Organizacja - - - - -

Sieci komputerowe Strona 1 Organizacja 17 lutego 2010 12:19 1) 2) 3) 4) 5) będzie egzamin zerowy na ostatnich zajęciach, jest to dodatkowy termin niezależny od egzaminów w sesji ocena = 2 * wynik_egzaminu + wynik_laba należy zaliczyć laba egzamin zwykle na 20 punktów projekt można oddać po terminie zerowym egzaminu, ale dokładna data oddania jest ustala przez prowadzącego laba oficjalne slajdy w moodlu Richard Stevens: Biblia TCP/IP, tom I Protokoły, wydawnictwo RM, Warszawa 1998 (dobra, ale stara) Douglas E. Comer: Sieci komputerowe i intersieci, WNT 2003 InternetworkingTechnology Handbook: http://www.cisco.com/en/us/docs/internetworking/technology/handbook/ito_doc.html Stevens, Unix, programowanie usług sieciowych tom I, WNT, Warszawa 2009 (dobra na laba) http://cia.mimuw.edu.pl/sieci/ Konsultacje przed egzmainem piątek 10 14 poniedziałek 10 18

Sieci komputerowe Strona 2 Model warstwowy 17 lutego 2010 12:29 Protokoły obecnie właściwie tylko TCP/IP Podział sieci komputerowych ze względu na odległość WAN (Wide Area Networks) MAN (Netropolitan Area Networks) LAN (Local Area Networks) ze względu na topologie połączeń szyna gwiazda punkt punkt Topologie sieci logiczne sposób propagacji sygnału fizyczne układ okablowania Nośniki kabel miedziany 100 m bez urządzeń aktywnych światłowód 100 km Komutacja pakietów i łączy komutacja łączy (kanałów, obwodów) zestawienie kanału komunikacyjnego i zarezerwowanie go w czasie trwania połączenia komutacja pakietów dzielenie strumienia danych na fragmenty (pakiety) każdy pakiet może posiadać adres każdy pakiet może być inaczej trasowany (routing) Właściwości komutowania pakietów połączenia miedzy wieloma użytkownikami efektywność odporność na awarie elementów sieci pakiety mogą docierać w innej kolejności niż zostały wybrane

Sieci komputerowe Strona 3 Historia TCP/IP Filozofia odporność na awarię systemu brak serwerów centralnych 1958 Powołano w USA agencję rządową ARPA (Adyanced Research Projects Agency) 1968 ARPAnet, protokół NCP koncepcja przełączania pakietów 1972 Sieć ARPAnet została upubliczniona Francuzi też mieli coś w stylu ARPAnetu 1975 Xerox Ethernet (LAN) 198010Mb Ethernet (DEC, Intel i Xerox) 1980 Oddzielenie wojskowego ARPAnetu od części akademickiej, cześć akademicką zaczęto nazywać Internetem 1983 ARPAnet używa TCP/IP 1984 lpv4 (adresy 32 bitowe) 1999 lpv6 (adresy 128 bitowe) Organizacje związane z rozwojem Internetu IETF (Internet Engineering Task Force) Grupy robocze: IESG (Internet Engineering Steering Group) lab (Internet Architecture Board) RFC editor generuje RFC ICANN (The Internet Corporation for Assigned Names and Numbers) IANA (Internet Assigned Numbers Authority) ISC (Internet System Consortium) np. BIND, DHCPD W3C (World Wide Web Consortium) np. HTML, XHTML, HTTP, CSS IEEE (Institute of Electrical and Electronics Engineers) np. Ethernet, WIFI, FireWire, Bluetooth Model warstwowy TCP/IP 1) 2) 3) w modelu TCP/IP zostały wyróżnione cztery warstwy każdej z warstw odpowiadają pewne protokoły modyfikacja protokołu jednej warstwy nie powinno modyfikować innych warstw implementacją tego modelu jest stos TCP/IP warstwa aplikacji umożliwia przesyłanie danych utworzonych przez oprogramowanie (za pomocą protokołów warstwy transportu) warstwa transportu może zapewnić niezawodne dostarczenie danych utworzonych przez warstwę aplikacji (jeśli użyto TCP) UDP zapewnia transport bez potwierdzeń (zysk szybkościowy) realizuje multipleksację (dostarcza dane do odpowiedniego programu) warstwa sieciowa

Sieci komputerowe Strona 4 3) 4) warstwa sieciowa zapewnia globalną adresację logiczną znajomość adresu umożliwia routerom przesyłanie danych zwykle do hosta wybierana jest trasa optymalna trasa może ulegać zmianom zatem pakiety mogą docierać w różnej kolejności) warstwa interfejsu sieciowego umożliwia przesyłanie danych przez sieć fizyczną zapewnia adresację fizyczną (MAC) dotyczącą danego segmentu sieci trochę drutologii odpowiada za dostarczenie do kolejnego routera Enkapsulacja podczas przepływu danych są one opakowywane kolejnymi nagłówkami, właściwymi dla danej warstwy informacje zawarte w nagłówku są związane z funkcją danej warstwy w IP są to adresy źródła i przeznaczania Model warstwowy ISO/OSI miał zapewnić standaryzację pomiędzy urządzeniami różnych producentów siedem warstw aby pogodzić IPX/SPX, AppleTalk itd nigdy nie zaimplementowane TCP/IP stał się zbyt popularny

Sieci komputerowe Strona 5 istotne jest rozbicie warstwy interfejsu sieciowego na warstwę fizyczną warstwę łącza danych Funkcje warstw modelu OSI model OSI jest modelem odniesienia używany do przedstawiania zasad funkcjonowania istniejących protokołów

Sieci komputerowe Strona 6

Sieci komputerowe Strona 7 Warstwa fizyczna 24 lutego 2010 12:24 warstwa fizyczna określa rodzaj medium transmisyjnego sposób kodowania bitów, zakres napięć definiuje złącza kilka rodzajów złącz światłowodowych Media transmisyjne zwykłe linie (tzw. linie długie) rodzaje linii transmisyjnych symetryczne (skrętka) współosiowe (kabel koncentryczny) w liniach transmisyjnych występują zjawiska falowe napięcie w różnych miejscach kabla jest funkcją nie tylko czasu lecz również odległości zasięg skrętki 100 m światłowody jednomodowe (SM) wielomodowe (MM) zasięg nawet do 100 km Propagowanie sygnału w sieciach miedzianych Zjawiska Tłumienie Jest związane z parametrami konstrukcyjnymi kabla, np. rezystancją (opornością), upływnością dielektryka Tłumienie rośnie wraz z częstotliwością, np. wskutek zjawiska naskórkowości zjawisko naskórkowości gęstość prądu zmiennego jest większa przy powierzchni przewodnika im większa częstotliwość, tym większy opór Dyspersja, opóźnienie Składowe sygnału o różnych częstotliwościachrozchodzą się w linii długiej z różną prędkością, powoduje to zniekształcenie sygnału Odbicia kiedy mieszamy przy impedancji charakterystycznej Zakłócenia zwykła skrętka jest bardzo podatna na zakłócenia, kabel koncentryczny stosunkowo odporny sygnał cyfrowy okresowy można rozłożyć na składowe harmoniczne szeregi Fouriera Kodowanie Manchester był stosowany w sieciach 10Mb MLT3 np. (100 BASETX) niższa częstotliwość mniej niekorzystnych zjawisk przetwarzaniem zajmują się układy DSP Ethernet IEEE 802.3, 802.3u standardy określają warstwę fizyczną oraz łącza danych

Sieci komputerowe Strona 8 Warstwa fizyczna sieci Ethernet okablowanie skrętka UTP (Unshielded Twisted Pair) i STP (Shielded Twisted Pair) światłowody wielomodowe (multimode MM) i jednomodowe (singemode SM) złącza RJ45 (dla skrętki) SC, LC i starszy ST (dla światłowodów) przepustowość 10 Mb, 100Mb, 1Gb, 10Gb Skrętka UTP (ang. Unshielded Twisted Pair) STP (ekranowane pary) FTP (ang. Foiled Twisted Pair) ekranowana całość TX nadawanie, RX odbieranie

Sieci komputerowe Strona 9 niektóre przełączniki i karty sieciowe obsługują tzw. auto MDIX można stosować dowolny typ kabla Gigabit Ethernet (1000BaseT) używane są wszystkie 4 pary kabli, więc trzeba porządnie krosować PoE Power over Ethernet PoE (ang. Power over Ethernet), 802.3af zasilanie acces pointów, ip phonów umożliwia zasilanie urządzeń za pomocą skrętki bardzo wygodne np. dla urządzeń AP WIFI j. niebieski oraz niebieski + j. brązowy oraz brązowy 48V, 350mA w wyniku wykorzystania dość wysokiego napięcia(granica bezpieczeństwa dla napięć stałych) można uzyskać sporą moc konieczność zastosowania wysokiej wartości napięcia wynika z małego przekroju żyły miedzianej w skrętce UTP/STP/FTP przesłuchy niekorzystne oddziaływanie różnych par skrętki na siebie kategoria 6a sprzedawana jest czasem jako 7 6 wystarcza na 10G do 55 m przy zakupach należy zwracać uwagę na cały osprzęt (łącznie z gniazdkami) Przewody koncentryczne niegdyś korzystano ze standardu Ethernet na kablach koncentrycznych Światłowody

Sieci komputerowe Strona 10 tylko światłowody jednomodowe zapewniają komunikację na wiele kilometrów, wielomodowe na mniejsze odległości Wielomodowość i jednomodowość Wielomodowe: występuje dyspersja międzymodowa oraz chromatyczna dyspersja międzymodowaróżne wiązki światła biegną różną drogą, więc pojawiają się na wyjściu z różnym czasem Jednomodowe (stosowane przy dużych odległościach) występuje tylko dyspersja chromatyczna dyspersja chromatyczna światło nie ma dokładnie jednej barwy i częstotliwości Złącze SC

Sieci komputerowe Strona 11 Złącze LC obecnie najpopularniejsze Złącze ST niegdyś stosowane Zalety i wady światłowodów Zalety: Są niewrażliwe na zakłócenia EMI

Sieci komputerowe Strona 12 Są niewrażliwe na zakłócenia EMI Nie powodują zakłóceń EMI Można uzyskać duże przepustowości i odległości transmisji Bezpieczeństwo transmisji Wady: Drogie urządzenia (szczególnie SM) Trudny i kosztowny montaż złącz i osprzętu Mała odporność na uszkodzenia mechaniczne Standardy Ethernetu różne standardy światłowodów nie są zgodne Autonegocjacja zapewnia możliwość współpracy urządzeń różnych standardów współczesne switche pracują w trybach 10 / 100 / 1000 urządzenia światłowodowe raczej nie będą współpracować realizowana w warstwie fizycznej Okablowanie strukturalne, LAN

Sieci komputerowe Strona 13 kable druciane i linkowe końcówki do linki i drutu są różne drut montujemy w ścianie, linki do krótkich połączeń poza ścianą warkoczy kabli nie można zbyt mocno ściskać istnieją krosownice światłowodowe

Sieci komputerowe Strona 14 Warstwa łącza, sprzęt i topologie sieci Ethernet 3 marca 2010 13:16 Zadania warstwy łącza Organizacja bitów danych w tzw. ramki Adresacja fizyczna urządzeń Wykrywanie błędów to nie ma być naprawianie Multipleksacja (dostarczanie danych do odpowiedniego protokołu warstwy wyższej) Sposób dostęp do medium (w przypadku Ethernetu: CSMA/CD) rozstrzyga, kiedy medium może być użyte Adresacja Ethernet Ethernet korzysta z adresów tzw. sprzętowych, zwanych adresami MAC (MAC Media Access Control) Adres jest przypisany na stałe do karty sieciowej Adresy są 48 bitowe np.: 00:0d:61:b0:14:79 Pierwsze 3 bajty określają producenta karty sieciowej Adres ff:ff:ff:ff:ff:ff jest adresem rozgłoszeniowym (ang. broadcast) Ramki Ethernet ramka Ethernet II jest najczęściej używana typy protokołów 800 szesnastkowo to IP http://www.isi.edu/innotes/rfc1700.txt DSAP destination service acces point obecnie nie używane SSAP source service acces point obecnie nie używane cntrl i org code obecnie również nie używane w Ethernet II koniec ramki jest sygnalizowany odpowiednimi sygnałami elektrycznymi (warstwa fizyczna) długość danych dla 802.2/802.3 nie mogą się pojawiać numery protokołów warstwa łącza dostarcza dane do odpowiedniego protokołu warstwy wyższej Sieć w standardzie 10BASE2

Sieci komputerowe Strona 15 Taka sieć nie wykorzystywała żadnych dodatkowych urządzeń Połączenia tworzą jedną szynę elektryczną występują kolizje Dla unikania kolizji stosuje się mechanizm CSMA/CD CS (Carrier Sense) urządzenia nasłuchują medium jeśli jest wolne, można zacząć transmisję MA (Multiple Access) każde urządzenie ma dostęp do medium CD (Collision Detection) gdy urządzeniarozpoczną nadawanie w tym samym momencie, dochodzi do kolizji. Generowany jest sygnał, który świadczy o nieważności danych po odczekaniu pewnego czasu węzeł próbuje ponownie rozpocząć transmisję czas ten może być zwiększany w wypadku występowania kolejnych kolizji skutkiem stosowania CSMA/CD wykrywanie kolizji prowadzi do zmniejszania liczny wysyłanych ramek spada wydajność sieci sieć byłabardzo awaryjna Sieć w standardzie 10BASET oparta o HUB również występują kolizje uszkodzenie jednego kabla nie powoduje wyłączenia sieci bazuje na koncentratorze (HUBie) HUB powiela sygnały na wszystkich portach nie dało się zrobić fullduplexu stacja nie mogła jednocześnie nadawać i odbierać HUBy łączyło się w kaskady całą sieć tworzy jedną domenę kolizyjną topologia fizyczna to gwiazda, logiczna to szyna Mosty ograniczały domeny kolizyjne

Sieci komputerowe Strona 16 1) 2) most spamiętywał adresy MAC dla wszystkich intefejsów Przełączniki łączy (generalnie pojedyncze) MACadresy z interfejsam jeśli MAC adres nie jest znany, to switch wysyła na wszystkie interfejsy ramki broadcast są również rozsyłane wszędzie duże przełączniki programowalne mają nawet systemy operacyjne np. IOS czasami przeszukuje się tablice MACadresów, żeby dowiedzieć się, co jest gdzie podłączone odwzorowania wiele do wielu oznaczają łącza pomiędzy switchami możliwa jest praca w trybie fullduplex domena kolizyjna ograniczona do pary: karta sieciowa port przełącznika CSMA/CD nie wpływa na wydajność Techniki przełączania cutthrough Ramka jest przekazywana na port docelowy natychmiast (gdy tylko zostaną odczytane adresy przeznaczenia i źródła) problem polega na tym, że dane kontrolne znajdują się na końcu, więc nie da się odrzucać wadliwych ramek 10 mikrosekund storeandforward Ramka jest zapamiętywana w całości, następnie po odczytaniu adresów przeznaczenia i źródła, jest przekazywana na właściwy port umożliwi odrzucanie wadliwych ramek wolniejsze o rząd wielkości od cut through (100 mikrosekund) Topologie fizyczne i logiczne Współczesne sieci LAN oparte o przełączniki Nadmiarowość połączeń dla zapewnienia niezawodności powoduje pętle (przełącznik musi obsługiwać protokół Spanning Tree) Separacja portów (aby była możliwa, przełącznik musi obsługiwać tzw. VLANy) ograniczenie domen broadcastowych Inne protokoły warstwy łącza PPP autentykacja(pap, CHAP) Ethernet tego nie umożliwiał kompresja

Sieci komputerowe Strona 17 kompresja ATM dzielił pakiety na bardzo małe paczki, umożliwiając tworzenie kanałów wirtualnych QoS Kanały wirtualne HDLC protokół podobny do PPP, lecz bez autentykacji używany przez CISCO do łącz pointtopoint obecnie rzadko stosowany

Sieci komputerowe Strona 18 Adresacja IP 10 marca 2010 13:17 Zadania warstwy sieciowej Adresacja logiczna adres MAC zmienia się po drodze Trasowanie (ang. routing) Urządzenia pracujące w warstwie trzeciej nazywaj się ruterami. Fragmentacja i defragmentacja danych (w razie potrzeby) Adres IP składa się z czterech oktetów adres IP przypisany jest do interfejsu sieciowego komputera ifconfig eth0 10.0.2.6.1 netmask 255.255.255.0 ip addr add 10.2.6.1/24 dev eth0 Przydzielanie adresów alokacją adresów zajmuje się IANA (Internet Assigned Number Authority) IANA przydziela adresy dla RIR (Reegional Internet Registry) Dla Europy RIR to RIPE NCC Inne RIR ARIN APNIC LACNIC AFRINIC host google.com odpytuje dnsa o adres Sposób przydziału adresów IANA > RIR (Regional Internet Registries) > NIR (National Internet Registries)> ISP (biura lokalne, najczęściej po prostu operator) Klasy adresów IP

Sieci komputerowe Strona 19 obecnie klasy nie są stosowane Klasy prywatne nierutowane w Internecie przeznaczone do wykorzystania w sieciach, w których stosuje się NAT Formaty adresów dla sieci 130.4.0.0 adres 130.4.0.0 to adres sieci, 130.4.255.255 to adres rozgłoszeniowy (broadcast) Komunikacja w sieci lokalnej komunikacja bezpośrednia, w Internecie przez ruter Maska sieci Maska została wprowadzona ze względu na mało efektywny sztywny podział adresów na klasy Służy do określenia dla danego adresu IP adresu podsieci (umożliwia elastyczny podział adresacji na podsieci) Maski odpowiadające klasom adresów Klasa A maska 255.0.0.0 Klasa B maska 255.255.0.0 Klasa C maska 255.255.255.0 adres sieci uzyskuje się robiąc maska && adres_ip Zastosowanie maski 255.255.255.0 dla adresu klasy B: NNNNNNNN.NNNNNNN.SSSSSSSSS.HHHHHHHH N network, S subnet, H host Spowodowało to powstanie 2^8 podsieci Np. dla sieci 150.150.0.0 i maski 255.255.255.0, powstaną następujące podsieci: 150.150.0.0, 150.150.1.0, 150.150.2.0 itd. aż do 150.150.255.0 w każdej z powyższych podsieci można zaadresować 2^82 hostów Zapis maski w postaci prefiksowej 150.150.2.1/24 odpowiada zapisowi 150.150.2.1255.255.255.0 255.255.255.0 binarnie: 11111111 11111111 1111111100000000 /24(czyt. slash 24) ilośćcyfr 1 w masce, dlamaski np. 255.255.255.0 wynosi 24 Trudniejsze maski (VLSM Variable Length Subnet Masking) można stosować różne maski dla danej klasy adresu

Sieci komputerowe Strona 20 nie składa się z pełnych oktetów jedynek np. 255.255.255.192 klasy a maski: A >/8 B >/16 C >/24 Zastosujmy maskę 255.255.255.192 (/26) dla adresu klasy C: NNNNNNNN.NNNNNNN.NNNNNNNN.SSHHHHHH Uzyskaliśmy 2^2 podsieci Np. dla 193.0.96.0/26 uzyskamy podsieci: 193.0.96.0, 193.0.96.64, 193.0.96.128, 193.0.96.192 W każdej podsieci można zaadresować 2^6 2 hostów najmniejsza porcja adresów ip w podsieci to 4 dwa zawsze się marnują Adres rozgłoszeniowy służy do wykonywania transmisji do wszystkich hostów w danej podsieci aby określić adres broadcast należy zamienić bity określające adresy hostów na 1 ipcalc dla Linuksa ułatwia liczenie Routing IP Routing (rutowanie, trasowanie) to decyzja dotycząca skierowania pakietu IP do routera lub komputera podejmowana zazwyczaj w oparciu o docelowy adres IP Jądro systemu operacyjnego podejmuje ww. decyzję na podstawie wpisu do tablicy FIB (ang. Forwarding Information Base) Można także wpływać na trasy uwzględniając m.in. źródłowy adres IP (tzw. policy routing) W linuksie pakiet iproute2 (polecenie ip)

Sieci komputerowe Strona 21 Routing statyczny Ruter podejmuje decyzję o skierowaniu pakietu na podstawie ręcznego (statycznego) wpisu do tablicy rutingu Dodawanie statyczne wpisu do tablicy rutingu: route add net 192.168.0.0/24 gw cob.mimuw.edu.pl ip r add 192.168.0.0/24 via cob.mimuw.edu.pl 255.255.255.255 standardowy broadcast wykorzystywany zanim otrzymamy IP Routing dynamiczny nie trzeba dodawać wpisów ręcznie informacje o dostępnych podsieciach są rozgłaszane (służą do tego odpowiednie protokoły) "ubuntu to stare afrykańskie słowo wyrażające "nie umiem zainstalować Debiana"" Sumaryzacja rozgłaszanych podsieci można rozgłaszać wiele podsieci rozgłaszając tylko jedną sieć "klasową" Przykład adresacji

Sieci komputerowe Strona 22 rutery też muszą mieć swoje adresy! teraz należy skonfigurować routing użyjemy rutingu statycznego należy dokonać odpowiednich wpisów do tablicy rutowania route add net 193.0.96.0/26 gw 193.0.96.193 eth1 route add net 193.0.96.64/26 gw 193.0.96.194 eth1 Jeśli używamy dynamicznego protokołu rutowania, nie trzeba ręcznie modyfikować tablicy rutowania VLSM(Variable Lenght Subnet Masking) Można stosować różne maski dla danej klasy adresu Umożliwia lepsze wykorzystanie adresów CIDR(Clasless Interdomain Routing) CIDR jest uogólnieniem VLSM, rozgłaszana sieć nie musi uwzględniać klas (maska/22) route add net 193.0.96.0/26 gw 193.0.96.193 eth1 route add net 193.0.96.64/26 gw 193.0.96.194 eth1 Protokół ARP ARP (Address Resolution Protocol) umożliwia znalezienie adresu fizycznego (MAC) odpowiadającego adresowi IP Zapytanie i odpowiedź ARP zawarte są w ramce Ethernet Zapytania ARP wykorzystująmechanizmbroadcast Ethernetu Adres MAC docelowy jest ustawiany na wartość: ff:ff:ff:ff:ff:ff Polecenie arp Mapowania adresów IP na MAC są przechowywane w pamięci podręcznej ARP (dla zwiększenia wydajności) Polecenie arp służy do manipulowania wpisami do pamięci ARP fajne polecenie: arp an Protokół RARP i BOOTP RARP (Reverse ARP zapewnia odwzorowanie odwrotne w porównaniu z ARP MAC na IP Bootp dodatkowo udostępnia jeszcze inne dane

Sieci komputerowe Strona 23 ramka RARP ma taki sam format, jak ramka ARP, wobec tego dostarcza zbyt mało informacji protokół RARP nie jest część implementacji stosu TCP/IP Protokół DHCP BOOTP i DHCP stosuje się do konfiguracji interfejsów sieciowych hostów DHCPDISCOVER broadcast na adres 255.255.255.255 DHCP używa UDP jako protokołu transportowego (port 67) Discover powoduje, iż serwer lub serwery DHCP powinny przedstawić ofertę DHCPOFFER oferta dla klienta w postaci adresu IP i zwykle innych informacji, jak np. maska, DNS, nazwa hosta, routing statyczny, adres serwera TFTP, nazwa domeny, root path, bootfile name i wiele innych DHCPREQUEST klient może uzyskać odpowiedź od wielu klientów akceptuje ofertę od jednego pozostałe otrzymują w DHCPREQUEST informacje o tym, że ich oferta została odrzucona DHCPREQUEST jest wysyłany jako broadcast DHCPACK wysyłane przez serwer do klienta ostatnia faza konfiguracji, klient może rozpocząć korzystanie z otrzymanych informacji serwer przydziela czas dzierżawy DHCPNAK gdy klient poprosił o niewłaściwy adres IP DHCPDECLINE gdy klient stwierdzi, że otrzymał wykorzystywany już w sieci adres DGCPRELEASE zakończenie korzystania z danego IP DHCP zarządzanie adresacją pula adresów, możliwe przydzielanie dynamiczne (z limitem czasu dzierżawy) zamiast tego można wiązać IP z MAC zalety DHCP łatwa konfiguracja stacji roboczych łatwość wprowadzania zmian w adresacji konfiguracja statyczna jest niewygodna ale zalecana np. dla serwerów usług gdy dzierżawa kończy się, klient może wysłać DHCPREQUEST aby przedłużono mu czas dzierżawy przed wysłaniem DHCPDISCOVER wysyła się DHCPREQUEST, aby odzyskać dawny adres, jeśli się da DHCP a bezpieczeństwo podstawowy problem to uruchomienie innego serwera DHCP może oferować inne adresy serwerów DNS przechwytywanie pakietów

Sieci komputerowe Strona 24 może oferować inne adresy serwerów DNS przechwytywanie pakietów ciężko toto wykryć trzeba blokować porty na switchu popularna implementacja: isc dhcp konfiguracja serwera w /etc/dhcpd.conf wpis authoritative: serwer nie autorytatywny poproszony o niepoprawny adres IP nie odpowie nic klient będzie pytał kilka minut, zanim pośle DHCPDISCOVER serwer autorytatywny odpowie na prośbę o niepoprawny adres IP DHCPNAK Nagłówek protokołu IP długość nagłówka to 20 bajtów (bez pola opcje) MTU maximum transfer unit największy kawałek danych wysyłany jednym komunikatem (1500 dla Ethernetu) Pierwsze, 4bitowe pole zawiera numer wersji protokołu IP (dla IPv4 jest to 4) Kolejne 4bitowe pole zawiera długość samego nagłówka protokołu (bez danych) Następne 8 bitów prezentuje tzw. "typ usługi"(ang. Type of Service). Jest to najbardziej podstawowy sposób wyznaczania priorytetu danego datagramu Kolejnym 16bitowym polem jest całkowitadługość pakietu (razem z danymi). Jego długość (wynosząca 2^16) umożliwia ustawienie rozmiaru datagramu na 65536 bajtów Kolejne 16bitowe pole to numer identyfikacyjny, służy do fragmentacji i defragmentacji datagramów Dalsze 3bitowe pole to znaczniki, używaneprzy fragmentacji datagramów Następne 13bitowe pole służy do odpowiedniego oznaczania fragmentów datagramów Pole TTL (8 bitów) to czas życia pakietów (ang.time To Live). Jest to liczba z zakresu 0255. Przy trasowaniu pakietu przez router jest ona zmniejszana o jeden. W momencie osiągnięcia przez TTL wartości 0, pakiet nie jest dalej przekazywany Kolejne, 8bitowe określa rodzaj protokołu warstwy wyższej, takimi jak TCP czy UDP Następnym polem jest suma kontrolna nagłówka datagramu Dalsze pola zawierająadresy źródłowy iprzeznaczenia. Na ich podstawie można określić pochodzenie i miejsce docelowe datagramu w sieci Ostatnim, 32bitowym polem są opcje, które w normalnej transmisji zwykle nie są używane można wymusić (za pomocą odpowiedniego znacznika) zakaz fragmentacji w ten sposób można znaleźć wąskie gardło sieci ruter z najmniejszym MTU Fragmentacja W kolejnych fragmentach nie ma nagłówka UDP albo TCP W przypadku pierwszego fragmentu, numer identyfikacyjny może mieć wartość np. 26304, pole przesunięcie fragmentacji będzie miało wartość 0 W przypadku drugiego fragmentu wartość numeru identyfikacyjnego pozostaje ta sama, natomiast przesunięcie fragmentacji będzie równe 1480. Oznacza to, że drugi fragment zaczyna się po 1480 bajcie oryginalnego datagramu Terminologia Porcję danych w warstwie łącza nazywamy ramką W warstwie sieciowej jest to datagram lub pakiet W warstwie transportu stosujemy nazwę segment

Sieci komputerowe Strona 25 Współczesne sieci Ethernet 31 marca 2010 12:20 Współcześnie wykorzystywane technologie generalnie w sprzęcie lepszej klasy VLAN, VTP, GVPR sieci wirtualne STP spanning tree VLAN sieć LAN tworzy wspólną domenę broadcastową VLAN (Virtual LAN) pozwala na wydzielenie określonych portów przełącznika tak, aby tworzyły własną domenę broadcastową wymiana ruchu pomiędzy portami pracującymi w różnych VLANach wymaga rutera Sieć bez przełączników z obsługą VLAN należy użyć dwóch przełączników przełączniki podłączamy do rutera odrębnym łączem Sieć oparta o przełączniki z obsługą VLAN Propagowanie informacji o VLANach Porty należące do wielu przełączników również mogą pracować we wspólnym VLANie Jest to możliwe dzięki znakowaniu (tzw. tagowaniu) ramek, które są przekazywane między przełącznikami (po łączu Trunk) łącze Trunk jest zwykłym łączem

Sieci komputerowe Strona 26 łącze Trunk jest zwykłym łączem interfejsy do Trunka muszą być specjalnie skonfigurowane Protokoły znakowania ramek Ramki musząbyćoznakowane wartościąvlanid, aby było wiadomo do którego VLANu należy ramka. Do znakowania używa się standardów 802.1q oraz ISL IEEE 802.1q Jest to standard IEEE, może być używany w przełącznikach różnych producentów Cisco ISL (InterSwitch Link) Jest protokołem charakterystycznym dla Cisco i jest obsługiwany jedynie przez urządzenia tej firmy Nagłówek 802.1q Nagłówek taki różni się od nagłówka Ethernet zawartością jednego dodatkowego pola Pole TAG zawiera 12 bitowy identyfikator VLANu (tzw. VLAN ID) Nagłówek ISL ISL nie dodaje pola, enkapsuluje całą ramkę Ethernet za 26 bajtowym nagłówkiem ISL ISL (tak jak 802.1q) pozwala na stosowanie 12 bitowych identyfikatorów VLAN Przekazywanie ruchu między VLANami potrzeba trzech interfejsów rutera

Sieci komputerowe Strona 27 ruter z portem Fast Ethernet z obsługą trunk interfejsy 10Mb nie obsługują trybu trunk VLANy drukarkowe (drukarka podłączona do serwera wydruku) VTP VLAN Trunking Protocol (VTP) Generalnie jest to protokół administracyjny do zarządznia VLANami Umożliwia zakładanie VLANów tylko na jednym przełączniku jest to bardzowygodne do pozostałych informacje rozsyłają się Działa tylko na urządzeniach firmy Cisco GVRP (Group VLAN Registration Protocol) ma podobną funkcjonalność, jest stosowany w urządzeniach innych firm VTP prunning Broadcasty nie są przekazywane do przełączników, które nie mają portów w danym VLANie. Pozwala to oszczędzać pasmo, warto więc włączyć VTP prunning należy uważać przy stosowaniu sprzętu różnych producentów MVRP Multiple VLAN Registration Protocol zastępuje GVRP Protokół Spanning Tree

Sieci komputerowe Strona 28 stosowanie STP umożliwia realizowanie połączeń redundantnych możemy mieć cykle w grafie sieci unikamy sztormu broadcastowego jeśli połączenie główne padnie, wówczas odblokowywane jest zapasowe Działanie STP chcemy blokować najwolniejsze interfejsy tzw. root switch rozgłasza komunikaty BPDU (ang. Brigde Protocol Data Unit) co 2 sekundy Każdy przekazywany komunikat oznaczany jest pewnym kosztem w zależności od kosztu interfejsu do którego przychodzi Interfejs SW3 0/27 zostanie zablokowany Koszty różnych interfejsów

Sieci komputerowe Strona 29 Koszty różnych interfejsów STP umożliwia ustawianie pewnych portów w stan blocking, tak aby nie dopuścić do krążenia ramek STP pozwala na stosowanie połączeń zapasowych, w momencie uszkodzenia któregoś łącza porty mogą zmienić stan z blocking na forwarding Standardowo STP jest włączone Implementacje STP(IEEE 802.1D) czas reakcji na zmianę topologii wynosi kilkadziesiąt sekund BPDU Guard filtrowanie pakietów BPDU wyłączenie switcha z protokołu STP odseparowanie domen portfast Cisco podpięcie się do portu jest natychmiastowe port ma ustawione forwarding, a dopiero później spanning tree kombinuje (najwyżej blokuje) RSTP (Rapid STP IEEE 802.1w) czas reakcji na poziomie kilku sekund zastąpił STP standardowo jest port fast PVSTP (Per VLAN STP Cisco) RPVST (Rapid PVSTP Cisco) MSTP (Multiple STP IEEE 802.1s, później włączono do 802.1Q) UDLD Undirectional Link Detection wykrywa jednokierunkowe połączenia jeśli odepnie się nam jedno z włókien światłowodu STP tego nie wykryje potrafi zablokować port uzupełnia STP metody wykrywania normalna wykrywa np. łącza światłowodowe agresywna działa na skrętkach

Sieci komputerowe Strona 30 TCP / UDP 17 kwietnia 2010 20:22 Zadania warstwy transportu Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja) Kontrola przepływu Przesyłanie strumienia bajtów(z wejścia) Porty numery portów 16 bitowe używanie numerów poniżej 1024 wymaga roota są to porty dedykowane 21 FTP 22 SSH 23 TELNET 25 SMTP 53 DNS 80 HTTP 109 POP2 110 POP3 (więcej w /etc/services gniazda umożliwiają wielu aplikacjom jednoczesną komunikację gniazdo określone jest poprzez adres IP + port $ cat /proc/sys/net/ipv4/ip_local_port_range netstat np < jest też pod Windows, można wyciąć windowsa UDP brak niezawodności nie ma strumienia, trzeba dzielić na pakiety protokół bezpołączeniowy zastosowanie UDP DNS RIP Routing Information Protocol DHCP (broadcast) media streaming ICMP Internet Control Message Protocol ping f ping s traceroute mtv Nagłówek TCP

Sieci komputerowe Strona 31 Numery sekwencyjny i potwierdzenia: Numer sekwencyjny służy do numerowania bajtów Numer potwierdzenia jest następnym spodziewanym numerem sekwencyjnym Pole rozmiar okna służy do kontroli przepływu Pole Opcje najważniejsza: MSS (ang.maximum Segment Size) ustalany posprawdzeniu MTU lokalnego interfejsu Znaczniki URG znacznik ważności pola wskaźnik pilności ACK znacznik ważności pola numer potwierdzenia PSH znacznik ten, jeśli ustawiony, oznacza, że odbiorca powinien przekazać dane do aplikacji tak szybko, jak to możliwe RST zresetowanie połączenia SYN synchronizacja numerów sekwencyjnych w celu inicjalizacji połączenia FIN nadawca zakończył wysyłanie danych Własności TCP na egzaminie: zasymuluj na kartce działanie TCP TCP Jest zorientowany połączeniowo zanim zostaną przesłane jakiekolwiek dane, musi zostać nawiązane połączenie zapewnia niezawodność dane przesyłane przez aplikację są dzielone na tzw. segmenty, które wg. TCP mają najlepszy rozmiar po wysłaniu segmentu jest uruchamiany zegar i rozpoczyna się oczekiwanie na potwierdzenie odebrania segmentu przez drugą stronę w przypadku nieotrzymania potwierdzenia, segment jest wysyłany ponownie sortuje segmenty i w razie potrzeby odrzuca zdublowane stosuje sumę kontrolną nagłówka i danych do kontroli poprawności jeśli zostanie wykryty błąd sumy kontrolnej potwierdzenie nie jest wysyłane TCP wykorzystuje mechanizm połączeńwięc nie jest możliwe zastosowanie go do transmisji typu broadcast umożliwia przesyłanie danych w obie strony (tzw. tryb full duplex) zapewnia kontrolę przepływu za pomocą mechanizmu okien w celu poprawy efektywności, stosuje się algorytm opóźnianych, skumulowanych potwierdzeń Nawiązywanie i kończenie połączenia

Sieci komputerowe Strona 32 Proces nawiązywania połączenia polega na synchronizacji numerów sekwencyjnych (trójstanowy handshake), tak aby było wiadomo jak numerować bajty Po nawiązania połączenia możliwa jest komunikacja fullduplex Istotny jest wybór początkowego numerusekwencyjnego (numeru ISN), tak aby był unikalny dla danego połączenia (dba o to implementacja TCP) Stany TCP Time Wait musi trwać odpowiednio długo, aby w następnym połączeniu korzystającym z tych samych gniazd nie pojawiły się spóźnione segmenty z poprzedniego połączenia. Time Wait=2MSL może wystąpić tzw. półotwarcie w momencie gdy serwer przestaje nagle działać gdy serwer zostaje podłączony ponownie i otrzymadane od klienta wysyła segment z ustawionymznacznikiem RST i połączenie zostaje przerwane w momencie gdy klient przestaje nagle działać, połączenie będzie istniećna serwerze stosuje się mechanizm zapobiegawczy TCP keepalive Różne opóźnione potwierdzenia = piggyback

Sieci komputerowe Strona 33 opóźnione potwierdzenia = piggyback Zadanie z TCP Ukaż na rysunku proces przesyłania 2048 bajtów od serwera do klienta. Klient nawiązuje połączenie. MSS = 1024, W = 2048. ISNS = 9 ISNK = 99 Algorytm Nagle'a połączenie TCP może mieć tylko jeden mały segment, który nie został jeszcze potwierdzony nie można wysłać kolejnych małych segmentów bez otrzymania potwierdzenia poprzedniego Przesuwane okna odbiorca informuje nadawcę, jakiej wielkości jest pozostałą część okna nadawca generalnie również sam zlicza takie rzeczy odbiorca informuje szczególnie o powiększeniu okna Algorytm powolnego startu cwnd (ang. congestion window) okno przeciążenia po ustanowieniu połączenia wysyłany jest jeden segment gdy nadejdzie potwierdzenie, mogą być wysyłane dwa jednocześnie później trzy itd gdy ruter zacznie odrzucać pakiet to wiemy, że więcej nie da się jednocześnie wysyłać i trzymamy sie tego górne ograniczenia na wypadek wąskich gardeł: LAN Internet nigdy nie jest wysyłanych więcej niż cwnd pakieów Algorytm zapobiegania zatorom Wprowadza zmienną ssthresh (próg powolnego startu) Gdy wystąpi zator (wykryty poprzezprzekroczenie czasu) ssthresh := 1/2*cwnd; cwnd:=1 (powolny start) Gdy cwnd >= ssthresh, zaczyna działać algorytm zapobiegania zatorom: cwnd += segsize*segsize/cwnd powoduje to wolniejszy (linowy) wzrost liczby wysyłanych segmentów Jeśli zator zostanie wykryty poprzez otrzymywanie zduplikowanych ACK, nie jest wykonywany powolny start (nie zmniejszamy rozmiaru cwnd do jednego segmentu), od razu zaczyna działać algorytm zapobiegania zatorom

Sieci komputerowe Strona 34 zapobiegania zatorom cwnd jest nadal zwiększane, ale wg algorytm zapobiegania zatorom: cwnd += segsize*segsize/cwnd Algorytm powolnego startu i zapobiegania zatorom służą do kontroli przepływu ze strony nadawcy Przepływ danych masowych Budowa serwera serwer może obsługiwać wiele połączeń na jednym porcie Opóźnione potwierdzenia

Sieci komputerowe Strona 35 jak sama nazwa wskazuje, oczekiwanie zwyczajowo przez 200 ms Retransmisja nie ma potwierdzeń selektywnych TCP mierzy czas podróży pakietu W momencie wykrycia segmentu innego niż oczekiwany, jest wysyłane tzw. zduplikowane ACK natychmiast (bez opóźnienia) Może to pomóc ustalić, że segment zaginął i dokonać retransmisji jeszcze przed upłynięciem czasu oczekiwania (algorytm szybkiej retransmisji) Konieczne jest wyznaczenie czasu oczekiwania, po którym ma nastąpić retransmisja Aby wyznaczyć czas oczekiwania, TCP musi mierzyć czas podróży segmentów (tzw. RTTround trip time) Czas podróży: R= αrp+(1 α)m, α=0.9 Czas oczekiwania: RTO=Rβ, β=2 Algorytm szybkiej retransmisji Jeśli wystąpi 3 lub więcej zduplikowanychack można wysłać segment ponownie, przed upłynięciem czasu oczekiwania podwójne ACK oznacza, że odebrano segmenty w złej kolejności (takie ACK nie powinno być opóźniane) Nie trzeba stosowaćpowolnego startu, gdyż pojawianie się zduplikowanych ACK oznacza, iż segmenty są odbierane, więc nie wystąpił zator Jeśli otrzymamy mniej niż3 zduplikowaneack, to znaczy że wystąpiło tylko zakłócenie porządku segmentów i nie należy stosować szybkiej retransmisji Repakietyzacja

Sieci komputerowe Strona 36 Repakietyzacja Po zakończeniu odliczania czasu oczekiwanianastępuje retransmisja, ale TCP nie musi retransmitować identycznych segmentów Może wykonać repakietyzację, czyli wysłać segment większy Mechanizm persist TCP Może wystąpićproblem, gdy zaginie segmentogłaszający, iż okno powiększyło się (przy poprzednio ogłoszonej zerowej wielkości okna) W tym przypadku transmisja nie mogłaby być kontynuowana, bo nadawca czekałby w nieskończoność Aby temu zapobiec, nadawca wysyła segmenty sondujące o długości jednego bajta (TCP może to robić mimo ogłoszonej zerowej długości okna) Opcja skalowania okna Dla sieci o dużych przepustowościach idużych opóźnieniach okno opisane liczbą 16 bitową może być zbyt małe Stosowana jest opcja TCP skalowania okna stosowany jest licznik jedno bajtowy, może przyjmować wartości od 0 do 14. Największy rozmiar okna to 65535 * 214 Opcja skalowania może się pojawiać jedynie w segmentach SYN, więc jest stała dla danego połączenia Jeśli strona, która wykonuje aktywne otwarcie umieści tę opcję w segmencie SYN, ale nie dostanie jest w segmencie SYN przesłanym przez drugą stronę, to opcja ta nie może być używana Opcja znaczników czasowych Umożliwia umieszczanie 32 bitowych znaczników czasowych w wysyłanych segmentach Odbiorca wysyła echo znacznika Umożliwia to dokładny pomiar RTT(round trip time) Umożliwia również ochronę przed powtarzającymi się numerami sekwencyjnymi (PAWS) Timestamp stanowi wówczas rozszerzenie numeru sekwencyjnego Zjawisko to może wystąpić w sieciach o przepustowościach >= 1Gb/s Opcja ta może być używana jedynie w segmentach SYN Pojemność potoku można zdefiniować jako: pojemność(bity) = szerokość pasma (b/s)* czas podróży(s)

Sieci komputerowe Strona 37 UDP 1 czerwca 2010 22:11 Nagłówek protokołu UDP Pseudonagłówek UDP Pseudonagłówek jest wykorzystywany do obliczania sumy kontrolnej Jest stosowany po to, aby sprawdzić, czy danedotarły do właściwego adresata (stąd konieczność uwzględnienia przy liczeniu sumy kontrolnej adresów IP) Własności UDP Nie zapewnia niezawodności (w przeciwieństwie do TCP) Nie jest zorientowany strumieniowo (w przeciwieństwie do TCP) Jest protokołem bezpołączeniowym (odmiennie niż TCP) Przykłady zastosowania: DNS RIP(Routing Information Protocol) DHCP (broadcast) ICMP ICMP (Internet Control Message Protocol) służy do wysyłania komunikatów o problemach związanych z komunikacją, np. z rutingiem Jest używany także w celach diagnostycznych Nagłówek ICMP Komunikaty ICMP są przesyłane wewnątrz datagramów IP Komunikat ICMP o błędzie, w polu dane,zawiera nagłówek datagramu IP, który spowodował wygenerowanie komunikatu i 8 bajtów następujących po nim (może to być np. nagłówek UDP wtedy znany jest numerportu źródłowego. Numer ten może być wtedy skojarzony przez system odbierający wiadomość z konkretnym procesem np. klientem ftp)

Sieci komputerowe Strona 38

Sieci komputerowe Strona 39 DNS 5 maja 2010 12:26 rozproszona baza danych model klient serwer Każdy węzeł drzewa ma etykietę tekstową o długości do 63 znaków Pusta etykieta o długości 0 jest zarezerwowana dla węzła głównego Pełna nazwa domenowa dowolnego węzładrzewa to sekwencja etykiet na ścieżce od tego węzła do węzła głównego. Jako separatora używa się kropki Taka pełna nazwa często nazywana jest FQDN(ang. Fully Qualified Domain Name) mimuw.edu.pl. Niektóre domeny najwyższego poziomu: com, edu, mil, net, org, biz, info, tv, oraz skróty nazw państw wg standardu ISO 3166 Każda domena najwyższego poziomu posiada jeden rejestr rejestr to organizacja odpowiedzialna za utrzymywanie danych związanych ze strefą rejestrator to pośrednik między klientem, a rejestrem (np. NASK...) Delegowanie Organizacja zarządzająca domeną może ją podzielić na poddomeny. Domena nadrzędna zachowuje jedynie wskaźniki do źródeł danych (serwerów nazw) poddomeny, aby wiedzieć gdzie odsyłać pytających Strefa

Sieci komputerowe Strona 40 domena wszystkie informacje o poddomenach strefa tylko informacje podstawowe Strefa i domena mogą mieć tą samą nazwę, ale zawierać inne węzły Strefa nie zawiera węzłów z oddelegowanych poddomen Strefa zawiera dużo mniej informacji niż domena, często jedynie wskaźniki do oddelegowanych poddomen. Ze strefą jest związany autorytatywny dla niej serwer nazw Większa strefa W powyższym przykładzie, strefa ca zawiera więcej informacji Powyższa strefa ca obsługuje nazwy wpoddomenach bc.ca i sk.ca (poprzednio przechowywała jedynie informacje delegacyjne, które wyznaczały strefy bc.ca i Rezolwer klient DNS łączy się z serwerem nazw

Sieci komputerowe Strona 41 klient DNS łączy się z serwerem nazw odpytuje serwer DNS interpretuje odpowiedzi konfiguracja rezolwera w Linuksie: /etc/resolv.conf nowe funkcje: getaddinfo() getnameinfo() Odwzorowanie nazw ISC BIND implementacja DNS na Unixie serwery master i slave root.hint adresy root serwerów ttl czas życia serwera jest to informacja dla serwerów cacheujących, jak długo nazwa jest ważna dyndns.com, noipc.com mimuwexternal.zone IN SOA host jest autorytatywny dla danej strefy, jest źródłem prawdziwych informacji @ rozwija się do nazwy hostmaster.mimuw.edu.pl mejl do osoby odpowiedzialnej serial informacja dla slave'a, czy coś było zmieniane dalsze informacje dla slave'a IN NS serwery nazw

Sieci komputerowe Strona 42 IN NS serwery nazw IN MX 0 mail exchanger gdzie ma iść poczta (im mniejszy numer tym większy priorytet, poczta wysyłana do jednego serwera) $GENERATE zakres automatyczne generowanie nazw dla adresów z zakresu IN A (internet adres) przypisanie nazwie adresu asx rozwija się do asx.mimuw.edu.pl asx. rozwija się do asx IN CNAME jeśli jeden host ma mieć wiele nazw negative cacheing jak długo powinny być trzymane informacje odmowne The SOA record is the Start Of Authority record. It contains the information that other nameservers will learn about this domain and how to treat the information they are given about it. The '@' as the first character in the line indicates that you wish to define things about the domain for which this file is responsible. The domain name is found in the named.boot file in the corresponding line to this filename. All information listed refers to the most recent machine/domain name so all records from the '@' until 'localhost' refer to the '@'. The SOA record has 5 magic numbers. First magic number is the serial number. If you change the file, change the serial number. If you don't, no other name servers will update their information. The old information will sit around for a very long time. Refresh is the time between refreshing information about the SOA. Retry is the frequency of retrying if an authorative server cannot be contacted. Expire is how long a secondary name server will keep information about a zone without successfully updating it or confirming that the data is up to date. This is to help the information withstand fairly lengthy downtimes of machines or connections in the network without having to recollect all the information. Minimum is the default time to live value handed out by a nameserver for all records in a zone without an explicit TTL value. This is how long the data will live after being handed out. The two pieces of information before the 5 magic numbers are the machine that is considered the origin of all of this information. Generally the machine that is running your named is a good one for here. The second is an email address for someone who can fix any problems that may occur with the DNS. Good ones here are postmaster, hostmaster or root. NOTE: You use dots and not '@' for the email address.

Sieci komputerowe Strona 43 Odwzorowanie odwrotne domena inaddr.arpa rozwiązywanie ip na nazwę konfiguracja reverse generalnie jak poprzednio 1 IN PTR ns.mimuw.edu.pl (adres 1 w strefie odpowiada serwerowi ns.mimuw.edu.pl)

Sieci komputerowe Strona 44 Delegowanie poddomeny chcemy oddelegować lk.mimuw.edu.pl do innego serwera nazw lk 86400 IN NS ns1.lk.mimuw.edu.pl 86400 to TTL czasami niezbędne jest również umieszczenie informacji o ip nameserwera dawno temu serwer DNS przekierowywał, jeśli nie wiedział obecnie nie obsługuje się zapytań o wszystko od nieznajomych Testowanie DNS narzędzia: host, digm nslookup host t mx mimuw.edu.pl ns.mimuw.edu.pl

Sieci komputerowe Strona 45 Bezpieczeństwo 19 maja 2010 12:58 Translacja adresów (NAT) Polega na maskowaniu połączeń z wielu adresów nierutowalnych jednym publicznym adresem IP Nie można wykonywać połączeń bezpośrednio do adresów niepublicznych, wpływa SNAT zmiana adresu źródłowego (rysunek) DNAT zmiana adresu docelowego Proxy Serwer proxy (pośredniczący) wykonuje połączenia w imieniu użytkownika Użytkownik zleca wykonanie połączenia za pomocą oprogramowania klienckiego zwykle przeglądarki internetowej Użytkownik nie musi posiadać publicznego adresu IP Proxy wykona za niego połączenia do sieci zewnętrznych i przekaże odpowiedź Proxy działa w warstwie aplikacji wadą jego jest obsługa niewielu protokołów (głównie FTP i HTTP) NAT działa w ~warstwie transportu linuxowa implementacja: squid w squidzie można ustawić również przekierowanie komputer z zewnątrz > serwer WWW wewnątrz Firewall mogą obserwować stany połączeń firewall stanowy firewall bezstanowy (nie śledzi stanu połączeń) iptables program do obsługi firewalla wbudowanego w kernel kompilat

Sieci komputerowe Strona 46 Tablice mangle niskopoziomowe grzebanie w konfiguracji nat odpowiada za translację filter najczęściej wykorzystywana konfiguracja filtrowania Dodawanie reguły iptables [t tablica] komenda [wzorzec] [akcja] iptables F INPUT czyszczenie łańcucha INPUT iptables P INPUT DROP ustawienie polityki dla wszystkich niepasujących połączeń w łańcuchu input na drop Wpuszczamy jedynie nawiązane połączenia iptables A INPUT i eth0 s 0.0.0.0/0 d $ip m state state\ ESTABLISHED,RELATED j ACCEPT to załatwia również DNS Wypuszczamy wszystko z naszego hosta iptables A OUTPUT o eth0 s $ip d 0.0.0.0/0 j ACCEPT DROP zerwanie po cichu REJECT zrywa i wysyła informację po ICMP openwrt Linux na arma

Sieci komputerowe Strona 47 openwrt Linux na arma Ciekawe komendy * P łańcuch polityka ustawienie domyślnej polityki dla łańcucha. Domyślna polityka stosowana jest dopiero wówczas, gdy pakiet nie pasuje do żadnej reguły łańcucha, * A łańcuch dodanie reguły do określonego łańcucha, * I łańcuch [nr reguły] wstawienie reguły do określonego łańcucha, jeśli zostanie podany nr reguły wtedy reguła zostanie wpisane w to miejsce zmieniając kolejność pozostałych, * L [łańcuch] wyświetlenie wszystkich reguł łańcucha (lub wszystkich łańcuchów w danej tablicy); często używane z opcjami n i v, * F [łańcuch] usunięcie wszystkich reguł łańcucha (lub ze wszystkich łańcuchów danej tablicy), * D łańcuch [nr reguły] usunięcie konkretnej reguły w określonym łańcuchu, jeśli zostanie podany nr reguły wtedy zostanie usunięta reguła o tym numerze, * R łańcuch nr_reguły zastąpienie reguły numer IPTables, NAT

Sieci komputerowe Strona 48 Kryptografia szyfrowane protokoły HTTPs POP3s SMTPs