Самоучитель системного администратора. 5-е изд

100 
Глава 3 
В нашей стране пока не создана инфраструктура, поддерживающая этот протокол. 
Поэтому при желании его использовать можно, но только внутри сети предприятия, 
когда вся его инфраструктура находится под контролем и управлением. Кроме
того, следует также учитывать все имеющиеся нюансы (например, что система раз-
решения имен в DirectAccess построена через сервер корпорации Microsoft). 
Параметры TCP/IP-протокола 
Здесь и далее мы будем рассматривать характеристики протокола IРv4. 
IP-адрес 
Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-ад-
рес — 32-битное число, используемое для идентификации узла (компьютера)
в сети. Адрес принято записывать десятичными значениями каждого октета этого 
числа с разделением полученных значений точками. Например: 192.168.101.36. 
IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание 
цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP-ад-
реса распределяются централизованно. Интернет-провайдеры делают заявки в на-
циональные центры в соответствии со своими потребностями. Полученные провай-
дерами диапазоны адресов распределяются далее между клиентами. Клиенты сами 
могут выступать в роли интернет-провайдеров и распределять полученные IP-ад-
реса между субклиентами и т. д. При таком способе распределения IP-адресов ком-
пьютерная система точно знает «расположение» компьютера, имеющего уникаль-
ный IP-адрес, — ей достаточно переслать данные в сеть «владельца» диапазона
IP-адресов. Провайдер, в свою очередь, проанализирует пункт назначения и, зная, 
кому отдана эта часть адресов, отправит информацию следующему владельцу под-
диапазона IP-адресов, пока данные не поступят на компьютер назначения. 
Для построения 
локальных сетей
предприятий выделены специальные диапазоны 
адресов. Это адреса 10.х.х.х, 192.168.х.х, 10.х.х.х, с 172.16.х.х по 172.31.х.х, 
169.254.х.х (под «х» подразумевается любое число от 0 до 254). Пакеты, передавае-
мые с указанных адресов, 
не маршрутизируются
(иными словами, не пересылают-
ся) через Интернет, поэтому в различных локальных сетях компьютеры могут 
иметь совпадающие адреса из указанных диапазонов. Такие адреса часто называют 
серыми
адресами. 
Для пересылки информации с таких компьютеров в Интернет и обратно использу-
ются специальные программы, «на лету» заменяющие локальные адреса реальными 
при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реаль-
ного IP-адреса. Этот процесс происходит незаметно для пользователя. Такая техно-
логия называется 
трансляцией адресов
и более подробно описана в 
главе 5
. 
Групповые адреса 
Если данные должны быть переданы на несколько устройств (например, просмотр 
видео с одной веб-камеры на различных компьютерах или одновременное развора-

Структура сети 
101 
чивание образа операционной системы на несколько систем), то уменьшить нагруз-
ку на сеть может использование 
групповых рассылок
(IP Multicast Addressing). 
Для этого компьютеру присваивается еще один IP-адрес из специального диапазо-
на: с 224.0.0.0 по 239.255.255.255
1
, причем диапазоны 224.0.0.0–224.0.0.255 и 
239.0.0.0–239.255.255.255 не могут быть использованы в приложениях и предна-
значены для протоколов маршрутизации (например, адрес 224.0.0.1 принадлежит 
всем системам сегмента сети; адрес 224.0.0.2 — всем маршрутизаторам сегмента
и т. д). Назначение адресов групповой рассылки производится соответствующим 
программным обеспечением. 
Групповая рассылка поступает 
одновременно на все
подключенные устройства.
В результате сетевой трафик может быть существенно снижен по сравнению с ва-
риантом передачи таких данных каждому устройству сети независимо. 
По умолчанию рассылки передаются на все порты, даже если к ним не подключены 
устройства, подписавшиеся на эту рассылку. Чтобы исключить такой паразитный 
трафик, используются специальные возможности коммутаторов: поддержка IGMP 
snoophing (прослушивание протокола IGMP), PIM DM/PIM SM (PIM-DM, Protocol 
Independent Multicast Dense Mode и PIM-SM, Protocol Independent Multicast Sparse 
Mode — протоколы маршрутизации многоадресных сообщений). При включении и 
настройке этого функционала (поддерживается не всеми моделями оборудования) 
данные будут передаваться только на нужные порты. 
Распределение IP-адресов сети малого офиса 
В сетях предприятий обычно задействованы серые диапазоны IP-адресов. Часть 
адресов закрепляется статически, часть — раздается динамически с помощью 
DHCP (Dynamic Host Configuration Protocol, динамический протокол конфигурации 
сервера). 
Статические адреса закрепляются: 
за шлюзом, для которого обычно используют адрес xxx.xxx.xxx.1, но это тради-
ция, а не правило; 
за серверами DNS, DHCP, WINS; 
за контроллерами домена; 
за серверами сети (например, централизованные файловые ресурсы, почтовый 
сервер и т. п.); 
за станциями печати, имеющими непосредственное подключение к сети; 
за управляемыми сетевыми устройствами (например, сетевыми переключателя-
ми, SNMP-управляемыми источниками аварийного питания и т. п.). 
Рабочие станции традиционно используют 
динамические адреса
. Удобно часть
динамических адресов выдавать для локального использования, а часть — для 
1
Multicast-адрес присваивается динамически. Это делает соответствующая программа, использующая 
многоадресную рассылку. 

102 
Глава 3 
внешних клиентов, «гостей» сети. Это позволяет проще настраивать ограничения 
доступа к внутренним ресурсам сети для сторонних систем. 
Для упрощения администрирования сети рекомендуется выработать план распре-
деления диапазона адресов, предусмотрев в нем некоторый запас для будущего 
развития информационной системы. 
Маска адреса 
Понятие 
подсети
введено, чтобы можно было выделить часть IP-адресов одному 
предприятию, часть — другому, и т. д. Подсеть представляет собой диапазон
IP-адресов, которые считаются принадлежащими одной локальной сети. При рабо-
те в локальной сети информация пересылается непосредственно получателю. Если 
данные предназначены компьютеру с IP-адресом, не принадлежащим локальной 
сети, то к ним применяются специальные правила для вычисления маршрута пере-
сылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важ-
но знать, к какой сети принадлежит получатель информации: к локальной или уда-
ленной. 
Маска
адреса
— это параметр, который сообщает программному обеспечению
о том, сколько компьютеров объединено в ту или иную группу (подсеть). Маска 
адреса имеет такую же структуру, что и сам IP-адрес, — это набор из четырех 
групп чисел, каждое из которых может быть в диапазоне от 0 до 255. При этом, чем 
меньше значение маски, тем больше компьютеров объединено в эту подсеть. Для 
сетей небольших предприятий маска обычно имеет вид 255.255.255.х (например, 
255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-ад-
ресом. 
Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/24
1
) 
может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес 
192.168.0.255 — это адрес широковещательной рассылки для данной сети. А сеть 
192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от 
192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 служит при этом в качестве широ-
ковещательного). 
На практике сети с небольшим возможным числом хостов используются интернет-
провайдерами с целью экономии IP-адресов. Например, клиенту может быть назна-
чен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста. При 
разбиении сети предприятия используют диапазоны локальных адресов сетей клас-
са С. Сеть класса С имеет маску адреса 255.255.255.0 и может содержать до 
254 хостов. Применение сетей класса С при разбиении на подсети VLAN в услови-
ях предприятия связано с тем, что протоколы автоматической маршрутизации ис-
пользуют именно такие подсети. 
1
Значение 24 соответствует длине маски, используемой для адресации подсетей. Если записать маску 
255.255.255.0 в двоичном виде, то получится последовательность из 24 единиц и 8 нулей. Маска 
255.255.255.128 будет представлять собой последовательность из 25 единиц и 7 нулей. Поэтому ее 
записывают также в виде /25 и т. д. 

Структура сети 
103 
При создании подсетей на предприятии рекомендуется придерживаться следующе-
го правила — подсети, относящиеся к определенному узлу распределения, должны 
входить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы 
коммутаторов. Например, если к какому-либо коммутатору подключены подсети 
192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то 
другому коммутатору достаточно знать, что в этом направлении следует пересылать 
пакеты для сети 192.168.0.0/255.255.252.0. 
Эта рекомендация несущественна для сетей малых и средних предприятий, по-
скольку ресурсов современных коммутаторов достаточно для хранения настроек 
такого объема. 
П
РИМЕЧАНИЕ
Хотя многие сертификационные экзамены содержат вопросы, так или иначе связан-
ные с разбиением на подсети (правильный подсчет маски сети, числа адресов и т. п.), 
на практике проводить ручной подсчет вряд ли придется. Существует много онлайно-
вых ресурсов, которые предлагают различные варианты калькуляторов сетевых адре-
сов (Network Calculator), — например:
http://www.globalstrata.com/services/network/bscnetcalc.asp
. 
После того как компьютер получил IP-адрес, и ему стало известно значение маски 
подсети, программа может начать работу в этой локальной подсети. Чтобы обмени-
ваться информацией с другими компьютерами в глобальной сети, необходимо 
знать правила, куда пересылать информацию для внешней сети. Для этого служит 
такая характеристика IP-протокола, как адрес шлюза. 
Шлюз (Gateway, default gateway) 
Шлюз
(gateway) — это устройство (компьютер), которое обеспечивает пересылку 
информации между различными IP-подсетями. Если программа определяет (по
IP-адресу и маске), что адрес назначения 
не входит
в состав локальной подсети, то 
она отправляет эти данные на устройство, выполняющее функции шлюза. В на-
стройках протокола указывают IP-адрес такого устройства. 
Шлюзы бывают аппаратными и программными. В качестве аппаратного шлюза 
может выступать, например, маршрутизатор Wi-Fi. Программным шлюзом счита-
ется компьютер с развернутым на нем программным обеспечением, — например,
с ОС Linux и брандмауэром iptables. С другой стороны, разделение на программные 
и аппаратные — весьма условное. Ведь любой маршрутизатор Wi-Fi является не-
большим компьютером, на котором запущен урезанный вариант Linux и работает 
тот же iptables или другой брандмауэр. 
Для работы 
только
в локальной сети шлюз может не назначаться. Если для доступа 
в Интернет используется прокси-сервер, то компьютерам локальной сети адрес 
шлюза также может не назначаться. 
Для индивидуальных пользователей, подключающихся к Интернету, или для не-
больших предприятий, имеющих единственный канал подключения, в системе 
должен быть только один адрес шлюза — это адрес того устройства, которое имеет 
подключение к Сети. При наличии нескольких маршрутов (путей пересылки дан-

104 
Глава 3 
ных в другие сети) будет существовать несколько шлюзов. В этом случае для опре-
деления пути передачи данных используется таблица маршрутизации. 
Таблицы маршрутизации 
Предприятие может иметь несколько точек подключения к Интернету (например,
в целях резервирования каналов передачи данных или использования более деше-
вых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом 
случае, чтобы система знала, каким путем (через какой шлюз) посылать ту или 
иную информацию, используются 
таблицы маршрутизации 
(routing table). В таб-
лицах маршрутизации для каждого шлюза указывают те подсети Интернета, для 
которых через них должна передаваться информация. При этом для нескольких 
шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью 
передачи данных, — информация будет отсылаться по каналу, имеющему самую 
низкую стоимость, а в случае его выхода из строя по тем или иным причинам авто-
матически будет использоваться следующее наиболее «дешевое» подсоединение. 
В TCP/IP-сетях информация о маршрутах имеет вид правил. Например, чтобы доб-
раться к сети А, нужно отправить пакеты через компьютер Д. Кроме набора мар-
шрутов есть также и стандартный маршрут — по нему отправляют пакеты, предна-
значенные для отправки в сеть, маршрут к которой явно не указан. Компьютер, на 
который отправляются эти пакеты, называется 
шлюзом по умолчанию
(default 
gateway). Получив пакет, шлюз решает, что с ним сделать: или отправить дальше, 
если ему известен маршрут в сеть получателя пакета, или же уничтожить пакет, как 
будто бы его никогда и не было. В общем, что сделать с пакетом — это личное дело 
шлюза по умолчанию, все зависит от его набора правил маршрутизации. Наше дело 
маленькое — отправить пакет на шлюз по умолчанию. 
Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи 
команды 
route
print
для Windows или 
route
— в Linux. С помощью команды 
route
можно также добавить новый статический маршрут (
route
add
) или постоянный 
маршрут — 
route
add
-p
(маршрут сохраняется в настройках после перезагрузки 
системы). 
В Linux кроме команды 
route
можно использовать команду 
netstat -r
или 
netstat 
-rn
. Разница между командами 
netstat -r
и 
netstat -rn
заключается в том, что па-
раметр 
-rn
запрещает поиск доменных имен в DNS, поэтому все адреса будут пред-
ставлены в числовом виде (подобно команде 
route
без параметров). А вот разница 
между выводом 
netstat
и 
route
заключается в представлении маршрута по умолча-
нию (
netstat
выводит адрес 0.0.0.0, а 
route
— метку 
default
) и в названии полей 
самой таблицы маршрутизации. 
Какой командой пользоваться — решать вам. Раньше мы применяли 
route
и для 
просмотра, и для редактирования таблицы маршрутизации. Теперь для просмотра 
таблицы мы используем команду 
netstat -rn
, а для ее изменения — команду 
route
. 
На рис. 3.14 показан вывод команд 
netstat -rn
и 
route
. Видны две сети: 
192.168.181.0 и 169.254.0.0 — обе на интерфейсе eth0. Такая ситуация сложилась 
из-за особенностей NAT/DHCP виртуальной машины VMware, в которой была за-
пущена Linux для снятия снимков с экрана. В реальных условиях обычно будет по

Структура сети 
105 
Рис. 3.14. 
Команды 
netstat -rn
и 
route
одной подсети на одном интерфейсе. С другой стороны, рис. 3.14 демонстрирует 
поддержку VLAN, когда один интерфейс может использоваться двумя подсетями. 
Шлюз по умолчанию — компьютер с адресом 192.168.181.2, о чем свидетельствует 
таблица маршрутизации. 
Поля таблицы маршрутизации объясняются в табл. 3.8. 
Таблица 3.8.
Поля таблицы маршрутизации 
Поле Описание 
Destination 
Адрес сети назначения 
Gateway 
Шлюз по умолчанию 
Genmask 
Маска сети назначения 
Flags 
Поле 
Flags
содержит флаги маршрута: 
•
U — маршрут активен; 
•
H — маршрут относится не к сети, а к хосту; 
•
G — эта машина является шлюзом, поэтому при обращении к ней нужно 
заменить MAC-адрес машины получателя на MAC-адрес шлюза (если 
MAC-адрес получателя почему-то известен); 
•
D — динамический маршрут, установлен демоном маршрутизации; 
•
M — маршрут, модифицированный демоном маршрутизации; 
•
C — запись кэширована; 
•
! — запрещенный маршрут 

106 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: