: IP-adresse + portnummer - kalt "socket". I eksemplet ovenfor: fra socket 82.146.47.66:2049 sendes en pakke til socket 195.34.31.236: 53.

TCP-protokoll

TCP er neste lag etter IP. Denne protokollen er ment å kontrollere overføringen av informasjon og dens integritet.

For eksempel er den overførte informasjonen delt opp i separate pakker. Pakkene vil bli levert til mottakeren uavhengig. Under overføringen ble ikke en av pakkene overført. TCP gir videresendinger til mottakeren mottar denne pakken.

TCP-transport skjuler fra protokoller toppnivå(fysisk, kanal, nettverks-IP alle problemer og detaljer om dataoverføring).

Internett er basert på et sett (stabel) med TCP/IP-protokoller. Men disse begrepene virker kompliserte bare ved første øyekast. Faktisk TCP / IP-protokollstabel er et enkelt sett med regler for utveksling av informasjon, og reglene er faktisk godt kjent for deg, selv om du sannsynligvis ikke vet om det. Ja, det er akkurat slik det er, i hovedsak er prinsippene som ligger til grunn for TCP / IP-protokollene ikke noe nytt: alt nytt er godt glemt gammelt.

En person kan lære på to måter:

Gjennom stump formell propp av stereotype løsninger typiske oppgaver(som nå for det meste undervises på skolen). Slik trening er ineffektiv. Sikkert måtte du observere panikken og fullstendig hjelpeløshet til regnskapsføreren når du endrer versjonen av kontorprogramvare - ved den minste endring i sekvensen av museklikk som kreves for å utføre de vanlige handlingene. Eller måtte du se en person falle i stupor når du endret skrivebordsgrensesnittet?
Gjennom å forstå essensen av problemer, fenomener, mønstre. Gjennom forståelse prinsipper bygge et bestemt system. I dette tilfellet spiller ikke besittelsen av encyklopedisk kunnskap noen stor rolle - den manglende informasjonen er lett å finne. Det viktigste er å vite hva du skal se etter. Og dette krever ikke formell kunnskap om emnet, men en forståelse av essensen.

I denne artikkelen foreslår jeg å gå den andre veien, siden å forstå prinsippene som ligger til grunn for Internett vil gi deg muligheten til å føle deg trygg og fri på Internett - raskt løse nye problemer, formulere problemer riktig og trygt kommunisere med teknisk støtte.

Så la oss begynne.

Prinsippene for drift av Internett-protokollene TCP / IP er iboende veldig enkle og ligner sterkt arbeidet til vår sovjetiske post.

Husk hvordan vår vanlige post fungerer. Først skriver du et brev på et stykke papir, legger det så i en konvolutt, limer det, på baksiden av konvolutten skriver du adressene til avsender og mottaker, og tar det så med til nærmeste postkontor. Deretter går brevet gjennom en kjede av postkontorer til nærmeste postkontor til mottakeren, hvorfra det leveres av tante-postbudet til mottakerens oppgitte adresse og sendes i postkassen hans (med nummeret på leiligheten hans) eller leveres i person. Alt, brevet nådde mottakeren. Når mottakeren av brevet ønsker å svare deg, vil han bytte adressene til mottakeren og avsenderen i sitt svarbrev, og brevet sendes til deg langs samme kjede, men i motsatt retning.

Konvolutten til brevet vil si noe sånt som dette:

Avsenderadresse: Fra hvem: Ivanov Ivan Ivanovich Hvor: Ivanteevka, st. Bolshaya, 8, leilighet. 25 Adresse til mottakeren: Til hvem: Petrov Petr Petrovitsj Hvor: Moskva, Usachevsky-bane, 105, leilighet. 110

Nå er vi klare til å vurdere samspillet mellom datamaskiner og applikasjoner på Internett (og i et lokalt nettverk også). Merk at analogien med med vanlig post vil være nesten komplett.

Hver datamaskin (aka: node, vert) på Internett har også en unik adresse kalt IP-adressen (Internet Protocol Address), for eksempel: 195.34.32.116. En IP-adresse består av fire desimaltall (0 til 255) atskilt med punktum. Men å vite bare IP-adressen til en datamaskin er fortsatt ikke nok, siden til syvende og sist er det ikke datamaskinene selv som utveksler informasjon, men applikasjonene som kjører på dem. Og flere applikasjoner kan kjøres samtidig på en datamaskin (for eksempel en e-postserver, en webserver osv.). For levering av et vanlig papirbrev er det ikke nok å bare vite adressen til huset - du må også vite leilighetsnummeret. Hver programvareapplikasjon har også et lignende nummer kalt et portnummer. Flertall serverapplikasjoner ha standard rom, for eksempel: Posttjeneste er bundet til port 25 (de sier også: "lytter" til porten, mottar meldinger på den), nettjenesten er bundet til port 80, FTP - til port 21, og så videre.

Dermed har vi følgende nesten fullstendige analogi med vår vanlige postadresse:

"husadresse" = "datamaskinens IP" "leilighetsnummer" = "portnummer"

I datanettverk som bruker TCP / IP-protokoller, er analogen til et papirbrev i en konvolutt plastpose, som inneholder de faktiske overførte dataene og adresseinformasjonen - avsenderens adresse og mottakerens adresse, for eksempel:

Kildeadresse: IP: 82.146.49.55 Port: 2049 Ankomstadresse: IP: 195.34.32.116 Port: 53 Pakkedata: ...

Pakkene inneholder selvfølgelig også serviceinformasjon, men dette er ikke viktig for å forstå essensen.

Legg merke til kombinasjonen: "IP-adresse og portnummer" - kalt "stikkontakt".

I vårt eksempel sender vi en pakke fra socket 82.146.49.55:2049 til socket 195.34.32.116:53, dvs. pakken vil gå til datamaskinen med IP-adressen 195.34.32.116, på port 53. Og port 53 tilsvarer navneoppløsningsserveren (DNS-serveren), som vil motta denne pakken. Ved å kjenne avsenderens adresse vil denne serveren, etter å ha behandlet vår forespørsel, kunne danne en svarpakke som vil gå i motsatt retning av avsenderens socket 82.146.49.55:2049, som for DNS-serveren vil være mottakerens socket.

Som regel utføres interaksjonen i henhold til "klient-server"-skjemaet: "klienten" ber om litt informasjon (for eksempel en nettside), serveren mottar forespørselen, behandler den og sender resultatet. Portnumrene til serverapplikasjoner er velkjente, for eksempel: en SMTP-postserver "lytter" på port 25, en POP3-server som leser e-post fra postkassene dine "lytter" på port 110, en webserver på port 80, etc.

De fleste programmer på hjemmedatamaskin er klienter - for eksempel e-postklient Outlook, IE nettlesere, FireFox, etc.

Portnumre på klienten er ikke faste som på serveren, men tilordnes dynamisk av operativsystemet. Faste serverporter er vanligvis nummerert opp til 1024 (men det finnes unntak), og klientporter er vanligvis nummerert etter 1024.

Repetisjon er læringens mor: IP er adressen til en datamaskin (node, vert) på nettverket, og port er nummeret til en spesifikk applikasjon som kjører på denne datamaskinen.

Imidlertid er det vanskelig for en person å huske digitale IP-adresser - det er mye mer praktisk å jobbe med alfabetiske navn. Tross alt er det mye lettere å huske et ord enn et sett med tall. Og så ble det gjort - enhver numerisk IP-adresse kan assosieres med et alfanumerisk navn. Som et resultat, for eksempel, i stedet for 82.146.49.55, kan du bruke navn A; domenenavntjenesten - DNS (Domain Name System) - er ansvarlig for å konvertere domenenavnet til en digital IP-adresse.

La oss se nærmere på hvordan det fungerer. Leverandøren din er tydelig (på et stykke papir, for manuell innstilling forbindelser) eller implisitt (via automatisk tuning forbindelser) gir deg IP-adressen til navneserveren (DNS). På datamaskinen med denne IP-adressen kjører en applikasjon (navneserver) som kjenner alle domenenavn på Internett og deres tilsvarende numeriske IP-adresser. DNS-serveren "lytter" til port 53, aksepterer forespørsler om den og gir svar, for eksempel:

Forespørsel fra datamaskinen vår: "Hvilken IP-adresse tilsvarer navnet www.site?" Serversvar: "82.146.49.55."

La oss nå se på hva som skjer når du skriver i nettleseren din Domenenavn(URL) til dette nettstedet () og ved å klikke , som svar mottar du en side på dette nettstedet fra webserveren.

For eksempel:

IP-adressen til datamaskinen vår: 91.76.65.216 Nettleser: Internet Explorer(IE), DNS-server (stream): 195.34.32.116 (du kan ha en annen), Siden vi ønsker å åpne: www.site.

Vi skriver inn adressefeltet nettleserdomenenavn og klikk ... Lengre operativsystem utfører omtrent følgende handlinger:

En forespørsel sendes (mer presist, en pakke med en forespørsel) DNS-server til socket 195.34.32.116:53. Som diskutert ovenfor, tilsvarer port 53 DNS-serveren, navneoppløsningsapplikasjonen. Og DNS-serveren, etter å ha behandlet forespørselen vår, returnerer IP-adressen som samsvarer med det angitte navnet.

Dialogen er omtrent som følgende:

Hvilken IP-adresse tilsvarer navnet www.nettsted? - 82.146.49.55 .

Deretter oppretter datamaskinen vår en tilkobling til porten 80 datamaskin 82.146.49.55 og sender en forespørsel (forespørselspakke) om å motta siden. Den 80. porten tilsvarer webserveren. Som regel er port 80 ikke skrevet i adressefeltet til nettleseren. brukes som standard, men det kan også spesifiseres eksplisitt etter kolon -.

Etter å ha akseptert forespørselen fra oss, behandler webserveren den og sender oss en side i flere pakker videre HTML-språk- et tekstmarkeringsspråk som nettleseren forstår.

Nettleseren vår, etter å ha mottatt siden, viser den. Som et resultat ser vi på skjermen hjemmeside av denne siden.

Hvorfor skal disse prinsippene forstås?

For eksempel la du merke til det merkelig oppførsel datamaskinen min er uforståelig nettverksaktivitet, bremser osv. Hva skal jeg gjøre? Åpne konsollen (trykk på "Start" - "Kjør" - skriv cmd - "Ok"). Skriv inn kommandoen i konsollen netstat -an og klikk ... Dette verktøyet vil vise en liste etablerte forbindelser mellom kontaktene på datamaskinen vår og kontaktene til eksterne noder. Hvis vi ser i kolonnen " Ekstern adresse»Noen andres IP-adresser, og gjennom et kolon den 25. porten, hva kan dette bety? (Husk at port 25 tilsvarer e-postserveren?) Dette betyr at datamaskinen din har opprettet forbindelse med noen e-postserver(servere) og sender noen brev gjennom den. Og hvis e-postklienten din (for eksempel Outlook) ikke kjører på dette tidspunktet, og hvis det fortsatt er mange slike tilkoblinger på port 25, så har det sannsynligvis startet opp et virus på datamaskinen din som sender spam på dine vegne eller videresender kredittkortnumrene dine sammen med passord for nettkriminelle.

Dessuten er en forståelse av prinsippene til Internett nødvendig for riktig innstilling brannmur (med andre ord brannmur :)). Dette programmet (som ofte kommer med antivirusprogramvare) er laget for å filtrere pakker – «vennlig» og «fiende». Å slippe ditt eget folk gjennom, ikke å slippe andre inn. For eksempel hvis brannmuren din forteller deg at noen vil opprette en tilkobling til en port på datamaskinen din. Tillate eller nekte?

Og viktigst av alt, denne kunnskapen er ekstremt nyttig når du kommuniserer med teknisk støtte.

Til slutt, her er en liste over portene du sannsynligvis vil møte:

135-139 - disse portene brukes av Windows for å få tilgang til delte datamaskinressurser - mapper, skrivere. Ikke åpne disse portene til utsiden, dvs. til det regionale lokalnettet og Internett. De bør lukkes med en brannmur. Dessuten, hvis du på det lokale nettverket ikke ser noe i nettverksmiljøet eller de ikke ser deg, så er dette sannsynligvis på grunn av det faktum at brannmuren har blokkert disse portene. Derfor, for det lokale nettverket, må disse portene være åpne og lukkede for Internett. 21 - havn FTP server. 25 - posthavn SMTP server. Gjennom den sender e-postklienten brev. IP adresse SMTP-server og porten (25.) bør spesifiseres i innstillingene til e-postklienten. 110 - havn POP3 server. Gjennom den henter e-postklienten brev fra din postkasse... IP-adressen til POP3-serveren og dens port (110.) bør også spesifiseres i innstillingene til e-postklienten. 80 - havn WEB-server. 3128, 8080 - proxy-servere (konfigurert i nettleserinnstillingene).

Flere spesielle IP-adresser:

127.0.0.1 er localhost, adressen til det lokale systemet, dvs. lokal adresse din datamaskin. 0.0.0.0 - dette er hvordan alle IP-adresser er utpekt. 192.168.xxx.xxx - adresser som kan brukes vilkårlig i lokale nettverk, de brukes ikke på det globale Internett. De er unike bare innenfor det lokale nettverket. Du kan bruke adresser fra dette området etter eget skjønn, for eksempel for å bygge et hjemme- eller kontornettverk.

Hva er nettverksmaske og standard gateway (ruter, ruter)?

(Disse parameterne angis ine).

Det er enkelt. Datamaskiner er kombinert til lokale nettverk... I et lokalt nettverk "ser" datamaskiner bare hverandre direkte. Lokale nettverk er koblet til hverandre gjennom gatewayer (rutere, rutere). Subnettmasken brukes til å avgjøre om mottaksdatamaskinen tilhører det samme lokale nettverket eller ikke. Hvis mottakerdatamaskinen tilhører samme nettverk som avsenderdatamaskinen, overføres pakken direkte til den, ellers sendes pakken til standardgatewayen, som deretter, langs rutene som er kjent for den, overfører pakken til et annet nettverk, dvs til et annet postkontor (i analogi med den sovjetiske posten).

Tenk til slutt på hva de uforståelige begrepene betyr:

TCP/IP er navnet på et sett med nettverksprotokoller. Faktisk går den overførte pakken gjennom flere lag. (Som på posten: først skriver du et brev, så legger du det i en konvolutt med adresse, så settes det frimerke på posten osv.).

IP protokoll er en såkalt nettverkslagsprotokoll. Oppgaven til dette nivået er å levere ip-pakker fra avsenderens datamaskin til mottakerens datamaskin. I tillegg til selve dataene har pakker på dette nivået avsenderens ip-adresse og mottakerens ip-adresse. Portnummer på nettverkslaget ikke brukes. Hvilken havn, dvs. applikasjonen adresserte denne pakken, om denne pakken ble levert eller gikk tapt, på dette nivået er det ikke kjent - dette er ikke dens oppgave, det er transportlagets oppgave.

TCP og UDP er protokoller for det såkalte transportlaget. Transportlaget er over nettverkslaget. På dette nivået legges senderporten og mottakerporten til pakken.

TCP er en tilkoblingsorientert protokoll med garantert pakkelevering. Først utveksles spesialpakker for å etablere en forbindelse, noe sånt som et håndtrykk skjer (-Hei. -Hei. -La oss snakke? -Kom igjen.). Videre sendes pakker frem og tilbake over denne forbindelsen (det er en samtale), og med en sjekk om pakken har nådd mottakeren. Hvis pakken ikke har ankommet, sendes den igjen ("gjenta, hørte ikke").

UDP er en forbindelsesløs protokoll med ikke-garantert pakkelevering. (Som: han ropte noe, men det spiller ingen rolle om de hører deg eller ikke).

Over transportnivået er påføringslag... På dette nivået kan protokoller som f.eks http, ftp og så videre. For eksempel bruker HTTP og FTP den pålitelige TCP-protokollen, mens DNS-serveren opererer over den upålitelige UDP-protokollen.

Hvordan kan jeg se gjeldende tilkoblinger?

Gjeldende tilkoblinger kan vises ved hjelp av kommandoen

Netstat -an

(n-parameteren instruerer å vise IP-adresser i stedet for domenenavn).

Denne kommandoen kjøres som følger:

"Start" - "Kjør" - vi skriver cmd - "Ok". I konsollen som vises ( svart vindu) skriv inn kommandoen netstat -an og klikk ... Resultatet vil være en liste over etablerte forbindelser mellom kontaktene på datamaskinen vår og eksterne noder.

For eksempel får vi:

Aktive forbindelser

Navn	Lokal adresse	Ekstern adresse	Stat
TCP	0.0.0.0:135	0.0.0.0:0	LYTTET
TCP	91.76.65.216:139	0.0.0.0:0	LYTTET
TCP	91.76.65.216:1719	212.58.226.20:80	ETABLERT
TCP	91.76.65.216:1720	212.58.226.20:80	ETABLERT
TCP	91.76.65.216:1723	212.58.227.138:80	CLOSE_WAIT
TCP	91.76.65.216:1724	212.58.226.8:80	ETABLERT

...

I dette eksemplet betyr 0.0.0.0:135 - at datamaskinen vår lytter (LYTTER) til den 135. porten på alle IP-adressene og er klar til å akseptere tilkoblinger fra hvem som helst (0.0.0.0-0) på den via TCP-protokollen.

91.76.65.216:139 - datamaskinen vår lytter på port 139 på IP-adressen 91.76.65.216.

Den tredje linjen betyr at det nå er opprettet en forbindelse (ETABLISERT) mellom maskinen vår (91.76.65.216:1719) og den eksterne (212.58.226.20:80). Port 80 betyr at maskinen vår har sendt en forespørsel til webserveren (jeg har egentlig sider åpne i nettleseren min).

I de følgende artiklene skal vi se på hvordan man for eksempel kan anvende denne kunnskapen

Systemadministrasjon,

Kommunikasjonsstandarder

Anta at du er dårlig dyktig nettverksteknologier og vet ikke engang elementære fundamenter... Men du fikk en oppgave: å bygge et informasjonsnettverk i en liten bedrift så snart som mulig. Du har verken tid eller lyst til å studere tykke Talmuds om nettverksdesign, bruksanvisning nettverksutstyr og dykke ned i nettverksikkerhet... Og viktigst av alt, i fremtiden har du ikke noe ønske om å bli en profesjonell på dette feltet. Da er denne artikkelen for deg.

Den andre delen av denne artikkelen, hvor det vurderes praktisk bruk det grunnleggende skissert her:

Forstå protokollstakken

Oppgaven er å overføre informasjon fra punkt A til punkt B. Den kan overføres kontinuerlig. Men oppgaven blir mer komplisert hvis det er nødvendig å overføre informasjon mellom punkt A<-->B og A<-->C over samme fysiske kanal. Hvis informasjon vil bli overført kontinuerlig, så når C ønsker å overføre informasjon til A, må han vente til B fullfører overføringen og frigjør kommunikasjonskanalen. Denne informasjonsoverføringsmekanismen er svært upraktisk og upraktisk. Og for å løse dette problemet ble det besluttet å dele informasjonen i porsjoner.

På mottakeren må disse delene settes sammen til én helhet, for å motta informasjonen som kom ut fra avsenderen. Men på mottaker A ser vi nå deler av informasjon fra både B og C blandet sammen. Dette betyr at et identifikasjonsnummer må legges til hver del slik at mottaker A kan skille informasjonsdelene fra B fra informasjonsdelene fra C og samle disse delene inn i den opprinnelige meldingen. Det er klart at mottakeren må vite hvor og i hvilken form avsenderen tildelte identifikasjonsdata til den opprinnelige informasjonen. Og for dette må de utvikle visse regler for dannelse og skriving av identifikasjonsinformasjon. Videre vil ordet "regel" bli erstattet med ordet "protokoll".

For å møte behovene til moderne forbrukere, er det nødvendig å spesifisere flere typer identifikasjonsinformasjon samtidig. Og det er også nødvendig å beskytte de overførte delene av informasjon fra både tilfeldig interferens (under overføring over kommunikasjonslinjer), og fra bevisst sabotasje (hacking). For dette er en del av den overførte informasjonen supplert med en betydelig mengde spesiell serviceinformasjon.

Ethernet-protokollen inneholder nummeret nettverksadapter avsender (MAC-adresse), destinasjons-NIC-nummer, type data som skal overføres og direkte overførte data. Informasjonen som er kompilert i henhold til Ethernet-protokollen kalles en ramme. Det anses at det ikke finnes nettverkskort med samme nummer. Nettverksutstyret trekker ut de overførte dataene fra rammen (maskinvare eller programvare), og utfører videre behandling.

Som regel er de utpakkede dataene på sin side dannet i samsvar med IP-protokollen og har en annen type identifiseringsinformasjon - mottakerens ip-adresse (et 4-byte-nummer), avsenderens ip-adresse og data. Og også mye annen nødvendig serviceinformasjon. Data generert i samsvar med IP-protokollen kalles pakker.

Deretter hentes dataene fra pakken. Men selv disse dataene er som regel ikke opprinnelig sendt data ennå. Denne informasjonen er også satt sammen i henhold til en bestemt protokoll. Mest brukt TCP-protokoll... Den inneholder identifikasjonsinformasjon som avsenderens port (et to-byte nummer) og kildeporten, samt data og tjenesteinformasjon. De ekstraherte dataene fra TCP er som regel dataene som programmet som kjører på datamaskin B sendte til "mottakerprogrammet" på datamaskin A.

Kompleksiteten til protokollene (i i dette tilfellet TCP over IP over Ethernet) kalles protokollstakken.

ARP: Address Resolution Protocol

Det er nettverk i klasse A, B, C, D og E. De er forskjellige i antall datamaskiner og antall mulige nettverk/undernett i dem. For enkelhets skyld, og som det vanligste tilfellet, vil vi bare vurdere et klasse C-nettverk, hvis IP-adresse begynner med 192.168. Det neste nummeret vil være subnettnummeret, etterfulgt av nettverksutstyrsnummeret. For eksempel vil en datamaskin med IP-adressen 192.168.30.110 sende informasjon til en annen datamaskin med nummer 3, som ligger i det samme logiske subnettet. Dette betyr at mottakerens ip-adresse vil være: 192.168.30.3

Det er viktig å forstå at noden informasjonsnettverk er en datamaskin koblet sammen med en fysisk kanal med koblingsutstyr. De. hvis vi sender data fra nettverksadapteren "etter ønske", så har de en måte - de kommer ut fra den andre enden av det tvunnede paret. Vi kan sende absolutt alle data dannet i henhold til en hvilken som helst regel vi har oppfunnet, verken spesifisere en ip-adresse, eller mac adresse og ingen andre attributter. Og hvis denne andre enden er koblet til en annen datamaskin, kan vi ta dem dit og tolke etter behov. Men hvis denne andre enden er koblet til svitsjen, må i dette tilfellet informasjonspakken dannes i henhold til strengt definerte regler, som om å gi svitsjen instruksjoner om hva du skal gjøre videre med denne pakken. Hvis pakken er riktig utformet, vil bryteren sende den videre, til en annen datamaskin, som angitt i pakken. Deretter vil bryteren fjerne denne pakken fra sin tilfeldig tilgangsminne... Men hvis pakken ikke var riktig utformet, dvs. instruksjonene i den var feil, så "dør" pakken, dvs. bryteren vil ikke sende den noe sted, men vil umiddelbart slette den fra RAM-en.

For å overføre informasjon til en annen datamaskin, må tre identifikasjonsverdier spesifiseres i den sendte informasjonspakken - mac-adresse, ip-adresse og port. Relativt sett er en port et tall som operativsystemet gir til hvert program som ønsker å sende data til nettverket. Mottakerens ip-adresse legges inn av brukeren, eller programmet mottar den selv, avhengig av programmets spesifikasjoner. Mac-adressen forblir ukjent, dvs. nettverksadapternummeret til mottakerens datamaskin. For å få de nødvendige dataene sendes en "broadcast"-forespørsel, sammensatt i henhold til den såkalte "resolution protocol" ARP-adresser". Nedenfor er strukturen til en ARP-pakke.

Nå trenger vi ikke å vite verdiene til alle feltene i bildet ovenfor. La oss bare dvele ved de viktigste.

Feltene inneholder ip-adressen til kilden og ip-adressen til destinasjonen, samt mac-adressen til kilden.

Feltet Ethernet-destinasjonsadresse er fylt med enere (ff: ff: ff: ff: ff: ff). En slik adresse kalles en kringkastingsadresse, og en slik buderramme sendes til alle "grensesnitt på kabelen", d.v.s. alle datamaskiner koblet til bryteren.

Bryteren, etter å ha mottatt en slik kringkastingsramme, sender den til alle datamaskiner på nettverket, som om den adresserer alle med spørsmålet: "Hvis du er eieren av denne ip-adressen (destinasjons-ip-adressen), vennligst fortell meg mac-adressen din. " Når en annen datamaskin mottar en slik ARP-forespørsel, sjekker den destinasjons-IP-adressen mot sin egen. Og hvis det stemmer, så setter datamaskinen, i stedet for enhetene, inn mac-adressen sin, bytter ip- og mac-adressene til kilden og destinasjonen, endrer noe tjenesteinformasjon og sender pakken tilbake til svitsjen, og det tilbake til original datamaskin, initiativtakeren til ARP-forespørselen.

Dermed lærer datamaskinen din mac-adressen til en annen datamaskin du vil sende data til. Hvis det er flere datamaskiner på nettverket som svarer på denne ARP-forespørselen, får vi en "ip-adressekonflikt". I dette tilfellet er det nødvendig å endre ip-adressen på datamaskinene slik at nettverket ikke har samme ip-adresser.

Bygge nettverk

Oppgaven med å bygge nettverk

I praksis er det som regel nødvendig å bygge et nettverk, hvor antall datamaskiner vil være minst hundre. Og bortsett fra fildelingsfunksjoner, må nettverket vårt være sikkert og enkelt å administrere. Når du bygger et nettverk, kan tre krav derfor skilles:

Enkel administrasjon. Hvis regnskapsføreren Lida blir overført til et annet kontor, vil hun fortsatt trenge tilgang til datamaskinene til regnskapsførerne Anna og Yulia. Og med feil konstruksjon av informasjonsnettverket hans, kan administratoren få problemer med å gi Lida tilgang til datamaskinene til andre regnskapsførere på hennes nye sted.
Sikkerhet. For å sikre sikkerheten til nettverket vårt, tilgangsrettigheter til informasjonsressurser må avgrenses. Dessuten må nettverket beskyttes mot trusler om avsløring, integritet og tjenestenekt. Les mer i boken "Angrep på Internett" av forfatteren Ilya Davidovich Medvedovsky, kapittel "Grunnleggende konsepter for datasikkerhet".
Nettverkshastighet. Når du bygger nettverk, er det et teknisk problem - avhengigheten av overføringshastigheten på antall datamaskiner i nettverket. Jo flere datamaskiner, jo lavere hastighet. Med et stort antall datamaskiner kan nettverksytelsen bli så treg at det blir uakseptabelt for kunden.

Hva får nettverkshastigheten til å reduseres med et stort antall datamaskiner? – grunnen er enkel: på grunn av et stort antall kringkastingsmeldinger (AL). AL er en melding som, når den kommer til svitsjen, sendes til alle verter på nettverket. Eller grovt sett alle datamaskiner på subnettet ditt. Hvis det er 5 datamaskiner i nettverket, vil hver datamaskin motta 4 AL. Hvis det er 200 av dem, så hver datamaskin i slike stort nettverk vil motta 199 AL.

Det er mange applikasjoner tilgjengelig, programvaremoduler og tjenester som sender kringkastingsmeldinger til nettverket for deres arbeid. Beskrevet i ARP-klausulen: adressebestemmelsesprotokollen er bare en av mange AL-er som sendes av datamaskinen din til nettverket. For eksempel når du går til " nettverksmiljø"(Windows OS), datamaskinen din sender flere flere AL-er fra spesiell informasjon, dannet ved hjelp av NetBios-protokollen, for å skanne nettverket for datamaskiner som ligger i den samme arbeidsgruppe... Deretter tegner operativsystemet de funnet datamaskinene i Network Neighborhood-vinduet, og du kan se dem.

Det er også verdt å merke seg at under skanningsprosessen med et eller annet program, sender datamaskinen din ikke en enkelt kringkastingsmelding, men flere, for eksempel for å installere med eksterne datamaskiner virtuelle økter eller for andre systembehov forårsaket av problemer med programvareimplementeringen av denne applikasjonen. Dermed blir hver datamaskin i nettverket for å samhandle med andre datamaskiner tvunget til å sende mange forskjellige AL, og dermed belaste kommunikasjonskanalen med unødvendig slutt bruker informasjon. Som praksis viser, i store nettverk Kringkastingsmeldinger kan utgjøre en betydelig del av trafikken, og dermed redusere brukerens synlige nettverksytelse.

Virtuelle lokalnettverk

For å løse det første og tredje problemet, så vel som for å hjelpe til med å løse det andre problemet, er mekanismen for å dele det lokale nettverket i mindre nettverk mye brukt, så å si separate lokale nettverk (Virtual Local Area Network). Grovt sett er et VLAN en liste over porter på en switch som tilhører samme nettverk. "En" i den forstand at det andre VLAN vil inneholde en liste over porter som tilhører et annet nettverk.

Faktisk tilsvarer å lage to VLAN-er på én svitsj å kjøpe to svitsjer, dvs. å lage to VLAN er som å dele en bryter i to. Dermed er et nettverk på hundre datamaskiner delt inn i mindre nettverk, på 5-20 datamaskiner - som regel tilsvarer dette tallet den fysiske plasseringen til datamaskiner for behov for fildeling.

Ved å dele opp nettverket i VLAN, oppnås enkel administrasjon. Så når regnskapsføreren Lida flytter til et annet kontor, trenger administratoren bare å fjerne porten fra ett VLAN og legge det til et annet. Dette diskuteres mer detaljert i VLAN, teori.
VLAN er med på å løse et av kravene til nettverkssikkerhet, nemlig avgrensning nettverksressurser... En elev fra ett klasserom kan altså ikke trenge inn i datamaskinene til et annet klasserom eller datamaskinen til rektor, fordi de er faktisk på forskjellige nettverk.
Fordi nettverket vårt er delt opp i VLAN, dvs. på små «like-nettverk» forsvinner problemet med kringkastingsmeldinger.

VLAN, teori

Kanskje uttrykket "for en administrator er det nok å fjerne en port fra ett VLAN og legge det til et annet" kan være uforståelig, så jeg vil forklare det mer detaljert. Porten i dette tilfellet er ikke et nummer utstedt av operativsystemet til applikasjonen, som beskrevet i protokollstabeldelen, men en stikkontakt (sted) hvor du kan koble til (sette inn) en RJ-45-kontakt. En slik kontakt (dvs. en knast til ledningen) festes til begge ender av en 8-kjerners ledning kalt et tvunnet par. Figuren viser en bryter Cisco Catalyst 2950C-24 for 24 porter:
Som angitt i ARP-klausulen: adressebestemmelsesprotokoll, er hver datamaskin koblet til nettverket med én fysisk kanal. De. en 24-ports svitsj kan koble til 24 datamaskiner. Et tvunnet par gjennomsyrer fysisk alle bedriftens lokaler - alle 24 ledningene fra denne bryteren går til forskjellige kontorer. Anta for eksempel at 17 ledninger går og er koblet til 17 datamaskiner i klasserommet, 4 ledninger går til kontoret til spesialavdelingen og de resterende 3 ledningene går til den nylig reparerte, nytt skap regnskapsavdelingen. Og regnskapsfører Lida, for spesielle meritter, ble overført til nettopp dette kontoret.

Som nevnt ovenfor kan VLAN-er representeres som en liste nettverkseide havner. For eksempel hadde bryteren vår tre VLAN, dvs. tre lister lagret i flashminnet til bryteren. I den ene listen ble tallene 1, 2, 3 ... 17 skrevet, i den andre 18, 19, 20, 21 og i den tredje 22, 23 og 24. Lidins datamaskin var tidligere koblet til den 20. porten. Og så flyttet hun til et annet kontor. Dratt henne gammel datamaskin til et nytt kontor, eller hun satt kl ny datamaskin- spiller ingen rolle. Hovedsaken er at datamaskinen hennes var koblet til med en tvunnet parkabel, hvor den andre enden er satt inn i port 23 på bryteren vår. Og for at hun fortsatt skal kunne sende filer til kollegene sine fra det nye stedet, må administratoren fjerne nummeret 20 fra den andre listen og legge til nummeret 23. Merk at én port kan tilhøre kun ett VLAN, men vi bryter denne regelen på slutten av dette avsnittet.

Jeg vil også merke meg at når du endrer en ports VLAN-medlemskap, trenger ikke administratoren å "stikke" ledningene i switchen. Dessuten trenger han ikke engang å reise seg. Fordi administratorens datamaskin er koblet til den 22. porten, ved hjelp av denne kan han fjernstyre bryteren. Selvfølgelig takket være spesielle innstillinger som vil bli diskutert senere, kan bare en administrator administrere bryteren. For informasjon om hvordan du konfigurerer VLAN, se VLAN, Practice-avsnittet [i neste artikkel].

Som du sikkert har lagt merke til, sa jeg først (i avsnittet Bygge nettverk) at det vil være minst 100 datamaskiner i nettverket vårt, men bare 24 datamaskiner kan kobles til bryteren. Selvfølgelig er det brytere med stort beløp havner. Men det er fortsatt flere datamaskiner i bedrifts-/bedriftsnettverket. Og for forbindelsen er uendelig et stort antall datamaskiner inn i et nettverk, koble sammen brytere gjennom den såkalte trunkporten (trunk). Når du konfigurerer bryteren, kan alle de 24 portene defineres som en trunkport. Og det kan være et hvilket som helst antall trunk-porter på switchen (men det er rimelig å lage mer enn to). Hvis en av portene er definert som trunk, danner svitsjen all informasjon som mottas på den i spesielle pakker, ved å bruke ISL- eller 802.1Q-protokollen, og sender disse pakkene til trunkporten.

All informasjonen som kom inn - jeg mener, all informasjonen som kom til ham fra de andre havnene. Og 802.1Q-protokollen settes inn i protokollstakken mellom Ethernet og protokollen som dataene ble generert med, som bærer denne rammen.

V dette eksemplet, som du sikkert har lagt merke til, sitter administratoren på samme kontor med Lida, pga vridd tid fra portene 22, 23 og 24 fører til samme skap. Den 24. porten er konfigurert som en trunkport. Og selve bryteren er på bakrommet, ved siden av det gamle regnskapskontoret og med et auditorium med 17 datamaskiner.

Det tvunnede paret som går fra den 24. porten til kontoret til administratoren er koblet til en annen svitsj, som igjen er koblet til ruteren, som vil bli diskutert i de følgende kapitlene. Andre brytere som kobler til andre 75 datamaskiner og er plassert i andre bakrom i bedriften - de har alle som regel en trunkport koblet med tvunnet par eller fiberoptikk til hovedbryteren, som er på kontoret med administratoren.

Det ble sagt ovenfor at det noen ganger er lurt å lage to trunkporter. Den andre trunkporten brukes deretter til å analysere nettverkstrafikk.

Omtrent slik så store bedriftsnettverk ut i dagene med Cisco Catalyst 1900-svitsjen. Du har sikkert lagt merke til to store ulemper med slike nettverk. For det første forårsaker bruk av en trunkport noen vanskeligheter og skaper ekstra arbeid ved konfigurering av utstyr. Og for det andre, og viktigst av alt, anta at våre "slags nettverk" av regnskapsførere, økonomer og ekspeditører ønsker å ha en for tre databaser. De ønsker at samme regnskapsfører skal kunne se endringene i databasen som økonomen eller ekspeditøren gjorde for et par minutter siden. For å gjøre dette må vi lage en server som vil være tilgjengelig for alle tre nettverkene.

Som nevnt i midten av dette avsnittet, kan en port bare være i ett VLAN. Og dette gjelder imidlertid bare for svitsjer fra Cisco Catalyst 1900-serien og eldre og for noen yngre modeller, for eksempel Cisco Catalyst 2950. For andre svitsjer, spesielt Cisco Catalyst 2900XL, kan denne regelen brytes. Når du konfigurerer porter i slike svitsjer, kan hver port ha fem driftsmoduser: Static Access, Multi-VLAN, Dynamic Access, ISL Trunk og 802.1Q Trunk. Den andre driftsmodusen er akkurat det vi trenger for oppgaven ovenfor - å gi tilgang til serveren fra tre nettverk samtidig, dvs. få serveren til å tilhøre tre nettverk samtidig. Dette kalles også kryssing eller tagging av VLAN. I dette tilfellet kan koblingsskjemaet være som følger.

La oss anta at du ikke er flytende i nettverksteknologier, og ikke engang kjenner det grunnleggende. Men du fikk en oppgave: å bygge et informasjonsnettverk i en liten bedrift så snart som mulig. Du har verken tid eller lyst til å studere tykke Talmuds om nettverksdesign, instruksjoner for bruk av nettverksutstyr og fordype deg i nettverkssikkerhet. Og viktigst av alt, i fremtiden har du ikke noe ønske om å bli en profesjonell på dette feltet. Da er denne artikkelen for deg.

Den andre delen av denne artikkelen dekker den praktiske anvendelsen av det grunnleggende som er skissert her: Merknader om Cisco Catalyst: VLAN-konfigurasjon, tilbakestilling av passord, IOS-blinker

Forstå protokollstakken

Ethernet-protokollen inneholder avsenderens NIC-nummer (MAC-adresse), mottakerens NIC-nummer, typen data som overføres og de direkte overførte dataene. Informasjonen som er kompilert i henhold til Ethernet-protokollen kalles en ramme. Det anses at det ikke finnes nettverkskort med samme nummer. Nettverksutstyret trekker ut de overførte dataene fra rammen (maskinvare eller programvare), og utfører videre behandling.

Deretter hentes dataene fra pakken. Men selv disse dataene er som regel ikke opprinnelig sendt data ennå. Denne informasjonen er også satt sammen i henhold til en bestemt protokoll. Den mest brukte protokollen er TCP. Den inneholder identifikasjonsinformasjon som avsenderens port (et to-byte nummer) og kildeporten, samt data og tjenesteinformasjon. De ekstraherte dataene fra TCP er som regel dataene som programmet som kjører på datamaskin B sendte til "mottakerprogrammet" på datamaskin A.

Kompleksiteten til protokollene (i dette tilfellet TCP over IP over Ethernet) kalles protokollstakken.

ARP: Address Resolution Protocol

Det er viktig å forstå at en informasjonsnettverksnode er en datamaskin koblet sammen med én fysisk kanal med bytteutstyr. De. hvis vi sender data fra nettverksadapteren "etter ønske", så har de en måte - de kommer ut fra den andre enden av det tvunnede paret. Vi kan sende absolutt alle data dannet i henhold til en hvilken som helst regel vi har funnet opp, uten å spesifisere verken ip-adressen eller mac-adressen eller andre attributter. Og hvis denne andre enden er koblet til en annen datamaskin, kan vi ta dem dit og tolke etter behov. Men hvis denne andre enden er koblet til svitsjen, må i dette tilfellet informasjonspakken dannes i henhold til strengt definerte regler, som om å gi svitsjen instruksjoner om hva du skal gjøre videre med denne pakken. Hvis pakken er riktig utformet, vil bryteren sende den videre, til en annen datamaskin, som angitt i pakken. Deretter vil bryteren fjerne denne pakken fra RAM-en. Men hvis pakken ikke var riktig utformet, dvs. instruksjonene i den var feil, så "dør" pakken, dvs. bryteren vil ikke sende den noe sted, men vil umiddelbart slette den fra RAM-en.

For å overføre informasjon til en annen datamaskin, må tre identifikasjonsverdier spesifiseres i den sendte informasjonspakken - mac-adresse, ip-adresse og port. Relativt sett er en port et tall som operativsystemet gir til hvert program som ønsker å sende data til nettverket. Mottakerens ip-adresse legges inn av brukeren, eller programmet mottar den selv, avhengig av programmets spesifikasjoner. Mac-adressen forblir ukjent, dvs. nettverksadapternummeret til mottakerens datamaskin. For å få de nødvendige dataene sendes en "broadcast"-forespørsel, sammensatt i henhold til den såkalte "ARP Address Resolution Protocol". Nedenfor er strukturen til en ARP-pakke.

Nå trenger vi ikke å vite verdiene til alle feltene i bildet ovenfor. La oss bare dvele ved de viktigste.

Feltene inneholder ip-adressen til kilden og ip-adressen til destinasjonen, samt mac-adressen til kilden.

Bygge nettverk

Oppgaven med å bygge nettverk

Enkel administrasjon. Hvis regnskapsføreren Lida blir overført til et annet kontor, vil hun fortsatt trenge tilgang til datamaskinene til regnskapsførerne Anna og Yulia. Og med feil konstruksjon av informasjonsnettverket hans, kan administratoren få problemer med å gi Lida tilgang til datamaskinene til andre regnskapsførere på hennes nye sted.
Sikkerhet. For å ivareta sikkerheten til vårt nettverk, må rettighetene til tilgang til informasjonsressurser avgrenses. Dessuten må nettverket beskyttes mot trusler om avsløring, integritet og tjenestenekt. Les mer i boken "Angrep på Internett" av forfatteren Ilya Davidovich Medvedovsky, kapittel "Grunnleggende konsepter for datasikkerhet".
Nettverkshastighet. Når du bygger nettverk, er det et teknisk problem - avhengigheten av overføringshastigheten på antall datamaskiner i nettverket. Jo flere datamaskiner, jo lavere hastighet. Med et stort antall datamaskiner kan nettverksytelsen bli så treg at det blir uakseptabelt for kunden.

Hva får nettverkshastigheten til å reduseres med et stort antall datamaskiner? - Årsaken er enkel: på grunn av det store antallet kringkastingsmeldinger (AL). AL er en melding som, når den kommer til svitsjen, sendes til alle verter på nettverket. Eller grovt sett alle datamaskiner på subnettet ditt. Hvis det er 5 datamaskiner i nettverket, vil hver datamaskin motta 4 AL. Hvis det er 200 av dem, vil hver datamaskin i et så stort nettverk motta 199 AL.

Det er mange applikasjoner, programvaremoduler og tjenester som sender kringkastingsmeldinger til nettverket for deres arbeid. Beskrevet i ARP-klausulen: adressebestemmelsesprotokollen er bare en av mange AL-er som sendes av datamaskinen din til nettverket. For eksempel, når du går inn i Network Neighborhood (Windows OS), sender datamaskinen flere flere AL-er med spesiell informasjon generert ved hjelp av NetBios-protokollen for å skanne nettverket etter datamaskiner i samme arbeidsgruppe. Deretter tegner operativsystemet de funnet datamaskinene i Network Neighborhood-vinduet, og du kan se dem.

Det er også verdt å merke seg at under skanneprosessen med et bestemt program, sender datamaskinen ikke en enkelt kringkastingsmelding, men flere, for eksempel for å etablere virtuelle økter med eksterne datamaskiner eller for andre systembehov forårsaket av programvareproblemer. implementeringer av denne applikasjonen. Dermed blir hver datamaskin i nettverket for å samhandle med andre datamaskiner tvunget til å sende mange forskjellige AL, og dermed laste kommunikasjonskanalen med informasjon som ikke er nødvendig for sluttbrukeren. Som praksis viser, kan kringkastede meldinger i store nettverk utgjøre en betydelig del av trafikken, og dermed bremse nettverkets arbeid synlig for brukeren.

Virtuelle lokalnettverk

For å løse det første og tredje problemet, samt for å hjelpe til med å løse det andre problemet, er mekanismen for å dele det lokale nettverket i mindre nettverk mye brukt, så å si separate lokale nettverk (Virtual Local Area Network). Grovt sett er et VLAN en liste over porter på en switch som tilhører samme nettverk. "En" i den forstand at det andre VLAN vil inneholde en liste over porter som tilhører et annet nettverk.

Ved å dele opp nettverket i VLAN, oppnås enkel administrasjon. Så når regnskapsføreren Lida flytter til et annet kontor, trenger administratoren bare å fjerne porten fra ett VLAN og legge det til et annet. Dette diskuteres mer detaljert i VLAN, teori.
VLAN bidrar til å løse et av kravene til nettverkssikkerhet, nemlig avgrensningen av nettverksressurser. En elev fra ett klasserom kan altså ikke trenge inn i datamaskinene til et annet klasserom eller datamaskinen til rektor, fordi de er faktisk på forskjellige nettverk.
Fordi nettverket vårt er delt opp i VLAN, dvs. på små «like-nettverk» forsvinner problemet med kringkastingsmeldinger.

VLAN, teori

Kanskje uttrykket "for en administrator er det nok å fjerne en port fra ett VLAN og legge det til et annet" kan være uforståelig, så jeg vil forklare det mer detaljert. Porten i dette tilfellet er ikke et nummer utstedt av operativsystemet til applikasjonen, som beskrevet i protokollstabeldelen, men en stikkontakt (sted) hvor du kan koble til (sette inn) en RJ-45-kontakt. En slik kontakt (dvs. en knast til ledningen) festes til begge ender av en 8-kjerners ledning kalt et tvunnet par. Figuren viser en Cisco Catalyst 2950C-24 24-ports svitsj:
Som angitt i ARP-klausulen: adressebestemmelsesprotokoll, er hver datamaskin koblet til nettverket med én fysisk kanal. De. en 24-ports svitsj kan koble til 24 datamaskiner. Et tvunnet par gjennomsyrer fysisk alle bedriftens lokaler - alle 24 ledningene fra denne bryteren går til forskjellige kontorer. Anta for eksempel at 17 ledninger går og kobles til 17 datamaskiner i klasserommet, 4 ledninger går til spesialavdelingskontoret og de resterende 3 ledningene går til det nyoppussede, nye regnskapskontoret. Og regnskapsfører Lida, for spesielle meritter, ble overført til nettopp dette kontoret.

Som nevnt ovenfor kan VLAN-er representeres som en liste over porter som tilhører nettverket. For eksempel hadde bryteren vår tre VLAN, dvs. tre lister lagret i flashminnet til bryteren. I den ene listen ble tallene 1, 2, 3 ... 17 skrevet, i den andre 18, 19, 20, 21 og i den tredje 22, 23 og 24. Lidins datamaskin var tidligere koblet til den 20. porten. Og så flyttet hun til et annet kontor. De dro den gamle datamaskinen hennes inn på et nytt kontor, eller hun satte seg ved en ny datamaskin - det spiller ingen rolle. Hovedsaken er at datamaskinen hennes var koblet til med en tvunnet parkabel, hvor den andre enden er satt inn i port 23 på bryteren vår. Og for at hun fortsatt skal kunne sende filer til kollegene sine fra det nye stedet, må administratoren fjerne nummeret 20 fra den andre listen og legge til nummeret 23. Merk at én port kan tilhøre kun ett VLAN, men vi bryter denne regelen på slutten av dette avsnittet.

Jeg vil også merke meg at når du endrer en ports VLAN-medlemskap, trenger ikke administratoren å "stikke" ledningene i switchen. Dessuten trenger han ikke engang å reise seg. Fordi administratorens datamaskin er koblet til den 22. porten, ved hjelp av denne kan han fjernstyre bryteren. På grunn av de spesielle innstillingene, som vil bli diskutert senere, kan selvfølgelig bare administratoren administrere bryteren. For informasjon om hvordan du konfigurerer VLAN, se VLAN, Practice-avsnittet [i neste artikkel].

Som du sikkert har lagt merke til, sa jeg først (i avsnittet Bygge nettverk) at det vil være minst 100 datamaskiner i nettverket vårt, men bare 24 datamaskiner kan kobles til bryteren. Selvfølgelig er det switcher med mange porter. Men det er fortsatt flere datamaskiner i bedrifts-/bedriftsnettverket. Og for å koble et uendelig antall datamaskiner inn i et nettverk, kobles brytere til hverandre via den såkalte trunk-porten. Når du konfigurerer bryteren, kan alle de 24 portene defineres som en trunkport. Og det kan være et hvilket som helst antall trunk-porter på switchen (men det er rimelig å lage mer enn to). Hvis en av portene er definert som trunk, danner svitsjen all informasjon som mottas på den i spesielle pakker, ved å bruke ISL- eller 802.1Q-protokollen, og sender disse pakkene til trunkporten.

I dette eksempelet, som du sikkert har lagt merke til, sitter administratoren på samme kontor som Lida, fordi vridd tid fra portene 22, 23 og 24 fører til samme skap. Den 24. porten er konfigurert som en trunkport. Og selve bryteren er på bakrommet, ved siden av det gamle regnskapskontoret og med et auditorium med 17 datamaskiner.

Det ble sagt ovenfor at det noen ganger er lurt å lage to trunkporter. Den andre trunkporten brukes deretter til å analysere nettverkstrafikk.

Omtrent slik så store bedriftsnettverk ut i dagene med Cisco Catalyst 1900-svitsjen. Du har sikkert lagt merke til to store ulemper med slike nettverk. For det første forårsaker bruken av en trunkport noen vanskeligheter og skaper unødvendig arbeid ved konfigurering av utstyr. Og for det andre, og viktigst av alt, anta at våre "slags nettverk" av regnskapsførere, økonomer og ekspeditører ønsker å ha en for tre databaser. De ønsker at samme regnskapsfører skal kunne se endringene i databasen som økonomen eller ekspeditøren gjorde for et par minutter siden. For å gjøre dette må vi lage en server som vil være tilgjengelig for alle tre nettverkene.