VyÜlo v t²denφku: | COMPUTERWORLD |
╚φslo: | 42/92 |
RoΦnφk: | 1992 |
Rubrika/kategorie: | Co je Φφm ... v poΦφtaΦov²ch sφtφch |
Dφl: | 50 |
O zm∞n∞ strategie p°i p°id∞lovßnφ IP adres jsme se ji₧ zmφnili ve 44. dφlu, kde jsme si o IP adresßch povφdali podrobn∞ji. P°ipome≥me si proto, v Φem tyto zm∞ny spoΦφvajφ, a hlavn∞ Φφm jsou motivovßny.
P∙vodnφ zßm∞r byl takov², aby ka₧dß dφlΦφ sφ¥ m∞la vlastnφ samostatnou sφ¥ovou adresu. Aby to bylo mo₧nΘ v prost°edφ, kde se dφlΦφ sφt∞ mohou velmi v²razn∞ liÜit co do poΦtu sv²ch koncov²ch uzl∙ (hostitelsk²ch poΦφtaΦ∙, hosts), zavedly se t°i r∙znΘ formßty IP adres - adresy t°φdy A, B a C (viz 44. dφl). Adresy t°φdy A byly urΦeny pro sφt∞ s velmi velk²m poΦtem hostitelsk²ch poΦφtaΦ∙, adresy t°φdy B pro "st°edn∞" velkΘ sφt∞, a adresy t°φdy C pro sφt∞ s maximßln∞ 254 hostitelsk²mi poΦφtaΦi. Dlu₧no ovÜem podotknout, ₧e tato strategie vznikla jeÜt∞ v dob∞, kdy sv∞tu vlßdly velkΘ st°ediskovΘ poΦφtaΦe a minipoΦφtaΦe, zatφmco Θra osobnφch poΦφtaΦ∙ a mal²ch lokßlnφch sφtφ m∞la nastat p°ibli₧n∞ o deset let pozd∞ji.
Jak jsme si ji₧ n∞kolikrßt ukßzali, sna₧φ se TCP/IP protokoly minimalizovat rozsah sm∞rovacφch tabulek a re₧ii na jejich aktualizaci dv∞ma zp∙soby: sm∞rovßnφm jen na zßklad∞ adresy dφlΦφ sφt∞, a pou₧φvßnφm implicitnφho sm∞rovßnφ (resp. implicitnφch cest) v tzv. vedlejÜφch brßnßch (noncore gateways). Ani to vÜak nestaΦφ, a tak se ukßzalo jako nezbytnΘ usilovat o redukci poΦtu r∙zn²ch IP adres cel²ch sφtφ. Jin²mi slovy: usilovat o tom, aby vφce dφlΦφch sφtφ m∞lo p°id∞lenu a sdφlelo stejnou sφ¥ovou adresu (p°esn∞ji: tu Φßst IP adresy, kterß p°edstavuje adresu sφt∞), a ve sm∞rovacφch tabulkßch tak zabφralo jen jednu polo₧ku. P°iÜlo se samoz°ejm∞ na vφce mo₧nostφ, jak toho dosßhnout - tou nejefektivn∞jÜφ se ukßzala b²t technika tzv. podsφtφ (subnets), kterou jsme si naznaΦili ji₧ ve 44. dφlu naÜeho serißlu, a kterß je dnes ji₧ povinnou souΦßstφ TCP/IP protokol∙. Zopakujme si proto jejφ zßkladnφ myÜlenku.
V rßmci p°φsluÜnΘ skupiny sφtφ je ale jejich spoleΦnß IP adresa dßle Φlen∞na - p°esn∞ji ta jejφ Φßst, kterß navenek p°edstavuje Φφslo (adresu) hostitelskΘho poΦφtaΦe, se nynφ rozpadß na dv∞ Φßsti - Φφslo (adresu) dφlΦφ sφt∞, resp. tzv. podsφt∞ (subnet) v rßmci skupiny, a na Φφslo (adresu) hostitelskΘho poΦφtaΦe v rßmci tΘto podsφt∞ - viz obrßzek 50.2. O tom, jak konkrΘtn∞ mß b²t IP adresa takto Φlen∞na, rozhoduje tzv. maska podsφt∞ (subnet mask).
Tento modifikovan² algoritmus mß jednu v²hodu - dokß₧e zobecnit i ob∞ singularity, kterΘ se vyskytujφ u p∙vodnφho algoritmu (viz op∞t 47. dφl), a to sm∞rovßnφ na zßklad∞ adres jednotliv²ch hostitelsk²ch poΦφtaΦ∙, a pou₧itφ implicitnφch cest. V prvnφm p°φpad∞ staΦφ volit takovou masku, dφky kterΘ bude jako adresa sφt∞ interpretovßna celß IP adresa p°φsluÜnΘho hostitelskΘho poΦφtaΦe (zatφmco Φßst, p°edstavujφcφ Φφslo hostitelskΘho poΦφtaΦe, bude prßzdnß). V p°φpad∞ implicitnφch cest pak staΦφ pou₧φt opaΦn² extrΘm - masku, kterß zcela "zamaskuje" adresu sφt∞.
Otßzkou ovÜem je, kdo mß takto modifikovan² algoritmus sm∞rovßnφ pou₧φvat. Kdyby jej toti₧ musely pou₧φvat vÜechny brßny, zcela by se tφm negoval v²sledn² efekt pou₧itφ techniky podsφtφ, spoΦφvajφcφ v dalÜφ redukci sm∞rovacφch tabulek. Modifikovan² algoritmus sm∞rovßnφ musφ v ka₧dΘm p°φpad∞ pou₧φvat vÜechny brßny a hostitelskΘ poΦφtaΦe v jednotliv²ch podsφtφch. Pokud jde o ostatnφ brßny a hostitelskΘ poΦφtaΦe, zde platφ jednoduchΘ teoretickΘ pravidlo: modifikovan² algoritmus sm∞rovßnφ je t°eba pou₧φt tam, odkud mohou vΘst r∙znΘ optimßlnφ cesty do r∙zn²ch podsφtφ se stejnou sφ¥ovou adresou.
Toto pravidlo lze jednoduÜe aplikovat v p°φpad∞, ₧e do celΘ skupiny podsφtφ se stejnou adresou vede jen jedin² vstupnφ bod (jako nap°φklad na obrßzku 50.1.). V ostatnφch p°φpadech je situace mnohem komplikovan∞jÜφ.
ProblΘm je ovÜem v omezenΘ pou₧itelnosti (jen tam, kde je pou₧φvßn protokol ARP), a dßle takΘ v tom, ₧e n∞kterΘ implementace protokolu ARP se sna₧φ detekovat a hlßsit sprßvci sφt∞ tzv. spoofing, jak se oznaΦuje situace, kdy jedno za°φzenφ p°edstφrß, ₧e je jin²m za°φzenφm (nap°φklad proto, aby mohlo neoprßvn∞n∞ "odposlouchßvat" p°enßÜenß data).