2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Облачные сети и подсети: частные и публичные, общие и клиентские

Содержание

Облачные сети и подсети: частные и публичные, общие и клиентские

Облачные технологии позволяют строить инфраструктуры любой сложности. При необходимости можно связать между собой пару серверов. Или создать многоуровневую корпоративную инфраструктуру, состоящую из частных и публичных сетей и подсетей. В этой статье рассмотрим, какие существуют типы клиентских подсетей в облаке 1cloud, которые пригодятся вам в работе.

Прилагательные «частный» и «публичный» используются в сфере администрирования компьютерных сетей, облаков, интернета очень широко и… весьма разнообразно. Это разнообразие часто приводит к путанице или, по крайней мере, требует постоянного уточнения того, о чём идёт речь.

Например, чем отличается сеть от подсети. Понятно, подсеть — это часть сети, её сегмент. Но где между ними граница?

На маршрутизаторе? — В определённом смысле, конечно, да. Но ведь и перед маршрутизатором, и после него существует множество других маршрутизаторов, разделяющих сетевые сегменты, которые могут принадлежать одному или разным владельцам. Каждый из этих сегментов может быть относительно других как сетью, так и подсетью.

Достаточно определенно можно называть подсетью сегменты сети с немаршрутизируемыми в интернет адресами: 10.*.*.*, 172.16.*.*, 192.168.*.*. Эти адреса называются: «внутренними», «частными», «серыми». В общем случае, компьютеры с такими адресами недоступны из интернета. Практически все остальные адреса из интернета доступны и называются: «внешними», «публичными», «белыми».

Но вспомним о том, что у одного компьютера может быть несколько сетевых интерфейсов (адаптеров), а соответственно, несколько сетевых адресов — и критерий публичности подсети по публичности IP-адреса тоже не покажется совсем универсальным.

В облаке 1cloud принята следующая классификация подсетей:

  • общая публичная;
  • клиентская публичная;
  • клиентская частная.

Поясним эти наименования.

Общая публичная подсеть

Когда клиент создаёт в облаке свой новый сервер, он не размещается в отдельной подсети, связанной только с этим клиентом. Новому серверу присваивается статический внешний (публичный) IP-адрес из подсети, в которой находятся серверы других клиентов.

Благодаря своему публичному адресу, этот сервер доступен из любой точки интернета.

Разные серверы клиента могут попасть в разные общие публичные подсети.

Соседство прилагательных «общий» и «публичный» может кого-то смутить. Важно запомнить, что здесь «общий» относится к владельцу подсети, а «публичный» — к видимости IP-адреса виртуальной машины из интернета.

Задача системного администрирования такого отдельного сервера в основном лежит на клиенте. «В основном» — потому что в облаке 1cloud имеются базовые средства защиты от внешних вредоносных сетевых воздействий. Но они объективно не могут (и не должны!) полностью изолировать сервер клиента от интернета.

Клиентская частная подсеть

Пользователь облака 1cloud имеет возможность создать подсеть, компьютеры в которой будут иметь частные IP-адреса и не будут напрямую доступны из интернета.

Правда, недоступность из интернета будет обеспечена только при отсутствии у этих компьютеров иных сетевых адаптеров (интерфейсов) и, соответственно, иных соединений с другими подсетями.

Как было сказано ранее, при создании новых виртуальных машин в облаке 1cloud им автоматически присваивается публичный IP-адрес. Поэтому фактически после создания частной подсети сетевая инфраструктура клиента в нашем случае будет, например, такой.

На рисунке маршрутизатор, обозначенный тремя звёздочками, символизирует несколько разных виртуальных маршрутизаторов с разными адресами, отвечающих за разные общие публичные подсети.

Для того, чтобы действительно изолировать виртуальную машину от интернета, у неё нужно отключить сетевой адаптер с публичным IP-адресом. При этом не следует забывать предусмотреть способ удалённого администрирования компьютеров частной подсети, ведь напрямую из интернета они перестанут быть доступны. Для удалённого доступа можно использовать NAT или один из компьютеров сети в качестве ретранслятора.

На всякий случай, у клиента всегда останется доступ к его виртуальным машинам через Панель управления и её веб-консоль.

Клиентская публичная подсеть

Как было сказано, каждой новой виртуальной машине в облаке 1cloud автоматически присваиваются публичный IP-адрес. Однако адреса разных машин клиента могут оказаться из разных подсетей. Если эти машины должны взаимодействовать между собой, то управлять такой инфраструктурой может оказаться сложно.

Для преодоления этого затруднения клиенту 1cloud предоставлена возможность создать подсеть с публичными IP-адресами, но расположенными рядом, образующими единый блок.

Например, 124.17.81.1, 124.17.81.2, 124.17.81.3, …

В нашем примере машина с адресом 124.17.81.1 будет играть роль шлюза (маршрутизатора). С её помощью можно управлять доступом в публичную подсеть клиента.

Публичную подсеть с непрерывным блоком адресов легче администрировать. Серверы в ней лучше изолированы от соседей по облаку. IP-адреса в ней зафиксированы и закреплены за клиентом.

Всё вместе

Клиенты 1cloud свободны в создании своих подсетей. Их можно создать столько, сколько нужно клиенту. Если кто-то из клиентов создал, например, три виртуальных компьютера, а потом все их включил сначала в свою частную сеть, а потом в публичную, получится примерно следующая структура.

Оставлять её в таком состоянии крайне нежелательно, потому что контролировать все сетевые интерфейсы будет крайне сложно. Это значит, что клиент не сможет быть достаточно уверенным в её сетевой безопасности.

Клиенту, как скульптору, нужно отсечь всё лишнее — отключить лишние сетевые интерфейсы, чтобы получить функциональную, эффективную и надёжную инфраструктуру.

Пользуясь широкими и гибкими сетевыми возможностями облака 1cloud, его клиент сможет выстроить оптимальную для себе компьютерную систему.

Дополнительным преимуществом размещения инфраструктуры в облаке является то, что её можно достаточно быстро и легко изменить: сократить, расширить, повысить вычислительную мощность.

Заключение

Важно понимать и помнить, что один и тот же компьютер в облаке 1cloud может быть подключен к разным сетям одновременно.

С одной стороны, это открывает широкие возможности по созданию разнообразных компьютерных инфраструктур, с другой — может усложнить обеспечение их безопасности, так как потребуется управлять большим числом сетевых интерфейсов. Но при должном уровне квалификации наличие возможностей важнее!

P. S. О чём ещё мы пишем в блоге 1cloud:

TCP/IP: Структура IPv4 адреса, сети и подсети, разделение сети на подсети

Структура IP-адреса

IP-адрес представляет собой число размером 32 бита (или 4 байта), которое может быть записано в любой системе счисления (тут речь про адрес протокола IP version 4, в IPv6 он имеет размер 128 бит).

Например, адрес в десятичной системе 127.0.0.1 можно записать так:

Адрес делится на 4 октета, по 8 бит каждый, которые могут иметь значение от (00000000) до 255 (11111111):

IP-адрес содержит в себе две основных части — адрес сети и адрес хоста в этой сети.

К примеру, адрес 77.120.120.20 представляет собой сеть 77.120.120.0, в которой находится хост с адресом 20.

Сети и маска сети

Помимо указания самого IP-адреса, на сетевом интерфейсе так же указывается его маска сети. Маска не передаётся в заголовках TCP/IP пакетов, но используется сетевой картой для определения дальнейшего маршрута пакета — если адрес назначения находится в одной сети с адресом отправителя — он будет отправлен напрямую, если же в отдельной сети — пакет будет передан маршрутизатору, согласно таблице маршрутизации пакетов.

Рассмотрим адрес 77.120.120.20 с маской 255.255.255.0.

В двоичном представлении этот адрес можно записать так:

Для первых трёх октетов в IP-адресе установлен (или «включён«) «бит маски» (иначе — «битовая маска«), следовательно — первые три октета адреса являются адресом сети, а последние 8 бит — адресом хоста.

Таким образом, адрес 77.120.120.20 с маской 255.255.255.0 является в сетью 77.120.120.0, которая является классом С (которая, в свою очередь, является подсетью сети 77.120.0.0 класса В, которая является подсетью сети 77.0.0.0, которая является сетью верхнего уровня — А, хотя с появлением CIDR (см. ниже) понятие «классы сети» фактически потеряло актуальность).

Что бы сократить запись о сети 77.120.120.0 с маской 255.255.255.0 — можно использовать сокращённую форму: 77.120.120.0/24.

«/24» называется «префикс сети«, и указывает на количество «битов маски«. Таким образом, из 32 бит адреса 24 указаны как адрес сети, а 8 — остаются для адресов хостов в этой сети.

Если взять, к примеру, сеть 77.120.120.0/28 — мы получим только 4 бита, выделенных для адресов, т.е. маска сети будет выглядеть как 11111111.11111111.11111111.11110000, или 255.255.255.240.

Такое описание сетей и подсетей называется «бесклассовой классификацией» ( Classless Inter-Domain Routing — CIDR ).

Использование CIDR даёт возможность отказаться от традиционного разбиения на сети различных классов (А, B, C и т.д.) , и создавать подсети необходимого размера.

К примеру, подсеть 77.120.120.0/28 (которую можно перевести в маску сети 11111111.11111111.11111111.11110000 в двоичном виде (4 последних бита «сброшены»)или 255.255.255.240 в десятичном) содержит 4 бита адресов хостов. В 4 бита можно «вместить» 2 4 адресов — 16. Из этих 16 стоит вычесть первый (сам адрес 77.120.120.0, так он является адресом самой сети) и последний (77.120.120.255, так как он является широковещательным, или broadcast, адресом сети, на который в теории должны отвечать все хосты сети), таким образом — из 16 адресов сети для хостов остаётся 14 адресов.

Маска подсетиАльтернативный
формат записи
Последний октет
(в двоичном виде)
Последний октет
(в десятичном виде)
255.255.255.0/240000 0000
255.255.255.128/251000 0000128
255.255.255.192/261100 0000192
255.255.255.224/271110 0000224
255.255.255.240/281111 0000240
255.255.255.248/291111 1000248
255.255.255.252/301111 1100252
Маска подсетиРазмер идентификатора хостаМаксимальное
количество хостов
8 бит255.0.0.024 бит2 24 – 216777214
16 бит255.255.0.016 бит2 16 – 265534
24 бит255.255.255.08 бит2 8 – 2254
29 бит255.255.255.2483 бит2 3 – 26

Более полные таблицы сетей можно найти в статье Сети, подсети, классы подсетей. Таблица подсетей.

Разделение сети на подсети

Допустим, имеется сеть 77.120.120.0/24, или сеть 77.120.120.0 с маской 255.255.255.0 — из которой необходимо выделить две различные сети. Сеть 77.120.120.0/24 включает в себя адреса от 77.120.120.0 до 77.120.120.255.

Представим эту сеть и её маску в двоичном виде:

Займём на один бит больше в последнем октете маски сети — 11111111.11111111.11111111.10000000 (или 255.255.255.128 в десятичном виде). У нас осталось (32 бита IP-адреса — 7 бит под адреса хостов) = 25 бит — под маску. Следовательно, первая сеть в десятичном виде будет выглядеть как 77.120.120.0/25, и включает в себя адреса от 77.120.120.0 до 77.120.120.127 (7 бит под адреса: 2 7 = 128 адресов, включая первый адрес 0 — получаем 127 всего), а вторая сеть получит адреса от 77.120.120.128 до 77.120.120.255, или 77.120.120.128/25.

Ещё один способ рассчитать максимальное значение (последний адрес для сети): в 25-ти битной маске мы имеем 7 бит под адреса; следовательно — адрес первой сети в двоичном виде будет выглядеть так: 1001101.1111000.1111000.00000000 — где жирным выделен адрес сети, а курсивом — «свободные» биты под адреса хостов. Максимальное значение, которое можно вместить в семь бит — 01111111 = 127.

Читать еще:  Как узнать модель материнской платы компьютера и ноутбука

Для второй сети мы имеем вид 77.120.120.128, или 1001101.1111000.1111000.10000000, а максимальное значение последнего октета будет 11111111 = 255.

Курс по основам компьютерных сетей на базе оборудования Cisco. Этот курс поможет вам подготовиться к экзаменам CCENT/CCNA, так как за его основу взят курс Cisco ICND1.

  • 29.09.2018
  • Cisco CCNA (ICND1 и ICND2), Компьютерные сети
  • Комментариев нет

Привет, посетитель сайта ZametkiNaPolyah.ru! Продолжаем изучать основы работы компьютерных сетей и протокол сетевого уровня IP, а если быть более точным, то его версию IPv4. На этот раз речь пойдет о устройствах в IP сетях и их видах, которых всего два: конечные или терминальные узлы и транзитные узлы или маршрутизаторы. Мы разберемся с основными принципами работы этих устройств и поговорим о том, сколько может быть IP-адресов у одного устройства.

Если тема компьютерных сетей вам интересна, то можете ознакомиться с другими записями курса.

4.9.1 Введение

На самом деле эта тема должна была быть одной из первых в рамках разговора о протоколе IP, но у нас уже был разговор про работу коммутаторов, роутеров, сетевых концентраторов и даже обобщающая тема о разнице между сетевыми устройствами, поэтому здесь мы не будем подробно углубляться в работу сетевых устройств, а поговорим про важные особенности оборудования в рамках протокола IP. Стоит добавить, что эта часть у нас про IPv4, но всё, что будет в этой теме, также относится и к протоколу IPv6.

4.9.2 Поведение устройств в IP сетях и их виды

Устройства в IP-сетях делятся на два больших вида:

  1. Конечные узлы, их еще называют терминальными узлами, их функции описаны в RFC 1122.
  2. Промежуточные узлы или маршрутизаторы для них есть описание в RFC 1812.

Конечные узлы также делятся на два вида:

  1. Узлы отправители.
  2. Узлы получатели.

Зачастую конечный узел работает и как отправитель, и как получатель. То есть он может генерировать IP трафик, распаковывать IP-пакеты и передавать сообщения транспортного уровня вышестоящему обработчику. В общем, конечный узел должен уметь инкапсулировать и деинкапсулировать IP-пакеты, а также принимать решения о том куда или кому направить IP-пакет (про модель стека протоколов TCP/IP и OSI 7, а также о декомпозиции задачи сетевого взаимодействия читайте по ссылкам).

Основная задача транзитных устройств – передавать трафик дальше, то есть маршрутизатор, получив IP-пакет, должен принять решения о выборе оптимального маршрута, опираясь на IP-адрес назначения. Хотя маршрутизатор может генерировать трафик, а также проверять содержимое IP-пакетов и уже на основе содержимого принимать решение по маршрутизации, нам пока это не так интересно.

Вне зависимости от того, к какому виду относится то или иное устройство, между этим устройством и его соседом должен быть канал связи или канальная среда, протокол IP может работать поверх огромного количества каналов связи и канальных протоколов, но чаще всего вы будете встречаться с такими:

  1. Ethernet, например, работа протокола IP поверх Ethernet II описана в RFC 894.
  2. IP может работать поверх любой сети стандарта 802, в том числе и поверх 802.11 (Wi-Fi), описание есть в RFC 1042.
  3. IP поверх ATM описан в RFC 1932.
  4. Практически поверх любого протокола, организующего взаимодействие точка-точка IP может работать (о физической и логической топологии компьютерных сетей здесь), например, очень часто вы можете встретить связи IP и PPP.
  5. Есть даже RFC 1149, описывающий работу IP поверх голубей.

Как я уже говорил в самом начале, задача протокола IP передавать пакеты из пункта А в пункт Б и он их будет передавать, главное, чтобы был хоть какой-то, даже самый плохенький канал между этими пунктами.

4.9.3 Терминальные узлы: узлы-отправители и узлы-получатели

Давайте более подробно рассмотрим действия терминальных узлов в IP сетях и поговорим о их основных задачах. Представим, что у нас есть один конечный узел, который может только генерировать трафик, а другой узле может только получать трафик (о взаимодействие двух узлов в компьютерной сети здесь). Тогда действия узла отправителя можно описать следующим образом:

  1. Принять данные с транспортного уровня и сформировать из них пакет, добавив к этим данным заголовок. Обычно размер сообщения транспортного уровня подбирается таким образом, чтобы оно могло целиком поместиться в поле данных IP-пакета, поверх поля данных добавляется заголовок, в котором содержатся указания о том, как обрабатывать этот пакет и куда его направлять.
  2. Следующим шагом узел-отправитель должен решить какому соседу по канальной среде лучше всего направить получившийся IP-пакет:
    • если конечный получатель находится в одной канальной среде с узлом-отправителем, то пакет будет направлен непосредственно этому узлу;
    • если получатель находится в другой канальной среде, то узел-отправитель должен будет направить пакет на транзитный маршрутизатор.

    И в том, и в другом случае отправитель должен определиться с двумя важными моментами перед отправкой пакета: в какой физический интерфейс направлять пакет и какой канальный адрес у соседа, которому направляется пакет. В случае, если канальной средой является Ethernet, определить канальный адрес помогает протокол ARP.

  3. Запаковать IP-пакет в кадр канального уровня и передать в физический интерфейс.

Вот такие нехитрые действия выполняет узел отправитель, когда готовится передать IP пакет. Как узел понимает в какой канальной среде находится сосед? Всё очень просто. Он сравнивает свои IP-адрес и маску подсети с IP-адресом получателя и если номера сети у этих IP-адресов совпадают, то получатель находится в одной канальной среде с отправителем и до него можно достучаться напрямую, если номера сети разные, то это означает, что получатель находится в другой канальной среде и до него можно добраться через промежуточные узлы.

Узел-получатель совершает значительно меньше действий, нежели отправитель, но оно и понятно, давайте посмотрим:

  1. Получить пакет. На самом деле пакет приходит как последовательность бит, из которых узел складывает слова, из слов скалываются кадры, выполняется первая проверка корректности, если все хорошо, отрезается заголовок канального уровня, выполняется проверка корректности пакета на сетевом уровне. Если данные не «побились» по дороге, то узел должен убедиться, что именно он является получателем, а не кто-то другой. Тут понятно, что узел сравнивает IP-адрес назначения со своим IP-адресом.
  2. Все проверки пройдены, значит, нужно снять заголовок IP-пакет и передать обработку транспортному уровню.
    Как видите, действий у получателя значительно меньше: ему нужно убедиться, что данные в пути не побились, а также убедиться, что пакет предназначен ему, а не кому-то еще, если пакет предназначен кому-то другому, то получатель обычно отбрасывает такой пакет. И тут есть момент, связанный с доверием: никто не запрещает получателю получать и обрабатывать пакеты, которые не предназначены этому получателю, всё зависит от настроек конечного узла.

Стоит заметить, что проверка целостности данных происходит не только на конечных точках, но и на всех транзитных узлах. Данные, передаваемые через канал связи, проверяются получателем.

4.9.4 Транзитные узлы или маршрутизаторы

Транзитные узлы зачастую могут выполнять роль терминальных узлов и даже просматривать содержимое IP-пакетов, но это не главные задачи, которые стоят перед маршрутизаторами, главная их задача – передавать трафик дальше в соответствие с маршрутной информацией, которая есть у узла. Действия маршрутизатора будут следующими:

  1. Получить IP-пакет от соседа по канальной среде. Убедиться, что пакет не был поврежден по дороге. Также маршрутизатор должен убедиться, что он не является получателем данного пакета, сверив свои IP-адреса с тем, что в пакете.
  2. Маршрутизаторы занимаются тем, что перекладывают пакет из одной канальной среды в другую. Поэтому следующим шагом маршрутизатору нужно понять: в какую канальную среду нужно отправить полученный пакет. Это может быть, как конечный получатель, если этот получатель находится в одной канальной среде с интерфейсом роутера, или это может быть другой транзитный узел, если получатель не находится в одной канальной среде с маршрутизатором. Стоит заметить, что маршрутизатор в процессе передачи не изменяет IP-адрес источника и IP-адрес назначения, они остаются неизменными, изменения вносятся в адреса канального уровня.
  3. После того, как маршрутизатор определился со вторым шагом, ему нужно определиться с выходным интерфейсом и канальным адресом соседа, которому будет направлен пакет.
  4. Маршрутизатор модифицирует IP-пакет, как минимум, изменяет TTL и контрольную сумму, запаковывает пакет в кадр и отправляет в выбранный ранее интерфейс.

Как видите, у транзитных узлов работы больше, чем у конечных. Более того, транзитный узел является некой компиляцией функций узла-получателя и узла-отправителя.

4.9.5 Сколько IP-адресов может быть у компьютера?

Нам осталось рассмотреть вопрос о том, сколько IP-адресов можно настроить на одном сетевом устройстве? Но к этому вопросу стоит подойти из далека: сколько может быть канальных интерфейсов у устройства? Допустим, у устройства пять канальных интерфейсов, а это означает, что на каждый канальный интерфейс можно назначить IP-адрес.

Тут стоит помнить, что в каждую канальную среду на одном устройстве должен смотреть один канальный интерфейс, а из этого следует, что в каждом канальном интерфейсе устройства должны быть назначены IP-адреса из разных подсетей. То есть сейчас вы можете подумать, что если есть IP устройство с пятью канальными интерфейсами, то на него можно назначить пять IP-адресов и будете не правы, дело в том, что на одном интерфейсе может быть несколько IP-адресов при этом один из этих адресов будет основным, а все остальные вторичные (в следующей теме мы посмотрим как задать вторичный IP-адрес в Windows 10, а сейчас отметим, что на интерфейсах маршрутизаторов Cisco вторичные IP-адреса задаются при помощи ключевого слова secondary, при этом и третий, и четвертый, и десятый IP-адрес назначается при помощи secondary). IP-адреса на одном интерфейсе могут быть из одной подсети, криминального ничего не будет.

Подытожим: IP-адреса назначаются на канальные интерфейсы, IP-адреса на разных канальных интерфейсах должны быть из разных подсетей, на одном канальном интерфейсе может быть несколько IP-адресов, один из которых может быть основным, а все остальные вторичные. Адреса на одном канальном интерфейсе могут быть из одной подсети. Информация справедлива как для классовых сетей, так для бесклассовых.

4.9.6 Выводы

Пожалуй, эта вся самая важная и базовая информация о принципах работы IP-устройств. Не забывайте, что конечные устройства могут быть как получателями, так и отправителями, а также помните, что поведение конечных и транзитных устройств несколько различается.

Зачем использовать статические IP

Несмотря на преимущества динамических айпи, статические по-прежнему продолжают активно использоваться. Это обусловлено рядом нюансов:

для доступа к некоторым сервисам требуется именно статический адрес;

он позволяет применять защищенные каналы передачи данных;

пользователь привязывается к конкретной сети;

так оптимизируется работа с сетевыми серверами.

В целом статический IP-адрес является более надежным и безопасным. Поэтому его активно используют в сетях и ресурсах, требующих значительного уровня защиты.

Облачные сети и подсети: частные и публичные, общие и клиентские

Облачные технологии позволяют строить инфраструктуры любой сложности. При необходимости можно связать между собой пару серверов. Или создать многоуровневую корпоративную инфраструктуру, состоящую из частных и публичных сетей и подсетей. В этой статье рассмотрим, какие существуют типы клиентских подсетей в облаке 1cloud, которые пригодятся вам в работе.

Прилагательные «частный» и «публичный» используются в сфере администрирования компьютерных сетей, облаков, интернета очень широко и… весьма разнообразно. Это разнообразие часто приводит к путанице или, по крайней мере, требует постоянного уточнения того, о чём идёт речь.

Например, чем отличается сеть от подсети. Понятно, подсеть — это часть сети, её сегмент. Но где между ними граница?

На маршрутизаторе? — В определённом смысле, конечно, да. Но ведь и перед маршрутизатором, и после него существует множество других маршрутизаторов, разделяющих сетевые сегменты, которые могут принадлежать одному или разным владельцам. Каждый из этих сегментов может быть относительно других как сетью, так и подсетью.

Достаточно определенно можно называть подсетью сегменты сети с немаршрутизируемыми в интернет адресами: 10.*.*.*, 172.16.*.*, 192.168.*.*. Эти адреса называются: «внутренними», «частными», «серыми». В общем случае, компьютеры с такими адресами недоступны из интернета. Практически все остальные адреса из интернета доступны и называются: «внешними», «публичными», «белыми».

Но вспомним о том, что у одного компьютера может быть несколько сетевых интерфейсов (адаптеров), а соответственно, несколько сетевых адресов — и критерий публичности подсети по публичности IP-адреса тоже не покажется совсем универсальным.

В облаке 1cloud принята следующая классификация подсетей:

  • общая публичная;
  • клиентская публичная;
  • клиентская частная.

Поясним эти наименования.

Общая публичная подсеть

Когда клиент создаёт в облаке свой новый сервер, он не размещается в отдельной подсети, связанной только с этим клиентом. Новому серверу присваивается статический внешний (публичный) IP-адрес из подсети, в которой находятся серверы других клиентов.

Благодаря своему публичному адресу, этот сервер доступен из любой точки интернета.

Разные серверы клиента могут попасть в разные общие публичные подсети.

Соседство прилагательных «общий» и «публичный» может кого-то смутить. Важно запомнить, что здесь «общий» относится к владельцу подсети, а «публичный» — к видимости IP-адреса виртуальной машины из интернета.

Задача системного администрирования такого отдельного сервера в основном лежит на клиенте. «В основном» — потому что в облаке 1cloud имеются базовые средства защиты от внешних вредоносных сетевых воздействий. Но они объективно не могут (и не должны!) полностью изолировать сервер клиента от интернета.

Клиентская частная подсеть

Пользователь облака 1cloud имеет возможность создать подсеть, компьютеры в которой будут иметь частные IP-адреса и не будут напрямую доступны из интернета.

Правда, недоступность из интернета будет обеспечена только при отсутствии у этих компьютеров иных сетевых адаптеров (интерфейсов) и, соответственно, иных соединений с другими подсетями.

Как было сказано ранее, при создании новых виртуальных машин в облаке 1cloud им автоматически присваивается публичный IP-адрес. Поэтому фактически после создания частной подсети сетевая инфраструктура клиента в нашем случае будет, например, такой.

На рисунке маршрутизатор, обозначенный тремя звёздочками, символизирует несколько разных виртуальных маршрутизаторов с разными адресами, отвечающих за разные общие публичные подсети.

Для того, чтобы действительно изолировать виртуальную машину от интернета, у неё нужно отключить сетевой адаптер с публичным IP-адресом. При этом не следует забывать предусмотреть способ удалённого администрирования компьютеров частной подсети, ведь напрямую из интернета они перестанут быть доступны. Для удалённого доступа можно использовать NAT или один из компьютеров сети в качестве ретранслятора.

На всякий случай, у клиента всегда останется доступ к его виртуальным машинам через Панель управления и её веб-консоль.

Клиентская публичная подсеть

Как было сказано, каждой новой виртуальной машине в облаке 1cloud автоматически присваиваются публичный IP-адрес. Однако адреса разных машин клиента могут оказаться из разных подсетей. Если эти машины должны взаимодействовать между собой, то управлять такой инфраструктурой может оказаться сложно.

Для преодоления этого затруднения клиенту 1cloud предоставлена возможность создать подсеть с публичными IP-адресами, но расположенными рядом, образующими единый блок.

Например, 124.17.81.1, 124.17.81.2, 124.17.81.3, …

В нашем примере машина с адресом 124.17.81.1 будет играть роль шлюза (маршрутизатора). С её помощью можно управлять доступом в публичную подсеть клиента.

Публичную подсеть с непрерывным блоком адресов легче администрировать. Серверы в ней лучше изолированы от соседей по облаку. IP-адреса в ней зафиксированы и закреплены за клиентом.

Всё вместе

Клиенты 1cloud свободны в создании своих подсетей. Их можно создать столько, сколько нужно клиенту. Если кто-то из клиентов создал, например, три виртуальных компьютера, а потом все их включил сначала в свою частную сеть, а потом в публичную, получится примерно следующая структура.

Оставлять её в таком состоянии крайне нежелательно, потому что контролировать все сетевые интерфейсы будет крайне сложно. Это значит, что клиент не сможет быть достаточно уверенным в её сетевой безопасности.

Клиенту, как скульптору, нужно отсечь всё лишнее — отключить лишние сетевые интерфейсы, чтобы получить функциональную, эффективную и надёжную инфраструктуру.

Пользуясь широкими и гибкими сетевыми возможностями облака 1cloud, его клиент сможет выстроить оптимальную для себе компьютерную систему.

Дополнительным преимуществом размещения инфраструктуры в облаке является то, что её можно достаточно быстро и легко изменить: сократить, расширить, повысить вычислительную мощность.

Заключение

Важно понимать и помнить, что один и тот же компьютер в облаке 1cloud может быть подключен к разным сетям одновременно.

С одной стороны, это открывает широкие возможности по созданию разнообразных компьютерных инфраструктур, с другой — может усложнить обеспечение их безопасности, так как потребуется управлять большим числом сетевых интерфейсов. Но при должном уровне квалификации наличие возможностей важнее!

P. S. О чём ещё мы пишем в блоге 1cloud:

TCP/IP: Структура IPv4 адреса, сети и подсети, разделение сети на подсети

Структура IP-адреса

IP-адрес представляет собой число размером 32 бита (или 4 байта), которое может быть записано в любой системе счисления (тут речь про адрес протокола IP version 4, в IPv6 он имеет размер 128 бит).

Например, адрес в десятичной системе 127.0.0.1 можно записать так:

Адрес делится на 4 октета, по 8 бит каждый, которые могут иметь значение от (00000000) до 255 (11111111):

IP-адрес содержит в себе две основных части — адрес сети и адрес хоста в этой сети.

К примеру, адрес 77.120.120.20 представляет собой сеть 77.120.120.0, в которой находится хост с адресом 20.

Сети и маска сети

Помимо указания самого IP-адреса, на сетевом интерфейсе так же указывается его маска сети. Маска не передаётся в заголовках TCP/IP пакетов, но используется сетевой картой для определения дальнейшего маршрута пакета — если адрес назначения находится в одной сети с адресом отправителя — он будет отправлен напрямую, если же в отдельной сети — пакет будет передан маршрутизатору, согласно таблице маршрутизации пакетов.

Рассмотрим адрес 77.120.120.20 с маской 255.255.255.0.

В двоичном представлении этот адрес можно записать так:

Для первых трёх октетов в IP-адресе установлен (или «включён«) «бит маски» (иначе — «битовая маска«), следовательно — первые три октета адреса являются адресом сети, а последние 8 бит — адресом хоста.

Таким образом, адрес 77.120.120.20 с маской 255.255.255.0 является в сетью 77.120.120.0, которая является классом С (которая, в свою очередь, является подсетью сети 77.120.0.0 класса В, которая является подсетью сети 77.0.0.0, которая является сетью верхнего уровня — А, хотя с появлением CIDR (см. ниже) понятие «классы сети» фактически потеряло актуальность).

Что бы сократить запись о сети 77.120.120.0 с маской 255.255.255.0 — можно использовать сокращённую форму: 77.120.120.0/24.

«/24» называется «префикс сети«, и указывает на количество «битов маски«. Таким образом, из 32 бит адреса 24 указаны как адрес сети, а 8 — остаются для адресов хостов в этой сети.

Если взять, к примеру, сеть 77.120.120.0/28 — мы получим только 4 бита, выделенных для адресов, т.е. маска сети будет выглядеть как 11111111.11111111.11111111.11110000, или 255.255.255.240.

Такое описание сетей и подсетей называется «бесклассовой классификацией» ( Classless Inter-Domain Routing — CIDR ).

Использование CIDR даёт возможность отказаться от традиционного разбиения на сети различных классов (А, B, C и т.д.) , и создавать подсети необходимого размера.

К примеру, подсеть 77.120.120.0/28 (которую можно перевести в маску сети 11111111.11111111.11111111.11110000 в двоичном виде (4 последних бита «сброшены»)или 255.255.255.240 в десятичном) содержит 4 бита адресов хостов. В 4 бита можно «вместить» 2 4 адресов — 16. Из этих 16 стоит вычесть первый (сам адрес 77.120.120.0, так он является адресом самой сети) и последний (77.120.120.255, так как он является широковещательным, или broadcast, адресом сети, на который в теории должны отвечать все хосты сети), таким образом — из 16 адресов сети для хостов остаётся 14 адресов.

Маска подсетиАльтернативный
формат записи
Последний октет
(в двоичном виде)
Последний октет
(в десятичном виде)
255.255.255.0/240000 0000
255.255.255.128/251000 0000128
255.255.255.192/261100 0000192
255.255.255.224/271110 0000224
255.255.255.240/281111 0000240
255.255.255.248/291111 1000248
255.255.255.252/301111 1100252
Маска подсетиРазмер идентификатора хостаМаксимальное
количество хостов
8 бит255.0.0.024 бит2 24 – 216777214
16 бит255.255.0.016 бит2 16 – 265534
24 бит255.255.255.08 бит2 8 – 2254
29 бит255.255.255.2483 бит2 3 – 26

Более полные таблицы сетей можно найти в статье Сети, подсети, классы подсетей. Таблица подсетей.

Разделение сети на подсети

Допустим, имеется сеть 77.120.120.0/24, или сеть 77.120.120.0 с маской 255.255.255.0 — из которой необходимо выделить две различные сети. Сеть 77.120.120.0/24 включает в себя адреса от 77.120.120.0 до 77.120.120.255.

Представим эту сеть и её маску в двоичном виде:

Займём на один бит больше в последнем октете маски сети — 11111111.11111111.11111111.10000000 (или 255.255.255.128 в десятичном виде). У нас осталось (32 бита IP-адреса — 7 бит под адреса хостов) = 25 бит — под маску. Следовательно, первая сеть в десятичном виде будет выглядеть как 77.120.120.0/25, и включает в себя адреса от 77.120.120.0 до 77.120.120.127 (7 бит под адреса: 2 7 = 128 адресов, включая первый адрес 0 — получаем 127 всего), а вторая сеть получит адреса от 77.120.120.128 до 77.120.120.255, или 77.120.120.128/25.

Ещё один способ рассчитать максимальное значение (последний адрес для сети): в 25-ти битной маске мы имеем 7 бит под адреса; следовательно — адрес первой сети в двоичном виде будет выглядеть так: 1001101.1111000.1111000.00000000 — где жирным выделен адрес сети, а курсивом — «свободные» биты под адреса хостов. Максимальное значение, которое можно вместить в семь бит — 01111111 = 127.

Для второй сети мы имеем вид 77.120.120.128, или 1001101.1111000.1111000.10000000, а максимальное значение последнего октета будет 11111111 = 255.

Локальные компьютерные сети

LAN
(local area network, локальная вычислительная сеть)

соединенные каналами обмена информацией компьютеры и другие устройства, расположенные на незначительном удалении один от другого (комната, здание, предприятие).

Локальные сети являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей, для которых работа в такой сети непосредственно связана с их профессиональной деятельностью.

LAN предназначены для обеспечения совместного доступа к сетевым ресурсам (аппаратным, программным, информационным) и предоставляют возможность пользователям:

  • получать доступ к аппаратным ресурсам сети (принтерам, сканерам, жестким дискам, вычислительным мощностям серверов и т.д.);
  • получать доступ к программным ресурсам сети (отправляя на удаленные компьютеры задания, которые будут выполняться установленными на них программами и получая результаты выполненной работы);
  • получать доступ к информационным ресурсам (документам, записям, фото, фильмам и т.д.) общего пользования (хранящимся на файл-сервере) и отдельных пользователей;
  • предоставлять в сеть свои информационные (документы, записи, фото, фильмы и т.д.), программные и аппаратные ресурсы, регламентируя уровень и порядок доступа к ним;
  • осуществлять коммуникации путем обмена информационными ресурсами (в том числе и в режиме реального времени);
  • получать доступ к своим ресурсам с любого компьютера сети;
  • совместно использовать одну копию программного обеспечения и т.д.

Ethernet

Ethernet – это наиболее распространённая технология организации локальных сетей. Стандарты Ethernet описывают реализацию двух первых уровней модели OSI – проводные соединения и электрические сигналы (физический уровень), а так же форматы блоков данных и протоколы управления доступом к сети (канальный уровень). Начнём с идеи, лежащей в основе Ethernet.

Название Ethernet произошло от двух английских слов – ether (эфир) и net (сеть). Ethernet использует концепцию общего эфира. Каждый ПК посылает данные в этот эфир и указывает, кому они адресованы. Данные могут дойти до всех ПК сети, но обрабатывает их только тот ПК, которому они предназначены. Остальные ПК чужие данные игнорируют. Такая работа аналогична эфиру радиостанций. Все радиостанции транслируют свои передачи в общее электромагнитное поле – радиоэфир. Ваш радиоприёмник получает электромагнитные сигналы всех станций. Но слушаете вы не всё сразу, а ту станцию, которая вам нужна.

Роберт «Боб» Меткалф
(англ. Robert Melancton Metcalfe) 7 апреля 1946 года Бруклин, США

Протокол Ethernet создал Боб Меткалф для подключение нескольких компьютеров к одному лазерному принтеру. Первоначально проект назывался » Internet «, но такое название сочли слишком фривольным.

В 1973 году Боб Меткалф описал Ethernet в своей диссертации, которая была отклонена ученым советом Гарвардского университета как «недостаточно аналитическая».

Курс по основам компьютерных сетей на базе оборудования Cisco. Этот курс поможет вам подготовиться к экзаменам CCENT/CCNA, так как за его основу взят курс Cisco ICND1.

  • 29.09.2018
  • Cisco CCNA (ICND1 и ICND2), Компьютерные сети
  • Комментариев нет

Привет, посетитель сайта ZametkiNaPolyah.ru! Продолжаем изучать основы работы компьютерных сетей и протокол сетевого уровня IP, а если быть более точным, то его версию IPv4. На этот раз речь пойдет о устройствах в IP сетях и их видах, которых всего два: конечные или терминальные узлы и транзитные узлы или маршрутизаторы. Мы разберемся с основными принципами работы этих устройств и поговорим о том, сколько может быть IP-адресов у одного устройства.

Если тема компьютерных сетей вам интересна, то можете ознакомиться с другими записями курса.

4.9.1 Введение

На самом деле эта тема должна была быть одной из первых в рамках разговора о протоколе IP, но у нас уже был разговор про работу коммутаторов, роутеров, сетевых концентраторов и даже обобщающая тема о разнице между сетевыми устройствами, поэтому здесь мы не будем подробно углубляться в работу сетевых устройств, а поговорим про важные особенности оборудования в рамках протокола IP. Стоит добавить, что эта часть у нас про IPv4, но всё, что будет в этой теме, также относится и к протоколу IPv6.

4.9.2 Поведение устройств в IP сетях и их виды

Устройства в IP-сетях делятся на два больших вида:

  1. Конечные узлы, их еще называют терминальными узлами, их функции описаны в RFC 1122.
  2. Промежуточные узлы или маршрутизаторы для них есть описание в RFC 1812.

Конечные узлы также делятся на два вида:

  1. Узлы отправители.
  2. Узлы получатели.

Зачастую конечный узел работает и как отправитель, и как получатель. То есть он может генерировать IP трафик, распаковывать IP-пакеты и передавать сообщения транспортного уровня вышестоящему обработчику. В общем, конечный узел должен уметь инкапсулировать и деинкапсулировать IP-пакеты, а также принимать решения о том куда или кому направить IP-пакет (про модель стека протоколов TCP/IP и OSI 7, а также о декомпозиции задачи сетевого взаимодействия читайте по ссылкам).

Основная задача транзитных устройств – передавать трафик дальше, то есть маршрутизатор, получив IP-пакет, должен принять решения о выборе оптимального маршрута, опираясь на IP-адрес назначения. Хотя маршрутизатор может генерировать трафик, а также проверять содержимое IP-пакетов и уже на основе содержимого принимать решение по маршрутизации, нам пока это не так интересно.

Вне зависимости от того, к какому виду относится то или иное устройство, между этим устройством и его соседом должен быть канал связи или канальная среда, протокол IP может работать поверх огромного количества каналов связи и канальных протоколов, но чаще всего вы будете встречаться с такими:

  1. Ethernet, например, работа протокола IP поверх Ethernet II описана в RFC 894.
  2. IP может работать поверх любой сети стандарта 802, в том числе и поверх 802.11 (Wi-Fi), описание есть в RFC 1042.
  3. IP поверх ATM описан в RFC 1932.
  4. Практически поверх любого протокола, организующего взаимодействие точка-точка IP может работать (о физической и логической топологии компьютерных сетей здесь), например, очень часто вы можете встретить связи IP и PPP.
  5. Есть даже RFC 1149, описывающий работу IP поверх голубей.

Как я уже говорил в самом начале, задача протокола IP передавать пакеты из пункта А в пункт Б и он их будет передавать, главное, чтобы был хоть какой-то, даже самый плохенький канал между этими пунктами.

4.9.3 Терминальные узлы: узлы-отправители и узлы-получатели

Давайте более подробно рассмотрим действия терминальных узлов в IP сетях и поговорим о их основных задачах. Представим, что у нас есть один конечный узел, который может только генерировать трафик, а другой узле может только получать трафик (о взаимодействие двух узлов в компьютерной сети здесь). Тогда действия узла отправителя можно описать следующим образом:

  1. Принять данные с транспортного уровня и сформировать из них пакет, добавив к этим данным заголовок. Обычно размер сообщения транспортного уровня подбирается таким образом, чтобы оно могло целиком поместиться в поле данных IP-пакета, поверх поля данных добавляется заголовок, в котором содержатся указания о том, как обрабатывать этот пакет и куда его направлять.
  2. Следующим шагом узел-отправитель должен решить какому соседу по канальной среде лучше всего направить получившийся IP-пакет:
    • если конечный получатель находится в одной канальной среде с узлом-отправителем, то пакет будет направлен непосредственно этому узлу;
    • если получатель находится в другой канальной среде, то узел-отправитель должен будет направить пакет на транзитный маршрутизатор.

    И в том, и в другом случае отправитель должен определиться с двумя важными моментами перед отправкой пакета: в какой физический интерфейс направлять пакет и какой канальный адрес у соседа, которому направляется пакет. В случае, если канальной средой является Ethernet, определить канальный адрес помогает протокол ARP.

  3. Запаковать IP-пакет в кадр канального уровня и передать в физический интерфейс.

Вот такие нехитрые действия выполняет узел отправитель, когда готовится передать IP пакет. Как узел понимает в какой канальной среде находится сосед? Всё очень просто. Он сравнивает свои IP-адрес и маску подсети с IP-адресом получателя и если номера сети у этих IP-адресов совпадают, то получатель находится в одной канальной среде с отправителем и до него можно достучаться напрямую, если номера сети разные, то это означает, что получатель находится в другой канальной среде и до него можно добраться через промежуточные узлы.

Узел-получатель совершает значительно меньше действий, нежели отправитель, но оно и понятно, давайте посмотрим:

  1. Получить пакет. На самом деле пакет приходит как последовательность бит, из которых узел складывает слова, из слов скалываются кадры, выполняется первая проверка корректности, если все хорошо, отрезается заголовок канального уровня, выполняется проверка корректности пакета на сетевом уровне. Если данные не «побились» по дороге, то узел должен убедиться, что именно он является получателем, а не кто-то другой. Тут понятно, что узел сравнивает IP-адрес назначения со своим IP-адресом.
  2. Все проверки пройдены, значит, нужно снять заголовок IP-пакет и передать обработку транспортному уровню.
    Как видите, действий у получателя значительно меньше: ему нужно убедиться, что данные в пути не побились, а также убедиться, что пакет предназначен ему, а не кому-то еще, если пакет предназначен кому-то другому, то получатель обычно отбрасывает такой пакет. И тут есть момент, связанный с доверием: никто не запрещает получателю получать и обрабатывать пакеты, которые не предназначены этому получателю, всё зависит от настроек конечного узла.

Стоит заметить, что проверка целостности данных происходит не только на конечных точках, но и на всех транзитных узлах. Данные, передаваемые через канал связи, проверяются получателем.

4.9.4 Транзитные узлы или маршрутизаторы

Транзитные узлы зачастую могут выполнять роль терминальных узлов и даже просматривать содержимое IP-пакетов, но это не главные задачи, которые стоят перед маршрутизаторами, главная их задача – передавать трафик дальше в соответствие с маршрутной информацией, которая есть у узла. Действия маршрутизатора будут следующими:

  1. Получить IP-пакет от соседа по канальной среде. Убедиться, что пакет не был поврежден по дороге. Также маршрутизатор должен убедиться, что он не является получателем данного пакета, сверив свои IP-адреса с тем, что в пакете.
  2. Маршрутизаторы занимаются тем, что перекладывают пакет из одной канальной среды в другую. Поэтому следующим шагом маршрутизатору нужно понять: в какую канальную среду нужно отправить полученный пакет. Это может быть, как конечный получатель, если этот получатель находится в одной канальной среде с интерфейсом роутера, или это может быть другой транзитный узел, если получатель не находится в одной канальной среде с маршрутизатором. Стоит заметить, что маршрутизатор в процессе передачи не изменяет IP-адрес источника и IP-адрес назначения, они остаются неизменными, изменения вносятся в адреса канального уровня.
  3. После того, как маршрутизатор определился со вторым шагом, ему нужно определиться с выходным интерфейсом и канальным адресом соседа, которому будет направлен пакет.
  4. Маршрутизатор модифицирует IP-пакет, как минимум, изменяет TTL и контрольную сумму, запаковывает пакет в кадр и отправляет в выбранный ранее интерфейс.

Как видите, у транзитных узлов работы больше, чем у конечных. Более того, транзитный узел является некой компиляцией функций узла-получателя и узла-отправителя.

4.9.5 Сколько IP-адресов может быть у компьютера?

Нам осталось рассмотреть вопрос о том, сколько IP-адресов можно настроить на одном сетевом устройстве? Но к этому вопросу стоит подойти из далека: сколько может быть канальных интерфейсов у устройства? Допустим, у устройства пять канальных интерфейсов, а это означает, что на каждый канальный интерфейс можно назначить IP-адрес.

Тут стоит помнить, что в каждую канальную среду на одном устройстве должен смотреть один канальный интерфейс, а из этого следует, что в каждом канальном интерфейсе устройства должны быть назначены IP-адреса из разных подсетей. То есть сейчас вы можете подумать, что если есть IP устройство с пятью канальными интерфейсами, то на него можно назначить пять IP-адресов и будете не правы, дело в том, что на одном интерфейсе может быть несколько IP-адресов при этом один из этих адресов будет основным, а все остальные вторичные (в следующей теме мы посмотрим как задать вторичный IP-адрес в Windows 10, а сейчас отметим, что на интерфейсах маршрутизаторов Cisco вторичные IP-адреса задаются при помощи ключевого слова secondary, при этом и третий, и четвертый, и десятый IP-адрес назначается при помощи secondary). IP-адреса на одном интерфейсе могут быть из одной подсети, криминального ничего не будет.

Подытожим: IP-адреса назначаются на канальные интерфейсы, IP-адреса на разных канальных интерфейсах должны быть из разных подсетей, на одном канальном интерфейсе может быть несколько IP-адресов, один из которых может быть основным, а все остальные вторичные. Адреса на одном канальном интерфейсе могут быть из одной подсети. Информация справедлива как для классовых сетей, так для бесклассовых.

4.9.6 Выводы

Пожалуй, эта вся самая важная и базовая информация о принципах работы IP-устройств. Не забывайте, что конечные устройства могут быть как получателями, так и отправителями, а также помните, что поведение конечных и транзитных устройств несколько различается.

Структура IP-адресов

Каждый IP-адрес в сети состоит из двух частей:

Для определения номера сети и узла необходимо использовать так называемые маски подсети, позволяющие узнать, какая именно часть идентификатора обозначает сеть, а какая – узел, соединение, устройство. Используемый метод – побитовое наложение.

Пример IP-адреса: 192.168.1.2. Пример маски подсети: 255.255.254.0.

Для определения номера сети переводим адрес в двоичную систему счисления. Получаем следующую картину:

Применив метод поразрядной конъюнкции (побитового «И»), получаем адрес сети – 192.168.0.0.

Далее, используя таблицу маршрутизации, можно вычислить адрес шлюза.

Этот метод применяется к IPv6-протоколам аналогичным образом.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector