Sieci komputerowe. Wykład 1. Wprowadzenie, model warstwowy sieci

Transkrypt

1 Sieci komputerowe Wykład 1. Wprowadzenie, model warstwowy sieci

2 Literatura Richard Stevens: Biblia TCP/IP, tom I Protokoły, wydawnictwo RM, Warszawa 1998 Douglas E. Comer: Sieci komputerowe i intersieci, WNT 2003 InternetworkingTechnology Handbook: technology/handbook/ito_doc.html

3 Konsultacje Pok

4 Sieci komputerowe - podstawy Sieć komputerowa Protokół komunikacyjny Podział sieci komputerowych Ze względu na odległości WAN (Wide Area Networks) MAN (Metropolitan Area Networks) LAN (Local Area Networks) Ze względu na topologie połączeń szyna gwiazda punkt-punkt Topologie sieci Logiczne Fizyczne

5 Topologie sieci

6 Historia protokołu TCP/IP 1958 Powołano w USA agencję rządową ARPA (Advanced Research Projects Agency) 1968 ARPAnet, protokół NCP koncepcja przełączania pakietów 1972 Sieć ARPAnet została upubliczniona 1975 Xerox Ethernet (LAN) Mb Ethernet (DEC, Intel i Xerox) 1980 Oddzielenie wojskowego ARPAnetu od części akademickiej, cześć akademicką zaczęto nazywać Internetem 1983 ARPAnet używa TCP/IP 1984 IP v4 (adresy 32 bitowe) 1999 IPv6 (adresy 128 bitowe)

7 TCP/IP i Internet Termin Internet został po raz pierwszy użyty w RFC 675: RFC 675 to pierwsza specyfikacja TCP

8 Organizacje związane z rozwojem Internetu IETF (Internet Engineering Task Force) Grupy robocze IESG (Internet Engineering Steering Group) IAB (Internet Architecture Board) RFC editor ICANN (The Internet Corporation for Assigned Names and Numbers) IANA (Internet Assigned Numbers Authority) ISC (Internet System Consortium) np. BIND, DHCPD W3C (World Wide Web Consortium) np. HTML, XHTML, HTTP, CSS IEEE (Institute of Electrical and Electronics Engineers) np. Ethernet, WIFI, FireWire, Bluetooth

9 Model warstwowy TCP/IP Warstwa TCP/IP Aplikacji Transportu Międzysieciowa Interfejsu sieciowego Przykładowe protokoły SMTP, POP3, HTTP TCP, UDP IP Ethernet, Frame Relay, ATM... W modelu TCP/IP zostały wyróżnione cztery warstwy Każdej z warstw odpowiadają pewne protokoły Implementacją tego modelu jest stos TCP/IP

10 Warstwa aplikacji Warstwa aplikacji umożliwia przesyłanie danych utworzonych przez oprogramowanie (za pomocą protokołu warstwy aplikacji) Przykład sesji SMTP: cia:~$ telnet duch 25 Trying Connected to duch.mimuw.edu.pl. Escape character is '^]'. 220 duch.mimuw.edu.pl ESMTP Postfix helo cia.mimuw.edu.pl 250 duch.mimuw.edu.pl mail from: 250 Ok rcpt to: 250 Ok data 354 End data with <CR><LF>.<CR><LF> Tresc wiadomosci Ok, id= , from MTA([ ]:10025): 250 Ok: queued as E5AE43380EB

11 Warstwa transportu Warstwa transportu może zapewniać niezawodne dostarczanie danych utworzonych przez warstwę aplikacji (jeśli użyto TCP) Dodatkowo realizuje też funkcję multipleksacji (dostarczenia danych do odpowiedniego programu)

12 Warstwa sieciowa Warstwa sieciowa zapewnia globalną adresację (logiczną) Znajomość adresu przeznaczenia umożliwia urządzeniom zwanym ruterami dostarczenie danych do adresata Zwykle do hosta przeznaczenia jest wybierana trasa optymalna Trasa może ulegać zmianie (zwykle automatycznie) np. w wypadku uszkodzenia któregoś z urządzeń

13 Warstwa interfejsu sieciowego Umożliwia przesyłanie danych przez sieć fizyczną Zapewnia adresację (tzw. fizyczną) dotyczącą danego segmentu sieci

14 Enkapsulacja Dane TCP Dane IP TCP Dane ETH IP TCP Dane Bity Podczas przepływu danych przez stos TCP/IP, dołączane są nagłówki związane z każdą z warstw Informacje zawarte w nagłówku są związane z funkcją danej warstwy Np. w nagłówku IP znajdują się adresy IP źródła oraz przeznaczenia

15 Model warstwowy ISO/OSI Warstwy modelu ISO/OSI Aplikacji Prezentacji Sesji Transportu Sieciowa Łącza danych Fizyczna Zaproponowany przez organizację ISO model OSI (Open System Interconnection) miał zapewnić standaryzację w komunikacji między urządzeniami różnych producentów Model definiuje siedem warstw Model ten zakładał utworzenie zgodnych z nim protokołów Model OSI nigdy nie został zaimplementowany

16 Model ISO/OSI, a model TCP/IP Istotne jest rozbicie warstwy interfejsu sieciowego na: warstwę fizyczną warstwę łącza danych

17 Warstwa OSI Aplikacji Prezentacji Sesji Transportu Sieciowa Łącza danych Fizyczna Funkcje warstw modelu OSI Funkcje Interfejs pomiędzy aplikacją, a siecią Definiuje formaty danych Tworzy sesje połączeń między procesami uruchomionymi na różnych komputerach Niezawodność (korekcja błędów za pomocą retransmisji), multipleksacja Adresacja logiczna, routing, fragmentacja (jeśli konieczna) Fizyczna adresacja urządzeń, wykrywanie błędów, organizacja bitów w bajty, bajtów w ramki, rozgraniczanie ramek Poziomy napięć, długości fal światła, okablowanie, złącza

18 Protokoły przypisywane do warstw OSI Warstwa OSI Aplikacji Prezentacji Sesji Transportu Sieciowa Łącza danych Fizyczna Protokoły HTTP, FTP ASCII, JPEG, TIFF, MPEG RPC, NFS TCP, UDP, SPX IP, IPX, AppleTalk Ethernet, HDLC, Frame Relay, PPP, ATM Ethernet, RJ-45, SDH, DSL Model OSI stał się modelem odniesienia Choć jego implementacja nigdy nie powstała, zaczęto go używać do przedstawiania zasad funkcjonowania istniejących protokołów

19 Licencja GPL. Komentarze en_en, dokumentacja dwujęzyczna en/pl Dodatkowe plusy za autoconf/automake i gettext Opis protokołu portmappera: RFC 1050 Appendix A Portmapper Pełna konfigurowalność: - dobrze opisany plik konfiguracyjny - na których interfejsach/adresach IP ma słuchać - z których interfejsach/adresach IP może przyjmować rejestracje - demonologia (m. in. kill -HUP powoduje przeładowanie konfigów) Bezpieczeństwo: - dobrze napisany kod - obsługa libwrap i ew. list dostępu - rejestracja RPC tylko z lokalnych interfejsów (czyli trzeba "jakoś" uzyskać listę lokalnych adresów IP, uwaga: SIOCGIFADDR nie zawsze jest dostępne) - wszystko to co umie implementacja Venemy (zabezpieczenie NIS,NFS,itp) Inne: - logowanie via syslog - tryb verbose i debug Programy pomocnicze: - pmap_dump i pmap_set Lektura implementacji Venemy jest zalecana ze względu na zabezpieczenia. ftp://ftp.porcupine.org/pub/security/portmap_5beta.tar.gz

20 Sieci komputerowe Wykład 2 Warstwa fizyczna, Ethernet

21 Rola warstwy fizycznej Określa rodzaj medium transmisyjnego (np. światłowód lub skrętka) Określa sposób kodowania bitów (np. zakres napięć odpowiadających wartości logicznej 1) Definiuje złącza (rodzaj użytych złącz, ilość pinów itd.)

22 Media transmisyjne Okablowanie miedziane linie transmisyjne są to zwykle tzw. linie długie rodzaje linii transmisyjnych symetryczne (np. skrętka) współosiowe (np. kabel koncentryczny) w liniach transmisyjnych występują zjawiska falowe Światłowody wielomodowe (MM) jednomodowe (SM)

23 Propagacja sygnału w liniach miedzianych Przekazywany sygnał podlega zjawiskom falowym i jest narażony na: Tłumienie Jest związane z parametrami konstrukcyjnymi kabla, np. rezystancją (opornością), upływnością dielektryka Tłumienie rośnie wraz z częstotliwością, np. wskutek zjawiska naskórkowości Dyspersja, opóźnienie Składowe sygnału o różnych częstotliwościach rozchodzą się w linii długiej z różną prędkością, powoduje to zniekształcenie sygnału Odbicia Zakłócenia

24 Sygnał cyfrowy Do kodowania bitów najczęściej używany jest sygnał cyfrowy V to wartości napięć oznaczające wartości logiczne 0 i 1

25 Sygnał cyfrowy - harmoniczne Sygnał cyfrowy okresowy można rozłożyć na sumę sygnałów harmonicznych

26 Tłumienie Tłumienie powoduje spadek amplitudy sygnału, jest związane z m. in. z opornością przewodu oraz jakością użytego do budowy przewodu dielektryka

27 Dyspersja Składowe sygnału o różnych częstotliwościach rozchodzą się z różną prędkością, powoduje to rozciągnięcie sygnału w czasie

28 Kodowanie Kodowanie to przypisanie bitom np. wartości napięć lub wydarzenia związanego ze zmianą napięcia Manchester był stosowany w sieciach 10Mb MLT3 (np. 100BASE-TX)

29 Sieć Ethernet Ethernet to zbiór reguł budowy sieci lokalnych publikowany przez IEEE jako standardy oznaczane następująco: 802.3, np u Standard Ethernet określa własności warstw fizycznej oraz łącza danych

30 Warstwa fizyczna sieci Ethernet Okablowanie skrętki UTP (Unshielded Twisted Pair) i STP (Shielded Twisted Pair) światłowody wielomodowe (multimode - MM) i jednomodowe (singlemode - SM) Złącza RJ45 (dla skrętki) SC, LC i starszy ST (dla światłowodów) Przepustowości 10Mb, 100Mb, 1Gb, 10Gb

31 Okablowanie skrętka miedziana UTP (ang. Unshielded Twisted Pair) - na rysunku - nieekranowana STP (ekranowane pary) FTP (ang. Foiled Twisted Pair) - ekranowana całość

32 Złącze RJ-45

33 Kabel, kolory, połączenia między urządzeniami Końcówki kabla należy zaciskać wg jednego z poniższych sposobów: PIN T568A j. zielony zielony j. pomarańczowy niebieski j. niebieski pomarańczowy j. brązowy brązowy T568B j. pomarańczowy pomarańczowy j. zielony niebieski j. niebieski zielony j. brązowy brązowy kabel crossover

34 Kabel crossover Aby wykonać kabel crossover, należy zacisnąć końcówki: jedną wg T568A drugą wg T568B Dla Gigabit Ethernetu (1000BaseT) używane są 4 pary, kabel crossover musi być więc inny (jaki?) Kabel crossover służy do łączenia dwóch kart sieciowych Ethernet, lub dwóch przełączników Ethernet Niektóre przełączniki i karty sieciowe obsługują tzw. auto MDIX można stosować dowolny typ kabla

35 PoE PoE (ang. Power over Ethernet), 802.3af umożliwia zasilanie urządzeń za pomocą skrętki bardzo wygodne np. dla urządzeń AP WIFI j. niebieski oraz niebieski + j. brązowy oraz brązowy - 48V, 350mA w wyniku wykorzystania dość wysokiego napięcia (granica bezpieczeństwa dla napięć stałych) można uzyskać sporą moc konieczność zastosowania wysokiej wartości napięcia wynika z małego przekroju żyły miedzianej w skrętce UTP/STP/FTP

36 Kategorie skrętek Kategoria Częstotliwość 5 100MHz 5e 125MHz Przepustowość 100Mb 1Gb 6 250MHz >1Gb 6a 500MHz (augmented) 10GB Opis Fast Ethernet Fast Ethernet, Gigabit Ethernet Fast Ethernet, Gigabit Ethernet Ethernet 10G Podział na kategorie został zaproponowany w celu łatwego określania przydatności okablowania telekomunikacyjnego dla danego typu transmisji

37 Przewody koncentryczne Standardów Ethernet opartych o przewody koncentryczne obecnie się nie stosuje, choć takie instalacje czasem jeszcze można spotkać

38 Światłowody - budowa Ważnymi parametremi są średnice rdzenia i płaszcza: 9/125 μm (SM) 62,5/125 μm (MM) 50/125 μm (MM)

39 Światłowody wielo- i jednomodowe Wielomodowe: występuje dyspersja międzymodowa oraz chromatyczna Jednomodowe (stosowane przy dużych odległościach) występuje tylko dyspersja chromatyczna

40 Złącze światłowodowe SC

41 Złącze LC

42 Złącze ST

43 Zalety i wady światłowodów Zalety: Są niewrażliwe na zakłócenia EMI Nie powodują zakłóceń EMI Można uzyskać duże przepustowości i odległości transmisji Bezpieczeństwo transmisji Wady: Drogie urządzenia (szczególnie SM) Trudny i kosztowny montaż złącz i osprzętu Mała odporność na uszkodzenia mechaniczne

44 Standardy Ethernetu Ethernet Standard 10BASE5 10BASE2 10BASET Ethernet 802.3u Standard 100BASE-FX 100BASE-TX Okablowanie Kabel współosiowy gruby 500m (RG-213) Kabel współosiowy cienki 185m (RG-58) Skrętka UTP, od kat. 3 w 100m górę Odległość Okablowanie Światłowód MM Skrętka UTP, od kat. 5 w górę Odległość 400m 100m

45 Standardy Ethernet c.d. Ethernet 802.3z (optyczny), 802.3ab (elektryczny) Standard Okablowanie 1000BASE-SX Światłowód MM 1000BASE-LX Światłowód MM lub SM 1000BASE-LH Światłowód SM 1000BASE-T Skrętka UTP od kat. 5e w górę (4 pary) Odległość 550m 3km lub 10km 100km 100m 802.3ae (optyczny), 802.3ak (elektryczny), 802.3an (elektryczny) Standard Okablowanie Odległość 10GBASE-SR Światłowód MM 300m 10GBASE-LR Światłowód SM 10km 10GBASE-ER Światłowód SM 40km 10GBASE-CX4 Przewód miedziany CX4 15m 10GBASE-T (wymaga Skrętka UTP cat 6, 6a 55, 100m odpowiednio 500Mhz)

46 Autonegocjacja Ethernet używa technologii tzw. autonegocjacji, aby zapewnić możliwość współpracy urządzeń różnych standardów. Współczesne przełączniki (ang. switch) i karty sieciowe (NIC) zwykle są w stanie pracować w którymś z trybów 10/100/1000 Nie wszystkie jednak urządzenia będą współpracować np. 1000BASE-SX z 100BASE-FX Autonegocjacja jest realizowana w warstwie fizycznej

47 Okablowanie strukturalne LAN, osprzęt X krosownice (panele krosowe, ang. patch panele) CD, BD, FD punkty dystrybucyjne: kampusu, budynku, piętra

48 Osprzęt sieci LAN Patch panel, przełączniki Ethernet:

49 Osprzęt sieciowy LAN c.d. Patch panel światłowodowy

50 Osprzęt sieciowy LAN c.d.

51 Sieci komputerowe Wykład 3 Warstwa łącza, sprzęt i topologie sieci Ethernet

52 Zadania warstwy łącza danych Organizacja bitów danych w tzw. ramki Adresacja fizyczna urządzeń Wykrywanie błędów Multipleksacja (dostarczanie danych do odpowiedniego protokołu warstwy wyższej) Sposób dostęp do medium (w przypadku Ethernetu: CSMA/CD) rozstrzyga, kiedy medium może być użyte

53 Adresacja Ethernet Ethernet korzysta z adresów tzw. sprzętowych, zwanych adresami MAC (MAC Media Access Control) Adres jest przypisany na stałe do karty sieciowej Adresy są 48 bitowe np.: 00:0d:61:b0:14:79 Pierwsze 3 bajty określają producenta karty sieciowej Adres ff:ff:ff:ff:ff:ff jest adresem rozgłoszeniowym (ang. broadcast)

54 Ethernet IEEE 802.2/802.3 LLC/SNAP (RFC 1042) Ramka Ethernet MAC LLC SNAP adres adres źródła długość DSAP SSAP cntrl org code typ dane CRC przeznaczenia danych AA AA Ethernet II (DIX) (RFC 894): typ datagram IP adres adres źródła typ dane CRC przeznaczenia typ 0800 datagram IP Ramka Ethernet II jest najczęściej używana Typy protokołów (np. 800 szesnastkowo to IP):

55 Ramki DIX i 802 w sieci Żadna z wartości pola długość w formacie 802 nie jest identyczna z wartością pola typ w ramce Ethernet II. Gdyby tak było te typy ramek nie mogłyby współistnieć w sieci Jak sprawdzić typ ramki?

56 Multipleksacja Warstwa łącza dostarcza dane do odpowiedniego protokołu wyższej warstwy

57 Topologie sieci Ethernet

58 Sieć w standardzie 10BASE2 Taka sieć nie wykorzystywała żadnych dodatkowych urządzeń Połączenia tworzą jedną szynę elektryczną występują kolizje Dla unikania kolizji stosuje się mechanizm CSMA/CD

59 CSMA/CD CS (Carrier Sense) urządzenia nasłuchują medium jeśli jest wolne, można zacząć transmisję MA (Multiple Access) każde urządzenie ma dostęp do medium CD (Collision Detection) gdy urządzenia rozpoczną nadawanie w tym samym momencie, dochodzi do kolizji. Generowany jest sygnał, który świadczy o nieważności danych po odczekaniu pewnego okresu czasu węzeł próbuje ponownie rozpocząć transmisję czas ten może być zwiększany w przypadku występowania kolejnych kolizji

60 Skutki stosowania CSMA/CD Wykrywanie kolizji prowadzi do zmniejszenia liczby wysyłanych ramek i tym samym zapobiega kolejnym kolizjom powoduje to znaczące zmniejszenie przepustowości sieci

61 Sieć w standardzie 10BASE-T oparta o hub Sieć 10BASE-T bazuje na urządzeniu zwanym hubem (koncentratorem) W tego typu sieciach również występują kolizje Uszkodzenie kabla nie powoduje awarii całej sieci (tak jak w przypadku 10BASE2)

62 Zasada działania huba Hub powiela sygnał na wszystkich portach

63 Hub domena kolizyjna Cała sieć tworzy wspólną domenę kolizyjną

64 Sieć wykorzystująca most Dla zwiększenia wydajności sieci stosowano urządzenia zwane mostami (ang. bridge) Ograniczają domeny kolizyjne

65 Zasada działania mostu

66 Sieć wykorzystująca przełącznik Współczesne sieci Ethernet są budowane z wykorzystaniem urządzeń zwanych przełącznikami (ang. switch)

67 Zasada działania przełącznika Możliwa jest transmisja tzw. full duplex

68 Switch domena kolizyjna Domena kolizyjna została ograniczona do pary: karta sieciowa - port przełącznika CSMA/CD nie wpływa na wydajność

69 Tryb pracy Store-and-forward Cut-through Techniki przełączania Metoda Cut-through jest szybsza posiada jednak pewną wadę (jaką?) Generalnie opóźnienia współczesnych przełączników są niewielkie rzędu 10 1 µs przełączanie cut-through, Właściwości Ramka jest zapamiętywana w całości, następnie po odczytaniu adresów przeznaczenia i źródła, jest przekazywana na właściwy port Ramka jest przekazywana na port docelowy natychmiast (gdy tylko zostaną odczytane adresy przeznaczenia i źródła) rzędu 10 2 µs przełączanie store-and-forward

70 Topologie logiczne i fizyczne

71 Współczesne sieci LAN oparte o przełączniki Nadmiarowość połączeń dla zapewnienia niezawodności powoduje pętle (przełącznik musi obsługiwać protokół Spanning Tree) Separacja portów (aby była możliwa, przełącznik musi obsługiwać tzw. VLANy)

72 Sieci Komputerowe Wykład 4. Warstwa sieciowa. Adresacja IP.

73 Zadania warstwy sieciowej Adresacja logiczna Trasowanie (ang. routing) Urządzenia pracujące w warstwie trzeciej nazywają się ruterami. Fragmentacja i defragmentacja danych (w razie potrzeby)

74 Adres IP Adres IPv4 składa się z czterech oktetów Dla wygody stosuje się zapis dziesiętny, oktety oddziela się kropkami: Adres IP jest przypisany do interfejsu sieciowego komputera, można to zrobić np. poleceniem: ifconfig eth netmask

75 Przydzielanie adresów IP Alokacją adresów zajmuje się IANA (Internet Assigned Number Authority) IANA przydziela adresy dla RIR (Regional Internet Registry) Dla Europy RIR to RIPE NCC (

76 Klasy adresów IP Dodatkowo istnieją klasy D ( do ) oraz E ( do ) Zarezerwowane: , , , ,

77 Klasy prywatne Ww. adresy są nierutowane w Internecie Przeznaczone do wykorzystania np. w sieciach, gdzie stosuje się translację adresów (NAT)

78 Formaty adresów Np. klasa B dla adresacji hostów przeznacza 16 bitów Dla sieci : Adres jest adresem sieci, a dla tej sieci to adres rozgłoszeniowy (ang. broadcast). Można zaadresować 2^16-2 hostów.

79 Komunikacja w ramach tej samej sieci Komunikacja w ramach tej samej sieci (między adresami IP należącymi do tej samej sieci, np i ) odbywa się bezpośrednio Komunikacji między hostami o adresach należących do innych sieci (np i ) następuje za pośrednictwem rutera

80 Sieć IP Przykład adresacji

81 Maska podsieci Maska została wprowadzona ze względu na mało efektywny sztywny podział adresów na klasy Służy do określenia dla danego adresu IP adresu podsieci (umożliwia elastyczny podział adresacji na podsieci) Maski odpowiadające klasom adresów Klasa A maska Klasa B maska Klasa C maska

82 Wyznaczanie adresu podsieci Iloczyn logiczny 0AND 0 0 0AND 1 0 1AND 0 0 1AND 1 1 Wynikiem iloczynu jest adres podsieci

83 Przykład maskowania Zastosowanie maski dla adresu klasy B: NNNNNNNN.NNNNNNN.SSSSSSSSS.HHHHHHHH N network, S subnet, H - host Spowodowało to powstanie 2^8 podsieci Np. dla sieci i maski , powstaną następujące podsieci: , , itd. aż do w każdej z powyższych podsieci można zaadresować 2^8-2 hostów

84 Sieć IP - adresowanie z użyciem maski Można uzyskać bardziej efektywne wykorzystanie adresów

85 Zapis maski w postaci prefiksowej /24 odpowiada zapisowi binarnie: /24 (czyt. slash 24) ilość cyfr 1 w masce, dla maski np wynosi 24

86 Adres rozgłoszeniowy Adres rozgłoszeniowy (ang. broadcast) służy do wykonywania transmisji do wszystkich hostów w danej podsieci Aby określić adres broadcast należy zamienić bity określające adresy hostów na 1

87 Trudniejsze maski Nie składają się z oktetów będących samymi jedynkami oraz zerami Maska ma np. postać:

88 Przykład maskowania Zastosujmy maskę (/26) dla adresu klasy C: NNNNNNNN.NNNNNNN.NNNNNNNN.SSHHHHHH Uzyskaliśmy 2^2 podsieci Np. dla /26 uzyskamy podsieci: , , , W każdej podsieci można zaadresować 2^6 2 hostów

89 Adres rozgłoszeniowy dla maski /22 Jest to przykład wyznaczania adresu podsieci i adresu rozgłoszeniowego dla trudniejszej maski

90 Maski - ćwiczenie Dla ułatwienia: aby zamienić liczbę na postać dziesiętna należy zsumować: =43 Jaki będzie adres podsieci, oraz adres rozgłoszeniowy dla adresu /27 adresu /27 Ile hostów można zaadresować w każdej z ww. podsieci?

91 Kalkulator podsieci Ipcalc dla linuksa ułatwia obliczenia: ipcalc /27 Address: Netmask: = Network: / HostMin: HostMax: Broadcast:

92 Routing IP Routing (rutowanie, trasowanie) to decyzja dotycząca skierowania pakietu IP do routera lub komputera podejmowana zazwyczaj w oparciu o docelowy adres IP Jądro systemu operacyjnego podejmuje ww. decyzję na podstawie wpisu do tablicy FIB (ang. Forwarding Information Base) Można także wpływać na trasy uwzględniając m.in. źródłowy adres IP (tzw. policy routing) W linuksie - pakiet iproute2 (polecenie ip)

93 Ruting statyczny Ruter podejmuje decyzję o skierowaniu pakietu na podstawie ręcznego (statycznego) wpisu do tablicy rutingu Dodawanie statyczne wpisu do tablicy rutingu: route add -net /24 gw cob.mimuw.edu.pl Wynik polecenia route: Destination Gateway Genmask Flags Metric Ref Use Iface cob.mimuw.edu.p UG eth * U eth1 localnet * U eth0 default spider1.mimuw.e UG eth0

94 Adres /0 Wynik polecenia route -n (netstat -rn): kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UG eth U eth U eth UG eth0

95 Routing - przykład

96 Ruting dynamiczny Nie trzeba dodawać wpisów ręcznie Informacje o dostępnych podsieciach są rozgłaszane (służą do tego odpowiednie protokoły

97 Tablica rutingu rutera B

98 VLSM (Variable Lenght Subnet Masking) Można stosować różne maski dla danej klasy adresu Umożliwia lepsze wykorzystanie adresów

99 Sumaryzacja rozgłaszanych podsieci Można rozgłaszać wiele podsieci rozgłaszając tylko jedną sieć klasową

100 CIDR (Clasless Interdomain Routing) CIDR jest uogólnieniem VLSM, rozgłaszana sieć nie musi uwzględniać klas (maska /22)

101 Sieci komputerowe Wykład 5 Protokoły ARP, RARP, nagłówek IP

102 Przykład adresacji IP

103 Ruting dla poprzedniego przykładu Użyjemy rutingu statycznego Należy dokonać odpowiednich wpisów do tablicy rutowania route add -net /26 gw eth1 route add -net /26 gw eth1... Jeśli używamy dynamicznego protokołu rutowania, nie trzeba ręcznie modyfikować tablicy rutowania

104 Protokół ARP ARP (Address Resolution Protocol) umożliwia znalezienie adresu fizycznego (MAC) odpowiadającego adresowi IP

105 Eth adres przezna czenia Eth adres źródła Typ (0x0806) Rodzaj sprzętu (1 eth) Ramka ARP Rodzaj prot (IP-0x0 800 ) Rozm. adresu sprzęt. Rozm. adresu prot. Op (1- Adres zapytan Eth ie ARP) wysyłaj ącego Adres IP wysyłaj ącego Adres Eth przezna czenia nagł. Ethernet zapytanie/odpowiedź arp Adres IP przezna czenia Zapytanie i odpowiedź ARP zawarte są w ramce Ethernet Zapytania ARP wykorzystują mechanizm broadcast Ethernetu Adres MAC docelowy jest ustawiany na wartość: ff:ff:ff:ff:ff:ff

106 Polecenie arp Mapowania adresów IP na MAC są przechowywane w pamięci podręcznej ARP (dla zwiększenia wydajności) Polecenie arp służy do manipulowania wpisami do pamięci ARP Wynik działania polecenia arp -an ( ) at 00:90:27:2A:7A:A2 [ether] on eth0.11 ( ) at 00:0E:7B:9A:25:5F [ether] on eth0.12 ( ) at 00:E0:7D:84:C8:4B [ether] on eth0.13 ( ) at 00:0B:DB:93:10:6B [ether] on eth0.12

107 Protokół RARP i BOOTP RARP (Reverse ARP zapewnia odwzorowanie odwrotne w porównaniu z ARP MAC na IP Bootp dodatkowo udostępnia jeszcze inne dane

108 Eth adres przezna czenia Eth adres źródła Typ (0x8035) Ramka RARP Rodzaj sprzętu (1 eth) Rodzaj prot (IP-0x0 800) Rozm. adresu sprzęt. Rozm. adresu prot. Op (3- zapytan ie RARP) Adres Eth wysyłaj ącego Adres IP wysyłaj ącego Adres Eth przezna czenia nagł. Ethernet zapytanie/odpowiedź arp Adres IP przezna czenia Ramka RARP ma taki sam format jak ramka ARP Protokół RARP nie jest częścią implementacji stosu TCP/IP

109 Protokół DHCP BOOTP i DHCP stosuje się do konfiguracji interfejsów sieciowych hostów Ułatwia to czynności administracyjne związane z zarządzaniem adresacją IP

110 Nagłówek protokołu IP + Bity Wersja Długość nagłówka Typ usługi (ToS) Całkowita długość 32 Numer identyfikacyjny Znaczniki Przesunięcie fragmentacji 64 Czas życia pakietu (TTL) Protokół warstwy wyższej 96 Adres źródłowy 128 Adres przeznaczenia 160 Opcje 192 Dane Suma kontrolna nagłówka Długość nagłówka wynosi 20 bajtów (bez pola opcje)

111 Najważniejsze pola nagłówka IP Pierwsze, 4-bitowe pole zawiera numer wersji protokołu IP (dla IPv4 jest to 4) Kolejne 4-bitowe pole zawiera długość samego nagłówka protokołu (bez danych) Następne 8 bitów prezentuje tzw. "typ usługi" (ang. Type of Service). Jest to najbardziej podstawowy sposób wyznaczania priorytetu danego datagramu Kolejnym 16-bitowym polem jest całkowita długość pakietu (razem z danymi). Jego długość (wynosząca 2^16) umożliwia ustawienie rozmiaru datagramu na bajtów

112 Pola nagłówka IP c.d. Kolejne 16-bitowe pole to numer identyfikacyjny, służy do fragmentacji i defragmentacji datagramów Dalsze 3-bitowe pole to znaczniki, używane przy fragmentacji datagramów Następne 13-bitowe pole służy do odpowiedniego oznaczania fragmentów datagramów Pole TTL (8 bitów) to czas życia pakietów (ang. Time To Live). Jest to liczba z zakresu Przy trasowaniu pakietu przez router jest ona zmniejszana o jeden. W momencie osiągnięcia przez TTL wartości 0, pakiet nie jest dalej przekazywany

113 Pola nagłówka IP c.d. Kolejne, 8-bitowe określa rodzaj protokołu warstwy wyższej, takimi jak TCP czy UDP Następnym polem jest suma kontrolna nagłówka datagramu Dalsze pola zawierają adresy źródłowy i przeznaczenia. Na ich podstawie można określić pochodzenie i miejsce docelowe datagramu w sieci Ostatnim, 32-bitowym polem są opcje, które w normalnej transmisji zwykle nie są używane

114 Fragmentacja Datagram: Nagłówek IP Nagłówek Dane UDP UDP 20 bajtów 8 bajtów 1473 bajty = >MTU dla sieci Ethernet, konieczna jest fragmentacja : pierwszy pakiet: Nagłówek IP Nagłówek UDP Dane UDP 20 bajtów 8 bajtów 1472 bajty drugi pakiet: Nagłówek IP Dane UDP 20 bajtów 1 bajt W kolejnych fragmentach nie ma nagłówka UDP!

115 Fragmentacja c.d. W przypadku pierwszego fragmentu, numer identyfikacyjny może mieć wartość np , pole przesunięcie fragmentacji będzie miało wartość 0 W przypadku drugiego fragmentu wartość numeru identyfikacyjnego pozostaje ta sama, natomiast przesunięcie fragmentacji będzie równe Oznacza to, że drugi fragment zaczyna się po 1480 bajcie oryginalnego datagramu Wartości te można obserwować np. programem tcpdump

116 Terminologia Porcję danych w warstwie łącza nazywamy ramką W warstwie sieciowej jest to datagram lub pakiet W warstwie transportu stosujemy nazwę segment

117 Sieci komputerowe Wykład 6 Warstwa transportu, protokoły UDP, ICMP

118 Zadania warstwy transportu Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja) Kontrola przepływu Przesyłanie strumienia bajtów

119 Numery portów Numer portu służy protokołom UDP i TCP do identyfikacji procesów w warstwie aplikacji Oprogramowanie warstwy aplikacji korzystające z UDP/TCP używa modelu klient-serwer Numer portu jest liczbą 16 bitową Numery portów poniżej 1024 są związane z aplikacjami i określone przez IANA dla każdej z aplikacji Numery portów dla aplikacji klienckich są zazwyczaj przydzielane na krótko i z zakresu powyżej 1024

120 Charakterystyczne numery portów Lista numerów portów popularnych usług: 20 FTP - dane 21 FTP 22 SSH 23 Telnet 25 SMTP 53 DNS 70 Gopher 80 HTTP 109 POP2 110 POP3 119 NNTP

121 Gniazda Gniazda umożliwiają wielu aplikacjom jednoczesną komunikację Gniazdo jest określone za pomocą pary adres IP i numer portu Np :80

122 /etc/services, netstat Dobrze znane numery portów znajdują się w pliku /etc/services Aby zobaczyć jakie aplikacje nasłuchują na portach należy użyć programu netstat

123 UDP, nagłówek protokołu bit nr portu źródłowego 16 bit nr portu przeznaczenia 16 bit długość UDP 16 bit suma kontrolna UDP dane UDP (User Datagram Protocol) jest prostym protokołem warstwy transportu nie zapewnia niezawodności Nagłówek UDP ma dużo prostszą budowę niż TCP

124 Pseudonagłówek UDP bit adres źródłowy IP 32 bit adres przeznaczenia IP zero 8 bit protokół 16 bit długość UDP 16 bit nr portu źródłowego 16 bit nr portu przeznaczenia 16 bit długość UDP 16 bit suma kontrolna UDP dane Pseudonagłówek jest wykorzystywany do obliczania sumy kontrolnej Jest stosowany po to, aby sprawdzić, czy dane dotarły do właściwego adresata (stąd konieczność uwzględnienia przy liczeniu sumy kontrolnej adresów IP)

125 Własności protokołu UDP Nie zapewnia niezawodności (w przeciwieństwie do TCP) Nie jest zorientowany strumieniowo (w przeciwieństwie do TCP) Jest protokołem bezpołączeniowym (odmiennie niż TCP)

126 Zastosowanie UDP Przykłady zastosowania: DNS RIP DHCP (broadcast)

127 Protokół ICMP ICMP (Internet Control Message Protocol) służy do wysyłania komunikatów o problemach związanych z komunikacją, np. z rutingiem Jest używany także w celach diagnostycznych

128 Nagłówek ICMP bit typ 8 bit kod 16 bit suma kontrolna dane Komunikaty ICMP są przesyłane wewnątrz datagramów IP Komunikat ICMP o błędzie, w polu dane, zawiera nagłówek datagramu IP, który spowodował wygenerowanie komunikatu i 8 bajtów następujących po nim (może to być np. nagłówek UDP wtedy znany jest numer portu źródłowego. Numer ten może być wtedy skojarzony przez system odbierający wiadomość z konkretnym procesem np. klientem ftp)

129 Komunikaty ICMP Typy komunikatów ICMP: Typ Kod Opis 0 (odpowiedź echo) 0 Odpowiedź echo 3 (przeznaczenie nieosiągalne) 0 Sieć nieosiągalna 3 1 Host nieosiągalny 3 2 Protokół nieosiągalny 3 3 Port nieosiągalny 3 4 Konieczna fragmentacja, lecz włączony bit nie fragmentować 3 5 Błąd trasy routowania 3 6 Nieznana sieć przeznaczenia 3 7 Nieznany host przeznaczenia 3 8 (Przestarzałe nieużywane) 3 9 Dostęp do sieci przeznaczenia zabroniony 3 10 Dostęp do hosta przeznaczenia zabroniony 3 11 Sieć nieosiągalna dla usługi 3 12 Host nieosiągalny dla usługi 3 13 Komunikacja ograniczona za pomocą filtrowania 8 (zapytanie o echo) 0 Zapytanie o echo 11 (przekroczenie czasu) 0 Podczas przejścia czas życia równy 0

130 Komunikaty ICMP c.d. Komunikat ICMP o nieosiągalności przeznaczenia: 8 bit typ (3) 8 bit kod (3) 16 bit suma kontrolna Nie używane Dane (nagłówek datagramu IP, który spowodował wygenerowanie komunikatu oraz 8 bajtów następujących po nim czyli może to być np. nagłówek UDP) Komuniktat ICMP żądanie echa i odpowiedź echo: 8 bit typ (3) 8 bit kod (3) 16 bit suma kontrolna Identyfikator (nr procesu) Numer sekwencyjny dane

131 Programy korzystające z ICMP ping traceroute traceroute wysyła datagramy UDP o TTL zwiększanym o 1, pozwala to uzyskać obraz trasy do hosta przeznaczenia

132 Sieci komputerowe Wykład 7 Warstwa transportu, protokół TCP

133 Zadania warstwy transportu - przypomnienie Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja) Kontrola przepływu Przesyłanie strumienia bajtów

134 Nagłówek protokołu TCP

135 Niektóre pola nagłówka TCP Numery sekwencyjny i potwierdzenia: Numer sekwencyjny służy do numerowania bajtów Numer potwierdzenia jest następnym spodziewanym numerem sekwencyjnym Pole rozmiar okna służy do kontroli przepływu Pole Opcje najważniejsza: MSS (ang. Maximum Segment Size) ustalany po sprawdzeniu MTU lokalnego interfejsu

136 Znaczniki w nagłówku TCP Znaczniki URG znacznik ważności pola wskaźnik pilności ACK znacznik ważności pola numer potwierdzenia PSH znacznik ten, jeśli ustawiony, oznacza, że odbiorca powinien przekazać dane do aplikacji tak szybko, jak to możliwe RST zresetowanie połączenia SYN synchronizacja numerów sekwencyjnych w celu inicjalizacji połączenia FIN nadawca zakończył wysyłanie danych

137 Własności TCP Jest zorientowany połączeniowo. Zanim zostaną przesłane jakiekolwiek dane, musi zostać nawiązane połączenie Zapewnia niezawodność (dane przesyłane przez aplikację są dzielone na tzw. segmenty, które wg. TCP mają najlepszy rozmiar, po wysłaniu segmentu jest uruchamiany zegar i rozpoczyna się oczekiwanie na potwierdzenie odebrania segmentu przez drugą stronę). W przypadku nieotrzymania potwierdzenia, segment jest wysyłany ponownie Sortuje segmenty i w razie potrzeby odrzuca zdublowane Stosuje sumę kontrolną nagłówka i danych do kontroli poprawności. Jeśli zostanie wykryty błąd sumy kontrolnej potwierdzenie nie jest wysyłane Ponieważ TCP wykorzystuje mechanizm połączeń, nie jest możliwe zastosowanie go do transmisji typu broadcast

138 Własności TCP c.d, Umożliwia przesyłanie danych w obie strony (tzw. tryb full duplex) Zapewnia kontrolę przepływu za pomocą mechanizmu okien W celu poprawy efektywności, stosuje się algorytm opóźnianych, skumulowanych potwierdzeń

139 Nawiązywanie i kończenie połączenia

140 Proces nawiązywania połączenia Proces nawiązywania połączenia polega na synchronizacji numerów sekwencyjnych (trójstanowy handshake), tak aby było wiadomo jak numerować bajty Po nawiązania połączenia możliwa jest komunikacja full-duplex Istotny jest wybór początkowego numeru sekwencyjnego (numeru ISN), tak aby był unikalny dla danego połączenia (dba o to implementacja TCP)

141 Stany TCP

142 Stany TCP c.d. Time Wait musi trwać odpowiednio długo, aby w następnym połączeniu korzystającym z tych samych gniazd nie pojawiły się spóźnione segmenty z poprzedniego połączenia. Time Wait=2MSL Może wystąpić tzw. półotwarcie w momencie gdy serwer przestaje nagle działać Gdy serwer zostaje podłączony ponownie i otrzyma dane od klienta wysyła segment z ustawionym znacznikiem RST i połączenie zostaje przerwane w momencie gdy klient przestaje nagle działać Połączenie będzie istnieć na serwerze stosuje się mechanizm zapobiegawczy TCP keepalive

143 Przepływ danych masowych

144 Szybki nadawca, wolny odbiorca

145 Okna przesuwne

146 Budowa serwera TCP Serwery TCP zazwyczaj implementuje się jako współbieżne Gdy do serwera dociera zapytanie dotyczące nowego połączenia, serwer akceptuje je i uruchamia nowy proces do obsługi połączenia Serwer może obsługiwać wiele połączeń na jednym porcie

147 Sieci komputerowe Wykład 8 Protokół TCP c.d.

148 Slajdy Slajdy i kilka przykładowych zadań egzaminacyjnych:

149 Przepływ danych interaktywnych Przesyłane są pojedyncze znaki, pakiet IP dla przesłania 1 znaku ma długość 41 bajtów! Dla jednego przesłanego znaku tworzone są zwykle 4 segmenty

150 Opóźnione potwierdzenia w przesyłaniu interaktywnym

151 Algorytm Nagle'a Służy do minimalizacji liczby wysyłanych segmentów Agorytm Nagle'a mówi, że TCP może mieć tylko jeden mały niepotwierdzony segment Może więc występować wstrzymanie wysyłania danych, tak, aby później wysłać więcej w jednym segmencie Istnieje możliwość wyłączenia algorytmu Nagle'a, za pomocą odpowiedniej opcji API gniazd

152 Algorytm Nagle'a c.d.

153 Retransmisja Retransmisja następuje w momencie, gdy TCP nie otrzymał potwierdzenia dla któregoś z segmentów Nie ma mechanizmu potwierdzeń selektywnych! Konieczne jest wyznaczenie czasu oczekiwania, po którym ma nastąpić retransmisja Aby wyznaczyć czas oczekiwania, TCP musi mierzyć czas podróży segmentów (tzw. RTTround trip time) Czas podróży: R= αr p +(1- α)m, α=0.9 Czas oczekiwania: RTO=Rβ, β=2

154 Retransmisja, c.d.

155 Retransmisja, c.d. W momencie wykrycia segmentu innego niż oczekiwany, jest wysyłane tzw. zduplikowane ACK natychmiast (bez opóźnienia) Może to pomóc ustalić, że segment zaginął i dokonać retransmisji jeszcze przed upłynięciem czasu oczekiwania (algorytm szybkiej retransmisji)

156 Repakietyzacja Po zakończeniu odliczania czasu oczekiwania następuje retransmisja, ale TCP nie musi retransmitować identycznych segmentów Może wykonać repakietyzację, czyli wysłać segment większy

157 Algorytm powolnego startu Służy do kontroli przepływu związanego z obciążeniem sieci (inaczej niż w przypadku ogłaszania wielkości okna) Problem jest wykrywany, gdy pojawiają się straty segmentów Nie następuje transmisja mająca na celu wypełnienie okna ogłaszanego przez odbiorcę Liczba wysyłanych segmentów bez potwierdzenia zaczyna się od 1, i jest stopniowo zwiększana wraz z otrzymywaniem kolejnych ACK

158 Powolny start c.d. Algorytm powolnego startu wymaga wprowadzenia i obliczania dla każdego połączenia zmiennej cwnd (ang. congestion window) okna przeciążenia wartość cwnd jest ustawiona na początku na jeden segment i zwiększana o wielkość jednego segmentu za każdym otrzymanym ACK wysyłana liczba segmentów nie może przekroczyć wartości cwnd i wartości okna ogłaszanego przez odbiorcę za każdym otrzymanym ACK segmentu, wielkość cwnd wzrasta o 1 segment, powoduje to wykładniczy wzrost liczby wysyłanych segmentów (1,2,4,8...)

159 Algorytm zapobiegania zatorom Wprowadza zmienną ssthresh (próg powolnego stratu) Gdy wystąpi zator (wykryty poprzez przekroczenie czasu) ssthresh := 1/2*cwnd; cwnd:=1 (powolny start) Gdy cwnd >= ssthresh, zaczyna działać algorytm zapobiegania zatorom: cwnd += segsize*segsize/cwnd powoduje to wolniejszy (linowy) wzrost liczby wysyłanych segmentów

160 Algorytm zapobiegania zatorom Jeśli zator zostanie wykryty poprzez otrzymywanie zduplikowanych ACK, nie jest wykonywany powolny start (nie zmniejszamy rozmiaru cwnd do jednego segmentu), od razu zaczyna działać algorytm zapobiegania zatorom cwnd jest nadal zwiększane, ale wg algorytmu zapobiegania zatorom: cwnd += segsize*segsize/cwnd

161 Algorytm zapobiegania zatorom c.d. Algorytm powolnego startu i zapobiegania zatorom służą do kontroli przepływu ze strony nadawcy

162 Algorytm szybkiej retransmisji Jeśli wystąpi 3 lub więcej zduplikowanych ACK można wysłać segment ponownie, przed upłynięciem czasu oczekiwania Nie trzeba stosować powolnego startu, gdyż pojawianie się zduplikowanych ACK oznacza, iż segmenty są odbierane, więc nie wystąpił zator Jeśli otrzymamy mniej niż 3 zduplikowane ACK, to znaczy że wystąpiło tylko zakłócenie porządku segmentów i nie należy stosować szybkiej retransmisji

163 Szybka retransmisja - przykład

164 Mechanizm persist TCP Może wystąpić problem, gdy zaginie segment ogłaszający, iż okno powiększyło się (przy poprzednio ogłoszonej zerowej wielkości okna) W tym przypadku transmisja nie mogłaby być kontynuowana, bo nadawca czekałby w nieskończoność Aby temu zapobiec, nadawca wysyła segmenty sondujące o długości jednego bajta (TCP może to robić mimo ogłoszonej zerowej długości okna)

165 Persist TCP c.d.

166 Łącza o dużych przepustowościach i opóźnieniach Pojemność potoku można zdefiniować jako: pojemność(bity) = szerokość pasma (b/s) * czas podróży(s) Potok powinien być wypełniony, aby uzyskać oczekiwaną przepustowość, okno określone liczbą 16 bitową nie wystarcza Stosuje się opcję skalowania okna

167 Opcja skalowania okna Dla sieci o dużych przepustowościach i dużych opóźnieniach okno opisane liczbą 16 bitową może być zbyt małe Stosowana jest opcja TCP skalowania okna stosowany jest licznik jedno bajtowy, może przyjmować wartości od 0 do 14. Największy rozmiar okna to * 2 14 Opcja skalowania może się pojawiać jedynie w segmentach SYN, więc jest stała dla danego połączenia Jeśli strona, która wykonuje aktywne otwarcie umieści tę opcję w segmencie SYN, ale nie dostanie jest w segmencie SYN przesłanym przez drugą stronę, to opcja ta nie może być używana

168 Opcja znaczników czasowych Umożliwia umieszczanie 32 bitowych znaczników czasowych w wysyłanych segmentach Odbiorca wysyła echo znacznika Umożliwia to dokładny pomiar RTT Umożliwia również ochronę przed powtarzającymi się numerami sekwencyjnymi Zjawisko to może wystąpić w sieciach o przepustowościach >= 1Gb/s Opcja ta może być używana jedynie w segmentach SYN

169 Opcje używane we współczesnych implementacjach 12:15: IP cia.mimuw.edu.pl > ftp-osl.osuosl.org.www: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 6> 12:15: IP ftp-osl.osuosl.org.www > cia.mimuw.edu.pl.59542: S : (0) ack win 5792 <mss 1460,sackOK,timestamp ,nop,wscale 7>

170 Przesyłanie pliku (tcpdump) 12:15: IP cia.mimuw.edu.pl > ftp osl.osuosl.org.www:. ack win 1002 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: P 98584:99784(1200) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: P 99784:100032(248) ack 167 win 54 <nop,nop,timestamp > 12:15: IP cia.mimuw.edu.pl > ftp osl.osuosl.org.www:. ack win 1002 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :101480(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: P :102928(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :104376(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :105824(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: P :107024(1200) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :108472(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :109920(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: P :111120(1200) ack 167 win 54 <nop,nop,timestamp > 12:15: IP ftp osl.osuosl.org.www > cia.mimuw.edu.pl.59542: :112568(1448) ack 167 win 54 <nop,nop,timestamp > 12:15: IP cia.mimuw.edu.pl > ftp osl.osuosl.org.www:. ack win 1002 <nop,nop,timestamp >

171 Sieci komputerowe Wykład 9 Współczesne sieci Ethernet

172 Współczesny Ethernet We współczesnych sieciach Ethernet stosuje się kilka istotnych technologii, do najważniejszych z nich należą: VLAN, VTP, GVRP STP Technologie te sprawiają, że Ethernet jest coraz częściej stosowany w sieciach miejskich i rozległych

173 VLAN Sieć LAN tworzy wspólną domenę broadcastową Technologia VLAN (Virtual LAN) polega na wydzieleniu określonych portów przełącznika, tak, aby tworzyły one własną domenę broadcastową Wymiana ruchu między portami pracującymi w innych VLANach jest możliwa tylko za pośrednictwem rutera Wydzielenie określonych portów (przypisanie portów do VLANu) może mieć miejsce również w ramach większej liczby przełączników

174 Sieć bez przełączników z obsługą VLAN Aby utworzyć dwie domeny broadcastowe, należy użyć dwóch przełączników Każdy z przełączników musi być podłączony do rutera osobnym łączem

175 Sieć oparta o przełączniki z obsługą VLAN Do VLANu, który posiada ID 1 należą dwa porty Wystarczy jeden przełącznik

176 Propagowanie informacji o VLANach Porty należące do wielu przełączników również mogą pracować we wspólnym VLANie Jest to możliwe dzięki znakowaniu (tzw. tagowaniu) ramek, które są przekazywane między przełącznikami

177 Różne protokoły znakowania ramek Ramki muszą być oznakowane wartością VLAN ID, aby było wiadomo do którego VLANu należy ramka. Do znakowania używa się standardów 802.1q oraz ISL Port przełącznika, który znakuje wysyłane ramki, musi pracować w trybie trunk IEEE 802.1q Jest to standard IEEE, może być używany w przełącznikach różnych producentów Cisco ISL (Inter-Switch Link) Jest protokołem charakterystycznym dla Cisco i jest obsługiwany jedynie przez urządzenia tej firmy

178 Nagłówek 802.1q Nagłówek 802.1Q DA SA TAG TYP DATA FCS Nagłówek taki różni się od nagłówka Ethernet zawartością jednego dodatkowego pola Pole TAG zawiera 12 bitowy identyfikator VLANu (tzw. VLAN ID)

179 Nagłówek ISL ISL nie dodaje pola, enkapsuluje całą ramkę Ethernet za 26 bajtowym nagłówkiem ISL ISL (tak jak 802.1q) pozwala na stosowanie 12 bitowych identyfikatorów VLAN

180 Przekazywanie ruchu między VLANami Potrzeba aż trzech interfejsów rutera, a tym samym trzech połączeń fizycznych

181 Przekazywanie ruchu między VLANami c.d. Lepiej użyć rutera z portem Fast Ethernet z obsługą trybu trunk, wystarczy wtedy jedno łącze fizyczne Interfejsy 10Mb nie obsługują trybu trunk

182 Vlan Trunking Protocol (VTP) Umożliwia zakładanie VLANów tylko na jednym przełączniku jest to bardzo wygodne Działa tylko na urządzeniach firmy Cisco GVRP (Group VLAN Registration Protocol) ma podobną funkcjonalność, jest stosowany w urządzeniach innych firm

183 VTP prunning Broadcasty nie są przekazywane do przełączników, które nie mają portów w danym VLANie. Pozwala to oszczędzać pasmo, warto więc włączyć VTP prunning

184 Protokół Spanning Tree Przełącznik przekazuje na wszystkie porty ramki broadcast, oraz unicast dla których nie znany jest port przeznaczenia W przypadku pętli, niektóre ramki krążyły by bez końca

185 Protokół STP c.d. Stosowanie STP umożliwia realizowanie połączeń redundantnych

186 Protokół STP c.d. W momencie uszkodzenia jednego z połączeń stan portu 0/27 zmienił się z blocking na forwarding

187 Jak działa STP? Tzw. root switch rozgłasza komunikaty BPDU (ang. Brigde Protocol Data Unit) co 2 sekundy Każdy przekazywany komunikat oznaczany jest pewnym kosztem w zależności od kosztu interfejsu do którego przychodzi Interfejs SW3 0/27 zostanie zablokowany

188 Stan portu Charakterystyka portu Każdy port rootswitcha Każdy port nie rootswitcha podłączony do root-switcha Wybrany port segmentu LAN Inne porty Stan Forwarding Forwarding Forwarding Blocking Opis Te porty otrzymują BPDU bezpośrednio od roota Port który przekazuje BPDU do segmentu LAN obciążone najmniejszym kosztem staje się wybranym

189 Koszty różnych interfejsów Koszt zależy od przepustowości interfejsu

190 STP - podsumowanie STP umożliwia ustawianie pewnych portów w stan blocking, tak aby nie dopuścić do krążenia ramek STP pozwala na stosowanie połączeń zapasowych, w momencie uszkodzenia któregoś łącza porty mogą zmienić stan z blocking na forwarding Standardowo STP jest włączone

191 Sieci komputerowe IP Multicasting

192 Multicasting Dostarczanie datagramów do wielu miejsc równocześnie. Oparty o koncepcję grup. Grupa może otrzymywać strumień danych. Jeśli host chce otrzymywać strumień. przeznaczony dla grupy, musi do niej dołączyć.

193 Unicast i Multicast Transmisja unicast wysyła kopie datagramu, po jednej kopii dla każdego z odbiorców, nadawca musi utworzyć tyle kopii, ile chce wysłać. Transmisja multicast wysyła jedną kopię do wielu odbiorców, kopia jest oczywiście powielana, ale nie przez nadawcę, ale już w sieci odbiorcy.

194 Zalety transmisji multicast Oszczędność pasma; szczególnie istotna w przypadku transmisji strumieniowych np. video. Oszczędność mocy obliczeniowej urządzeń sieciowych. Wydajne wykorzystanie adresacji.

195 Przykład multicast

196 Adresy IP Multicast Adresy grup - klasa D: do zarezerwowane dla sieci lokalnej, nie powinny być rutowane, są przesyłane z TTL= wszystkie hosty w segmencie lokalnym, wszystkie rutery w sieci, rutery OSPF, serwery DHCP. Każdy adres IP multicast jest adresem grupy.

197 Adresacja IP multicast Adresy globalne: do przeznaczone do przesyłania ruchu mulicast przez Internet. Adresy lokalne: do przesyłanie ruchu multicast w ramach jednej organizacji (jednego AS).

198 Adresy multicastowe Ethernet Przedział przyznany przez IANA 01:00:5e:00:00:00 do 01:00:5e:7f:ff:ff 23 bity adresu mogą być kojarzone z grupą multicast. Mapowanie adresu IP multicast na adres Ethernet: polega na umieszczeniu 23 mniej znaczących bitów pochodzących z adresu IP grupy (adresu multicast) w końcowej części adresu multicastowego Ethernet.

199 Mapowanie adresów IP multicast na adresy Ethernet

200 Niejednoznaczność mapowania 5 górnych bitów adresu IP grupy multicast nie jest używane do tworzenia adresu Ethernet, adres ten nie jest więc unikalny:

201 Multicast w sieci lokalnej Proces (program) wysyłający określa adres IP grupy przeznaczenia. Adres ten jest konwertowany na odpowiadający mu adres Ethernet i komunikat jest wysyłany. Procesy odbierające muszą poinformować swoje warstwy IP, że chcą otrzymywać datagramy dla danej grupy, jest to przyłączenie do grupy multicast. Host odbierający musi dostarczyć datagram do wszystkich procesów należących do danej grupy, wiele procesów odbierających na hoście może należeć do jednej grupy multicast.

202 Multicast poza siecią lokalną Musimy przekazywać multicast przez rutery. Aby ruter wiedział, że host działający w sieci należy do danej grupy multicast, musi zachodzić wymiana takich informacji. Służy do tego protokół IGMP (ang. Internet Group Management Protocol)

203 IGMP Podobnie jak ICMP, IGMP to część warstwy IP, więc komunikaty są przesyłane wewnątrz pakietów IP. Komunikat IGMP v1:

204 jeśli nie ma, to przestaje przekazywać ruch multicast do danej grupy IGMP v1 Dwa typy wiadomości: zapytanie o członkostwo w grupie (wysyła ruter) adres grupy ustawiany na 0 raport przyłączenia do grupy zawiera adres grupy do której należy proces Host wysyła raport w momencie, gdy pierwszy proces dołączy do grupy. Ruter multicast regularnie wysyła zapytanie IGMP, aby sprawdzić, czy któryś z hostów ma procesy należące do którejś z grup,

205 IGMPv1 - komunikaty Raport IGMP Zapytanie IGMP TTL=1 TTL=1 adres grupy=adres klasy D adres IP przeznaczenia=adres klasy D adres IP źródłowy=adres IP hosta adres grupy=0 adres IP przeznaczenia= adres IP źródłowy=adres IP rutera

206 IGMP v2 Dodatkowy typ komunikatu: opuszczenie grupy (wysyłane przez host), dzięki temu można szybciej wstrzymać niepotrzebny ruch. Komunikat IGMP v2:

207 Multicast w warstwie łącza Standardowo przełączniki Ethernet przekazują ramki multicast na wszystkie porty. Ograniczenie jest możliwe: Cisco Group Management Protocol (CGMP): protokół komunikacji rutera ze switchem. IGMP Snooping.

208 CGMP

209 IGMP Snooping Prosta zasada działania: Kiedy switch otrzymuje raport IGMP od hosta dotyczący danej grupy multicast, switch dodaje numer portu do utrzymywanej tablicy. Problem z wydajnością na przełącznikach niższej klasy.

210 Przykład multicast emcast program do komunikacji multicast, podobny do netcata (nc): emcast Transmisje multicast wykorzystują UDP! W linuksie: ip maddr show aby pokazać listę adresów grup multicast.

211 Sieci komputerowe Wykład 10 Bezpieczeństwo w sieciach komputerowych

212 Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na maskowaniu połączeń z wielu adresów nierutowalnych jednym publicznym adresem IP Nie można wykonywać połączeń bezpośrednio do adresów niepublicznych, wpływa to na zwiększenie bezpieczeństwa NAT został wprowadzony ze względu na brak adresów IP

213 Połączenia bez użycia NAT

214 Połączenia z użyciem NAT Zmieniany jest adres IP i/lub port Powyższy rysunek ilustruje technikę SNAT (zmiana adresu źródłowego) Stosuje się także DNAT (zmiana adresu docelowego)

215 Serwery proxy Serwer proxy (pośredniczący) wykonuje połączenia w imieniu użytkownika Użytkownik zleca wykonanie połączenia za pomocą oprogramowania klienckiego zwykle przeglądarki internetowej Użytkownik nie musi posiadać publicznego adresu IP Proxy wykona za niego połączenia do sieci zewnętrznych i przekaże odpowiedź Proxy działa w warstwie aplikacji wadą jego jest obsługa niewielu protokołów (głównie FTP i HTTP)

216 Ściany ogniowe Ściany ogniowe (ang. firewall) filtrują adresy Mogą też obserwować stany połączeń firewall stanowy firewall bezstanowy (nie śledzi stanu połączeń) Należy utworzyć reguły

217 Iptables Iptables to program do obsługi filtru (firewalla) wbudowanego w jądro systemu operacyjnego Linux

218 Iptables diagram przepływu

219 Iptables Dodawanie reguły iptables [-t tablica] komenda [wzorzec] [akcja]

220 Iptables - przykład # Adres IP hosta ip= #policy na DROP iptables -P INPUT DROP iptables -F INPUT iptables -P OUTPUT DROP iptables -F OUTPUT iptables -P FORWARD DROP iptables -F FORWARD iptables -F -t nat iptables -X iptables -Z # Wpuszczamy jedynie nawiązane połączenia iptables -A INPUT -i eth0 -s /0 -d $ip -m state --state \ ESTABLISHED,RELATED -j ACCEPT # Wypuszczamy wszystko z naszego hosta iptables -A OUTPUT -o eth0 -s $ip -d /0 -j ACCEPT

221 Iptables przykład c.d. iptables -A INPUT -i eth0 -s /0 -d /0 -j DROP iptables -A OUTPUT -o eth0 -s /0 -d /0 -j DROP iptables -A INPUT -i eth0 -s /0 -d /0 -j REJECT iptables -A OUTPUT -o eth0 -s /0 -d /0 -j REJECT\ -reject-with icmp-host-unreachable

222 Iptables przykłady c.d. #limit liczby połączeń: iptables -A INPUT -m limit -limit 3/min -j ACCEPT #limit wielkości pakietu: iptables -A INPUT -m length -length 1000: -j DROP #sprytny limit iptables -A INPUT -p tcp --dport 22 -m hashlimit -hashlimit 1/min --hashlimit-mode srcip --hashlimit-name ssh -m state \ --state NEW -j ACCEPT # zezwól na 2 połączenia na klienta iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \ --connlimit-above 2 -j REJECT # j.w. iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \! --connlimit-above 2 -j ACCEPT #lista adresów IP w /proc/net/ipt_recent/www iptables -A INPUT -p tcp dport 80 -m recent name www \ --set -j ACCEPT

223 Iptables, NAT iptables -t nat -A PREROUTING -s /16 -j SNAT \ -to iptables -t nat -A POSTROUTING -d j DNAT \ --to iptables -t nat -A POSTROUTING -p tcp -d \ - dport 222 -j DNAT to :22

224 Komendy iptables (podsumowanie) * -P łańcuch polityka - ustawienie domyślnej polityki dla łańcucha. Domyślna polityka stosowana jest dopiero wówczas, gdy pakiet nie pasuje do żadnej reguły łańcucha, * -A łańcuch - dodanie reguły do określonego łańcucha, * -I łańcuch [nr reguły] - wstawienie reguły do określonego łańcucha, jeśli zostanie podany nr reguły wtedy reguła zostanie wpisane w to miejsce zmieniając kolejność pozostałych, * -L [łańcuch] - wyświetlenie wszystkich reguł łańcucha (lub wszystkich łańcuchów w danej tablicy); często używane z opcjami -n i -v, * -F [łańcuch] - usunięcie wszystkich reguł łańcucha (lub ze wszystkich łańcuchów danej tablicy), * -D łańcuch [nr reguły] - usunięcie konkretnej reguły w określonym łańcuchu, jeśli zostanie podany nr reguły wtedy zostanie usunięta reguła o tym numerze, * -R łańcuch nr_reguły - zastąpienie reguły numer

225 Opcje wzorca * -s [!] ip[/netmask] - adres IP źródłowy (może być uogólniony do adresu sieci), * -d [!] ip[/netmask] - adres IP docelowy (może być uogólniony do adresu sieci), * -p [!] protokół - wybór protokołu: tcp, udp, icmp lub all (wszystkie protokoły stosu TCP/IP), * -i [!] interfejs wejściowy * -o [!] interfejs wyjściowy * --sport [!] port:[port] - port źródłowy, * --dport [!] port:[port] - port docelowy, * -m moduł - załadowanie modułu rozszerzającego, dzięki temu można wykorzystać kolejne opcje danego modułu.

226 Akcje * -j ACCEPT - przepuszczenie dopasowanych pakietów, * -j DROP - usunięcie dopasowanych pakietów, * -j REJECT - odrzucenie dopasowanych pakietów, * -j LOG - logowanie dopasowanych pakietów * -j SNAT - translacja adresów źródłowych, * -j DNAT - translacja adresów docelowych, * -j MASQUERADE - translacja adresów źródłowych na adres dynamicznie przyznawany na interfejsie.

227 Kryptografia w sieciach komputerowych Stosuje się następujące algorytmy: symetryczny niesymetryczny Należy pamiętać, że jeśli nie zastosowano szyfrowania, hasła są przesyłane przez sieć otwartym tekstem Dlatego, jeśli korzystamy z autoryzacji, należy używać szyfrowanej wersji protokołów: HTTPs POP3s SMTPs

228 Szyfrowanie symetryczne Polega na użyciu tylko jednego klucza Ten sam klucz musi być w posiadaniu nadawcy i odbiorcy, gdyż nim się szyfruje i deszyfruje wiadomości Istnieje poważny problem z przekazywaniem klucza

229 Szyfrowanie symetryczne Polega na użyciu pary kluczy - publicznego i prywatnego Należy chronić jedynie klucz prywatny Można upublicznić klucz publiczny Nie posiada wady algorytmu symetrycznego Wiadomość zaszyfrowana kluczem prywatnym może być odszyfrowana jedynie odpowiadającym mu kluczem publicznym. I analogicznie, wiadomość zaszyfrowana kluczem publicznym, może być odszyfrowana tylko odpowiadającym mu kluczem prywatnym. Jeśli chcemy zaszyfrować wiadomość do naszego korespondenta, musi on przysłać nam swój klucz publiczny. Klucz nie musi jednak być przysłany w bezpieczny sposób. Jeśli ktoś przechwyci klucz publiczny nie będzie mógł odszyfrować wiadomości nim zaszyfrowanych. Para kluczy publiczny i prywatny może też być używana do podpisywania dokumentów i weryfikacji podpisów.

230 Przebieg procesu szyfrowania Korespondenci wymieniają się kluczami publicznymi Nadawca szyfruje wiadomość dla odbiorcy kluczem publicznym odbiorcy Tylko odbiorca może ją odczytać, gdyż tylko on ma swój klucz prywatny

231 Przebieg procesu podpisywania cyfrowego Korespondenci wymieniają się kluczami publicznymi Nadawca podpisuje wiadomość dla odbiorcy swoim kluczem prywatnym Odbiorca weryfikuje podpis za pomocą klucza publicznego nadawcy

232 Mechanizm podpisywania elektronicznego Tworzony jest tzw. skrót wiadomości, która ma być podpisana. Należy wyjaśnić, iż skrót jest utworzony w taki sposób, aby był unikalny dla danej wiadomości. Dba o to oprogramowanie szyfrujące Skrót jest następnie szyfrowany kluczem prywatnym twórcy wiadomości i załączany do oryginalnej wiadomości Wiadomość oraz jej zaszyfrowany skrót (który jest właśnie podpisem elektronicznym) są przesyłane do odbiorcy

233 Mechanizm weryfikowania podpisu Tworzony jest skrót otrzymanej wiadomości Skrót otrzymany od nadawcy jest odszyfrowywany kluczem publicznym nadawcy (odbiorca musi ten klucz posiadać) Jeśli dało się odszyfrować skrót przysłany przez nadawcę jego kluczem publicznym, to oznacza, że nadawca zaszyfrował skrót swoim kluczem prywatnym, więc można mieć pewność, że to nadawca jest faktycznym autorem wiadomości. Tylko nadawca ma dostęp do swojego klucza prywatnego, czyli to nadawca złożył podpis. Jeśli odszyfrowany skrót, jest taki sam jak utworzony skrót, to dodatkowo istnieje pewność, że wiadomość nie została po drodze do odbiorcy zmodyfikowana. Pamiętamy przecież, że skrót jest unikalny dla danej wiadomości.

234 Szyfrowanie wiadomości w komunikacji klient-serwer np. https Serwer wysyła klientowi tzw. certyfikat, który zawiera klucz publiczny serwera Klient generuje klucz sesji i szyfruje go kluczem publicznym serwera, następnie przesyła do serwera Dalszy ciąg komunikacji odbywa się przez kanał szyfrowany kluczem sesji (ale już z użyciem algorytmu symetrycznego dla uzyskania większej wydajności)

235 Ustalanie tożsamości serwera Serwer A przesyła klientowi (przeglądarce) certyfikat zawierający klucz publiczny Skąd wiemy, że to jest certyfikat prawdziwego serwera? Przeglądarka potrafi sprawdzić autentyczność certyfikatu serwera Używa do tego mechanizmu podpisu elektronicznego

236 Public Key Infrastructure (PKI) PKI to powszechny kryptosystem Certyfikaty serwerów są podpisywane kluczami prywatnymi organizacji CA (ang. Certification Authority) CA to tzw. zaufana strona trzecia CA zanim podpisze cokolwiek swoim kluczem prywatnym, sprawdza tożsamość osoby lub instytucji Przeglądarki internetowe posiadają listę certyfikatów znanych CA, mogą więc sprawdzać podpisy na certyfikatach serwerów z którymi się łączą

237 PKI PKI podlega standaryzacji Wystawiane certyfikaty muszą być w standardzie X.509

238 Informacje zawarte w certyfikacie X.509 Wersja standardu X.509 Numer seryjny certyfikatu Nazwa organizacji do której należy certyfikat (O) Nazwa jednostki organizacyjnej i nazwa pospolita (OU, CN) Okres ważności certyfikatu Dane o wystawcy certyfikatu (czyli o CA, które złożyło podpis na certyfikacie) Klucz publiczny Podpis wszystkich ww. informacji dokonany kluczem prywatnym CA

239 Oprogramowanie GnuPG Implementacja standardu OpenPGP OpenSSL Implementacja SSL v2, v3 (Netscape) i TLS v1 (IETF) /usr/lib/ssl/misc/ca.sh

240 Własne CA CA.sh --newca CA.sh --newreq CA.sh --sign

241 SSH (ang. Secure Shell) Umożliwia połączenia interaktywne Można też zestawić tunel: ssh -L 8081:absurd.mimuw.edu.pl:80

242 IDS IDS (Intrusion Detection System) to oprogramowanie mające za zadanie automatyczne wykrywanie włamań Przykładem dobrego oprogramowania IDS Open Source jest snort

243 Sieci komputerowe Wykład 12 Domain Name System (DNS)

244 DNS - wstęp System nazw domenowych to rozproszona baza danych Zapewnia odwzorowanie nazwy na adres IP i odwrotnie DNS jest oparty o model klient-serwer.

245 Baza danych DNS

246 Struktura przestrzeni nazw

247 Struktura przestrzeni nazw, c.d. Każdy węzeł drzewa ma etykietę tekstową o długości do 63 znaków Pusta etykieta o długości 0 jest zarezerwowana dla węzła głównego Pełna nazwa domenowa dowolnego węzła drzewa to sekwencja etykiet na ścieżce od tego węzła do węzła głównego. Jako separatora używa się kropki Taka pełna nazwa często nazywana jest FQDN (ang. Fully Qualified Domain Name)

248 Domena Domena jest to poddrzewo w przestrzeni nazw domenowych

249 Domeny najwyższego poziomu Niektóre domeny najwyższego poziomu: com, edu, mil, net, org, biz, info, tv, oraz skróty nazw państw wg standardu ISO 3166 Każda domena najwyższego poziomu posiada jeden rejestr rejestr to organizacja odpowiedzialna za utrzymywanie danych związanych ze strefą Rejestrator to pośrednik między klientem, a rejestrem (np. NASK...)

250 Delegowanie Organizacja zarządzająca domeną może ją podzielić na poddomeny. Domena nadrzędna zachowuje jedynie wskaźniki do źródeł danych (serwerów nazw) poddomeny, aby wiedzieć gdzie odsyłać pytających.

251 Domena i strefa Strefa i domena mogą mieć tą samą nazwę, ale zawierać inne węzły Strefa nie zawiera węzłów z oddelegowanych poddomen Strefa zawiera dużo mniej informacji niż domena, często jedynie wskaźniki do oddelegowanych poddomen. Ze strefą jest związany autorytatywny dla niej serwer nazw

252 Przykład strefy W powyższym przykładzie, strefa ca zawiera więcej informacji Powyższa strefa ca obsługuje nazwy w poddomenach bc.ca i sk.ca (poprzednio przechowywała jedynie informacje delegacyjne, które wyznaczały strefy bc.ca i

253 Strefy

254 Rezolwer Resolwer jest to klient, który łączy się z serwerem nazw Odpytuje serwer nazw Interpretuje odpowiedzi Zwraca informacje do programu, który ich zażądał Konfiguracja rezolwera w linuksie: /etc/resolv.conf

255 Rezolwer c.d. W linuksie korzysta się z funkcji #include <netdb.h> #include <sys/socket.h> struct hostent *gethostbyname(const char *name); struct hostent *gethostbyaddr(const void *addr, int len, int type); struct hostent { char *h_name; /* Official name of host. */ char **h_aliases; /* Alias list. */ int h_addrtype; /* Host address type. */ int h_length; /* Length of address. */ char **h_addr_list; /* List of addresses from name server. */ };

256 Odwzorowanie nazwy Rekursja Iteracja

257 Odwzorowywanie przykładowej nazwy Zapytanie klienta jest rekursywne

258 Odwzorowanie odwrotne domena inaddr.arpa Adresowi IP hosta winnie.corp.hp.com odpowiada węzeł w domenie in-addr.arpa o nazwie in-addr.arpa.

259 Konfiguracja strefy w programie bind ISC BIND (Berkeley Internet Name Domain) to implementacja DNS używana na systemach Unix Plik named.conf: zone "." IN { type hint; file "root.hint"; }; zone "mimuw.edu.pl" { type master; file "M/mimuw external.zone"; allow transfer { ; ; ; ; ; ; ; }; }; zone " in addr.arpa" { type master; file "M/mim96.rev"; allow transfer { ; ; ; ; ; ; ; ; };

260 root.hint NS A.ROOT SERVERS.NET. A.ROOT SERVERS.NET A A.ROOT SERVERS.NET AAAA 2001:503:BA3E::2: NS B.ROOT SERVERS.NET. B.ROOT SERVERS.NET A NS C.ROOT SERVERS.NET. C.ROOT SERVERS.NET A (...) NS M.ROOT SERVERS.NET. M.ROOT SERVERS.NET A M.ROOT SERVERS.NET AAAA 2001:dc3::35

261 Konfiguracja strefy c.d. Plik strefy (mimuw external.zone): ; mimuw zone hosts ; $TTL ; 1 IN SOA ns.mimuw.edu.pl. hostmaster.mimuw.edu.pl. ( ; Serial ; Refresh 8h 7200 ; Retry 2h ; Expire 1w ) ; Negative caching 1d IN NS ns.mimuw.edu.pl. IN NS zodiac.mimuw.edu.pl. IN NS ns1.net.icm.edu.pl. IN NS ns2.net.icm.edu.pl. ; ; mimuw.edu.pl. hosts ; IN MX 0 duch.mimuw.edu.pl. IN TXT "Mathematics, Informatics and Mechanics, Warsaw University" ; nie chcemy kolekcjonowac spamu ;* IN MX 30 duch.mimuw.edu.pl. absurd IN MX 30 duch.mimuw.edu.pl. hydra IN MX 30 duch.mimuw.edu.pl. $GENERATE dhcp$ A $ ip phone IN A zodiac IN A students IN CNAME zodiac.mimuw.edu.pl. absolwenci IN CNAME zodiac.mimuw.edu.pl. es3810 IN A asx IN A

262 Konfiguracja strefy Plik strefy odwzorowania odwrotnego: ; reverse address file ; ; hosts in Department of Mathematics, * ; ; ; mimuw.edu.pl revzone ; $TTL ; 1 day in addr.arpa. IN SOA ns.mimuw.edu.pl. hostmaster.mimuw.edu.pl. ( ; Serial ( ; Refresh 8h 7200 ; Retry 2h ; Expire 1w ) ; Negative 1d ; ; name servers for revzone ; IN NS ns.mimuw.edu.pl. IN NS zodiac.mimuw.edu.pl. IN NS ns1.net.icm.edu.pl. IN NS ns2.net.icm.edu.pl. ; ; hosts for revzone ; 1 IN PTR ns.mimuw.edu.pl. 2 IN PTR duch.mimuw.edu.pl. 3 IN PTR kenny.mimuw.edu.pl.

263 Delegowanie poddomeny Chcemy oddelegować poddomenę lk.mimuw.edu.pl do innego serwera nazw Umieszczamy w konfiguracji strefy mimuw.edu.pl następujące rekordy: lk IN NS ns1.lk.mimuw.edu.pl IN NS ns2.lk.mimuw.edu.pl. ns1.lk.mimuw.edu.pl IN A ns2.lk.mimuw.edu.pl IN A

264 Testowanie DNS Do odpytywania można używać poleceń host, dig lub nslookup Np.: host -t mx mimuw.edu.pl ns.mimuw.edu.pl ns.mimuw.edu.pl wyświetli rekord MX dla strefy mimuw.edu.pl, zostanie odpytany serwer ns.mimuw.edu.pl

265 Sieci Komputerowe Wykład 13 Dynamiczne protokoły rutowania

266 System Autonomiczny AS (ang. Autonomous System) to sieć lub zbiór sieci zarządzanych przez jedną organizację (np. UW) i realizujący spójną politykę rutingu AS jest identyfikowany za pomocą numeru 16 bitowego ASN (ang. Autonomous System Number) numery publiczne przydzielane przez RIR prywatne, nieprzydzielane 0 oraz zarezerwowane Numery AS są przydzielane przez RIR (dla Europy RIPE:

267 Rutowanie dynamiczne Zachodzi wtedy, gdy rutery informują się wzajemnie o dostępnych sieciach komunikacja następuje za pomocą protokołów rutowania Rutowanie dynamiczne nie zmienia obsługi procesu rutowania w warstwie IP przez jądro sytemu operacyjnego Na ruterze jest uruchamiany proces, który wprowadza wpisy do tablicy FIB automatycznie

268 Protokoły rutowania IGP (Interior Gateway Protocol) używany wewnątrz AS OSPF (Open Shortest Path First) obecnie szeroko stosowany RIP (stary protokół...) EGP (Exterior Gateway Protocol) zwykle używany do komunikacji ruterów z różnych AS BGPv4 (Border Gateway Protocol) RFC 4271 TCP, port 179 Internet, to BGP :)

269 IBGP i EBGP External i Interior BGP sesje połączeń między ruterami w ramach tego samego AS i różnych AS

270 Sesja BGP BGP wymaga utrzymywania połączenia, rutery z różnych AS powinny być połączone bezpośrednio tzw. sesja między peerami - peering komunikat BGP typu open wersja protokołu lokalny ASN tzw. hold-time identyfikator BGP adres IP interfejsu

271 Sesja BGP komunikat update dzięki niemu rutery wysyłają informacje o dostępności podsieci (tzw. prefiksów) wraz z atrybutami komunikat zawiera: długość pola opisującego prefiksy niedostępne niedostępne prefiksy rozmiar pola opisującego atrybuty ścieżek ścieżki (sekwencje numerów AS) wraz z atrybutami dostępne prefiksy komunikat notification informacja dla peera o błędzie zawiera kod błędu, oznacza koniec sesji BGP komunikat keep-alive podtrzymanie sesji, częstotliwość > hold-time

272 Wymiana Informacji między AS Aby sieci w dwóch różnych AS mogły się komunikować: Pierwszy AS musi rozgłosić swoje prefiksy do drugiego Drugi musi zaakceptować rozgłaszane prefiksy Drugi AS musi rozgłosić swoje prefiksy do pierwszego Pierwszy musi zaakceptować rozgłaszane prefiksy rozgłaszany prefiks to np /24

273 BGP - atrybuty Atrybuty opisują charakterystykę podsieci (prefiksu) otrzymanego lub rozgłaszanego za pośrednictwem BGP. Pozwalają na wybór optymalnej trasy, kontrolę rozgłaszanych informacji i mogą być określane przez administratora, tak aby realizować określoną politykę rutowania

274 Waga Atrybut lokalny dla rutera, nierozgłaszany nawet w ramach tego samego AS wybierana jest trasa o większej wadze

275 Local Preference Podobnie jak waga, służy do określenia punktu wyjścia dla ruchu wychodzącego poza AS (jeśli jest więcej niż 1 peering) Wartość local preference jest rozgłaszana w ramach tego samego AS

276 Local Preference c.d. Preferowana jest wyższa wartość więc ruch do /24 opuści AS 100 przez ruter B

277 MED Multi-Exit Discriminator (metric attribute) sugestia wyboru trasy do nas dla zewnętrznego AS, do którego rozgłaszamy MED dla danego prefiksu możemy wpływać na ruch przychodzący, o ile zewnętrzny AS nie korzysta z innych własnych atrybutów dla danego prefiksu wpływających na trasę do naszego AS

278 MED c.d. Preferowana jest trasa z mniejszą wartością metryki

279 Atrybut Origin Ten atrybut wskazuje, jak BGP uzyskał informacje o trasie: IGP EGP trasa jest trasą wewnętrzną dla danego AS trasa została uzyskana w wyniku ogłaszania przez zewnętrzny AS Incomplete nie jest znane pochodzenie informacji o trasie

280 Atrybut AS_path AS_path jest to sekwencja numerów AS. Gdy ogłoszenie prefiksu przechodzi przez jakiś AS, ASN jest dodawany i powstaje lista ścieżka Zapobiega pętlom

281 Next-Hop Next-hop to adres IP rutera przez który osiągalna jest rozgłaszana trasa

282 Community Umożliwiają znakowanie tras dla których mogą być podejmowane pewne decyzje, np. zmiana local preference u peera definiujemy znaczenie za pomocą liczby 32 bit ISP publikują listy honorowanych community i na tej podstawie mogą zmieniać politykę rutingu Są także predefiniowane communities: no-export nie ogłaszaj tras do zewnętrznych AS no-advertise nie ogłaszaj w ogóle, do żadnego peera internet ogłaszaj wszystkim

283 Community c.d. Trasa nie będzie wysłana poza AS 2

284 Bardzo ważne: filtrowanie ip as-path access-list 10 permit.*.* - cokolwiek ^$ - trasy lokalne dla danego AS _100$ - trasy stworzone w AS 100 ^100_ - trasy otrzymane z AS 100 _100_ - trasy przez AS 100 _200_100_ - trasy przez AS100, następnie przez AS 200 ip prefix-list cisco seq 10 permit /0 le 19 Dopuszcza trasy z maską co najmniej (less or equal) 19 bitów

285 Podejmowanie decyzji o wyborze ścieżki BGP wybiera tylko jedną trasę, umieszcza ją w tablicy rutowania IP i (ewentualnie) rozgłasza Uwzględniane kryteria wyboru trasy w następującej kolejności: Nie uwzględniaj ścieżki, dla której next-hop jest nieosiagalny Preferuj trasę z większą wagą Jeśli wagi są takie same, uwzględnij większą wartość local preference Preferuj trasę z krótszym AS_path Jeśli wszystkie ścieżki mają taki sam AS_path, uwzględnij tę z mniejszym atrybutem origin IGP<EGP<incomplete

286 Podejmowanie decyzji o wyborze ścieżki c.d. Jeśli atrybuty origin są takie same, uwzględnij najmniejszą wartość MED Jeśli wartość MED jest taka sama, preferuj ścieżkę zewnętrzną Jeśli ścieżki są takie same wybierz ścieżkę przez ruter bliższy w sensie IGP W końcu uwzględnij najmniejszą wartość adresu IP, odczytaną z komunikatu BGP

287 Kiedy nie potrzebujemy BGP Jeden provider i jedno łącze wystarczy default route... Jeden provider, dwa łącza z inną adresacją wystarczy skonfigurować policy routing

288 Kiedy BGP jest potrzebne 2 ISP redundancja możliwość stosowania własnej polityki routingu, rozkładanie obciążenia Tranzyt przez nasz AS do innych AS

289 Problemy z BGP Rozgłaszanie prefiksów nieprzydzielonych lub należących do klas prywatnych: 1/8, 2/8, 10/8 stosowanie filtrowania (tzw. bogon filters) spowodowały kiedyś problemy z neostradą 83/11 ip prefix-list bogons seq 5 deny /8 należy uaktualniać filtrowaną listę prefiksów bogons:

290 Liczba prefixów w tablicach FIB