Г. Айзенк, Г. Вильсон

NAT-сервис.

Существует механизм, позволяющий устройствам с «серыми» адресами из локальных сетей все-таки получать доступ к информации из глобальной сети. Для этого на граничном маршрутизаторе устанавливаются программы, реализующие т.н. NAT-сервис.

Граничный маршрутизатор, как правило, имеет минимум два интерфейса один из который «смотрит» в локальную сеть с «серым» адресом, а другой, с «белым» адресом «смотрит» в глобальную сеть.

Суть работы NAT-сервиса заключается в следующем. Получив от устройства с «серым» адресом пакет с запросом на получение информации из глобальной сети, маршрутизатор запоминает, от какого «серого» адреса пришел запрос и заменяет в заголовке пакета «серый» адрес на свой «белый», а затем отправляет его в глобальную сеть. Получив из глобальной сети ответ, маршрутизатор определяет – для какого «серого» адреса пришла эта информация, заменяет в пакете свой «белый» адрес на «серый» адрес локального устройства и передает ему этот пакет.

При использовании NAT-сервиса пользователь компьютера с «серым» адресом может получить по своим запросам полный доступ к любым ресурсам глобальной сети. Т.е. как Клиент получать любую информацию от Серверов в сети.

А вот Сервер, с «серым» IP-адресом «из-за NAT'а» работать не будет*), так как из глобальной сети получить доступ к этому компьютеру просто не удастся.

Применение NAT-сервиса целесообразно для домашних подключений частных лиц и небольших организаций, которые не имеют своих информационных ресурсов.

*) Вообще-то, это не совсем точно. Существует механизм т.н. «обратного NATа», с помощью которого можно обеспечить доступ из глобальной сети к серверам (MAIL, WWW, FTP и др.) клиента работающим под «серым» адресом, но это требует не тривиальной настройки маршрутизатора клиента и далеко не каждый маршрутизатор это умеет делать...

5. «Динамические» и «статические» IP-адреса.

Еще один способ экономии IP-адресов, используемый в основном провайдерами – применение т.н. динамически выделяемых IP-адресов.

В идеальном случае каждое устройство в сети должно иметь постоянный (или «статический») IP-адрес. Но для устройств, подключающихся к сети только иногда – время от времени (на «сеанс связи»), закреплять на ними постоянные адреса слишком расточительно.

Для большинства клиентов, подключающихся только на сеанс связи, совершенно безразлично, какой именно IP-адрес им будет выделен, поэтому провайдеры обычно им выделяют т.н. «динамические» IP-адреса.

Суть приема заключается в следующем. Провайдер заранее выделяет некоторое количество адресов для подключения клиентов на сеанс связи. Причем общее количество таких адресов обычно значительно меньше, чем общее количество клиентов. При подключении очередного клиента, ему выдается произвольный и на данный момент свободный IP-адрес из этого зарезервированного списка и он у провайдера помечается как «занятый». При отключении клиента, признак заменяется на «свободный» и этот IP-адрес может быть выдан другому, вновь подключившемуся клиенту.

Если же клиенту важно, чтобы его IP-адрес был всегда один и тот же, то в этом случае провайдер «закрепляет» конкретный IP-адрес за клиентом, т.е. – ему выделяется «статический» IP-адрес.

Такое подключение может потребоваться клиентам, которые со своих компьютеров обращаются к особым – защищенным ресурсам сети, владельцы которых установили ограничение на доступ к своим ресурсам, или хотят его контролировать, для чего проверяют, а с какого IP-адреса произошло обращение к ресурсу.

Например, если сотрудник какой-либо организации подключается из дома к сети Интернет «на сеанс связи» и хочет обращаться к компьютерам, установленным у него на работе. Как правило, в организациях строго контролируется доступ извне в сеть предприятия, но при наличии статического IP-адреса для этого адреса можно сделать исключение. В случае динамического адреса такое исключение сделать нельзя, так как заранее неизвестно, какой именно IP-адрес получит клиент после подключения.

6. Уникальность «белых» адресов и «подмена» IP-адреса.

Для правильного функционирования всей сети Интернет необходимо строгое обеспечение уникальности «белых» IP-адресов. Для этого провайдеры тщательно контролируют адреса своих клиентов. Контроль обеспечивается двумя способами:

1) При постоянном подключении клиентов по выделенным каналам, провайдер так конфигурирует свое оборудование, что клиент может использовать только конкретные, выделенные только ему IP-адреса и при попытке использовать другие, клиент доступа в сеть просто не получит.

2) При подключении на сеанс связи оборудование клиента (модем или компьютер) прежде чем получит от провайдера IP-адрес, должен произвести авторизацию на сервере доступа провайдера по Логину/Паролю. И только в случае успешной авторизации, сервер доступа выдаст оборудованию клиента «белый» «динамический» или «статический» IP-адрес.

Если клиент заменит выделенные ему IP-адреса на какие-нибудь другие, доступа в сеть он не получит, т.к. ближайшие к клиенту маршрутизаторы находятся под управлением провайдера и они эту смену адресов просто проигнорируют. Максимум (да и то далеко не всегда) клиент сможет отправить какие-то пакеты информации в сеть, но получить никакой информации он не сможет. Причем, если провайдер заметит такие действия клиента – он может быть строго наказан вплоть до полного отключения от сети.

Что такое «домен» и «доменное имя»?

Уникальный «белый» IP-адрес точно идентифицирует любое устройство, подключенное к сети Интернет. Компьютерным программам работать с ними удобно, а вот людям – не всегда... IP-адреса непросто запомнить, да и понятной для человека информации в IP-адресе не много.

Для облегчения людям работы в сети придумана другая система идентификации устройств. Любому IP-адресу в сети можно присвоить какой-нибудь «словесный», более понятный для человека синоним, который называется «доменным именем» или просто «именем» устройства в сети.

Доменное имя – это последовательность из двух и более слов, разделенных точками. Слово, или как оно еще называется – домен может состоять из любой комбинации букв английского алфавита, цифр и знака «–» («минус» или «тире»). Другие символы в доменном имени использовать нельзя.

Последний домен в доменном имени называется «доменом первого уровня», второй от конца – «доменом второго уровня» и т.д.

Существуют две системы организации доменных имен – международная (национальная) и американская, однако, в последнее время обе эти системы используются по всему миру и стали практически равнозначными.

По международной системе домен первого уровня должен состоять из двух символов – сокращения от названия страны, в которой зарегистрировано доменное имя. Например:.ru – Россия,.pl – Польша,.fr – Франция,.us – США,.ua – Украина и т.д.

Доменами второго и последующих уровней могут быть любые допустимые комбинации символов.

По американской системе домен первого уровня может состоять из трех или более символов, комбинация которых, показывает принадлежность организации, пользующейся этим доменом, к тому или иному типу организации. Например:.com – коммерческая организация,.gov – государственная структура,.edu – образовательное учреждение,.mil – военная организация и т.д.

Доменами второго и последующих уровней также могут быть любые допустимые комбинации символов.

Доменные имена первого и второго уровня регистрируются и учитываются Техническими Центрами поддержки доменов. В России это – РосНИИРОС.

Любой желающий, как юридическое, так и физическое лицо, может (за умеренную плату) зарегистрировать у Регистратора любой (не занятый на момент регистрации) домен второго уровня, либо в своем национальном домене первого уровня (для России –.ru), либо в любом другом домене первого уровня.

Зарегистрировавший домен второго уровня становится его владельцем и может им пользовать его по своему усмотрению, а также определять принципы формирования поддоменов третьего и последующих уровней в своем домене.

В локальных сетях без доступа в глобальный Интернет и использующих серые IP-адреса никто не запрещает организовать свои собственные доменные имена по каким угодно правилам. Но обращаться к ресурсам по этим доменным именам можно будет только «изнутри» локальной сети. Из других сетей, в том числе и из глобального Интернета доступ по этим именам будет невозможен.

8. Как связываются между собой IP-адреса и доменные имена?

Связь между IP-адресами и доменными именами осуществляет международная распределенная база данных, основанная на использовании так называемых DNS-серверов.

Кадый владелец домена второго уровня должен иметь такой DNS-сервер, или арендовать его у кого-либо.

На DNS-сервере в специальных файлах прописывается и хранится соответствие – какое доменное имя соответствует какому IP-адресу (прямая зона) и обратное соответствие IP-адрес – доменное имя (обратная зона) для всех доменных имен, находящихся в ведении владельца домена.

Любое изменение соответствия должно быть обязательно прописано на DNS-сервере, только после этого оно «вступает в силу». Например, вы можете на своем компьютере прописать для него какое хотите доменное имя, но знать об этом будете только вы. Если же такая запись появится на DNS-сервере, через некоторое время (максимум – несколько часов) об этом узнает весь мир.

Каждая, как прямая так и обратная зона должна храниться как минимум на двух различных DNS-серверах. При этом, главный (как правило, расположенный у владельца) DNS-сервер, называется MASTER DNS-сервером, второй или последующие называются SLAVE DNS-серверами.

Зоны, хранящиеся на MASTER-сервере, владелец домена может (и должен) заполнять и корректировать.

На SLAVE-серверах хранятся копии зон с MASTER-серверов, причем обновлениями зон MASTER и SLAVE-сервера обмениваются автоматически.

Все DNC-серверы, включенные в сеть Интернет, могут обмениваться между собой информацией о хранимых ими зонах и о других серверах, хранящих другие зоны.

Любому пользователю, подключенному к сети Интернет, его провайдер предоставляет доступ к своему DNS-серверу, IP-адрес этого сервера прописывается на оборудовании клиента и клиентские программы для работы в сети могут обращаться к этому серверу с запросами – какое доменное имя соответствует какому IP-адресу.

Если пользователь является владельцем зарегистрированного доменного имени он может установить у себя свой собственный DNS-сервер и пользоваться им, а не сервером провайдера.

Принцип работы любого DNS-сервера достаточно прост.

Любой Клиент или Сервер, которому необходимо определить соответствие доменное имя - IP-адрес или IP-адрес - доменное имя, обращается к DNS-серверу с запросом. И если DNS-сервер "знает" это соответствие из своих хранимых зон, то сообщает его сразу. А вот если DNS-сервер ничего не знает о запрошенном доменном имени или IP-адресе, он обращается к другим DNS-серверам «за помощью». Получив ответы на свои запросы от других DNS-серверов, сервер сообщает найденную информацию Клиенту.

Например. Вам необходимо узнать - какой IP-адрес соответствует доменному имени VASYA.PUPKIN.COM. Ваш DNS-сервер ни о зоне.COM ни о зоне PUPKIN.COM ничего в данный момент не знает. Но сервер знает несколько «главных» в сети DNS-серверов, на которых хранится информация о серверах доменов первого уровня. По запросу вашего сервера, «Главный» сервер сообщает ему, IP-адрес того DNS-сервера, на котором хранится информация о доменах второго уровня в зоне.COM. Затем ваш сервер обращается к указанному серверу и спрашивает у него – «где хранится зона PUPKIN.COM». Этот сервер ему сообщает адрес очередного DNS-сервера. Далее ваш сервер спрашивает у последнего – «какой адрес для доменного имени VASYA.PUPKIN.COM» и получает точный ответ – доменное имя VASYA.PUPKIN.COM соответствует такому-то IP-адресу.

Дата добавления: 2017-01-14; Просмотров: 51; Нарушение авторских прав?; Мы поможем в написании вашей работы!