По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Первая часть статьи доступна по ссылке: Базовая настройка коммутатора Cisco - часть 1
Защита доступа в пользовательском режиме с помощью локальных имен пользователей и паролей
Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable.
Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3.
На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local."
На рисунке в Пользовательском режиме используется две команды:
1- username ulanbaby secret box
2- username landy secret box
Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль. Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username <имя пользователя> secret <пароль>. Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local. По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему."
Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей.
Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля:
Шаг 1. В режиме глобальной конфигурации используйте команду username <имя пользователя > secret <пароль>, чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора.
Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора:
используйте команду line con 0 для входа в режим конфигурации консоли.
используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей.
(необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.
Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора:
1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15).
2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей.
3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.
При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен.
В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности.
Защита доступа в пользовательском режиме с помощью внешних серверов аутентификации
В конце примера 4 показано одно из многочисленных улучшений безопасности, когда требуется, чтобы каждый пользователь входил под своим собственным именем пользователя. Также в конце примера показано, как пользователь входит в режим конфигурации (configure terminal), а затем сразу же покидает его (end). Обратите внимание, что при выходе пользователя из режима конфигурации коммутатор генерирует сообщение журнала (log). Если пользователь вошел в систему с именем пользователя, сообщение журнала (log) идентифицирует это имя пользователя; В примере сгенерировано сообщение журнала по имени "ulanbaby".
Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены.
Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее.
Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы.
Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора.
При использовании AAA-сервера для аутентификации коммутатор (или маршрутизатор) просто отправляет сообщение на AAA-сервер, спрашивая, разрешены ли имя пользователя и пароль, и AAA-сервер отвечает.
На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны.
На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему.
Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети.
Настройка защищенного удаленного доступа по SSHl
До сих пор мы рассматривали доступ к коммутатору по консоли и Telnet, в основном игнорируя SSH. У Telnet есть один серьезный недостаток: все данные в сеансе Telnet передаются в открытом виде, включая обмен паролями. Таким образом, любой, кто может перехватывать сообщения между Пользователем и коммутатором (man-in-the-middle attack), может видеть пароли. SSH шифрует все данные, передаваемые между SSH-клиентом и сервером, защищая данные и пароли.
SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.)
Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH.
На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе.
На рисунке показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показан листинг настройки SSH. Для настройки SSH на рисунке, отображаются команды:
hostname sw-1 (задает имя коммутатору)
ip domain-name testing.com (команда использует полное доменное имя sw-1.testing.com)
crypto key generate rsa.
Для локальной конфигурации имени пользователя (например, Telnet) отображаются следующие команд:
username ulanbaby secret box
username landy secret man
line vty 0 15
login local
IOS использует три команды: две для конфигурации SSH, а также одну команду для создания ключей шифрования SSH. Сервер SSH использует полное доменное имя коммутатора в качестве входных данных для создания этого ключа. Коммутатор создает полное доменное имя из имени хоста и доменного имени коммутатора. Рисунок 5 начинается с установки обоих значений (на тот случай, если они еще не настроены). Затем третья команда, команда crypto key generate rsa, генерирует ключи шифрования SSH. IOS по умолчанию использует SSH-сервер. Кроме того, IOS по умолчанию разрешает SSH-соединения по vty.
Просмотр настроек в режиме конфигурации, шаг за шагом, может быть особенно полезен при настройке SSH. Обратите внимание, в частности, что в этом примере команда crypto key запрашивает у пользователя модуль ключа; вы также можете добавить параметр modulus modulus-value в конец команды crypto key, чтобы добавить этот параметр в команду. В примере 5 показан порядок настройки ssh ( такие же команды, что и на рис. 5) Ключ шифрования является последним шагом.
Ранее упоминалось, что одним полезным значением по умолчанию было то, что коммутатор по умолчанию поддерживает как SSH, так и Telnet на линиях vty. Однако, поскольку Telnet не безопасный протокол передачи данных, то вы можете отключить Telnet, чтобы обеспечить более жесткую политику безопасности.
Для управления тем, какие протоколы коммутатор поддерживает на своих линиях vty, используйте подкоманду transport input {all | none / telnet / ssh} vty в режиме vty со следующими опциями:
transport input all or transport input telnet ssh поддержка как Telnet, так и SSH
transport input none: не поддерживается ни один протокол
transport input telnet: поддержка только Telnet
transport input ssh: поддержка только SSH
В завершении этой части статьи о SSH, расписана пошаговая инструкция настройки коммутатора Cisco для поддержки SSH с использованием локальных имен пользователей. (Поддержка SSH в IOS может быть настроена несколькими способами; эта пошаговая инструкция показывает один простой способ ее настройки.)
Процесс, показанный здесь, заканчивается инструкцией настройки локального имени пользователя на линиях vty, как было обсуждено ранее в первой части данной серии статей.
Шаг 1. Настройте коммутатор так, чтобы он генерировал совпадающую пару открытых и закрытых ключей для шифрования:
если еще не настроено, задайте командой hostnamename имя для этого коммутатора в режиме глобальной конфигурации.
Если еще не настроено, задайте командой ip domain-namename доменное имя для коммутатора в режиме глобальной конфигурации.
Используйте команду crypto key generate rsa в режиме глобальной конфигурации (или команду crypto key generate RSA modulus modulus-value, чтобы избежать запроса модуля ключа) для генерации ключей. (Используйте по крайней мере 768-битный ключ для поддержки SSH версии 2.)
Шаг 2. (Необязательно) используйте команду ip ssh version 2 в режиме глобальной конфигурации, чтобы переопределить значение по умолчанию для поддержки обеих версий протокола удаленного доступа SSH 1 и 2, так что бы разрешены были только соединения SSHv2.
Шаг 3. (Необязательно) если вы еще не настроили нужный параметр, задайте на линии vty для работы по SSH и Telnet.:
используйте команду transport input ssh в режиме конфигурации линий vty, чтобы разрешить только SSH.
используйте команду transport input all (по умолчанию) или команду transport input telnet ssh в режиме конфигурации линий vty, чтобы разрешить как SSH, так и Telnet.
Шаг 4. Используйте различные команды в режиме конфигурации линий vty для настройки локальной аутентификации имени пользователя, как описано ранее в этой статье.
На маршрутизаторах Cisco часто по умолчанию настроен параметр transport input none. Поэтому необходимо добавить подкоманду transport input line для включения Telnet и / или SSH в маршрутизаторе.
Для просмотра информации о состояния SSH на коммутаторе используются две команды. Во-первых, команда show ip ssh выводит информацию о состоянии самого SSH-сервера. Затем команда show ssh выводит информацию о каждом клиенте SSH, подключенном в данный момент к коммутатору. В пример 6 показаны примеры работы каждой из команд, причем пользователь ULANBABY в данный момент подключен к коммутатору.
Почитать лекцию №21 про беспроводную связь по 802.11 можно тут.
В предыдущих лекциях мы рассмотрели два примера передачи данных вида point-to-point по физическим носителям. В этих лекциях будут рассмотрены четыре примера передачи данных вида end-to-end. На рисунке 1 показана Recursive Internet Architecture (RINA).
Конечно, не каждый транспортный протокол точно сопоставляется с одним функциональным слоем в RINA, но сопоставление достаточно близко, чтобы быть полезным. Главное, что нужно запомнить-для каждого транспортного протокола есть четыре вопроса, которые вы можете задать:
Как протокол обеспечивает передачу данных или как он упорядочивает данные?
Как протокол предоставляет услуги мультиплексирования или возможность передавать несколько потоков данных на одном общем ресурсе?
Как протокол обеспечивает контроль ошибок, который должен включать не только обнаружение ошибок, но и устранение ошибок - либо путем повторной передачи, либо путем предоставления информации, достаточной для восстановления исходной информации?
Как протокол обеспечивает управление потоком?
Каждый из этих вопросов может включать ряд дополнительных вопросов, таких как определение Maximum Transmission Unit (MTU), обеспечение репликации пакетов для многоадресной рассылки и т. д.
В этих лекциях будут рассмотрены четыре протокола:
Интернет-протокол (IP), который обеспечивает нижнюю половину второй пары слоев. Основное внимание при рассмотрении IP уделяется схеме адресации для мультиплексирования и способности обеспечивать единый способ передачи данных для множества различных физических транспортных систем.
Протокол управления передачей (TCP), который обеспечивает одну версию верхней половины второй пары уровней. TCP обеспечивает управление ошибками и потоками, а также место для переноса информации о мультиплексировании для приложений и других протоколов, которые работают поверх TCP.
Протокол Quick User Datagram Protocol Internet Connections (QUIC), который обеспечивает другую версию верхней половины второй пары уровней. QUIC очень похож на TCP по своим функциям, но имеет некоторые существенные отличия от TCP в том, как он работает.
Протокол управляющих сообщений Интернета (ICMP).
Internet Protocol (IP)
Интернет-протокол (IP) был первоначально задокументирован в серии документов спецификации Интернет-протокола, называемых IEN, в середине 1970-х годов, в основном написанных Jonathan B. Postel. В этих документах описан протокол TCP, который при первоначальном развертывании включал в себя функции, содержащиеся в двух протоколах, IP и TCP. Postel отметил, что такое сочетание функциональности в едином протоколе не очень хорошо;
Адресное пространство IPv4 представляет собой 32-битное целое число без знака, что означает, что оно может нумеровать или адресовать 232 устройства - около 4,2 миллиарда устройств. Звучит много, но на самом деле все иначе по нескольким причинам:
Каждый адрес представляет один интерфейс, а не одно устройство. Фактически, IP-адреса часто используются для представления службы или виртуального хоста (или машины), что означает, что одно устройство часто будет использовать более одного IP-адреса.
Большое количество адресов теряется в процессе агрегации.
В начале 1990-х стало очевидно, что в Интернете скоро закончатся адреса в адресном пространстве IPv4; диаграммы, изображенные на рисунке 2, показывают изменение свободных и доступных IPv4 с течением времени, начиная с середины 1990-х годов.
Простым решением этой ситуации было бы расширение адресного пространства IPv4 для охвата большего количества устройств, но опыт работы с протоколом IPv4 привел к тому, что группа Internet Engineering Task Force (IETF) взяла на себя более крупную задачу: перепроектировать IPv4. Работа по замене началась в 1990 году, а первые проекты получили статус стандарта в 1998 году. Адресное пространство IPv6 содержит 2128 адресов, или примерно 3,4 × 1038.
IPv6 предназначен для предоставления услуг для нескольких различных протоколов, таких как TCP и QUIC. Таким образом, IPv6 предоставляет только две службы из четырех, необходимых для передачи данных по сети: транспорт, который включает маршалинг данных, и мультиплексирование.
Транспорт и Маршалинг
IP обеспечивает "базовый уровень", на котором работает широкий спектр протоколов более высокого уровня по множеству различных типов физических каналов. Для этого IP должен решить две проблемы:
Запуск на множестве различных физических протоколов и протоколов нижнего уровня при одновременном представлении согласованного набора сервисов более высоким уровням.
Адаптация к большому разнообразию размеров кадра, предоставляемых нижними уровнями
Чтобы создать единый протокол, на котором могут работать все протоколы верхнего уровня, IP должен "вписываться" в тип кадра многих различных типов протоколов физического уровня.
Ряд проектов описывает, как запустить IP поверх определенного физического уровня, включая сети MPEG-2, асинхронный режим передачи, оптические сети, протокол Point-to-Point (PPP), Vertical Blanking Interval (VBI) в телевидении, Fiber Distributed Data Interface (FDDI), и ряд других протоколов физического уровня. Эти проекты в значительной степени определяют, как переносить IP-дейтаграмму (или пакет) в кадре (или пакете) нижележащего физического уровня, и как включить межуровневое обнаружение, такое как протокол разрешения адресов (ARP), для работы с каждым типом носителя.
IP также должен определять, как переносить большие блоки данных через различные MTU, доступные на разных типах физических каналов. В то время как исходная спецификация Ethernet выбирала MTU в 1500 октетов для баланса между большими размерами пакетов и максимальным использованием канала, многие другие физические уровни были разработаны с большими MTU. Кроме того, приложения не склонны отправлять информацию аккуратными блоками размером с MTU. IP решает эти две проблемы, обеспечивая фрагментацию. На рисунке 3 это показано.
Если приложение (или протокол более высокого уровня) передает 2000 октетов данных для передачи в IP, реализация IP будет:
Определите MTU вдоль пути, по которому должны передаваться данные; обычно это происходит путем считывания настроенного значения или значения по умолчанию, установленного системным программным обеспечением.
Разбейте информацию на несколько фрагментов, основываясь на MTU минус прогнозируемый размер заголовков, включая заголовки туннелей и т. д.- метаданные, которые должны передаваться вместе с данными.
Отправьте первый фрагмент с дополнительным заголовком IPv6 (что означает, что заголовок фрагмента не должен быть включен в пакеты, которые не являются фрагментами большего блока данных).
Установите смещение в заголовке more fragments на первый октет исходного блока данных, который этот пакет представляет собой деление на 8; в Примере на рисунке 3 первый пакет имеет смещение 0, а второй-150 (1200/8).
Установите бит more fragments равным 0, если это последний фрагмент блока данных, и 1, если за ним следует больше фрагментов.
Этот размер общего блока данных, который IPv6 может переносить через фрагменты, ограничен размером поля смещения, которое составляет 13 бит. Следовательно, IPv6 может нести не более 214 октетов данных в виде последовательности фрагментов или блока данных размером около 65 536 октетов плюс один фрагмент размером с MTU. Все, что больше этого, должно быть каким-то образом разбито протоколом более высокого уровня перед передачей в IPv6 для транспортировки.
Наконец, IP должен обеспечивать какой-то способ передачи пакетов по сети, использующей более одного типа физического уровня. Это решается путем перезаписи заголовков нижнего уровня на каждом этапе в сети, где могут быть взаимосвязаны несколько типов мультимедиа. Устройства, которые переписывают заголовки нижнего уровня таким образом, изначально назывались шлюзами, но теперь обычно называются маршрутизаторами, поскольку они направляют трафик на основе информации, содержащейся в заголовке IP.
Есть и другие интересные аспекты того, как IPv6 передает данные. На рисунке 4 показан заголовок IPv6, с которым можно работать.
На рисунке 4:
Версия установлена на 6 для IPv6.
traffic class разделен на два поля: 6 бит для передачи типа услуги (или класса услуги), 2 бита для передачи уведомления о перегрузке.
flow label предназначена для указания устройствам пересылки, как хранить пакеты в одном потоке на одном и том же пути в наборе путей с многолучевым распространением с равной стоимостью (ECMP).
payload length указывает количество данных, переносимых в пакете, в октетах.
next header предоставляет информацию о любых дополнительных заголовках, содержащихся в пакете. Заголовок IPv6 может содержать информацию, выходящую за рамки того, что содержится в основном заголовке.
hop limit - это количество раз, когда этот пакет может быть "обработан" сетевым устройством, прежде чем он будет отброшен. Любой маршрутизатор (или другое устройство), перезаписывающий заголовки нижнего уровня, должен уменьшить это число на единицу в процессе пересылки; когда предел перехода достигает 0 или 1, пакет следует отбросить.
Важно! Счетчик скачков используется для предотвращения постоянного зацикливания пакета в сети. Каждый раз, когда пакет пересылается сетевым устройством, счетчик переходов уменьшается на единицу. Если счетчик переходов достигает 0, пакет отбрасывается. Если пакет зацикливается в сети, счетчик переходов (также называемый временем жизни или TTL) в конечном итоге будет уменьшен до 0, и пакет будет отброшен.
Заголовок IPv6 представляет собой смесь переменной (Type Length Value [TLV]) и информации фиксированной длины. Основной заголовок состоит из полей фиксированной длины, но следующее поле заголовка оставляет открытой возможность дополнительных (или расширенных) заголовков, некоторые из которых форматируются как TLV. Это позволяет создавать пользовательские аппаратные средства (например, прикладную интегральную схему [ASIC]) для быстрого переключения пакетов на основе полей фиксированной длины, оставляя открытой возможность переноса данных переменной длины, которые могут быть обработаны только в программном обеспечении.
Мультиплексирование
IPv6 позволяет мультиплексировать двумя способами:
Предоставляя большое адресное пространство для использования при идентификации хостов и сетей (или, в более широком смысле, достижимых пунктов назначения).
Предоставляя пространство, в которое протокол верхнего уровня может поместить номер протокола, что позволяет нескольким протоколам работать поверх IPv6.
Адресация IPv6
Адрес IPv6 имеет 128 битов, что означает, что может быть до 2128 адресов - огромное количество адресов, которых, возможно, хватит, чтобы сосчитать каждую крупицу пыли на Земле. Адрес IPv6 обычно записывается как последовательность шестнадцатеричных чисел, а не как последовательность из 128 нулей и единиц, как показано на рисунке 5.
В формате IPv6 адреса стоит отметить двоеточие:
Начальные нули в каждом разделе (выделены двоеточием) опускаются.
Одну длинную строку нулей можно заменить двойным двоеточием в адресе только один раз.
Почему так много адресов? Потому что многие адреса никогда не используются ни в одной схеме адресации.
Во-первых, многие адреса никогда не используются, потому что адреса агрегируются. Агрегация - это использование одного префикса (или сети, или достижимого пункта назначения) для представления большего числа достижимых пунктов назначения. Рисунок 6 иллюстрирует это.
На рисунке 6:
Хостам A и B даны 101 :: 1 и 101 :: 2 в качестве их адресов IPv6. Однако эти два хоста подключены к одному широковещательному сегменту (например, Ethernet) и, следовательно, используют один и тот же интерфейс в C. Даже если C имеет адрес в этой общей сети, он фактически объявляет саму сеть - некоторые инженеры считают это полезно думать о самом проводе как о достижимом пункте назначения: 101 :: / 64.
E получает два достижимых назначения, 101::/64 от C и 102::/64 от D. Уменьшая длину префикса, он может анонсировать одно достижимое назначение, которое включает в себя оба этих более длинных префиксных достижимых назначения. E рекламирует 100:: / 60.
G, в свою очередь, получает 100 :: / 60 от E и 110: / 60 от F. Опять же, это же адресное пространство может быть описано с помощью единственного достижимого пункта назначения, 100 :: / 56, так что это то, что G объявляет.
Как эта агрегация работает в реальном адресном пространстве? Рисунок 7 объясняет это.
Длина префикса, которая представляет собой число после косой черты в reachable destination, сообщает вам количество битов, которые учитываются при определении того, что является частью префикса (и, следовательно, также, что нет). Длина префикса отсчитывается слева направо. Любой набор адресов с одинаковыми значениями чисел в пределах длины префикса считается частью одного и того же reachable destination.
В полном адресном пространстве IPv6 128 бит, поэтому / 128 представляет один хост.
В адресе с 64-битной длиной префикса (/ 64) только четыре левых раздела IPv6-адреса являются частью префикса или reachable destination; остальные четыре правые части IPv6-адреса считаются адресами хоста или подсети, которые "содержатся" в префиксе.
В адресе с длиной префикса 60 бит (/ 60) четыре левых раздела IPv6-адреса минус одна шестнадцатеричная цифра считаются частью reachable destination или префикса.
В адресе с длиной префикса 56 бит (/ 56) четыре левых раздела IPv6-адреса минус две шестнадцатеричные цифры считаются частью reachable destination или префикса.
Пока вы всегда изменяете длину префикса с шагом 4 (/ 4, / 8, / 12, / 16 и т. Д.), значащие цифры или цифры, которые являются частью префикса, всегда будут перемещать единицу в вправо (при увеличении длины префикса) или влево (при уменьшении длины префикса).
Агрегация иногда кажется сложной, но это важная часть IP.
Некоторая часть адресного пространства используется при автоконфигурации. Важно учитывать взаимодействие между автоконфигурацией и назначением адреса IPv6. Как правило, необходимо выделить некоторый объем адресного пространства, чтобы гарантировать, что никакие два устройства, подключенные к сети, не будут иметь одинаковый идентификатор. В случае IPv6 половина адресных пространств (все, что больше / 64) в определенных диапазонах адресов выделяется для формирования уникальных идентификаторов для каждого устройства.
В-третьих, некоторые адреса зарезервированы для специального использования. Например, в IPv6 следующие адресные пространства предназначены для специального использования:
::ffff / 96 зарезервирован для IPv4-адресов, которые "сопоставляются" с адресным пространством IPv6.
fc00 :: / 7 зарезервирован для уникальных локальных адресов (ULA); пакеты с этими адресами не предназначены для маршрутизации в глобальном Интернете, а скорее хранятся в сети одной организации.
fe80::/10 выделен для локальных адресов связи; эти адреса автоматически назначаются на каждом интерфейсе и используются только для связи по одному физическому или виртуальному каналу связи.
:: / 0 устанавливается в качестве маршрута по умолчанию; если сетевое устройство не знает никакого другого способа добраться до определенного пункта назначения, оно будет перенаправлять трафик по маршруту по умолчанию.
В-четвертых, устройствам может быть присвоено несколько адресов. Многие сетевые администраторы склонны думать об адресе так, как если бы он описывал один узел или систему. На самом деле, один адрес может быть использован для описания многих вещей, в том числе:
Один хост или система
Единый интерфейс на хосте или в системе; хост с несколькими интерфейсами будет иметь несколько адресов
Набор доступных сервисов на хосте или системе; например, виртуальной машине или конкретной службе, работающей на хосте, может быть назначен адрес, отличный от любого из адресов, назначенных интерфейсам хоста.
Не существует необходимой прямой корреляции между адресом и физическим устройством или между адресом и физическим интерфейсом.
Мультиплексирование между процессами
Второй механизм мультиплексирования позволяет нескольким протоколам работать на одном и том же базовом уровне. Эта форма мультиплексирования обеспечивается через номера протоколов. Рисунок 8 демонстрирует это.
next header заголовка либо указывает на:
next header в пакете IPv6, если есть next header
Номер протокола, если next header является транспортным протоколом (например, TCP).
Эти дополнительные заголовки называются дополнительными или расширенными заголовками; некоторые из них имеют фиксированную длину, а другие основаны на TLV; например:
Параметрах Hop-by-hop: набор TLV, описывающих действия, которые должно предпринять каждое устройство пересылки.
Маршрутизации: набор типов маршрутов фиксированной длины, используемых для указания пути, по которому пакет должен пройти через сеть.
Фрагмент: набор полей фиксированной длины, содержащий информацию о фрагменте пакета.
Заголовок аутентификации: набор TLV, содержащих информацию аутентификации и / или шифрования.
Jumbogram: необязательное поле длины данных, позволяющее пакету IPv6 нести на один байт менее 4 ГБ данных.
next header имеет длину 8 бит, что означает, что оно может содержать число от 0 до 255. Каждое число в этом диапазоне присваивается либо определенному типу заголовка опции, либо конкретному протоколу более высокого уровня. Например:
0: next header -это опция IPv6 hop-by-hop.
1: Полезная нагрузка пакета - это протокол Internet Control Message Protocol (ICMP).
6: Полезная нагрузка пакета-TCP.
17: Полезная нагрузка пакета - это UDP.
41: Полезная нагрузка пакета-IPv6.
43: next header - это routing header IPv6
44: next header -это fragment header IPv6
50: next header -это Encapsulated Security Header (ESH).
Номер протокола используется принимающим хостом для отправки содержимого пакета правильному локальному процессу для обработки; обычно это означает удаление заголовков нижнего (физического) уровня из пакета, помещение пакета во входную очередь для правильного процесса (например, TCP), а затем уведомление операционной системы о том, что соответствующий процесс должен быть запущен.
Напомним немного про OSI
Современный мир немыслим без средств связи. Десятки миллионов устройств по всему миру связываются посредством компьютерных сетей. И каждая компьютерная сеть организована по определенным стандартам. Любые устройства взаимодействуют по общепринятой модели OSI, или Базовой Эталонной Модели Взаимодействия Открытых Систем. Данная модель определяет взаимодействие различных сетевых устройств на семи уровнях – Media (к ним относятся физический, канальный и сетевой) и Host – (транспортный, сеансовый, представления и прикладной). В данной статье мы рассмотрим два самых распространенных сетевых протокола транспортного уровня – TCP и UDP, примеры их применения, а также сравним их характеристики.
Видео: TCP и UDP | что это такое и в чем разница?
В чем же разница TCP и UDP?
Вообще, протоколы транспортного уровня широко применяются в современных сетях. Именно они позволяют гарантировать доставку сообщения до адресата, а также сохраняют правильную последовательность передачи данных. При этом протоколы имеют ряд различий, что позволяет использовать их профильно, для решения своих задач каждый.
Протокол TCP (Transmission Control Protocol) – это сетевой протокол, который «заточен» под соединение. Иными словами, прежде, чем начать обмен данными, данному протоколу требуется установить соединение между двумя хостами. Данный протокол имеет высокую надежность, поскольку позволяет не терять данные при передаче, запрашивает подтверждения о получении от принимающей стороны и в случае необходимости отправляет данные повторно. При этом отправляемые пакеты данных сохраняют порядок отправки, то есть можно сказать, что передача данных упорядочена. Минусом данного протокола является относительно низкая скорость передачи данных, за счет того что выполнение надежной и упорядоченной передачи занимает больше времени, чем в альтернативном протоколе UDP.
Протокол UDP (User Datagram Protocol), в свою очередь, более прост. Для передачи данных ему не обязательно устанавливать соединение между отправителем и получателем. Информация передается без предварительной проверки готовности принимающей стороны. Это делает протокол менее надежным – при передаче некоторые фрагменты данных могут теряться. Кроме того, упорядоченность данных не соблюдается – возможен непоследовательный прием данных получателем. Зато скорость передачи данных по данному транспортному протоколу будет более высокой.
Заключение и наглядное сравнение
Приведем несколько основных пунктов:
Надежность: в этом случае предпочтительнее будет протокол TCP, за счет подтверждения получения данных, повторной отправки в случае необходимости, а также использованию такого инструмента как тайм-аут. Протокол UDP такого инструментария не имеет, а потому при получении отправленные данные могут приходить не полностью;
Упорядоченность: опять будет предпочтительнее TCP, поскольку этот протокол гарантирует передачу пакетов данных именно в том порядке, в котором они были отправлены. В случае с UDP такой порядок не соблюдается;
Скорость: здесь уже лидировать будет UDP, так как более тяжеловесному TCP-протоколу будет требоваться больше времени для установки соединения, подтверждения получения, повторной отправки данных и т.д. ;
Метод передачи данных: в случае с TCP данные передаются потоково, границы фрагментов данных не имеют обозначения. В случае с UDP данные передаются в виде датаграмм – проверка пакетов на целостность осуществляется принимающей стороной только в случае получения сообщения. Также пакеты данных имеют определенные обозначения границ;
Сравнивая оба протокола, очевидно, что протокол TCP – это, можно сказать, «снайпер». Прицелился, выстрелил, зафиксировал попадание, ищет следующую цель. UDP – это, скорее, «пулеметчик» - выставил ствол в направлении врага и начал долбить очередями, не слишком заботясь о точности. Как в войсках важны обе эти воинские специальности, так и в интернете важны оба этих протокола. TCP применяется там, где требуется точная и подтверждаемая передача данных – например, отправка фотографий, или переписка между пользователями. UDP, в свою очередь, нужен для общения в голосовом формате, или при передаче потокового видео, например, с веб-камер или IP-камер.