System vo firemnej sieti

CIDR je mechanizmus interpertovania IPv4 adriess zavedený v roku 1993 a pre smerovanie na IPv6 sieťach je samozrejmosťou. Rieši obmedzenia historického rozdeľovania podsietí do tried (A, B, C). CIDR (Classless Inter-Domain Routing) využíva techniku VLSM (Variable-Length Subnet Masking) na efektívne alokovanie podsietí v rámci väčšej sieti a o tejto technike, a ako ju využiť, pojednáva nasledujúci článok.

Tento text sa zaoberá históriou a pokročilou teóriou tvorby sietí (so staticky pridelenými externými IP adriesami). Popisovaný systém je vhodný pre veľmi veľké siete, ale aj menšie siete (menej ako 256 IP adries).

Pre jeho pochopenie budeme potrebovat základné znalosti o TCP/IP sieťach - adresovanie na TCP/IP sieťi, konfigurácia stackých IP adries na TCP/IP sieti a znalosť princípu masky podsietí. V prípade, že tieto znalosti nemáte, no ovládate anglický jazyk, môžete využiť odkazy na konci článku.

Historia podsietí

Ešte pred zavedením tried podsietí v roku 1981 určovalo adresovanú podsieť iba prých 8 bitov IP adresy (prvé číslo v adrese: X.x.x.x). Zvyšných 24 bitov adresovalo konkrétné zariadenie v danej podsieti (posledné 3 čísla x.X.X.X).

Jednoduchšie povedane, súčastne mohlo existovať iba 256 sietí a každá z nich mohla mať 16 777 214 účastníkov. Táto koncepcia vyhovovala v časoch, kym existovalo iba niekoľko veľkých sietí ako ARPANET (predchodca Internetu). S príchodom LAN sietí začalo byť jasné, že 256 sietí nestačí.

Náplasťou na tento problém bola zmena definície IP adries (RFC 791) a zavedenie tried sietí. Triedy umožnili rôznym sieťam mať rôznu dĺžku adresy. Prvá a posledná IP adresa neboli podľa novej definície v sieti povolené (kde IP adresa pozostáva z adresy siete a druhú časť tvoria len nuly alebo jednotky). Jednotlivé triedy sieťe boli určené prvými bitmi v adrese.

CIDR bloky

CIDR (Classless Inter-Domain Routing), ako už bolo povedané v perexe, odstránil triedy podsietí. Tie totiž problémy nevyriešili na dlho. Bez tried je možné vytvoriť si sieť o takej veľkosti, akú potrebujeme, a nemrhať zbytočne IP adresami.

Novinkou sú masky sietí (subnet mask). Maska siete sa pozostáva so sekvencie jedničiek a sekvencie núl, pričom celá maska má dĺžku 32 bitov. Masty siete sa zapisujú dvomi spôsobmi: bud sú reprezentované podobne ako IP adresy (napriklad 255.255.255.0), alebo počtom jednotiek v maske za lomítkom (napríklad /24). Druhý zápis sa zvyčajne pripája za IP adresu (napríklad 192.168.1.1/24).

Kazdá podsieť je jeden CIDR blok a každý CIDR blok môže byť rozdelený na viacero menších CIDR blokov. Podsiete v CIDR bloku nemusia mať rovnako dlhú masku. Táto agregácia súvislých sieťových adries umožnuje vynechať informácie o niekoľko-násobnom delení podsietí z nadradených smerovacích tabuliek.

Trieda	Zaciatok	Koniec	CIDR ekvivalent
Trieda A	0.0.0.0	127.255.255.255	/8
Trieda B	128.0.0.0	191.255.255.255	/16
Trieda C	192.0.0.0	223.255.255.255	/24
Trieda D (multicast)	224.0.0.0	239.255.255.255	/4
Trieda E (rezervovana)	240.0.0.0	255.255.255.255	/4

Dĺžka sieťovej masky určuje aj počet IP adries na sieti. Na sieti musíme vyhradiť 2 IP adresy, jednu ako adresu sieťe (IP adresa routera) a jednu pre broadcast. Počet použiteľných IP adries teda bude 2ⁿ - 2.

Napriklad na sieti 80.42.0.0/16 bude použiteľných IP adries 2¹⁶ - 2 = 65534.

Nasledujúca tabuľka informuje, na koľko podsietí s rovnakou dĺžkou masky môže byť rozdelená sieť triedy C (sieť s maskou /24).

VLSM

Na delenie pridelených adresných priestorov na podsiete existuje mechanizmus, ktorý nám pomáha šetriť drahocennými IP adresami a meniť parametre siete podľa potreby. Môžeme si odrezať približne toľko IP adries, koľko potrebujeme.

VLSM nám pri tvorbe podsietí pomôže a jeho výstupom samozrejme nie je len konfigurák na routeri, ale podla analýzy môzeme napísať aj dokumentáciu (tú nadriadený správcu siete bude isto vyžadovať). Tento článok má za cieľ vysvetliť podstatu VLSM, ale nemože byť vyčerpávajúcou učebnicou VLSM.

Príklad

Najjednoduchsie je vysvetlit VLSM na priklade. Uvažujme teda, že naša firma má k dispozícií rozsah sieťových adries 220.32.16.0 až 220.32.16.255 (myslíme tým externé IP adresy prístupné z Internetu). Inak povedane, vlastníme sieť 220.32.16.0/24 (sieť triedy C).

Túto sieť chceme rozdeliť na podsiete pre naše 3 pobočky A, B, C. Pobočka A má priamy prístup k Internetu a pobočky B a C sú s ňou spojené pomocou WAN sériových liniek. Naše pobočky majú nasledujúce počty zariadení:

Keďže každé WAN spojenie tvorí takisto sieť s dvomi zariadeniami (routere, ktoré spája), musíme s týmito sieťami počítať pri návrhu podsietí. Vlastne celý návrh robíme kvôli WAN spojeniam, pretože nechceme po WAN linkách posielať dáta, ktoré nemusíme.

Ak by sme netvorili podsiete, každý paket by bol šírený cez celú sieť a aj cez všetky WAN linky. To nie je prípustné, hlavne na pomalých spojeniach a všade tam, kde musíme za prenesené dáta platiť. Takto nám vzniknú dalšie 2 podsiete.

Riešenie

Postupovat budeme tak, že pre kazdú sieť zvolíme takú dlhú masku, aby mala dostatok IP adries pre všetky zariadenia, no nealokovala viac IP adries, ako je naozaj nutné. Čiže pobočka A by dostala masku /28 (sieť bude mať maximálne 14 zariadení).

Ak by sme pobocke A dali menšiu masku, nemali by sme pre ňu dostatok IP adries. Ak by sme jej priradili väčšiu sieť, nevyužili by sme viac než polovicu IP adries sieťe (napríklad pri /27, ktorá pojme 30 zariadení, by sme premrhali 18 IP adries).

Pre jednoduchosť je lepšie začať od siete s najväčším počtom zariadení a postupovať smerom dole. Nasledujúca tabulka je takto zotriedená. Len dodám, že prvá adresa v rozsahu alokovaných IP adries je zároveň adresa sieťe.

Táto schéma je riešenie, no z ďaleka nie je progresívne. Ak by sa potreby ktorejkoľvek pobočky zväčšili a počet potrebných IP adries by prekročil počet adries alokovaných podsieťou pobočky, museli by sme celý návrh prepracovať odznova. To nie je prípustné pre veľké siete, napríklad siete triedy B, s ktorými sa možeme stretnúť u veľkých ISP.

Na tomto príklade si môžme ukázať, ako pomocou VLSM šetríme IP adresami na sieťi. Všimnite si, že v našom príklade sme alokovali 64 IP adries. Ak by sme nepoužili VLSM a sieť jednoducho rozdelili na 8 rovnako veľkých sietí, alokovali by sme 140 IP adries.

Aj keby sme chceli byť chytrí a špeciálne pre WAN spojenia by sme vytvorili 3 malé sieťe, alokovali by sme 104 IP adries. To je síce menší rozdiel, no takto by sme mohli byť stále chytrejší a chytrejší, až by sme sa dostali k istému ako s VLSM. Obrázok 2 ilustruje tento rozdiel v šetrení IP adresami.

Zaver

V pokračovaní tohto článku si našu sieť rozdelíme efektívnejšie a ukázeme si dva spôsoby vizualizácie rozdelenia siete. Zaradíme tak isto aj také informácie, ktoré budú požadované v diskusii pod týmto článkom.

Diskuse k tomuto článku

Dĺžka masky	Počet zariadení	Maska podsiete
/30	2	255.255.255.252
/29	6	255.255.255.248
/28	14	255.255.255.240
/27	30	255.255.255.224
/26	62	255.255.255.192
/25	126	255.255.255.128
/24	254	255.255.255.000

Dĺžka masky	Počet podsietí
/30	64
/29	32
/28	16
/27	8
/26	4
/25	2
/24	1

Pobočka	Veľkost siete
Pobočka A	12 zariadení
Pobočka B	25 zariadení
Pobočka C	6 zariadení

WAN spojenie	veľkosť sieťe
Pobočky A a B	2 zariadenia
Pobočky A a C	2 zariadenia

Pobocka	Zariadení	Maska	Rozsah IP adries
pobocka B	25	/27	220.32.16.0 - 22.32.16.31
pobocka A	12	/28	220.32.16.32 - 22.32.16.47
pobocka C	6	/29	220.32.16.48 - 22.32.16.55
WAN A - B	2	/30	220.32.16.56 - 22.32.16.59
WAN A - C	2	/30	220.32.16.60 - 22.32.16.63

V článku jsou často přehozená písmenka: v APRANET, někde je CIDR a jinde CIRD

Jinak hezký článek.

Quando omni flunkus moritati

5.12.2007 10:35 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Díky za upozornění, snad už je to opraveno.

5.12.2007 15:53 pexxi
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Pekny prehladovy clanok, az na ten otrasny pravopis... Ale zas, nie kazdy robi v jazykovednom ustave... ;-)

5.12.2007 16:17 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Mohl bys to prosím upřesnit? Rád případné chyby opravím.

5.12.2007 17:21 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

napriklad:
kôli => kvôli

5.12.2007 22:42 pexxi
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Standardne: sieťe = siete (vratane vsetkych tvarov, kde e a i zmekcuju) routere = routery adriesami = adresami

Exoticke: lomitko = lomka

Obcas chyba diakritika: Najjednoduchsie je vysvetlit VLSM na priklade

A este par dalsich, ale nie som tu na korektury. ;-)

Informacne je clanok super. Uvidime, co bude v pokracovaniach.

6.12.2007 19:03 disorder | blog: weblog
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

ach ta nasa lomka, ja si to este pamatam zo zakladnej skoly, ale pouzivam vyhradne lomitko...

6.12.2007 14:23 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Stále se hledá Slovák? (Já s tím nepomůžu, ale někdo by se chytnout mohl. ;-)

)

oVirt | SPICE

7.12.2007 17:18 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Už se jich několik našlo a já jim děkuji. Tentokrát jsem však požádal o pomoc se slovenštinou někoho jiného a ten se, jak je vidět, moc neosvědčil.

Skutečně je třeba na sériovou linku dvoubitová síť? Vždyť to je dvoubodové nesdílené médium. Na to stačí jen dvě adresy. A čistě teoreticky, pokud jde jen o směrování, není třeba adresa žádná, protože stačí směrovat na linku (paket vhozený na jedné straně prostě na druhé straně vypadne, bez linkových nebo síťových adres).

Navíc celá věta o obětování dolní a spodní adresy z rozsahu podsítě je trochu divná. Jejich použití je zrovna tak historické, jako je historické třídní směrování.

Brodacastová adresa je adresou stejně, jako je adresou adresa unicastová. Jediný rozdíl je v tom, že stroj pro všesměrovou síťovou adresu nespravuje linkovou adresu (neodpovídá na ARP dotazy a ani sám tyto dotazy nepokládá). Všesměrovou adresu si můžete nastavit zcela libovolnou (samozřejmě všichni partneři by ji měli mít stejnou).

5.12.2007 12:38 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Ono by tam místo "musíme" spíš patřilo "je zvykem".

5.12.2007 18:48 JP
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

V této souvislosti mě napadá otázka...umí linux něco jako ip unnumbered?

5.12.2007 21:01 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Co by to mělo přesně dělat?

6.12.2007 23:15 JP
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

To, co dělá ip unnumbered na Cisco routerech - "pujcuje" adresu point-to-point rozhranim z jinych rozhrani.

7.12.2007 02:32 župní liga
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Understanding and Configuring the ip unnumbered Command

7.12.2007 21:39 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Jestli jsem to dobře pochopil, tak něco takového v Linuxu vlastně ani nepotřebujete, protože můžete stejnou adresu nastavit na více rozhraních naprosto standardními prostředky. Viz třeba příklad na proxy ARP v tomto dokumentu.

Bohužel myslím že to není přesné ...v historii je uplně vynechán subnetting (RFC950), vynecháno bylo i proč vlastně první a poslední adresa byla vyřazena myšleno pro subnetting (kolize broadcastu atd... ). Novinkou CIDRu určitě nebyla síťová maska ... ta se objevila již dříve právě v souvislosti se subnettingem. ... chtělo by to nejdřív trochu studovat a pak teprve psát historii, nebo si lidi budou myslet že to takto opravdu bylo ;). Chápu že článek je o VLSM a sami na začátku píšete, že člověk musí umět "adresovanie na TCP/IP sieťi .... znalosť princípu masky podsietí". Ale když už to tam píšete tak správně:). Dál nechápu tu tabulku ... je to tabulka podobná té z wikipedie, ale vytržením z kontextu(tedy takto samostatně) postrádá smysl.

Možná by stálo o to vysvětlit podrobněji co znamená tato věta:


Na sieti musíme vyhradiť 2 IP adresy, jednu ako adresu sieťe (IP adresa routera) a jednu pre broadcast. Počet použiteľných IP adries teda bude 2n - 2. ...

V životě jsem takovou praktiku neviděl: "přidělit adresu sítě jako IP routeru." ... ale já toho neviděl hodně, takže rád se poučím :)

PS: Možná by jste kvalitu článku více zvedly použitím rozsahu z TEST-NET rozsahu ;). Ještě možná u druhého článku zmiňte i o existenci /31 - rfc3021. Bohužel neměl jsem tu sílu číst to úplně celé jenom jsem to proletěl a tyto věci mi nějak utkvěli v oku... takže promiňte jestli jsem něco přehlédl :)

Vždyť jsou to jen jedničky a nuly ...

6.12.2007 12:47 local
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Cau, mam pocit ze toto pisal skor nadseny absolvent CCNA sem1. Pripajam sa k nazoru ze na kvalitny clanok by to chcelo viac, jednak su tu popisane triviality a jednak su aj nepresne. Pripada mi to ako opisovanie zdrojov ktore su volne dostupne aj v cestine, takze naozaj nevidim pridanu hodnotu. tu by som mozno ocenil naozaj pri hlbsom ponoreni sa do problematiky.

okrem toho, chvalim sice snahu naucit linuxakov aj nieco o sietovani, ale pani autori: ked uz, tak bud to robte na platformach, ktore sa na to naozaj pouzivaju, alebo to predvedte aj prakticky. ocenil som serial o gentoo v cestine, pretoze ten bol naozaj na nieco pouzitelny, ale tento clanok mozno da nejaku zakladnu predstavu o sietach cloveku ktory s nimi nerobi a asi ani nebude, pretoze inak by sa vzdelaval niekde ine.

p.s. funguje na linuxoch korektne /31 addressing? zatial som to nikde nevidel (ale je pravda ze som ani nevidel wan postavenu na linux routeroch)

6.12.2007 19:06 disorder | blog: weblog
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

hej, aj mne to tak pripada, ale myslim, ze precenujes CCNA, toto tusim bolo az v 2. semestri :) brr, este ma striasa z pomyslenia na IOS. aspon ze tam fungovali kontrolne znaky ;)

7.12.2007 18:20 tomfi | skóre: 19
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

Pokud Vás to straší, tak to buďte rád že nemusíte spravovat síť. Taková quagga(zebra) má podobné příkazy. A například takový huawei má zase na druhou stranu příkazy typu:

interface vlan-interface 1 a konzistentní příkazy typu:

mac-address mac-learning disable pro vypnutí autolearningu mac adres a

mac-address learning synchronization na synchronizaci autolearningu mac adres

Takže vyhýbání se IOSu si moc nepomůžete:)

Vždyť jsou to jen jedničky a nuly ...

7.12.2007 18:29 disorder | blog: weblog
Rozbalit Rozbalit vše Re: System vo firemnej sieti - VLSM

preco nie? radsej si spustim nejaky suci editor nez ten hrozny IOS

System vo firemnej sieti - VLSM