Частные адреса и система NAT.

 

Другое временное решение проблемы исчерпания адресного пространства заключается в использовании частных областей IP-адресов (RFC 1918). В эпоху протокола CIDR организации получали свои IP-адреса у провайдеров Интернет. Если организация хотела сменить провайдера, она должна была оплатить услуги по переадресации своих сетей. Дело в том, что провайдер предоставлял адресное пространство только своим клиентам. При смене провайдера можно было попытаться убедить старого провайдера оставить зарезервированные за организацией адреса и попросить нового провайдера настроить на них систему маршрутизации. Но обычно провайдеры не хотели заниматься подобными вещами и требовали от клиентов перерегистрации.

В противоположность этому частные адреса не известны провайдеру. Документ RFC1918 определил, что одна сеть класса А, 16 сетей класса В и 256 сетей класса С резервируются для частного использования и никогда не выделяются глобально. Это делается для того, чтобы пакеты, несущие в себе частные адреса, никогда не выходили в глобальную сеть. Их должен фильтровать маршрутизатор. В табл. 3 представлены диапазоны частных адресов (в последней колонке каждый диапазон представлен в более короткой нотации протокола C1DR). Из перечисленных диапазонов организации могут выбирать для себя сети нужного размера. В настоящее время такие IP-адреса называют «серыми».

 

Таблица 3. IP-адреса, зарезервированные для частного использования.

 

Класс	Начало диапазона	Конец диапазона	Диапазон в нотации CIDR
A	10.0.0.0	10.255.255.255	10.0.0.0/8
B	172.16.0.0	176.31.255.255	172.16.0.0/12
C	192.168.0.0	192.168.255.255	192.168.0.0/16

 

Чтобы узлы, использующие частные адреса, могли получать доступ в Интернет, на пограничном маршрутизаторе организации выполняется система NAT (Network Address Translation — трансляция сетевых адресов). Эта система перехватывает пакеты и заменяет в них адрес отправителя реальным внешним IP-адресом. Может также происходить замена номера порта. Система хранит таблицу преобразований между внутренними и внешними адресами/портами, чтобы ответные пакеты могли поступить правильному адресату.

Благодаря использованию номеров портов появляется возможность под­ключить несколько исходящих соединений к общему IP-адресу. Таким образом, группа внутренних узлов может совместно использовать одинаковый внешний IP-адрес. Иногда в организации достаточно иметь один-единственный «настоящий» внешний адрес.

Организация, использующая систему NAT, по-прежнему должна запра­шивать диапазон адресов у провайдера, но большинство адресов теперь используется для внутрисистемных привязок и не назначается отдельным компьютерам. Если организация захочет сменить провайдера, потребуется лишь изменить конфигурацию пограничного маршрутизатора и системы NAT, но не самих компьютеров. Система NAT реализована в маршрутизаторах большинства фирм-производителей, включая Cisco. Можно также заставить непосредственно операционную систему выполнять функции NAT, хотя данный способ и не рекомендуется. Подобной способностью обладают операционные системы Red Hat и FreeBSD (строго говоря, Red Hat поддерживает систему PAT (Port Address Translation — трансляция адресов портов), а не NAT; IP-адрес машины, выполняющей трансляцию, используется в качестве единственного "внешнего" адреса, а номер исходящего порта служит основой для мультиплексирования соединений).

Неправильная конфигурация системы NAT может привести к тому, что пакеты с частными адресами начнут проникать в Интернет. Они достигнут узла назначения, но ответные пакеты не смогут прийти обратно. Организация CAIDA (Cooperative Association for Интернет Data Analysis — совместная ассоциация по анализу данных в сети Интернет), занимающаяся замером трафика магистральных сетей, сообщает о том, что 0.1-0.2% пакетов, проходящих через магистраль, имеют либо частные адреса, либо неправиль­ные контрольные суммы. На первый взгляд, это кажется очень незначитель­ным показателем, но на самом деле он приводит к тому, что через узел МАЕ-West (одна из основных точек обмена, через которую идет трафик различных провайдеров Интернет) каждые 10 минут проходит более 20000 «лишних» пакетов. Дополнительную информацию по статистике сети Интернет и средствам измерения производительности глобальной сети можно получить на Web-узле www.caida.org.

Особенностью системы NAT, которую можно рассматривать и как недостаток, и как преимущество, является то, что произвольный узел в сети Интернет не может напрямую подключиться к внутреннему компьютеру вашей организации. В некоторых реализациях (например, в брандмауэрах Cisco PIX) разрешается создавать туннели, которые поддерживают прямые соединения с выбранными узлами.

Другая проблема заключается в том, что некоторые приложения встраи­вают IP-адреса в информационную часть пакетов. Такие приложения (к ним относятся определенные протоколы маршрутизации, программы потоковой доставки данных RealVideo и SHOUTcast, FTP-команды PORT и PASV, сообщения ICQ и многие игры) не могут нормально работать совместно с NAT.

Система NAT скрывает внутреннюю структуру сети. Это может показаться достоинствам с точки зрения безопасности, но специалисты в данной области говорят, что на самом деле система NAT не обеспечивает должную безопасность и уж во всяком случае не устраняет потребность в брандмауэре. Кроме того, она препятствует попыткам оценить размеры и топологию сети Интернет.

Адресация в стандарте IPv6.

 

В IPv6 адрес имеет длину 128 битов (16 байтов). Изначально столь длинные адреса вводились для того, чтобы решить проблему сокращения адресного простран­ства IPv4. Сегодня они также служат целям маршрутизации и локализации ссылок.

IP-адреса никогда не были географически упорядочены подобно тому, как это имеет место в случае телефонных номеров или почтовых индексов.

Теперь, с внедрением в стандарт IPv6 понятия сегментации адресного пространства, IP-адреса стали, по крайней мере, группироваться в кластеры вокруг провайдеров Интернет.

Граница между сетевой и машинной частями адреса в IPv6 зафиксирована на отметке 64 бита. В сетевой части адреса граница между блоками общей и локальной топологии также зафиксирована и проходит на отметке 48 битов, как представлено в табл. 4.

 

Таблица 4. Формат адреса IPv6.

 

Полный адрес IPv6 (128 битов)
Тип адреса	Префикс провайдера	Подсеть	Идентификатор узла
3 бита	45 битов	16 битов	64 бита

В таблице 5 представлена интерпретация каждого компонента адреса в формате IPv6.

 

Таблица 5. Компоненты адреса IPv6.

Биты	Акроним	Интерпретация
1-3	FP	Format Prefix – префикс формата: определяет тип адреса, например, однонаправленный или групповой.
4-16	TLA ID	Тop-Level Aggregation ID – идентификатор агрегации верхнего уровня, например провайдера магистральной сети.
17-24	RES	Reserved – зарезервировано на будущее.
25-48	NLA ID	Next-Level Aggregation ID – идентификатор агрегации следующего уровня, например регионального провайдера Интернет или организации.
49-64	SLA ID	Side-Level Aggregation ID – идентификатор агрегации уровня организации, например локальной подсети.
65-128	INTERFACE ID	Идентификатор интерфейса (МАС-адрес плюс биты-заполнители).

Из перечисленных элементов только идентификаторы SLA и INTERFACE "принадлежат" узлу и организации, в которой он находится. Другие идентификаторы предоставляются провайдером. Идентификатор SLA опреде­ляет локальную подсеть, а 64-разрядный идентификатор интерфейса опреде­ляет сетевую плату компьютера В последнем, как правило, содержится 48-разрядный МАС-адрес, внутрь которого вставлены два байта-заполнителя (0xFFFE). Специальный бит МАС-адреса (седьмой слева в старшем байте), называемый битом "и", определяет то, каким является этот адрес: универ­сальным или локальным (RFC2373). Его наличие позволяет автоматически нумеровать узлы, что очень удобно для администраторов, которым остается управлять только подсетями.

В IPv6 МАС-адреса видны на уровне IP, что имеет как положительные, так и отрицательные стороны. Тип и модель сетевой платы кодируются в первой половине МАС-адреса, что облетает задачу хакерам. Это вызвало беспокойство со стороны специалистов в области безопасности. Однако разработчики стандарта IPv6 указали на то, что использование МАС-адресов не является обязательным. Были предложены схемы включения случайного идентификатора в локальную часть адреса.

С другой стороны, назначать адреса IPv6 проще, чем адреса IPv4, так как нужно отслеживать только адрес подсети. Узлы могут самостоятельно конфигурировать себя (по крайней мере, теоретически).

Префикс формата определяет тип адреса: однонаправленный, групповой или широковещательный. Для однонаправленных адресов префикс равен 001 (в двоичной системе). Идентификаторы TLA и NLA определяют соответст­венно магистральный сервер верхнего уровня и локального провайдера Интернет.

Большинство поставщиков разрабатывает или уже внедрило в эксплуата­цию собственный стек протоколов IPv6.

Подробную информацию о реализации стека IPv6 можно получить по адресу http://playground.sun.com/piJb/ipng/html/ipng-iniplementation.html

Вот несколько полезных источников информации, касающейся IPv6:

4. www.6bone.net — испытательный полигон для сетей IPv6;

5. www.6ren.net — всемирная научно-исследовательская и общеобразователь­ная сеть IPv6;

6. www.ipv6.org — список FAQ-документов и различная техническая инфор­мация;

7. www.ipv6forum.com — форум приверженцев IPv6.

Основное преимущество стандарта IPv6 заключается в том, что он решает проблему смены адресов. В пространстве IPv4 провайдеры выделяют адресные блоки своим клиентам, но эти адреса не являются переносимыми – когда клиент меняет провайдера, он должен вернуть старые адреса и запросить новые. В IPv6 новый провайдер просто предоставляет клиенту собственный адресный префикс, который добавляется к локальной части существующего адреса. Обычно это выполняется на одной машине: пограничном маршрути­заторе организации. Подобная схема напоминает систему NAT, но лишена ее недостатков.

 

ЗАКЛЮЧЕНИЕ

 

Протокол IPv6 предназначен для преодоления кризиса IP-адресов, однако его реализация достаточно сложна. Эффективность протокола CIDR и системы NAT, инертность существующей сети Интернет, а также сложность протокола IPv6 позволяют предположить, что глобальный переход на данную версию IP-протокола произойдет не скоро.

Интенсифицирующим фактором могут выступить страны Японии и Китая, особенно остро нуждающиеся в расширении адресного пространства. Кроме того, ускорить переход на IPv6 может появление каких-либо новых уникальных популярных систем, ориентированных на стандарт IPv6.

Кандидатами на эту роль могут быть WAP-терминалы или беспроводные устройства, встраивающие телефонные номера в адреса IPv6. Системы передачи голосовых данных по IP-сетям также выиграют от более близкого соответствия телефонных номеров и адресов IPv6.