Архив форумов ЦИТФорума

[lpn]

Прочитал в книжке, что во FreeBSD встроенный маршрутизатор имеет скромные возможности.
Можно ли на FreeBSD сделать маршрутизотор с фильтрацией пакетов и т.д., соответствующий стандартам для маршрутизаторов?
Какие программные маршрутизаторы существуют под FreeBSD?
Спасибо.

[ilyasov]

У меня с 5 сетями, 4-мя сетевыми платами и > 150 машинами все живет как надо.

[lpn]

Зачем ругаться?
В одной из тех немногих, которые на русском языке. Автор не виноват, что у него читатели такие [как я, :о)].
Я никогда прежде с UNIX-ами не работал. Пробую FreeBSD. Очень непривычно, и очень трудно ориентироваться.
Спрошу иначе.
1. Как настроить фильтрацию IP по адресам и портам используя routed?
2. Существуют ли другие (free) программы маршрутизаторы для FreeBSD?
Павел.

[ilyasov]

1) фильтрацией занимается не routed, а ipfw
2) про маршрутизацию советовал бы почитать у Дмитрия Карпова www.pi2.ru/prof (кажется, посмотрите по конференции -он всегда дает на себя ссылку)
3) сюда имеет смысл обращаться за ответами на конкретные проблемы, с описанием ситуации.

[lpn]

Спасибо по всем трём пунктам!
Павел.

[Dmitry.Karpov http://prof]

Когда неопытный человек читает плохую книгу, у него в мозгах начинается жуткая интерференция разных сведений... Дети! Остерегайтесь дурных книжек!

Маршрутизатор во FreeBSD встроен в ядро. Даже если машина имеет единственный интерфейс, на ней уже исполняется маршрутизация, которая отличает доступные напрямую машины от машин, находящихся за шлюзом. У меня на сайте это есть. А передача пакетов от другой машины к третьей - это уже форвардинг.

Скромные возможноси марщрутизатора обусловлены не OS, а дурным устройством писюкового железа. Например, писюк не может начать передавать пакет до того, как закончит его прием; железные роутеры это умеют. А вообще-то, роутинг - достаточно примитивная задача, чтобы говорить об ограниченности ее реализаций...

Демоны routed и gated, а также zebra - это демоны динамической маршрутизации. Они обмениваются друг с другом информацией о том, какие сети через них доступны, и на этом основании меняют маршрутизационные таблицы ядра. Они ничего не фильтруют.

Для фильтрации IP-пакетов существуют два продукта - IPFIREWALL (ipfw) и IPFILTER (ipf). IPFIREWALL более продвинутый, но NAT/Masquerading в нем реализован не в ядре, а внешней программой. Для того, чтобы их использовать, надо пересобрать ядро (у меня на сайте об этом есть). Возможности у обоих таковы, что даже я не использую их малой части...

[:)]

> Даже если машина имеет единственный
> интерфейс, на ней уже исполняется
> маршрутизация, которая отличает
> доступные напрямую машины от машин,
> находящихся за шлюзом.
это ты про луп-бэк ?

> Например, писюк не может начать
> передавать пакет до того, как закончит
> его прием; железные роутеры это умеют
очень интересно в свете данной фразы выслушать объяснение принципа работы сетей ethernet ...

[Dmitry.Karpov http://prof]

1. Нет, это касается именно сетевого интерфейса с широковещательными рассылками типа Ethernet, Arcnet, TokenRing или ИОЛА (к PPP и SLIP - в гораздо меньшей степени).

2. Хаб дает задержку на величину от одного бита до одного байта (во втором случае преамбула укорачивается); т.е. хаб начинает передачу сразу после начала приема сигнала).
Классический комутатор принимает кадр, разбирает ео заголовок и отправляет кадр в один из интерфейсов или во все интерфейсы. Продвинутый коммутатор начинает передачу кадра сразу после того, как принял и распознал адрес назначения (поэтому он идет первым). Во втором случае коммутатор не проверяет контрольную сумму. То же самое относится к роутерам.

[Kest]

> его прием; железные роутеры это умеют
очень интересно в свете данной фразы выслушать объяснение принципа работы сетей ethernet ...
есть книжка "Операционная система CISCO IOS", там это очень подробно разжевывается.
Но дорогая
=(((
в Питере - 360 р за 100 страниц

[and3008]

Девайс, который умеет передавать пакет не дожидаясь конца пакета, зовется коммутатор.

Роутер - несколько иной девайс.

Хотя сейчас чего только в железку не напихают и как только не назовут...

Больше всего меня умиляет название "свичующий хаб" (Switch-Hub).
Хотя маршрутизирующий коммутатор (Switch level 3) и коммутирующий роутер (некоторые модели Cisco) улыбки уже не вызывают...

[Dmitry.Karpov http://prof]

Роутер (маршрутизатор) - это железка (девайс с программами внутре), которая принимает сообщения и отправляет их следующей железке в соотвествии с маршрутом, часть которого ей известна (записана в маршрутизационных таблицах). Роутятся IP-пакеты, IPX-пакеты, почтовые сообщения.

Свитч (коммутаторр) - это железка, которая поддерживает соединение (сессию). Коммутируются аналоговые каналы в телефонии, а также виртуальные цифровые каналы в X.25, FrameRelay и ATM.
Какого черта Ethernet-свитчи так называются - я так и не понял, они же ничего не коммутируют.

Хаб (концентратор) - это место, где сходятся несколько сетей или каналов одного типа. Бывает пассивные ("крабы"-разветвители в телевизионных сетях и в ИОЛА), активные (в Ethernet и в ИОЛА (в ИОЛА есть оба типа)) и интеллектуальные (Ethernet-свитчи; и даже IP/IPX-роутеры тоже подходят под это определение).

Ни в одном из терминов не оговаривается, должно ли устройство буферизовать пакет и только потом передавать его; или же может начинать передачу, не дожидаясь конца приема и проверки контролькой суммы (это остается на совести производителя).
Понятно, что тупые, а тем более пассивные устройства не могут ничего буферизовать - у них нет памяти. (Хотя это тоже не совсем однозначно...)

Все это IMHO. Готов выслушать другие мнения.

[and3008]

Читая компьютерные журналы и форумы название типа того или иного устройства вызывает у меня некоторое замешательство, т.к. точно знаю, что такое устройство работать так не может. Значит это называется по другому...

P.S. Иногда вредно знать слишком много. ))
Блаженны несведующие, ибо не ведают что творят.

[butcher]

>Какого черта Ethernet-свитчи так называются - я так и не понял, они же ничего не коммутируют
IMHO коммутаторами их назвали потому, что они "коммутируют" свои порты, т.е. создают канал связи между двумя устройствами...
_________________
Нет ничего невозможного...

[Dmitry.Karpov http://prof]

Ethernet-свич не может создавать канала, т.к. Ethernet не предусматривает ни создания канала, ни организации сессии - все Ethernet-кадры передаются индивидуально без гарантии доставки (хотя контрольная сумма позволяет проверить их целостность, но в Ethernet не предусмотрены механизмы доставки правильной информации в случае ее порчи). А если оконечные Ethernet-устройства не создают ни сессии, ни канала, то и Ethernet-свич не может ничего коммутировать; он просто отслеживает привязку MAC-адресов к портам.

[FSerg]

>> он просто отслеживает привязку MAC-адресов к портам
Наш черный ящик с одного из входов получает данные, анализирует адрес, и передает их на конкретный порт, т.е. можно считать, что на время передачи кадра вход соединен с выходом. Так почему не назвать сей девайс коммутатором? А как устроена коробочка (матрица или общая скоростная шина и т.п) - дело десятое.

PS. Дмитрий, недавно Вы писали на тему внутреннего устройства свитчей, предлагаю свою версию: В свое время, когда свитч стоил примернов 10 раз дороже хаба, это была матрица. В наше время, когда организовать шину с пропускной способностью в несколько гигабит/с стоит сущие копейки... Переходным моментом предлагаю считать появление стековых коммутаторов - раз есть шина, то можно вывести ее наружу. Еще одно замечание. Предполагаю, что на шине-то в коммутаторах 24х за 50$ и экономят. И если 3СОМ ли CISCO можно нагрузить на все 100% по всем портам сразу, то какой-нибудь ЧинаНетворк загнется.

[Dmitry.Karpov http://prof]

Насколько я понимаю, скорость 133 MHz для дешевой китайской писюковой мат.платы считается низкой. Такая шина при ширине в четыре байта (32 бита) за секунду передаст более четырех гигабит, что позволяет обслужить в полном дуплексе 40 портов по 100 Mbps. Ну и как, может ли шина быть тормозным звеном в современном свиче?

Другое дело, что при общей шине неизбежны дополнительные задержки когда на два порта одновременно приходят кадры. Более того: при общей шине на каждом порту должно сидеть свое устройство, сочетающее медленный линк к компу и быструю шину (как свич может сочетать сегмента разной скорости); так вот, при сочетании сегментов с разной скоростью (точнее, при передаче с медленного сегмента в быстрый) обязателен режим "store and forward", режим "forward throw" невозможен ("forward throw" невозможен в коммутирующей матрице).

[:)]

причем тут книжка ? просто уважаемого Дмитрия иногда заносит и он начинает объяснять по принципу "что не дослушал, то довру..." печально

[bss]

Какого черта Ethernet-свитчи так называются - я так и не понял, они же ничего не коммутируют.

есть два понятия
коммутация каналов и коммутация пакетов
свитч коммутирует пакеты поэтому он и называется коммутатор

[FSerg]

Извиняюсь за задержку, болел сильно.

С расчетами можно согласится, хотя накладных расходов немало, да и по разводке на 32 бита не похоже, но это мелочи.
>> (точнее, при передаче с медленного сегмента в быстрый) обязателен режим "store and forward"
При передаче с быстрого в медленный он еще более обязателен
>>"forward throw" невозможен в коммутирующей матрице
Чего-то я тут недопонял. Если не секрет - почему? Смущает наличие буфера в несколько байт?

[Dmitry.Karpov http://prof]

Есть несколько видов разделения полосы пропускания; их можно разделить на две большие категории: пакетные и непакетные.

Непракетные: в физическом пространстве, в частотном диапазоне, в плоскости поляризации (практически не используется), во времени: {мультиплексирование и коммутация каналов}.

Пакетные виды:коллизионные, маркерные и централизованно управляемые.
Все они - один из вариантов разделения во времени.

Мультиплексирование и пакетирование годятся для цифровых данных, остальные - для аналоговых каналов (независимо от того, что там передается - аналоговый сигнал или цифра).

Разные типы разделения полосы пропускания можно и нужно совмещать.

----------------------------------------------

Итак, о коммутации пакетов. В сетях X.25, FrameRelay и ATM есть возможность создания виртуальных каналов с гарантированными параметрами функционирования. В этом случае можно говорить о коммутации виртуальных каналов, хотя работа ведется пакетами, т.к. коммутатор помнит об установленном соединении (сессии). А Ethernet-коммутатор ничего не помнит о том, что было раньше - он хранит только привязку адреса назначения к порту, а адрес источника не участвыет в обработке пакета (хотя влияет на таблицу привязки MAC-адресов к портам).

Короче: если мне дадут ссылку на серьезную книгу, в которой мне дадут определение коммутации каналов, я готов принять ее определение. А без определения не о чем спорить.

[Dmitry.Karpov http://prof]

Правильно так:
"forward throw" возможен только в коммутирующей матрице, но не в общей шине.

Теперь о менее существенном:

При передаче данных с быстрого сегмента в медленный передачу можно начинать сразу после приема заголовка пакета/кадра (когда выяснится адрес назначения). Другое дело, что пакет все равно придется буферизовать в своей памяти; т.е. при передаче из 100 Mbps в 10 Mbps к моменту окончания приема пакета 10% будут переданы, а 90% будут в буфере.
Но если порт назначения работает в полудуплексном режиме, буферизовать придется обязательно, т.к. передаваемый пакет может нарваться на коллизию, и тогда его придется после паузы передавать с сАмого начала.

[bss]

все сказанное справедливо
дело в том что я умудрился закончить институт связи и хотя я учился плохо но на одной из многочисленных дисциплин нам давали понятия коммутации пакетов и коммутации каналов

твою мысль я понял если найду какой-нибудь древний манускрипт по теории связи то дам знать.