Poˇ c´ıtaˇ cov´ e s´ıtˇ e pˇredn´aˇsky
Jan Outrata ˇr´ıjen–prosinec 2010 (aktualizace z´aˇr´ı–prosinec 2013) Tyto slajdy byly jako v´yukov´e a studijn´ı materi´ aly vytvoˇreny za podpory grantu ˇ 1358/2010/F1a. FRVS
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
1 / 31
Fragmentace – linkov´e r´amce maj´ı omezenou velikost (jeden aˇz dva, max. jednotky kB), maxim´aln´ı velikost dat v r´amci = MTU (Maximum Transfer Unit), napˇr. u Ethernetu II 1500 B – IP paket m˚ uˇze b´yt ale dlouh´y aˇz 64 kB → fragmentace paketu – pokud je fragmentace zak´az´ana (bitem DF v z´ahlav´ı IP paketu): paket je zahozen (pokud nejde jinou linkou) a odesilateli je to signalizov´ano pomoc´ı ICMP typu 3, k´ od 4 – vyuˇzit´ı v algoritmu zjiˇstˇen´ı nejmenˇs´ı MTU na cestˇe k uzlu (Path MTU Discovery, PMTUD) pozdˇeji byla tato signalizace doplnˇena o moˇznost informace o MTU linky (2 B promˇenn´e ˇc´asti z´ahlav´ı ICMP paketu)
– zvyˇsuje reˇzii pˇrenosu dat → OS se snaˇz´ı vytv´aˇret pakety d´elky ≤ MTU, aby nebylo fragmentace potˇreba ˇ ´I: zjiˇstˇen´ı nejmenˇs´ı MTU k uzlu pomoc´ı programu ping se CVICEN zak´az´an´ım fragmentace a nastaven´ım velikosti paketu (algoritmus PMTUD) Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
2 / 31
Fragmentace = dˇelen´ı IP paketu na fragmenty o celkov´e d´elce ≤ MTU linky, RFC 791 – fragment = samostatn´y IP paket se stejnou hlaviˇckou jako p˚ uvodn´ı paket (s identifikac´ı fragmentu), aˇz na poloˇzky: celkov´a d´elka = d´elka fragmentu (≤ MTU) posunut´ı fragmentu – offset dat fragmentu v datov´e ˇc´asti p˚ uvodn´ıho paketu, tj. kolik dat p˚ uvodn´ıho paketu je v pˇredchoz´ıch fragmentech, v jednotk´ach 8B indikaci dalˇs´ıch fragment˚ u (bit MF pˇr´ıznak˚ u) – posledn´ı fragment nem´a nastavenu
Obr´azek: Obr´azek pr˚ uvodce 144→145(5)
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
3 / 31
Fragmentace – skl´ ad´ an´ı fragment˚ u (se stejnou identifikac´ı fragmentu a protokolem vyˇsˇs´ı vrstvy) do p˚ uvodn´ıho paketu prov´ad´ı pouze pˇr´ıjemce paketu! – nikdo jin´y nemus´ı m´ıt vˇsechny fragmenty – pokud pˇr´ıjemce nem˚ uˇze paket sestavit, protoˇze v urˇcen´e dobˇe nem´a vˇsechny fragmenty (protoˇze napˇr. prvn´ı byl na cestˇe odfiltrov´an, napˇr. podle adresy vyˇsˇs´ıho protokolu), signalizuje to pˇr´ıjemci pomoc´ı ICMP typu 11, k´od 1 – mechanizmus umoˇzn ˇuje d´ale fragmentovat i fragmenty, smˇerovaˇci na cestˇe ˇ ´I: zachyt´av´an´ı a inspekce IP fragment˚ CVICEN u generovan´ych napˇr. programem ping s nastaven´ım velikosti paketu
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
4 / 31
Voliteln´ e poloˇ zky IP z´ ahlav´ı – max. 40 B za povinn´ymi poloˇzkami IP paketu Obr´azek: Obr´azek pr˚ uvodce 145→146(5)
– bit kop´ırovat znamen´a kop´ırov´an´ı poloˇzek do vˇsech fragment˚ u, jinak jen prvn´ıho – ˇc´ıslo volby specifikuje typ voliteln´e poloˇzky, 0 pro posledn´ı poloˇzku, 1 pro v´yplˇ n z´ahlav´ı na n´asobek 4 B zaznamen´ avej smˇ erovaˇ ce (ˇc´ıslo 7): kaˇzd´y smˇerovaˇc na cestˇe k pˇr´ıjemci zap´ıˇse IP adresu sv´eho v´ystupn´ıho rozhran´ı (max. 9), pˇr´ıjemce je m˚ uˇze zopakovat v odpovˇedi s touto volbou zaznamen´ avej ˇ cas (68): kaˇzd´y smˇerovaˇc na cestˇe k pˇr´ıjemci zap´ıˇse ˇcas (v ms od posledn´ı p˚ ulnoci UTC, 4B) nebo ˇcas a IP adresu sv´eho v´ystupn´ıho rozhran´ı (8B, max. 4) Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
5 / 31
Voliteln´ e poloˇ zky IP z´ ahlav´ı explicitn´ı smˇ erov´ an´ı (131, 137): explicitn´ı zad´an´ı smˇerovaˇc˚ u, pˇres kter´e m´a paket j´ıt, striktn´ı = zad´an´ı vˇsech, smˇerovaˇce upravuj´ı adresu pˇr´ıjemce paketu na adresu n´asleduj´ıc´ıho smˇerovaˇce, z bezpeˇcnostn´ıch d˚ uvod˚ u (pr˚ unik do priv´atn´ı s´ıtˇe) b´yvaj´ı pakety s touto poloˇzkou na smˇerovaˇc´ıch filtrov´ any upozornˇ en´ı pro smˇ erovaˇ c (148): informace pro smˇerovaˇce na cestˇe k c´ılov´emu smˇerovaˇci, ˇze v paketu mohou b´yt informace (ohlednˇe smˇerov´an´ı) uˇziteˇcn´e i nˇe – nˇekter´e volby jsou implementovan´e v programu ping ˇ ´I: zachyt´av´an´ı a inspekce IP paket˚ CVICEN u s voliteln´ymi poloˇzkami v z´ahlav´ı generovan´ych napˇr. programem ping
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
6 / 31
Protokoly ARP a RARP ARP (Address Resolution Protocol) – odchoz´ı IP paket se vkl´ad´a do linkov´eho r´amce (napˇr. Ethernet), jak se zjist´ı linkov´a adresa pˇr´ıjemce? → protokol ARP (RFC 826) = zjiˇstˇ en´ı linkov´ e adresy pˇr´ıjemce ze znalosti jeho IP adresy – uzel vyˇsle ARP paket ˇ z´ adosti obsahuj´ıc´ı IP adresu pˇr´ıjemce na vˇsesmˇerovou linkovou adresu a pˇr´ıjemce odpov´ı ARP paketem odpovˇ edi (pˇr´ımo odesilateli) – ARP paket se vkl´ad´a pˇr´ımo do linkov´eho r´amce, NE do IP paketu – ARP je protokol nez´ avisl´ y na IP
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
7 / 31
Protokoly ARP a RARP ARP (Address Resolution Protocol) Obr´azek: Obr´azek pr˚ uvodce 154
ARP paket: typ linkov´eho protokolu: ˇc´ıslo pouˇzit´eho linkov´eho protokolu, napˇr. 1 pro Ethernet II, 6 pro Ethernet podle IEEE 802.3 (viz IANA) typ s´ıt’ov´eho protokolu: stejn´a ˇc´ısla jako v poli Protokol u linkov´eho r´amce, napˇr. 0x800 pro IP HS a PS: d´elka linkov´e a s´ıt’ov´e adresy operace: 1 pro ARP ˇz´adost, 2 pro ARP odpovˇed’ – linkov´a adresa pˇr´ıjemce je v ARP ˇz´adosti nulov´a – v ARP odpovˇedi jsou oproti ˇz´adosti adresy prohozeny
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
8 / 31
Protokoly ARP a RARP ARP (Address Resolution Protocol) ARP cache = tabulka s´ıt’ov´ a adresa – linkov´ a adresa, naplnˇen´a staticky (manu´alnˇe) nebo dynamicky z pˇr´ıchoz´ıch linkov´ych r´amc˚ u se s´ıt’ov´ymi pakety a ARP odpovˇed´ı – pouˇzita pˇri zjiˇst’ov´an´ı linkov´e adresy k s´ıt’ov´e adrese – omezen´a doba uchov´an´ı dynamick´ych poloˇzek (nepouˇzit´ych napˇr. 2 minuty, maxim´aln´ı napˇr. 10 minut), parametr OS – pro manipulaci slouˇz´ı program arp
proxy ARP ARP pakety se nesmˇeruj´ı (pˇr´ısnˇe vzato ARP nen´ı s´ıt’ov´y protokol), ARP funguje v r´ amci lok´ aln´ı s´ıtˇ e (v dosahu linkov´eho protokolu) = konfigurace smˇ erovaˇ ce, kdy v odpovˇedi na ARP dotaz se s´ıt’ovou adresou za smˇerovaˇcem uvede smˇerovaˇc jako linkovou adresu pˇr´ıjemce svoji linkovou adresu ⇒ automatick´e nastaven´ı smˇerov´an´ı pro uzly v lok´aln´ı s´ıti pˇres smˇerovaˇc
ˇ ´I: zobrazen´ı a manipulace s ARP cache, zachyt´av´an´ı a inspekce CVICEN ARP paket˚ u (po vymaz´an´ı ARP cache) Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
9 / 31
Protokoly ARP a RARP RARP (Reverse ARP) = zjiˇstˇ en´ı s´ıt’ov´ e adresy odes´ılatele ze znalosti sv´e linkov´e adresy – dˇr´ıve pouˇzit´ı u bezdiskov´ych stanic bootovan´ych po s´ıti, kter´e ˇz´adaj´ı o svoji s´ıt’ovou adresu na z´akladˇe linkov´e, tu pˇridˇel´ı a v odpovˇedi sdˇel´ı RARP server – stejn´y paket jako u ARP, pole operace: 3 pro RARP ˇz´adost, 4 pro RARP odpovˇed’ – dnes pˇrekon´an aplikaˇcn´ım protokolem DHCP
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
10 / 31
Protokol IGMP (IP multicast) = sluˇzebn´ı protokol IP k ˇs´ıˇren´ı IP paket˚ u na skupinov´ e adresy (IP multicast) s v´ıce pˇr´ıjemci v r´ amci lok´ aln´ı s´ıtˇ e (TTL=1) – IP multicast v´yraznˇe sniˇzuje s´ıt’ov´y provoz a z´atˇeˇz odes´ılatele – nˇekolik verz´ı, zde verze 2 (RFC 2236) – pro kaˇzdou skupinovou adresu udrˇzuje smˇerovaˇc lok´aln´ı s´ıtˇe skupinu ˇ clen˚ u (uzl˚ u) a pokud je nˇejak´a skupina nepr´azdn´a, smˇerovaˇc ˇs´ıˇr´ı multicast pakety s adresou skupiny zvenku dovnitˇr lok´aln´ı s´ıtˇe – uzel (aplikace na nˇem) poˇzaduj´ıc´ı pˇr´ıjem multicast paket˚ u vyˇsle IGMP paket s poˇzadavkem na ˇclenstv´ı ve skupinˇe dan´e skupinovou adresou Obr´azek: Obr´azek pr˚ uvodce 158
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
11 / 31
Protokol IGMP (IP multicast) – IGMP paket obsaˇzen v IP paketu: typ: dotaz smˇerovaˇce na ˇclenstv´ı ve skupinˇe (11), poˇzadavek na ˇclenstv´ı ve skupinˇe (16), opuˇstˇen´ı skupiny (17) MRT (Maximum Response Time): pouze u typu 11, ˇcas (v desetin´ach s), do kter´eho se mus´ı uzly znovu pˇrihl´asit do skupiny, jinak jsou vyˇrazeni skupinov´ a IP adresa: nula u dotazu typu 11 (adresuje vˇsechny skupiny), jinak z tˇr´ıdy D, rozsah 224.0.0.0/24 je pro vyhrazen´e u ´ˇcely (napˇr. 224.0.0.1 je vˇseobecn´a pro vˇsechny uzly, 224.0.0.2 pro vˇsechny smˇerovaˇce atd.)
– v´ıce smˇerovaˇc˚ u na lok´aln´ı s´ıti: dva reˇzimy smˇerovaˇce – dotazovaˇ c (pos´ıl´a dotazy) a posluchaˇ c (dotazovaˇc, kter´y se pˇrepnul, pokud detekoval v lok´aln´ı s´ıti dotazy smˇerovaˇce s vyˇsˇs´ı adresou, jen poslouch´a)
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
12 / 31
Protokol IGMP (IP multicast) Mapov´ an´ı s´ıt’ov´ ych na skupinov´ e linkov´ e adresy mapov´an´ı“ jednoznaˇcn´ych IP adres (unicast) → ARP, mapov´an´ı ” vˇsesmˇerov´e → vˇsesmˇerov´a linkov´a adresa – s´ıt’ov´a karta zpracov´av´a (v norm´aln´ım, ne promiskuitn´ım, reˇzimu) pouze j´ı adresovan´e a vˇsesmˇerov´e r´amce, nav´ıc pak skupinov´ e r´ amce, o kter´e zaˇ z´ ad´ a s´ıt’ov´ a vrstva Ethernet: –
– skupinov´a MAC adresa: nejniˇzˇs´ı bit prvn´ıho bytu = 1 – prvn´ı tˇri byty MAC adresy pro v´yrobce – IANA m´a 00:00:5E, polovina jej´ıho rozsahu pro skupinov´ e adresy, prefix 01:00:5E = nejednoznaˇ cn´ e mapov´ an´ı 28 bit˚ u skupinov´e IP adresy do 23 bit˚ u skupinov´e MAC adresy: IP adresy liˇs´ıc´ı se pouze v nevyˇsˇs´ıch 5 bitech (po prefixu skupinov´ych adres), napˇr. 224.0.1.1 a 225.0.1.1, mapov´any na stejn´e linkov´e adresy Obr´azek: Obr´azek pr˚ uvodce 162 ⇒ pakety s nechtˇenou IP adresou mus´ı odfiltrovat s´ıt’ov´a vrstva Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
13 / 31
IP multicast IP multicast mimo lok´ aln´ı s´ıt’ (v Internetu) = ˇs´ıˇren´ı multicast paket˚ u Internetem od odes´ılatele k pˇr´ıjemc˚ um ve v´ıce lok´aln´ıch s´ıt´ıch – pomˇernˇe sloˇ zit´ a z´ aleˇ zitost, c´ıl zamezit nekontrolovan´ emu lavinovit´ emu duplikov´ an´ı paket˚ u v Internetu – u ´pravy smˇ erovac´ıch protokol˚ u pro v´ymˇenu smˇerovac´ıch informac´ı mezi smˇerovaˇci – protokoly napˇr. DVMRP, MOSPF, MBGP – probl´emy se ˇsk´alovatelnost´ı (poˇcty pˇr´ıjemc˚ u v milionech), aktivn´ı v´ yzkum dˇr´ıve experiment s MBONE (Multicast Backbone) = vybran´e smˇerovaˇce ( j´adro Internetu“) zabezpeˇcuj´ıc´ı ˇs´ıˇren´ı multicast paket˚ u ” pomoc´ı tunel˚ u dnes protokoly PIM (Protocol Independent Multicast) konstruuj´ıc´ı distribuˇ cn´ı strom multicastu (pro kaˇzdou skupinovou adresu), varianty Sparse Mode (SM), Source Specific Mode (SSM), Bidirectional Mode – vyuˇzit´ı v distribuci multimedi´ aln´ıho obsahu (streaming), ne obecnˇe jako zp˚ usob pˇrenosu libovoln´ych dat v Internetu Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
14 / 31
Protokol IP verze 6 (IPv6) ∼ “IP nov´ e generace”, IPng, vyv´ıjen od roku 1991, 1995 RFC-1883, dnes RFC-2460 (z´aklad + pˇridruˇzen´a RFC) – odstraˇ nuje nedostatky IPv4: ˇreˇsen´ı probl´emu adresace, dynamick´e konfigurace, podpory bezpeˇcnosti, mobility uzl˚ u, multim´edi´ı aj. = nejen zvˇ etˇsen´ı IP adresy, nov´ y pohled na IP paket (revize): zjednoduˇsen´ı z´ahlav´ı – pˇresun m´alo vyuˇz´ıvan´ych z´akladn´ıch poloˇzek do (zˇretˇezen´ych) voliteln´ych: pro smˇerov´an´ı, fragmentaci, autentizaci aj. (bezstavov´a) automatick´ a konfigurace uzl˚ u bezpeˇcnost – autentizace a ˇsifrov´ an´ı na u ´rovni s´ıt’ov´e vrstvy podpora mobility uzl˚ u – se snahou o zachov´an´ı TCP spojen´ı pˇri pˇrechodu uzlu ze s´ıtˇe do s´ıtˇe (!) podpora multim´edi´ı – tˇr´ıdy dat (vˇcetnˇe real-time komunikace), smˇerov´an´ı toku a ne jednotliv´ych paket˚ u ...
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
15 / 31
Protokol IP verze 6 (IPv6) IPv6 paket Obr´azek: Obr´azek pr˚ uvodce 196→208(5)
= 40 B z´akladn´ı z´ahlav´ı + nepovinn´a rozˇs´ıˇren´ı r˚ uzn´e d´elky, data, max. 64 kB, ale moˇznost rozs´ahl´eho paketu v rozˇs´ıˇren´ıch tˇr´ıda dat: specifikace priority dat pro rozhodov´an´ı o zahozen´ı paketu pˇri zahlcen´ı s´ıtˇe, hodnoty 0 aˇz 7 pro klasick´y provoz (datov´e pˇrenosy, poˇsta, interaktivn´ı atd.), 8 aˇz 15 pro pˇrenosy v re´aln´em ˇcase (multim´edia)
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
16 / 31
Protokol IP verze 6 (IPv6) IPv6 paket identifikace toku dat: spolu s adresou odesilatele jednoznaˇcnˇe identifikuje datov´y tok, pro potˇreby smˇ erov´ an´ı – ˇreˇsen´ı smˇerov´an´ı jen u prvn´ıho paketu toku, ne u kaˇzd´eho (na z´akladˇe jen adresy pˇr´ıjemce u IPv4), nebo k zajiˇstˇ en´ı ˇs´ıˇrky p´ asma – prioritn´ı FIFO paket˚ u na smˇerovaˇci m´ısto obyˇcejn´e (jako u IPv4), protokol RSVP dalˇs´ı z´ ahlav´ı: typ n´asleduj´ıc´ıho z´ahlav´ı nepovinn´ eho rozˇs´ıˇren´ı IPv6 (vˇcetnˇe typu 59 pro ˇz´adn´e) nebo protokolu vyˇsˇs´ı vrstvy, napˇr. TCP (6), UDP (17), IP (v IP, 4) poˇ cet hop˚ u: ∼ TTL u IPv4, k zahazovan´ı zatoulan´ych paket˚ u nebo k nalezen´ı nejkratˇs´ı cesty (zvyˇsov´an´ı TTL, obdoba traceroute)
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
17 / 31
Protokol IP verze 6 (IPv6) IP adresa – d´elka 16 B (128 b), tˇri typy: jednoznaˇcn´a s´ıt’ov´eho rozhran´ı (unicast) skupinov´a (multicast) – zvl´aˇstn´ı pˇr´ıpad vˇseobecn´a (broadcast) skupinov´a anycast = paket doruˇcen jen nejbliˇzˇs´ımu z adres´at˚ u skupiny, adresy z rozsahu unicast adres, napˇr. subnet-router, DNS query anycast
notace z´apisu s aˇz ˇctveˇricemi ˇsestn´actkov´ych ˇc´ıslic oddˇelen´ymi dvojteˇckou, napˇr. 2001:718:1401:50:0:0:0:0d, nebo ˇcastˇeji zkr´acen´a pomoc´ı zdvojen´e dvojteˇcky (pouze jednou, nahrazuje sekvenci 0), napˇr. 2001:718:1401:50::0d, nebo i s posledn´ımi ˇctyˇrmi byty v notaci adresy IPv4 (tzv. kompatibiln´ı adresy), napˇr. FE80::158.194.80.13 notace s´ıtˇe spolu s maskou (prefix): prefix adresy pro s´ıt’/poˇcet 1 v (bin´arn´ı) masce
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
18 / 31
Protokol IP verze 6 (IPv6) IP adresa – rozdˇ elen´ı na poloviny (RFC 2373, 2450): adresa s´ıtˇe (64 b) a adresa uzlu (rozhran´ı, 64 b) adresa s´ıtˇ e: obdobnˇe jako u IPv4, glob´ aln´ı prefix (45 b za prvn´ımi tˇremi bity) pro Internet Registry a autonomn´ı syst´emy, napˇr. pro RIPE 2001:0600::/29 aˇz 2001:07F8::/29, d´ale poskytovatele (supers´ıtˇe) a organizace (s´ıtˇe), pak pro subs´ıtˇe (16 b) Obr´azek: Obr´azek pr˚ uvodce 214→227(5)
– glob´alnˇe jednoznaˇcn´e (unicast) adresy pro Internet: (zat´ım) 2000::/3, bloky /23 aˇz /12 pro Internet Registry
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
19 / 31
Protokol IP verze 6 (IPv6) IP adresa Obr´azek: Obr´azek pr˚ uvodce 215→227(5)
adresa rozhran´ı: vlastn´ı, podle IEEE EUI-64 = MAC adresa podle IEEE 802, kde doprostˇred se vloˇz´ı 0xFFFE a nastaven´ı druh´eho bitu prvn´ıho byte, napˇr. pro 00:02:B3:BF:30:EA je 202:B3FF:FEBF:30EA, n´ahodnˇe dynamicky generovan´a (Privacy Extensions) – bezstavov´ a autokonfigurace, SLAAC: adresa rozhran´ı podle IEEE EUI-64 nebo n´ahodn´a samopˇridˇelen´a“ na z´akladˇe ozn´ amen´ı ” smˇ erovaˇ ce (router advertisement, RA) s adresou s´ıtˇe (prefixem), obdoba 169.254.0.0/16 u IPv4, zabezpeˇcen´ı RA Guard, SEND (aymetrick´a kryptografie, ˇsifrovan´a adresa), access listy na pˇrep´ınaˇci – DHCPv6: bezstavov´e – SLAAC + dalˇs´ı info (DNS servery na LAN, dom´eny apod.) z DHCP serveru, stavov´e – jako DHCP pro IPv4, ale ne v´ychoz´ı br´ana LAN (sic!), identifikace uzlu pomoc´ı DUID m´ısto MAC rozhran´ı – pro uzel, nez´avislost na MAC, 3 typy, zabezpeˇcen´ı DHCP Snooping Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
20 / 31
Protokol IP verze 6 (IPv6) IP adresa – speci´aln´ı adresy: cel´a 0: nespecifikovan´a, rozhran´ı jeˇstˇe nebyla pˇridˇelena adresa ::1/128: loopback FE80::/10: automatick´e v r´amci lok´aln´ı s´ıtˇe nebo linkovˇe propojen´ych soused˚ u (link-local unicast), nesmˇeruj´ı se, adresa rozhran´ı automaticky samopˇridˇelen´a“ podle IEEE EUI-64, pro objevov´an´ı ” soused˚ u (viz d´ale), ozn´amen´ı smˇerovaˇce, smˇerovac´ı protokoly aj. FC00::/7: unik´atn´ı (s´ıt’ov´a adresa, prefix, z data a MAC rozhran´ı) v r´amci organizace (unique-local unicast), pouˇzit´ı u intranetu, nesmˇeruj´ı se, dˇr´ıve FEC0::/10 – priv´atn´ı v r´amci organizace (site-local unicast), obdoba vyhrazen´ych rozsah˚ u u IPv4 (10.0.0.0/8 atd.) FF00::/8: skupinov´e adresy (multicast), prvn´ı 4 bity z druh´eho byte specifikuj´ı rozsah skupiny, napˇr. 1 v r´amci uzlu, 2 lok´aln´ı s´ıtˇe, 5,8 organizace, E glob´aln´ı, vyhrazen´e adresy, napˇr. FF02::1 pro vˇsechny uzly = broadcast Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
21 / 31
Protokol IP verze 6 (IPv6) IP adresa – speci´aln´ı adresy: pˇrechodov´ e z IPv4: tunelovac´ı (IPv6 v IPv4) 2002:AB:CD::/16 6to4 – pro IPv4 (A.B.C .D)16 adresu rozhran´ı, 6to4 relay smˇerovaˇc (napˇr. NIC.cz) na anycast adrese 192.88.99.1, ISATAP – relay ve firemn´ı s´ıti (v DNS), Tunel Broker – veˇrejn´y relay (HE, SixXS), 2001::/32 Teredo – pro uzly za NAT, UDP zapouzdˇren´ı, veˇrejn´y Teredo server (napˇr. Microsoft), mapov´an´ı ::FFFF:a.b.c.d na IPv4 a.b.c.d. (SIIT, virtu´aln´ı IPv4 rozhran´ı), pˇreklady IPv6 (napˇr. 64:FF9B::/96) na IPv4 NAT64 & DNS64, aj. 2001:db8::/32: pro dokumentace (obdobn´e i u IPv4) ...
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
22 / 31
Protokol IP verze 6 (IPv6) Nepovinn´ a rozˇs´ıˇren´ı Obr´azek: Obr´azek pr˚ uvodce 199→211(5)
z´ ahlav´ı rozˇs´ıˇren´ı: typ n´asleduj´ıc´ıho z´ahlav´ı (tvoˇr´ı ˇretˇezec pouˇzit´ych poloˇzek na rozd´ıl od vˇsech u IPv4), d´elka z´ahlav´ı, data informace pro smˇ erovaˇ ce (typ 0): informace = volby (pole typ, d´elka, hodnota, napˇr. rozs´ahl´y paket d´elky aˇz 4 GB, typ 194) smˇ erovac´ı informace (43): explicitn´ı smˇ erov´ an´ı, hop-by-hop – pole poˇcet smˇerovaˇc˚ u, maska striktn´ıho smˇerov´an´ı (bit = 1 = sousedn´ı smˇerovaˇc), adresy smˇerovaˇc˚ u a pˇr´ıjemce, 2007 zruˇseno
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
23 / 31
Protokol IP verze 6 (IPv6) Nepovinn´ a rozˇs´ıˇren´ı z´ ahlav´ı fragmentu (44): fragmentovat m˚ uˇze pouze odes´ılatel (na rozd´ıl od IPv4, algoritmus PMTUD), pole posunut´ı fragmentu (hodnota v jednotk´ach 8B), indikace dalˇs´ıch fragment˚ u, identifikace fragmentu autentizace (51, protokol AH) a bezpeˇ cnost/ˇsifrov´ an´ı (50, ESP): integrita a autentizace (m´ısto kontroln´ıho souˇctu, MD5 ze sd´ılen´eho tajemstv´ı a paketu), ˇsifrov´an´ı odes´ılatelem nebo smˇerovaˇci, pouˇzit´ı v IPSec, posledn´ı z´ahlav´ı – uspoˇr´ad´an´ı od tˇech pro smˇerovaˇce po ty pro koncov´y uzel
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
24 / 31
Protokol IP verze 6 (IPv6) Protokol ICMP verze 6 = nepovinn´e rozˇs´ıˇren´ı IP z´ahlav´ı, typ 58, RFC 2463 – stejnˇe jako u IPv4 pro signalizaci chybov´ych stav˚ u a diagnostiku – pole typ, k´od, kontroln´ı souˇcet a tˇelo napˇr. echo (ˇz´adost, odpoved’), ˇcas vyprˇsel, nedoruˇciteln´y paket (nen´ı smˇer, adresa, administrativnˇe), zmˇen ˇ smˇerov´an´ı, ˇz´adost+odpovˇed’ o smˇerov´an´ı apod. Neighbor discovery protokol, NDP: objevov´an´ı soused˚ u ∼ pˇreklad IPv6 adresy na linkovou adresu (m´ısto ARP a RARP u IPv4) = ˇz´adost a ozn´amen´ı o linkov´e adrese (neighbor solicitation a advertisement), ˇz´adost o a ozn´amen´ı smˇerovaˇce (router solicitation a advertisement) – adresa s´ıtˇe (prefix) a v´ychoz´ı br´any LAN (novˇe i DNS server˚ u), povolen´ı SLAAC, aj., zas´ılan´a na skupinovou adresu LAN (speci´aln´ı FF02::1:FF00:0/104) ˇ ´I: zachyt´av´an´ı a inspekce IPv6 paket˚ CVICEN u, zjiˇstˇen´ı IPv6 adresy s´ıt’ov´eho rozhran´ı Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
25 / 31
Bezpeˇ cnost protokolu IP IPv4 – neˇreˇs´ı, naopak napˇr. nˇekter´e voliteln´e poloˇzky (explicitn´ı smˇerov´an´ı) mohou b´yt nebezpeˇcn´e – pouze kontroln´ı souˇcet z´ahlav´ı – snadn´e pˇrepoˇc´ıtat po modifikaci paketu – u ´toky: podvrˇzen´ı IP adresy odes´ılatele a pˇr´ıjemce (IP spoofing), zahlcen´ı s´ıtˇe (napˇr. flood ping) a odepˇren´ı sluˇzby (Denial of Service, DoS) → ˇreˇsen´ı: filtrace (nˇekter´ych ICMP paket˚ u, paket˚ u s voliteln´ymi poloˇzkami atd.), ˇsifrov´ an´ı – priv´atn´ı s´ıtˇe (intranet, s pˇrekladem adres), DHCP Snooping aj. IPv6 – u ´toky + ˇreˇsen´ı jako u IPv4 autentizace (protokol AH) a ˇsifrov´an´ı (protokol ESP) v dalˇs´ıch z´ahlav´ıch → IPSec zabezpeˇcen´ı autokonfigurace – SEND Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
26 / 31
Bezpeˇ cnost protokolu IP Firewall = oddˇelen´ı vnitˇrn´ı s´ıtˇe (intranetu) od vnˇejˇs´ı (Internetu), ochrana syst´emu uzlu pˇred s´ıt´ı – sluˇzby: filtrace provozu, kontrola adres, pˇreklad adres (NAT) – na z´akladˇe IP z´ahlav´ı (a d´ale z´ahlav´ı vyˇsˇs´ıch protokol˚ u), aplikaˇcn´ı br´ana (proxy, protokol SOCKS), logov´an´ı a detekce u ´tok˚ u (IDS, IPS) – provozov´an na hraniˇcn´ıch smˇerovaˇc´ıch (br´anˇe) mezi s´ıtˇemi nebo na klientsk´ych poˇc´ıtaˇc´ıch – nastaven´ı pravidel (fitraˇcn´ıch aj.) OS nebo pomoc´ı aplikaˇcn´ıho programu demilitarizovan´ a z´ ona (DMZ) – ˇc´ast s´ıtˇe s poˇc´ıtaˇci dostupn´ymi z vnitˇrn´ı (chr´anˇen´e) i vnˇejˇs´ı s´ıtˇe, napˇr. aplikaˇcn´ı (proxy) servery
Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
27 / 31
Bezpeˇ cnost protokolu IP Pˇreklad adres (Network Address Translation, NAT) (RFC 1631) = pˇreklad IP adres paket˚ u z vnitˇrn´ı s´ıtˇe (intranetu) na IP adresy vnˇejˇs´ı s´ıtˇe (Internetu) a naopak SNAT (Source NAT) = pˇreklad IP adresy odes´ılatele, DNAT (Destination NAT) = pˇreklad IP adresy pˇr´ıjemce – poskytuje skryt´ı vnitˇrn´ı s´ıtˇe, vyuˇzit´ı tak´e pˇri spojen´ı v´ıce intranet˚ u se stejn´ym rozsahem adres – provozov´an na hraniˇcn´ıch smˇerovaˇc´ıch (br´anˇe) mezi s´ıtˇemi, typicky v r´amci firewallu maˇskar´ ada = SNAT na IP adresu hraniˇcn´ıho smˇerovaˇce ve vnˇejˇs´ı s´ıti, pˇreklad i (zdrojov´eho) portu transportn´ı vrstvy (NAPT (Network Address and Port Translation)) – zasahuje i do vyˇsˇs´ıch vrstev, transportn´ı (pˇreklad port˚ u) i aplikaˇcn´ı (porozumˇen´ı aplikaˇcn´ımu protokolu) Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
28 / 31
Bezpeˇ cnost protokolu IP IPSec (Internet Protocol Security) (RFC 2401 – 2412) – p˚ uvodnˇe v r´amci prac´ı na IPv6 (jeho povinn´a souˇc´ast), backportov´an i pro IPv4 = zabezpeˇcen´ı komunikace mezi poˇc´ıtaˇci (koncov´ymi s´ıt’ov´ymi rozhran´ımi) na u ´rovn´ı s´ıt’ov´e vrstvy ⇒ bezpeˇ cn´ a s´ıt’ = autentizace komunikuj´ıc´ıch rozhran´ı a ˇsifrov´ an´ı IP paket˚ u – pomˇernˇe komplikovan´y protokol, z´avisl´y na architektuˇre TCP/IP – funkce: spr´ava ˇsifrovac´ıch kl´ıˇc˚ u (certifikaˇcn´ı autority, autentizace (digit´aln´ı podpis, hashe), ˇsifrov´an´ı (DES, RSA) z´ahlav´ı IPSec mezi z´ahlav´ım IP a daty paketu, poloˇzky pro autentizaci (AH) a ˇsifrov´an´ı (ESP), viz IPv6, d´ale protokoly pro v´ymˇenu kl´ıˇc˚ u ISAKMP a IKEY – reˇzimy: transportn´ı – ˇsifrov´an´ı datov´e ˇc´asti IP paketu, mezi koncov´ymi uzly tunelovac´ı – tunelov´an´ı IP s´ıtˇe v IP s´ıti, zapouzdˇren´ı ˇsifrovan´ych IP paket˚ u do nov´ych IP paket˚ u (IPSec over IP), tunel mezi smˇerovaˇci nebo vzd´alen´ym uzlem a hraniˇcn´ım smˇerovaˇcem s´ıtˇe Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
29 / 31
S´ıtˇ e WAN na b´ azi IP – p˚ uvodn´ı pˇredstava WAN jako propojen´ı LAN pomoc´ı smˇerovaˇc˚ ua pronajat´ych okruh˚ u ATM nebo Frame Relay pˇrestala staˇcit → p´ateˇrn´ı s´ıtˇe pˇr´ımo na b´azi IP, homogenn´ı IP s´ıt’ IP over Fiber = pˇrenos IP prostˇrednictv´ım optick´ych s´ıt´ı, varianty syst´em SONET/SDH – pˇrevod el. sign´al˚ u na optick´e, IP over ATM (vysok´a reˇzie, 622 Mb/s), IP over SONET/SDH (IP pakety v PPP r´amc´ıch v kontejneru SONET/SDH, synchronn´ı pˇrenos, 155 Mb/s) IP over DWDM (pˇr´ıpadnˇe jeˇstˇe se SONET/SDH) – transparentn´ı pˇrenos paket˚ u bez pˇrevodu sign´alu a form´atov´an´ı do r´amc˚ u, aˇz 10 Gb/s, kombinace s MPLS (MPλS)
virtu´ aln´ı priv´ atn´ı s´ıtˇ e (VPN): virtu´aln´ı IP s´ıt’ v rozlehl´e IP s´ıti MPLS: pˇrep´ınan´e IP s´ıtˇe m´ısto hop-by-hop s´ıt´ı (se smˇerovaˇci), na z´akladˇe tzv. n´avˇeˇst´ı po definovan´e cestˇe (zaruˇcen´ı atributy spojen´ı, QoS, VPN atd.) QoS: zabezpeˇcen´ı kvality pˇrenosu pomoc´ı rezervace zdroj˚ u/upˇrednostnˇen´ı paket˚ u (InetServ/DiffServ), protokol RSVP Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
30 / 31
Virtu´ aln´ı priv´ atn´ı s´ıtˇ e (VPN) = priv´atn´ı s´ıtˇe virtu´alnˇe v rozlehl´e transportn´ı s´ıti (Internetu), ˇcasto jako propojen´ı (priv´atn´ıch) s´ıt´ı nebo uzlu a (priv´atn´ı) s´ıtˇe, nahrazuje pronajat´e telekomunikaˇcn´ı okruhy priv´atn´ı adresace – nutno ˇreˇsit oddˇelen´ı priv´atn´ıch s´ıt´ı napˇr. pomoc´ı filtrace a NAT → tunelov´ an´ı = zapouzdˇren´ı paket˚ u nebo cel´ych r´amc˚ u vnitˇrn´ı s´ıtˇe do paket˚ u transportn´ı s´ıtˇe – vytv´aˇren´ı tunel˚ u = (dvoubodov´ych) logick´ych spojen´ı mezi uzly virtu´aln´ı s´ıtˇe, propojen´ı do transportn´ı s´ıtˇe = VPN gateway – zabezpeˇcen´ı tunel˚ u a oddˇelen´ı s´ıt´ı: autentizace, ˇsifrov´an´ı
tunelov´an´ı linkov´e vrstvy (zapouzdˇrov´any r´amce): protokoly PPTP, L2TP (PPP r´amce v IP, Frame Relay, ATM, autentizace, ˇsifrov´an´ı, komprese, v´ıcebodov´e tunely) tunelov´an´ı s´ıt’ov´e vrstvy (zapouzdˇrov´an´ı paket˚ u): IP over IP, protokoly GRE (p˚ uvodn´ı, dvoubodov´e tunely) a IPSec – oddˇelen´ı IP s´ıt´ı – napˇr. pˇrep´ınan´ı, MPLS (MPλS) Jan Outrata (KI UP)
Poˇ c´ıtaˇ cov´ e s´ıtˇ e
z´ aˇr´ı–prosinec 2013
31 / 31