Проверка вхождения IP в заданный диапазон может применяться во многих ситуациях. Например бан всей подсетки злоумышленника, принудительное ограничение скорости для зарубежного трафика, переадресация на различные разделы сайта в зависимости от провайдера пользователя и т.д. Я использую такие функции:
// ———————————————————— // Проверка вхождения IP в заданный диапазон // На входе: // $ip — массив октетов проверяемого IP // $ip_start — массив октетов начала интервала // $ip_end — массив октетов конца интервала // В интервалах допускаются маски ‘*’ // На выходе: TRUE или FALSE, входит IP или нет в диапазон // ———————————————————— function chk_ips($ip,$ip_start,$ip_end) < for ($i=0; $iif ($ip_end[$i]==’*’) < $ip_end[$i]=’255′; >> $ip_num=ip2long(join(‘.’,$ip)); if ($ip_num>=ip2long(join(‘.’,$ip_start)) $ip_num <=ip2long(join(‘.’,$ip_end))) < // IP входит в интервал return true; >else < // IP не входит в интервал return false; >>
Функция универсальная, позволяет обрабатывать одиночные IP-адреса, точно заданные диапазоны и диапазоны с маской «*» в любом октете. Дополнительных проверок на корректность диапазонов не производится.
Как с близкого расстояния получить чёткую картинку с ip камеры документов. ЭлектроСТЕПАН расскажет
Для разворачивания маски подсети используется вспомогательная функция:
// ———————————————————— // Функция разворачивания маски подсети // На входе: // $ip — массив октетов начала диапазона // $mask — маска // На выходе: // массив IP конца диапазона // ———————————————————— function addip($ip,$mask) < // Количество IP в каждой маске $ip_count=Array(32=>0, 31=>1, 30=>3, 29=>7, 28=>15, 27=>31, 26=>63, 25=>127, 24=>255, 23=>511, 22=>1023, 21=>2047, 20=>4095, 19=>8191, 18=>16383, 17=>32767, 16=>65535, 15=>131071, 14=>262143, 13=>524287, 12=>1048575, 11=>2097151, 10=>4194303, 9=>8388607, 8=>16777215, 7=>33554431, 6=>67108863, 5=>134217727, 4=>268435455, 3=>536870911, 2=>1073741823); $x=Array(); $ips=$ip_count[$mask]; $x[0]=$ip[0]+intval($ips/(256*256*256)); $ips=($ips%(256*256*256)); $x[1]=$ip[1]+intval($ips/(256*256)); $ips=($ips%(256*256)); $x[2]=$ip[2]+intval($ips/(256)); $ips=($ips%256); $x[3]=$ip[3]+$ips; return ($x); >
И еще один небольшой вспомогательный парсер для разбора диапазона:
// ———————————————————— // Парсер диапазонов IP // На входе: // $range — строка диапазона // На выходе: // Массив из двух массивов ([0]=>ip_start, [1]=>ip_end) // или FALSE если строка не является допустимым диапазоном // ———————————————————— function range_parser($range) < $range=trim($range); // Проверка диапазона вида x.x.x.x-y.y.y.y if (strpos($range,»-«)) < $tmp=explode(«-«,$range); $ip_start=explode(«.»,trim($tmp[0])); $ip_end=explode(«.»,trim($tmp[1])); >// Проверка диапазона вида x.x.x.x/y elseif (strpos($range,»/»)) < $tmp=explode(«/»,$range); $ip_start=explode(«.»,$tmp[0]); // Развернуть маску подсети $ip_end=addip($ip_start,$tmp[1]); >// Проверка диапазона вида x.x.*.* или одиночного IP else < $ip_start=$ip_end=explode(«.»,$range); >// Простенькая проверка на корректность полученных диапазонов if (count($ip_start)==4 count($ip_end)==4) < return array($ip_start, $ip_end); >else < return false; >>
Деление IP сети на подсети при помощи маски легко и быстро. Наглядный способ!
И рабочий пример с использованием всех этих функций:
$ip=»127.0.12.7″; // IP для проверки $test_ip=explode(«.»,$ip); $range=»127.0.0.0/22″; // Маска подсети $chk=range_parser($range); chk_ips($test_ip,$chk[0],$chk[1]); // FALSE $range=»127.0.0.0-127.1.0.255″; // Интервал IP-адресов $chk=range_parser($range); chk_ips($test_ip,$chk[0],$chk[1]); // TRUE $range=»127.0.12.2″; // Одиночный IP $chk=range_parser($range); chk_ips($test_ip,$chk[0],$chk[1]); // FALSE $range=»127.*.*.*»; // Маска IP $chk=range_parser($range); chk_ips($test_ip,$chk[0],$chk[1]); // TRUE
Источник: yadro.top
Варианты построения IP сетей на большие расстояния, организация питания видеокамер по РоЕ
Данная статья будет полезна специалистам, переходящим от аналоговых решений к цифровым. Для визуального восприятия материала некоторые рисунки взяты из Интернета.
При всей простоте предлагаемых рынком IP решений существует определенное требования при подключения к сети Интернет – это максимальное расстояние от узла сети передачи данных до абонентского устройства не должно превышать 100 м. Данное условие необходимо соблюдать при построении сетей IP видеонаблюдения.
На рисунке ниже представлено стандартное решение IP системы удовлетворяющее выше указанным требованиям.
Варианты построения IP сети
Довольно часто при построении сети возникает необходимость установки IP камер на бОльшие расстояния от сервера и желательно, с подачей питания к камере по РоЕ. Для решения этих задач существует три варианта, каждый из которых будет зависеть от удаленности видеокамеры:
- использование дополнительных компонентов сети, позволяющих передать видеоизображение и питание камеры на расстояние более 100 м. по витой паре;
- прокладка оптико-волоконного кабеля;
- использование существующей сети Интернет.
Сделаем небольшое отступление и остановимся подробнее на технологии РоЕ.
Power over Ethernet — это технология подачи электропитания через Ethernet к оконечным сетевым устройствам, которые для своей работы требуют и канала передачи данных, и источника питания. Это могут быть сетевые коммутаторы Ethernet, беспроводные точки доступа, IP-камеры и т. п. Преимущество технологии PoE состоит в том, что она использует только один комплект проводов как для передачи данных, так и для подачи питания. Текущий стандарт IEEE802.3af для питания оборудования через Ethernet, был официально утвержден в 2003 году.
Это позволяет снизить затраты времени на инсталляцию и сэкономить средства на стоимости силовых кабелей и других компонентов. Одна из главных особенностей РоЕ — возможность ее применения не только при организации новых сетей, но и при модификации уже существующих. Чаще всего при модернизации сети требуется установка активного конечного оборудования именно там, где поблизости нет источника питания, а электропроводка отсутствует. Благодаря РоЕ-технологии WiFi точку доступа, например, можно устанавливать в местах наилучшего приема сигнала, а IP-камеру монтировать в любом удобном для обзора месте.
С расширением применения PoE технологии потребность в более высокой мощности постоянно возросло и были утверждены несколько новых стандартов с различным уровнем мощности на один порт: IEEE802.3af (15.4W), IEEE802.3at PoE Plus (30W), Ультра PoE (60-80W), Mega PoE (95W).
Новый стандарт IEEE802.3at отличается от IEEE802.3af тем, что для увеличения передаваемой по сети мощности дополнительно используются две свободные пары кабеля 4-5 и 7-8.
Рассмотрим несколько вариантов построения протяженных сетей с использованием дополнительного оборудования различных производителей:
1. Установка одноканальных репитеров
Максимальная длина сегмента в сети 100Base-T составляет 100 м. Репитер PoE позволяет увеличить длину линии до оконечных сетевых устройств путём последовательного соединения сегментов. Репитер PoE восстанавливает двусторонний поток данных и передаёт напряжение питания следующему за ним устройству.
2. Применение одноканальных регенераторов, работающих по технологии SHDSL
Подключение IP-камеры к информационной сети на большом расстоянии производится через SHDSL интерфейс с использованием регенератора. Скорость в линии достигает 15296 кбит/c по одной паре. Питание камеры осуществляется дистанционно от SHDSL модуля. На линии может быть установлено до 3 регенераторов, питаемых со стороны базовой платформы SG-17R.
3. Удаленное подключение IP-камеры с подачей дистанционного питания по технологии PoDSL через SHDSL соединение с использованием регенератора
Подключение группы IP-камеры к информационной сети производится через Ethernet интерфейс. IP-камеры имеют встроенный Ethernet-коммутатор на два порта, что позволяет в целях оптимизации прокладки кабеля организовать их подключение «цепочкой» в режиме транзитного питания от одного порта Ethernet. Максимальное количество подключаемых камер при длине сегмента между устройствами 100 метров – до 5 штук.
4. Использование устройства представляющие собой модемы/ конвертеры, выполненные по технологии VDSL2
Данные изделия предназначены для организации систем IP-видеонаблюдения на удаленных объектах, то есть для передачи данных с IP-камер на расстояния более 100 м по двухпроводной медной линии (витой паре) или коаксиальному кабелю. Конвертеры имеют 1 или 4 порта Ethernet для подключения IP-камер и работают на дистанции до 1,7 км. Часто такие устройства называют Ethernet Extender.
5. Применение 1-канальных РоЕ инжекторов и сплиттеров мощностью 15W
Инжектор вводит питание в UTP кабель, а сплиттер выделяет его и подает на видеокамеру.
Многие IP-видеокамеры с питанием по РОЕ уже содержат встроенный сплиттер.
Это упрощает подключение, так как для подключения потребуется только инжектор.
Если блок питания совмещен с инжектором, то для питания IP камеры без функции РоЕ, потребуется только сплиттер.
6. Применение новой технологии «PoE Extender» позволяющей передавать данные и питание высокой мощности на сверхдальние расстояния
Эту функцию выполняет изделие под названием «Power Reach» или просто — РоЕ удлинитель.
Технология PoE Extender совместима не только со стандартным протоколом Ethernet и PoE IEEE802.3af/at , но также может осуществлять передачу питания до 60W до 500м. с поддержанием скорости 100 Mбит/с.
При каскадировании PoE удлинителей, можно увеличить дальность передачи РоЕ до 2 км., но при этом мощность в конце лини составит 3-5 ватт, а скорость передачи данных останется неизменной 100Мбит/с.
Вариант применения PoE удлинителей при построении протяженных сетей:
Вариант установки РоЕ удлинителя непосредственно в кожух. Полученной мощности 60W вполне будет достаточно для питания видеокамеры, обогрева кожуха, а в некоторых случаях и ИК подсветки.
Приведенный в статье перечень оборудования, предназначенного для передачи видео на большие расстояния и питания видеокамер по РоЕ разнообразен и далеко не полон. Выбор того или иного решения производится исполнителем исходя из поставленных задач и его предпочтений.
Александр Адушкин
Источник: www.aktivsb.ru
Маршрутизация с помощью ip-адресов
Рассмотрим теперь принципы, на основании которых в сетях IP происходит выбор маршрута передачи пакета между сетями.
Сначала необходимо обратить внимание на тот факт, что не только маршрутизаторы, но и конечные узлы — компьютеры — должны принимать участие в выборе маршрута. Пример, приведенный на рисунке 4.2, демонстрирует эту необходимость. Здесь в локальной сети имеется несколько маршрутизаторов, и компьютер должен выбирать, какому из них следует отправить пакет.
Рис. 4.2. Выбор маршрутизатора конечным узлом
Длина маршрута может существенно измениться в зависимости от того, какой маршрутизатор выберет компьютер для передачи своего пакета на сервер, расположенный, например, в Германии, если маршрутизатор 1 соединен выделенной линией с маршрутизатором в Копенгагене, а маршрутизатор 2 имеет спутниковый канал, соединяющий его с Токио.
В стеке TCP/IP маршрутизаторы и конечные узлы принимают решения о том, кому передавать пакет для его успешной доставки узлу назначения, на основании так называемых таблиц маршрутизации (routing tables).
Следующая таблица представляет собой типичный пример таблицы маршрутов, использующей IP-адреса сетей:
Адрес сети назначения
Адрес следующего маршрутизатора
Номер выходного порта
Расстояние до сети назначения
В этой таблице в столбце «Адрес сети назначения» указываются адреса всех сетей, которым данный маршрутизатор может передавать пакеты. В стеке TCP/IP принят так называемый одношаговый подход к оптимизации маршрута продвижения пакета (next-hop routing) — каждый маршрутизатор и конечный узел принимает участие в выборе только одного шага передачи пакета.
Поэтому в каждой строке таблицы маршрутизации указывается не весь маршрут в виде последовательности IP-адресов маршрутизаторов, через которые должен пройти пакет, а только один IP-адрес — адрес следующего маршрутизатора, которому нужно передать пакет. Вместе с пакетом следующему маршрутизатору передается ответственность за выбор следующего шага маршрутизации. Одношаговый подход к маршрутизации означает распределенное решение задачи выбора маршрута. Это снимает ограничение на максимальное количество транзитных маршрутизаторов на пути пакета.
(Альтернативой одношаговому подходу является указание в пакете всей последовательности маршрутизаторов, которые пакет должен пройти на своем пути. Такой подход называется маршрутизацией от источника — Source Routing. В этом случае выбор маршрута производится конечным узлом или первым маршрутизатором на пути пакета, а все остальные маршрутизаторы только отрабатывают выбранный маршрут, осуществляя коммутацию пакетов, то есть передачу их с одного порта на другой. Алгоритм Source Routing применяется в сетях IP только для отладки, когда маршрут задается в поле Резерв (IP OPTIONS) пакета.)
В случае, если в таблице маршрутов имеется более одной строки, соответствующей одному и тому же адресу сети назначения, то при принятии решения о передаче пакета используется та строка, в которой указано наименьшее значение в поле «Расстояние до сети назначения».
При этом под расстоянием понимается любая метрика, используемая в соответствии с заданным в сетевом пакете классом сервиса. Это может быть количество транзитных маршрутизаторов в данном маршруте (количество хопов от hop — прыжок), время прохождения пакета по линиям связи, надежность линий связи, или другая величина, отражающая качество данного маршрута по отношению к конкретному классу сервиса. Если маршрутизатор поддерживает несколько классов сервиса пакетов, то таблица маршрутов составляется и применяется отдельно для каждого вида сервиса (критерия выбора маршрута).
Для отправки пакета следующему маршрутизатору требуется знание его локального адреса, но в стеке TCP/IP в таблицах маршрутизации принято использование только IP-адресов для сохранения их универсального формата, не зависящего от типа сетей, входящих в интерсеть. Для нахождения локального адреса по известному IP-адресу необходимо воспользоваться протоколом ARP.
Конечный узел, как и маршрутизатор, имеет в своем распоряжении таблицу маршрутов унифицированного формата и на основании ее данных принимает решение, какому маршрутизатору нужно передавать пакет для сети N. Решение о том, что этот пакет нужно вообще маршрутизировать, компьютер принимает в том случае, когда он видит, что адрес сети назначения пакета отличается от адреса его собственной сети (каждому компьютеру при конфигурировании администратор присваивает его IP-адрес или несколько IP-адресов, если компьютер одновременно подключен к нескольким сетям). Когда компьютер выбрал следующий маршрутизатор, то он просматривают кэш-таблицу адресов своего протокола ARP и, может быть, находит там соответствие IP-адреса следующего маршрутизатора его MAC-адресу. Если же нет, то по локальной сети передается широковещательный ARP-запрос и локальный адрес извлекается из ARP-ответа.
После этого компьютер формирует кадр протокола, используемого на выбранном порту, например, кадр Ethernet, в который помещает МАС-адрес маршрутизатора. Маршрутизатор принимает кадр Ethernet, извлекает из него пакет IP и просматривает свою таблицу маршрутизации для нахождения следующего маршрутизатора. При этом он выполняет те же действия, что и конечный узел.
Одношаговая маршрутизация обладает еще одним преимуществом — она позволяет сократить объем таблиц маршрутизации в конечных узлах и маршрутизаторах за счет использования в качестве номера сети назначения так называемого маршрута по умолчанию — default, который обычно занимает в таблице маршрутизации последнюю строку. Если в таблице маршрутизации есть такая запись, то все пакеты с номерами сетей, которые отсутствуют в таблице маршрутизации, передаются маршрутизатору, указанному в строке default. Поэтому маршрутизаторы часто хранят в своих таблицах ограниченную информацию о сетях интерсети, пересылая пакеты для остальных сетей в порт и маршрутизатор, используемые по умолчанию. Подразумевается, что маршрутизатор, используемый по умолчанию, передаст пакет на магистральную сеть, а маршрутизаторы, подключенные к магистрали, имеют полную информацию о составе интерсети.
Особенно часто приемом маршрутизации по умолчанию пользуются конечные узлы. Хотя они также в общем случае имеют в своем распоряжении таблицу маршрутизации, ее объем обычно незначителен, так как маршрутизация для компьютера — не основное занятие.
Главная роль в маршрутизации пакетов в концепции протокола IP отводится, естественно, маршрутизаторам, которые должны обладать гораздо более полными таблицами маршрутизации, чем конечные узлы. Конечный узел часто вообще работает без таблицы маршрутизации, имея только сведения об IP-адресе маршрутизатора по умолчанию. При наличии одного маршрутизатора в локальной сети этот вариант — единственно возможный для всех конечных узлов. Но даже при наличии нескольких маршрутизаторов в локальной сети, когда проблема их выбора стоит перед конечным узлом, задание маршрута по умолчанию часто используется в компьютерах для сокращения объема их маршрутной таблицы.
Другим способом разгрузки компьютера от необходимости ведения больших таблиц маршрутизации является получение от маршрутизатора сведений о рациональном маршруте для какой-нибудь конкретной сети с помощью протокола ICMP.
Кроме маршрута default, в таблице маршрутизации могут встретиться два типа специальных записей — запись о специфичном для узла маршруте и запись об адресах сетей, непосредственно подключенных к портам маршрутизатора.
Специфичный для узла маршрут содержит вместо номера сети полный IP-адрес, то есть адрес, имеющий ненулевую информацию не только в поле номера сети, но и в поле номера узла. Предполагается, что для такого конечного узла маршрут должен выбираться не так, как для всех остальных узлов сети, к которой он относится. В случае, когда в таблице есть разные записи о продвижении пакетов для всей сети N и ее отдельного узла, имеющего адрес N,D, при поступлении пакета, адресованного узлу N,D, маршрутизатор отдаст предпочтение записи для N,D.
Записи в таблице маршрутизации, относящиеся к сетям, непосредственно подключенным к маршрутизатору, в поле «Расстояние до сети назначения» содержат нули.
Еще одним отличием работы маршрутизатора и конечного узла при выборе маршрута является способ построения таблицы маршрутизации. Если маршрутизаторы обычно автоматически создают таблицы маршрутизации, обмениваясь служебной информацией, то для конечных узлов таблицы маршрутизации создаются, как правило, вручную администраторами, и хранятся в виде постоянных файлов на дисках.
Существуют различные алгоритмы построения таблиц для одношаговой маршрутизации. Их можно разделить на три класса:
- алгоритмы фиксированной маршрутизации,
- алгоритмы простой маршрутизации,
- алгоритмы адаптивной маршрутизации.
- Случайная маршрутизация — пакеты передаются в любом, случайном направлении, кроме исходного.
- Лавинная маршрутизация — пакеты передаются во всех направлениях, кроме исходного (применяется в мостах для пакетов с неизвестным адресом доставки).
- Маршрутизация по предыдущему опыту — таблицы маршрутов составляются на основании данных, содержащихся в проходящих через маршрутизатор пакетах. Именно так работают прозрачные мосты, собирая сведения об адресах узлов, входящих в сегменты сети. Такой способ маршрутизации обладает медленной адаптируемостью к изменениям топологии сети.
Источник: studfile.net
