CSMA (Carrier Sense Multiply Access) každá stanice monitoruje stav přenosového média a začíná vysílat jen v době, kdy je médium volné

netstat – nastroj pro prikazovy radek, ktery zobrazuje aktivni sitove spojeni, smerovaci tabulku a radu statistik sitoveho rozhrani

Protokol CSMA/CD CSMA (Carrier Sense Multiply Access) – každá stanice monitoruje stav přenosového média a začíná vysílat jen v době, kdy je médium volné. CD (Collision Detection) – začne-li vysílat v krátkém časovém intervalu více stanic, nastávají kolize. Vysílající stanice je detekují, zastaví vysílání a vyšlou do sítě krátký „jamming signal“, který ostatní upozorní na kolize. Vysílání obnoví v náhodných časových intervalech po náslechu, zda je médium volné. -nepředchází kolizím, ale detekuje je

!!!!!!!!!!!!!!!!!!!

Protokol CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance) -předchází kolizím

!!!!!!!!!!!!!!!!!!!

-– protokol RTS/CTS

ARP zjistovani MAC adres sousedu na sdilenem spoji

ARP cache uložení získaných záznamů utilita arp-vypis aktualniho obsahu problem: moznost zfalsovani zaznamu v ARP cache tabulce ARP/RARP se zapouzdruje do Ethernetoveho ramce ARP-reply- | sender MAC | sender IP | |target MAC| target IP | ARP-request-| sender MAC | sender IP | |target MAC| target IP | IP zahlavi-ICMP zprava=>ICMP zahlavi(typ,kod,checksum) + ICMP data ICMP je generovana cilovym uzlem datagramu, ke kteremu se ICMP zprava vztahuje, jednim z mezilehlych uzlu(smerovacu), kterym tento IP datagram prochazi ICMP "echo request" - typ=8, kod 0, data ICMP: identifikator zpravy,poradove cislo zpravy,volitelna libovolna data ICMP "echo reply" - TYP = 0 , KOD = 0, data ICMP:kopie dat z prislusne ICMP request

ICMP "time exceeded" - typ = 11,kod = 0/1, data ICMP: 4B "0"+ zahlavi inkriminovaneho IP datagramu (20B) + dalsich 8B KoD 0: hodnota TTL = 0 a IP datagram neni v cilove IP siti, generuje pouze router KOD 1 vyprsel cas pro znovusestaveni fragmentu datagramu, generuje pouze cilovy uzel Routing na koncovem uzlu- PING {Ethernet-dst MAC-src MAC[IP ,dst IP + src IP(ICMP)]} Smerovaci tabulka na koncovem uzlu->Bitová shoda "Netmask" mezi: cilovou IP v odesilanem datagramu + IP ve sloupci "Destination" v tabulce Nalezeno (match): Gateway(next hop)/Exit interface, GW... rekurzivni vyhledavani,ARP request/reply, Odesilani ramce

!!SMEROVACI TABULKA!!

=> Destination, Netmask, Gateway, Metric, Exit interface, Protokol FUNKCE SMEROVACE1.prijeti Ethernetoveho ramce na vstupnim rozhrani 2.Vybaleni IPv4 datagramu(IP header checksum) 3.Cilova IP adresa 4.Hledani odchozi cesty v pripade tranzitniho provozu...smerovaci tabulka 5. IPv4 TTL (Time to live) 6. Sestavit nove L2 zahlavi( v pripade Ethernetu ARP...) a odeslat Smerovaci tabulka se plni: Automaticky-primo pripojene site Rucne- staticky routing Smerovacimi protokoly-dynamicky routing Multicast-mechanismus pro skupinovou komunikaci PIM- nezavisly protokol prenosu multicast DVMRP-smerovaci protokol prenosu multicast s vektory vzdalenosti MOSPF-protokol prvni nejkratsi cesty pro prenos multicast protokol IGMP- pro skupinovou adresaci Adresy typu D- rozsah identifikatoru skupin 224.0.0.0239.255.255.255: rozsah 224.0.0.0 - 224.0.0.255 rezervovan pro smerovaci protokoly a dalsi protokoly rizeni a spravu multicastu rozsah 239.0.0.0-239.255.255.255je rezervovan prointerni pouzivani Format IGMPv1- IP zahlavi + IGMP zprava{verze,typ,nepouzito,checksum(IP adresa tridy D identifikator IP skupiny)} Typ muze byt 1- "query" vysila multicast smerovac 2-"report" vysila host, ktery ma nastavenu Ip multicast adresu IGMPv2-IP zahlavi + IGMP zprava{typ,max. response time,checksum(IP adresa tridy D - identifikator IP skupiny)} Komunikace pod protokolem IGMP

IGMP report,TTL =1, dst IP add=group address,src IP add.= hostIP address, IGMP group address IGMP query, TTL = 0, TTL=0, dst IP add. = 224.0.0.1, src IP addr. = router IP address, IGMP group address=0

Techniky pro zvýšení využitelnosti spoje – multiplexing TDM - Time Division Multiplexing – časové sdílení spoje FDM - Frequency Division Multiplexing sdílení frekvenčního rozsahu spoje CDMA (Code Division Multiply Access) – kódové sdílení spoje Princip konfigurace subsítí metodou VLSM Na adresaci uzlů se ponechá nejmenší možný počet bitů Určí se prefixy adresovaných subsítí Zvolí se adresy subsítí tak, aby se jejich broadcast oblasti nepřekrývaly Je třeba dbát na to, aby bylo možno uplatnit sumarizaci směrovacích cest Adresa MAC (Media Access Control) – adresa síťového rozhraní (fyzická - HW) na vrstvě datového spoje (L2). MAC adresa je permanentně vložena výrobcem do paměti síťové karty (NIC) IPv4 datagram

TIME-TO-LIVE 64.–71. b (8 b): maximální počet průchodů přes mezilehlé směrovače – při průchodu směrovačem je hodnota snížena o 1 IGP:

RIP (v1,v2,ng), OSPF(v2,v3),EIGRP

EGP:

BGP(v4)

Algoritmy pro výpočet směrovacích cest: LSA-Link state algoritmus 1. Směrovače vysílají pouze informace („Link State Packets“ – LSP) o stavu spojů, ke kterým jsou připojeny.

2. LSP jsou vysílány všem ostatním směrovačům („flooding“) ve stejné směrovací oblasti 3. Každý směrovač si vytváří z obdržených informací kompletní topologickou mapu sítě metrika, se nazýva „cost“ Výhody LSA: rychlejsi konvergence DVA-Distance vector algoritmus 1. Směrovače periodicky vysílají obsah své směrovací tabulky 2. Směrovače přijímají informace vysílané ostatními směrovači a podle nich aktualizují obsah své tabulky 3. Směrovací tabulky obsahují částečné informace o vzdálených oblastech sítě definuje se zde velmi male cislo Distance(pocet smerovacu, pres kteremusi datagram projit), coz je vlastne max. hopcount pokud je sit mimo dosazitelnou hodnotu, zaznam se z tabulky odstrani algoritmus Belman-Forduv smerovac siri svou tabulku IP broadcastem nebo IP multicastem Nevýhody DVA •

Periodicky se vysílají celé tabulky

•

U větších sítí to jsou velké datové pakety

•

Pomalejší konvergence

•

Možnost vzniku dočasných smyček

RIPv1 - vysila zpravy IP broadcastem kazdych 30s RIPv2 - vysila zpravy IP multicastem (224.0.0.2) pokud neni prijata RIP zprava po dobu 180s, platnost zaznamu tabulky vyprsi pouziti male, stredni site,split horizon moznost paralelni cesty ECMP,moznost vymeny autentizovanych zprav problemy RIP: -pomale sireni informace -nachylnost ke vzniku smerovacich smycek STRUKTURA RIPv1:

verze address family identifier =, reserved ip address,reserved,reserved,metric == RIP entry

STRUKTURA RIPv2: ve smerovaci tabulce-

typ site, identifikator AS,ip adresa site,maska podsite,"next hope" ip adresa,metrika(1-16), dalsi zaznamy smerovacu

OSPF vs. RIP ip zahlavi,protokol, UDP zahlavi(rip zprava) -- RIP IP zahlavi, protokol, OSPF zprava --- OSPF

OSPF: LSA alg metrika "cost" prirazena adminem kazdemu spoji moznost vytvareni paralelni cesty ECMP- rozdeleni site(load balancing) moznost vymeny autentizovanych zprav

vytvari hierarchicke site tvorene smerovacimi oblastmi(AREA) definuje vice typu smerovacu generujicich vice typu OSPF zprav sireni zpravy mezi OSPF smerovaci multicastem 224.0.0.5 - vsechny OSPF smerovace site 224.0.0.6 - povereny smerovac (designed router)

LSA pakety (zprávy OSPF) •

Hello Packet – vytváří se v prvním kroku LSA – "oslovení sousedních routerů„

•

Database Description Packet – DD – odpověď na Hello Packet

•

Link State Request Packet – LSR – žádost o vyslání Link State Update Packet

•

Link State Update Packet – LSU – odpověď na Link State Request Packet

•

Link State Ack – ACK – potvrzení přijetí LSU

Autonomní systém (AS) •

AS je komplex sítí a směrovačů

•

AS je jedna administrativní doména se společnou směrovací strategií

BGP pouziva protokol TCP, siri informace i mezi internimi smerovaci Funkce BGP –

Navázáni a udržování komunikace se sousedními směrovači

–

Při první výměně informací vysílá celé směrovací mapy

–

Nevysílá zprávy periodicky, pouze aktualizuje směrovací informace

OPEN,UPDATE,KEEP ALIVE, NOTIFICATION

Interface ID: a) Static b) EUI-64-generated from 48-bit MAC address c) Random ::/128 unspecified ::1/128 loopback

IPv6 |network prefix | subnet | interface ID | 2001:718:803:1:a00:27ff:fefc:152--host address 2001:718:803:1::/64 Global unicast address : prefix 2000::/3 reserved Global unicast address assignment strategy IANA (/3) -> RIR (/32) -> LIR (/32) -> Customer (/48) Subnet ADDRESSING: |Global routing prefix | subnet | interface ID |

pro IPv6 Host potrebujeme: 1)IPv6 address... prefix + interface ID 2) prefix length 3) default GW address 4) dns server address + dns search list

Interface ID a) static -> manual configuration b) EUI-64 -> Extended unique identifier 64-bit c) Random -> Privacy Extensions - due to security reasons Special address:

::/128 unspecified ::1/128 loopback Global Unicast Addresses 2000::/3 "Global" -> worl-unique address "Unicast" -> identifies one network interface card Routable -> Destiantion Addr = Global Unicast Link Local Unicast Addresses

VLAN(802.1q) -VLAN identifikována číslem od 1 do 4096 (12b VID = VLAN ID) – VLAN může mít přiřazené jméno

Ethernetový rámec bez tagu | dst MAC | src MAC | EtherType | Data | FCS |

Ethernetový rámec s VLAN tagem | dst MAC | src MAC | VLAN tag | EtherType | Data | FCS |

CAM – MAC, port,VLAN

Transportní vrstva dva protokoly TCP(Transmission Control Protocol) UDP(User Datagram Protocol) jsou prostredkem pro zajisteni uzivatelske aplikace, aby se spojily 2 pocitace v IP siti Rozhraní SAP mezi aplikační a transportní vrstvou – rozhraní služeb – identifikace aplikačního protokolu, který bude transportní službu používat. Číslo portu – 16b proměnná 1-65 535 Well-known porty-1-1023 Port – SAP transportní vrstvy – „vstup“ do user-end systému Ze strany user-end systému je port schránka na obsah transportního PDU – číslo portu určuje proces, který generuje data (směr „out“) nebo je příjemcem dat (směr „in“). Soket (socket) – IP adresa user-end systému + číslo portu – jednoznačný identifikátor poskytovatele/spotřebitele transportovaných dat v internetu (tj. síťového procesu).

daemon vOS UNIX proces, ktery ceka na pozadavky klienta

Protokol UDP •

Služba nespojovaná (connection-less) – nespolehlivá, transport nelze řídit

•

Velmi efektivní – rychlá, malá provozní režie

•

Používá se –

pro aplikace s malým objemem přenášených dat (zprávy se stanovenou velikostí apod.)

–

pro aplikace s požadavkem nízké latence (VoIP, video)

–

pro aplikace vyžadujících broadcast nebo multicast

–

pro aplikace, které si správnost datových přenosů samy zabezpečí

Příklady: DNS, RTP, NTP, SNMP, UDP záhlaví- zdrojový port, cilovy port,checksum,delka paketu UDP pseudozahlavi- zdrojova IP adresa,cilovaIP adresa, delka paketu TCP protokol •

Služba spojovaná (connection oriented), spolehlivá

•

Typ služby PAR (Positive Acknowledgement with Retransmission)

•

Zajistí doručení datových segmentů ve stejném pořadí, v jakém byly odeslány s vyloučením ztráty, bitové nesprávnosti a duplicity

•

Vytvoří mezi komunikujícími procesy (jejich porty) virtuální osmibitový full-duplex komunikační kanál

•

„TCP spojení“ – dvojice komunikujících soketů

vyuzivaji sluzby- WWW,email,prenos souboru FTP Komunikace mezi procesy probíhá ve fázích 1. Vytvoření spojení 2. Řízený přenos proudu dat (sekvence datových segmentů) s eventuálním opakovaném odesláním nekorektně přijatých segmentů 3. Ukončení spojení TCP záhlaví

sequence number(SN),Acknowledgement Number(ACKN),Data Offset(délka záhlaví) •

Window Size – určuje velikost „Sliding Window“ – max. 65 535 (počet oktetů, které je možno přenést bez ACK)

•

Urgent Pointer – specifikuje offset posledního oktetu urgentních dat (spolu s řídícím bitem URG)

FTP(RFC 959) Aplikační protokol Protokol typu klient – server Pro přenos souborů mezi počítači pomocí sítě Využívá transportního protokolu TCP port 20 – spojení pro vlastní přesun dat port 21 – spojení pro řízení Přihlašování anonymně nebo přes jméno a heslo

posílá nešifrovaně !!!

Pasivní FTP • Data connection navazuje klient příkazem PASV. • V odpovědi (na příkaz PASV) posílá server svou IP adresu a TCP port, na kterém naslouchá.

Aktivní FTP • Data connection navazuje server. Data jsou přenášena na portu 20. • Klient naslouchá na portu, který poslal předtím příkazem PORT na server.

TFTP •

Využití implementace TFTP u bezdiskových počítačů (terminály, pracovní stanice…)

•

Aplikace DHCP klient a TFTP klient jsou uloženy v počítačích v permanentních pamětech EPROM, ROM apod. –

Po zapnutí stanice žádá o přidělení IP adresy (prostřednictvím protokolů BootP nebo DHCP)

–

Po obdržení IP adresy žádá TFTP server o data potřebná ke spuštění (jádro, atd.)

Po obdržení těchto dat se jádro natáhne do operační paměti a počítač se spustí¨ TELNET •

Základní protokol sady protokolů TCP/IP

•

Komunikace klient – server, transport TCP (port 23)

•

Autorizovaný přístup ke vzdálenému serveru

•

Přenos dat nešifrovaných (včetně hesla při přihlašování) – riziko odposlechu během přenosu

Princip NVT (Network Virtual Terminal) •

NVT je imaginární zařízení (terminál) vytvořené po ustavení TCP spojení “společný“ síťový terminál komunikujících stran

•

NVT - znakové zařízení I/O s „klávesnicí“ (pro vstup znaků) a „tiskárnou“ (pro výstup znaků )

•

Na vzdáleném terminálu je virtuální tiskárna implementována zobrazovací jednotkou

Poznámka: NVT slouží také protokolu FTP pro výměnu příkazů mezi klientem a serverem – Odesilatel: IAC,,

– Příjemce: IAC,, – Typ operace – DO (253), DONT(254) , WILL (251), WONT (252) – Číselné kódy některých voleb (option):

SSH •

Komunikace klient – server, transport TCP (port 22)

•

Zajišťuje více funkcí než TELNET

•

Zřizuje zabezpečený kanál pro datové přenosy

•

obecné označení pro protokoly i SW produkty (ssh klient, ssh server)

•

Protokoly SSH-1.3, SSH-1.5, SSH-2

•

Klient – server probíhá v zabezpečeném TCP spojení

•

Šifrování – symetrická a asymetrická šifra

•

Kryptografická kontrola integrity přenášených dat

•

Implementace ve většině operačních systémů (remote login, X window tunneling, secure remote copy ….)

SSH-2 •

Protokol modulární (původní SSH-1 je monolitický) - RFC 4251

•

Connection Protocol (SSH-CONN) – RFC 4254

•

Authentication Protocol (SSH-AUTH) – RFC 5252

•

Transport Protocol (SSH-TRANS) – RFC 4253

Datové pakety 1. Komprimace 2. Výpočet výtahu (Hash) 3. Záhlaví + výplň 4. Šifrování (Session Key) Symetrické – komunikující strany používají společný tajný klíč (secret key) – problém distribuce tajného klíče (řešení - Diffie-Hellman algoritmus). Zabezpečení důvěrnosti dat.

Asymetrické – komunikující strany používají dvojici klíčů – veřejný (public key) a privátní (private key). Kryptografické klíče tvoří dvojici s matematickou vazbou. Zabezpečení autentičnosti dat. Hash funkce – jednocestné funkce (algoritmy)vytvářející z libovolné bitové sekvence datový blok stanovené délky („výtah“). Zabezpečení integrity dat.

EMAIL •

Podpora vzdáleného přístupu do mailboxů (protokoly POP3 a IMAP4)

•

Využití MX záznamů v DNS

•

Výměna elektronických zpráv mezi uživateli – ukládání do schránek (mailboxes)

•

Princip „store and forward“

Protokoly e-mail systému •

SMTP (Simple Mail Transfer Protocol) – současná verze RFC 5321 (Extended SMTP)

•

Původní SMTP - RFC 821 (základní protokol pro výměnu poštovních zpráv)

•

MIME (Multipurpose Internet Mail Extensions) – RFC 2049, RFC 4288 a RFC 4289 - protokol pro strukturování těla zprávy

•

POP3 (Post Office Protocol) – RFC 5034 – přístup do mailboxu ze vzdáleného klienta

•

IMAP4 (Internet Message Access Protocol) – RFC 3501-RFC 3503 - přístup do mailboxu ze vzdáleného klienta

SMTP •

Využívá transportní službu TCP, well-known port 25, komunikace klient - server

•

Vytváří neautentizované TCP spojení

Protokol SMTP je implementován v logických modulech MTA Záhlaví zprávy pro protokoly (IMAP4,POP3,SMTP) •

Klíčové slovo:

•

Specifikováno v RFC 5322 – dříve RFC 2822 – původní RFC 822

•

Příklady klíčových slov: –

Received: <seznam MTA>

–

Message-ID:

–

CC:

–

From:

–

Date:

–

Reply-to:

–

To:

–

Subject:

MIME version-text/plain,text/xml,image/gif,video/mpeg,application/postScript

Post Office Protocol (POP3) •

Autorizovaný přístup do mailboxu na vzdáleném mailserveru

•

Výpis informace o stavu mailboxu

•

Přenos kopie obsahu zprávy uložené v mailboxu

•

Označení zprávy pro výmaz event. zrušení

•

POP3 je stavový automat – přechod do jednotlivých stavů probíhá v příkazových sekvencích. –

•

Stavy: •

Autorizace

•

Transakce

•

Aktualizace

POP3 používá TCP transport, well-known port 110, komunikace klient – server (příkaz – odpověď)

Odpověď (vysílá server) •

Pozitivní +OK <SP>data

•

Negativní -ERR <SP>data

Internet Message Access Protocol – IMAP4 •

IMAP4 je stavový automat – přechod mezi stavy se provádí v návaznosti na příkazových sekvencích.

Stavy relace klient-server IMAP4: not authenticated, state, authenticated state,selected state,logout state •

IMAP4 používá transport TCP, well-known port 143

•

Komunikace typu klient – server (příkaz – odpověď)

odpovedi: result,response

Srovnání POP3 a IMAP4 POP3 •

Provede download kopií do lokálního mailboxu (pouze některé klientské programy povolí ponechat originál stažené zprávy v mailboxu na serveru)

•

Umožní přístup ke zprávám jen z jednoho počítače současně

IMAP4 •

Má větší flexibilitu

•

Ponechává originály stažených zpráv na serveru

•

Umožní přístup ke zprávám z více počítačů současně

•

Má více funkcí (např. zobrazení jen záhlaví zprávy)

•

Umožní vytváření dalších mailboxů na serveru a přesun zpráv mezi nimi

•

Umí pozměňovat obsah uložených zpráv, atd.

Systém WWW Standartní jazyk pro WWW dokumenty- HTML komunikacni protokol HTTP – URL (Uniform Resource Locator) – lokalizace a vyhledání zdroje – URN (Uniform Resource Name) – identifikace zdroje HTTP response, HTTP request

well-known port 80, klient-server Přínosy nových verzí : – Vytváření trvalých spojení pro více požadavků klienta – Podpora komprimace a dekomprimace dat – Možnost nastavení virtuálních serverů – Podpora bezpečných transakcí DŮLEŽITÉ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Metoda – požadavek (1) – GET – žádá zaslání celé entity specifikované v URI – HEAD – žádá zaslání záhlaví entity specifikované v URI – POST – odesílá obsah zprávy do entity specifikované v URI – Odeslání poštovní zprávy do sdílené schránky – Odeslání dat zapsaných do formuláře – Připojení dat do databáze

– PUT – vkládá obsah zprávy do entity specifikované v URI DELETE – žádá o výmaz entity specifikované v URI

URL (Uniform Resource Locator) – typ URI – formát pro protokol HTTP:

Složky URL •

Hierarchická složka - cesta k objektu (protokol pro přístup k objektu – doménové jméno hostitelského systému – port – cesta k objektu na hostitelském systému)

•

Nehierarchická složka (volitelné položky) – query – uvedené hodnoty jsou předány ke zpracování webovým aplikacím (CGI programům)

– fragment - odkaz na identifikátor (návěští), kterým je označena určitá část webového objektu CGI (Common Gateway Interface) •

Standard pro definice rozhraní mezi Web serverem a externími aplikačními programy

•

CGI programy umožňují dynamickou interakci uživatele s WWW serverem (tvorba dynamických HTML stránek)

Různé typy programů, které lze provozovat v daném systému (kde je spuštěný HTTP server): bash, C, Perl, Java, PHP •

Metoda GET – Lze přenášet pouze znakové řetězce, max. 2048 – Data jsou méně zabezpečena než v metodě POST (jsou „vidět“ v URL)

•

Metoda POST – Lze přenášet jakákoliv data specifikovaná v MIME (v neomezené délce) – Data jsou lépe zabezpečena

– REMOTE_ADDR IP-adresa počítače, z nějž přišel požadavek – REMOTE_HOST doménová adresa počítače, z nějž přišel požadavek – AUTH_TYPE způsob použité autorizace uživatele REMOTE_USER v případě, že byl uživatel autorizován, obsahuje tato proměnná jeho jméno

URI schema https – https není samostatný protokol, ale HTTP interakce šifrovaná přes spojení SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) – Pokud není specifikováno v URL, používá https port 443 – Interakce klient – server vyžaduje autentizaci serveru (povinně) a autentizaci klienta (volitelně)