IP address management

Bankovní institut vysoká škola Praha Katedra Informatiky a kvantitativních metod

IP address management Bakalářská práce

Autor:

Pavel Žák Informační technologie, Správce IS

Vedoucí práce:

Praha

Ing. Jan Háněl

Červen, 2014

Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze dne 30.června 2014

Pavel Ţák

Poděkování: Chtěl bych poděkovat panu Ing. Janu Hánělovi, vedoucímu bakalářské práce, za odborné vedení práce a cenné rady, které mi pomohly tuto práci zpracovat.

Anotace Tématem bakalářské práce je analýza datových sítí z hlediska IP adresace, tvorby IP adres a systémů na správu IP adres doplněný o praktickou ukázku zapůjčení IP adresy. V první části práce jsem se věnoval referenčnímu ISO/OSI modelu. Další části práce pojednávají o IP adrese a moţnosti jejího automatického přidělení. Téţ jsem se zmínil i o nástrojích automatické správy adresního prostoru. Práce končí praktickou ukázkou konfigurace síťového zařízení a analýzy síťového provozu zapůjčení IP adresy.

Klíčová slova: internet protokol, paket, IP adresa, datový provoz, DHCP

Annotation The topic of this bachelor thesis is data networks analysis from IP addressing point of view, IP address creation and IP address managing systems, with additional practical illustration of IP address renting. The first part of thesis is dedicated to referential ISO/OSI model. Other parts of thesis are dedicated to IP address and possibilities of its automatic allocation. The tools of automatic maintenance of address space are also mentioned. The thesis is completed by practical illustrations of network device configuration and network traffic of IP address renting. Key words: internet protocol, packet, IP address, network traffic, DHCP

Obsah Úvod ........................................................................................................................................... 8 Zvolené metody zpracování........................................................................................................ 8 1.

Síťový model ISO/OSI ........................................................................................................ 9 1.1.

Fyzická vrstva (physical layer) .................................................................................... 9

1.1.1.

Přenosová rychlost.............................................................................................. 10

1.1.2.

Přenosová média ................................................................................................. 10

1.1.3.

Přístup k sdílenému přenosovému médiu ........................................................... 10

1.1.3.1.

Kolizní doména ........................................................................................... 11

1.1.3.2.

CSMD/CD – Collision Detection (detekce kolizí) ...................................... 11

1.1.3.3.

CSMD/CA – Collision Avoidence (předcházení kolizí) ............................. 11

1.1.4.

Rozbočovač (hub) ............................................................................................... 11

1.1.5.

Opakovač (repeater) ........................................................................................... 12

1.2.

Linková vrstva (data link layer) ................................................................................. 12

1.2.1.

MAC adresa ........................................................................................................ 12

1.2.2.

Datový rámec (frame) ......................................................................................... 12

1.2.3.

ARP (Address Resolution Protocol) ................................................................... 13

1.2.4.

Přepínač (switch) ................................................................................................ 13

1.2.5.

Most (bridge) ...................................................................................................... 14

1.2.6.

VLAN ................................................................................................................. 14

1.3.

Síťová vrstva (network layer) .................................................................................... 15

1.3.1.

IP adresa ............................................................................................................. 15

1.3.2.

Paket IPv4 (packet) a jeho struktura ................................................................... 15

1.3.3.

Paket IPv6 ........................................................................................................... 16

1.3.4.

Protokoly ............................................................................................................ 17

1.3.4.1.

IP (Internet Protokol) .................................................................................. 17

1.3.4.2.

ICMP (Internet Control Message Protocol) ................................................ 17

1.3.5. 1.4.

Směrovač (router) ............................................................................................... 17

Transportní vrstva (transport layer) ........................................................................... 17

1.4.1.

Porty (ports) ........................................................................................................ 18

1.4.2.

Protokoly ............................................................................................................ 18

1.4.2.1.

TCP (Transmission Control Protocol) ........................................................ 18

1.4.2.2.

UDP (User Datagram Protocol) .................................................................. 18 5

1.5.

Relační vrstva (session layer) .................................................................................... 19

1.6.

Prezentační vrstva (presentation layer) ...................................................................... 19

1.7.

Aplikační vrstva (application layer)........................................................................... 19

1.8.

Encapsulace a Deencapsulace .................................................................................... 20

1.9.

Protokol stack ............................................................................................................ 21

2.

Síťový model TCP/IP ........................................................................................................ 21

3.

IP adresa a IP adresování .................................................................................................. 22 3.1.

4.

IPv4 adresa ................................................................................................................. 22

3.1.1.

Veřejné a privátní adresy .................................................................................... 22

3.1.2.

Maska sítě ........................................................................................................... 23

3.1.3.

Třídy adres IPv4 ................................................................................................. 24

3.1.4.

Speciální IP adresy ............................................................................................. 25

3.1.5.

Adresování s maskou podsítě proměnné délky .................................................. 26

3.1.6.

DNS (Domain Name System) ............................................................................ 27

3.1.7.

Překlad adres NAT ............................................................................................. 28

3.2.

IPv6 ............................................................................................................................ 28

3.3.

Výchozí brána (gateway) ........................................................................................... 30

3.4.

Síťové tunelování ....................................................................................................... 30

Moţnosti přidělení a správy IP adres ................................................................................ 31 4.1.

Autorita pro přidělování čísel na Internetu (IANA) .................................................. 31

4.1.1.

Přidělování IP adres ............................................................................................ 31

4.1.2.

Přidělování názvů domén ................................................................................... 32

4.1.3.

Správa protokolů ................................................................................................ 32

4.2.

RFC (request for comments) ...................................................................................... 32

4.3.

DHCP (Dynamic Host Configuration Protocol) ........................................................ 33

4.3.1.

Metody alokace IP adresy................................................................................... 34

4.3.2.

DHCP Relay Agent ............................................................................................ 34

4.3.3.

Komunikace DHCP klient-server ....................................................................... 35

4.3.4.

Stavy DHCP klienta ........................................................................................... 36

4.3.4.1.

Restart DHCP klienta .................................................................................. 37

4.3.4.2.

Prodlouţení zápůjčky IP konfigurace DHCP klienta .................................. 38

4.3.4.3.

Přesun DHCP klienta do jiné sítě ................................................................ 39

4.3.5.

Více DHCP serverů v síti ................................................................................... 39

4.3.6.

Formát zpráv DHCP ........................................................................................... 39 6

4.3.7.

Sekce moţností (options) ................................................................................... 41

4.3.8.

DHCP Snooping ................................................................................................. 43

4.4.

5.

Automatická konfigurace v IPv6 ............................................................................... 43

4.4.1.

DHCPv6 ............................................................................................................. 44

4.4.2.

DUID (DHCP Unique Identifier) ....................................................................... 44

4.5.

Mobile IP ................................................................................................................... 44

4.6.

Software IPAM .......................................................................................................... 46

4.6.1.

IPAM Windows Server 2013 ............................................................................. 46

4.6.2.

Cisco Prime Network Registrar IPAM ............................................................... 47

Praktická ukázka ............................................................................................................... 49 5.1.

Konfigurace počítače jako DHCP klienta .................................................................. 49

5.2.

Konfigurace směrovače pro domácí pouţití .............................................................. 49

5.3.

Konfigurace Cisco směrovače ................................................................................... 52

5.3.1.

Konfigurace DHCP ve směrovači ...................................................................... 53

5.3.2.

Ověření síťové komunikace................................................................................ 54

Závěr ......................................................................................................................................... 56 Pouţité zdroje ........................................................................................................................... 57 Seznam obrázků........................................................................................................................ 59 Seznam tabulek ......................................................................................................................... 60 Pouţité SW nástroje ................................................................................................................. 61 Seznam pouţitých zkratek ........................................................................................................ 61

7

Úvod V současnosti registrujeme velký rozmach komunikačních technologií. Některé technologie upadnou v zapomnění, jiné se prosadí. Téměř vţdy je základ úspěchu komerční vyuţití. Ne vţdy se prosadí optimální řešení. V následující práci jsem se rozhodl analyzovat princip, jak datové sítě pracují z pohledu IP adresace, neboť velmi mnoho komunikačních prvků vyuţívá právě IP adresy. V úvodu práce jsem se snaţil nastínit, jak teoreticky datové sítě pracují na principu referenčního modelu ISO/OSI, popřípadě jemu příbuznému modelu TCP/IP, podle kterého se řídí Internet. Aby datové sítě pracovaly a jednotlivá zařízení, ať uţ počítače, mobilní telefony, tablety a jiné zařízení mohly se sebou komunikovat, je potřeba proces komunikace nějakým způsobem formalizovat. K tomuto účelu nám mimo jiné slouţí právě IP adresa. Komunikace v datové síti je v mnohé literatuře přirovnávána k doručování poštovních zásilek. Aby poštovní komunikace doručování zásilek pracovala správně, je nutné vědět přesnou adresu odesílatele a adresáta. V tomto příkladu je moţné spatřovat analogii s doručováním zpráv po datové síti za vyuţití IP adres. Cílem této práce bylo poukázat na to, jaký je systém tvorby IP adresy a jakým způsobem ji lze automaticky generovat, aniţ by si ji uţivatel musel nastavovat či jinak konfigurovat. Závěr práce je věnován praktické ukázce nastavení aktivních prvků sítě z hlediska přidělování IP adres a ověření teoretických poznatků z odchyceného síťového provozu.

Zvolené metody zpracování Zpracování této práce předcházelo studium odborné literatury a internetových zdrojů. Jelikoţ zvolené téma je základním kamenem pro síťové specialisty, je toto téma popisováno více autory. Ne vţdy jsem se setkal se stejnou interpretací dané problematiky u všech zdrojů. Proto jsem se snaţil vybrat zdroje a fakta, které jsem si mohl ověřit z více zdrojů, dosavadní praxe, tak i z konzultací s různými specialisty. Poznatky získané tvorbou této práce jsem se snaţil ověřit v praktické části, především zachycením síťového provozu mezi zařízeními.

8

1. Síťový model ISO/OSI Referenční model ISO/OSI je teoretický model znázorňující komunikaci v počítačové síti. Byl vytvořen Mezinárodní organizací pro normalizaci (ISO - International Organization for Standardization) jiţ v roce 1983. Model OSI (Open System Interconnection - propojení otevřených systémů) je normalizovaná sada protokolů popisující komunikaci v počítačové síti. Hlavní myšlenkou tohoto teoretického modelu je zabezpečit standardy pro účely propojování počítačových sítí. Tento teoretický model ISO/OSI je sedmivrstvý. Model nespecifikuje realizaci systémů, je to spíše soubor zásad. Je zaměřen na obecné principy sedmivrstvé síťové struktury, jenţ popisuje jednotlivé vrstvy, funkce a sluţby, které jednotlivé vrstvy zabezpečují. Podle modelu probíhá komunikace mezi jednotlivými vrstvami na vertikální úrovni, spolupracují vţdy sousední vrstvy nad sebou. Komunikace nikdy nemůţe přímo proběhnout mezi vrstvami, které spolu přímo nesousedí. Vrstva na vyšší úrovni můţe ţádat niţší vrstvu o sluţbu a tudíţ niţší vrstva poskytuje sluţbu vrstvě přímo nad ní. Pro zajištění komunikace mezi vrstvami na stejné úrovni v horizontálním směru jsou ve skutečnosti vyuţívány niţší vrstvy. Obrázek 1 - Vrstvy ISO/OSI modelu

Zdroj: [1]

1.1. Fyzická vrstva (physical layer) Vrstva zajišťující komunikaci na úrovni elektrického, elektromagnetického, optického signálu v podobě bitového přenosu, coţ představuje především příjem a odesílání jednotlivých bitů, jejich synchronizaci a časování při odesílání na síť. 9

1.1.1. Přenosová rychlost Přenosová rychlost udává mnoţství informací, které je moţno přenést za jednotku času. Jako základní jednotka, a nejčastěji pouţívaná, se uvaţuje jeden bit za jednu sekundu (b/s, nebo anglicky bps – bits per second). Bit za sekundu je nízká hodnota, z tohoto důvodu se pouţívají násobky viz tabulka. Tabulka 1 - Násobky jednotky bit/sekundu

Jednotka

Zktatka

Převod

1 kilobit/sekundu

1 kb/s

1 kb/s = 1 000 b/s

1 megabit za sekundu

1 Mb/s

1 Mb/s = 1 000 000 b/s

1 gigabit za sekundu

1 Gb/s

1 Gb/s = 1 000 000 000 b/s

1 terabit za sekundu

1 Tb/s

1 Gb/s = 1 000 000 000 000 b/s

Zdroj: autor 1.1.2. Přenosová média Součástí této vrstvy jsou také přenosová média. Mimo jiné se liší i hodnotou přenosové rychlosti. V dnešní době nejrozšířenější jsou: Metalické kabely - Koaxiální kabely, STP kabely, UTP kabely. Optická média - Mnohovidová (mutlimode), jednovidová (single mode). Bezdrátový přenos –Wi-Fi, Bluetoot. Tato vrstva síťového modelu je závislá na pouţité technologii (např. Ethernet, Token Ring ...). 1.1.3. Přístup k sdílenému přenosovému médiu Sdíleným přenosovým médiem rozumíme komunikační kanál pouţívaný více zařízeními. Pro přístup k sdílenému médiu se pouţívají dvě základní metody deterministická a nedeterministická. Deterministická - kaţdému zařízení připojeném na sdílené médium je vyhrazen časový okamţik pro komunikaci. Jestliţe ukončí komunikaci nebo nemá v úmyslu komunikovat, je na řadě další zařízení. Tato metoda je vyuţívána technologií Token Ring.

10

Nedeterministická - oproti předchozí metodě, nemusí zařízení vyčkávat, aţ na něj přijde řada, ale sleduje provoz na médiu a jestliţe je volné, můţe se pokusit o komunikaci. Aby nedocházelo ke kolizím, je nasazen mechanizmus CSMA (Carrier Sense Multiple Access), jehoţ úkolem je detekovat provoz na médiu. Tato metoda je vyuţívána technologií Ethernet a bezdrátovou komunikací. 1.1.3.1. Kolizní doména Je část segmentu přenosového média datové sítě, která je sdílena několika hardwarovými prvky. Neţádoucí efekt kolizní domény spočívá v situaci, kdy se dvě nebo více zařízení snaţí komunikovat v jeden časový okamţik. Na přenosovém médiu se objeví současně několik signálů z různých zdrojů. Výsledkem je znehodnocení signálu a přerušení komunikace. 1.1.3.2. CSMD/CD – Collision Detection (detekce kolizí) Technologií vyuţívající tuto metodu je Ethernet. Zařízení kontroluje sdílené médium, a pokud na něm není provoz, zahájí vlastní komunikaci. Toto můţe být příčinou kolizí a tudíţ znehodnocení signálu. 1.1.3.3. CSMD/CA – Collision Avoidence (předcházení kolizí) Tato metoda se vyuţívá u bezdrátového vysílání. Zařízení, jenţ má v úmyslu vysílat, opět kontroluje médium, a pokud je nevyuţíváno, pošle na médium informaci pro ostatní zařízení, ţe bude komunikovat, tím se předchází kolizím při vysílání dat. Kolize můţe nastat při vysílání informace o úmyslu vysílat, coţ nevede ke ztrátě dat. 1.1.4. Rozbočovač (hub) Představitel hardwarového vybavení datové sítě na této vrstvě je rozbočovač (hub). Rozbočovač je aktivní prvek v síti, který přeposílá provoz z jednoho portu na všechny ostatní bez stanovených pravidel. Nevýhoda tohoto prvku je, ţe zahlcuje datovým provozem ostatní segmenty sítě, pro které provoz není určen a zvětšuje kolizní doménu. Rozbočovač se v dnešní době nahrazuje přepínačem (switch).

11

1.1.5. Opakovač (repeater) Opakovač (repeater) můţeme chápat jako zvláštní případ rozbočovače. Opakovač se pouţívá pro prodlouţení přenosové trasy. Při přenosech elektrického signálu na větší vzdálenosti dochází k jeho zkreslení a mohlo by dojít k chybné interpretaci u cílového prvku sítě. Opakovač příjme el. signál, obnoví jeho původní parametry a opět ho odešle k cílovému zařízení.

1.2. Linková vrstva (data link layer) Někdy také označována jako spojová nebo vrstva datových spojů zajišťuje datový provoz v lokální síti (LAN – Local Area Network). Tato vrstva vyuţívá sluţeb niţší vrstvy, tedy vrstvy fyzické. Aby zařízení mohlo být připojeno k datové síti, je nutné, aby bylo vybaveno tzv. síťovou kartou (NIC – Network Interface Card). 1.2.1. MAC adresa Kaţdá síťová karta je opatřena tzv. MAC adresou (Media Access Control), coţ je jednoznačný identifikátor kaţdé síťové karty zařízení, které je v datové síti připojeno nastálo (stolní počítače, switche, routery, servery a jiné) nebo se k síti připojuje na omezenou dobu např. pomocí Wi-Fi (notebooky, mobilní telefony, tablety a jiná především přenosná zařízení). MAC adresa je reprezentována 48bitovým (6bajtovým) číslem. Pro zjednodušení se obvykle zapisuje jako šest hexadecimálních dvouciferných čísel (např. 00-23-8B-31-07-58). První 3 bajty jsou vyhrazeny pro specifický kód (vendor code) výrobce, jenţ mu je přidělen. V praxi to znamená, ţe lze jednoduše identifikovat výrobce dané síťové karty. Poslední 3 byty MAC adresy jsou v reţii výrobce. Při datovém provozu na lokální síti (LAN) se vyuţívá právě MAC adresy. V praxi se můţeme setkat se zařízením, které má dvě, či více síťových karet (switch, router, server). 1.2.2. Datový rámec (frame) Datový rámec je základní útvar dat pro přenos na linkové vrstvě, jeho sloţení je závislé na pouţité technologii (např. Ethernet), skládá se ze záhlaví (header), přenášených dat (payload) a zápatí (trailer). Rámec přenáší v záhlaví MAC adresu příjemce, MAC adresu odesílatele a další řídící informace. Zápatí obsahuje kontrolní součet z přenášených dat z důvodu zpětné kontroly přenesených dat. 12

Tabulka 2 - Datový rámec

7B

1B

Preambule

SFD

6B

6B

2B

MAC

MAC

cílová

zdrojová

46 - 1500 B

Typ/délka Data a výplň

4B FCS

Zdroj: autor podle [2] Preambule – 7 bajtů, střídá se logická 0 a 1, synchronizace hodin příjemce. SFD (Start of Frame Delimiter) – značka začátku rámce (bajt ve tvaru 10101011). MAC cílová – MAC adresa cílového zařízení. MAC zdrojová – MAC adresa zdrojového zařízení. Typ/délka – pole určuje pro Ethernet II typ protokolu na vyšší vrstvě a pro Ethernet (IEEE 802.3) udává délku dat. Data – pole vyhrazené pro přenášená data, minimálně 46 bajtů a maximálně 1500 bajtů. Výplň – v případě přenosu menšího počtu dat neţ je 46 bajtů je nutné vyplnit zbývající datové části rámce. FCS (Frame Check Sequence) – 32bitový kontrolní součet, příjemce ověřuje správnost přenesených dat, v případě chyby se rámec zahazuje. 1.2.3. ARP (Address Resolution Protocol) Tento typ protokolu se uţívá na lokálním segmentu sítě (subnetu), kdy známe cílovou IP adresu, ale neznáme MAC adresu (nutná pro sestavení rámce na linkové vrstvě). Zařízení, jenţ chce komunikovat, musí sestavit tzv. ARP ţádost (request), jenţ obsahuje mimo jiné vlastní IP a MAC adresu a IP adresu příjemce, u něhoţ nezná MAC adresu. Tato ţádost je odeslána broadcastem (FF: FF: FF: FF: FF: FF) na linkové vrstvě. Zařízení, jemuţ patří IP adresa, odpoví jiţ s platnou MAC adresou. 1.2.4. Přepínač (switch) Přepínač dokáţe z datového rámce rozpoznat MAC adresu a daný rámec přeposlat na patřičný port, kde se nachází zařízení se síťovou kartou s danou MAC adresou. Dalo by se říct, ţe přepínač je “chytrý“ opakovač. Tím, ţe přepínač přepošle datový rámec jen na port, kde se nachází daná MAC adresa, zmenšuje kolizní doménu. 13

1.2.5. Most (bridge) Rozdíl mezi switchem a bridgem je ten, ţe switch přepíná datové rámce hardwarově a bridge softwarově. 1.2.6. VLAN Virtual Local Area Network nebo také virtuální LAN představují moţnost logicky rozčlenit rozsáhlou síť, aniţ by se zasahovalo do fyzické struktury. Důvody rozčlenění sítě do VLAN jsou podle [3] : Seskupování zařízení – například můţeme od sebe logicky oddělit síť zabezpečující distribuci Internetu (koncová zařízení můţou být stolní počítače, notebooky, tablety, mobilní telefony…) od kamerového dohledu (koncová zařízení můţou být IP kamery) či síť vyuţívaná pro IP telefonii. Sníţení broadcastů v síti. Zmenšení kolizních domén v době, kdy se nepouţívaly přepínače, ale třeba huby. Zjednodušená správa – potřebujeme-li přesunout zařízení do jiné sítě, není nutné ho fyzicky přepojit, stačí ho nakonfigurovat do patřičné VLANy. Zvýšení zabezpečení – oddělení komunikace. Oddělení speciálního provozu – oddělí sítový provoz, který není nutné distribuovat do celé sítě. Sníţení HW v síti. Rozčlenění rozsáhlé sítě do VLAN se provádí právě na 2., tedy linkové vrstvě. Zařízení, na němţ se VLANy konfigurují, je přepínač. Rozdělení komunikace do VLAN se provádí pomocí několika metod: Podle portu – porty na přepínači jsou nakonfigurovány do jednotlivých VLAN. Podle MAC adresy – rámce jsou identifikovány podle zdrojové MAC adresy, přepínač musí mít tabulky se seznamem MAC adres a jejich příslušnosti k VLAN. Podle protokolu - podle informace ze síťové vrstvy o protokolu paketu. Podle autentizace – například pomocí RADIUS serveru se ověří totoţnost klienta o zařazení do správné VLANy. Procházející rámc sítí je označen (rámec je doplněn o tzv. tag), podle tohoto označení se určuje jeho příslušnost k dané VLAN. 14

1.3. Síťová vrstva (network layer) Vrstva řídí proces směrování v sítích LAN (Local Area Network) i WAN (Wide Area Network), mapuje umístění zařízení v síti a rozhoduje o nejvhodnějším způsobu dopravy dat k cílovému zařízení. Síťová vrstva přenáší provoz mezi zařízeními, jenţ neleţí na lokálním segmentu sítě. K tomuto účelu se vyuţívá IP adresa. 1.3.1. IP adresa IP adresa je logická adresa zařízení v síti slouţící ke směrování dat v síti. V dnešní době se pouţívají dvě verze IP adres. Nejčastěji se setkáme s verzí čtyři (IPv4), ale do budoucna se předpokládá přechod na verzi šest (IPv6) z důvodu vyčerpání adresního prostoru IPv4. 1.3.2. Paket IPv4 (packet) a jeho struktura Data na 3., tedy síťové vrstvě se označují jako paket nebo také datagram. Paket IP protokolu obsahuje IP adresu zdrojového a cílového zařízení a další řídící informace např. verzi protokolu, délku dat atd. Tabulka 3 - Paket IPv4

1.Byte Verze IP

2.Byte IHL

3.Byte

Typ sluţby

Identifikace TTL

4.Byte Délka paketu

Příznaky

Protokol

Umístnění fragmentu Kontrolní součet hlavičky

Zdrojová IP adresa Cílová IP adresa Volitelné poloţky záhlaví Přenášená data Zdroj: autor podle [4] Verze IP - určuje verzi protokolu IP, zda se jedná o IPv4 nebo IPv6. IHL (Internet Header Lenght) - délka záhlaví IP paketu. Typ sluţby – tato poloţka určuje kvalitu přenosu, např. spojitý přenos videa nebo hlasu. 15

Délka paketu – celková délka IP paketu včetně z hlavičky i dat uvnitř. Identifikace – označení fragmentu při vyuţívání procesu fragmentace. Příznak (Flags) – povolení nebo zakázání fragmentace. Umístnění fragmentu (Fragment offset) – vyuţívá se při opětovné rekonstrukci fragmentovaného paketu. TTL (Time to Live) – maximální doba ţivotnosti paketu slouţí k zamezení výskytu „zatoulaných“ paketů v síti, mění se při průchodu směrovačem. Protokol – nese informaci o protokolu vyšší vrstvy (např. TCP, UDP). Kontrolní součet hlavičky (Header checksum) – při změně některé z hodnot v hlavičce IP paketu (např. TTL) se musí přepočítat i tato poloţka. Zdrojová IP adresa (Source address) – IP adresa odesílatele. Cílová IP adresa (Destination address) – IP adresa příjemce. Volitelné poloţky záhlaví – volitelné hodnoty. 1.3.3. Paket IPv6 Formát paketu verze 6 má standardní podobu jak u verze 4 (záhlaví + přenášená data). Hlavní rozdíl je ve sloţení záhlaví, neboť adresa se prodlouţila z 32 bitů na 128 bitů. Záhlaví u IPv6 je sloţené jen z nejnutnějších poloţek, viz níţe. Tabulka 4 - Paket IPv6

1.Byte Verze IP

2.Byte

3.Byte

Třída provozu

4.Byte

Značka toku

Délka dat

Další hlavička

Maximum skoků

Zdrojová IP adresa Cílová IP adresa Zdroj: autor podle [5] Verze (Version) – identifikace verze protokolu. Třída provozu (Traffic Class) – priorita paketu určující poţadavky na vlastnosti sítě. Značka toku (Flow Label) – označení proudu dat od jednoho zdroje k jednomu cílovému zařízení se stejnými parametry, usnadňuje směrování. 16

Délka dat (Playload Lenght) – specifikace délky dat. Další hlavička (Next Header) – specifikace typu hlavičky nebo následujících dat za základní hlavičkou. Maximum skoků (Hop Limit) – maximální počet průchodů směrovači, určuje zdrojové zařízení (v IPv4 to byla poloţka TTL), po průchodu směrovačem se zmenší o jedničku, v případě vynulování je paket zahozen a směrovač posílá zprávu ICMP (Internet Control Message Protocol) zdrojovému zařízení. Zdrojová IP adresa (Source Address) – IP adresa zdrojového zařízení (128bitů). Cílová IP adresa (Destination Address) – IP adresa cílového zařízení (128bitů). [6] 1.3.4. Protokoly 1.3.4.1. IP (Internet Protokol) Je v dnešní době dominantní druh protokolu (vyuţit v internetu i LAN), vyuţívající se pro přenos a směrování dat přes jiné sítě při vyuţití IP adresy. 1.3.4.2. ICMP (Internet Control Message Protocol) Tento typ protokolu je ze sady IP protokolů pracující na síťové vrstvě, je pouţíván pro zasílání signalizačních a kontrolních zpráv. Hlásí nestandardní stavy v síti jako je např. nedostupnost cíle (např. nelze načíst webovou stránku). ICMP také vyuţívají programy ping a tracert k diagnostice sítě. ICMP je „zabalen“ do IP protokolu. 1.3.5. Směrovač (router) Směrovač je zařízení pracující na třetí, tedy síťové vrstvě ISO/OSI modelu. Pouţívá se k propojení více sítí a jeho hlavním úkolem je směrování paketu do cílové sítě na základě IP adresy. Směrovače mají ve své vnitřní paměti tzv. směrovací (routovací) tabulky, které si pravidelně aktualizují (pomocí směrovacích protokolů, např. RIP, OSPF) a podle nichţ dokáţí spolu s IP adresou cíle rozpoznat, kde se cílový prvek nachází.

1.4. Transportní vrstva (transport layer) Úkolem transportní vrstvy je zabezpečit spojení mezi aplikacemi spuštěnými na komunikujících zařízeních a rozdělit data přijaté od vyšší vrstvy do tzv. segmentů u TCP a user datagramů u UDP, popřípadě zpět rekonstruovat data přijatá od niţší vrstvy. Segmenty či datagramy jsou značeny podle aplikace od které pochází nebo pro které jsou určeny čísly

17

portů. Nejznámějšími protokoly této vrstvy jsou jiţ zmiňované TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). 1.4.1. Porty (ports) Porty v síťové komunikaci jsou čísla v rozsahu 1 aţ 65535 (16 bitů - 216) slouţící k označení komunikující aplikace přes síťové rozhraní. Dobře známé porty (well-known ports) -

1 – 1023 jsou vyhrazeny

pro konkrétní, všeobecně pouţívané aplikace, například HTTP (80), POP3 (110), IMAP (143), DHCP (67- server, 68 - klient). Registrované porty – 1024 – 49151 lze je dle potřeby přiřazovat jako odchozí pro aplikace spuštěné uţivatelem s běţným oprávněním. Dynamické porty – 49152 – 65535 – jsou přiřazována dynamicky. O správu a přiřazování portů se stará organizace IANA (Internet Assigned Numbers Authority). 1.4.2. Protokoly 1.4.2.1. TCP (Transmission Control Protocol) Tento typ protokolu je tzv. spojově orientovaný. Jeho hlavní předností a účelem proč byl vytvořen je, ţe všechna data, která byla odeslána ze zdrojového zařízení musí být přijata cílovým zařízením v plném rozsahu a správném pořadí, coţ je zajištěno neustálým potvrzováním přijímaných dat. V případě ztráty segmentu si cílové zařízení vyţádá opakování přenosu daného segmentu. TCP je sice spolehlivý, nedojde ke ztrátě dat, ale současně narůstá reţie (řídící informace) a tím i doba nutná pro přenos informace. 1.4.2.2. UDP (User Datagram Protocol) UDP je povaţován za nespojovaný protokol. Je vyuţíván aplikacemi, jeţ nevyţadují doručení dat v plném rozsahu a platném pořadí. Není vyţadováno opětovné zasílání chybných a ztracených dat. Příčinou doručení datagramů v jiném pořadí, neţ byly odeslány ze zdrojového zařízení, můţe být pro kaţdý datagram jiná cesta, kterou se k cílovému zařízení dostane. UDP je jednodušší na reţii neţ TCP a tím i méně časově náročný. Tento typ protokolu vyuţívají například aplikace pro přenos hlasu VoIP (Voice over Internet Protocol), videostreaming, DHCP(Dynamic Host Configuration Protocol).

18

1.5. Relační vrstva (session layer) Tato vrstva zajišťuje zřízení, reţii a ukončení relací mezi objekty prezentační vrstvy. Dalším úkolem této vrstvy je zajištění řízení komunikace mezi koncovými zařízeními. Na této vrstvě se také rozhoduje o reţimu komunikace: Simplex – přenos dat, informací, signálu po přenosovém médiu vţdy jen jedním směrem od vysílače (zdroje) k přijímači (cíli). Poloviční duplex (half-duplex) – komunikace mezi zařízeními se můţe uskutečňovat v obou směrech, ale v jeden časový okamţik zařízení pracuje pouze jako přijímač nebo vysílač. Plný duplex (full-duplex) – opak simplexního provozu, data se mohou přenášet oběma směry současně (zařízení dokáţe pracovat současně jako přijímač i vysílač). „Podtrţeno a sečteno, relační vrstva drţí v podstatě data určité aplikace oddělená od dat jiných aplikací.“ [7]

1.6. Prezentační vrstva (presentation layer) Tato vrstva prezentuje data vyšší, tedy aplikační vrstvě a ručí za transformaci a formátování dat. Dalo by se konstatovat, ţe je "překladačem" k zajištění kódování a konverzi dat. Prezentační vrstva obstarává, ţe data odeslaná z aplikační vrstvy zdrojového systému budou čitelná i v aplikační vrstvě cílového systému. Vrstva zajišťuje úkony jako je například komprese, dekomprese, šifrování a dešifrování dat.

1.7. Aplikační vrstva (application layer) Tato vrstva poskytuje sluţby pro aplikace vyuţívající komunikaci po síti. Je zodpovědná za označení patřičného komunikačního partnera, za ověření jeho dostupnosti a zda-li jsou pro tuto komunikaci k dispozici potřebné prostředky. Aby bylo moţné komunikovat po síti, je nutné specifikovat pravidla (protokoly), jenţ přenos dat po síti řeší. Mezi některé nejznámější protokoly aplikační vrstvy můţeme zařadit: HTTP (Hypertext Transfer Protocol) – velmi vyuţívaný internetový protokol pro přenos dat z webových serverů ke klientovi. HTTPS (Hypertext Transfer Protocol Secure) – je vylepšený protokol HTTP, komunikace mezi serverem a klientem je šifrována z důvodu zabezpečení před odposlechem. V praxi vyuţito například při tzv. internetbankingu. 19

DHCP

(Dynamic

Host

Configuration

Protocol)

–

je

protokol

určený

k automatizovanému síťovému nastavení zařízení při připojení se do sítě. DNS (Domain Name System) – sluţba umoţňující překlad síťové adresy (IP) na jmennou adresu. FTTP (File Transfer Protocol) – protokol vyuţívaný pro přenos souborů přes počítačovou síť. Protokoly elektronické pošty: SMTP (Simple Mail Transfer Protocol). POP (Post Office Protocol). IMAP (Internet Message Access Protocol). Protokoly umoţňující vzdálenou správu zařízení: Telnet (Telecommunication Network) – pomocí tohoto protokolu se lze vzdáleně připojit k zařízení. Nevýhodou je ţe komunikace probíhá nešifrovaně. SSH (Secure Shell) – vznikl jako náhrada za Telnet, komunikace je šifrována.

1.8. Encapsulace a Deencapsulace Při odesílání dat aplikace se realizuje encapsulace (zapouzdření) od nejvyšší aplikační vrstvy směrem k nejniţší fyzické vrstvě. Kaţdá vrstva OSI modelu uchopí data z vrstvy nad ní a přidá si svoji hlavičku (záhlaví) popřípadě zápatí. Na transportní vrstvě procesem encapsulace vzniká segment, na síťové vrstvě paket (k datům se přidává IP adresa vyuţívaná pro směrování v síti WAN i LAN) a na linkové vrstvě vzniká datový rámec (přidá se MAC adresa pro adresování v síti LAN). Deencapsulace (rozbalení) se provádí při příjmu dat a řídí se stejným principem, ale opačným směrem od fyzické k aplikační vrstvě. Tabulka 5 - Encapsulace / Deencapsulace

Vrstva

Reprezentace dat

Encapsulace / Deencapsulace

Aplikační Prezentační

Data

Relační Transportní Segment/ User datagram Síťová

Paket

Linková

Rámec

Fyzická

El. signál

TCP/UDP hlavička Data z vyšší vrstvy IP hlavička MAC cíle/zdroje

Data z vyšší vrstvy

Data z vyšší vrstvy

FCS

10110001010100100111100010101001010111000101010010101

Zdroj: autor podle [8] 20

1.9. Protokol stack Při přenosu dat sítí od aplikace zdrojového zařízení k aplikaci cílového zařízení se vyuţívají vrstvy ISO/OSI modelu. Na kaţdé vrstvě modelu jsou specifikovány komunikační protokoly, jenţ se vyuţívají pro svoje specifické vlastnosti. Pro kaţdou vrstvu modelu můţe (ale nemusí) existovat několik alternativních komunikačních protokolů. Například pro fyzickou vrstvu existují konkrétní přenosové protokoly určené pro optická vlákna, metalické kabely nebo bezdrátový přenos, UDP nebo TCP pro transportní vrstvu. Je tedy potřebné implementovat tolik protokolů, kolik je nutné pro poskytnutí funkcí všech vrstev. Taková sada protokolů (protocol stack) reprezentuje konkrétní síťové řešení transportu dat přes přenosové sítě. V současné době můţe být příkladem architektura TCP/IP, jejíţ konkrétní pouţití pak reprezentuje tzv. "TCP/IP protocol stack.

2. Síťový model TCP/IP Tento síťový model, TCP/IP (Transmission Control Protocol/Internet Protokol) vychází z předešlého teoretického modelu ISO/OSI. Na principu TCP/IP modelu je v současnosti postavena komunikace v síti Internet. Model TCP/IP není závislý na přenosovém médiu a je pouţitelný pro sítě WAN i LAN. Myšlenka TCP/IP je zaloţena na existenci čtyř vrstev oproti sedmi v ISO/OSI modelu, předpokládá, ţe niţší vrstvy zajišťují nespolehlivé přenosové sluţby (nestará se o potvrzení o doručení dat atd.). O spolehlivost přenosu se starají vyšší vrstvy, a to pouze v případech, je-li to vyţádáno. Vrstvy TCP/IP modelu: Vrstva síťového rozhraní – zajišťuje odesílání dat na síť dle pouţitého fyzického přenosového média. Síťová (internetová) vrstva – stará se o adresaci, směrování v síti a doručování paketů/datagramů do cílového zařízení. Transportní vrstva – zabezpečuje komunikaci koncových zařízení a řeší otázku spolehlivosti doručení dat. Aplikační vrstva – je představována aplikacemi, které vyuţívají přenos dat po síti, řeší zobrazení a kódování dat. [9]

21

Tabulka 6 - Srovnání modelu ISO/OSI a TCP/IP

Model OSI

Model TCP/IP

Aplikační Prezentační

Aplikační

Aplikace a protokoly HTTP, HTTPS, DHCP, DNS, FTTP, SMTP, POP, IMAP, Telnet, SSH …

Relační Transportní

Transportní

TCP, UDP

Síťová

Síťová

IP, ARP (RARP), ICMP …

Linková

Vrstva síťového

Fyzická

rozhraní

Ethernet, Token Ring … Zdroj: autor podle [9]

3. IP adresa a IP adresování IP adresa je jednoznačný číselný identifikátor, kterým je označeno kaţdé zařízení v IP síti a je softwarová (logická). Určuje konkrétní umístění zařízení v síti. Adresování v IP sítích je konstruováno tak, aby mohlo zařízení v jedné síti komunikovat se zařízením v jiné síti bez ohledu na to, do jaké podsítě jsou zařízení připojena. V současnosti máme dvě verze IP adres, verze 4 (IPv4) a verze 6 (IPv6). Z důvodu obav o vyčerpání adresního prostoru IPv4 se přechází na IPv6, jenţ skýtá daleko větší adresní prostor, viz níţe.

3.1. IPv4 adresa IPv4 – IP adresa verze čtyři je 32bitová, coţ z hlediska velikosti adresního prostoru představuje 232 adres (přibliţně 4,29 miliardy). Zpravidla se zapisuje do skupin čtyř oktetů (oktet – 8 bitů). V praxi se můţeme setkat s několika druhy zápisu IP adresy, nejčastější je v dekadické podobě (192.168.2.1) a u síťových specialistů v binární podobě (11000000.10101000.00000010.000000001). 3.1.1. Veřejné a privátní adresy S rozšířením internetového připojení a tedy i se zvýšením počtu uţivatelů se ukázalo, ţe mnoţství IP adres, které je moţno v IPv4 vytvořit, je nedostatečné. Východiskem jsou různé techniky jak IP prostor rozšířit. Moţným řešením je implementace nové verze IPv6. Další z moţností je na stávající verzi nasadit techniku rozdělení IP adres na veřejné a neveřejné IP adresy. 22

Veřejné IP adresy (public address) - tvoří část adresního prostoru Internetu, tyto adresy je moţné pouţít k směrování v rámci celého Internetu. V praxi to znamená, ţe zařízení s veřejnou IP adresou můţe být přímo směrovatelné z celého internetu. Tyto adresy nesmí být pouţity v celé veřejné síti (internet) vícekrát, musí být unikátní. Privátní IP adresy (private address) – se pouţívají pouze v rámci LAN sítí. V různých LAN sítích se mohou opakovat. Pokud potřebujeme komunikovat přes veřejnou síť (internet), vyţijeme jednu nebo více veřejných adres a pomocí techniky NAT (Network Address Translation) se privátní adresa přeloţí na veřejnou IP adresu. Totoţné privátní IP adresy je tak moţné pouţít na několika místech, ale nelze je přímo směrovat. 3.1.2. Maska sítě Podle

předešlého,

teoreticky

IP

adresa

můţe

nabývat

hodnot

0.0.0.0

aţ

255.255.255.255, coţ je rozsah adres IP sítí a Internetu. Z důvodu směrování v IP sítích je IP adresa strukturovaná nebo-li hierarchická a je rozdělena na část adresy, jenţ je společná pro všechny zařízení připojené k jedné podsíti (tzv. adresa sítě) a část, která jednoznačně identifikuje připojené zařízení. K tomuto účelu nám slouţí tzv. maska sítě. Maska sítě je stejně jako adresa IPv4 32bitové číslo, v jehoţ binárním zápisu nám jedničky určují adresu sítě a ve zbytku zápisu nám určují nuly prostor pro adresaci zařízení. Příklad: Dekadický zápis:

255.

255.

255.

0

Binární zápis: 11111111. 11111111. 11111111. 00000000 Pro zkrácení zápisu IP adresy a k ní přiřazené masky sítě je moţné pouţít zápis pomocí prefixu, kdy za IP adresu pomocí lomítka zapíšeme číslo v dekadickém tvaru. Toto číslo nám ukazuje počet jedniček, počítáno zleva, označující masku sítě, např. 192.168.1.15/24 odpovídá masce 255.255.255.0. V tomto případě je tedy část 192.168.1.0 adresa sítě a 192.168.1.15 je IP adresa zařízení. V binárním tvaru lze pomocí logického součinu ze zadané IP adresy a masky sítě zjistit číslo sítě.

23

Tabulka 7 - Logický součin

Dekadicky

Binárně

IP adresa

192.16.1.15

11000000.00010000.00000001.00001111

Maska sítě

255.255.0.0

11111111.11111111.00000000.00000000

Číslo sítě

192.16.0.0

11000000.00010000.00000000.00000000 zdroj: autor

3.1.3. Třídy adres IPv4 Jak jiţ bylo řečeno IP adresa je rozdělena na adresu podsítě a adresu zařízení (nebo také uzlu). Z historického hlediska je moţné, dle pouţité masky podsítě, dělit IP adresy do pěti tříd (A, B, C, D, E). Třída A – v binárním zápisu začíná nulou, první oktet (8 bitů) je vyhrazen pro adresu podsítě, teoreticky lze tedy adresovat aţ 27 (128) podsítí obsahující 224 koncových zařízení (uzlů). Třída B - binární zápis začíná kombinací 10, pro adresu zařízení jsou vyhrazeny dva oktety (16 bitů), coţ znamená moţnost adresovat aţ s 216 (65 536) koncových zařízení (uzlů). Třída C – první tři bity mají hodnotu 110, poslední oktet je vyhrazen pro adresu zařízení (uzlu), lze teoreticky adresovat 28 zařízení (uzlů). Třída D – hodnota prvních čtyř bajtů v prvním oktetu je 1110, zbylé adresy jsou pouţity pro tzv. multicast. Třída E – první čtyři bity jsou 1111, adresy této třídy se vyuţívají pro výzkumné účely. Tabulka 8 - Tabulka adresních tříd

Třída

Uţití bitů v 1.bjtu

Rozsah adres

Bity pro

Maska

adresu sítě

Bity pro adresu zařízení

A

0xxxxxxx

0-127.x.x.x

255.0.0.0

7

24

B

10xxxxxx

128 - 191.x.x.x

255.255.0.0

14

16

C

110xxxxx

192 - 223.x.x.x

255.255.255.0

21

8

D

1110xxxx

224 - 239.x.x.x

multicast

E

1111xxxx

240 - 255.x.x.x

rezervováno

zdroj: autor 24

3.1.4. Speciální IP adresy Jak jiţ bylo v předchozí části uvedeno IP adresa je tvořena částí vyhrazenou pro adresu sítě a částí adresy zařízení. Obecně tedy lze IP adresu napsat ve tvaru: adresa sítě . adresa zařízení (hosta) Mimo adresní třídnosti je také moţno obecně označit takové IP adresy, které nelze běţně uţít pro adresaci zařízení, nebo se uţívají ve speciálních případech. Takové IP adresy je moţné identifikovat podle mezních hodnot, které nabývají, jak v části vyhrazené pro adresu sítě tak v části vyhrazené pro adresu zařízení. Obecně lze konstatovat, jsou-li na místě adresy sítě nebo zařízení samé nuly, je moţno to vyjádřit slovem „tento“. Oproti tomu, jsou-li v adrese samé jedničky, lze to vyjádřit slovem „všichni“, viz tabulka. [4] Tabulka 9 - Speciální IP adresy

Adresa dekadicky

Význam

0.0.0.0

Toto zařízení na této síti.

0.0.0.adresa zařízení

Zařízení na této síti.

(např. 0.0.0.15) adresa sítě.0.0

Adresa sítě jako takové.

(např. 192.168.0.0 /16)

Všeobecný oběţník na lokální síti (limited broadcast) - šíří se v tzv. broadcastové 255.255.255.255

doméně, hraničním prvkem sítě, jenţ broadcastové vysílání nepropustí dále, aby nedošlo k zahlcení sítě, je zařízení pracující na 3. vrstvě - směrovač. Všeobecný oběţník (broadcast) - šíří se jen v

adresa sítě.255

sítích se společnou adresou sítě (maskou

(např. 192.168.0.255 /24)

podsítě), v tomto případě 255.255.255.0, lze zasílat i do vzdálených sítí. Programová smyčka (loopback) - vyuţívá se

127.cokoli

pro testování, zařízení adresuje samo sebe na virtuální síťové rozhraní, nejčastěji se pouţívá 127.0.0.1. Zdroj: autor podle [4] 25

3.1.5. Adresování s maskou podsítě proměnné délky V předchozí části byl zmiňován případ, kdy se maska podsítě měnila pouze po celých bajtech IP adresy (dekadicky : 255.0.0.0, 255.255.0.0 ... , nebo pomocí prefixu: /8, /16, ...). V těchto případech nám nemusí vyhovovat velikost adresního prostoru takto vytvořených sítí, ať uţ z hlediska počtu adresovatelných sítí, či moţnosti připojení počtu síťových zařízení a také z důvodu plýtvání IP adresami. Síťoví specialisté vyuţívají techniku CIDR (Classless InterDomain Routing), kdy lze z přiděleného bloku adres z jedné rozsáhlé sítě vytvořit více samostatně adresovatelných podsítí (subnetů). Aktivní prvek síťové vrstvy (router) je pak schopen adresovat kaţdou z podsítí zvlášť a tímto způsobem zamezit neţádoucímu a nadbytečnému provozu v ostatních segmentech sítě. „CIDR pouţívá Variable Length Subnet Masking (VLSM) pro rozdělování IP adres na subnety. Délka masky nemusí být stejná, aby se dosáhlo lepšího vyuţití IP rozsahu. Můţeme například pouţít dohromady subnety 10.0.0.0/26 a 10.0.0.64/28.“ [10] Principem techniky VLSM je, ţe z přiděleného bloku adres s maskou podsítě si „zapůjčíme“ bit nebo více bitů z části IP adresy vyhrazené pro adresy zařízení. Podle kombinace zapůjčených bitů takto obdrţíme více či méně podsítí. V praxi pak platí, ţe při vytvoření více jednotlivých podsítí nám zbývá k vyuţití méně IP adres pro zařízení v kaţdé podsíti a opačně, čím méně podsítí tím větší počet vyuţitelných IP adres pro zařízení v kaţdé podsíti, viz. příklad pro číslo sítě 192.168.100.0 /24 (na 2 podsítě). Tabulka 10 - Zdrojový adresní prostor

Binárně

Dekadicky

Prefix

Přidělená síť : 11000000.00010000.01100100.00000000

192.168.100.0

24

Maska : 11111111.11111111.11111111.00000000

255.255.255.0

24

První použitelná adresa : 11000000.00010000.01100100.00000001

192.168.100.1

24

Broadcastová adresa : 11000000.00010000.01100100.11111111 192.168.100.255 Počet využitelných adres : Počet sítí :

254 1

Zdroj: autor

26

24

Zapůjčení 1 bitu ze 4. bajtu z přiděleného bloku adres nám umoţní vytvořit 2 podsítě: Tabulka 11 - 1.podsíť

Binárně

Dekadicky

Prefix

Nová maska sítě : 11111111.11111111.11111111.00000000

255.255.255.0

25

Číslo sítě : 11000000.00010000.01100100.00000000

192.168.100.0

25

První použitelná adresa : 11000000.00010000.01100100.00000001

192.168.100.1

25

Broadcastová adresa : 11000000.00010000.01100100.01111111 192.168.100.127

25

126

Počet využitelných adres :

Zdroj: autor Tabulka 12 - 2.podsíť

Nová maska sítě : 11111111.11111111.11111111.10000000 255.255.255.128

25

Číslo sítě : 11000000.00010000.01100100.10000000 192.168.100.128

25

První použitelná adresa : 11000000.00010000.01100100.10000001 192.168.100.129

25

Broadcastová adresa : 11000000.00010000.01100100.11111111 192.168.100.255

25

Počet využitelných adres :

126

Zdroj: autor 3.1.6. DNS (Domain Name System) Z předchozího plyne, ţe zařízení připojené k síti potřebují ke komunikaci mít svoji IP adresu. IP adresa je v dekadickém tvaru reprezentována čtyřmi ciframi v rozmezí 0 - 255. Tento tvar je pro člověka velmi těţko zapamatovatelný. Z tohoto důvodu byl vytvořen hierarchický systém, jenţ Internet rozděluje do skupin, které k sobě logicky patří, tzv. domén. DNS nám překládá IP adresu síťových rozhraní na doménová jména. Takovéto doménové jméno nám supluje IP adresu např. u aplikace (příkazu) „ping“. Spojení IP adresy a doménového jména je formulováno v databázi DNS, jeţ je celosvětově distribuována. Distribuce doménových jmen je zajištěna DNS servery a protokolem DNS. Doménové jméno je sloţeno z řetězců navzájem oddělených tečkou (např. wanted1.webnode.cz). Doménové jméno se zkoumá zprava do leva. Řetězec nejvíce vpravo se nazývá kořenová doména nebo také doména nejvyššího řádu (TLD - Top Level Domain). Pro Českou republiku je rezervováno dobře známé .cz. Doména .cz se dále dělí na subdomény (v našem případě např. *.webnode.cz) a ty mohou dále obsahovat další subdomény niţších úrovní (např. wanted1.*.cz).

27

3.1.7. Překlad adres NAT Překlad síťových adres ( NAT - Network address translation) je technika modifikace IP adresy v záhlaví paketů internetového protokolu. Pouţívá se k reprezentaci více privátních adres za jednu veřejnou IP adresu. Skrývá se tak celý IP adresní prostor privátní sítě za jednu (některé zařízení umoţňují více) veřejnou IP adresu. Tento mechanismus je implementován v směrovacím zařízení (směrovač), které pouţívá stavové překladové tabulky. Odchozí IP pakety na výstupu směrovače se jeví jakoby pocházely právě ze směrovacího zařízení. V opačném směru, kdy pakety míří směrem do privátní sítě, je IP adresa opět překládaná zpět do původní IP adresy pomocí pravidel uloţených v překladových tabulkách. V případech, kdy se v privátní síti nachází více zařízení neţ má směrovač k dispozici veřejných IP adres, je vyuţívána technika PAT (Port address translation). Směrovač pak rozlišuje komunikaci s více zařízeními vnitřní privátní sítě na základě portu, ze kterého komunikace pochází. [7]

3.2. IPv6 Z důvodu kapacitního vyčerpání IP adres verze čtyři (IPv4) je v plánu přechod na verzi šest (IPv6). IP adresa verze šest je 128bitová oproti 32bitové ve verzi čtyři, coţ představuje zvětšení adresního prostoru na 2128 (přibliţně 3,4 * 1038) adres. IPv6 specifikuje RFC 2460. Podle [11] IPv6 nabízí kromě zvětšení adresního prostoru ještě další vlastnosti: dostatečně bohatý adresní prostor - pokud moţno by uţ nikdy neměla nastat nouze o adresy, podpora sluţeb se zaručenou kvalitou, design odpovídající vysokorychlostním sítím, bezpečnostní mechanismy přímo v IP, podpora mobilních zařízení, automatická konfigurace, kooperace s IPv4 a co nejhladší přechod ze stávajícího protokolu na nový. Z důvodu lepší čitelnosti se IP adresa v6 zapisuje v hexadecimálním tvaru, jako osm skupin čtyř

hexadecimálních

číslic,

jeţ

se

oddělují

dvojtečkou

(FA80:0000:008F:0000:9076:12AD:5D0F:1755). Pro zjednodušení zápisu lze nuly zleva vynechat, popřípadě celou skupinu nul ve skupině (FA80::8F::9076:12AD:5D0F:1755).

28

I po zjednodušení zápisu je IPv6 adresa stále sloţitá, ovšem autoři neočekávali, ţe by je uţivatelé psali, spoléhá se na systém DNS. IPv6 lze rozdělit do tří základních skupin: Individuální adresy (unicast) - specifikují jedno síťové rozhraní zařízení. Skupinové adresy (multicast) - reprezentují adresu několika síťových rozhraní. Paket se skupinovou cílovou adresou bude doručen všem členům skupiny. Tento typ adres je vyuţit pro přenos zvuku nebo videa, videokonference a podobně. Výběrové adresy (anycast) - také reprezentují skupinu síťových rozhraní, ale paket bude předán pouze jen na jedno z nich (zpravidla to nejbliţší). Tímto typem adresy je moţné realizovat některé speciální sluţby - klient odešle datagram s výběrovou adresou a některý z dostupných serverů jej přijme. Z předchozího je patrné, ţe zcela zmizela všesměrová (broadcastová) adresa, v IPv4 reprezentovaná adresou 255.255.255.255. Tuto funkci v IPv6 nyní zastávají skupinové adresy. Jednotlivé skupiny adres se pouţívají pro různé účely a jsou odlišeny pomocí počáteční kombinace bitů v adrese a prefixů. Nejznámější adresy viz tabulka. Tabulka 13 - Nejznámější adresy IPv6

Prefix

Význam

::/128

nedefinovaná adresa

::1/128

lokální smyčka (loopback) unikátní individuální lokální - pouţívají se

fc00::/7

jen lokálně, ale s velkou pravděpodobností jsou globálně jednoznačné

fe80::/10

individuální lokální linkové adresy - jsou jednoznačné jen v rámci linky

ff00::/8

skupinové

ostatní

individuální globální Zdroj: autor podle [12]

29

Tabulka 14 - Skupiny adres přidělené určitým technologiím, mechanismům

Prefix

Význam

64:ff9b::/96

adresy s vloţeným IPv4

2001::/32

Teredo

2001:db8::/32

dokumentační prefix – pro fiktivní adresy v dokumentech

2002::/16

6to4

ff0X::db8:0:0/96

dokumentační prefix pro skupinové adresy Zdroj: autor podle [12]

3.3. Výchozí brána (gateway) Je směrovač (popřípadě jeho IP adresa), jenţ propojuje lokální síť s globální sítí (např. Internet). Výchozí brána se nastavuje z důvodu IP adresace v případě komunikace pomocí protokolu IP se zařízením situovaném v jiné (vzdálené) síti.

3.4. Síťové tunelování Je technika, umoţňující virtuální propojení dvou či více zařízení (vytváření VPN) přes nedůvěryhodný kanál, jako je například Internet. V praxi se tak propojují například různé pobočky organizace. Zařízení připojená k síti mohou komunikovat, jakoby byla fyzicky připojena do stejného segmentu sítě. Síťový tunel si můţeme představit jako zapouzdření jednoho síťového spojení do druhého. Podle vrstvy, na které se síťové tunelování aplikuje, můţeme rozlišit: Tunelování na linkové (2.) vrstvě – tunel je tvořen, udrţován a ukončen protokolem na 2. vrstvě. Tunelování na síťové (3.) vrstvě – IP datagram je na začátku tunelu zabalen (encapsulován) do jiného IP datagramu (původní, vnitřní datagram můţe být šifrován). Na konci tunelu je opět rozbalen (deancapsulace). Podle [13] je nejběţnějším typem tunelování (pro budování virtuálních sítí) pro spojení dvou směrovačů GRE (Generic Routing Encapsulation). GRE je detailně popsáno v RFC 2784.

30

Tabulka 15 - Struktura GRE paketu.

Delivery Header GRE Header Payload packet Zdroj: autor podle [14] „Tunely GRE jsou budovány směrovači páteřní sítě, které slouţí jako vstupní a výstupní body do této páteřní sítě pro jednotlivé části VPN. Pakety, určené pro přenos tunelem, jsou vybaveny zvláštní přídavnou hlavičkou (GRE header) a cílovou adresou odpovídající směrovači na konci tunelu. Toto zabalení (encapsulation) paketu je v cílovém bodu tunelu odstraněno a paket pak pokračuje ke svému cíli podle informací ve své původní IP hlavičce.“ [13]

4. Možnosti přidělení a správy IP adres 4.1. Autorita pro přidělování čísel na Internetu (IANA) IANA (Internet Assigned Numbers Authority) je organizace řízena organizací ICANN (Internet Corporation for Assigned Names and Numbers). IANA je zodpovědná za koordinaci některých z klíčových prvků, které udrţují chod Internetu po administrativní stránce. Zatímco Internet je znám tím, ţe na celém světě pracuje bez centrální koordinace. Existuje technická potřeba řízení některých klíčových částí Internetu, které mají být globálně koordinovány, a tato koordinační úloha se provádí podle IANA. Konkrétně IANA přiděluje a udrţuje jedinečné kódy a číslování systémů, které jsou pouţívány v technických normách (protokoly), které zajišťují chod Internetu. Druh činností, kterými se tato organizace zabývá, můţeme rozdělit do tří kategorií: přidělování IP adres, názvů domén a správa protokolů. [15] 4.1.1. Přidělování IP adres IANA představuje nejvyšší autoritu v přidělování IP adres. Z důvodu rozsáhlosti celosvětové sítě, globální přidělování IP adres probíhá hierarchicky. IANA delegovala přidělování IP adres do jednotlivých regionů světa (např. podle kontinetů) na tzv. Regional Internet registries:

31

AFRINIC - Africký region APNIC – Asijský a Pacifický region ARIN - region Severní Ameriky LACNIC - Latinská Amerika a Karibské ostrovy RIPE NCC - Evropa, Střední východ a centrální Asie Regional Internet registries dále distribuují adresy lokálním Internet registries, jenţ jiţ mohou představovat poskytovatele Internetu (ISP - Internet service provider). [16] 4.1.2. Přidělování názvů domén Organizace IANA je také odpovědná za provoz a údrţbu řady klíčových prvků DNS (Domain Name System), včetně kořenové zóny a .int a .arpa domény (.arpa - pouze pro vnitřní účel internetové infrastruktury, .int - doména nejvyššího řádu, moţné registrovat jen pro účely mezinárodních a nevládních organizací). Kořenová zóna DNS je horní částí hierarchie DNS a zahrnuje delegování správní odpovědnosti "top-level domén", které jsou posledním segmentem doménového jména, jako je například *. com, *.cz, *.uk atd. V České republice provozuje registr doménových jmen .cz sdruţení CZ.NIC. [17] 4.1.3. Správa protokolů IANA také zodpovídá za udrţování kódů a čísel obsaţených v různých internetových protokolech. Tuto sluţbu poskytuje ve spolupráci s Internet Engineering Task Force (IETF). [18]

4.2. RFC (request for comments) Request for comments (ţádost o komentáře) je série dokumentů obsahující technické a organizační poznámky o Internetu. Ty pokrývají mnoho aspektů počítačových sítí, včetně protokolů, postupů, programů a koncepcí. Jednotlivé RFC standardy vydává editor RFC dle pokynů Internet Architecture Board respektive IETF (Internet Engineering Task Force). Podle [19] existuje šest typů RFC: Proposed standards Draft standards Internet standards (plné de facto normy) 32

Experimental Informational Historic „První tři skupiny se týkají nových protokolů a podléhají schvalovacímu procesu jménem standards track, kdy je kromě vylepšení technického obsahu nutné zajistit i ověření návrhu několika (minimálně dvěma) nezávislými implementacemi. Tvorba nové de facto normy není otázkou několika týdnů, ale spíše měsíců či dokonce let. Historickou se specifikace stává, jestliţe je překonána svým následovníkem a/nebo se úplně přestane na Internetu pouţívat. Experimentální dokumenty obsahují zajímavé informace o protokolech a technologiích, které nemají zřejmou šanci se masově ujmout, ale je dobré o nich veřejně vědět. Informační RFC slouţí – jak jinak – pro informaci.“ [19]

4.3. DHCP (Dynamic Host Configuration Protocol) DHCP (Dynamic Host Configuration Protocol) je protokol jehoţ hlavním úkolem je automatizovat síťové nastavení zařízení připojovaných do sítí komunikujících pomocí protokolů z rodiny TCP/IP. DHCP je nástupcem protokolu BOOTP (Bootstrap Protocol). Stěţejním úkolem je automatické přidělování IP adresy koncovým zařízením (klientům) v síti. Spolu s IP adresou se vysílá další nastavení nutné pro komunikaci v síti, např. adresu směrovače, masku podsítě, nebo DNS servery. Problematiku DHCP řeší RFC1541 a RFC2131. „Server DHCP vystupuje jako „administrativní asistent“, protoţe interpretuje konfigurační zásady, které definoval síťový administrátor, a na základě těchto zásad po síti předává konkrétní parametry jednotlivým počítačům.“ [20] Výhodou DHCP protokolu jsou [21]: Při připojení zařízení do sítě uţivatel nemusí nic nastavovat. Je zamezeno duplicitnímu výskytu totoţné IP adresy v síti. Jednodušší správa sítí pro síťového administrátora. Aby zařízení mohlo vyuţívat sluţeb protokolu DHCP, je nutné, aby v síti byl dostupný tzv. server DHCP, coţ v praxi můţe být samostatně pracující a pro tento účel vyhrazené zařízení, nebo sluţba, spuštěná na jednom nebo více síťových prvcích. Architektura DHCP je zaloţena na modelu klient/server. Klientem se rozumí zařízení, jenţ vyuţívá sluţeb DHCP serveru. Iniciátorem komunikace, včetně reţijních zpráv a správnosti provedení veškerých 33

konfiguračních procedur je právě DHCP klient. DHCP server uchovává záznamy o přidělených IP adresách, avšak neuchovává si záznamy o stavu jednotlivých klientů. 4.3.1. Metody alokace IP adresy Podle poţadavků na parametry sítě je moţné, aby síťový administrátor nastavil pravidla pro přidělování IP adres. K tomuto účelu slouţí několik metod alokace: Manuální (statická) alokace – tato metoda vyuţívá MAC adresy zařízení. Síťový administrátor má moţnost definovat jaká IP adresa bude přidělena konkrétnímu zařízení podle MAC adresy. V tomto případě DHCP server přidělí IP adresu pouze zařízením s odpovídající MAC adresou. V případě mobilních zařízení můţe síťový administrátor definovat IP adresu zařízení různou pro kaţdý segment. V případě, ţe administrátor v některém segmentu dané zařízení nenakonfiguruje, toto zařízení nemůţe v tomto segmentu vyuţít sluţeb DHCP. Dynamická alokace - síťový administrátor DHCP serveru definuje rozsah IP adres pro kaţdý segment sítě. V případě ţádosti od klienta DHCP server vyhledá volnou IP adresu z patřičného adresního rozsahu daného segmentu sítě a tu pak přidělí klientovi. Z důvodu omezeného počtu IP adres v daném rozsahu, DHCP server přiděluje IP adresy na omezenou dobu, coţ je označováno jako „doba zápůjčky“. Po tuto dobu je IP adresa rezervována pro daného klienta. Po uplynutí zápůjčky můţe bezpečně DHCP server přidělit danou IP adresu jinému DHCP klientovi. Tímto způsobem se do oběhu vrací IP adresy těch DHCP klientů, kteří se ze sítě odpojili, těm kteří se nově připojili. Kombinovaná alokace – v mnoha sítích je moţné pro stálé (nepřenosné) nebo velmi známé DHCP klienty definovat statické IP adresy a pro přenosné (mobilní), neznámé DHCP klienty, povolit dynamické přidělování. Síťový administrátor pak musí definovat rozsah adres pro statické a dynamické přidělování IP adres. 4.3.2. DHCP Relay Agent Poţadavek o konfiguraci z DHCP serveru probíhá pomocí broadcastu. Protoţe zařízení bez přidělené IP adresy můţe komunikovat pouze v rámci své podsítě (subnetu), musí zde pracovat tzv. přenosový agent (DHCP Relay Agent). Přenosový agent je aplikace (program), jenţ zajišťuje komunikaci mezi klientem a serverem, jeţ jsou situovány v různých podsítích. Pracuje jako jednoduchý směrovač zpráv DHCP. DHCP Relay Agent je většinou 34

spuštěn na směrovači (v lokální síti můţe pracovat na přepínači). Směrovač (přepínač) příjme DHCP broadcastovou ţádost a jiţ jako unicast ji přepošle patřičnému DHCP serveru. Na stejném principu se zpracuje i odpověď. [22] 4.3.3. Komunikace DHCP klient-server Ke komunikaci se vyuţívá protokol DHCP pomocí UDP datagramy. K DHCP provozu se vyuţívají síťové porty 68 klienta k vysílání a 67, na němţ naslouchá server. Komunikaci s ţádostí o síťovou konfiguraci z DHCP serveru inicializuje DHCP klient pomocí datagramu DHCPDISCOVER. Ze strany DHCP serveru je vysílána odpověď DHCPOFFER, jenţ obsahuje nabízenou IP adresu a další konfigurační parametry. Datagramem DHCPREQUEST DHCP klient potvrzuje přijetí nabízené IP adresy od DHCP serveru. Komunikace je ukončena datagramem DHCPACK, jenţ DHCP server potvrzuje přidělenou IP adresu a další parametry nutné ke konfiguraci DHCP klienta, jako je maska sítě, DNS server. Obrázek 2 - Komunikace DHCP klient – server DHCP klient

DHCP server

Směrovač s DHCP Relay Agent

Čas

Zdroj: autor Tabulka 16 - Komunikace DHCP klient – server Zdrojová MAC adresa

Cílová MAC adresa

Zdrojová IP adresa

Cílová IP adresa

Název paketu

DHCP klient

Broadcast

0.0.0.0

255.255.255.255

DHCP Discover

DHCP server

Broadcast

DHCP serveru

255.255.255.255

DHCP Offer

DHCP klient

Broadcast

0.0.0.0

255.255.255.255

DHCP Request

DHCP server

Broadcast

DHCP serveru

255.255.255.255

DHCP ACK

Zdroj: autor

35

DHCPDISCOVER - tento datagram je vysílán za účelem nalezení DHCP serveru, cílová adresa je 255.255.255.255 a zdrojová je 0.0.0.0. DHCP server nejdříve hledá ve své databázi, zda klient nemá jiţ dříve přidělenou IP adresu (nevypršela doba zápůjčky) a pokud ji nalezne, opět ji přidělí, po kontrole jestli je platná pro daný segment sítě, z něhoţ klient poţadavek posílá. V případě, ţe klient neměl ještě zapůjčenou ţádnou IP adresu, DHCP server zkontroluje síťový segment, ze kterého se klient hlásí, podle něj projde svoje záznamy a vybere patřičnou IP adresu z daného subnetu. Jestliţe takto vybere platnou IP adresu, jenţ by bylo moţné přidělit klientovi, je na tuto IP adresu odeslán příkazem „ping“ poţadavek ICMP (Internet Control Message Protocol). Takto se ověří, ţe IP adresa opravdu není pouţívaná. DHCPOFFER – datagram se odesílá z DHCP serveru ke klientovi, obsahuje jiţ konkrétní, předem vybranou IP adresu s dalšími konfiguračními údaji. DHCPREQUEST – DHCP klient po obdrţení DHCPOFFER s nabídkou IP adresy se rozhodne, zda ji příjme, v takovém případě odešle DHCPREQUEST. DHCP klienti s platnou IP adresou občas odesílají tuto zprávu z důvodu obnovy zápůjčky. DHCPACK – touto zprávou server potvrzuje a dává vědět klientovi, ţe si předem dohodnutou IP adresu můţe zapůjčit a ukončuje proces přidělování IP adresy. DHCP klient se tak můţe nakonfigurovat podle přidělených údajů. DHCPNAK – je negativní potvrzení, DHCP server tak dává vědět klientovi, ţe předem dojednávaná IP adresa není platná. V tomto případě, pokud chce klient přidělit IP adresu, musí celý proces opakovat od začátku. DHCPRELEASE – vysílá DHCP klient, pokud opouští síť a tím i ukončí dobu zápůjčky. DHCPDECLINE – zpráva, kterou posílá DHCP klient serveru v případě, zjistí-li, ţe přidělená IP adresa je neplatná nebo jiţ nějakým jiným zařízením pouţívaná. DHCPINFORM – vysílá klient. Po obdrţení této zprávy DHCP server shromáţdí platné údaje o segmentu sítě, z něhoţ poţadavek přišel a pošle ho zpět klientovi. [20] 4.3.4. Stavy DHCP klienta Proces přidělování IP adresy a dalších konfiguračních parametrů neprobíhá jednorázově. V síti můţou nastat stavy, kdy se např. klient restartuje nebo jen pracuje se stejnou IP konfigurací tak dlouho, ţe se blíţí konec doby, na kterou má danou konfiguraci

36

propůjčenu. V RFC 2131 je specifikován tzv. stavový automat, jenţ popisuje jednotlivé stavy, ve kterých se DHCP klient můţe nacházet, viz obrázek. Obrázek 3 - Diagram stavů DHCP klienta INIT-REBOOT

DHCPREQUEST/ DHCPNAK

Ţádná odpověď od DHCP serveru

INIT

DHCPDISCOVER/ DHCPOFFER

SELECTING

REBINDING

DHCPREQUEST/ DHCPACK DHCPREQUEST/ DHCPACK

DHCPACK

DHCPREQUEST

DHCPACK BOUND

RENEWING DHCPREQUEST

Zdroj: autor podle [20] Klient, jenţ se připojuje do sítě poprvé, nebo nemá platnou IP konfiguraci, se nachází ve stavu INIT. Po počáteční komunikaci s DHCP serverem (DHCPDISCOVER, DHCPOFFER) přechází do stavu SELECTING. Po akceptaci nabídnuté IP konfigurace (DHCPREQUEST) a potvrzené od DHCP serveru (DHCPACK) přechází do stavu BOUND. 4.3.4.1. Restart DHCP klienta V případě restartu DHCP klienta přechází do stavu INIT-REBOOT. V tomto stavu klient zjišťuje, jestli má uloţenou IP konfiguraci z předchozí činnosti a zda nevypršela doba zápůjčky. Pokud zjistí, ţe uloţená konfigurace je platná jiţ, nezjišťuje dostupné DHCP servery (DHCPDISCOVER), ale broudcastem posílá DHCPREQUEST. Po přijetí zprávy DHCPREQUEST serverem si DHCP server zkontroluje, zda ţádost byla doručena ze stejného segmentu sítě jako je poţadovaná konfigurace od klienta a v případě shody posílá DHCPACKA klientovi. DHCP klient přejde do stavu BOUND s platnou IP konfigurací. V případě ţe server vyhodnotí, ţe klient se hlásí z jiného segmentu, neţ je poţadovaná konfigurace, pošle zamítavou zprávu DHCPNAK, klient přechází do stavu INIT a proces zápůjčky začíná o začátku, jakoby nikdy neměl propůjčenu ţádnou IP konfiguraci. Můţe se

37

stát ţe DHCP klient neobdrţí ţádnou odpověď (DHCP servery jsou nedostupné), pokud doba zápůjčky u dané konfigurace nevypršela, můţe ji pouţívat dál. Obrázek 4 - Komunikace po restartu DHCP klienta DHCP klient

Směrovač s DHCP Relay Agent

DHCP server

Čas

Zdroj: autor

4.3.4.2. Prodloužení zápůjčky IP konfigurace DHCP klienta Pro kontinuální průběh připojení k síti (nedojde k restartu ani přesunu klienta v síti) si DHCP klienti můţou průběţně prodluţovat dobu zápůjčky. Po patřičném nastavení DHCP serveru můţe klientovy nařídit, po jak dlouhé době si má poţádat znovu o zapůjčení IP konfigurace. V případě, ţe to není nastaveno, klient si ţádá v polovině doby původní zápůjčky. DHCP klient, jenţ se dostane do bodu, kdy je nucen si poţádat o opětovné zapůjčení IP konfigurace prostřednictvím zprávy DHCPREQUEST přechází do stavu RENEWING (podle stavového automatu). Tento poţadavek posílá klient na IP adresu DHCP serveru, jenţ mu naposled konfiguraci propůjčil. DHCP server vyhodnotí parametry ţádosti a pokud je vše v pořádku, vyšle klientovi DHCPACK. Celý tento proces se děje bez narušení síťového připojení (nedojde k narušení chodu aplikací vyuţívajících síť). Jestliţe se DHCP klientovi při prodluţování zápůjčky nepodaří kontaktovat poslední DHCP server, jenţ mu přidělil konfigurační parametry, DHCP klient broadcastem rozesílá zprávu DHCPREQUEST (hledá dostupný server, jenţ by mu prodlouţil zápůjčku). Tento stav je označován REBINDING. Jestliţe jiný DHCP server obdrţí ţádost a je vše v pořádku, potvrdí konfigurační parametry DHCPACK (pouze je-li k tomu server oprávněn). Klient se tak opět dostává do stavu BOUND. Pokud DHCP klient nedostane odpověď (DHCPACK) od ţádného DHCP serveru a vyprší mu doba zápůjčky IP konfigurace, přechází do stavu INIT. Tento stav, jak je výše popsáno znamená, ţe klient je bez IP konfigurace a veškerý síťový provoz aplikací je přerušen. [20] 38

4.3.4.3. Přesun DHCP klienta do jiné sítě Dojde-li k přesunu vypnutého DHCP klienta do jiného segmentu sítě, kde jeho stávající konfigurace neplatí a pak se opět zapne, vysílá zprávu DHCPREQUEST. Tímto způsobem se snaţí obnovit stávající zápůjčku IP konfigurace. Příslušný DHCP server ţádost vyhodnotí jako neplatnou, coţ oznámí klientovi zamítavou zprávou DHCPNAK. DHCP klient ji příjme a zruší stávající IP konfiguraci. V této chvíli se klient nachází bez platné IP konfigurace a přechází do stavu INIT. Proces propůjčení konfigurace se vyvíjí jako by nikdy neměl propůjčeny IP konfigurační parametry. 4.3.5. Více DHCP serverů v síti Specifikace DHCP podle RFC 2131 zahrnuje i moţnost, ţe v síti kooperuje více serverů DHCP, coţ zahrnuje poţadavek na DHCP klienty, kteří s tímto faktem musí být obeznámeni. Po vyslání všesměrové zprávy DHCPDISCOVER klientem, je moţnost, ţe mu odpoví více DHCP serverů. Jaký server si klient vybere je na něm, v praxi však vybere tu odpověď, kterou obdrţí jako první. V síti můţe pracovat více DHCP serverů s redundantním nastavením s dynamickým přidělováním IP konfigurace. DHCP klientovi můţe být po kaţdém jeho spuštění propůjčena jiná IP konfigurace, coţ můţe vést k problémům aplikací, které vyuţívají síťové připojení. Moţným řešením můţe být nastavení jednoho z DHCP serveru tak, aby reagoval na zprávy DHCPDISCOVER, které mají v poli „secs“ (ta část DHCP zprávy s pevným formátem, viz níţe) předdefinovanou hodnotu. Toto pole při prvním vysílání této zprávy nabývá hodnoty nula, v případě dalšího vysílání (klient nedostal odpověď) se změní na nenulovou hodnotu. V tomto případě uţ můţe reagovat daný DHCP server. [20] 4.3.6. Formát zpráv DHCP Zprávy, které si navzájem posílají DHCP server s klientem mají část s pevným formátem a část s proměnným formátem. Ta část, s pevným formátem je pro všechny zprávy DHCP stejná. Část zprávy s proměnným formátem obsahuje tzv. moţnosti (options), pomocí nichţ se přenáší dodatečné konfigurační parametry. Obsah částí s pevným a proměnným formátem je odlišný podle daného typu zprávy. Velikost DHCP zpráv je obvykle 576 bajtů (za určitých podmínek můţe být větší) včetně hlaviček IP a UDP protokolů. Část zprávy s pevným formátem je obsaţena v kaţdé zprávě DHCP, avšak ne vţdy jsou všechna pole vyuţita. Struktura polí s pevným formátem: 39

op – operační kód zprávy, 1 pro zprávy odeslané klienty, 2 pro zprávy odeslané servery htype – typ adresy na linkové vrstvě, např. 1 pro Ethernet hlen – délka adresy na linkové vrstvě v bajtech, jenţ je pak uloţena v poli „ chad-dr“ hops – počet přenosových agentů, jenţ se podíleli na přenosu zprávy xid – identifikátor transakce, klient rozezná, který poţadavek patří k dané odpovědi od serveru. secs – uplynulý čas v sekundách od vyvolání komunikace DHCP klientem flags – pole příznaků, identifikace odesílání klientovi pomocí broadcastu ciaddr – IP adresa klienta, nastavuje klient po potvrzení platnosti jeho IP adresy yiaddr – IP adresa klienta, nastavuje DHCP server jako informace o jeho přidělené IP adrese siaddr – IP adresa dalšího serveru, jenţ má klient vyuţít pro svoji konfiguraci giaddr – IP adresa přenosového agenta (brány), nastavuje přenosový agent chaddr – hardwarová adresa (MAC) klienta sname – název serveru, jenţ má klient vyuţít při konfiguraci file – název souboru, který má klient vyţadovat od dalšího serveru Sekce moţností (options) umoţňuje mezi DHCP serverem a klientem přenášet doplňující informace. Kaţdá z moţností nese informaci o kódu, délce a datech. DHCP message type – identifikuje typ zprávy (DHCPDISCOVER – 1, DHCPOFFER – 2, DHCPREQUEST – 3, DHCPACK – 5 …). subnet mask – slouţí k doručení síťové masky router – jedna nebo několik IP adres výchozích směrovačů, jenţ leţí na stejném síťovém segmentu, jeden je primární a další záloţní DNS server – seznam IP adres DNS serverů requested IP address – IP adresa, kterou měl klient jiţ přidělenou a která se tímto ověřuje end – ukončovací moţnost, konec moţností ve zprávě DHCP [20]

40

4.3.7.

Sekce možností (options) Tato část zprávy slouţí k přenosu doplňujících informací mezi DHCP serverem a

klientem. Informace je ve formátu kód, délka moţnosti a přenášená data. Tabulka 17 - Formát možností

Kód moţnosti Délka moţnosti

Data

Zdroj: autor podle [20] Pole „Kód moţnosti“ je vyhrazeno pro specifikaci přenášené informace, délka této poloţky je jeden bajt. Také pro poloţku „Délka moţnosti“ je vyhrazen jeden bajt. Poloţka data má velikost podle specifikace v předchozím poli (Délka moţnosti). V následující části jsou uvedeny některé konkrétní moţnosti [20]: DHCP message type: Tabulka 18 - DHCP message type

53

1

n

Zdroj: autor podle [20] 53 – představuje kód moţnosti 1 – délka jeden bajt n – můţe nabývat hodnot 1 aţ 12, viz tabulka Tabulka 19 - Možnosti DHCP message type

1

DHCPDISCOVER

2

DHCPOFFER

3

DHCPREQUEST

4

DHCPDECLINE

5

DHCPACK

6

DHCPNAK

7

DHCPRELEASE

8

DHCPINFORM

9

DHCPFORCERENEW

10

DHCPLEASEQUERY

11

DHCPKNOWN

12

DHCPUNKNOWN Zdroj: autor podle [20]

41

subnet mask Tabulka 20 – Možnost „Subnet mask“

1

4

255 255 255

0

Zdroj: autor podle [20] 1 – představuje kód moţnosti 4 – délka čtyři bajty data – přenášená maska podsítě (255.255.255.0) router Tabulka 21 - Možnost „router“

2

8

IP adresa 1. směrovače IP adresa 2. směrovače Zdroj: autor podle [20]

2 – představuje kód moţnosti 8 – délka osm bajtů data – IP adresy směrovačů V této poloţce se přenáší IP adresa výchozího směrovače. Jak je výše ukázáno je moţné přenášet více IP adres. Druhá IP adresa reprezentuje záloţní směrovač. DNS server Tabulka 22 - Možnost „DNS server“

6

8

IP adresa 1. DNS

IP adresa 2. DNS

serveru

serveru

Zdroj: autor podle [20] 6 – představuje kód moţnosti 8 – délka osm bajtů data – IP adresy DNS serverů requested IP adress Tabulka 23 - Možnost „requested IP adress“

50

4

Ţádaná IP adresa

Zdroj: autor podle [20] 50 – představuje kód moţnosti 4 – délka čtyři bajty data – ţádaná IP adresa k prodlouţení zápůjčky 42

end Tabulka 24 - Možnost „end“

255

Zdroj: autor podle [20] Toto pole není povinné, vyznačuje konec sekce moţností. Má pevný formát a neobsahuje délku ani ţádná data. 4.3.8. DHCP Snooping V sítích, jenţ vyuţívají DHCP serveru ke konfiguraci zařízení, je moţným rizikem napadení systému tím způsobem, ţe útočník nasadí svůj DHCP server (DHCP spoofing). Ten bude přidělovat IP adresu výchozí brány IP adresu útočníkova zařízení, jenţ má pod kontrolou. Veškerý provoz tak bude přesměrován právě skrz toto zařízení. Nebezpečí spočívá v tom, ţe útočník můţe tento síťový provoz odchytávat, analyzovat a získávat tak citlivé údaje vysílané přes síť. Proti nasazení falešného DHCP serveru je moţné se bránit právě aktivováním DHCP snoopingu. DHCP snooping je bezpečnostní opatření, jenţ rozděluje porty na přepínači na tzv. důvěryhodné a nedůvěryhodné (trusted a untrusted). Na důvěryhodné porty jsou připojeny známé DHCP servery. Všechna zařízení uţivatelů jsou připojena na nedůvěryhodné porty, ze kterých přepínač útok můţe očekávat. Přijde-li odpověď (DHCPOFFER) na ţádost o konfiguraci z DHCP serveru (DHCPDISCOVER) z nedůvěryhodného portu je velmi pravděpodobné, ţe za touto odpovědí se skrývá falešný DHCP server a takovýto datagram je zahozen. [23, 24]

4.4. Automatická konfigurace v IPv6 Základní myšlenkou automatické konfigurace pro IPv6 je, ţe uţivatel síťového zařízení nemusí nic nastavovat, vše zabezpečí prvky sítě. Na rozdíl od IPv4, jenţ vyuţívá stavové konfigurace (komunikace klient-server pomocí DHCP zpráv), IPv6 vyuţívá i bezstavovou konfiguraci (stateless autoconfiguration), jenţ nepotřebuje ke své činnosti ţádné servery. Principem bezstavové konfigurace je vysílání tzv. ohlášení směrovače pomocí ICMPv6 (Internet Control Message Protocol Version 6), jenţ obsahuje základní údaje o nastavení zařízení (prefixy jaké se pouţívají v dané síti a jestli je moţné daný směrovač pouţít jako výchozí bránu). Pro získání dalších parametrů pak slouţí stavová konfigurace DHCPv6. [6, 25] 43

4.4.1. DHCPv6 Stejně jako u IPv4 se v IPv6 vyuţívá DHCP serveru a přenosového agenta. Podle [26], nastavení klienta je rozdělena do čtyř fází, stejně jako u IPv4 : Objevování (discover) - klient pošle na skupinovou adresu všech DHCP agentů na lince (ff02::1:2) výzvu, do níţ zařadí své identifikační údaje. Nabídka (offer) - servery, které jsou mu ochotny přidělit nějaké parametry (zpravidla bývá jediný, ale můţe jich být více) pošlou klientovi své nabídky. Poţadavek (request) - klient si vybere nabídku, jeţ se mu jeví jako nejvhodnější a příslušnému serveru zašle poţadavek na přidělení nabídnutých parametrů. Potvrzení (acknowledge) - celý proces končí odesláním potvrzení, kterým server klientovi oznámí, ţe mu parametry skutečně přidělil.

4.4.2. DUID (DHCP Unique Identifier) Změnou oproti DHCPv4 je, ţe DHCPv6 neidentifikuje klienta podle adresy na linkové vrstvě (MAC), ale podle vygenerovaného identifikátoru DUID (DHCP Unique Identifier). Existují tři moţnosti jak DUID vytvořit: Identifikátor je dán výrobcem. Vygenerování identifikátoru pomocí MAC adresy a času vytvoření (nutné uloţit do stálé paměti zařízení). Vygenerování na základě MAC adresy.

4.5. Mobile IP S rozvojem mobilních zařízení, jeţ podporují datovou komunikaci přes Internet, vyvstal problém s IP adresou mobilního zařízení. Zařízení, jenţ se pohybuje v zóně pokryté signálem, například několika Wi-Fi, by se neustále přihlašovalo a odhlašovalo. Dostávalo by na propůjčení IP adresu a konfiguraci z dané sítě, ve které se aktuálně nachází. Neustálá změna IP adresy a IP konfigurace by mohla dělat problémy aplikacím spuštěných na zařízení. Z tohoto důvodu byl vytvořen protokol Mobile IP. Jedním z dokumentů, jenţ se tímto tématem zaobírá je RFC 3344. Mobile IP je vylepšení protokolu, které umoţňuje směrování IP datagramů do mobilních uzlů v Internetu, aniţ by se mu měnila IP adresa. Další výhodou „statické“ IP adresy v síti můţe být, ţe zařízení má přístup ke zdrojům z domácí sítě se 44

stejnými právy, jako by byl v dané síti. V neposlední řadě zařízení můţe poskytovat sluţby jako server. Kaţdý mobilní uzel je vţdy označen „home address“ (domácí adresa), bez ohledu na jeho aktuální bod připojení k síti a „care-of address“ jenţ identifikuje aktuální polohu v síti. V Mobile IP jsou definovány následující funkce zařízení podílející se na komunikaci: Mobilní uzel (MN - Mobile Node) – zařízení, které mění polohu z jedné sítě do jiné. Domácí agent (HA - Home Agent) – směrovač na domovské síti mobilního uzlu. Cizí agent – ( FA - Foreign agent) – směrovač v navštívené síti, který poskytuje směrovací sluţby mobilnímu uzlu. Princip Mobile IP spočívá v tunelování síťové komunikace. Zařízení, jenţ se přesune do cizí sítě (MN), vyuţívá svoji původní IP adresu (home address) z domácí sítě. Pro přenos datagramu do domácí sítě je vyuţita „care-of address“ cizího agenta pro tunelování komunikace. [27] Obrázek 5 - Mobile IP, encapsulace

IP hlavička (care-of address) cizí sítě

IP hlavička (home address) domácí sítě

Data

Zdroj: autor Obrázek 6 - Komunikující prvky Mobile IP Otevřený komunikační kanál, Internet

Cizí agent

Domácí agent Tunelovací protokol

Domácí síť

Mobilní uzel

Zdroj: autor

45

4.6. Software IPAM Kaţdá větší či menší firma (organizace) je závislá na bezproblémovém fungování komunikačních kanálů. Jedním z těchto kanálů můţou být právě datové sítě. S rostoucím počtem uţivatelů rostou i nároky na správce sítí i s ohledem na správu síťových sluţeb jako je DHCP, DNS, NTP (Network Time Protocol). Software na IP address management (IPAM) dovoluje plánovat, monitorovat, spravovat

a

auditovat

IP

adresní

rozsahy

v síti.

Současně

umoţňuje

rozšíření

pro funkcionalitu DHCP a DNS. Tento software je moţným řešením pro správce sítě, jenţ stále vyuţívá ručně psané databáze IP adres a IP rozsahu. U takto psaných databází je velký problém s aktuálností a platností záznamů, neboť počítačová síť je dynamické prostředí, jenţ se neustále mění. Dalším z důvodů proč softwarový IPAM zavádět je sloţitější a rozsáhlejší adresní prostor IP verze 6. [28] 4.6.1. IPAM Windows Server 2013 Podle [29] IPAM ve Windows Server 2012 je vestavěný systém pro správu, analýzu a auditování IP adresního prostoru v síti. Systém automaticky analyzuje infrastruktury IP prostoru, detekuje řadiče domény, DHCP a DNS servery, které síťový administrátor specifikuje, umoţňuje povolení či zakázání správy těchto serverů pomocí IPAM. IPAM server je moţné nasadit dvěma způsoby: Distribuované - IPAM server nasazen na kaţdém segmentu sítě. Centralizované - jeden IPAM server v síti. Specifikace IPAM podle [29]: IPAM podporuje pouze řadiče domény Microsoft, DHCP, DNS a server NPS se systémem Windows Server 2008 a vyšší. IPAM podporuje pouze domény k serverům DHCP, DNS a server NPS v jedné doménové struktuře. IPAM nepodporuje správu a konfiguraci prvků sítě společnosti Microsoft. IPAM nepodporuje externí databáze. Je pouze podporována interní databáze systému Windows. Jediný server IPAM podporuje aţ 150 serverů DHCP a 500 serverů DNS. Jediný server IPAM byl testován na podporu aţ 6000 oborů DHCP a 150 zón DNS.

46

IPAM ukládá údaje (zapůjčení IP adresy, MAC adresy, informace o přihlášení či odhlášení uţivatele) do interní databáze systému Windows. Neexistuje ţádná politika mazání údajů, správce musí odstranit data ručně podle potřeby. Podpora je jen pro protokol IPv4. Ţádné zvláštní zpracování pro virtualizační technologie nebo VM migrace. IPAM neprovádí kontrolu konzistence adres IP směrovačů a přepínačů.

4.6.2. Cisco Prime Network Registrar IPAM Podle [30] Cisco Prime Network Registrar IP Address Manager (IPAM) je škálovatelný a rozšiřitelný software, který poskytuje centralizovanou správu, aby síťoví administrátoři byli schopni efektivně řídit komplexní stále se rozvíjející a měnící se sítě. Aplikace můţe pomocí webového rozhraní řídit a sledovat zprávy o celém IP prostoru, DHCP a DNS sluţeb. Cisco Prime Network Registrar IPAM poskytuje automatizovanou správu IP prostotu, jak pro IPv4 tak IPv6. Tento software obsahuje několik komponent poskytující sluţby: server DHCP pro přístup k zařízení sítě, server DNS pro překlad IP adres a poskytování sluţeb, DNS caching server, který podporuje DNS Security Extensions (DNSSEC), IPAM systém pro automatizaci správy poţadavků na adresy IPv4 a IPv6. Cisco Prime Network Registrar IPAM umoţňuje nasazení jako samostatná aplikace nebo můţe být integrován do komponent serveru DHCP a DNS v Cisco Prime Network Registrar. Výhodou můţe být i podpora Internet Systems Consortium (ISC DHCP a BIND 9 DNS) a Microsoft DHCP a DNS sluţby. Webové rozhraní (GUI - Graphical User Interface) umoţňuje síťovým administrátorům rychle vizualizovat síť a přidělovat IP adresy dle aktuálních poţadavků. Pomocí webového rozhraní lze sloučit bloky adres dle fyzické či logické topologie, nebo jinak administrátorem definované hierarchie. Webové rozhraní téţ umoţňuje administrátorům vytvořit real-time snímek sítě.

47

Obrázek 7 - Cisco Prime Network Registrar IPv4 and IPv6 Management

Zdroj: autor podle [30] Plánovací nástroje (IP Address Planning) umoţňují vývoj disciplinovaného IP prostoru verze 4 i 6, který můţe být nasazen, monitorován a sledován automaticky, aby byla zajištěna moţnost přesného pohledu na správu sítě. Administrátor můţe: Blokovat, rušit nebo přidělovat podsítě. Přiřazovat IP adresy. Přidávat nové DHCP pooly a související parametry. Přidávat domény DNS. Uchovávat konfigurace serveru nebo záznamy o zařízeních. Přistupovat k reportům o stavu sítě. IPAM shromaţďuje informace o síti z 3. vrstvy tedy směrovače, 2. vrstvy, přepínače a DNS, DHCP serverů. Cisco Prime Network Registrar IPAM nalézá hostitele pomocí různých metod, včetně aplikace „ping“, TCP připojení k portu 80 (HTTP), vyhledávání DNS , Address Resolution Protocol (ARP) a mapování zařízení OS. IPAM integrovaný v přepínači mapuje porty pomocí Simple Network Management Protocol (SNMP), coţ podporuje široké spektrum přepínačů a umoţňuje mapování nakonfigurovaných VLAN. IPAM umoţňuje uloţení získaných IP adres do databáze, upozornit na rozdíly a identifikovat konflikty. [30]

48

5. Praktická ukázka 5.1. Konfigurace počítače jako DHCP klienta Konfigurace (pro IPv4) osobního počítače s operačním systémem Microsoft Windows 7 se nachází: Start\Ovládací panely\Síť a Internet\Centrum síťových připojení a sdílení\Změnit nastavení adaptéru\Vlastnosti (daného připojení) \ Protokol IP verze 4\Vlastnosti. Aby se počítač choval jako DHCP klient a konfiguroval se po připojení k síti automaticky, je nutné tuto volbu specifikovat označením poloţky „Získat IP adresu ze serveru DHCP automaticky“, viz obrázek. Obrázek 8 - Konfigurace DHCP v počítači

Zdroj: autor, printscreen Windows 7

5.2. Konfigurace směrovače pro domácí použití Pro tuto ukázku jsem vyuţil standardně dodávaný společností UPC Wi-Fi router model TC7200.U. Ke směrovačům pro domácí připojení je obvyklé se připojovat přes webové rozhraní. V tomto konkrétním případě pomocí IP adresy 192.168.0.1. Jak jiţ bylo zmíněno, směrovač je zařízení, jenţ mimo jiné propojuje odlišné IP adresní prostory. Na níţe uvedeném obrázku je případ, jakým způsobem směrovač vystupuje na venek, směrem k ISP (Internet servis provider). Konfigurační parametry, jako je IP adresa (94.113.68.127) a maska podsítě (255.255.252.0) jsou přidělovány ISP.

49

Obrázek 9 - Parametry přidělené ISP (Internet servis provider)

Zdroj: autor, printscreen webové rozhraní směrovače model TC7200 Některé parametry vnitřní sítě je moţné konfigurovat. IP adresa 192.168.0.1 nám představuje jak výchozí bránu, tak adresu DHCP serveru. Maska podsítě (255.255.255.0) nám určuje kolik hostitelských zařízení je moţné k domácí síti připojit. V případě, ţe není ţádoucí vyuţívat sluţeb DHCP serveru, je moţné tuto sluţbu zakázat. Poloţka „Počáteční místní adresa“ nám určuje rozsah adres, jenţ můţe DHCP server přidělovat. Poloţka „Čas pronájmu“ nám určuje dobu zápůjčky IP adresy, v tomto případě se udává v sekundách (604800 sekund = 7 dní), viz obrázek.

50

Obrázek 10 - Konfigurovatelné parametry

Zdroj: autor, printscreen webové rozhraní směrovače model TC7200 Následující obrázek má informativní charakter. Ukazuje přehled zapůjčených IP adres zařízením, kterým byla adresa propůjčena (poznáme podle MAC adresy) a doba zápůjčky. Obrázek 11 - Přehled zapůjčených IP adres

Zdroj: autor, printscreen webové rozhraní směrovače model TC7200

51

5.3. Konfigurace Cisco směrovače Organizace Cisco Systems, Inc. je předním výrobcem síťových zařízení. Síťová Cisco zařízení se konfigurují pomocí proprietárního operačního systému IOS (Internetwork Operating System). Pokud máme zařízení Cisco fyzicky k dispozici, je moţné se k němu připojit pomocí rozhraní RS232. Pro vzdálenou správu je moţné vyuţít sluţby TELNET, SSH. Po připojení k zařízení se vlastní konfigurace provádí pomocí rozhraní příkazového řádku (CLI - Command Line Interface). Konfigurace se ukládá do konfiguračního souboru, jenţ má textový charakter a kaţdá řádka nám představuje konfigurační příkaz. Konfigurace Cisco zařízení lze provádět na několika úrovních: Uţivatelský neprivilegovaný reţim. Uţivatelský privilegovaný reţim. Konfigurační reţim. V první fázi po přihlášení k zařízení se dostáváme do uţivatelského neprivilegovaného reţimu, kde máme omezené moţnosti pro práci se zařízením. V dalším kroku se dostaneme do uţivatelského privilegovaného reţimu, jenţ nám umoţní získat podrobnější informace o konfiguraci a zadávat některé konfigurační příkazy, které se však nezapíší do konfiguračního souboru. Trvalá konfigurace se provádí v konfiguračním reţimu. [7, 31] Obrázek 12 - Konfigurace Cisco směrovače Start

Uţivatelský neprivilegovaný reţim Router>

enable

exit

Uţivatelský privilegovaný reţim

Router# configure terminal

exit

Konfigurační reţim (globální) Router(config)# exit

Konfigurace rozhraní Router(config-if)#

exit

...

Konfigurace zařízení Router(dhcp-config)#

Zdroj: autor podle [31] 52

5.3.1. Konfigurace DHCP ve směrovači Ukázku nastavení DHCP serveru jsem prováděl na směrovači Cisco 2600 s verzí IOSu 12. V následující tabulce uvádím sadu základních příkazů nutných ke konfiguraci DHCP na směrovači. Tabulka 25 - Základní sada příkazů ke konfiguraci Cisco směrovače

Režim

Příkaz

Význam příkazu přepnutí z neprivilegovaného

router> enable

do privilegovaného reţimu přejdeme do

router# configure terminal

globálního konfiguračního módu přejdeme ke konfiguraci adresního

router(config)# ip dhcp pool TEST

rozsahu, jenţ jsem nazval TEST

Router(dhcpconfig)# Router(dhcpconfig)#

specifikace základních network 192.168.2.0 255.255.255.0

údajů konkrétní sítě a masky sítě specifikace výchozí

default-router 192.168.2.1

brány specifikace DNS

Router(dhcpconfig)#

serveru, v tomto

dns-server 8.8.8.8

případě DNS server společnosti Google

Router(dhcpconfig)#

doba zápůjčky adresy

lease 2

na 2 dny specifikace rozsahu IP

Router(config)# ip dhcp excluded-address 192.168.2.1 92.168.2.44 adres, které DHCP server nesmí přidělit Zdroj: autor podle [7, 32]

53

Příkazem „ show running-config“ si zobrazíme aktuální konfigurace směrovače, viz obr. Obrázek 13 - Aktuální konfigurace směrovače

Zdroj: autor, printscreen aplikace PuTTY Z obrázku je patrné, ţe DHCP server je nakonfigurován tak, aby byl schopen předat ţádané informace DHCP klientovi. Po připojení klienta k síti proběhne výše popsaná procedura komunikace klienta se serverem, viz níţe obrázek z odchyceného síťového provozu. 5.3.2. Ověření síťové komunikace Následující obrázek zobrazuje síťovou komunikaci DHCP klienta se serverem. Obrázek 14 - Odchycení síťového provozu

Zdroj: autor printscreen aplikace Wireshark Komunikaci zahajuje klient datagramem DHCP Discover s zdrojovou IP adresou 0.0.0.0 a odesílá

broadcastem (255.255.255.255). Server reaguje DHCP Offer se svojí

zdrojovou adresou 192.168.2.1, klient posílá DHCP Request a nato reaguje server potvrzovacím datagramem DHCP ACK. Z níţe uvedeného obrázku jsou patrné náleţitosti 54

DHCP zprávy. Vybral jsem DHCP ACK , jenţ obsahuje potvrzení mnou nastavené parametry DHCP serveru. Obrázek 15 - Zachycení potvrzovací zprávy DHCPACK

Zdroj: autor, printscreen aplikace Wireshark Ze zachyceného síťového provozu je patrné, ţe DHCP klient a server komunikují přes síťové porty 67 a 68, jenţ jsou vyhrazeny právě pro DHCP. Z výše uvedeného obrázku odchyceného síťového provozu jsou patrné konfigurační údaje, jenţ DHCP potvrzuje. Po proběhnutí této procedury má klient k dispozici takové údaje, aby se mohl nakonfigurovat a připojit k síti. Příkazem „ipconfig /all“ z příkazového řádku klienta si můţeme ověřit přidělené konfigurační parametry, viz obrázek.

55

Obrázek 16 - Přidělené konfigurační parametry

Zdroj: autor printscreen aplikace Příkazový řádek Windows 7 DHCP server v tomto případě přidělil IP adresu 192.168.2.45, coţ je první moţná přidělitelná adresa, neboť v konfiguraci jsem pomocí příkazu „ip dhcp excluded-address 192.168.2.1 92.168.2.44“ nastavil rozsah, který nesmí pouţít. Z obrázku jsou téţ patrné další parametry jako je maska podsítě (255.255.255.0), doba zápůjčky IP adresy (2 dny), výchozí brána (default gateway) a IP adresa DHCP serveru (192.168.2.1).

Závěr Tato bakalářské práce byla zaměřena na problematiku IP adresy, IP adresace a moţnostem správy a přidělení IP adresy zařízením, které se připojují do datové sítě. Cílem této práce bylo analyzovat základní poznatky týkající se funkce datových sítí z teoretického pohledu pomocí referenčního modelu ISO/OSI a TCP/IP a z pohledu IP adresy, IP adresace doplněné o praktickou ukázku. V praktické části jsem ověřil, ţe síťová zařízení komunikují podle předem stanovených pravidel, jeţ zaručují funkci rozsáhlých sítí a především Internetu. Ověřil jsem, ţe obecné principy komunikace, v tomto případě týkající se adresace a automatického přidělování IP adres, je nezávislé na komunikujících platformách.

56

Použité zdroje 1.

KOUTNÁ, M. a T. SOCHOR. Úvod do počítačových sítí [online]. Orlová: 2006 [cit. 2014-03-14]. Dostupné z: http://distancne.obaka-orlova.cz/PDF/UPS.pdf

2.

KERSLAGER,. Ethernetový rámec [online]. verze 24. 9. 2009 [cit. 2014-03-15]. Dostupné z: https://www.pslib.cz/ke/Ethernetov%C3%BD_r%C3%A1mec

3.

BOUŠKA, P. VLAN - Virtual Local Area Network. [online]. 2. 6. 2007, 15:54 [cit. 201406-28]. Dostupné z: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/

4.

DOSTÁLEK, L. a A. E. A. KABELOVÁ. Velký průvodce protokoly TCP/IP a systémem DNS. 4. vydání. Brno: CP Books, 2005. ISBN 80-7226-675-6.

5.

Formát datagramu. IPv6 [online]. verze 2.7.2012 [cit. 2014-06-15]. Dostupné z: https:// www.ipv6.cz/Form%C3%A1t_datagramu

6.

GEWISSLER, R. Podpora protokolu IPv6 v České republice. 2013. Diplomová práce. Bankovní institut vysoká škola. Vedoucí práce Jan Háněl [cit. 2014-06-15]. Dostupné z: http://is.bivs.cz/th/15425/bivs_m/

7.

LAMMLE, T. CCNA: Cisco Certified Network Associate, Výukový průvodce přípravou na zkoušku 640-802.. Překlad David KRÁSENSKÝ a Jakub MIKULAŠTÍK. Brno: Computer Press, 2010. ISBN 978-80-251-2359-1.

8.

Data Encapsulation & Decapsulation in the OSI Model. Firewall.cx [online]. [cit. 201403-18]. Dostupné z: http://www.firewall.cx/networking-topics/the-osi-model/179-osidata-encapsulation.html

9.

Model ISO/OSI , TCP/IP [online]. [cit. 2014-03-18]. Dostupné z: http:// www.ped.muni.cz/wtech/03_studium/teps/TEPS-02.pdf

10. BOUŠKA, P. TCP/IP - adresy, masky, subnety a výpočty. In: www.SAMURAJ-cz.com [online]. 5. 9. 2007, 14:53, verze 11.08.2008 [cit. 2014-03-19]. Dostupné z: http:// www.samuraj-cz.com/clanek/tcpip-adresy-masky-subnety-a-vypocty/ 11. Vlastnosti protokolu. IPv6 [online]. verze 2.7.2012 [cit. 2014-06-15]. Dostupné z: https:// www.ipv6.cz/Vlastnosti_protokolu

57

12. Adresy. IPv6 [online]. verze 23.8.2012 [cit. 2014-06-16]. Dostupné z: https:// www.ipv6.cz/Adresy 13. LUHOVÝ, K. VPN (5) – tradiční model tunelování. In: světsítí [online]. 20. 1. 2003 [cit. 2014-06-29]. Dostupné z: http://www.svetsiti.cz/clanek.asp?cid=VPN-5--tradicni-modeltunelovani-2012003 14. FARINACCI, D. a ET AL. RFC: 2784 - Generic Routing Encapsulation (GRE). In: IETF Tools [online]. 2000 [cit. 2014-06-29]. Dostupné z: http://tools.ietf.org/html/rfc2784.html 15. Introducing IANA. iana [online]. [cit. 2014-05-20]. Dostupné z: http://www.iana.org/ about 16. Number Resources. iana [online]. [cit. 2014-05-20]. Dostupné z: http://www.iana.org/ numbers 17. Domain Name Services. iana [online]. [cit. 2014-05-20]. Dostupné z: http:// www.iana.org/domains 18. Protocol Registries. iana [online]. [cit. 2014-05-20]. Dostupné z: http://www.iana.org/ protocols 19. PUŢMANOVÁ, R. Jak se orientovat v RFC aneb Průvodce profesionála. LUPA.cz [online]. verze 30.4.2002 [cit. 2014-05-21]. Dostupné z: http://www.lupa.cz/clanky/jakse-orientovat-v-rfc-aneb-pruvodce-profesionala/ 20. DROMS, R. a T. LEMON. DHCP:Příručka administrátora.. Překlad Martin BLAŢÍK a Jaroslav ČERNÝ. Brno: Computer press, 2004. ISBN 80-251-0130-4. 21. Kapitola 13. Nastavení sluţeb serveru. soLNnet [online]. [cit. 2014-05-22]. Dostupné z: http://www.solnet.cz/files/manual/adm/2008_2/services.html 22. BOUŠKA, P. Cisco IOS 13 - DHCP sluţby na switchi. In: www.SAMURAJ-cz.com [online]. 6. 1. 2008, 11:24 [cit. 2014-03-20]. Dostupné z: http://www.samuraj-cz.com/ clanek/cisco-ios-13-dhcp-sluzby-na-switchi/ 23. GURECKÝ,. DHCP snooping [online]. 2006. 24. VYCHODIL, J. DHCP snooping na přepínači Cisco Catalyst C2960 - rozšíření a přepracování projektu z minulého roku [online]. 2008 [cit. 2014-06-05]. Dostupné z: http://wh.cs.vsb.cz/sps/images/7/7f/Vyc022_SPS_projektv2.pdf 25. Automatická konfigurace. IPv6 [online]. verze 1.7.2012 [cit. 2014-06-02]. Dostupné z: https://www.ipv6.cz/Automatick%C3%A1_konfigurace

58

26. DHCPv6. IPv6 [online]. verze 26.8.2011 [cit. 2014-06-02]. Dostupné z: https:// www.ipv6.cz/DHCPv6 27. PERKINS, C. E. RFC 3344 - IP Mobility Support for IPv4. In: IETF Tools [online]. 2002 [cit. 2014-06-29]. Dostupné z: https://tools.ietf.org/rfc/rfc3344.txt 28. HAVELKA, Z. Klíčové sluţby DNS, DHCP, IPAM na rozcestí. In: zive [online]. 8. 7. 2009 [cit. 2014-05-29]. Dostupné z: http://www.zive.cz/Clanky/Klicove-sluzby-DNSDHCP-IPAM-na-rozcesti/sc-3-a-147782/default.aspx 29. Přehled adres IP Management (IPAM). TechNet [online]. [cit. 2014-05-28]. Dostupné z: http://technet.microsoft.com/cs-cz/library/hh831353.aspx 30. Cisco Prime Network Registrar IPAM [online]. 2013 [cit. 2014-05-28]. Dostupné z: http:/ /www.cisco.com/c/en/us/products/collateral/cloud-systems-management/prime-networkregistrar/data_sheet_c78-729478.pdf 31. GRYGÁREK, P. Konfigurace směrovačů a přepínačů s Cisco IOS [online]. [cit. 201406-01]. Dostupné z: http://www.cs.vsb.cz/grygarek/PS/ZakladyKonfiguraceIOS.pdf 32. Cisco IOS – konfigurace DHCP. In: IT blog [online]. 5. 4. 2012 [cit. 2014-06-02]. Dostupné z: http://szj.cz/cisco-ios-konfigurace-dhcp/ 33. DONAHUE, G. A. Kompletní průvodce síťového experta.. Brno: Computer press, 2009. ISBN 978-80-251-2247-1. 34. SPURNÁ, I. Počítačové sítě: Praktická příručka správce sítě.. Kralice na Hané: Computer Media, 2010. 35. GRYGÁREK , P. Konfigurace směrovačů a přepínačů s Cisco IOS [onlina]. [cit. 201406-05]. Dostupné z: http://www.cs.vsb.cz/grygarek/PS/ZakladyKonfiguraceIOS.pdf

Seznam obrázků Obrázek 1 - Vrstvy ISO/OSI modelu ........................................................................................ 9 Obrázek 2 - Komunikace DHCP klient – server ..................................................................... 35 Obrázek 3 - Diagram stavů DHCP klienta .............................................................................. 37 Obrázek 4 - Komunikace po restartu DHCP klienta ............................................................... 38 Obrázek 5 - Mobile IP, encapsulace ........................................................................................ 45 Obrázek 6 - Komunikující prvky Mobile IP............................................................................ 45 59

Obrázek 7 - Cisco Prime Network Registrar IPv4 and IPv6 Management ............................. 48 Obrázek 8 - Konfigurace DHCP v počítači ............................................................................. 49 Obrázek 9 - Parametry přidělené ISP (Internet servis provider) ............................................. 50 Obrázek 10 - Konfigurovatelné parametry .............................................................................. 51 Obrázek 11 - Přehled zapůjčených IP adres ............................................................................ 51 Obrázek 12 - Konfigurace Cisco směrovače ........................................................................... 52 Obrázek 13 - Aktuální konfigurace směrovače ....................................................................... 54 Obrázek 14 - Odchycení síťového provozu ............................................................................. 54 Obrázek 15 - Zachycení potvrzovací zprávy DHCPACK ....................................................... 55 Obrázek 16 - Přidělené konfigurační parametry...................................................................... 56

Seznam tabulek Tabulka 1 - Násobky jednotky bit/sekundu ............................................................................. 10 Tabulka 2 - Datový rámec ....................................................................................................... 13 Tabulka 3 - Paket IPv4 ............................................................................................................ 15 Tabulka 4 - Paket IPv6 ............................................................................................................ 16 Tabulka 5 - Encapsulace / Deencapsulace ............................................................................... 20 Tabulka 6 - Srovnání modelu ISO/OSI a TCP/IP ................................................................... 22 Tabulka 7 - Logický součin ..................................................................................................... 24 Tabulka 8 - Tabulka adresních tříd .......................................................................................... 24 Tabulka 9 - Speciální IP adresy ............................................................................................... 25 Tabulka 10 - Zdrojový adresní prostor .................................................................................... 26 Tabulka 11 - 1.podsíť .............................................................................................................. 27 Tabulka 12 - 2.podsíť .............................................................................................................. 27 Tabulka 13 - Nejznámější adresy IPv6 .................................................................................... 29 Tabulka 14 - Skupiny adres přidělené určitým technologiím, mechanismům ........................ 30 Tabulka 15 - Struktura GRE paketu. ....................................................................................... 31 Tabulka 16 - Komunikace DHCP klient – server .................................................................... 35 Tabulka 17 - Formát moţností ................................................................................................ 41 Tabulka 18 - DHCP message type........................................................................................... 41 Tabulka 19 - Moţnosti DHCP message type........................................................................... 41 Tabulka 20 – Moţnost „Subnet mask“ .................................................................................... 42 60

Tabulka 21 - Moţnost „router“................................................................................................ 42 Tabulka 22 - Moţnost „DNS server“ ...................................................................................... 42 Tabulka 23 - Moţnost „requested IP adress“ .......................................................................... 42 Tabulka 24 - Moţnost „end“ ................................................................................................... 43 Tabulka 25 - Základní sada příkazů ke konfiguraci Cisco směrovače .................................... 53

Použité SW nástroje PuTTY, dostupné z: www.stahuj.centrum.cz/internet_a_site/vzdalena_sprava/putty/ Wireshark, dostupné z: www.stahuj.centrum.cz/internet_a_site/monitoring_site/wineshark/

Seznam použitých zkratek AFRINIC - African Internet Community APNIC - Asia-Pacific Network Information Centre ARIN - American Registry for Internet Numbers ARP - Address Resolution Protocol bps – bits per second CIDR - Classless Inter-Domain Routing CLI - Command Line Interface CSMA/CA - Carrier Sense Multiple Access with Collision Avoidance CSMA/CD - Carrier Sense Multiple Access with Collision Detection DHCP - Dynamic Host Configuration Protocol DNS - Domain Name Systém DNSSEC - DNS Security Extensions DUID - DHCP Unique Identifier FCS - Frame Check Sequence FTTP - File Transfer Protocol GRE - Generic Routing Encapsulation GUI - Graphical User Interface HTTP - Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure 61

HW – Hardware IANA - Internet Assigned Numbers Authority ICANN - Internet Corporation for Assigned Names and Numbers ICMP - Internet Control Message Protocol IETF - Engineering Task Force IHL - Internet Header Lenght IMAP - Internet Message Access Protocol IP - Internet Protocol IPAM - Internet Protocol Address Management IPv4 - Internet Protocol version 4 IPv6 - Internet Protocol version 6 ISO - International Organization for Standardization ISP - Internet Service Provider LACNIC - Latin American and Caribbean Internet Address Registry LAN - Local Area Network) MAC - Media Access Control NAT - Network Address Translation NIC – Network Interface Card NTP - Network Time Protocol OSI - Open System Interconnection PAT - Port address translation POP - Post Office Protocol RADIUS - Remote Authentication Dial In User Service RFC - Request For Comments RIPE NCC - Réseaux IP Européens Network Coordination Centre SMTP - Simple Mail Transfer Protocol SNMP - Simple Network Management Protocol SSH - Secure Shell SW – Software TCP - Transmission Control Protocol Telnet - Telecommunication Network TLD - Top Level Domain TTL - Time to Live UDP - User Datagram Protocol 62

VLAN - Virtual Local Area Network VLSM - Variable Length Subnet Masking VPN - Virtual Private Network WAN - Wide Area Network Wi–Fi - Wireless Fidelity

63