Föreläsning 3. TCP/IP-stack. Grundläggande protokoll TCP/IP

TCP/IP-protokollet är det underliggande transportnätverksprotokollet. Termen "TCP/IP" syftar vanligtvis på allt som har med TCP- och IP-protokollen att göra. Den täcker en hel familj av protokoll, applikationer och till och med själva nätverket. I familjen ingår UDP-protokoll, ARP, ICMP, TELNET, FTP och många fler.

Arkitekturen för TCP/IP-protokollen är avsedd för ett enat nätverk som består av separata heterogena paketundernät anslutna till varandra via gateways, till vilka heterogena maskiner är anslutna. Vart och ett av undernäten fungerar i enlighet med sitt eget specifika krav och har sin egen karaktär av kommunikationsmedel. Det antas dock att varje subnät kan ta emot ett paket med information (data med en lämplig nätverkshuvud) och leverera den till en specificerad adress på just det subnätet. Subnätet krävs inte för att garantera obligatorisk paketleverans och har ett tillförlitligt protokoll från slut till ände. Således kan två maskiner anslutna till samma subnät utbyta paket.

TCP/IP-protokollstacken har fyra lager (Figur 3.1).

Figur 3.1 - TCP/IP-stack

Layer IV motsvarar nätverksaccesslagret, som fungerar på grundval av standard fysiska och länklager, såsom Ethernet, Token Ring, SLIP, PPP och andra. Protokollen i detta lager ansvarar för paketöverföring nätverksdata på hårdvarunivå.

Nivå III ger internetarbete vid överföring av datapaket från ett subnät till ett annat. I det här fallet fungerar IP-protokollet.

Layer II är det huvudsakliga och arbetar på basis av TCP-överföringskontrollprotokollet. Detta protokoll är nödvändigt för tillförlitlig överföring av meddelanden mellan värd olika maskiner applikationsprogram på grund av bildandet av virtuella förbindelser mellan dem.

Nivå I - tillämpas. TCP/IP-stacken har funnits länge och den innehåller ett stort antal protokoll och applikationslagertjänster (överföringsprotokoll FTP-filer, Telnet-protokoll, Gopher-protokoll för åtkomst till resurserna i världsrymden GopherSpace, den mest kända HTTP-protokoll för att komma åt fjärrövergripande hypertextdatabaser i world wide web och så vidare.).

Alla stackprotokoll kan delas in i två grupper: dataöverföringsprotokoll som överför användbar data mellan två parter; serviceprotokoll som krävs för korrekt funktion nätverk.

Tjänsteprotokoll använder med nödvändighet någon form av dataöverföringsprotokoll. Till exempel använder ICMP-tjänstprotokollet IP-protokollet. Internet är helheten av alla anslutna datornätverk som använder protokollen för TCP/IP-stacken.

Transportlagerfunktioner. Protokoll TCP, UDP.

Den fjärde nivån i modellen är utformad för att leverera data utan fel, förlust och duplicering i den sekvens som de överfördes. Samtidigt spelar det ingen roll vilken data som överförs, varifrån och var, det vill säga det tillhandahåller själva överföringsmekanismen. Transportlagret tillhandahåller följande tjänster:

– Etablering av en transportförbindelse.

- dataöverföring;

– frånkoppling av transportförbindelsen.

Funktioner som utförs av transportlagret:

– omvandling av transportadressen till en nätverksadress;

– Multiplex av transportförbindelser till nätverksanslutningar;

– Etablering och avbrott av transportförbindelser.

– beställning av datablock efter individuella anslutningar;

– Felsökning och nödvändig kvalitetskontroll av tjänster.

– felåterställning;

– Segmentering, association och kedja.

– Dataflödeskontroll på enskilda anslutningar;

– Tillsynsfunktioner.

– Överföring av brådskande transportblock med data.

TCP-överföringskontrollprotokollet tillhandahåller en pålitlig, anslutningsorienterad paketleveranstjänst.

TCP-protokoll:

– garanterar leverans av IP-datagram;

– utför segmentering och sammansättning av stora datablock som skickas av program;

– säkerställer leverans av datasegment i rätt ordning;

– kontrollerar integriteten hos de överförda uppgifterna med hjälp av en kontrollsumma;

– skickar positiva bekräftelser om data tas emot framgångsrikt. Genom att använda selektiva bekräftelser kan du även skicka negativa bekräftelser för data som inte har tagits emot;

– Erbjuder den föredragna transporten för program som kräver tillförlitlig sessionsbaserad dataöverföring, såsom klient-serverdatabaser och e-postprogram.

TCP är baserat på punkt-till-punkt-kommunikation mellan två nätverksnoder. TCP tar emot data från program och bearbetar det som en ström av byte. Byten är grupperade i segment, till vilka TCP tilldelar de sekvensnummer som behövs för att korrekt sätta ihop segmenten på destinationsvärden.

För att två TCP-noder ska kunna kommunicera måste de först upprätta en session med varandra. En TCP-session initieras genom en process som kallas trevägshandskakning, där sekvensnummer synkroniseras och den kontrollinformation som behövs för att upprätta en anslutning skickas. virtuell anslutning mellan noder. När denna handskakningsprocess har slutförts, vidarebefordras och kvitteras paket i seriell ordning mellan dessa noder. En liknande process används av TCP innan en anslutning avslutas för att säkerställa att båda noderna har skickat och tagit emot data (Figur 3.2).

Figur 3.2 - TCP-segmenthuvudformat

Källporten och destinationsportfälten är 2 byte vardera och identifierar sändningsprocessen och mottagningsprocessen. Fälten för sekvensnummer och bekräftelsenummer (vardera 4 byte långa) räknar upp varje databyte som skickas eller tas emot. Implementerat som heltal utan tecken som återställs när de når maximalt värde. Varje sida har sin egen serienummer. Fältet Header Length är 4 bitar långt och är längden på TCP-segmenthuvudet mätt i 32-bitars ord. Rubrikens längd är inte fast och kan variera beroende på de värden som ställs in i parameterfältet. Reservfältet är 6 bitar. Flaggfältet är 6 bitar långt och innehåller sex 1-bitars flaggor:

– URG-flaggan (Urgent Pointer) är satt till 1 om pekaren till brådskande datafält används;

– ACK-flaggan (Acknowledgement) är satt till 1 om bekräftelsenummerfältet innehåller data. I annat detta fält ignoreras;

– PSH-flaggan (Push) betyder att den mottagande TCP-stacken omedelbart ska informera applikationen om inkommande data och inte vänta tills bufferten är full;

– RST-flaggan (Reset) används för att avbryta anslutningen: på grund av ett applikationsfel, avvisande av ett ogiltigt segment, försök att skapa en anslutning i frånvaro av den begärda tjänsten;

– SYN-flaggan (Synchronize - Synchronization) ställs in när anslutningen och synkroniseringen initieras serienummer;

– flaggan FIN (Finished) används för att avsluta anslutningen. Det indikerar att avsändaren har slutfört dataöverföringen.

Fältet Fönsterstorlek (längd 2 byte) innehåller antalet byte som kan skickas efter den byte som redan har kvitterats. Kontrollsummafältet (längd 2 byte) tjänar till att förbättra tillförlitligheten. Det innehåller kontrollsumma header, data och pseudo header. När man utför beräkningar sätts kontrollsummansfältet till noll och datafältet fylls med en nollbyte om dess längd är ett udda tal. Kontrollsummaalgoritmen lägger helt enkelt till alla 16-bitars ord i ytterligare kod, och beräknar sedan komplementet av hela summan.

UDP-protokollet, som är ett datagramprotokoll, implementerar en möjlighetstjänst, det vill säga det garanterar inte leveransen av sina meddelanden och kompenserar därför inte på något sätt för opålitligheten hos IP-datagramprotokollet. Dataenheten för UDP-protokollet kallas ett UDP-paket eller användardatagram. Varje datagram har ett separat användarmeddelande. Detta leder till en begränsning: längden på ett UDP-datagram får inte överstiga längden på datafältet för IP-protokollet, vilket i sin tur är begränsat av storleken på teknologiramen lägre nivå. Därför, om UDP-bufferten svämmar över, kasseras applikationsdata. UDP-pakethuvudet, som består av fyra 2-byte-fält, innehåller källporten, destinationsporten, UDP-längden och kontrollsumman (Figur 3.3).

Källporten och destinationsportfälten identifierar sändnings- och mottagningsprocesserna. UDP-längdfältet innehåller längden UDP-paket i byte. Kontrollsummafältet innehåller kontrollsumman för UDP-paketet beräknat över hela UDP-paketet med pseudo-headern tillagd.

Figur 3.3 - UDP-pakethuvudformat

Huvudlitteratur: 2

ytterligare litteratur: 7

testfrågor:

1. Vilket protokoll i OSI är TCP/IP?

2. Vad är syftet med TCP/IP-protokollarkitekturen?

3. Vilka är lagren i TCP/IP-stacken?

4. Vilken funktion har TCP-överföringskontrollprotokollet?

5. Vilka är skillnaderna mellan TCP- och UDP-protokoll?

TCP/IP-protokoll är grunden för arbetet globalt nätverk Internet. För att vara mer exakt är TCP / IP en lista eller en stapel av protokoll, och i själva verket en uppsättning regler enligt vilka information utbyts (en paketväxlingsmodell är implementerad).

I den här artikeln kommer vi att analysera principerna för TCP / IP-protokollstacken och försöka förstå principerna för deras arbete.

Obs: Ofta hänvisar förkortningen för TCP/IP till hela nätverket som arbetar på basis av dessa två protokoll, TCP och IP.

I modellen för ett sådant nätverk, förutom huvudprotokollen TCP (transportlager) och IP (nätverkslagerprotokoll) inkluderar applikations- och nätverkslagerprotokoll (se bild). Men låt oss återgå direkt till TCP- och IP-protokollen.

Vad är TCP/IP-protokoll

TCP - Transfer Control Protocol. Överföringskontrollprotokoll. Det tjänar till att säkerställa och upprätta en pålitlig anslutning mellan två enheter och tillförlitlig dataöverföring. TCP-protokollet styr optimal storleköverfört datapaket, utför ett nytt paket när överföringen misslyckas.

IP står för Internet Protocol. Internetprotokollet eller adressprotokollet är grunden för hela dataöverföringsarkitekturen. IP-protokollet används för att leverera nätverkspaket data på önskad adress. I detta fall är informationen uppdelad i paket som oberoende rör sig genom nätverket till önskad destination.

TCP/IP-protokollformat

IP-protokollformat

Det finns två format för IP-protokollets IP-adresser.

IPv4-format. Detta är ett 32 bitars binärt tal. En bekväm form för att skriva en IP-adress (IPv4) är en post i form av fyra grupper decimaltal(från 0 till 255) separerade med punkter. Till exempel: 193.178.0.1.

IPv6-format. Detta är ett 128 bitars binärt tal. Som regel skrivs IPv6-adresser i form av åtta grupper. Varje grupp har fyra hexadecimala siffroråtskilda av kolon. Ett exempel på en IPv6-adress är 2001:0db8:85a3:08d3:1319:8a2e:0370:7889.

Hur TCP/IP-protokoll fungerar

Om det är bekvämt, tänk på att skicka datapaket över ett nätverk som att skicka ett brev med post.

Om du känner dig obekväm, föreställ dig två datorer anslutna via ett nätverk. Dessutom kan anslutningsnätverket vara vilket som helst, både lokalt och globalt. Det finns ingen skillnad i principen för dataöverföring. En dator i ett nätverk kan också betraktas som en värd eller nod.

IP-protokoll

Varje dator i nätverket har sin egen unika adress. På det globala Internet har en dator denna adress, som kallas en IP-adress (Internet Protocol Address).

I analogi med post, IP-adress detta är husnumret. Men ett husnummer räcker inte för att få ett brev.

Informationen som överförs över nätverket överförs inte av datorn som sådan, utan av de applikationer som är installerade på den. Sådana applikationer är e-postserver, webbserver, FTP, etc. För att identifiera paketet med överförd information bifogas varje ansökan specifik port. Till exempel: Webbserver lyssnar på port 80, FTP lyssnar på port 21, SMTP-e-postserver lyssnar på port 25, POP3-server läser postlådor på port 110.

Således, i adresspaketet i TCP / IP-protokollet, visas ytterligare en rad i destinationerna: porten. En analog med post - porten är avsändarens och adressatens lägenhetsnummer.

Exempel:

Källadress (avsändarens adress):

IP: 82.146.47.66

Destinations adress:

IP: 195.34.31.236

Det är värt att komma ihåg: IP-adress + portnummer - kallas en "socket". I exemplet ovan: från socket 82.146.47.66:2049 skickas ett paket till socket 195.34.31.236:53.

TCP-protokoll

TCP-protokollet är nästa lagerprotokoll efter IP-protokollet. Detta protokoll är avsett att kontrollera överföringen av information och dess integritet.

Till exempel är den överförda informationen uppdelad i separata paket. Paketen kommer att levereras till mottagaren oavsett. Under överföringen överfördes inte ett av paketen. TCP-protokollet tillåter återsändningar tills paketet tas emot av mottagaren.

TCP-transportprotokoll döljer sig från protokoll högsta nivån(fysiskt, kanal, nätverks-IP alla problem och dataöverföringsdetaljer).

Internet är baserat på en uppsättning (stack) av TCP/IP-protokoll. Men dessa termer verkar komplicerade bara vid första anblicken. Faktiskt TCP/IP-protokollstackär en enkel uppsättning regler för utbyte av information, och dessa regler är faktiskt välkända för dig, även om du förmodligen inte känner till det. Ja, det stämmer, i huvudsak finns det inget nytt i principerna som ligger till grund för TCP/IP-protokollen: allt nytt är väl bortglömt gammalt.

En person kan lära sig på två sätt:

1. Genom trubbig formell memorering av malllösningar typiska uppgifter(som nu mest lärs ut i skolan). Sådan träning är ineffektiv. Säkert har du sett paniken och den fullständiga hjälplösheten hos en revisor när du byter version av kontorsprogramvara - vid minsta förändring i sekvensen av musklick som krävs för att utföra de vanliga åtgärderna. Eller har du någonsin sett en person falla i dvala när du ändrar skrivbordsgränssnittet?
2. Genom att förstå kärnan i problem, fenomen, mönster. Genom förståelse principer bygga ett speciellt system. I det här fallet spelar innehavet av encyklopedisk kunskap ingen stor roll - den saknade informationen är lätt att hitta. Det viktigaste är att veta vad man ska leta efter. Och detta kräver inte en formell kunskap om ämnet, utan en förståelse för essensen.

I den här artikeln föreslår jag att gå den andra vägen, eftersom att förstå principerna bakom driften av Internet ger dig möjlighet att känna dig trygg och fri på Internet - snabbt lösa problem som uppstår, formulera problem korrekt och kommunicera med tekniska stötta med förtroende.

Så, låt oss börja.

Funktionsprinciperna för TCP / IP-internetprotokollen är till sin natur mycket enkla och liknar starkt arbetet med vår sovjetiska post.

Kom ihåg hur vår vanliga post fungerar. Först skriver du ett brev på ett papper, lägger sedan i ett kuvert, förseglar det, skriver avsändarens och mottagarens adresser på baksidan av kuvertet och tar sedan med det till närmaste postkontor. Därefter passerar brevet genom en kedja av postkontor till mottagarens närmaste postkontor, varifrån det levereras av brevbäraren till mottagarens angivna adress och lämnas i hans brevlåda (med hans lägenhetsnummer) eller överlämnas personligen. Allt, brevet nådde mottagaren. När mottagaren av brevet vill svara dig kommer han att byta adresser till mottagaren och avsändaren i sitt svarsbrev och brevet skickas till dig i samma kedja, men i motsatt riktning.

På brevets kuvert kommer att skrivas något så här:

Avsändarens adress: Från vem: Ivanov Ivan Ivanovich Var: Ivanteevka, st. Bolshaya, d. 8, apt. 25 Adress till mottagaren: Till vem: Petrov Petr Petrovich Var: Moskva, Usachevsky lane, 105, apt. 110

Nu är vi redo att överväga interaktionen mellan datorer och applikationer på Internet (och på det lokala nätverket också). Observera att analogin med med vanlig post kommer att vara nästan komplett.

Varje dator (aka: nod, värd) inom Internet har också en unik adress, som kallas en IP-adress (Internet Protocol Address), till exempel: 195.34.32.116. En IP-adress består av fyra decimaltal (från 0 till 255) separerade med en punkt. Men att bara känna till datorns IP-adress är fortfarande inte tillräckligt, eftersom. I slutändan är det inte datorerna själva som utbyter information, utan applikationerna som körs på dem. Och flera applikationer kan köras samtidigt på en dator (till exempel en e-postserver, en webbserver, etc.). För att leverera ett vanligt pappersbrev räcker det inte att bara känna till husets adress - du behöver också veta lägenhetens nummer. Dessutom har varje program ett liknande nummer, ett så kallat portnummer. Majoritet serverapplikationer ha standardrum, till exempel: Postservice bunden till port nummer 25 (de säger också: "lyssnar" på porten, tar emot meddelanden på den), webbtjänsten är bunden till port 80, FTP till port 21, och så vidare.

Således har vi följande nästan fullständiga analogi med vårt vanliga postadress:

"husadress" = "dator-IP" "lägenhetsnummer" = "portnummer"

I datornätverk som använder TCP/IP-protokoll är analogen till ett pappersbrev i ett kuvert paket, som innehåller de faktiska överförda uppgifterna och adressinformationen - avsändarens adress och mottagarens adress, till exempel:

Avsändaradress (Källadress): IP: 82.146.49.55 Port: 2049 Destinations adress: IP: 195.34.32.116 Port: 53 Paketdetaljer: ...

Självklart innehåller paketen även serviceinformation, men det är inte viktigt för att förstå essensen.

Notera kombinationen: "IP-adress och portnummer" - kallad "uttag".

I vårt exempel skickar vi ett paket från socket 82.146.49.55:2049 till socket 195.34.32.116:53, d.v.s. paketet kommer att gå till datorn med IP-adressen 195.34.32.116, på port 53. Och port 53 motsvarar den namnidentifieringsserver (DNS-server) som accepterar detta paket. Genom att känna till avsändarens adress kommer denna server att kunna bilda ett svarspaket efter bearbetning av vår förfrågan, som kommer att gå i motsatt riktning mot avsändarens socket 82.146.49.55:2049, som för DNS-servern kommer att vara mottagarens socket.

Som regel utförs interaktion enligt "klient-server"-schemat: "klienten" begär viss information (till exempel en webbsida), servern tar emot begäran, bearbetar den och skickar resultatet. Portnumren för serverapplikationer är välkända, till exempel: en SMTP-postserver "lyssnar" på port 25, en POP3-server som läser post från dina brevlådor "lyssnar" på port 110, en webbserver på port 80, etc.

De flesta av programmen i hemdatorär kunder – till exempel e-postklient Outlook, IE, FireFox, etc.

Portnummer på klienten är inte fixerade som på servern, utan tilldelas dynamiskt av operativsystemet. Fasta serverportar har vanligtvis nummer upp till 1024 (men det finns undantag), och klientportar startar efter 1024.

Upprepning är lärandets moder: IP är adressen till en dator (nod, värd) i nätverket, och port är numret på en viss applikation som körs på den datorn.

Det är dock svårt för en person att komma ihåg digitala IP-adresser - det är mycket bekvämare att arbeta med alfabetiska namn. Det är trots allt mycket lättare att komma ihåg ett ord än en uppsättning siffror. Och så är det gjort - vilken numerisk IP-adress som helst kan associeras med ett alfanumeriskt namn. Som ett resultat kan du till exempel istället för 82.146.49.55 använda namnet A. Domännamnstjänsten - DNS (Domain Name System) sysslar med att konvertera ett domännamn till en digital IP-adress.

Låt oss ta en närmare titt på hur det fungerar. Din leverantör är tydligt (på papper, för manuell inställning anslutningar) eller implicit (via automatisk inställning anslutning) ger dig IP-adressen för namnservern (DNS). Datorn med denna IP-adress kör en applikation (namnserver) som känner till alla domännamn på Internet och deras motsvarande digitala IP-adresser. DNS-servern "lyssnar" på port 53, tar emot frågor på den och ger svar, till exempel:

Begäran från vår dator: "Vilken IP-adress motsvarar namnet www.site?" Serversvar: "82.146.49.55."

Tänk nu på vad som händer när du skriver i din webbläsare Domän namn(URL) till denna webbplats () och genom att klicka , som svar från webbservern får du en sida på denna webbplats.

Till exempel:

IP-adress för vår dator: 91.76.65.216 Webbläsare: Internet Explorer(IE), DNS-server (ström): 195.34.32.116 (du kan ha en annan), Sida vi vill öppna: www.site.

Rekryterar in adressfält webbläsarens domännamn och klicka . Ytterligare operativ system utför följande åtgärder:

En begäran skickas (mer exakt, ett paket med en begäran) DNS-server till uttag 195.34.32.116:53. Som diskuterats ovan motsvarar port 53 DNS-servern, namnupplösningsapplikationen. Och DNS-servern, efter att ha behandlat vår begäran, returnerar en IP-adress som matchar det angivna namnet.

Dialogen är ungefär så här:

Vilken IP-adress matchar namnet www.webbplats? - 82.146.49.55 .

Därefter upprättar vår dator en anslutning till porten 80 dator 82.146.49.55 och skickar en begäran (ett paket med en begäran) för att få sidan. Port 80 motsvarar webbservern. I webbläsarens adressfält är den 80:e porten vanligtvis inte skriven, eftersom. används som standard, men det kan också uttryckligen anges efter kolon - .

Efter att ha fått en förfrågan från oss bearbetar webbservern den och skickar oss en sida i flera paket till HTML-språk- ett textmarkeringsspråk som webbläsaren förstår.

Vår webbläsare, efter att ha tagit emot sidan, visar den. Som ett resultat ser vi på skärmen hemsida denna sajt.

Varför ska dessa principer förstås?

Märkte du till exempel konstigt beteende din dator - obegripligt nätverksaktivitet, bromsar etc. Vad ska man göra? Öppna konsolen (klicka på "Start"-knappen - "Kör" - skriv cmd - "OK"). I konsolen skriver vi kommandot netstat -an och klicka . Det här verktyget visar en lista etablerade förbindelser mellan uttagen på vår dator och uttagen på fjärrvärdar. Om vi ​​ser i kolumnen " Extern adress» några andras IP-adresser, och genom kolon den 25:e porten, vad kan detta betyda? (Kom ihåg att port 25 motsvarar e-postservern?) Det betyder att din dator har upprättat en anslutning till några Mejl server(servrar) och skickar några brev genom den. Och om din e-postklient (t.ex. Outlook) inte körs vid den tiden, och om det fortfarande finns många sådana anslutningar på port 25, så har din dator förmodligen ett virus som skickar skräppost för din räkning eller vidarebefordrar dina kreditkortsnummer tillsammans med lösenord till angripare.

Det är också nödvändigt att förstå principerna för Internet korrekt inställning brandvägg (med andra ord en brandvägg :)). Detta program (som ofta levereras med ett antivirusprogram) är utformat för att filtrera paket - "vänner" och "fiender". Släpp in ditt eget folk, släpp inte in främlingar. Till exempel om din brandvägg säger till dig att någon vill ansluta till någon port på din dator. Tillåta eller neka?

Tja, och viktigast av allt - denna kunskap är extremt användbar när du kommunicerar med teknisk support.

Slutligen kommer jag att ge en lista över portar som du förmodligen kommer att behöva hantera:

135-139 - dessa portar används av Windows för att komma åt delade datorresurser - mappar, skrivare. Öppna inte dessa portar till utsidan, dvs. till det lokala nätverket och Internet. De bör stängas med en brandvägg. Dessutom, om du på det lokala nätverket inte ser något i nätverksmiljön eller om de inte ser dig, så beror detta förmodligen på att brandväggen har blockerat dessa portar. Därför måste dessa portar vara öppna för det lokala nätverket och stängda för Internet. 21 - hamn FTP server. 25 - posthamn SMTP server. Genom den skickar din e-postklient brev. IP-adress SMTP-servrar och dess port (25:e) bör anges i inställningarna för din e-postklient. 110 - hamn POP3 server. Genom den plockar din e-postklient upp brev från din brevlåda. IP-adressen för POP3-servern och dess port (110:e) bör också anges i inställningarna för din e-postklient. 80 - hamn WEBB-server. 3128, 8080 - proxyservrar (konfigurerade i webbläsarinställningar).

Flera speciella IP-adresser:

127.0.0.1 är localhost, adressen till det lokala systemet, dvs. lokal adress din dator. 0.0.0.0 - så här är alla IP-adresser designade. 192.168.xxx.xxx - adresser som fritt kan användas i lokala nätverk, de används inte på det globala Internet. De är unika endast inom det lokala nätverket. Du kan använda adresser från detta intervall efter eget gottfinnande, till exempel för att bygga ett hem- eller kontorsnätverk.

Vad är nätmasken och standardgatewayen (router, router)?

(Dessa parametrar ställs in i nätverksanslutningsinställningarna).

Allt är enkelt. Datorer kombineras till lokala nätverk. I ett lokalt nätverk "ser" datorer direkt bara varandra. Lokala nätverk är anslutna till varandra via gateways (routrar, routrar). Subnätmasken används för att avgöra om mottagardatorn tillhör samma lokala nätverk eller inte. Om den mottagande datorn tillhör samma nätverk som den sändande datorn, så sänds paketet direkt till den, annars skickas paketet till standardgatewayen, som sedan, med hjälp av kända vägar, överför paketet till ett annat nätverk, d.v.s. till ett annat postkontor (i analogi med den sovjetiska posten).

Fundera slutligen på vad de obegripliga termerna betyder:

TCP/IPär namnet på nätverksprotokollsviten. Faktum är att det överförda paketet går igenom flera nivåer. (Som på posten: först skriver du ett brev, sedan lägger du det i ett kuvert med adress, sedan sätts det en stämpel på det i posten osv).

IP Ett protokoll är ett så kallat nätverkslagerprotokoll. Uppgiften för denna nivå är leverans av ip-paket från avsändarens dator till mottagarens dator. Utöver själva datan har paket på denna nivå en käll-IP-adress och en destinations-IP-adress. Portnummer på nätverkslager används inte. Vilken hamn, d.v.s. detta paket är adresserat till applikationen, om detta paket levererades eller gick förlorat, det är inte känt på den här nivån - detta är inte dess uppgift, detta är transportlagrets uppgift.

TCP och UDP Dessa är protokollen för det så kallade transportlagret. Transportlagret sitter ovanför nätverkslagret. Denna nivå lägger till en källport och en destinationsport till paketet.

TCPär ett anslutningsorienterat protokoll med garanterad leverans av paket. Först utbyts speciella paket för att upprätta en anslutning, något som ett handslag äger rum (-Hallå. -Hej. -Låt oss chatta? -Kom igen.). Vidare skickas paket fram och tillbaka över denna anslutning (det finns en konversation), och med en kontroll om paketet har nått mottagaren. Om paketet inte nådde skickas det igen ("upprepa, hörde inte").

UDPär ett anslutningslöst protokoll med icke-garanterad paketleverans. (Som: skrek något, men om de hör dig eller inte - det spelar ingen roll).

Ovanför transportskiktet är applikationslager. På denna nivå kan protokoll som t.ex http, ftp etc. Till exempel använder HTTP och FTP det pålitliga TCP-protokollet, medan DNS-servern arbetar genom det opålitliga UDP-protokollet.

Hur ser man nuvarande anslutningar?

Aktuella anslutningar kan ses med kommandot

Netstat -an

(parametern n anger att IP-adresser ska visas istället för domännamn).

Detta kommando körs så här:

"Start" - "Kör" - vi skriver cmd - "OK". I konsolen som visas ( svart fönster) skriver vi kommandot netstat -an och klickar . Resultatet blir en lista över etablerade anslutningar mellan uttagen på vår dator och fjärrvärdar.

Vi får till exempel:

Aktiva anslutningar

namn	Lokal adress	Extern adress	stat
TCP	0.0.0.0:135	0.0.0.0:0	LYSSNANDE
TCP	91.76.65.216:139	0.0.0.0:0	LYSSNANDE
TCP	91.76.65.216:1719	212.58.226.20:80	ETABLERADE
TCP	91.76.65.216:1720	212.58.226.20:80	ETABLERADE
TCP	91.76.65.216:1723	212.58.227.138:80	STÄNG VÄNTA
TCP	91.76.65.216:1724	212.58.226.8:80	ETABLERADE

...

I det här exemplet betyder 0.0.0.0:135 att vår dator lyssnar (LISTENING) på port 135 på alla dess IP-adresser och är redo att acceptera anslutningar från alla (0.0.0.0:0) som använder TCP-protokollet.

91.76.65.216:139 - vår dator lyssnar på port 139 på sin IP-adress 91.76.65.216.

Den tredje raden innebär att en anslutning nu är upprättad (ETABLISERAD) mellan vår maskin (91.76.65.216:1719) och den fjärranslutna (212.58.226.20:80). Port 80 betyder att vår maskin gjorde en förfrågan till webbservern (jag har verkligen sidor öppna i webbläsaren).

I följande artiklar kommer vi att titta på hur man till exempel kan tillämpa denna kunskap

Systemadministration ,

Kommunikationsstandarder

Låt oss anta att du är dålig på nätverksteknologier och du vet inte ens elementära grunder. Men du har fått en uppgift: att snabbt bygga ett informationsnätverk i ett litet företag. Du har varken tid eller lust att studera tjocka Talmuds om nätverksdesign, bruksanvisningar nätverksutrustning och fördjupa sig i nätverkssäkerhet. Och viktigast av allt, i framtiden har du ingen önskan att bli en professionell inom detta område. Då är den här artikeln för dig.

Den andra delen av denna artikel, som diskuterar praktisk användning grunderna som beskrivs här:

Konceptet med protokollstacken

Uppgiften är att överföra information från punkt A till punkt B. Den kan överföras kontinuerligt. Men uppgiften blir mer komplicerad om det är nödvändigt att överföra information mellan punkterna A<-->B och A<-->C över samma fysiska kanal. Om information sänds kontinuerligt, då när C vill sända information till A, måste han vänta tills B slutför överföringen och släpper kommunikationskanalen. En sådan mekanism för att överföra information är mycket obekväm och opraktisk. Och för att lösa detta problem beslutades det att dela upp informationen i delar.

Hos mottagaren behöver dessa delar sammanställas till en helhet för att ta emot informationen som kom ut från avsändaren. Men på mottagare A ser vi nu att delar av information från både B och C blandas ihop. Detta innebär att ett identifikationsnummer måste anges för varje del så att mottagaren A kan skilja informationsbitarna från B från informationsbitarna från C och samla dessa delar till det ursprungliga meddelandet. Uppenbarligen måste mottagaren veta var och i vilken form avsändaren tillskrev identifikationsuppgifterna till den ursprungliga informationen. Och för detta måste de utveckla vissa regler för bildandet och skrivningen av identifieringsinformation. Vidare kommer ordet "regel" att ersättas med ordet "protokoll".

För att möta behoven hos moderna konsumenter är det nödvändigt att specificera flera typer av identifieringsinformation samtidigt. Det kräver också skydd av överförda delar av information både från slumpmässiga störningar (under överföring över kommunikationslinjer) och från avsiktligt sabotage (hacking). För att göra detta kompletteras en del av den överförda informationen med en betydande mängd speciell serviceinformation.

Ethernet-protokollet innehåller ett nummer nätverksadapter avsändare (MAC-adress), destinationsnätverksadapternummer, typ av överförd data och direkt överförd data. En bit information som sammanställts i enlighet med Ethernet-protokollet kallas en ram. Man tror att det inte finns några nätverkskort med samma nummer. Nätverksutrustning extraherar överförda data från ramen (hårdvara eller mjukvara) och utför ytterligare bearbetning.

Som regel bildas de hämtade uppgifterna i sin tur i enlighet med IP-protokollet och har en annan typ av identifieringsinformation - mottagarens ip-adress (ett 4-byte-nummer), avsändarens ip-adress och data. Samt en hel del annan nödvändig serviceinformation. Data som genereras i enlighet med IP-protokollet kallas paket.

Därefter hämtas data från paketet. Men dessa data är som regel ännu inte de ursprungligen skickade uppgifterna. Denna information är också sammanställd i enlighet med ett visst protokoll. Mest använda TCP-protokoll. Den innehåller sådan identifieringsinformation som avsändarens port (ett två-byte nummer) och källans port, samt data- och tjänstinformation. Den extraherade datan från TCP är vanligtvis den data som programmet som körs på dator B skickade till "mottagarprogrammet" på dator A.

Häckningsprotokoll (i det här fallet TCP över IP över Ethernet) kallas protokollstacken.

ARP: Address Resolution Protocol

Det finns nätverk av klass A, B, C, D och E. De skiljer sig åt i antal datorer och i antal möjliga nätverk/delnät i dem. För enkelhetens skull, och som det vanligaste fallet, kommer vi endast att överväga ett klass C-nätverk vars ip-adress börjar på 192.168. Nästa nummer kommer att vara subnätsnumret, följt av nätverksutrustningens nummer. Till exempel vill en dator med ip-adress 192.168.30.110 skicka information till en annan dator med nummer 3, som ligger i samma logiska subnät. Det betyder att mottagarens ip-adress blir: 192.168.30.3

Det är viktigt att förstå att noden informationsnätverkär en dator ansluten med en fysisk kanal med kopplingsutrustning. De där. om vi skickar data från nätverksadaptern "till det vilda", så har de ett sätt - de kommer ut från andra änden av det tvinnade paret. Vi kan skicka absolut all data som genereras enligt vilken regel som helst som uppfunnits av oss, varken ange vare sig en ip-adress eller MAC-adress och inga andra attribut. Och om den andra änden är ansluten till en annan dator kan vi ta dem dit och tolka dem som vi behöver. Men om den andra änden är ansluten till switchen, måste i detta fall informationspaketet formas enligt strikt definierade regler, som om man ger instruktioner till switchen vad som ska göras härnäst med detta paket. Om paketet är korrekt format, kommer switchen att skicka det vidare till en annan dator, enligt vad som anges i paketet. Efter det kommer switchen att ta bort det här paketet från dess random access minne. Men om förpackningen inte var korrekt utformad, dvs. instruktionerna i den var felaktiga, då kommer paketet att "dö", dvs. omkopplaren kommer inte att skicka den någonstans, men kommer omedelbart att radera den från dess RAM.

För att överföra information till en annan dator måste tre identifieringsvärden anges i det skickade informationspaketet - mac-adress, ip-adress och port. Relativt sett är en port ett nummer som operativsystemet utfärdar till varje program som vill skicka data till nätverket. IP-adressen för mottagaren skrivs in av användaren, eller så tar programmet själv emot den, beroende på programmets särdrag. Mac-adressen är fortfarande okänd, dvs. nätverksadapternumret för mottagarens dator. För att erhålla nödvändig data skickas en "broadcast"-begäran, sammanställd enligt det så kallade "resolution protocol". ARP-adresser". Nedan är strukturen för ett ARP-paket.

Nu behöver vi inte veta värdena för alla fälten i bilden ovan. Låt oss bara fokusera på de viktigaste.

Fälten innehåller källans ip-adress och destinationens ip-adress, såväl som källans mac-adress.

Fältet "Ethernet-destinationsadress" är fyllt med enheter (ff:ff:ff:ff:ff:ff). En sådan adress kallas en broadcast-adress, och en sådan ram skickas till alla "gränssnitt på kabeln", d.v.s. alla datorer som är anslutna till switchen.

Switchen, efter att ha fått en sådan sändningsram, skickar den till alla datorer i nätverket, som om den adresserar alla med frågan: "om du är ägaren till denna ip-adress (destinations-ip-adress), vänligen berätta din mac-adress. " När en annan dator tar emot en sådan ARP-förfrågan kontrollerar den destinationens ip-adress mot sin egen. Och om det matchar, så infogar datorn sin mac-adress i stället för enheterna, byter ip- och mac-adresser för källan och destinationen, ändrar viss serviceinformation och skickar paketet tillbaka till switchen, som går tillbaka till den ursprungliga datorn, initiativtagaren till ARP-förfrågan.

På så sätt kommer din dator att känna till mac-adressen till den andra datorn du vill skicka data till. Om det finns flera datorer i nätverket samtidigt som svarar på denna ARP-förfrågan får vi en "ip-adresskonflikt". I det här fallet måste du ändra ip-adressen på datorerna så att det inte finns några identiska ip-adresser i nätverket.

Bygga nätverk

Uppgiften att bygga nätverk

I praktiken krävs det som regel att bygga nätverk, antalet datorer i vilka kommer att vara minst hundra. Och förutom fildelningsfunktionerna måste vårt nätverk vara säkert och lätt att hantera. När man bygger ett nätverk kan således tre krav urskiljas:

1. Enkelhet i hanteringen. Om revisorn Lida flyttas till ett annat kontor kommer hon fortfarande att behöva tillgång till revisorerna Annas och Yulias datorer. Och om informationsnätverket är felbyggt kan handläggaren ha svårt att ge Lida tillgång till andra revisorers datorer på sin nya plats.
2. Säkerhet. För att säkerställa säkerheten i vårt nätverk, åtkomsträttigheter till informationsresurser bör avgränsas. Nätverket måste också skyddas mot hot om avslöjande, integritet och denial of service. Läs mer i boken "Attack på Internet" av Ilya Davidovich Medvedovsky, kapitlet "Grundläggande begrepp för datorsäkerhet".
3. Nätverkshastighet. När man bygger nätverk finns det ett tekniskt problem - överföringshastighetens beroende av antalet datorer i nätverket. Ju fler datorer - desto lägre hastighet. Med ett stort antal datorer kan nätverksprestandan bli så långsam att den blir oacceptabel för kunden.

Vad är det som gör att nätverkshastigheten minskar med ett stort antal datorer? - anledningen är enkel: på grund av ett stort antal sändningsmeddelanden (SHS). AL är ett meddelande som, när det kommer till växeln, skickas till alla värdar i nätverket. Eller, grovt sett, alla datorer på ditt subnät. Om det finns 5 datorer i nätverket får varje dator 4 loopar. Om det finns 200 av dem, då varje dator i en sådan stort nätverk kommer att acceptera 199 ShS.

Det finns många applikationer mjukvarumoduler och tjänster som för sitt arbete skickar broadcast-meddelanden till nätverket. Beskrivs i stycke ARP: adressbestämningsprotokoll är bara en av många loopar som din dator skickar till nätverket. Till exempel när du går till " nätverk» (Windows OS), din dator skickar några fler loopar med särskild information, bildad enligt NetBios-protokollet, för att skanna nätverket efter datorer som finns i samma arbetsgrupp. Efter det ritar operativsystemet de hittade datorerna i fönstret "Network Neighborhood" och du ser dem.

Det är också värt att notera att under skanningsprocessen med ett visst program skickar din dator inte ett enda sändningsmeddelande, utan flera, till exempel för att installera med fjärrdatorer virtuella sessioner eller för andra systembehov som orsakas av problem i mjukvaruimplementeringen av denna applikation. Således tvingas varje dator i nätverket att skicka många olika loopar för att interagera med andra datorer och därigenom ladda kommunikationskanalen med onödiga slutanvändare information. Som praktiken visar, i stora nätverk Broadcast-meddelanden kan utgöra en betydande del av trafiken, och därigenom sakta ner nätverkets prestanda som är synlig för användaren.

Virtuella LAN

För att lösa de första och tredje problemen, såväl som för att hjälpa till att lösa det andra problemet, används mekanismen för att partitionera det lokala nätverket i mindre nätverk i stor utsträckning, som om separata lokala nätverk (Virtual Local) Area Network). Grovt sett är VLAN en lista över portar på switchen som tillhör samma nätverk. "En" i den meningen att ett annat VLAN kommer att innehålla en lista över portar som tillhör ett annat nätverk.

Faktum är att att skapa två VLAN på en switch motsvarar att köpa två switchar, d.v.s. att skapa två VLAN är som att dela en switch i två. Ett nätverk på hundra datorer är alltså uppdelat i mindre nätverk, på 5-20 datorer - som regel motsvarar detta antal datorernas fysiska placering för behovet av fildelning.

• När nätverket delas upp i VLAN uppnås enkel hantering. Så när revisorn Lida flyttar till ett annat kontor behöver administratören bara ta bort porten från ett VLAN och lägga till det i ett annat. Detta diskuteras mer i detalj i VLAN, teoriavsnittet.
• VLAN hjälper till att lösa ett av nätverkssäkerhetskraven, nämligen avgränsningen nätverksresurser. Så en elev från ett klassrum kommer inte att kunna penetrera datorerna i ett annat klassrum eller rektorns dator, eftersom. de finns faktiskt på olika nätverk.
• Eftersom vårt nätverk är uppdelat i VLAN, d.v.s. till små "liknande nätverk" försvinner problemet med broadcast-meddelanden.

VLAN, teori

Kanske frasen "det räcker för administratören att ta bort en port från ett VLAN och lägga till det till ett annat" kan vara obegripligt, så jag kommer att förklara det mer i detalj. Porten i det här fallet är inte ett nummer som utfärdats av operativsystemet till applikationen, som beskrivs i protokollstapeln, utan ett uttag (ställe) där du kan ansluta (sätta in) en RJ-45-kontakt. En sådan kontakt (dvs en spets till en tråd) är fäst vid båda ändarna av en 8-tråds tråd, som kallas ett "tvinnat par". Bilden visar en strömbrytare Cisco Catalyst 2950C-24 för 24 portar:
Som nämnts i ARP-stycket: adressbestämningsprotokoll, är varje dator ansluten till nätverket via en fysisk kanal. De där. 24 datorer kan anslutas till en 24-ports switch. Den tvinnade kabeln genomsyrar fysiskt alla företagets lokaler - alla 24 ledningar från denna switch dras till olika rum. Låt till exempel 17 sladdar gå och koppla till 17 datorer i klassrummet, 4 sladdar går till specialavdelningens kontor och resterande 3 sladdar går till nyrenoverade, nytt kontor bokföring. Och revisorn Lida förflyttades för särskilda meriter till just detta kontor.

Som nämnts ovan kan VLAN representeras som en lista ägs av nätverket hamnar. Det fanns till exempel tre VLAN på vår switch, d.v.s. tre listor lagrade i switchens flashminne. I en lista skrevs siffrorna 1, 2, 3 ... 17, i en annan 18, 19, 20, 21 och i den tredje 22, 23 och 24. Leddatorn var tidigare ansluten till den 20:e porten. Och så flyttade hon till ett annat kontor. släpade henne gammal dator till ett nytt kontor, eller så satte hon sig kl ny dator- spelar ingen roll. Huvudsaken är att hennes dator var ansluten med en partvinnad kabel, vars andra ände är insatt i port 23 på vår switch. Och för att hon ska kunna fortsätta skicka filer till sina kollegor från sin nya plats måste administratören ta bort nummer 20 från den andra listan och lägga till nummer 23. Jag noterar att en port kan tillhöra endast ett VLAN, men vi kommer att bryta denna regel i slutet av detta stycke.

Jag noterar också att när du byter portmedlemskap i VLAN behöver administratören inte "peta" kablarna i switchen. Dessutom behöver han inte ens resa sig från sin plats. Eftersom administratörens dator är ansluten till den 22:a porten, med vilken han kan fjärrstyra switchen. Självklart, tack speciella inställningar, som kommer att diskuteras senare, kan bara administratören hantera växeln. För information om hur du konfigurerar VLAN, se VLAN, öva [i nästa artikel].

Som du säkert märkt sa jag först (i avsnittet Bygga nätverk) att det kommer att finnas minst 100 datorer i vårt nätverk, men endast 24 datorer kan anslutas till switchen. Naturligtvis finns det strömbrytare med stor mängd hamnar. Men det finns fortfarande fler datorer i företags-/företagsnätverket. Och för anslutningen oändligt ett stort antal datorer i ett nätverk, sammankopplar switchar genom den så kallade trunkporten (trunken). När du konfigurerar switchen kan vilken som helst av de 24 portarna definieras som en trunkport. Och det kan finnas hur många trunkportar som helst på switchen (men det är rimligt att inte göra mer än två). Om en av portarna är definierad som en trunk, bildar switchen all information som har kommit till den i speciella paket, med hjälp av ISL- eller 802.1Q-protokollet, och skickar dessa paket till trunkporten.

All inkommande information - alltså all information som kom till den från andra hamnar. Och 802.1Q-protokollet infogas i protokollstacken mellan Ethernet och protokollet som data genererades med, som bär denna ram.

I detta exempel, som du säkert märkt, så sitter handläggaren på samma kontor som Lida, pga den vridna tiden från portarna 22, 23 och 24 leder till samma skåp. Port 24 är konfigurerad som en trunkport. Och själva växeln finns i det bakre rummet, bredvid gamla revisorskontoret och aulan som har 17 datorer.

Det tvinnade paret som går från port 24 till administratörens kontor ansluts till en annan switch, som i sin tur är kopplad till en router, vilket kommer att diskuteras i följande kapitel. Andra switchar som ansluter andra 75 datorer och är placerade i andra verktygsrum i företaget - de har alla som regel en trunkport ansluten med tvinnat par eller fiberoptik till huvudswitchen, som är placerad på kontoret med administratören .

Det sades ovan att det ibland är rimligt att göra två trunkportar. Den andra trunkporten i detta fall används för att analysera nätverkstrafik.

Så här såg stora företagsnätverk ut när Cisco Catalyst 1900-växeln var i dag. Du kanske har märkt två stora nackdelar med sådana nätverk. För det första, att använda en trunk port orsakar vissa svårigheter och skapar extraarbete när du konfigurerar hårdvaran. Och för det andra, och viktigast av allt, anta att vårt "slags nätverk" av revisorer, ekonomer och dispatcher vill ha en databas för tre. De vill att samma revisor ska kunna se förändringarna i databasen som ekonomen eller utsändaren gjorde för ett par minuter sedan. För att göra detta måste vi skapa en server som kommer att vara tillgänglig för alla tre nätverken.

Som nämnts i mitten av detta stycke kan en port bara vara i ett VLAN. Och detta gäller dock bara för switchar av Cisco Catalyst 1900 och äldre serier och för vissa yngre modeller, som Cisco Catalyst 2950. För andra switchar, i synnerhet Cisco Catalyst 2900XL, kan denna regel överträdas. När du konfigurerar portar i dessa switchar kan varje port ha fem driftlägen: Statisk åtkomst, Multi-VLAN, Dynamisk åtkomst, ISL Trunk och 802.1Q Trunk. Det andra driftsättet är precis vad vi behöver för ovanstående uppgift - att ge åtkomst till servern från tre nätverk samtidigt, d.v.s. få servern att tillhöra tre nätverk samtidigt. Detta kallas även VLAN-traversal eller taggning. I detta fall kan anslutningsschemat vara som följer.

Låt oss anta att du har dålig kunskap om nätverksteknik och inte ens kan grunderna. Men du har fått en uppgift: att snabbt bygga ett informationsnätverk i ett litet företag. Du har varken tid eller lust att studera tjocka Talmuds om nätverksdesign, instruktioner för användning av nätverksutrustning och fördjupa dig i nätverkssäkerhet. Och viktigast av allt, i framtiden har du ingen önskan att bli en professionell inom detta område. Då är den här artikeln för dig.

Den andra delen av denna artikel, som täcker den praktiska tillämpningen av grunderna som beskrivs här: Anmärkningar om Cisco Catalyst: VLAN-installation, lösenordsåterställning, blinkande IOS-operativsystemet

Konceptet med protokollstacken

Uppgiften är att överföra information från punkt A till punkt B. Den kan överföras kontinuerligt. Men uppgiften blir mer komplicerad om det är nödvändigt att överföra information mellan punkterna A<-->B och A<-->C över samma fysiska kanal. Om information sänds kontinuerligt, då när C vill sända information till A, måste han vänta tills B slutför överföringen och släpper kommunikationskanalen. En sådan mekanism för att överföra information är mycket obekväm och opraktisk. Och för att lösa detta problem beslutades det att dela upp informationen i delar.

Hos mottagaren behöver dessa delar sammanställas till en helhet för att ta emot informationen som kom ut från avsändaren. Men på mottagare A ser vi nu att delar av information från både B och C blandas ihop. Detta innebär att ett identifikationsnummer måste anges för varje del så att mottagaren A kan skilja informationsbitarna från B från informationsbitarna från C och samla dessa delar till det ursprungliga meddelandet. Uppenbarligen måste mottagaren veta var och i vilken form avsändaren tillskrev identifikationsuppgifterna till den ursprungliga informationen. Och för detta måste de utveckla vissa regler för bildandet och skrivningen av identifieringsinformation. Vidare kommer ordet "regel" att ersättas med ordet "protokoll".

För att möta behoven hos moderna konsumenter är det nödvändigt att specificera flera typer av identifieringsinformation samtidigt. Det kräver också skydd av överförda delar av information både från slumpmässiga störningar (under överföring över kommunikationslinjer) och från avsiktligt sabotage (hacking). För att göra detta kompletteras en del av den överförda informationen med en betydande mängd speciell serviceinformation.

Ethernet-protokollet innehåller numret på avsändarens nätverksadapter (MAC-adress), numret på destinationens nätverksadapter, typen av data som överförs och data som överförs direkt. En bit information som sammanställts i enlighet med Ethernet-protokollet kallas en ram. Man tror att det inte finns några nätverkskort med samma nummer. Nätverksutrustning extraherar överförda data från ramen (hårdvara eller mjukvara) och utför ytterligare bearbetning.

Som regel bildas de hämtade uppgifterna i sin tur i enlighet med IP-protokollet och har en annan typ av identifieringsinformation - mottagarens ip-adress (ett 4-byte-nummer), avsändarens ip-adress och data. Samt en hel del annan nödvändig serviceinformation. Data som genereras i enlighet med IP-protokollet kallas paket.

Därefter hämtas data från paketet. Men dessa data är som regel ännu inte de ursprungligen skickade uppgifterna. Denna information är också sammanställd i enlighet med ett visst protokoll. Det mest använda protokollet är TCP. Den innehåller sådan identifieringsinformation som avsändarens port (ett två-byte nummer) och källans port, samt data- och tjänstinformation. Den extraherade datan från TCP är vanligtvis den data som programmet som körs på dator B skickade till "mottagarprogrammet" på dator A.

Kapslingen av protokoll (i det här fallet TCP över IP över Ethernet) kallas protokollstacken.

ARP: Address Resolution Protocol

Det finns nätverk av klass A, B, C, D och E. De skiljer sig åt i antal datorer och i antal möjliga nätverk/delnät i dem. För enkelhetens skull, och som det vanligaste fallet, kommer vi endast att överväga ett klass C-nätverk vars ip-adress börjar på 192.168. Nästa nummer kommer att vara subnätsnumret, följt av nätverksutrustningens nummer. Till exempel vill en dator med ip-adress 192.168.30.110 skicka information till en annan dator med nummer 3, som ligger i samma logiska subnät. Det betyder att mottagarens ip-adress blir: 192.168.30.3

Det är viktigt att förstå att en informationsnätverksnod är en dator som är ansluten via en fysisk kanal till omkopplingsutrustning. De där. om vi skickar data från nätverksadaptern "till det vilda", så har de ett sätt - de kommer ut från andra änden av det tvinnade paret. Vi kan skicka absolut vilken data som helst enligt vilken regel som helst som uppfunnits av oss, utan att specificera vare sig ip-adressen eller mac-adressen eller andra attribut. Och om den andra änden är ansluten till en annan dator kan vi ta dem dit och tolka dem som vi behöver. Men om den andra änden är ansluten till switchen, måste i detta fall informationspaketet formas enligt strikt definierade regler, som om man ger instruktioner till switchen vad som ska göras härnäst med detta paket. Om paketet är korrekt format, kommer switchen att skicka det vidare till en annan dator, enligt vad som anges i paketet. Efter det kommer switchen att radera detta paket från dess RAM. Men om förpackningen inte var korrekt utformad, dvs. instruktionerna i den var felaktiga, då kommer paketet att "dö", dvs. omkopplaren kommer inte att skicka den någonstans, men kommer omedelbart att radera den från dess RAM.

För att överföra information till en annan dator måste tre identifieringsvärden anges i det skickade informationspaketet - mac-adress, ip-adress och port. Relativt sett är en port ett nummer som operativsystemet utfärdar till varje program som vill skicka data till nätverket. IP-adressen för mottagaren skrivs in av användaren, eller så tar programmet själv emot den, beroende på programmets särdrag. Mac-adressen är fortfarande okänd, dvs. nätverksadapternumret för mottagarens dator. För att erhålla nödvändiga data skickas en "broadcast"-begäran, sammanställd enligt det så kallade "ARP-adressupplösningsprotokollet". Nedan är strukturen för ett ARP-paket.

Nu behöver vi inte veta värdena för alla fälten i bilden ovan. Låt oss bara fokusera på de viktigaste.

Fälten innehåller källans ip-adress och destinationens ip-adress, såväl som källans mac-adress.

Fältet "Ethernet-destinationsadress" är fyllt med enheter (ff:ff:ff:ff:ff:ff). En sådan adress kallas en broadcast-adress, och en sådan ram skickas till alla "gränssnitt på kabeln", d.v.s. alla datorer som är anslutna till switchen.

Switchen, efter att ha fått en sådan sändningsram, skickar den till alla datorer i nätverket, som om den adresserar alla med frågan: "om du är ägaren till denna ip-adress (destinations-ip-adress), vänligen berätta din mac-adress. " När en annan dator tar emot en sådan ARP-förfrågan kontrollerar den destinationens ip-adress mot sin egen. Och om det matchar, så infogar datorn sin mac-adress i stället för enheterna, byter ip- och mac-adresser för källan och destinationen, ändrar viss serviceinformation och skickar paketet tillbaka till switchen, som går tillbaka till den ursprungliga datorn, initiativtagaren till ARP-förfrågan.

På så sätt kommer din dator att känna till mac-adressen till den andra datorn du vill skicka data till. Om det finns flera datorer i nätverket samtidigt som svarar på denna ARP-förfrågan får vi en "ip-adresskonflikt". I det här fallet måste du ändra ip-adressen på datorerna så att det inte finns några identiska ip-adresser i nätverket.

Bygga nätverk

Uppgiften att bygga nätverk

I praktiken krävs det som regel att bygga nätverk, antalet datorer i vilka kommer att vara minst hundra. Och förutom fildelningsfunktionerna måste vårt nätverk vara säkert och lätt att hantera. När man bygger ett nätverk kan således tre krav urskiljas:

1. Enkelhet i hanteringen. Om revisorn Lida flyttas till ett annat kontor kommer hon fortfarande att behöva tillgång till revisorerna Annas och Yulias datorer. Och om informationsnätverket är felbyggt kan handläggaren ha svårt att ge Lida tillgång till andra revisorers datorer på sin nya plats.
2. Säkerhet. För att säkerställa säkerheten i vårt nätverk måste åtkomsträttigheterna till informationsresurser differentieras. Nätverket måste också skyddas mot hot om avslöjande, integritet och denial of service. Läs mer i boken "Attack på Internet" av Ilya Davidovich Medvedovsky, kapitlet "Grundläggande begrepp för datorsäkerhet".
3. Nätverkshastighet. När man bygger nätverk finns det ett tekniskt problem - överföringshastighetens beroende av antalet datorer i nätverket. Ju fler datorer - desto lägre hastighet. Med ett stort antal datorer kan nätverksprestandan bli så långsam att den blir oacceptabel för kunden.

Vad är det som gör att nätverkshastigheten minskar med ett stort antal datorer? - Anledningen är enkel: på grund av det stora antalet broadcast-meddelanden (SHS). AL är ett meddelande som, när det kommer till växeln, skickas till alla värdar i nätverket. Eller, grovt sett, alla datorer på ditt subnät. Om det finns 5 datorer i nätverket får varje dator 4 loopar. Om det finns 200 av dem kommer varje dator i ett så stort nätverk att få 199 loopar.

Det finns ett stort antal applikationer, programvarumoduler och tjänster som skickar broadcast-meddelanden till nätverket för sitt arbete. Beskrivs i stycke ARP: adressbestämningsprotokoll är bara en av många loopar som din dator skickar till nätverket. Till exempel, när du går till "Network Neighborhood" (Windows OS), skickar din dator flera fler AL:er med specialinformation som genereras av NetBios-protokollet för att skanna nätverket efter datorer som är i samma arbetsgrupp. Efter det ritar operativsystemet de hittade datorerna i fönstret "Network Neighborhood" och du ser dem.

Det är också värt att notera att under skanningsprocessen med ett eller annat program skickar din dator inte ett enda sändningsmeddelande, utan flera, till exempel för att upprätta virtuella sessioner med fjärrdatorer eller för andra systembehov som orsakas av mjukvaruproblem implementering av denna applikation. Således tvingas varje dator i nätverket att skicka många olika AL:er för att interagera med andra datorer, och laddar därmed kommunikationskanalen med information som slutanvändaren inte behöver. Som praxis visar kan broadcast-meddelanden i stora nätverk utgöra en betydande del av trafiken och därigenom sakta ner det nätverk som är synligt för användaren.

Virtuella LAN

För att lösa det första och tredje problemet, såväl som för att hjälpa till att lösa det andra problemet, används mekanismen för att dela upp det lokala nätverket i mindre nätverk, som separata lokala nätverk (Virtual Local Area Network), i stor utsträckning. Grovt sett är VLAN en lista över portar på switchen som tillhör samma nätverk. "En" i den meningen att ett annat VLAN kommer att innehålla en lista över portar som tillhör ett annat nätverk.

Faktum är att att skapa två VLAN på en switch motsvarar att köpa två switchar, d.v.s. att skapa två VLAN är som att dela en switch i två. Ett nätverk på hundra datorer är alltså uppdelat i mindre nätverk, på 5-20 datorer - som regel motsvarar detta antal datorernas fysiska placering för behovet av fildelning.

• När nätverket delas upp i VLAN uppnås enkel hantering. Så när revisorn Lida flyttar till ett annat kontor behöver administratören bara ta bort porten från ett VLAN och lägga till det i ett annat. Detta diskuteras mer i detalj i VLAN, teoriavsnittet.
• VLAN hjälper till att lösa ett av nätverkssäkerhetskraven, nämligen avgränsningen av nätverksresurser. Så en elev från ett klassrum kommer inte att kunna penetrera datorerna i ett annat klassrum eller rektorns dator, eftersom. de finns faktiskt på olika nätverk.
• Eftersom vårt nätverk är uppdelat i VLAN, d.v.s. till små "liknande nätverk" försvinner problemet med broadcast-meddelanden.

VLAN, teori

Kanske frasen "det räcker för administratören att ta bort en port från ett VLAN och lägga till det till ett annat" kan vara obegripligt, så jag kommer att förklara det mer i detalj. Porten i det här fallet är inte ett nummer som utfärdats av operativsystemet till applikationen, som beskrivs i protokollstapeln, utan ett uttag (ställe) där du kan ansluta (sätta in) en RJ-45-kontakt. En sådan kontakt (dvs en spets till en tråd) är fäst vid båda ändarna av en 8-tråds tråd, som kallas ett "tvinnat par". Bilden visar en 24-portars Cisco Catalyst 2950C-24-switch:
Som nämnts i ARP-stycket: adressbestämningsprotokoll, är varje dator ansluten till nätverket via en fysisk kanal. De där. 24 datorer kan anslutas till en 24-ports switch. Den tvinnade kabeln genomsyrar fysiskt alla företagets lokaler - alla 24 ledningar från denna switch dras till olika rum. Låt t ex 17 ledningar gå och koppla till 17 datorer i klassrummet, 4 ledningar går till specialavdelningens kontor och resterande 3 ledningar går till det nyrenoverade, nya redovisningsrummet. Och revisorn Lida förflyttades för särskilda meriter till just detta kontor.

Som nämnts ovan kan VLAN representeras som en lista över portar som hör till nätverket. Det fanns till exempel tre VLAN på vår switch, d.v.s. tre listor lagrade i switchens flashminne. I en lista skrevs siffrorna 1, 2, 3 ... 17, i en annan 18, 19, 20, 21 och i den tredje 22, 23 och 24. Leddatorn var tidigare ansluten till den 20:e porten. Och så flyttade hon till ett annat kontor. De släpade hennes gamla dator till ett nytt kontor, eller så satte hon sig vid en ny dator - det spelar ingen roll. Huvudsaken är att hennes dator var ansluten med en partvinnad kabel, vars andra ände är insatt i port 23 på vår switch. Och för att hon ska kunna fortsätta skicka filer till sina kollegor från sin nya plats måste administratören ta bort nummer 20 från den andra listan och lägga till nummer 23. Jag noterar att en port kan tillhöra endast ett VLAN, men vi kommer att bryta denna regel i slutet av detta stycke.

Jag noterar också att när du byter portmedlemskap i VLAN behöver administratören inte "peta" kablarna i switchen. Dessutom behöver han inte ens resa sig från sin plats. Eftersom administratörens dator är ansluten till den 22:a porten, med vilken han kan fjärrstyra switchen. Naturligtvis, tack vare speciella inställningar, som kommer att diskuteras senare, kan bara administratören hantera växeln. För information om hur du konfigurerar VLAN, se VLAN, öva [i nästa artikel].

Som du säkert märkt sa jag först (i avsnittet Bygga nätverk) att det kommer att finnas minst 100 datorer i vårt nätverk, men endast 24 datorer kan anslutas till switchen. Naturligtvis finns det switchar med fler portar. Men det finns fortfarande fler datorer i företags-/företagsnätverket. Och för att ansluta ett oändligt antal datorer till ett nätverk är switchar sammankopplade via den så kallade trunkporten (trunken). När du konfigurerar switchen kan vilken som helst av de 24 portarna definieras som en trunkport. Och det kan finnas hur många trunkportar som helst på switchen (men det är rimligt att inte göra mer än två). Om en av portarna är definierad som en trunk, bildar switchen all information som har kommit till den i speciella paket, med hjälp av ISL- eller 802.1Q-protokollet, och skickar dessa paket till trunkporten.

All inkommande information - alltså all information som kom till den från andra hamnar. Och 802.1Q-protokollet infogas i protokollstacken mellan Ethernet och protokollet som data genererades med, som bär denna ram.

I det här exemplet sitter, som du säkert har märkt, administratören på samma kontor med Lida, pga den vridna tiden från portarna 22, 23 och 24 leder till samma skåp. Port 24 är konfigurerad som en trunkport. Och själva växeln finns i det bakre rummet, bredvid gamla revisorskontoret och aulan som har 17 datorer.

Det tvinnade paret som går från port 24 till administratörens kontor ansluts till en annan switch, som i sin tur är kopplad till en router, vilket kommer att diskuteras i följande kapitel. Andra switchar som ansluter andra 75 datorer och är placerade i andra verktygsrum i företaget - de har alla som regel en trunkport ansluten med tvinnat par eller fiberoptik till huvudswitchen, som är placerad på kontoret med administratören .

Det sades ovan att det ibland är rimligt att göra två trunkportar. Den andra trunkporten i detta fall används för att analysera nätverkstrafik.

Så här såg stora företagsnätverk ut när Cisco Catalyst 1900-växeln var i dag. Du kanske har märkt två stora nackdelar med sådana nätverk. För det första orsakar användningen av en trunkport viss komplexitet och skapar onödigt arbete när du konfigurerar utrustningen. Och för det andra, och viktigast av allt, anta att vårt "slags nätverk" av revisorer, ekonomer och dispatcher vill ha en databas för tre. De vill att samma revisor ska kunna se förändringarna i databasen som ekonomen eller utsändaren gjorde för ett par minuter sedan. För att göra detta måste vi skapa en server som kommer att vara tillgänglig för alla tre nätverken.

Som nämnts i mitten av detta stycke kan en port bara vara i ett VLAN. Och detta gäller dock bara för switchar av Cisco Catalyst 1900 och äldre serier och för vissa yngre modeller, som Cisco Catalyst 2950. För andra switchar, i synnerhet Cisco Catalyst 2900XL, kan denna regel överträdas. När du konfigurerar portar i dessa switchar kan varje port ha fem driftlägen: Statisk åtkomst, Multi-VLAN, Dynamisk åtkomst, ISL Trunk och 802.1Q Trunk. Det andra driftsättet är precis vad vi behöver för ovanstående uppgift - att ge åtkomst till servern från tre nätverk samtidigt, d.v.s. få servern att tillhöra tre nätverk samtidigt. Detta kallas även VLAN-traversal eller taggning. I detta fall kan anslutningsschemat vara som följer.