Co to jest odwrócona maska sieci i jak działa adresowanie IP?
- Szczegóły
Chcąc czy nie chcąc, na początku swojej przygody z sieciami IP musisz poznać zasady rządzące adresacją. Ilość informacji oraz zapewne całkowicie nowych dla Ciebie zasad potrafi być przytłaczająca. Nie martw się, nikt z nas nie jest w stanie wszystkiego zapamiętać.
Każdy adres składa się z 32 bitów, które dzielimy na oktety po 8 bitów. Jak zapewne dobrze pamiętasz, maska sieciowa również składa się z 32 bitów, jednakże tutaj wszystkie bity od lewej strony mające wartość 1 określają która część adresu należy do podsieci. Z kolei pozostałe wartości binarne powinny reprezentować wyłącznie wartość 0 i określać konkretne urządzenie.
Spójrzmy jak to wygląda, na przykładzie popularnej podsieci prywatnej 192.168.100.0 z maską 255.255.255.0 czyli /24. Maska podsieci podobnie jak adres ipv4 składa się z 32 bitów podzielonych na 4 oktety po 8 bitów każdy. Oznacza to, że wartości dziesiętne jakie możemy wykorzystać są z góry ustalone i stanowią sumę wykorzystanych bitów w danym oktecie.
Tak więc w celu otrzymania podsieci o notacji /8 wykorzystujemy wszystkie 8 bitów od lewej strony jako adres sieci. Pozostałe 24 bity możemy zaadresować jako hosty w naszej sieci (oczywiście ostatni adres podsieci nie może zostać wykorzystany do niczego innego niż broadcast). Analogicznie jeśli chcemy otrzymać podsieć o masce /16 wykorzystujemy w pełni pierwsze dwa oktety po 8 bitów oraz dla maski /24 wykorzystujemy 3 oktety.
Kiedy tworzymy sieci w oparciu o pełne oktety - sieci /8, /16, /24 - mówimy o sieciach klasowych. Do czego wykorzystuje się maski podsieci? Oczywiście do określania wielkości danej sieci. Tak więc wykorzystując maskę 255.255.255.0 - z notacją /24 -możemy wykorzystać wszystkie bity i mamy 256 adresów w naszej sieci, wartości od 0 do 255.
Przeczytaj także: Sterowniki i usterki ASUS K52J
Jeśli pożyczymy 1 bit do części określającej Twoją sieć zyskujemy dwie sieci o masce /25 z zapisem maski 255.255.255.128. Pamiętaj, że w każdej podsieci mamy dwa adresy specjalnym przeznaczeniu. Wróćmy do naszego przykładu kiedy mieliśmy sieć o wielkości 256 adresów ( /24), ale potrzebujemy tak naprawdę 2 mniejsze? W takim przypadku stosujemy CIDR i z jednej sieci /24 robimy dwie /25.
Niestety nie jesteśmy w stanie zawsze stworzyć idealnie dopasowanej do naszej potrzeb sieci. Na przykład nie jesteśmy w stanie stworzyć podsieci z 34 możliwymi do zaadresowania hostami. Musimy w takim wypadku zastosować większą sieć /26 i pogodzić się ze zmarnowaniem pozostałych adresów.
Pozwala nam to na bardzo szybkie przeliczenie ile możemy utworzyć podsieci z daną liczbą hostów. Spójrz na obrazek poniżej, w którym zaznaczyłem kolorami konkretne pary. I tak dla przykładu stosując maskę /26 otrzymamy 4 podsieci z 64 adresami (62 na hosty +2 specjalne). Odwrotnie stosując maskę /30 otrzymany 64 sieci z 4 adresami.
Ponieważ na egzaminach powinieneś spodziewać się pytań w stylu „Jakiej maski podsieci należy użyć w celu zaadresowania 15 hostów lub 500 hostów”. Umiejętność swobodnego operowania (czy to w głowie, czy na kartce) maskami może być również weryfikowana podczas zadań praktycznych, gdzie może być celowo zastosowana zła wartość.
Adresowanie bezklasowe
Wprowadziliśmy już pojęcie adresowania klasowego i podział adresów IPv4 na klasy. Podział ten zakłada stosowanie konkretnych, niezmieniających się masek sieci. Sztywny podział na klasy nie zawsze się sprawdza. Często istnieje konieczność samodzielnego określenia liczby możliwych do zaadresowania hostów na podstawie zakładanej wielkości sieci. Mamy wtedy do czynienia z elastycznym adresowaniem, nazywanym adresowaniem bezklasowym. Nie używamy w nim domyślnych, sztywno zdefiniowanych klas i masek.
Przeczytaj także: Zastosowanie wężyków do filtra osmozy
Technika VLSM
Technika VLSM (ang. Variable Length Subnet Mask), zwana techniką zmiennej maski, pozwala tworzyć sieci i dzielić je na podsieci, uwzględniając zakładaną dla danej sieci liczbę hostów.
Przykład 4
Chcemy, aby w sieci pracowało 400 hostów (komputerów, drukarek, smartfonów). Jest to sieć lokalna, dlatego jako administratorzy sami możemy dobrać adresy prywatne stosowane w sieci.
Ustalamy adres sieci 192.168.1.0. Następnie dobieramy maskę. Nasz adres to wyjściowa klasa C, a jak wiemy, w klasie C mamy domyślną maskę /24. Sprawdźmy, czy pozwala ona zaadresować potrzebną liczbę hostów. Obliczymy to ponownie za pomocą wzoru:2liczba zer w masce−2Przy masce równej 255.255.255.0 (/24) liczba hostów w sieci wynosi 254 (2Indeks górny 8-2). Nie możemy użyć tej maski, ponieważ nie pozwala ona na zaadresowanie wymaganej liczby hostów.
Spróbujmy zatem użyć maski bezklasowej. Analizując wzór na liczbę hostów, dochodzimy do wniosku, że zwiększenie maski powoduje zmniejszenie liczby hostów w sieci (np. maska 255.255.255.128 [/25] = 2Indeks górny 7 - 2 = 126 hostów).
Musimy zatem zmniejszyć maskę. Sprawdźmy, czy maska 255.255.254.0, czyli /23, będzie wystarczająca. Gdy podstawimy odpowiednie liczby do wzoru, otrzymamy wynik, zgodnie z którym przy masce /23 liczba możliwych do zaadresowania hostów wynosi 510 (2Indeks górny 9 Indeks górny koniec- 2).
Przeczytaj także: Odwrócona osmoza: Twój przewodnik
Przykład 5
Chcemy, aby w naszej sieci pracowało ok. 1400 hostów (komputerów, drukarek, smartfonów). Jest to sieć lokalna, więc ponownie sami dobieramy adresy prywatne stosowane w niej.
Wybieramy tym razem adres klasy B, czyli 172.16.0.0. Następnie dobieramy maskę. Wiemy, że w klasie B domyślna maska to /16. Należy sprawdzić, czy taka maska pozwala zaadresować wystarczającą liczbę hostów. Podstawiamy odpowiednie wartości do wzoru:232−16−2 =216 − 2 = 65 536 − 2 = 65 534Przy masce równej 255.255.0.0 (/16) liczba hostów w sieci wynosi 65 532 (2Indeks górny 16-2), a to oznacza, że taką maskę możemy zastosować, jednak liczba możliwych hostów jest bardzo duża - nie potrzebujemy ich aż tylu.
Ponownie spróbujmy użyć maski bezklasowej. W tym wypadku powinniśmy zwiększyć maskę.
Sprawdźmy, czy maska 255.255.248.0, czyli /21, będzie właściwa. Po podstawieniu odpowiednich liczb do wzoru, dowiadujemy się, że przy masce /21 liczba możliwych do zaadresowania hostów wynosi 2046 (2Indeks górny 32 - 21 - 2 = 2Indeks górny 11 - 2). Jest to więc odpowiednia maska.
Podsumowując:Jeśli w sieci ma pracować przynajmniej ok. 1400 hostów, maskę dla takiej sieci możemy ustawić na /21 (255.255.248.0).
Ćwiczenie 1
Administrator szkolnej sieci komputerowej o adresie 192.168.17.0/24 zlecił ci utworzenie podsieci, w której ma pracować tylko 14 hostów.
Access Control Lists (ACL)
Dobrze skonfigurowana sieć to podstawa. Samo zadbanie o kwestie takie jak routing, monitoring czy też zarządzanie to jednak za mało - trzeba również położyć nacisk na bezpieczeństwo.
Wiele sieciowych terminów ma swoje polskie odpowiedniki i nie inaczej jest w tym przypadku. Access Control Lists (ACL) tłumaczymy po prostu jako Listy Kontroli Dostępu. Pomimo to, będę w tym artykule posługiwał się angielskim nazewnictwem bo to właśnie ono jest najczęściej używane w codziennej pracy. Access Control Listy są integralną częścią IOSa i znajdziemy je niemal w każdej wersji tego systemu. Stanowią one podstawowy mechanizm bezpieczeństwa w sieci, ale i zastosowanie może być znacznie szersze.
ACL używane są przede wszystkim do filtrowania ruchu. Z domyślnie skonfigurowanym routingiem mamy pełną komunikację w sieci w zakresie podsieci znajdujących się w tablicy routingu. Istnieją natomiast konkretne scenariusze, w których byśmy chcieli ograniczyć dostęp do pewnych obszarów w sieci.
ACL może być zaaplikowana inbound, czyli na interfejsie wejściowym urządzenia sieciowego. ACL może być zaaplikowana outbound, czyli na interfejsie wyjściowym urządzenia sieciowego. ACL może być zaaplikowana do linii VTY, czyli do wirtualnego interfejsu, które urządzenia sieciowe wykorzystują do obsługiwania połączeń telnet oraz SSH.
Bardzo powszechne jest również wykorzystanie ACL do klasyfikowania ruchu. Jak później zobaczymy, możemy ACL z powodzeniem wykorzystywać np.
Wiemy już jakie są dwa główne zastosowania ACL. Aby zrozumieć jak działają ACL najlepiej spojrzeć na to jak taka przykładowa ACL wygląda. Jak sama nazwa wskazuje, Access Control List to lista.
Każde wyrażenie zaczyna się od słowa określającego akcję, która powinna zostać wykonana na pakiecie pasującym do wpisu. A co jeżeli pakiet nie będzie pasował do żadnego z trzech wyrażeń? Każda ACL posiada na koniec domyślną akcję odrzucającą pakiety, które nie spełniają kryteriów. Jest to tzw.
Kolejną ważną do zapamiętania zasadą jest to, że ACL przeglądane są od góry do dołu (ang. top-down). Jeżeli dany pakiet zostanie zatem dopasowany np.
Na koniec tego podrozdziału przyjrzyjmy się bliżej samym wyrażeniom. Mamy tutaj do czynienia z maską sieciową typu wildcard. Jest to tzw. odwrócona maska (gdzieś kiedyś spotkałem się z tłumaczeniem “dzika maska”… don’t do it). Aby ją przekonwertować na “zwykłą” maskę sieciową należy odjąć wartości poszczególnych oktetów maski wildcard od liczby 255.
Wyrażenie to dopuszcza więc wszystkie prywatne IP klasy A 🙂Pozostało tylko odpowiedzieć na pytanie “jakie IP?”. Źródłowe czy docelowe? W tym przypadku będą to adresy IP źródłowe (source). Ale co to w zasadzie oznacza?
Access Control Listy występują w dwóch odmianach: standardowe (ang. standard) oraz rozszerzone (ang.
Standard ACL są bardzo proste w swojej konstrukcji ponieważ sprawdzają one jedynie źródłowy adres IP pakietu i podejmują decyzję o filtrowaniu/klasyfikacji pakietu tylko na podstawie tego jednego paramteru. W jaki sposób możemy stwierdzić czy dana ACL jest typu standard czy extended? Właśnie między innymi po numerze mogliśmy określić, że przykładowa ACL w paragrafie 2.
Rozważmy teraz działanie standard ACL na przykładzie. Powyższa ACL będzie odpowiadała za dopuszczanie ruchu jedynie z subnetu 10.0.1.0/24, w którym to znajduje się host A. W następnym kroku musimy tę ACL zaaplikować na interfejsie Routera 2.
Dlaczego akurat na Routerze 2? I na którym interfejsie? Standard ACL powinny być zawsze umieszczane możliwie jak najbliżej sieci docelowej dla komunikacji, którą mają filtrować. Ponieważ standard ACL filtrują na podstawie jedynie źródłowego adresu IP to powinny być umieszczane na interfejsie wejściowym urządzenia sieciowego.Naszą ACL zaaplikujemy zatem na interfejsie Fa0/1 Routera 2.
Tym razem próba się kończy niepowodzeniem, a to dlatego, że nasza ACL na Routerze 2 dopuszcza na interfejsie jedynie ruch przychodzący z sieci 10.0.1.0/24. UWAGA: W tym scenariuszu używamy static routing więc nasza ACL nie powoduje problemów.
Natomiast gdybyśmy używali któryś z dynamicznych protokołów routingu to zaaplikowana przez nas ACL „wycięłaby” nam routing między Routerem 1 a Routerem 2. Na koniec tego rozdziału jeszcze jeden krótki przykład.
Przykładowa topologiaZałóżmy, że administratorem sieci jest Host B i tylko ten host może uzyskiwać jakikolwiek dostęp do Routera 2. Dzięki takiej konfiguracji jedynie Host B będzie w stanie zalogować się zdalnie na Router 2. To wszystko w temacie standard ACL.
Extended ACL dzięki temu, że pozwalają na filtrowanie zarówno na podstawie warstwy 3. jak i 4. pozwalają nam na tworzenie znacznie bardziej granularnych wyrażeń. W poprzednim scenariuszu zezwoliliśmy jedynie Hostowi B na dostęp do Routera 2.
Extended ACL powinny być zawsze umieszczane możliwie jak najbliżej sieci źródłowej dla komunikacji, którą mają filtrować.Ta ACL powinna być zatem umieszczona na Routerze 1, na porcie Gi0/2. Przejdźmy do konfiguracji ACL.
Ponieważ mamy do czynienia z extended ACL to mamy teraz możliwość wyboru protokołu, który nas interesuje. Naszym hostem źródłowym jest Host B więc musimy go podać. Moglibyśmy podać jako następny argument adres IP z maską wildcard (10.0.2.100 0.0.0.0), ale IOS nam trochę ułatwia życie dzięki możliwości użycia słowa kluczowego „host”.
Mamy teraz możliwość podania portu/portów źródłowych. Jest to opcja, którą używa się stosunkowo rzadko ponieważ porty źródłowe w większości wypadków są losowe (ephemeral ports). Przechodzimy zatem prosto do podania adresu docelowego.
Kolejna potężna dawka granularności! Chcemy zezwolić jedynie dostęp po Telnecie, zatem użyjemy słówka kluczowego „eq”, po którym należy podać numer portu. Iiii… gotowe!
Temat dotyczący ACL jest bardzo rozległy. Celem tego artykułu było przede wszystkim wytłumaczenie czym są Access Listy i jak działają w najbardziej podstawowych odmianach. To jednak nie wszystko, istnieją jeszcze dodatkowe komponenty tej zabawy: tworzenie ACL za pomocą edytora w IOS, tworzenie Named ACL, VACL… dużo by wymieniać.
tags: #odwrocona #maska #sieci #co #to #jest
