Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
МОДЕЛЮВАННЯ INTRANET-МЕРЕЖІ. ТЕХНОЛОГІЇ ТРАНСЛЯЦІЇ IP-АДРЕС
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
УІ
Кафедра:
ЗІ
Інформація про роботу
Рік:
2024
Тип роботи:
Лабораторна робота
Предмет:
Комп’ютерні мережі та комунікації
Варіант:
14
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
Кафедра ЗІ
/
З В І Т
до лабораторної роботи №4
з навчальної дисципліни: «Комп’ютерні мережі»
на тему: «МОДЕЛЮВАННЯ INTRANET-МЕРЕЖІ.
ТЕХНОЛОГІЇ ТРАНСЛЯЦІЇ IP-АДРЕС»
Варіант № 14
Львів – 2017
Мета роботи – ознайомитися з принципом IP-адресації вузлів INTRANET мережі, набути практичні навички щодо налаштування відповідного мережевого обладнання на організацію міжмережевої взаємодії як між вузлами INTRANET мережі, так і між вузлами INTRANET та INTERNET мереж з використанням механізму трансляції адрес.
ТЕОРЕТИЧНІ ВІДОМОСТІ
Локальна мережа INTRANET
Мережа INTRANET призначена для колективної роботи користувачів в організації. Вона дозволяє автоматизувати процес обробки, зберігання і пошуку потрібної інформації. Користувач INTRANET може швидко і своєчасно отримати інформацію у вигляді готових або динамічно сформованих документів за запитом. INTRANET-підхід є універсальним для будь-якої організації, незалежно від конкретного виробничого профілю і масштабу діяльності.
INTRANET ( корпоративна мережа, що використовує стандарти, технології і програмне забезпечення INTERNET, тобто комп’ютерна мережа, що використовує технології INTERNET, але в той же час є приватною корпоративною мережею. Мережа підтримує сервіси INTERNET, наприклад, такі, як електронна пошта, веб-сайти, FTP-сервери тощо, але в межах корпорації. INTRANET-мережа підключається до зовнішніх мереж, у тому числі і до INTERNET, як правило, через засоби захисту від несанкціонованого доступу. INTRANET-мережа може бути ізольована від зовнішніх користувачів або функціонувати як автономна мережа, що не має доступу ззовні. Інтерфейсам вузлів такої мережі назначаються ІР-адреси з діапазону приватного адресного простору (Private Address Space), допустимі значення яких наведені у табл.1.
Таблиця 1
Діапазон ІР-адрес мереж приватного адресного простору
Діапазон ІР-адрес для приватних мереж
Число приватних
мереж
Кількість хостів окремої мережі
10.0.0.0
1
16777214
172.16.0.0 ( 172.31.0.0
16
65534
192.168.0.0 ( 192.168.255.0
256
254
В INTRANET використовуються стандартні для INTERNET служби, в тому числі HTML, HTTP, TCP/IP, SMTP, FTP, система доменних імен і Web-браузери, що отримують і відображають інформацію з розміщених Web-серверів корпорації.
Технології трансляції адрес NAT, NApT (PAT)
NAT (Network Address Translation ( перетворення мережевих адрес) ( це механізм в мережах TCP/IP, що дозволяє перетворювати IP-адреси транзитних пакетів. Механізм NAT описаний в RFC 1631, RFC 3022.
Перетворення ІР-адрес методом NAT може проводитися майже будь-яким маршрутизуючим пристроєм ( Інтернет-маршрутизатором, сервером доступу, фаєрволом. Найбільш популярним є Source NAT (SNAT), суть механізму якого полягає в заміні ІР-адреси джерела (source) при проходженні пакету в одну сторону і заміні його ІР-адреси призначення (destination) у зворотному напрямку. Поряд з адресами джерела/призначення можуть також замінюватися номери портів джерела і призначення.
Крім SNAT, тобто надання користувачам локальної мережі з внутрішніми адресами доступу до мережі Інтернет, часто застосовується також Destination NAT, коли звернення ззовні транслюються фаєрволом на сервер в локальній мережі, що має внутрішню адресу і тому недоступний зі зовнішньої мережі безпосередньо.
NAT виконує три важливі функції.
Дозволяє заощадити IP-адреси, транслюючи декілька внутрішніх IP-адрес в одну зовнішню публічну IP-адресу (або в декілька, але меншої кількості, ніж внутрішніх). За таким принципом побудована більшість мереж в світі: на невеликий район домашньої мережі місцевого провайдера або на офіс виділяється 1 публічна (зовнішня) IP-адреса, за якою працюють і отримують доступ інтерфейси з приватними (внутрішніми) IP-адресами.
Дозволяє запобігти або обмежити доступ ззовні до внутрішніх хостів, залишаючи можливість звернення з внутрішньої мережі в зовнішню. При ініціації з’єднання зсередини мережі створюється трансляція. Відповідні пакети, що надходять зовні, відповідають створеній трансляції і тому пропускаються. Якщо для пакетів, що надходять із зовнішньої мережі, відповідної трансляції не існує, вони відкидаються.
Однак слід згадати і про недоліки даної технології:
Не всі протоколи можуть "подолати" NAT. Деякі не в змозі працювати, якщо на шляху між взаємодіючими хостами є трансляція адрес. Деякі міжмережеві екрани, які здійснюють трансляцію IP-адрес, можуть виправити цей недолік, відповідним чином замінюючи IP-адресу не тільки в заголовках IP, але і на більш високих рівнях (наприклад, в командах протоколу FTP).
Атака DoS з боку вузла, що здійснює NAT ( якщо NAT використовується для підключення багатьох користувачів до одного і того ж сервісу, це може викликати ілюзію DoS-атаки на сервіс (безліч успішних і неуспішних спроб). Наприклад, надмірна кількість користувачів ICQ за NAT призводить до проблеми з підключенням до сервера деяких користувачів через перевищення допустимої частоти підключень.
Демілітаризована зона (DMZ)
DMZ (Demilitarized Zone ( демілітаризована зона) ( технологія забезпечення безпеки внутрішньої мережі при наданні доступу зовнішнім користувачам до певних ресурсів внутрішньої мережі (таким як поштові, WWW-, FTP-сервери та ін.). При застосуванні даної технології сервери, що відповідають на запити із зовнішньої мережі, знаходяться в особливому сегменті мережі (який і називається DMZ), а доступ до основних ресурсів мережі обмежений за допомогою брандмауера (firewall).
Поділ сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями ( міжмережевими екранами (МЕ). Основними завданнями такого пристрою є:
• контроль доступу зі зовнішньої мережі в DMZ;
• контроль доступу з внутрішньої мережі в DMZ;
• дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
• заборона доступу напряму зі зовнішньої мережі у внутрішню.
У деяких випадках для організації DMZ достатньо програмних засобів маршрутизатора або навіть проксі-сервера.
Серверам в DMZ, при необхідності, можна обмежити можливість з’єднуватися з вузлами «внутрішньої» мережі. Доступ в DMZ зі «зовнішньої» мережі також може обмежуватися, щоб зробити DMZ більш безпечною для розміщення у ній певних сервісів. На серверах в DMZ повинні виконуватися лише необхідні програми, непотрібні відключаються або взагалі видаляються.
Залежно від вимог до безпеки, DMZ може організовуватися одним, двома або трьома міжмережевими екранами.
Для створення мережі з DMZ може бути використаний один МЕ, що має мінімум три мережевих інтерфейса: один ( для з’єднання з провайдером (WAN), другий ( з внутрішньою мережею (LAN), третій ( з DMZ. Подібна схема дешевша в реалізації, однак висуває підвищені вимоги до обладнання та адміністрування: фаєрвол повинен опрацьовувати весь трафік, що йде як в DMZ, так і у внутрішню мережу. При цьому він стає єдиною точкою відмови, а в разі його злому (або помилки в налаштуваннях) внутрішня мережа виявиться вразливою безпосередньо ззовні.
Результати виконання роботи:
/
/
/
/
Висновок
На даній лабораторній роботі ми ознайомилися з принципом IP-адресації вузлів INTRANET мережі, набули практичні навички щодо налаштування відповідного мережевого обладнання на організацію міжмережевої взаємодії як між вузлами INTRANET мережі, так і між вузлами INTRANET та INTERNET мереж з використанням механізму трансляції адрес.
12.10.2018 14:10-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора