m co s. nt ne po om in ec on l Ethernet Basics Rev. 02
Inhoudsopgave
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
on lin ec
om
po
ne
nt
s.
2 Ethernet 2.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . 2.2 De fysische implementaties . . . . . . . . . . . 2.2.1 Implementaties op basis van coax . . . . 2.2.2 Implementaties op basis van twisted pair 2.2.3 Implementaties op basis van fiber . . . . 2.2.4 Wireless LAN . . . . . . . . . . . . . . . . 2.2.5 Bluetooth . . . . . . . . . . . . . . . . . . 2.3 De datalinklaag . . . . . . . . . . . . . . . . . . 2.3.1 Inleiding . . . . . . . . . . . . . . . . . . . 2.3.2 MAC adres . . . . . . . . . . . . . . . . . 2.3.3 De Ethernet dataframe . . . . . . . . . . 2.3.4 CSMA/CD . . . . . . . . . . . . . . . . . . 2.3.5 CSMA/CA . . . . . . . . . . . . . . . . . . 2.4 Structuurelementen voor Ethernet . . . . . . . 2.4.1 De hub . . . . . . . . . . . . . . . . . . . 2.4.2 De switch . . . . . . . . . . . . . . . . . . 2.5 IEEE802.1Q tagged frame . . . . . . . . . . . . 2.6 Power over Ethernet . . . . . . . . . . . . . . . . 2.6.1 PSE . . . . . . . . . . . . . . . . . . . . . 2.6.2 PD . . . . . . . . . . . . . . . . . . . . . . 2.6.3 Alternatief A . . . . . . . . . . . . . . . . 2.6.4 Alternatief B . . . . . . . . . . . . . . . . 2.7 VLAN . . . . . . . . . . . . . . . . . . . . . . . . 2.7.1 Voordelen van VLANs . . . . . . . . . . . 2.7.2 Trunking . . . . . . . . . . . . . . . . . . . 2.7.3 Soorten VLANs . . . . . . . . . . . . . . . 2.8 Netwerkredundantie . . . . . . . . . . . . . . . 2.8.1 Inleiding . . . . . . . . . . . . . . . . . . . 2.8.2 Het Spanning Tree Protocol . . . . . . . . 2.8.3 Het Rapid Spanning Tree Protocol . . . . 2.8.4 Bridge Protocol Data Units (BPDUs) . . . 2.8.5 Multiple Spanning Tree Protocol (MSTP) . 2.8.6 Media Redundancy Protocol . . . . . . . .
co
m
1 Inleiding 1.1 Het OSI model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 1 3 5 5 6 7 7 11 11 14 16 16 16 17 18 20 21 21 23 24 24 25 26 27 27 28 28 28 29 30 30 30 30 31 32 32
Inhoudsopgave
ii
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
32 33 33 33 34 35
3 TCP/IP 3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Het Internet Protocol (IP) . . . . . . . . . . . . . . . . . . . . . 3.2.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Het IP adres . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Routers en subnetmasking . . . . . . . . . . . . . . . . 3.2.4 Subnetten . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.5 Classless Inter-Domain Routing . . . . . . . . . . . . . 3.2.6 Voorbeelden . . . . . . . . . . . . . . . . . . . . . . . . 3.2.7 Het IP pakket . . . . . . . . . . . . . . . . . . . . . . . . 3.2.8 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Transmission Control Protocol (TCP) . . . . . . . . . . . . . . . 3.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 End-to-end transportdienst . . . . . . . . . . . . . . . . 3.3.3 Hoe betrouwbaarheid wordt bereikt . . . . . . . . . . . 3.3.4 Het TCP segment . . . . . . . . . . . . . . . . . . . . . . 3.4 UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 TCP en UDP poorten binnen de automatisering . . . . . . . . . 3.6 Communicatie over TCP(UDP)/IP . . . . . . . . . . . . . . . . . 3.6.1 Client Server model . . . . . . . . . . . . . . . . . . . . 3.6.2 Endpoint en Internetsocket . . . . . . . . . . . . . . . . 3.6.3 Dynamische Servers . . . . . . . . . . . . . . . . . . . . 3.6.4 Ondubbelzinnige communicatie . . . . . . . . . . . . . 3.6.5 Status van een socket . . . . . . . . . . . . . . . . . . . 3.6.6 Verbindingsgerichte en verbindingsloze communicatie
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
37 37 38 38 39 42 43 44 45 46 48 49 49 49 50 51 53 55 56 56 57 58 58 60 60
4 Uitbreidingsprotocollen en netwerkapplicaties 4.1 ARP . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 Inleiding . . . . . . . . . . . . . . . . . . . 4.1.2 Address Resolution Protocol (ARP) . . . . 4.2 BOOTP en DHCP . . . . . . . . . . . . . . . . . . 4.2.1 Inleiding . . . . . . . . . . . . . . . . . . . 4.2.2 BOOTP . . . . . . . . . . . . . . . . . . . . 4.2.3 DHCP . . . . . . . . . . . . . . . . . . . . 4.2.4 DHCP Relay agent - DHCP option 82 . . . 4.3 ICMP . . . . . . . . . . . . . . . . . . . . . . . . 4.3.1 Inleiding . . . . . . . . . . . . . . . . . . . 4.3.2 Internet Control Message Protocol . . . . 4.3.3 ICMP bericht . . . . . . . . . . . . . . . . 4.3.4 Bereikbaarheid van een host controleren 4.3.5 Een route traceren . . . . . . . . . . . . . 4.4 IGMP . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
61 61 61 61 62 62 62 63 63 64 64 64 65 66 66 67
on lin ec
om
po
ne
nt
s.
co
m
2.8.7 Parallel Redundancy Protocol . . . . . . . . . . 2.9 Belangrijke aanvullingen . . . . . . . . . . . . . . . . 2.9.1 LLDP . . . . . . . . . . . . . . . . . . . . . . . . 2.9.2 IEEE 802.1x . . . . . . . . . . . . . . . . . . . . 2.9.3 Link aggregation with LACP naar IEEE 802.3ad 2.10Industrial Ethernet . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
Inhoudsopgave
om
po
4.9
ne
nt
4.8
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
67 68 68 69 69 69 70 70 70 71 71 73 73 74 75 77 77 77 79 79 79 79 79 79 80 80
m
4.7
. . . . . . . . . . . . . . . . . . . . . . . . . .
co
4.6
4.4.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . 4.4.2 IGMP berichten . . . . . . . . . . . . . . . . . . 4.4.3 IGMP snooping . . . . . . . . . . . . . . . . . . 4.4.4 Multicast adressen . . . . . . . . . . . . . . . . GMRP . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1 IEEE 802.1p . . . . . . . . . . . . . . . . . . . . 4.5.2 Werking GMRP . . . . . . . . . . . . . . . . . . DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . 4.6.2 De structuur van een hostnaam . . . . . . . . 4.6.3 Werking van het DNS protocol . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.7.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . 4.7.2 SNMP structuur . . . . . . . . . . . . . . . . . . 4.7.3 De MIB en SMI . . . . . . . . . . . . . . . . . . 4.7.4 SNMP protocol . . . . . . . . . . . . . . . . . . HTTP en HTTPS . . . . . . . . . . . . . . . . . . . . . 4.8.1 TLS/SSL . . . . . . . . . . . . . . . . . . . . . . 4.8.2 HTTP . . . . . . . . . . . . . . . . . . . . . . . . 4.8.3 HTTPS . . . . . . . . . . . . . . . . . . . . . . . Overzicht van enkele andere belangrijke applicaties 4.9.1 FTP . . . . . . . . . . . . . . . . . . . . . . . . 4.9.2 TFTP . . . . . . . . . . . . . . . . . . . . . . . . 4.9.3 NTP . . . . . . . . . . . . . . . . . . . . . . . . 4.9.4 SSH . . . . . . . . . . . . . . . . . . . . . . . . 4.9.5 CLI (Command Line Interface) . . . . . . . . .
s.
4.5
iii
. . . . . . . . . . . . switch
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
81 81 82 82 83
6 De router 6.1 Inleiding . . . . . . . . . . . . . . . . . . 6.2 Het routen van berichten . . . . . . . . . 6.3 Soorten routers . . . . . . . . . . . . . . 6.4 Laag 3 switch . . . . . . . . . . . . . . . 6.5 Koppeling van een privé netwerk aan het 6.6 IP NAT . . . . . . . . . . . . . . . . . . . . 6.6.1 NAT: IP masquerading . . . . . . . 6.6.2 Port Forwarding . . . . . . . . . . 6.7 1:1 NAT . . . . . . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
88 88 88 90 90 90 92 92 92 94
on lin ec
5 De switch 5.1 Algemeen . . . . . . . . . . . . . . . . . . . . . . 5.2 Industriële switches . . . . . . . . . . . . . . . . . 5.2.1 Algemeen . . . . . . . . . . . . . . . . . . . 5.2.2 Technische beschrijving van een industriële
. . . . . . . . . . . . . . . . . . . . Internet . . . . . . . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
7 De firewall 97 7.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 7.2 Soorten firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Inhoudsopgave
iv
8 VPN 99 8.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.2 Internet Protocol Security, IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.3 VPN implementaties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
on lin ec
om
po
ne
nt
s.
co
m
9 Automatiseringsnetwerken & Security 103 9.1 Bedrijfsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 9.2 Automatiseringsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 9.2.1 Automatiseringscel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 9.2.2 Automatiseringsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 9.2.3 Koppeling van een automatiseringsnetwerk aan een bedrijfsnetwerk . . . 106 9.3 Noodzaak aan beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 9.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 9.3.2 Bewustwording . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 9.3.3 Doelstelling van security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 9.3.4 Security in de kantoorwereld versus security in de automatiseringswereld 107 9.3.5 Standaardisatie omtrent security in automatiseringsnetwerken . . . . . . . 109 9.3.6 Een veiligheidsprogramma . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 9.4 Security in de praktijk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 9.4.1 Laag 1 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 9.4.2 Laag 2 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 9.4.3 Laag 3 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Hoofdstuk 1
Het OSI model
co
1.1
m
Inleiding
ne
nt
s.
De International Organization for Standardization (ISO) heeft in 1979 een model ontwikkeld om structuur en standaardisatie in de wereld van de datacommunicatie en netwerken aan te brengen. De ISO is de commissie die het Open Systems Interconnection (OSI) referentiemodel heeft ontwikkeld. Doelstelling van de ISO was een referentiemodel te ontwerpen waarbij onderlinge communicatie tussen twee systemen , bijv. twee computers, kon plaatsvinden.
om
po
Volgens het ISO/OSI model (ook wel het 7-lagenmodel genoemd) kan een systeem A communiceren met een systeem B (2 systemen van 2 verschillende leveranciers). Tussen deze systemen kunnen verschillende netwerken aanwezig zijn, zowel openbare netwerken als privé netwerken.
on lin ec
Een openbaar netwerk is een netwerk dat voor iedereen toegankelijk is, mits wordt voldaan aan de op dit netwerk geldende voorwaarden. Een privé-netwerk is veelal bedrijfsgebonden.
Figuur 1.1: Het OSI model
Inleiding
2
Het OSI model bestaat uit zeven functionele lagen. Elke laag bezit een aantal gedefinieerde functies. Hieronder volgt een beperkte opsomming van de verschillende lagen: FYSIEKE LAAG (laag 1) Deze laag verzorgt de koppeling met het medium waarover de informatie tussen twee punten in het netwerk wordt verstuurd: dit betekent dat deze laag voorziet in de mechanische, elektrische of optische entiteiten die nodig zijn om de fysieke verbinding tot stand te brengen, te onderhouden en te verbreken.
co
m
DATALINKLAAG (laag 2) De protocollen van laag 2 geven aan hoe de frames uiteindelijk over het netwerk moeten verstuurd worden. Laag 2 handhaaft een foutdetectie- en correctiemechanisme om er zeker van te zijn, dat transmissiefouten worden afgehandeld en dat de gegevens aan de andere zijde juist ontvangen worden.
ne
nt
s.
NETWERKLAAG (laag 3) Op dit niveau wordt de adressering, dat wil zeggen het vinden van een route door het netwerk en het voorkomen van opstoppingen binnen het netwerk geregeld. De netwerklaag zorgt voor het transport van berichten van het ene knooppunt naar het andere op de weg van de zender naar de uiteindelijke ontvanger.
om
po
TRANSPORTLAAG(laag 4) De transportlaag is verantwoordelijk voor een betrouwbare overdracht van de gegevens. De transportlaag zorgt voor een logische verbinding tussen de beide eindsystemen van het netwerk (een logische punt tot punt verbinding). Hierdoor wordt een foutloos datatransport gerealiseerd, waarbij de gegevens in de goede volgorde aankomen bij de ontvanger.
on lin ec
SESSIELAAG (laag 5) Hier wordt voorzien in de controlestructuur van de dialoog (sessie) tussen twee applicaties over het netwerk, alsmede in het opzetten en verbreken van een dergelijke sessie. PRESENTATIELAAG (laag 6) De protocollen in laag 6 bepalen hoe data wordt weergegeven: dit is nodig omdat verschillende computersystemen getallen en tekens verschillend representeren. Deze laag verzorgt dus onder andere de vertaling van codes, bv. van ASCII naar EBCDIC. APPLICATIELAAG (laag 7) Deze laag levert diensten aan de toepassingen die draaien ten behoeve van de gebruikers op de systemen van het netwerk. De afspraak bij het referentiemodel is dat het te versturen bericht van de zender deze zeven lagen doorloopt. Iedere laag van het model voorziet het bericht van een header, startend vanaf laag 7 en vervolgens afdalend naar laag 1, zie figuur 1.2. In de header staat aangegeven welke datacommunicatiefuncties moeten worden uitgevoerd. Voor het functioneren van de communicatieprotocollen wisselt iedere laag informatie uit met de corresponderende laag aan de andere kant van de verbinding, los van de applicatiedata die de uiteindelijke gebruikers van de verbinding naar elkaar toesturen. In het OSI model voegt elke laag een stukje informatie toe (header) aan de gebruikersdata van de verzendende kant, die er vervolgens aan de ontvangende kant weer door de corresponderende laag wordt afgepeld. De datalinklaag plaatst meestal niet alleen extra informatie voor de
3
m
Inleiding
s.
co
Figuur 1.2: Protocoloverhead in het OSI model
LAN
po
1.2
ne
nt
doorgegeven data maar ook erachter. Dat staartstuk bevat een checkcode ten behoeve van de detectie van mogelijke transportfouten. Alleen de fysieke laag voegt er niets meer aan toe.
on lin ec
om
Een lokaal netwerk, Local Area Network (LAN), is ontwikkeld om de communicatie tussen computers, werkstations en randapparatuur in een gebied met zeer beperkte geografische omvang te verzorgen. In een LAN zijn de aangesloten stations autonoom, dat wil zeggen dat er geen primaire en secundaire stations bestaan. Elk station kan een verbinding tot stand brengen, onderhouden en afbreken met een ander station. De vier onderste lagen van het OSI model vragen voor een LAN een iets andere benadering ten opzichte van publieke netwerken. De commissie 802 van het Institute for Electrical and Electronic Engineers heeft voor LAN’s een aantal standaards vastgelegd.
Figuur 1.3: Situering LAN binnen het OSI model
Inleiding
4
Figuur 1.3 toont de invulling van de lagen 1 en 2 in het OSI model door de IEEE802 standaard. Voor het algemene concept voor LAN’s kan de standaard IEEE802.1 worden geraadpleegd. Binnen de IEEE802 commissie zijn momenteel volgende werkgroepen aktief:
• IEEE802.1 Bridging (networking) and Network Management • IEEE802.2 Logical Link Control • IEEE802.3 CSMA/CD (Ethernet) • IEEE802.5 Token Ring
m
• IEEE802.11 Wireless LAN & Mesh (Wi-Fi certification)
co
• IEEE802.15 Wireless PAN – IEEE802.15.1 (Bluetooth certification)
s.
– IEEE802.15.4 (ZigBee certification)
nt
• IEEE802.16 Broadband Wireless Access (WiMAX certification)
ne
• IEEE802.16e (Mobile) Broadband Wireless Access
• IEEE802.16.1 Local Multipoint Distribution Service
po
• IEEE802.17 Resilient packet ring
om
• IEEE802.18 Radio Regulatory TAG • IEEE802.19 Coexistence TAG
on lin ec
• IEEE802.20 Mobile Broadband Wireless Access • IEEE802.21 Media Independent Handoff • IEEE802.22 Wireless Regional Area Network
Hoofdstuk 2
Inleiding
co
2.1
m
Ethernet
nt
s.
Ethernet is de basis van LAN netwerken. De huidige LAN markt kenmerkt zich door een tot nog toe ongekende mate van standaardisatie op Ethernet. Door zijn enorm marktaandeel verbant Ethernet, ondanks enkele nadelen, alle alternatieve technologieën naar de niche.
ne
Een kort historisch overzicht:
• 1980: Digital Equipment Corporation, Intel en Xerox zorgen voor de release van de
om
po
eerste Ethernet specificatie, version 1.0, onder de naam Ethernet Blue Book of DIX standaard. Het definieert Thick Ethernet bij 10Mbps CSMA/CD. De eerste Ethernet controllers gebaseerd op de DIX standaard waren beschikbaar vanaf 1982. De tweede en finale versie van de DIX standaard, versie 2.0, werd gereleased in november 1982: Ethernet II.
on lin ec
• 1983: The Institute of Electrical and Electronic Engineers (IEEE) brengt de eerste IEEE standaard voor Ethernettechnologie. Het werd ontwikkeld door de 802.3 groep van de IEEE802 commissie en dit onder de naam IEEE802.3 Carrier Sense Multiple Acces with Collision Detection Acces Method and Physical Layer Specifications. IEEE herwerkte sommige delen van de DIX-standaard vooral wat betreft de definiëring van de framebepaling.
• 1985: IEEE802.3a; definiëring van thin Ethernet, cheapernet of 10Base2 • 1987: IEEE802.3d; Fiber Optic Inter Repeater Link (FOIRL) Gebruik van twee fiber optic kabels om de afstand tussen 10 Mbps repeaters te verlengen tot 1000m.
• 1987: IEEE802.3e; 1Mbps over twisted pair • 1990: IEEE802.3i; release van de populaire 10Base-T; 10Mbps over UTP categorie 3 • 1993: IEEE802.3j; 10Base-F: afstanden groter dan 2 km over fiber optic • 1995: IEEE802.3u; 100Base-T en 100Base-F • 1997: IEEE802.3x: full-duplex Ethernet • 1997: IEEE802.3y; 100Base-T2
Ethernet
6
• 1998: IEEE802.3z; 1000Base-X standaard; algemeen bekend onder de naam Gigabit Ethernet
• 1999: IEEE802.3ab; Gigabit Ethernet over twisted pair • 1999: IEEE802.3ac; 802.1Q: definiëring van de Q-tag met VLAN en prioriteitsinformatie. • 2003: IEEE802.3af; Power over Ethernet • 2006: IEEE802.3an; 10GBase-T • 2006: IEEE802.3aq; 10GBase-LRM, Ethernet over multimode fiber
co
m
Ethernet is alleen een specificatie van lagen 1 en 2 in het OSI-model. Het is geen volledig netwerkprotocol maar een subnet waarop andere protocollen kunnen werken zoals bijv. de TCP/IP suite.
s.
De belangrijkste functies van ETHERNET zijn:
nt
• Invulling van de fysische laag
– het verzenden en ontvangen van seriële bitstromen over het medium.
po
• Invulling van de datalinklaag
ne
– het detecteren van botsingen (collisions).
– MAC sublayer:
on lin ec
– LLC sublayer:
om
∗ toegangsmechanisme tot het netwerk (CSMA/CD). ∗ opbouw van de dataframes. ∗ databetrouwbaarheid. ∗ voorzien van datakanalen voor bovenliggende applicaties.
2.2
De fysische implementaties
De belangrijkste implementaties door de jaren heen zijn:
• Thick Ethernet (10Base5) • Thin Ethernet (10Base2) • Broadband Ethernet (10Broad36) • Ethernet over twisted pair (10Base-T) • Ethernet over Fiber (10Base-F) • Fast Ethernet (100Base-T / 100Base-F) • Gigabit Ethernet (1000Base-T) • Wireless Ethernet
Ethernet
2.2.1
7
Implementaties op basis van coax
Het oorspronkelijke Ethernet was ontworpen rond het concept van een bustopologie. De eerste implementaties van Ethernet waren gebaseerd op een dikke gele coaxkabel, thick Ethernet ook 10Base5 genaamd. Kenmerken van het oorspronkelijke Ethernet:
• 10Mbps • Baseband (basisband transmissie)
m
• max. 5 x 100 = 500 meter
co
• max. 100 transceivers per segment
nt
s.
Thick Ethernet coaxiale kabels hebben een markering iedere 2.5m om een goede plaatsing van de 10Base5 transceivers (of MAU’s) te verzekeren. Deze transceivers worden gebruikt om stations aan het netwerk te koppelen. De transceivers mogen iedere 2.5m geplaatst worden, dit voorkomt reflecties van de signalen, wat zorgt voor een slechte transmissiekwaliteit.
po
ne
Deze vorm van implementatie is voorbijgestreefd. Al snel werd de stugge dikke gele coax vervangen door de zwarte soepeler coax wat leidde tot de implementatie van thin Ethernet, 10Base2. De aansluiting van de verschillende stations wordt gerealiseerd door T-vormige BNC aansluitstukjes waarbij een maximale segmentlengte van ongeveer 200 meter kan toegepast worden.
on lin ec
om
Belangrijk bekabelingsdetail dat in veel bustechnologieën vereist is: de afsluitweerstand (terminator) - een klein, goedkoop apparaatje dat op alle uiteinden van de coax-kabels die een Ethernet vormen, gemonteerd moet worden. Een afsluitweerstand bestaat uit een weerstand die de centrale ader van de kabel met de afscherming verbindt: als een elektrisch signaal de afsluitweerstand bereikt, wordt het weggegooid. Voor de correcte werking van een netwerk is de afsluitweerstand onontbeerlijk omdat het uiteinde van een niet-afgesloten kabel elektrische signalen reflecteert zoals een spiegel licht terugkaatst. Als een station probeert een signaal over een niet-afgesloten kabel te versturen, wordt dit signaal door het kabeleinde teruggekaatst. Wanneer de reflectie het zendende station bereikt, treedt interferentie op.
2.2.2
Implementaties op basis van twisted pair
Het grote probleem bij coax is dat enkel half duplex communicatie kan toegepast worden. Ook de toegepaste busstructuur is niet ideaal indien bepaalde problemen optreden. Om de bustopologie te doorbreken is Ethernet overgestapt op een topologie waar ook twisted pair kan gebruikt worden: alle stations zijn verbonden met één of meerdere centrale hubs. Op deze manier kan een stertopologie uitgewerkt worden. Het netwerk is op deze manier gemakkelijker uit te breiden, te controleren en is het eenvoudiger om fouten op te sporen. De maximale segmentlengte tussen een deelnemer en een hub is 100 meter. De varianten op basis van twisted pair zijn geëvolueerd van 10Base-T (10Mbps) over 100BaseT (100Mbps) tot 1000Base-T (1000Mbps).
Ethernet
8
Figuur 2.1: De MAU voor 10/100Base-T
s.
co
m
De MAU, ontwikkeld voor twisted pair, is voorzien van 4 datapinnen: 2 voor te zenden, 2 voor te ontvangen. Dit is de basis voor full duplex Ethernet. In principe is enkel punt tot punt communicatie mogelijk. Vandaar dat ieder host rechtstreeks moet verbonden worden met een structuurelement: een hub of een switch.
nt
Fast Ethernet
po
ne
De UTP kabel, bv. CAT5 (Category 5) UTP (Unshielded Twisted Pair), ondersteunt snelheden tot 100Mbps. De kabel bestaat uit 8 draden, geordend in 4 paar. De 4 paren zijn herkenbaar doordat er steeds 1 volledig gekleurd is en het andere met witte onderbrekingen in dezelfde kleur. Van de 4 paren worden er in 10/100Base-T slechts 2 gebruikt (paar 2: oranje/wit en oranje en paar 3: groen/wit en groen).
on lin ec
om
De IEEE specificatie voor Ethernet 10/100Base-T vereist dat het ene gebruikte paar aan pin 1 en pin 2 van de connector wordt aangesloten terwijl het tweede paar aan pin 3 en pin 6 wordt aangesloten. De andere twee niet gebruikte paren zullen aangesloten worden op pin 4 en 5 en op pin 7 en 8.
Tabel 2.1: Pinconfiguratie voor Fast Ethernet
Pin
Kleur
Functie
1 2 3 4 5 6 7 8
groen met wit groen oranje met wit blauw blauw met wit oranje bruin met wit bruin
+TD -TD +RD niet gebruikt niet gebruikt -RD niet gebruikt niet gebruikt
Tabel 2.1 toont de pinconfiguratie voor 10/100Base-T. TD staat voor Transmitted Data, RD staat voor Received Data. Het plus- en minteken geven aan dat het signaal gespiegeld verstuurd wordt langs twee datalijnen, zie ook figuur 2.2.
Ethernet
9
co
m
Figuur 2.2: Transmissietechnolgoie voor 10/100Base-T
ne
nt
s.
De straight-through kabel, de rechtdoor kabel ook wel de patchkabel genoemd, is de kabel die we bekomen als we langs beide zijden van de kabel paar 2 met pin 1 en pin 2 verbinden, terwijl paar 3 met pin 3 en pin 6 verbonden wordt. Deze kabel kan gebruikt worden voor verbindingen tussen het patchpanel en de hub/switch, de PC en de hub/switch of de PC en de muur. Algemeen wordt deze kabel gebruikt voor de verbinding van een structuurelement en een eindelement.
on lin ec
om
po
Een cross-over kabel is nodig om de PC-PC verbindingen tot stand te brengen (verbinding van twee eindelementen) en om verbindingen tussen hub/switch en een andere hub/switch te bekomen (verbinding van twee structuur elementen). Om een cross-over kabel te maken moeten we de gebruikte paren omwisselen. Langs één zijde moet paar 2 met pin 3 en pin 6 verbonden worden terwijl paar 3 met pin 1 en pin 2 moet verbonden worden.
Figuur 2.3: Twisted pair bekabeling, 10/100Base-T
Huidige Ethernetpoorten ondersteunen autocrossing. Hierdoor wordt automatisch gedetecteerd welke kabel er gebruikt wordt en zal indien nodig de crossing intern gecorrigeerd worden. Als uitbreiding op de 10Base-T heeft de IEEE Fast Ethernet, 100Base-T gedefinieerd.
Ethernet
10
Fast Ethernet wordt gekenmerkt door:
• Datatransmissie op een snelheid van 100Mbps • Full Duplex communicatie • Switched Ethernet In Fast Ethernet is er een mechanisme voorzien voor autonegotiation: dit maakt het mogelijk Ethernet interfaces te bouwen welke automatisch omschakelen tussen 10Mbps en 100Mbps.
co
m
Bij de 10Base-T standaard wordt iedere databit gecodeerd in één fysische bit. M.a.w. voor een groep van acht databits worden acht signalen gegenereerd op de kabel. De 10Mbps datarate betekent een kloksnelheid van 10MHz. Bij iedere klokpuls wordt één enkele bit verstuurd.
0111010000100000 0111 0100 0010 0000 01111 01010 10100 11110
ne
Datastroom: 4 bitpatroon: 5 bitcode:
nt
s.
100Base-T gebruikt het zogenaamde 4B/5B schema waarbij elke groep van vier bits gecodeerd wordt in een 5 bit signaal. Eén enkele bit wordt dus niet exact vertaald in één enkel signaal op de kabel.
Gigabit Ethernet
om
po
De toegepaste kloksnelheid is 125MHz (5/4 x 100). Cat5 kabels zijn gecertificeerd voor een transmissiesnelheid tot 125 MHz.
on lin ec
Gigabit Ethernet streeft een datarate van 1000Mbps na. Indien hiervoor bv. de CAT5 Ethernet kabels moeten gebruikt worden is er een probleem gezien deze enkel een kloksnelheid tot 125MHz ondersteunen. Om dit te realiseren moet de technologie aangepast worden. Vooreerst codeert 1000Base-T twee bits per kloksignaal (00, 01, 10 en 11) en gebruikt hiervoor vier spanningsniveaus. Verder gebruikt 1000Base-T alle vier de dataparen van een Ethernetkabel. De vier dataparen worden hierbij bidirectioneel toegepast. Langs alle vier de dataparen wordt data verzonden of wordt data ontvangen. Gigabit Ethernet gebruikt dus nog steeds de 100Base-T/Cat 5 kloksnelheid van 125MHz. Gezien bij iedere klokpuls 2 bits verwerkt worden en dit langs vier dataparen wordt een datarate van 1000Mbps bereikt. Deze modulatietechnologie wordt 4D-PAM5 genoemd en gebruikt actueel vijf verschillende spanningsniveaus. Het vijfde spanningsniveau wordt gebruikt voor het errormechanisme. Tabel2.2 toont de Gigabit Ethernet pinconfiguratie. BI staat voor bidirectioneel terwijl DA, DB, DC en DD staan voor data A, data B, data C en data D.
Ethernet
11
Tabel 2.2: Pinconfiguratie voor Gigabit Ethernet
Functie
1 2 3 4 5 6 7 8
groen met wit groen oranje met wit blauw blauw met wit oranje bruin met wit bruin
+BI_DA -BI_DA +BI_DB -BI_DB +BI_DC -BI_DC +BI_DD -BI_DD
Implementaties op basis van fiber
m
Kleur
co
2.2.3
Pin
ne
nt
s.
Om langere segmentafstanden mogelijk te maken werd de glasvezelkabel geïntegreerd als mogelijke interface. De eerste glasvezelvarianten staan bekend onder de naam 10Base-F en 100Base-F. Er worden telkens gescheiden fibers gebruikt voor het verzenden van data en het ontvangen van data.
po
Gigabit Ethernet over fiber is ontwikkeld voor de full-duplex mode bij een datarate van 1000Mbps. Er zijn twee verschillende varianten voor Gigabit Ethernet: 1000Base-SX en 1000Base-LX.
on lin ec
om
1000Base-SX gebruikt lichtpulsen met korte golflengte over multimode fiber. 1000Base-LX gebruikt lichtpulsen met lange golflengte over multimode of single-mode fiber. Recentelijk is er ook 10Gigabit Ethernet over fiber met verschillende varianten.
2.2.4
Wireless LAN
IEEE802.11
Verschillende standaarden voor wireless LAN zijn gedefinieerd door de IEEE in hun beschrijving IEEE802.11. De radioverbindingen van een Wireless LAN vinden plaats in de 2,4 GHz frequentieband, de zogenaamde ISM-band (Industrial, Scientific and Medical) of in de 5 GHz band. Hiervoor zijn geen licenties nodig. Een Wireless LAN gebruikt de zogenaamde spread spectrum technologie. Deze technologie is specifiek bedoeld voor storingsgevoelige transmissiekanalen. Dit is belangrijk omdat deze frequentiebanden (vooral de 2,4 GHz) ook door veel andere apparatuur worden gebruikt waaronder bijv. Bluetooth. Een draadloos netwerk is over het algemeen een stuk minder snel dan een vast bedraad netwerk. Een groot voordeel is de flexibiliteit. Wat de fysische implementatie betreft voorziet de IEEE802.11 de infrastructuurconfiguratie of de Ad Hoc configuratie.
Ethernet
12
co
m
Figuur 2.4: Fysische implementatie van WLAN
po
ne
nt
s.
Infrastructuurconfiguratie is de configuratie waarbij gebruik gemaakt wordt van een wireless access-point om een draadloos LAN te verbinden met een bekabeld LAN. Het wireless access-point fungeert als centraal punt voor het routeren van al het draadloze dataverkeer. Draadloos werkende computers die worden opgenomen in een infrastructuurmodus vormen een groep die een Basic Service Set (BSS) wordt genoemd. Op een bepaald ogenblik kunnen maximaal 64 individuele computers in een BSS worden opgenomen. Dit komt doordat de capaciteit van het wireless access-point beperkt is tot 64 clients. Het hele draadloze netwerk heeft een unieke SSID (Service Set Identifier), en wordt ook wel gewoon een netwerknaam genoemd. Deze naam slaat enkel op het draadloze netwerk.
on lin ec
om
Ad hoc of peer-to-peer heeft betrekking op een draadloze configuratie waarin elke deelnemer rechtstreeks met de andere communiceert. Een echte organisatie van het netwerk is hier dus niet mogelijk. Een ad hoc draadloos LAN bestaat uit een groep toestellen, elkeen uitgerust met een draadloze adapter, die via radiosignalen rechtstreeks met elkaar zijn verbonden en zo een onafhankelijk draadloos LAN vormen.
WLAN standaarden
Binnen de IEEE802.11 zijn verschillende standaarden gedefinieerd. Deze standaarden gebruiken verschillende modulatietechnologieën om zo tot verbeterde transmissiesnelheden te komen. Tabel 2.3 toont een overzicht van de verschillende standaarden. Tabel 2.3: WLAN standaarden binnen de IEEE802.11
Standaard
Frequentieband
Datatransmissie
IEEE802.11b IEEE802.11g IEEE802.11a IEEE802.11h IEEE802.11n
2.4GHz 2.4GHz 5GHz 5GHz 5GHz en/of 2.4GHz
11Mbps 54Mbps 54Mbps 54Mbps 600Mbps
Ethernet
13
IEEE802.11b/g
po
ne
nt
s.
co
m
IEEE802.11b/g maakt gebruik van het 72 MHz breed gedeelte van de 2.4 GHz band. Onder de regels van de FCC worden hierin 11 kanalen van 22MHz breed gedefinieerd. Theoretisch zou dit betekenen dat de bandbreedte voor deze 11 kanalen 242 Mbps (11x22Mbps) zou bedragen. In de praktijk moet dit zeer sterk genuanceerd worden aangezien deze kanalen elkaar grotendeels overlappen. Figuur 2.5 toont dat er slechts drie niet overlappende kanalen zijn: kanaal 1, kanaal 6 en kanaal 11.
om
Figuur 2.5: De 2.4GHz band voor WLAN
on lin ec
Voor Europa definieert de ETSI een ietwat ruimere frequentieband met daarin 13 kanalen van 22MHz breed. Daardoor kunnen we in Europa in principe 4 nauwelijks overlappende kanalen gebruiken, zijnde kanaal 1, 5, 9 en 13. De IEEE802.11b ondersteunt een maximale snelheid tot 11Mbps. De IEEE802.11g ondersteunt een maximale snelheid tot 54Mbps. Bij een slechte verbinding of grote afstand tot het Access Point wordt de snelheid dynamisch teruggeschakeld.
IEEE802.11a/h
IEEE802.11a maakt gebruik van de volledige 5GHz band. Door het toepassen van OFDM (Orthogonal Frequency Division Multiplexing) worden met de IEEE802.11a maximale (theoretische) snelheden tot 54Mbps bereikt. Figuur 2.6 toont de verschillende kanalen binnen de 5GHz band. Voor Europa betekent dit dat er over de twee laagste banden van de 5GHZ UNII band 8 niet-overlappende kanalen van 20MHz breed te gebruiken zijn.
14
co
m
Ethernet
s.
Figuur 2.6: De 2.4GHz band voor WLAN
ne
nt
Het gebruik van de 5GHz band in Europa kent heel wat beperkingen t.o.v. de VS. Daarom werd de IEEE802.11a aangepast tot de IEEE802.11h. Twee belangrijke protocollen werden toegevoegd om uiteindelijk te voldoen aan de Europese regelgeving:
• DCS (Dynamic Channel Selection):het AP gaat automatisch op zoek naar een ander ka-
po
naal indien blijkt dat het kanaal in gebruik genomen wordt door een andere applicatie.
om
• TPC (Transmit Power Control): er wordt niet meer vermogen uitgestuurd dan nodig,
on lin ec
als twee deelnemers elkaar zien, dan zal het AP het vermogen aanpassen naar het benodigde niveau IEEE802.11n
Deze recente standaard maakt gebruik van MIMO (multiple input - multiple output), een techniek om met behulp van meerdere ontvangst- en zendantennes, data draadloos over te dragen waarbij een transmissiesnelheid van maximaal 600Mbps bekomen wordt indien 4 kanalen van elk 40MHz gebruikt worden.
2.2.5
Bluetooth
De basistechnologie (twee onderste lagen van het OSI model) is gestandaardiseerd in de IEEE802.15.1. Aanvullend definieert de Bluetooth SIG (Special Interest Group) verschillende applicatieprofielen voor ondermeer seriële communicatie en overdracht van Ethernet dataframes. Bluetooth maakt gebruik van de 2,4 GHz licentievrije ISM band. In tegenstelling tot WLAN wordt de te verzenden data niet gespreid over een bredere frequentieband maar wordt er FHSS (Frequency Hopping Spread Spectrum) toegepast. Hierbij wordt de 2,4 GHz band opgedeeld in 79 kanalen van 1 MHz. Figuur 2.7 toont de werking van FHSS. Er worden 1600 hops per seconde uitgevoerd. Ieder dataframe wordt telkens op een andere frequentie verstuurd. Zo kunnen verschillende logische kanalen naast elkaar actief zijn.
15
co
Figuur 2.7: FHHS technologie
m
Ethernet
ne
nt
s.
Een groot voordeel voor het gebruik van Bluetooth in de industrie is de perfecte coexcistentie met WLAN. Indien er interferentie is op een Bluetooth frequentie omdat een WLAN kanaal op dezelfde frequentie actief is kan Bluetooth deze frequentie(’s) vermijden. Omdat dit een veelvoorkomend fenomeen is heeft Bluetooth een automatisch coexistentie mechanimse geïntegreerd: Adaptive Frequyency Hopping (AFH).
on lin ec
om
po
Dit mechnaisme maakt het mogelijk dat Bluetooth bepaalde ’slechte’ frequenties tijdelijk uit de hopping lijst schrapt. Figuur 2.8 toont hoe er voldoende ruimte is bij een volzette 2,4GHz band waar drie gescheiden WLAN kanalen actief zijn. Het WLAN kanaal gebruikt een statische frequentieband, Bluetooth kan zich aanpassen en heeft keuze uit voldoende frequenties om interferentie te vermijden.
Figuur 2.8: Coëxcistentie van Bluetooth en WLAN
Ethernet
2.3
16
De datalinklaag
2.3.1
Inleiding
nt
s.
co
m
Voor het verzenden van berichten wordt gebruik gemaakt van packet switching. Packet switching wordt vooral toegepast bij computer tot computer communicatie. In computernetwerken wordt niet ononderbroken een willekeurige hoeveelheid data getransporteerd. In plaats daarvan deelt het netwerksysteem data op in kleine blokken, pakketten, die afzonderlijk verstuurd worden. Computernetwerken worden om die redenen ook wel packet switching networks genoemd.
po
ne
Figuur 2.9: Packet switching
Er zijn twee redenen om voor het gebruik van pakketten te kiezen:
om
• Zender en ontvanger moeten de transmissie coördineren. In geval van transmissiefou-
on lin ec
ten kan veel data verloren gaan. Als de data in kleinere blokken is opgedeeld, kunnen de zender en ontvanger gemakkelijker bepalen welke blokken bij aankomst intact zijn en welke niet.
• Meerdere computers maken gemeenschappelijk gebruik van onderliggende verbindingen en hardware. Een netwerk moet ervoor zorgen dat alle computers gelijkwaardige directe toegang tot een gedeelde communicatiefaciliteit hebben. Een computer kan een gedeelde resource niet langer in beslag nemen dan voor het versturen van één pakket nodig is.
2.3.2
MAC adres
Op een gemeenschappelijk overdrachtsmedium van een LAN moet ieder station een uniek adres hebben. Iedere deelnemer heeft een Ethernet adres, een fysiek adres dat eigen is aan de netwerkkaart: het MAC adres (Medium Acces Control Adress). Iedere fabrikant van netwerkkaarten geeft iedere kaart een uniek adresnummer mee welke in de ROM van de kaart opgeslagen wordt.
Ethernet
17
m
Figuur 2.10: Het MAC adres
co
Het MAC adres bestaat uit 48 bits (6 bytes) en is in twee groepen van drie bytes opgedeeld. De hoogste 24 bits vormen een fabrikantnummer uitgedeeld door XEROC. Er zijn 4194302 mogelijke fabrikantnummers. Zo krijgt Phoenix Contact het fabrikantnummer 00A045h.
2.3.3
nt
s.
De laagste 24 bits vormen een serienummer. Ieder MAC adres moet uniek zijn.
De Ethernet dataframe
on lin ec
om
po
ne
Een Ethernet frame bestaat uit minimaal 46 effectieve databytes en een constant aantal van 26 protocolbytes (overhead). Dit minimum aantal databytes is noodzakelijk omwille van de definiëring van de slottime.
Figuur 2.11: Opbouw van een Ethernet dataframe
In een Ethernet dataframe worden volgende velden gedefinieerd:
• Preamble: is een opeenvolging van 56 bits alternerend 1 en 0. Deze bits worden gebruikt voor synchronisatie en geven iedere deelnemer de tijd om activiteit op de bus waar te nemen vooraleer de effectieve data eraan komt.
• SFD: de start of frame delimiter (10101011) is de laatste byte van de preamble maakt de ontvanger duidelijk dat de effectieve data op komst is.
• DA: het destination adres. Het destination MAC adres veld identificeert het station of de stations welke het bericht moeten ontvangen. Dit veld neemt 6 bytes in beslag. Het destination adres kan een individueel, een multicast of een broadcast adres zijn. Het MAC broadcast adres is FF FF FF FF FF FF.
• SA: het source adres. Het source MAC adres veld identificeert het station van welke het bericht afkomstig is. Dit veld is 6 bytes lang.
Ethernet
18
• TYPE: voor het type veld is er een onderscheid tussen Ethernet II (DIX standaard) en de IEEE802.3 Bij Ethernet II verwijst het type veld naar het bovenliggend protocol dat gebruik maakt van een Ethernet frame om data te versturen. Xerox kent aan ieder protocol welke voor Ethernet ontwikkeld wordt een code toe van 2 bytes lang. Enkele voorbeelden zijn: 0600h 0800h 0806h 0835h 8100h
XNS IP (Internet Protocol) ARP protocol Reverse ARP protocol IEEE802 1.q tag frame (VLAN)
co
m
De IEEE802.3 definieert het TYPE veld als LENGHT veld om op deze manier het effectief aantal databytes te mee te sturen.
s.
Xerox gebruikt geen typenummers beneden de 1500 en gezien de maximale lengte van een dataframe op 1500 ligt is er geen overlapping mogelijk en kunnen beide definities door elkaar gebruikt worden.
nt
• DATA: het dataveld bevat de te versturen data. Dit dataveld is transparant, wat bete-
ne
kent dat de inhoud van dit veld volledig vrij is voor Ethernet. Alleen de lengte moet liggen tussen minimum 46 bytes en maximum 1500 bytes.
• PAD: de padding bits zijn willekeurige databits die, indien nodig, extra toegevoegd wor-
po
den aan de data om het minimum vereiste aantal van 46 bytes te bereiken.
• FCS: de checksum is een 4-byte CRC waarde gecreëerd en meegestuurd door de zender.
CSMA/CD
on lin ec
2.3.4
om
Aan de hand van deze code kan de ontvanger de integriteit van de data nagaan.
Ethernet gebruikt het CSMA/CD (Carrier Sense Multiple Acces / Collision Detect) protocol. Met CSMA/CD kunnen twee of meerdere stations een gemeenschappelijk transmissiemedium gebruiken.Om een dataframe te versturen moet een station wachten voor een ’idle-period’, het niet actief zijn van de bus waarbij geen enkele deelnemer data aan het versturen is. Hierbij zal het dan een boodschap versturen dat door alle andere deelnemers gehoord wordt. Indien een tweede deelnemer terzelfder tijd een bericht zal versturen zal er een botsing gedetecteerd worden. De deelnemer welke als eerste een botsing detecteert verstuurt een error frame.
Figuur 2.12: Collisions op een Ethernetsegment
Ethernet
19
ne
nt
s.
co
m
Een collision domein is een multisegment configuratie volgens het CSMA/CD protocol waarbij een collision zal ontstaan wanneer 2 deelnemers op het segment een dataframe op hetzelfde tijdstip versturen.
po
Figuur 2.13: CSMA/CD flow
on lin ec
om
Figuur 2.13 toont de CSMA/CD flow. Een deelnemer welke data wil verzenden zal eerst het netwerk controleren op een carrier, of de aanwezigheid van een station welke data aan het versturen is. Indien een actieve carrier gedetecteerd wordt dan wordt het versturen uitgesteld. Wordt er geen actieve carrier gedetecteerd voor een periode die gelijk of groter is dan de interframe gap dan kan dit station starten met het verzenden van het bericht. Tijdens het versturen van het bericht zal de deelnemer het medium blijven controleren of er geen botsing, collision optreedt. Een netwerkinterface moet dus tegelijkertijd data verzenden en het medium beluisteren. Indien een collision gedetecteerd wordt dan stopt de deelnemer ogenblikkelijk met zenden en wordt er een 32-bit jam sequentie verstuurd. Indien de botsing zeer vroeg gedetecteerd wordt dan zal de frame preamble eerst verder verstuurd worden vooraleer de jamsequentie verstuurd wordt. Deze jamsequentie is noodzakelijk om er zeker van te zijn dat de lengte van de botsing voldoende groot is zodat alle deelnemers de botsing konden waarnemen. Na het versturen van de jamsequentie zal de deelnemer een randomtijd wachten vooraleer een nieuwe poging te ondernemen: dit proces wordt Backoff genoemd. Enkele belangrijke aanvullende definities:
• Interframe gap: Ethernet deelnemers moeten een minimum periode van geen activiteit ’idle-period’ voorzien tussen de versturing van twee frames. De minimum interframe gap is 96 bittijden (9,6µs voor de 10Mbps versie, 960ns voor 100Mbps Ethernet en 96ns voor Gigabit Ethernet.
• Slottime: deze parameter is gedefinieerd als 512 bittijden voor de 10Mbps en de 100Mbps versies, en 4096 bittijden voor Gigabit Ethernet. De minimum transmissietijd voor een
Ethernet
20
volledig dataframe moet minstens één slottijd bedragen. De tijd nodig opdat een botsing door alle deelnemers wordt waargenomen mag maximaal één slottijd bedragen. De slottijd is een belangrijke parameter: – het bepaalt de minimum lengte van een dataframe (64 bytes voor 10Mbps en 100Mbps). Ieder frame korter dan 64 bytes wordt als een collision fragment beschouwd. – het bepaalt de maximum lengte van een collision domein om op die manier late collisions te voorkomen.
2.3.5
co
m
– het verzekert dat indien een botsing zal plaatsvinden dat het dan binnen de 512 bittijden van de frame transmissietijd zal gebeuren.
CSMA/CA
ne
nt
s.
De CSMA/CD technologie van bedraad Ethernet kan niet toegepast worden bij draadloos Ethernet. De standaard beschrijft half-duplex radios, tijdens het zenden van data kan er niet gecontroleerd worden op eventuele botsingen. Om dit te verhelpen wordt een andere technologie toegepast namelijk CSMA/CA. In plaats van het detecteren van botsingen zullen botsingen vermeden worden, CA: collision advoidence.
om
po
De kans op botsingen is het grootst juist na een bezet medium. Daarom worden er wachttijden en een veroveringsfase gedefinieerd. Figuur 2.14 toont enkele belangrijke parameters omtrent de wachttijden voor de toegang tot het medium. Alle parameters worden gerelateerd t.o.v. de slottijd (afgeleid van de door het medium veroorzaakte voortplantingsvertraging. Deze parameters zijn:
on lin ec
• SIFS (Short Interframe Spacing): kortste wachttijd voor mediumtoegang (dus hoogste prioriteit). Het Acces Point gebruikt voor het versturen van ACK-berichten deze wachttijd.
• PIFS (PCF Interframe Spacing): middelmatige prioriteit, deze tijd wordt gebruikt voor de pollingacties van een Acces Point.
• DIFS (DCF Interframe Spacing): laagste prioriteit voor mediumtoegang, van toepassing op normale deelnemers op het draadloos segment.
21
co
s.
Figuur 2.14: CSMA/CA
m
Ethernet
ne
nt
Indien een host een bericht wenst te versturen moet eerst het medium beluisterd worden. Indien het medium langer dan een tijd DIFS vrij is kan deze deelnemer het initatief nemen om een bericht te versturen.
Structuurelementen voor Ethernet
on lin ec
2.4
om
po
Indien blijkt dat het medium bezet is wordt er gewacht tot de zendende deelnemer klaar is met zenden. Dan moet er een tijd DIFS gewacht worden. Het Acces Point heeft een hogere prioriteit en hoeft slecht een tijd SIFS te wachten. Indien na de DIFS tijd het medium nog steeds vrij is, start de veroveringsfase waarbij bij elke host, welke data wenst te versturen, een random backoff timer gestart wordt. De deelnemer welke als eerste uitgeteld is, kan het initiatief nemen om het medium te gebruiken en data te verzenden.
2.4.1
De hub
De maximale segmentlengte van een LAN wordt bepaald door het gebruikte medium en het toegepaste toegangsmechanisme. Om de beperking van de lengte op te heffen werd al snel gezocht naar methoden om meerdere segmenten na elkaar te koppelen. De eerste en meest eenvoudige methode hiervoor is het inzetten van een repeater. Een repeater is een signaalversterker die pakketten transparant doorgeeft, onafhankelijk van de inhoud van het pakket. Een repeater wordt gebruikt om twee of meer Ethernet segmenten onderling met elkaar te verbinden. Zoals te zien is op de slight vindt een repeater-koppeling volgens de ISO-OSI-definities plaats op de fysieke laag.
22
s.
co
m
Ethernet
nt
Figuur 2.15: De repeater volgens het OSI model
on lin ec
om
po
ne
Beide segmenten kunnen verschillend van medium zijn. Een segment op basis van 10Base-T kan met een repeater bijvoorbeeld worden gekoppeld aan een glasvezelsegment. Een andere belangrijke eigenschap van een koppeling op basis van een repeater is dat niet alleen de databits worden doorgegeven, maar ook eventuele botsingen en signaalfouten. Netwerksegmenten die onderling zijn verbonden via een repeater zijn daarom gevoelig voor foutsituaties; een probleem op één segment plant zich voort over alle andere segmenten. In moderne lokale netwerken op basis van Ethernet worden repeaters hoofdzakelijk gebruikt om segmenten van verschillende media met elkaar te verbinden. Zo worden backbone-segmenten uit glasvezelbekabeling altijd via optische repeaters gekoppeld aan afdelingssegmenten van twisted-pair-bekabeling.
Figuur 2.16: De hub
Een hub is eigenlijk een multiport repeater: het regenereert een inkomend signalen naar alle andere poorten zoals blijkt uit figuur 2.16. Alle segmenten welke via een hub met elkaar verbonden zijn een collision domein. Een hub is verkrijgbaar in veel verschillende uitvoeringen. Deze uitvoeringen verschillen in het aantal poorten, de typen media die worden ondersteund en de uitbreidbaarheid. Een belangrijke functionaliteit van de moderne hub wordt gevormd door de mogelijkheden voor netwerkmanagement. Minimaal is het mogelijk om poorten aan of uit te schakelen en
Ethernet
23
te detecteren of er storingen zijn opgetreden. Om deze mogelijkheid beschikbaar te krijgen is een moderne hub uitgerust met een SNMP agent die wordt aangestuurd vanuit een managementstation.
2.4.2
De switch
on lin ec
om
po
ne
nt
s.
co
m
Eén van de mogelijkheden om LAN segmenten met meer intelligentie onderling te koppelen is het gebruik van een bridge. Een bridge is meer dan alleen een medium voor het doorgeven van data zoals de repeater. Voordat een pakket via een bridge wordt doorgegeven van het ene segment naar het andere segment onderzoekt een bridge het MAC-adres en op basis hiervan vindt al dan niet transport naar het andere segment plaats.
Figuur 2.17: De bridge volgens het OSI model
Een bridge kan zijn uitgerust met meer dan twee netwerkpoorten. In dit geval wordt de term switch gebruikt. Voor iedere poort wordt softwarematig een MAC adrestabel bijgehouden. Deze tabel wordt gevuld door op het desbetreffende segment van het netwerk te luisteren en alle MAC-adressen die op dit segment voorkomen, te kopiëren naar de tabel. Ieder adres wordt gedurende een beperkte tijd vastgehouden en het wordt weer gewist zodra een bepaalde tijd, de holdtime, is verstreken. Door deze techniek wordt voorkomen dat niet-actieve stations worden geadresseerd of dat stations juist niet meer worden herkend.
Figuur 2.18: De switch
Ethernet
24
IEEE802.1Q tagged frame
co
2.5
m
Het koppelen van segmenten van een lokaal netwerk via een switch heeft een aantal voordelen boven de koppeling met een repeater of hub. Zo wordt bij het gebruik van een switch het ene segment niet belast met de frames van het andere segment die daar wat betreft adressering niet thuishoren. De belasting per segment wordt door deze functie van de bridge gereduceerd. Tevens worden foutsituaties niet door gegeven omdat de switch ook controleert op een correcte opbouw van het frame. Tot slot wordt door de bridge ook vermeden dat er botsingen tussen frames worden doorgegeven van het ene segment naar het andere segment. Iedere poort van een switch sluit dus een collision domein af. Indien iedere deelnemer rechstreeks op de poort van een switch gekoppeld wordt onstaan er veel collision domeinen, maar bevat ieder domein slechts één deelnemer en kunnen er geen botsingen ontstaan. In een verder deel wordt nog dieper ingegaan op de switch.
om
po
ne
nt
s.
De IEEE802.1Q beschrijft 4 extra bytes, opgedeeld in twee extra velden in het Ethernet frame om nieuwe toepassingen mogelijk te maken. Eén van deze toepassingen is VLAN (zie verder in dit hoofdstuk).
on lin ec
Figuur 2.19: Opbouw van een tagged frame
Beschrijving van de extra velden:
• TYPE(TAG), 2 bytes: krijgt de waarde 8100h om aan te geven dat dit frame een tagged frame is en dus een extra informatieveld bevat
• VLAN TPID, 2 bytes: VLAN Tag Protocol Identifier – User priority, 3 bits: de prioriteit van het frame wordt meegegeven, de prioriteitscode (een getal tussen 0 en 7) staat beschreven in IEEE802.1p. – CFI: Cononical Format Indicator. De IEEE802.1Q is enkel voor Ethernet of Token Ring ontwikkeld. Deze bit is 0 voor Ethernet en 1 voor Token Ring. – VLAN ID: Identificatie van het VLAN, 4094 mogelijkheden. FFFFh 0000h
2.6
gereserveerd geen VLAN, frames met prioriteit (Profinet IO)
Power over Ethernet
De IEEE802.3af Power over Ethernet voorziet sinds juni 2003 de mogelijkheid voor gemeenschappelijke transmissie van data en voeding over dezelfde Ethernet kabel.
Ethernet
25
PoE werd ontwikkeld voor WLAN access points, Bluetooth access points, IP telefoons (voice over IP), IP camera’s, RFID reading units, touch panels, ... . Vroeger werd dit reeds toegepast via niet genormeerde systemen, de niet gebruikte lijnen van een Ethernet kabel werden gebruikt om 24V of 48V over te brengen. Via de IEEE802.3af standaard kan de stroom naar devices beperkt en gecontroleerd worden. Het gebruik van PoE maakt een extra voedingsadapter overbodig. Dit is vooral handig als het netwerktoestel ingezet moet worden op een plaats waar stroomvoorziening via het stopcontact moeilijk haalbaar is.
PSE
co
2.6.1
m
Het protocol definieert twee basiscomponenten. De PSE (Power Sourcing Equipment) en de PD (Powered Device)
on lin ec
om
po
ne
nt
s.
Het toestel welke voeding voorziet voor PoE wordt een PSE, Power Sourcing Equipment, genoemd. De spanning voorzien door de PSE is nominaal 48V (tussen de 44V en 57V). Elke poort van een PSE moet in staat zijn om 350mA te leveren bij 44V (15.4 Watt).
Figuur 2.20: Opbouw van een PSE
Er wordt onderscheid gemaakt tussen 2 types.
• End point PSE: de standaard Ethernet switch wordt vervangen door een PoE switch. • Mid span PSE: dit toestel wordt geplaatst tussen de conventionele switch en de netwerkdeelnemer. Werkt enkel op alternatief B.
Ethernet
26
co
m
Figuur 2.21: Gebruik van een Mid span PSE
PD
nt
2.6.2
s.
Figuur 2.21 toont de integratie van een mid span PSE. Er is dus telkens een extra module nodig om PoE mogelijk te maken.
po
ne
De netwerkwerkdeelnemer welke zijn voeding krijgt over de Ethernet kabel wordt een PD, Powered Device, genoemd. Om fouten tegen de polariteit tegen te gaan is er een auto-polariteit circuit ingebouwd in een PD. Een PD moet volgens de norm Alternatief A en Alternatief B ondersteunen.
on lin ec
om
Volgens de norm moet een PSE minimum 15.4W kunnen leveren en mag een PD maximaal 12.95W verbruiken. Dit verschil wordt gebruikt om de verliezen in de twisted pair kabel te overbruggen. Een kabel van 100m heeft een weerstand die voor verlies zorgt. Om toestellen te beschermen tegen onverwachte spanning wordt er tijdens het verbinden een identificatieproces uitgevoerd:
• Als er niks verbonden is met de PSE is de poort spanningloos • Een toestel meldt zich aan met een weerstand van 25kΩ. • De PSE legt een spanning van 10.1 V aan de belasting en meet de stroom. Indien de gevraagde stroom minder is dan de minimum stroom, dan wordt er geen stroom geleverd.
• Om de specifieke klasse van 1 tot 3 te bepalen legt de PSE een spanning van 20.5 V aan de belasting. Na het bepalen van de klasse legt de PSE een spanning van 48V aan de belasting. Er wordt onderscheid gemaakt tussen de volgende vermogenklassen: Klasse Klasse Klasse Klasse
0 1 2 3
0,44W 0,44W 3,84W 6,49W
tot tot tot tot
12,95W 3,84W 6,49W 12,95W
Ethernet
2.6.3
27
Alternatief A
s.
co
m
De voeding wordt via de datalijnen overgebracht. De voeding wordt door middel van transformatoren met middenaftakking aangesloten op de pinnen 1-2 en 3-6 zodat die voor de datastroom onzichtbaar is. Kan gebruikt worden voor 10/100/1000Base-T.
2.6.4
ne
nt
Figuur 2.22: PoE, alternatief A
Alternatief B
on lin ec
om
po
De energie wordt overgedragen via de aders in een UTP kabel die niet gebruikt worden voor data. De paren 4-5 en 7-8 worden parallel gebruikt, zo kan er meer stroom vloeien.De positieve kant van de 48 V is aangesloten op pin 4 en 5, de negatieve kant is aangesloten op pin 7 en 8.
Figuur 2.23: PoE, alternatief B
Kan enkel gebruikt worden indien paar 1 en paar 4 ter beschikking zijn (bepaalde industriële Ethternet kabels bevatten alleen paar 2 en 3) of indien paar 1 en 4 niet gebruikt worden (dus 1000Base-T is niet mogelijk).
Ethernet
2.7
28
VLAN
Een VLAN of Virtual Local Area Network is een groep deelnemers in een groter netwerk welke op een logische manier een apart netwerk vormen. Hierdoor kan op een groter fysisch netwerk meerdere logische groepen gecreëerd worden. Een VLAN heeft een eigen broadcast domein. Datapakketten worden enkel binnen een VLAN doorgestuurd. De deelnemers kunnen fysich ver uit elkaar liggen maar ze moeten zich wel op één en hetzelfde fysisch netwerk bevinden. Enkele voorbeelden van het indelen van een netwerk:
• Volgens departementen: één VLAN voor Sales, een ander VLAN voor Engineering en nog een andere VLAN voor Automation.
m
• Volgens hiërarchie: één VLAN voor directie, een ander VLAN voor managers en nog een
co
ander voor werknemers
• Volgens gebruik: één VLAN voor gebruikers die e-mail nodig hebben en een ander voor
Voordelen van VLANs
nt
2.7.1
s.
gebruikers van multimedia
po
ne
Het grootste voordeel van VLANs is de segmentatie van het netwerk. Hierdoor wordt het netwerk flexibeler dan een traditioneel netwerk. Deze flexibiliteit vertaalt zich in het makkelijk verplaatsbaar zijn van netwerkdeelnemers. Andere voordelen zijn extra veiligheid en beperking van de netwerkbelasting.
• Verplaatsbaarheid van apparaten: apparaten kunnen gemakkelijker verplaatst worden
on lin ec
om
in het netwerk. In een traditioneel netwerk moet bekabeling aangepast worden als een gebruiker van het ene subnet naar het andere verhuist. Het verhuizen van het ene VLAN naar het andere brengt geen veranderingen aan de bekabeling met zich mee. Alleen een instelling op de switch moet gebeuren. Zo kan een station van Sales verplaatst worden naar aan netwerkaansluiting die toebehoort aan Engineering. De poort moet ingesteld worden als een lid van de VLAN Engineering maar er moet niet opnieuw bekabeld worden.
• Extra veiligheid: toestellen van een VLAN kunnen alleen communiceren met toestellen in hetzelfde VLAN. Als een toestel van VLAN Sales wil communiceren met de VLAN Automation dan moet deze verbinding ingesteld worden in een router.
• Beperking netwerktraffiek: bij een traditioneel netwerk kunnen broadcasts zorgen voor een overbelast netwerk. Broadcast berichten komen vaak toe bij apparaten die deze berichten niet nodig hebben. VLANs beperken deze problematiek omdat een broadcast berichten uit de ene VLAN niet toekomt in de andere VLAN.
2.7.2
Trunking
Trunking is methode om data van verschillende VLANs tussen twee switches te versturen. Hiervoor is slechts één poort nodig per apparaat. Er zijn verschillende manieren om aan trunking te doen.
• ISL: InterSwitch Link, dit is een veel gebruikt propriëtair protocol van Cisco • IEEE802.1Q: dit is een standaard die ondersteund is door veel fabrikanten van switches.
Ethernet
29
Bij trunking wordt er een stukje code toegevoegd (een tag) waarin staat van welke VLAN het verzonden pakket afkomstig is. Dankzij dit systeem blijven de voordelen van VLANs bewaard. De VLANs blijven gescheiden zelf als ze zich uitspreiden over verschillende switches. Om toch dataverkeer tussen de verschillende VLANs te voorzien is er een router nodig.
2.7.3
Soorten VLANs
De verschillende soorten VLANs kunnen ingedeeld worden in twee types: de statische en de dynamische VLANs.
• Statische VLANs, deze zijn port-based. Afhankelijk van de poort van een switch waarop
m
een gebruiker zich aansluit behoort hij tot de ene of de andere VLAN.
co
Voordelen: – Makkelijk te configureren
s.
– Alles gebeurt in de switch. De gebruiker merkt er weinig van
nt
Nadelen:
ne
– Als een gebruiker zijn PC op de verkeerde poort aansluit is er een herconfiguratie nodig door de administrator.
om
po
– Als een tweede switch aangesloten wordt op een poort die tot een bepaalde VLAN behoort, dan horen alle computers die men op deze switch aansluit automatisch tot deze VLAN.
• Dynamische VLANs: zijn niet gebaseerd op de poorten van een switch maar wel op het
on lin ec
adres van de gebruiker of op het gebruikte protocol. Voordeel: iedereen kan zijn computer op eender welke poort aansluiten en toch tot de correcte VLAN behoren. Nadeel: de kostprijs van dit type VLAN ligt hoger omdat er speciale hardware vereist is.
Ethernet
2.8
30
Netwerkredundantie
2.8.1
Inleiding
Netwerkredundantie betekent het integreren van hardware en software welke er voor zorgen dat bij een Single Point of Failure de beschikbaarheid van het netwerk optimaal blijft. Het communicatiesysteem, het netwerk, is het hart van ieder modern automatiseringsproject. Om netwerkfouten op te vangen kunnen verschillende protocollen geïntegreerd worden in de structuur elementen. Er kunnen drie belangrijke groepen onderscheiden worden:
• STP/RSTP: (Rapid) Spanning Tree Protocol. Kan toegepast worden in mesh topologiën,
m
wordt verder in dit hoofdstuk besproken.
• MRP: Media Redundancy Protocol, enkel voor ringtopologieën.
Het Spanning Tree Protocol
s.
2.8.2
co
• PRP: Parallel Redundancy Protocol
om
po
ne
nt
Het Spanning Tree Protocol (STP) is een open protocol dat beschreven staat in de IEEE802.1d. Het is een OSI laag-2 protocol dat een gesloten lusvrij LAN garandeert. Het is gebaseerd op een algoritme ontwikkeld door Radia Perlman (personeelslid van Digital Equipment Corporation). Spanning tree maakt het mogelijk om een netwerk uit te bouwen waarbij redundante links geïntegreerd worden. Op deze manier kan een automatisch back-up pad voorzien worden indien een actieve link om één of andere reden wegvalt zonder gesloten lussen in het netwerk te creëren.
on lin ec
Om dit protocol toe te passen moeten de gebruikte switches het protocol ondersteunen. De omschakeltijd van dit protocol is niet echt voldoende voor de industrie. Na een onderbreking van een segment kan het al gauw 30 tot 50 seconden duren voor het alternatieve pad beschikbaar komt. Voor sturingen is deze delay onaanvaardbaar en zelfs voor monitoringstoepassingen is 30 seconden al erg lang. Een voordeel van het STP is dat het niet uitsluitend gebruikt kan worden voor redundante ringstructuren.
2.8.3
Het Rapid Spanning Tree Protocol
Als antwoord op de tekortkomingen van het spanning tree protocol formuleerde de IEEE in 2001 het rapid spanning tree protocol (RSTP). Het protocol staat beschreven in de IEEE802.1w standaard. Sinds 2004 is het spanning tree protocol als overbodig beschreven in de IEEE802.1d en wordt er aangeraden om het RSTP te gebruiken i.p.v. het STP. De IEEE802.1w is dan ook opgenomen in de 802.1d norm. De omschakeltijd van het RSTP is lager dan deze van het STP (vandaar de naam), namelijk 1 tot 10 seconden in plaats van 30 tot 50 seconden. Afhankelijk van de toepassing kan deze omschakeltijd al voldoende snel zijn.
Ethernet
31
co
m
Figuur 2.24: Mogelijke boomtopologie mbv (R)STP
Uitbreidingen op RSTP
po
ne
nt
s.
Figuur 2.24 toont een netwerk met vijf verschillende structuurelementen. Er worden verschillende redundante verbindingen gecreëerd. Ten gevolge hiervan ontstaan er ontoelaatbare loops die het netwerk snel in verzadiging zullen brengen. Het RSTP protocol converteert deze topologie naar een boomstructuur door een aantal poorten af te sluiten. Hierbij wordt één structuurelement als root geconfigureerd. Vanuit deze root zijn alle andere switches bereikbaar via één enkel pad. Indien een netwerkfout optreedt wordt een nieuw actief pad gecreëerd.
on lin ec
om
Om tegemoet te komen aan de noden van de automatisering voorzien heel wat bedrijven propriëtaire uitbreidingen op het RSTP protocol om zo omschakeltijden beneden de seconde te bekomen. Op deze manier wordt QoS bekomen voor de redundante opbouw van automatiseringsnetwerken. Fast Ring Detection is een uitbreiding van Phoenix Contact op het RSTP. Bij het uitvallen van een netwerkswitch worden omschakeltijden van 100 ... 500 ms bereikt. Omschakeltijden van max. 500 ms zijn beschikbaar voor omvangrijke automatiseringsnetwerken met 1000 ingevoerde adrestabellen in de switches. Bij minder eindapparaten in het netwerk zijn deze tijden korter. Dit protocol is echter enkel te gebruiken bij 10 of 100Mbps
2.8.4
Bridge Protocol Data Units (BPDUs)
Aan de hand van een bepaald algoritme wordt de boomstructuur berekend waarbij er dus één switch als root wordt geconfigureerd. Iedere switch moet wel alle nodige info bezitten om de juiste poortregels te kunnen definiëren. Om te verzekeren dat iedere switch voldoende en de juiste informatie bezit zullen switches onderling informatie uitwisselen. Hiervoor worden speciale frames gebruikt, de zogenaamde Bridge Protocol Data Units (BPDUs). Een bridge verstuurt een BPDU waarbij het als SA het uniek MAC van de poort zelf gebruikt en als DA het STP Multicast adres 01:80:C2:00:00:00. Er zijn verschillende soorten BPDUs:
• Configuration BPDU (CBPDU), gebruikt voor de berekening van de spanning tree
Ethernet
32
• Topology Change Notification BPDU (TCN), gebruikt om veranderingen in het netwerk aan te kondigen
• Topology Change Notification Acknowledgement (TCA) Om een network zonder lussen te creëren krijgt elke poort van een switch een bepaalde status toegewezen De verschillende statussen zijn:
• ROOT: poort die de link vormt naar de root switch • DESIGNATED: een actieve poort welke een link vormt naar een onderliggende switch in de boomstructuur.
Multiple Spanning Tree Protocol (MSTP)
co
2.8.5
m
• ALTERNATE: een poort met een lagere prioriteit, een alternatieve link naar de root
nt
s.
In een Ethernet omgeving waar Virtual LANs toegepast worden kan ook gebruik gemaakt worden het van Spanning Tree Protocol.
po
ne
MSTP, oorspronkelijk gedefinieerd in de IEEE 802.1s en later opgenomen in de IEEE 802.1q editie 2003, definieert een uitbreiding op RSTP in combinatie met Virtual LANs. Het combineert het beste van PVST (Per-VLAN Spanning Tree) waarbij ieder VLAN zijn eigen spanning tree definieert en het oorspronkelijk IEEE 802.1q waarbij slechts één spanning tree gecreëerd wordt voor het volledige netwerk.
om
Met MSTP worden verschillende VLANs opgedeeld in logische instances (groepen VLANs met dezelfde spanning-tree topology).
on lin ec
MSTP bundelt alle spanning-tree informatie in één enkele BPDU om zo het aantal BPDU’s te beperken en is volledig compatibel is met RSTP switches
2.8.6
Media Redundancy Protocol
MRP maakt deel uit van de PROFINET standaard. Bij MRP blokkeert een ringmanager één poort om zodoende een actieve lijn structuur te bekomen. Bij een netwerkfout valt het netwerk uiteen in twee geïsoleerde lijnen welke terug aan elkaar gekoppeld worden door de geblokkeerde poort vrij te geven. Omschakeltijden liggen in de range van 100ms.
2.8.7
Parallel Redundancy Protocol
In contrast met bovenstaande technologieën voorziet PRP bij een netwerkfout geen wijziging van de actieve topologie. Dit protocol werkt op twee parallele netwerken. Ieder dataframe wordt over de twee netwerken verstuurt. De ontvangende node verwerkt het bericht dat eerst aankomt en verwerpt het kopiebericht. PRP zorgt voor het kopiëren en verwerpen van de berichten. PRP maakt ook het dubbele netwerk onzichtbaar voor de hogere lagen in de communicatie stack.
Ethernet
2.9
33
Belangrijke aanvullingen
2.9.1
LLDP
Het protocol IEEE802.1ab, link layer discovery protocol, is een standaard welke een oplossing voorziet voor de configuaratieproblemen bij uitgebreide LAN structuren. Het definieert een standaardmethode voor switches, routers, WLAN Acces Points,... om informatie over zichzelf te verspreiden naar andere netwerkdeelnemers en om informatie van omliggende deelnemers te bewaren. LLDP is mogelijke met alle 802 media. Het maakt gebruik van de datalinklaag.
m
Een switch welke LLDP ondersteunt kan topologiedetectie uitvoeren via andere deelnemers welke ook LLDP ondersteunen.
• Verbeterde detectie van netwerkfouten
nt
• Hulpmiddel bij het vervangen van modules
s.
co
Voordelen:
ne
• Betere netwerkconfiguratie en netwerkmanagement
IEEE 802.1x
om
2.9.2
po
LDDP informatie wordt gebruikt binnen engineeringstools om een netwerktopologie op een grafische manier te visualiseren.
on lin ec
IEEE802.1X is een beveiligingsstandaard voor authenticatie op iedere individuele poort van een switch. De authenticatie vindt plaats nog voor de gebruiker toegang krijgt tot het netwerk. Het herkenen van een rechthebbende gebruiker gebeurt dus op laag 2 van het OSImodel. Dit alles kan - afhankelijk van de gebruikte hardware - zowel draadloos als bedraad. IEEE802.1x maakt gebruik van een protocol om informatie uit te wisselen met een toestel/gebruiker welke een verzoek tot toegang richt tot een poort. De berichten bevatten een gebruikersnaam en een paswoord. De switch zal de identificatie niet zelf uitvoeren maar zal het verzoek op zijn beurt richten tot een RADIUS authentication server op het netwerk. De server zal het verzoek afhandelen, zal feedback geven aan de switch welke dan de poort zal openen voor de gebruiker. Bij de werking van het protocol zijn er drie belangrijke spelers:
• De gebruiker, de client, wordt in het protocol de supplicant genoemd. • Het access apparaat, de switch of het access-point, is de authenticator. • Het controlerende toestel, de RADIUS infrastructuur, is een authentication server.
Ethernet
34
Figuur 2.25: Drie belangrijke spelers bij de werking van het protocol
Link aggregation with LACP naar IEEE 802.3ad
ne
2.9.3
nt
s.
co
m
De authenticatie voor 802.1X geschiedt met een flexibel authenticatie-mechanisme genaamd het Extensible Authentication Protocol (EAP), waardoor diverse vormen van authenticatie mogelijk zijn. Dit maakt het mogelijk door op basis van het type gebruiker een andere vorm van authenticatie af te dwingen: zowel sterke als zwakke authenticatie. Het is bijvoorbeeld mogelijk om voor studenten een gebruikersnaam en wachtwoord verplicht te stellen, en voor medewerkers een certificaat te gebruiken. In de hoofdstukken betreffende security wordt er dieper ingegaan op dit item.
om
po
Link aggregation (ook wel trunking genoemd) is een manier om fysieke netwerkverbindingen is de Engelse benaming voor het samenvoegen van meerdere netwerkverbindingen met het doel een hogere doorvoersnelheid te behalen. Link aggregatie kan tevens voor een redundante verbinding zorgen hetgeen fouttolerantie toevoegt aan bedrijfskritische systemen. De techniek is van toepassing op switches als op netwerkkaarten (NICs).
on lin ec
Link aggregatie is momenteel gestandaardiseerd door in de IEEE 802.3ad standaard. Het biedt volgende voordelen:
• Hogere beschikbaarheid van de verbindingen • Capaciteit van een verbinding verhogen • Betere performantie met de beschikbare hardware De huidige LAN technologieën voorzien datarates van 10Mbps, 100Mbps en 1000Mbps. Link Aggregation kan waarden tussenin creëren waar nodig of indien een datarate groter dan 1000Mbps vereist is kan met het groeperen van verschillende 1000Mbps verbindingen een high-speed verbinding voorzien worden.
35
s.
co
m
Ethernet
ne
nt
Figuur 2.26: Link aggregatie
Link Aggregation kan op verschillende manieren toegepast worden:
po
• Verbinding tussen twee switches
om
• Verbinding tussen switch en eindstation • Verbinding tussen twee eindstations
on lin ec
Figuur 2.26 toont hoe switches met elkaar verbonden zijn via twee 100 Mbps links. Als één link wegvalt tussen die twee switches zal de andere link in de link aggregation Group overnemen.??ink Aggregation is momenteel opgenomen in de IEEE 802.3ad standaard: ’Link Aggregation allows one or more links to be aggrgated together to form a Link Aggregation Group, such that a MAC client can treat the Link Aggregation Group as i fit were a single link (IEEE Standard 802.3, 2000 Edition).??e IEEE802.3ad standaard beschrijft ook het gebruik van het LACP (Link Aggregation Control Protocol) om op een eenvoudige manier configuratie informatie uit te wisselen tussen de verschillende systemen. Dit moet een automatische configuratie alsook een opvolging van alle link aggration groups mogelijk maken. Het uitwisselen van deze informatie gebeurt aan de hand van LACP frames zoals beschreven in de standaard.
2.10
Industrial Ethernet
De laatste jaren wordt Ethernet meer en meer gebruikt in een industriële omgeving. Er zijn grote verschillen tussen de kantooromgeving en de industriële omgeving. Industrieel Ethernet verwijst naar het gebruik van industriële producten om te voldoen aan de meer specifieke eisen van de industriële wereld. In onderstaande tabellen worden enkele belangrijke aandachtspunten weergegeven.
Ethernet
36
Tabel 2.4: Aandachtpunten voor de installatie van Ethernet
Kantooromgeving
Industriële omgeving
Vaste basisinstallatie in het gebouw Variabele netwerkverbinding voor werkstations Kabels liggen in valse vloeren Voorgemaakte kabels
Systeem-specifieke toepassingen Verbindingspunten met het netwerk worden zelden tot nooit gewijzigd
Levensduur van ongeveer 10 jaar Terminals geschikt voor montage op een DIN rail Passieve koeling (geen bewegende onderdelen) Alarm contact voor error indicatie Zorgvuldig geïmplementeerde aardingen
po
ne
19"schakelkasten (afmetingen van standaard office serverkasten) Levensduur van ongeveer 5 jaar
nt
Voeding van 230V AC Stertopologie
s.
co
m
Standaard werkstations op RJ45
Connectoren die op de werkvloer geassembleerd kunnen worden RJ45 in de kasten, M12 in het veld Regelmatig gebruik van fiber optics Bekabeling bestemd voor gebruik in een beweegbare kabelgeleiders Zorgvuldig geïmplementeerde aardingen Voeding met 24V DC of Power over Ethernet Regelmatig gebruik van lijntopologie of ringtopologie Redundantie is vaak een vereiste
on lin ec
om
Toestellen met actieve koeling (ventilatoren)
Tabel 2.5: Omgevingsinvloeden
Kantooromgeving
Industriële omgeving
Gematigde temperaturen met lage fluctuaties Bijna geen stof Geen vochtigheid of water Bijna geen schokken of trillingen Laag niveau van EMC Lage mechanische belasting of gevaar Geen chemische gevaren
Extreme temperaturen met hoge fluctuaties Hoge hoeveelheden stof Vochtigheid of water kan aanwezig zijn Vibraties of schokken zijn mogelijk Hoog niveau van EMC Hoge mechanische belasting of gevaar Chemische belasting door olie-achtige omgevingen of agressieve atmosferen Hoge blootstelling aan UV stralingen in outdoor omgevingen
Geen stralingsgevaren
Hoofdstuk 3
Inleiding
co
3.1
m
TCP/IP
nt
s.
Transmission Control Protocol / Internet Protocol (TCP/IP) is een verzameling van industriële standaardprotocollen ontworpen voor communicatie over grote netwerken bestaande uit verschillende netwerksegmenten die gekoppeld worden door routers.
po
ne
TCP/IP is een protocol gebruikt op Internet, welke de verzameling is van duizenden netwerken, wereldwijd verspreid, die onderzoekscentra, universiteiten, bibliotheken, bedrijven, individuen, ... met elkaar verbinden.
on lin ec
om
Internetwerken is echter een heel algemeen begrip. Een internet is niet in grootte beperkt: er bestaan internetten die een paar netwerken omvatten, maar ook internetten die honderden netwerken bevatten. Internet met hoofdletter I heeft betrekking tot het wereldwijde Internet, ook wel het publieke Internet genoemd.
Figuur 3.1: Hoe communiceren over een internet?
De vraag welke dient gesteld te worden is hoe twee verschillende hosts, gekoppeld aan een verschillend netwerk, op ruime afstand, met elkaar kunnen communiceren? Het antwoord op deze vraag is tweeledig. Het eerste deel van het antwoord is een hardware aspect: een internet bestaat uit verschillende netwerken welke met elkaar verbonden zijn door routers. Een router is een structuurelement die het verbinden van netwerken als speciale taak heeft. Elke router bezit een processor, een hoeveelheid geheugen en een afzonderlijke interface voor elk netwerk waarmee het verbonden is.
TCP/IP
38
Het tweede deel van het antwoord is een software aspect: op iedere host moet een universele communicatiedienst actief zijn. Hoewel veel softwareprotocollen aangepast zijn voor internetwerken springt er maar één suite uit, die voor internetwerken verreweg het meest wordt gebruikt. Deze suite heet kortweg de TCP/IP suite.
om
po
ne
nt
s.
co
m
De TCP/IP suite kan perfect gesitueerd worden in het OSI model. Om de TCP/IP suite voor te stellen wordt echter meestal een vereenvoudigd model gebruikt. Een vierlagenmodel, het DoD (Departement of Defence) model, het ARPANET Reference model of meestal gewoon het TCP/IP model genoemd.
on lin ec
Figuur 3.2: De TCP/IP suite
Centraal in dit model zijn de internet layer en de transport layer welke verder in dit hoofdstuk uitgebreid besproken worden. De application layer verzamelt en beschrijft alle protocollen welke gebruik maken van het TCP/IP protocol. Daaronder behoort bv. het HTTP protocol, het protocol dat surfen naar een bepaalde webapplicatie mogelijk maakt. Het TCP/IP protocol zal dan een universele communicatiedienst mogelijk maken opdat de surfopdracht mogelijk zou zijn over het ganse Internet. De network layer voorziet dan in de communicatie op het lokale netwerk tussen de host en de router of tussen twee routers onderling.
3.2
Het Internet Protocol (IP)
3.2.1
Inleiding
De belangrijkste kenmerken van het IP protocol zijn:
• Een datapakket routen doorheen het Internet. Iedere host wordt geïdentificeerd door een 32-bit IP adres.
• Het is een verbindingsloos protocol. Voor het verzenden van verschillende IP pakketten naar een zelfde doelhost kan ieder pakket een andere route volgen. Er wordt geen vaste fysische verbinding gecreëerd.
TCP/IP
39
• Er wordt een universeel datapakket opgebouwd bestaande uit een header en een dataveld. De header bevat ondermeer het adres van de zender en van de bestemming. Het datapakket is hardware onafhankelijk en wordt op het lokale netwerk nogmaals ingekapseld vooraleer het kan getranspoteerd worden.
• Het IP protocol controleert niet of de data correct verstuurd is en het voorziet ook geen bevestigings- of correctiemechanismen: send-it and pray.
• De IP header heeft een lengte van minstens 20 bytes. Bij gebruik van het options-veld kan de header maximaal 60 bytes zijn. Het creëert een header checksum.
co
m
Het Internet Protocol (IP) is van toepassing op het netwerkniveau (laag 3 van het OSI-model). Deze laag is verantwoordelijk voor het aanbieden en transporteren van informatie over verschillende netwerken. Om dit te kunnen realiseren is er een uniforme adressering nodig: het IP adres.
Het IP adres
Algemeen
om
3.2.2
po
ne
nt
s.
Zolang de informatieoverdracht zich binnen hetzelfde netwerk afspeelt, kan deze functionaliteit achterwege blijven. De verbinding van verschillende netwerken gebeurt door middel van routers. Wanneer verschillende netwerken tot een groter geheel gebundeld worden dan moet ook ieder netwerk herkenbaar zijn door een adres. Ieder netwerk zal dus een uniek netwerkadres krijgen. Vertrekkend van dit netwerkadres krijgt iedere deelnemer dan ook nog eens een uniek adresnummer binnen dit netwerkadres. Op dit principe is de uniforme adressering gebaseerd. Dit adres wordt gedefinieerd op de IP laag, en wordt het IP adres genoemd.
on lin ec
Een IP adres bestaat uit 32 bits, 4 bytes, voorgesteld door 4 decimale cijfers gescheiden door een punt.
Figuur 3.3: Het IP adres
Ieder netwerk wordt voorzien van een naam (Net ID), en iedere netwerkdeelnemer krijgt binnen dit netwerk een uniek nummer (Host ID). Net ID en Host ID vormen samen het IP adres. De netwerknaam is dan het IP adres waarbij het Host ID gelijkgesteld wordt aan nul.
40
co
Figuur 3.4: Opbouw van het IP adres
m
TCP/IP
s.
Klasse-indeling van IP adressen
on lin ec
om
po
ne
nt
IP adressen worden opgesplitst in verschillende klassen. Figuur 3.5 toont een overzicht.
Figuur 3.5: De verschillende klassen binnen IP adressering
Tabel 3.1 toont de kenmerken van de klasse A, B en C. Klasse D is toegevoegd om op een eenvoudige manier multicast berichten te kunnen versturen. klasse E heeft op dit moment nog geen functie. Het onderscheid tussen de klassen A,B en C wordt bepaald door het aantal bytes die deel uitmaken van het Net ID enderzijds en het aantal bytes die deel uitmaken van de Host ID anderzijds. De meest beduidende bits in het IP adres bepalen tot welke klasse een IP adres zal behoren. Tabel 3.1 resumeert alle kenmerken van de drie verschillende klaasen.
TCP/IP
41
Tabel 3.1: Kenmerken van de verschillende klassen
byte 2 + byte 3 + byte 4 16777214 mogelijke hosts per netwerk
Range
1 . n . n . n → 126 . n . n . n
Voorbeeld
90.15.167.2 (netwerknaam 90.0.0.0)
Net ID
byte 1, eerste bits zijn altijd 1 0, (1 0 x x x x x x) + byte 2 16383 mogelijke netwerkadressen
Host ID
byte 3 + byte 4 65534 mogelijke hosts per netwerk
Range
128 . 0 . n . n → 191 . 255 . n . n
Voorbeeld
128.19.205.132 (netwerknaam 128.19.0.0)
Net ID
byte 1, eerste bits zijn altijd 1 1 0, (1 1 0 x x x x x) + byte 2 + byte 3 2097152 mogelijke netwerkadressen
Host ID
byte 4 254 mogelijke hosts per netwerk
co
s.
nt
192 . 0 . 0 . n → 223 . 255 . 255 . n
on lin ec
Range
m
Host ID
ne
Klasse C
byte 1, eerste bit is altijd 0, (0 x x x x x x x) 126 mogelijke netwerkadressen
po
Klasse B
Net ID
om
Klasse A
Voorbeeld
192.147.25.112 (netwerknaam 192.147.25.0)
Het gebruik van IP adressen wordt door de Internet Assigned Number Authority (IANA) beheerd. IP adressen voor privé netwerken Er wordt onderscheid gemaakt tussen publieke netwerken en privé netwerken (bedrijfsnetwerken). Op het Internet (het geheel van publieke netwerken) moet ieder IP adres uniek zijn. Bedrijfsnetwerken worden aan het Internet gekoppeld via een router. Om conflicten tussen privé-netwerken en publieke netwerken te vermijden worden binnen iedere klasse een reeks IP adressen gedefinieerd welke niet op het Internet gebruikt worden. Deze worden beschreven in RFC 1597, Reserved Address Space. Een bedrijfsnetwerk krijgt als naam bijvoorkeur een waarde uit die reeks, zie tabel 3.2 .
TCP/IP
42
Tabel 3.2: IP adressen voor privé netwerken
Klasse A netwerken Klasse B netwerken Klasse C netwerken
10.0.0.0 → 10.255.255.255 172.16.0.0 → 172.31.255.255 192.168.0.0 → 192.168.255.255
Speciale IP adressen Tabel 3.3 geeft een overzicht van de speciale IP adressen
m
Tabel 3.3: Enkele belangrijke speciale IP adressen
Host ID
Beschrijving
allemaal nullen
allemaal nullen
Net ID
allemaal nullen
Net ID 127
allemaal enen willekeurig
IP adres van deze computer, wordt gebruikt tijdens de opstart Het netwerkadres, identificeert een volledig netwerk Broadcastadres op het netwerk IP adres voor het testen van netwerkapplicaties
po
ne
nt
s.
co
Net ID
Routers en subnetmasking
on lin ec
3.2.3
om
Er wordt de mogelijkheid voorzien om broadcast berichten te versturen op een netwerk. Een IP broadcast adres voor een bepaald segment wordt bekomen door alle bits van de host ID op 1 te plaatsen. Het IP adres 131.107.255.255 is een netwerk broadcastadres van het subnet met als netwerkadres 131.107.0.0 .
Figuur 3.6: Werking router
TCP/IP
43
Ondanks het feit dat het Internet in het enkelvoud aangeduid wordt, bestaat het uit een groot aantal IP netwerken. Iedere ISP (Internet Service Provider) hangt zijn netwerk aan minimaal één ander netwerk. Doordat ieder netwerk zijn unieke identificatie heeft kan de informatie van het ene station naar het andere gestuurd worden. Routers zorgen ervoor dat informatie op de juiste wijze door het Internet gerouteerd wordt. Deze routers houden zogenaamde routeringstabellen waarin staat waar bepaalde IP adressen zich bevinden. Zodra een IP pakket binnenkomt, vergelijkt de router het doeladres met zijn routeringstabellen. Als een overeenkomst gevonden wordt, weet de router op welke poort het desbetreffende pakket doorgestuurd kan worden.
nt
s.
co
m
Om het routeren te vergemakkelijken en om de bestaande klassen nog beter te benutten werd in 1985 met de RFC 950 de mogelijkheid gegeven om groepen adressen te creëren binnen een klasse A, B of C. Om binnen een klasse een aantal subnetten te creëren wordt de prefix (NetID) met enkele bits uitgebreid (een extended network prefix). Met het gebruik van subnetten verandert er op zich niets aan het IP adres. Voor de routers is het wel belangrijk om te weten welke bits nu de NetID vormen. De router maakt daarom gebruik van een subnetmasker. Met dit masker filtert de router het netwerkdeel uit het IP adres.
po
ne
Hoe wordt het subnetmask opgesteld? De bits die het netwerkgedeelte voorstellen krijgen de waarde 1 De bits die het hostgedeelte voorstellen krijgen de waarde 0 Daarna volgt de decimale omrekening.
om
Voorbeeld: een klasse C adres wordt uitgebreid met vier netwerkbits, het subnetmask wordt dan:
on lin ec
11111111 . 11111111 . 11111111 . 11110000 255 . 255 . 255 . 240
3.2.4
Subnetten
Subnetting is van een gegeven IP adres, meerdere subnetten genereren. Voorbeeld: een bedrijf werkt met IP adres 172.23.0.0 (klasse B). Subnetmask is 255.255.0.0 of 1111 1111 1111 1111 0000 0000 0000 0000 Het volledig bedrijf moet opgesplitst worden in 10 verschillende subnetten. Alle subnetten kunnen via een router aan elkaar gelinkt worden. Met 4 bits kunnen 16 verschillende combinaties gemaakt worden. Met 4 bits toe te voegen aan de Net ID kunnen dus de gewenste 10 subnetten gecreëerd worden. Subnetmask 1111 1111 1111 1111 1111 0000 0000 0000 of 255 . 255 . 240 . 0 Op die manier kunnen volgende 10 subnetten aangemaakt worden. Tabel 3.4 toont de verschillende subnetten.
TCP/IP
44
Tabel 3.4: Subnetting en subnetmaskers
Subnet
Subnetmask
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001
0 16 32 48 64 80 96 112 128 144
172.23.0.0 172.23.16.0 172.23.32.0 172.23.48.0 172.23.64.0 172.23.80.0 172.23.96.0 172.23.112.0 172.23.128.0 172.23.144.0
255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0
co
s.
0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
m
BYTE 3 (decimale waarde)
Classless Inter-Domain Routing
nt
3.2.5
BYTE 3 (binaire code)
ne
Door het succes van Internet dreigt er een tekort aan IP adressen. Het aantal toenemende netwerken zorgt ook voor een sterk stijgend aantal routes waardoor er ook een probleem komt voor de globale routeringstabellen.
po
De oplossing voor dit probleem bestaat uit twee stappen:
om
• Herstructurering van de IP adressen
• Hiërarchische routestructuur om het routeren efficiënter te maken
on lin ec
CIDR, Classless Inter-Domain Routing is een nieuwe vorm van adressering voor het Internet welke een efficiënter gebruik van de IP adressen moet opleveren in vergelijking met de klassen A,B en C. Het volgt rechtstreeks uit het begrip subnetten. Het Net ID wordt niet meer beperkt tot 8, 16 of 24 bits. Een CIDR adres bevat het 32-bit IP adres en informatie over het aantal bits welke deel uit maken van het Net ID. In het adres 206.13.01.48/25 betekent het achtervoegsel ’/25’ dat de eerste 25 bits de netwerknaam bepalen en dat de resterende bits dienen om een bepaalde deelnemer te identificeren op het netwerk.
TCP/IP
45
Tabel 3.5: Classless Inter-Domain Routing
11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111
11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000
11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000
11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
m
255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 255.255.255.0 255.255.254.0 255.255.252.0 255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 255.255.0.0 255.254.0.0 255.252.0.0 255.248.0.0
co
/28 /27 /26 /25 /24 /23 /22 /21 /20 /19 /18 /17 /16 /15 /14 /13
aantal hosts
s.
binair
nt
subnetmask
16 32 64 128 256 512 1024 2048 4096 8192 16384 32768 65536 131072 262144 524288
ne
CIDR code
Voorbeelden
on lin ec
3.2.6
om
po
De CIDR adressering maakt ook ’route aggregation’ mogelijk. Eén high-level route verwijzing kan veel lower-level routes in een globale routeringstabel vertegenwoordigen. Op deze manier kan een volledige hiêrarchische structuur uitgewerkt worden welke te vergelijken is met de zonale opdeling van de telefoonnummers.
• Toon aan dat de server met IP adres 203.125.72.28/28 en de server met IP adres 203.125.72.34/28 niet tot hetzelfde netwerk behoren.
• Het gegeven IP adres van een host is 192.168.100.102/27.
– Toon aan dat deze host behoort tot het netwerk: 192.168.100.96/27. – Toon aan dat het broadcastadres van dit netwerk 192.168.100.127 is. – Toon aan dat alle deelnemers op dit netwerk een IP adres hebben welke gelegen is tussen 192.168.100.97 en 192.168.100.126.
• Een bedrijfsnetwerk is opgebouwd uit verschillende subnetten. De deelnemers met volgende IP adressen behoren alledrie tot een verschillend subnet: 172.23.136.45, 172.23.139.78 en 172.23.140.197. De deelnemers met IP adres 172.23.126.120 en 172.23.127.92 behoren wel tot hetzelfde subnet. Toon aan dat het CIDR achtervoegsel /23 zal zijn binnen het bedrijfsnetwerk.
TCP/IP
3.2.7
46
Het IP pakket
ne
nt
s.
co
m
De te verzenden gegevens worden door de transportlaag aan de internetlaag doorgegeven. De internetlaag pakt de informatie in het dataveld in en voegt er vervolgens een IP header aan toe. Het geheel wordt vervolgens aan de netwerklaag doorgegeven voor verdere afhandeling. Het verzenden van informatie door middel van het IP protocol gebeurt op basis van IP pakketten.
om
po
Figuur 3.7: Het IP pakket
on lin ec
Wanneer een router een IPv4 pakket ontvangt dat te groot is voor het subnet waarop dit pakket moet verder gestuurd worden dan zal IPv4 op de router dit pakket opsplitsen in kleinere pakketten welke fitten in de dataframes van het desbetreffende subnet. Wanneer deze pakketten de finale bestemmeling bereiken zal de IPv4 op de doelhost deze pakketten terug in de originele volgorde plaatsen. Wanneer een pakket moet opgeslitst worden gebeurt het volgende;
• Elk pakket krijgt zijn eigen IP header • Alle opgesplitste berichten welke behoren tot hetzelfde originele bericht krijgen het originele identification field. De more fragments flag toont aan dat andere fragmenten volgen. De more fragments flag wordt niet gezet bij het laatste fragment.
• De fragment offset field geeft aan welke de positie is van dit fragment in het totale bericht. Om een goed idee te krijgen van de functies van het IP protocol wordt de IP header verder toegelicht. Figuur 3.8 toont de verschillende velden binnen de IP header. De header bestaat uit minstens 20 bytes.
TCP/IP
47
co
• Versie (V): veld van 4 bits welke de IP versie weergeeft.
m
Figuur 3.8: De IP header
s.
• IHL: veld van 4 bits welke de lengte weergeeft van de header (in bytes)
nt
• Type of service: gereserveerd / prioriteit van de gewenste dienst
ne
• Totale lengte: de totale lengte in bytes van het volledige IP pakket • Identification: als een IP pakket moet opgedeeld worden dan krijgt ieder pakket een
po
unieke identificatie zodat aan de ontvangende zijde alle pakketten terug op de juiste manier kunnen samengevoegd worden.
om
• Flags: de vlaggen worden gebruikt om de fragmentatie van de pakketten op te volgen • Fragment offset : wanneer een datapakket opgesplitst wordt dan wordt de positie van het fragment in het gehele pakket hier in een 8-bit unit.
on lin ec
• Time to live (TTL): telkens als een IP pakket een router passeert wordt deze waarde verminderd met 1. Indien dit getal nul wordt dan zal de betreffende router dit bericht verwerpen. Zo wordt voorkomen dat een bericht oneindig lang kan blijven bestaan.
• Protocol: het hoger gelegen protocol wordt hier weergegeven 01h 06h 11h
ICMP TCP UDP
• Header Checksum: een controlewaarde voor de IP header. Iedere router zal deze header checksum herbereken.
• Source IP address: IP adres van de zendende deelnemer • Destination IP address: IP adres van de ontvangende deelnemer • Options : andere netwerk informatie kan in de IP header opgenomen worden. Indien de options data niet eindigt als een 32-bit woord dan wordt de rest opgevuld met padding zeros.
TCP/IP
3.2.8
48
IPv6
Algemeen Het meest actuele IP protocol welke in dit hoofdstuk besproken werd heeft versienummer 4 (IPv4). Door het grote succes van het IP protocol dringt zich een nieuwe versie op. Er is een nakend tekort aan IP-adressen en verder is het ook belangrijk dat nieuwe functionaliteiten eenvoudig kunnen geïntegreerd worden. Verder moet een nieuwe versie van het IP protocol een hogere performantie kunnen garanderen
co
m
Met de komst van IPv6 is er ook een praktisch probleem: hoe zal het publieke toegankelijke Internet dat werkt op basis van IPv4, omschakelen naar IPv6? De eenvoudigste manier is de zogenaamde dual-stack benadering. Daarbij wordt op nodes zowel IPv6 als IPv4 geïmplementeerd. Deze nodes kunnen zowel IPv4 als IPv6 datagrammen verwerken. Momenteel toont de automatiseringswereld totaal geen interesse voor de integratie van IPv6.
nt
s.
In wat volgt worden kort enkele voorzieningen van IPv6 aangehaald. Er werden echter zoveel mogelijk ontwerpvoorzieningen die IPv4 zo succesvol hebben gemaakt gehandhaafd.
ne
IP adres
po
IPv6 maakt gebruik van IP adressen van 128 bits. Hierdoor ontstaan uitgebreide adresseringsmogelijkheden. Hexadecimale notatie met dubbele punten, adressen worden 128 bit lang: 8 groepen van 4 hexadecimale digits
on lin ec
om
2000:0000:0000:0FED:CBA9:8765:4321 2000::FED:CBA9:8765:4321 IPv4 adressen ::192.32.20.46
De nieuwe adressering moet zorgen voor kleinere routetabellen. IPv6 header
Figuur 3.9: IPv6 header
De IP header is grondig gewijzigd. Een eenvoudiger basisheader in combinatie met de mogelijkheid tot integratie van optionele headers moet ervoor zorgen dat de header-processingtijd voor de router sterk gereduceerd wordt. Een aantal IPv4 velden worden geschrapt of zijn alleen nog als optie beschikbaar. De velden in de IPv6 header:
TCP/IP
49
• Flow label: een 20-bit identificatienummer om een pakket te onderscheiden in een datastream
• Hop limit: aantal routers dat een bepaalde pakket kan processen is beperkt • Next header: definieert het type van de eerste optionele header • Versieveld: Dit 4-bit veld geeft het IP versienummer aan. Voor IPv6 is dit de waarde 6. • Payloadlengteveld: dit 16-bit getal is een unsigned integer waarmee het aantal bytes
m
in het IPv6-datagram wordt aangeduid dat volgt na de standaardheader met een lengte van 40 bytes.
s.
co
Omdat de transportlaag (TCP en UDP) en de datalinklaag (vb Ethernet) protocollen op het Internet checksums berekenen, hebben de ontwerpers van IPv6 gemeend dat het berekenen van checksums op de internetlaag niet langer noodzakelijk is.
Transmission Control Protocol (TCP) Inleiding
ne
3.3.1
nt
3.3
End-to-end transportdienst
on lin ec
3.3.2
om
po
IP is een verbindingsloos pakketbezorgingsdienst. TCP krijgt dus een moeilijke taak. Gebruik makend van de onbetrouwbare pakkettendienst van IP moet het aan verschillende toepassingsprogramma’s een betrouwbare data-afleveringsdienst bieden. Voor veel toepassingen is het essentieel dat een transportsysteem betrouwbaarheid kan bieden: het systeem moet garanderen dat data niet verloren gaat, geduplicerd wordt of niet in de juiste volgorde aankomt.
Het TCP protocol is er verantwoordelijk voor dat informatie correct over één of meerdere netwerken wordt verstuurd. De uitwisselingsvorm van TCP staat bekend als connection oriented: een logische verbinding wordt opgebouwd, gebruikt en daarna terug stopgezet. TCP is dus een end-to-end protocol. Figuur 3.10 laat zien waarom TCP een end-to-end protocol is. TCP ziet IP als een mechanisme waarmee TCP op een bepaalde host data kan uitwisselen met TCP op een host op afstand.
TCP/IP
50
co
m
Figuur 3.10: TCP als end-to-end transportprotocol
Hoe betrouwbaarheid wordt bereikt
nt
3.3.3
s.
Vanuit het gezichtspunt van TCP is het hele Internet een communicatiesysteem dat berichten kan accepteren en afleveren zonder de inhoud ervan te veranderen of te interpreteren.
po
ne
TCP is dus een bibliotheek van routines welke door applicaties kunnen gebruikt worden wanneer deze een betrouwbare communicatie met een andere deelnemer, host willen opstarten. TCP hanteert verschillende technieken om volledige betrouwbaarheid te garanderen.
on lin ec
om
Herversturen dan datagrammen: als TCP data ontvangt, stuurt het een acknowledgement naar de zender terug. Telkens wanneer TCP data verstuurt, start het een timer. Indien de timer afloopt voordat de bevestiging ontvangen werd, verstuurt de zender de data opnieuw, zie ook figuur 3.11. Windowmechanisme om de datastroom te regelen. Als een verbinding tot stand is gebracht, reserveert elk einde van de verbinding een buffer voor de inkomende en uitgaande data en stuurt de grootte van de buffer naar het andere einde. De beschikbare bufferruimte op een willekeurig moment wordt window genoemd en de mededeling voor het opgeven van de grootte wordt window advertisement genoemd. Een ontvanger stuurt bij elke ontvangstbevestiging een window advertisement. Als de ontvangende toepassing de data zo snel kan lezen als deze aankomt stuurt de ontvanger met elke bevestiging een positieve window advertisement mee. Als de zendende kant echter sneller werkt dan de ontvangende kant zal de binnenkomende data uiteindelijk de buffer van de ontvanger vullen, waardoor op een bepaald moment de ontvanger een zero window adverteert. Een zender die een zero window advertisement ontvangt moet het zenden stoppen tot de ontvanger weer een positieve window advertisement doorstuurt. Three-way handshake: Om te garanderen dat verbindingen op betrouwbare wijze tot stand gebracht en beëindigd worden, gebruikt TCP een three-way handshake waarin drie berichten worden uitgewisseld. TCP gebruikt de term synchronisatiesegment (SYN-segment) voor berichten in een drievoudige handdruk die voor het opzetten van een verbinding worden gebruikt, en de term FIN-segment voor het beschrijven van berichten in een drievoudige handdruk waarmee een verbinding wordt gesloten.
51
nt
s.
co
m
TCP/IP
Het TCP segment
po
3.3.4
ne
Figuur 3.11: Three-way handshake
on lin ec
om
De te verzenden gegevens worden door de applicatielaag aan de transportlaag doorgegeven. De transportlaag pakt de informatie in het dataveld in en voegt er vervolgens een TCP header aan toe. Het geheel wordt vervolgens aan de internetlaag doorgegeven voor verdere afhandeling. Het verzenden van informatie door middel van het TCP protocol gebeurt op basis van TCP segmenten.
Figuur 3.12: Three-way handshake
TCP/IP
52
Om een goed idee te krijgen van de functies van het TCP protocol wordt de TCP header verder toegelicht. Figuur 3.12 toont de verschillende velden binnen de TCP header. De header bestaat uit 20 bytes.
• Source, Destination Port: voor de verschillende upper-layer applicaties is TCP toegankelijk via verschillende poortnummers. Ports zijn een uniek 16-bit adres. De combinatie van een port en een internetadres wordt een socket genoemd, conform de originele definitie van een socket gedefinieerd door ARPA (1971). Het gebruik van poortnummers is essentieel bij opbouwen van een communicatie tussen verschillende applicaties. Dit wordt verder in de hoofdtuk uitgebreider besproken. Verder in deze cursus geeft tabel 3.6 een overzicht van veel gebruikte poorten binnen de automatisering.
m
• Sequence number: in TCP krijgt iedere byte een nummer. Het sequentienummer is het
co
nummer van de eerste data-byte in het TCP-segment na de TCP-header.
• Acknowledgement nummer: dit veld bevat het volgende sequentienummer dat ver-
s.
wacht wordt van de partner.
nt
• Header Length: lengte van de TCP-header in 32-bit woorden • Code bits: verschillende bits waarmee een aantal statussen kunnen meegegeven wor-
ne
den.
po
– de RST-bit om de communicatie opnieuw te initialiseren. – de SYN-bit welke gebruikt wordt om een communicatie te starten
om
– de FIN-bit welke gebruikt wordt om aan te geven dat een communicatie kan beëindigd worden.
• Window: het window veld geeft de maximale hoeveelheid databytes aan die verstuurd
on lin ec
kan worden alvorens een bevestiging verstuurd en ontvangen dient te worden.
• Checksum: is een controle waarde van het TCP-pakket • Urgent Pointer: de waarde geeft aan waar in het dataveld de urgente informatie begint. Om urgente informatie met een TCP-pakket mee te sturen dient de URG-codebit gezet te worden.
TCP/IP
3.4
53
UDP
on lin ec
om
po
ne
nt
s.
co
m
De protocol-suite van het Internet kent ook een verbindingsloos transportprotocol, namelijk UDP (User Data Protocol). Met UDP kunnen applicaties IP pakketten zenden zonder een verbinding tot stand te brengen. Veel Client Server applicaties die één aanvraag en één antwoord hebben gebruiken UDP in plaats van een verbinding te moeten maken en later weer op te heffen. UDP wordt in RFC 768 beschreven. UDP is bijna een nul-protocol: de enige diensten die het voorziet is een checksum voor de data en het multiplexen van applicaties via poortnummers. De UDP header is dan ook een stuk eenvoudiger dan deze van TCP.
Figuur 3.13: Het UDP segment
Een UDP-segment bestaat uit een header van acht bytes gevolgd door de data. De header bestaat uit:
• Source port (2 bytes): poortnummer van de zender, is gelijk aan nul indien geen poort gebruikt wordt.
• Destination port (2 bytes): poort van de applicatie aan welke dit bericht gericht is. • Lenght (2 bytes): de lengte in bytes van de UDP header en de ingekapselde data. • Checksum (2 bytes) Een typisch voorbeeld van UDP is real time audio. Het verloren gaan van datapakketten is jammer maar heeft geen invloed op het verder functioneren van de applicatie.
54
s.
co
m
TCP/IP
on lin ec
om
po
ne
nt
Figuur 3.14: Real time audio als toepassing van UDP
TCP/IP
3.5
55
TCP en UDP poorten binnen de automatisering
In deze lijst wordt een overzicht gegeven van enkele veel gebruikte poortnummer binnen de industriële automatisering. Tabel 3.6: Veel gebruikte TCP en UDP poortnummers
Poortnummer / Protocol
FTP-data (File Transfer Protocol) FTP-control (File Transfer Protocol) SSH (Secure Shell) Telnet protocol BOOTP Server DHCP Server BOOTP Client DHCP Client TFTP (Trivial File Transfer Protocol) HTTP (Hypertext Transfer Protocol) NTP (Network Time Protocol) SNMP (Simple Network Management Protocol) SNMPTRAP (Simple Network Management Protocol Trap) HTTPS (Hypertext Transfer Protocol over TLS/SSH) ISAKMP (Internet Security Association And Key Management Protocol MODBUS IPsec NAT traversal EtherNetIP ROFINET such as connection establishment
20 / TCP 21 / TCP 22 / TCP,UDP 23 / TCP 67 / UDP 67 / UDP 68 / UDP 68 / UDP 69 / UDP 80 / TCP 123 / UDP 161 / TCP,UDP
on lin ec
om
po
ne
nt
s.
co
m
Applicatie
IANA free ports reserved for dynamic and/or private port (profinet service) DDI Device Driver Interface (special protocol used for diagnostic functionality) SOCOMM Interface (Engineering Channel used for control communication)
162 / TCP,UDP 443 / TCP 500 / UDP 502 / TCP; UDP 4500 / UDP 2222 / TCP; UDP 0x8892 (34962) / UDP 0x8893 (34963) / UDP 0x8894 (34964) / UDP 0xC000 - 0xFFFF 1962 / TCP 20547 /TCP
TCP/IP
3.6
56
Communicatie over TCP(UDP)/IP
3.6.1
Client Server model
Een internet (TCP/IP) zorgt voor een algemene communicatie infrastructuur zonder op te geven welke diensten allemaal kunnen gebruikt worden. TCP/IP verschaft een basiscommunicatiedienst maar deze protocolsoftware is niet in staat om contact te maken met of contact te accepteren van een deelnemer op afstand. Daarom moeten bij elke communicatie twee toepassingsprogramma’s worden gebruikt: de ene toepassing start de communicatie en de andere accepteert deze.
nt
s.
co
m
Eén belangrijk probleem: de protocolsoftware kan op geen enkele manier aan een toepassingsprogramma vertellen dat er een verzoek tot communicatie is aangekomen. Daarom zal de communicatie tussen twee deelnemers gebaseerd zijn op een model waarbij de ene toepassing actief is (interactie aanvragen) terwijl de andere passief is (luisteren en eventueel accepteren). Dergelijk model wordt momenteel algemeen toegepast bij communicatie tussen twee verschillende hosts over TCP/IP en wordt het Client Server model genoemd: een Server applicatie wacht passief op contact terwijl de Client toepassing de communicatie actief start.
ne
Kenmerken van Client software:
• Is een toepassingsprogramma dat tijdelijk een Client wordt wanneer toegang tot een
po
computer op afstand nodig is, maar dat ook lokaal berekeningen en bewerkingen uitvoert.
om
• Wordt direct door de gebruiker gestart en voor slechts één sessie uitgevoerd.
on lin ec
• Draait lokaal op de PC van een gebruiker • Maakt actief contact met een Server • Kan indien nodig tot meerdere Servers toegang krijgen, maar maakt actief contact met één Server tegelijk
• Vereist geen speciale hardware of een geavanceerd besturingssysteem Kenmerken van Server software:
• Is een speciaal ontworpen toepassingsprogramma, dat één bepaalde dienst levert, maar verschillende Clients tegelijkertijd kan afhandelen.
• Wordt automatisch geactiveerd wanneer een systeem opstart en blijft actief tijdens vele sessies
• Draait op een gedeelde computer • Wacht passief tot willekeurige Clients op afstand contact zoeken • Vereist soms krachtige hardware en een geavanceerd besturingssysteem (afhankelijk van de soort toepassing)
57
co
m
TCP/IP
Endpoint en Internetsocket
nt
3.6.2
s.
Figuur 3.15: Client Server model over TCP/IP
po
ne
Figuur 3.15 toont een Client Server communicatie over de TCP/IP stack. Op computersystemen kunnen tegelijkertijd meerdere Clients en Servers actief zijn. Belangrijk hierbij wordt dat iedere applicatie eenduidig moet geïdentificeerd worden en dat terwijl de computer waar meerdere applicaties op draaien slechts één fysieke verbinding heeft met het Internet.
on lin ec
om
Hiervoor geven transportprotocollen elke communicatiedienst een unieke naam. TCP gebruikt hiervoor protocolpoortnummers. Aan elke Server wordt een specifiek protocolpoortnummer toegekend. Via dit poortnummer wacht de Server passief op communicatie. Bij het versturen van een aanvraag vermeldt de Client het poortnummer van de gewenste dienst. De TCP software op de computer van de Server gebruikt het destination poortnummer in een inkomend bericht om te bepalen welke Server de aanvraag moet afhandelen.
Figuur 3.16: Begrippen endpoint en socket
endpoint Het begrip endpoint kan soms tot verwarring leiden met het begrip socket. De oorspronkelijke definitie van een socket volgens ARPANET is de combinatie van het IP adres met het
TCP/IP
58
poortnummer. Deze combinatie wordt heden een endpoint genoemd. Een endpoint beschrijft via welke logische weg een applicatie bereikbaar is via een internet. Internetsocket De term socket is heden louter een software term. Een socket zorgt voor het mappen, het linken van een applicatie aan een endpoint. Zo ontstaat het begrip Internetsocket, ook netwerksocket genoemd. Een Internetsocket, kortweg socket genoemd, is een bidirectioneel communicatie endpoint van een proces tot proces verbinding en wordt bepaald door:
• Het protocol
m
– UDP protocol: datagramsockets of connectionless sockets
co
– TCP protocol: streamsockets of connection-oriented sockets – ruw IP pakket (bv ICMP): rawsockets
s.
• Lokaal IP adres
nt
• Lokaal protocolpoortnummer
3.6.3
Dynamische Servers
po
• Remote protocolpoortnummer
ne
• Remote IP adres
on lin ec
om
Van een computersysteem waarop meerdere toepassingsprogramma’s tegelijkertijd kunnen draaien wordt gezegd dat het systeem concurrency ondersteunt. Een programma dat meer dan één besturingsthread, of kortweg thread, proces of task heeft wordt een concurrent programma genoemd. Concurrency is essentieel voor het Client Server interactie model omdat een concurrent Server tegelijkertijd meerdere Clients van dienst kan zijn zonder dat elke Client moet wachten tot voorgaande Clients klaar zijn. De meeste concurrent Servers werken dynamisch. De server creëert voor elke aanvraag die aankomt een nieuwe thread, een nieuw proces. In principe bestaat een Server uit twee delen. Een eerste deel dat de aanvragen aanneemt en een nieuwe thread start voor deze aanvraag. Dit eerste deel wordt de hoofdthread genoemd. Het tweede deel bestaat uit de code die elke afzonderlijke aanvraag kan afhandelen. Als een concurrent Server opstart draait alleen de hoofdthread. Komt er een aanvraag binnen dan produceert de hoofdthread een nieuwe thread die de aanvraag afhandelt. Ondertussen houdt de hoofdthread de Server actief en wacht op een volgende binnenkomende aanvraag.
3.6.4
Ondubbelzinnige communicatie
Indien van een Server meerdere threads actief zijn is het belangrijk dat de inkomende berichten van een Client gekoppeld worden aan de juiste thread van de Server.
TCP/IP
59
TCP eist van elke Client dat deze een lokaal protocolnummer kiest dat nog niet aan een dienst is toegewezen. Elke Client welke een TCP segment verstuurt zal dit lokaal poortnummer in het source port veld plaatsen. Het protocolpoortnummer van de Server wordt in het destination port veld geplaatst.
po
ne
nt
s.
co
m
Op de computer van de Server gebruikt TCP de combinatie van de protocolpoortnummers en de IP adressen om een bepaalde communicatie te identificeren. Op deze manier kunnen er berichten van meerdere Clients voor dezelfde Server aankomen zonder een probleem te veroorzaken. Samengevat moet iedere (Internet) socket uniek zijn.
om
Figuur 3.17: Client Server model over TCP/IP
on lin ec
Figuur 3.17 toont hoe een ondubbelzinnige communicatie tot stand komt wanneer twee Clients op eenzelfde PC een remote verbinding aangaan met dezelfde Server. De communicatie tussen Client 1 en de Server wordt gekenmerkt door volgende socket:
• Protocol: TCP • SP: 4400 • DP: 80
• SA: 172.23.1.101 • DA: 172.23.2.51
De communicatie tussen Client 2 en de Server wordt gekenmerkt door volgende socket:
• Protocol: TCP • SP: 4444 • DP: 80 • SA: 172.23.1.101 • DA: 172.23.2.51 Het volstaat dat één van de parameters verschillend is om beide verbindingen een unieke identificatie toe te kennen.
TCP/IP
3.6.5
60
Status van een socket
Een TCP socket kan zich in de status listening bevinden. Wanneer een Server wacht op een remote Client om een communicatie aan te vragen dan zijn de socketgegevens voor de Server
• Protocol: TCP • SP: 80 • DP: 0 • SA: 172.23.1.51
s.
• listening
nt
• established • Syn-sent
ne
• Syn-Recv
po
• Fin-wait1
• Close-wait
on lin ec
• Closed
om
• Fin-wait2 • Time-wait
co
Een TCP socket kan zich in volgende statussen bevinden
m
• DA: 0.0.0.0
Een UDP socket kan zich niet in een status established bevinden. Een UDP Server maakt geen nieuwe threads aan voor iedere andere CLient. Het hoofdproces verwerkt inkomende datapakketten opeenvolgend via dezelfde lokale UDP socket.
3.6.6
Verbindingsgerichte en verbindingsloze communicatie
Transportprotocollen ondersteunen twee basisvormen van communicatie: verbindingsgericht (TCP) en verbindingsloos (UDP). Clients en Servers kunnen voor hun communicatie beide basisvormen gebruiken. Indien een Client TCP gebruikt voor een verbindingsgerichte communicatie dan moet deze Client TCP eerst verzoeken om een verbinding met een andere toepassing op te starten. Is de verbinding tot stand gebracht dan kunnen de twee toepassingen data uitwisselen. Als de twee toepassingen de communicatie hebben beëindigd, dan wordt de verbinding afgesloten door TCP. Het alternatief is een verbindingsloze communicatie waarbij een toepassing op elk moment een bericht kan versturen naar elke willekeurige bestemming. Een toepassing welke UDP gebruikt kan een serie berichten versturen waarbij elk bericht naar een andere bestemming wordt gezonden.
Hoofdstuk 4
4.1.1
s.
ARP Inleiding
nt
4.1
co
m
Uitbreidingsprotocollen en netwerkapplicaties
Address Resolution Protocol (ARP)
on lin ec
4.1.2
om
po
ne
Het IP adres is een virtueel adres, het wordt verwerkt door software. Geen enkele LAN hardware of WAN hardware kan de relatie leggen tussen het NetID van een IP adres en een netwerk of tussen de HostID van een IP adres en een host. Om een IP pakket te transporteren moet deze data ingepakt worden in een frame dat door de lokale hardware bij de juiste deelnemer kan afgeleverd worden. Dit frame moet dan ook de hardware adressen van de zender en de ontvanger bevatten.
Wanneer het IP protocol een bericht wenst te versturen over Ethernet dan moet naast het IP adres van de bestemming ook het MAC adres van de bestemming gekend zijn. Hiervoor bevat de TCP/IP protocol suite een Adress Resolution Protocol (ARP). Het ARP definieert twee basis berichttypen: een aanvraag en een antwoord. Een aanvraagbericht bevat een IP adres en verzoekt om het corresponderende hardware adres, het MAC adres. Het antwoord bevat een IP adres dat met de aanvraag werd meegestuurd en het hardware adres. Het is natuurlijk hopeloos inefficiënt om voor elk te versturen IP pakket eerst een ARP aanvraag te sturen. Hiervoor zal het ARP protocol alle bekomen informatie tijdelijk op slaan in een tabel.
Figuur 4.1: De ARP cache
Uitbreidingsprotocollen en netwerkapplicaties
62
co
m
ARP beheert deze tabel als een cache: een kleine tabel met een beperkt aantal bindingen die telkens overschreven worden of na een periode (enkele minuten) weer gewist worden. Figuur 4.1 toont hoe met het DOS commando arp -a een actueel overzicht bekomen wordt van de ARP cache.
nt
s.
Figuur 4.2: ARP respons in Wireshark
4.2
om
po
ne
Figuur4.2 toont het gebruik van ARP in Wireshark (Wireshark is een packet sniffer en protocol analyzer, een programma dat gebruikt wordt om gegevens op een computernetwerk op te vangen en te analyseren). Het RARP protocol doet net andersom. Het stuurt een request, een aanvraag met een hardware adres. Hierop komt een reply, een antwoord met het gezochte IP adres.
BOOTP en DHCP Inleiding
on lin ec
4.2.1
Tijdens de opstart van een host moeten een aantal zaken geconfigureerd worden vooraleer deze host aktief kan deelnemen aan het netwerkverkeer. Iedere host moet een IP adres bekomen, het toegepaste subnetmask, het IP adrers van de defaultgateway (dit is de router die het lokale netwerk koppelt aan andere netwerken, aan het Internet, ... ) en eventueel gegevens omtrent de DNS server (zie verder in dit hoofdstuk). Deze gegevens kunnen statisch vastgelegd worden in een host of deze kunnen dynamisch toegekend worden aan een host. In dit onderdeel wordt besproken hoe bepaalde gegevens automatisch kunnen geconfigureerd worden tijdens het opstarten. Het opstartproces staat ook bekend onder de naam bootstrapping.
4.2.2
BOOTP
Het Bootstrap protocol is toegevoegd aan de TCP/IP suite om een aantal dynamsiche configuratiestappen tot één stap te combineren. Om configuratieinformatie te bekomen stuurt het BOOTP protocol een request broadcast bericht uit. Een BOOTP server herkent dit bericht en retourneert een BOOTP reply bericht met alle nodige informatie naar de aanvragende deelnemer. BOOTP gebruikt een IP pakket zonder dat de deelnemer reeds een IP adres bevat. Als doeladres wordt een broadcast adres verstuurd bestaande uit enkel maar ’1’-en en een bron adres bestaande uit enkel maar ’0’-en. De BOOTP server kan het hardeware adres gebruiken om een antwoord te versturen.
Uitbreidingsprotocollen en netwerkapplicaties
63
BOOTP vereenvoudigt de configuratie maar blijft het probleem dat een BOOTP server zijn informatie ophaalt uit een database welke door een beheerder met de hand moet aangepast worden.
4.2.3
DHCP
po
ne
nt
s.
co
m
Om de configuratie nog meer te automatiseren heeft de IEFT het Dynamic Host Configuratin Protocol (DHCP) ontwikkeld. DHCP is een protocol welke een host kan bijtreden tot een nieuw netwerk zonder handmatige inmenging van een beheerder. Figuur 4.3 toont de verschillende stappen tijdens de automatische configuratie van een host. Het is een Client server protocol. De client is een nieuwe host welke zal verzoeken om IP gegevens. Per netwerk kunnen één of meerdere DHCP servers aanwezig zijn welke deze gegevens kunnen toekennen.
om
Figuur 4.3: Ping commando
on lin ec
Voor een nieuwe host bestaat het DHCP protocol uit vier stappen:
• DHCP discoverbericht: een Client stuurt een UDP bericht via poort 67, verpakt in een IP pakket om een DHCP server op te sporen. Er wordt een broadcast bestemmingsadres gebruikt, 255.255.255.255 en als bronadres wordt 0.0.0.0 toegekend.
• DHCP offerbedricht: een DHCP server antwoordt naar de Client. Dit antwoord bevat een IP adres, een subnetmask en een leasetijd voor het IP adres.
• DHCP requestbericht: de host maakt een keuze uit de verschillende aanbiedingen en antwoordt naar de gekozen server met een requestbericht welke de configuratieparameters bevat.
• DHCP ACKbericht: de server antwoordt met een bevestiging. 4.2.4
DHCP Relay agent - DHCP option 82
DHCP Relay agent is een Bootstrap Protocol dat DHCP berichten tussen clients en servers voor DHCP op verschillende IP netwerken kan doorsturen. M.a.w via een DHCP Relay agent kan een DHCP server ook een netwerk dienen waar het niet rechtstreeks mee verbonden is.
Uitbreidingsprotocollen en netwerkapplicaties
64
Een DHCP Relay agent luistert via de gekende client poort bootpc (67) naar broadcastberichten van DHCP clients op het netwerk. Deze berichten worden geconverteerd naar unicastberichten en worden dan doorgestuurd naar de geconfigureerde DHCP server. Hiervoor zal de DHCP Relay agent een invulling doen van het giaddr field in deze berichten met zijn eigen IP adres. De DHCP server kan de reply zodoende sturen als een unicastbericht naar de Relay agent. De Relay agent zal de replay of via een broadcast bericht of via een unicastbericht versturen op het netwerk van de client.
ICMP Inleiding
po
4.3.1
ne
4.3
nt
s.
co
m
DHCP option 82 is een DHCP Relay agent Information optie. Deze optie is ontwikkeld zodat een DHCP Relay agent netwerk specifieke informatie kan toevoegen aan een bericht welke hij forward naar een DHCP server. De optie gebruikt hierbij twee bijkomende gegevens: Circuit ID en Remote ID. Deze informatie moet de DHSP server informatie bezorgen over de locatie van de host welke de request verstuurt. De info is zeer sterk afhankelijk van de DHSP Relay agent en zal voor Ethernet gebaseerde netwerken bestaan uit MAC adressen van de poorten op de Relay agent die de link vormen naar de eindhost. Deze informatie kan gebruikt worden om aan te geven waar een toegekend IP adres zich fysisch in het netwerk bevindt. Deze informatie kan door de DHSP server ook gebruikt worden bij beslissingen omtrent het toekennen van een bepaald IP adres.
on lin ec
om
Bij de IP communicatiedienst kunnen datapakketten verloren gaan, de aflevering ervan sterk vertraagd worden, of in een verkeerde volgorde worden afgeleverd. IP is geen betrouwbare communicatiedienst maar probeert fouten te voorkomen en eventuele problemen te rapporteren wanneer ze optreden. Een eerste voorbeeld van foutdetectie is de header checksum. Telkens een datapakket wordt ontvangen, wordt de checksum gecontroleerd om er zeker van te zijn dat de header onbeschadigd is. Indien een controlesomfout wordt vastgesteld wordt dit bericht onmiddellijk weggegooid. Hierover kan geen melding gebeuren omdat samen met het bericht ook het bronadres verwijderd is. Andere minder ernstige problemen kunnen wel gerapporteerd worden.
4.3.2
Internet Control Message Protocol
De TCP/IP protocol suite bevat een protocol, het Internet Control Message Protocol (ICMP),om foutberichten te verzenden. Op deze manier kan gemeld worden indien een bepaalde netwerkvoorziening niet beschikbaar is, of dat een bepaalde host of router niet bereikbaar is. Soms komt een computergebruiker ook direct met het protocol ICMP in aanraking, voornamelijk bij gebruik van de netwerkdiagnosecommando’s ping en traceroute. ICMP kent vijf foutberichten en vier informatieve berichten. De vijf ICMP foutberichten zijn:
• Source quench (bron doven), wordt verstuurd door een router indien deze tijdelijk bufferruimte tekort komt waardoor hij binnenkomende IP pakketten moet weggooien. Dit bericht wordt verstuurd naar de host die het IP pakket heeft aangemaakt. De zendende host zal de transmissiesnelheid moeten aanpassen.
• Time exceeded, wordt verstuurd door een router nadat het Time to live veld tot nul werd verlaagd.
Uitbreidingsprotocollen en netwerkapplicaties
65
• Destination unreachable, wordt verstuurd door een router indien die merkt dat een IP pakket de bestemming niet kan bereiken. Het foutbericht maakt onderscheid tussen een situatie waarbij een heel netwerk tijdelijk van het Internet losgekoppeld is (omdat een bepaalde router niet naar behoren functioneert) en het geval waarin een bepaalde host tijdelijk offline is.
• Redirect, wordt verstuurd door een router indien die merkt dat het IP pakket eigenlijk naar een andere router moet verstuurd worden om de uiteindelijke bestemming te kunnen bereiken.
• Fragmentation required, wordt verstuurd door een router indien deze merkt dat een IP
co
ICMP definieert ook vier informatieve berichten:
m
pakket groter is dan de MTU (Maximum Transmission Unit) van het netwerk waarover het IP pakket moet verstuurd worden.
• Echo request/reply, een echo request kan verstuurd worden naar elke willekeurige host.
nt
s.
Als antwoord wordt een echo reply verstuurd, het antwoord bevat dezelfde adat als het verzoek.
• Address mask request/reply, een host vertuurt een address mask request wanneer hij
4.3.3
po
ne
wordt opgestart. Een router antwoord met een bericht dat het juiste subnetmasker bevat dat op het netwerk gebruikt wordt.
ICMP bericht
on lin ec
om
Het ICMP protocol is een ondersteunend protocol aan het IP protocol. Het gebruikt dan ook IP pakketten om de berichten te versturen. Figuur 4.4 toont hoe een ICMP bericht wordt ingekapseld in een dataframe. Een ICMP foutbericht wordt altijd geproduceerd als antwoord op een bepaald IP pakket. Het wordt altijd teruggestuurd naar de bron van het IP pakket.
Figuur 4.4: Inkapseling van een ICMP bericht
De verschillende velden in de ICMP header zijn:
• TYPE: • Code: • Checksum:
Uitbreidingsprotocollen en netwerkapplicaties
66
• Identifier: • Sequence number: 4.3.4
Bereikbaarheid van een host controleren
co
ping www.google.be ping 134.16.85.9
m
Veel tools halen informatie over een netwerk op door testberichten te sturen en op ICMP antwoorden te wachten. Eén van de belangrijkste diagnosetools is het ping programma. Het ping programma, als DOS commando in te voeren, zendt via ICMP IP pakketten naar een andere deelnemer om te controleren of deze host via het netwerk bereikbaar is. Het is de bedoeling dat de doelhost deze pakketjes meteen (als een echo) terugstuurt. Daarnaast toont het een statische samenvatting van het percentage pakketjes waarop niet gereageerd is en de reactiesnelheid. Zowel het IP adres of de hostname kunnen gebruik worden.
on lin ec
om
po
ne
nt
s.
Er zijn heel wat opties mogelijk. Een overzicht van alle opties wordt bekomen indien het ping commando zonder meer wordt ingegeven.
4.3.5
Figuur 4.5: Ping commando
Een route traceren
Is het programma ping alleen bedoeld om na te gaan of een bepaalde host bereikbaar is, dan zal het commando tracert de route tot een bepaalde host zichtbaar maken. Figuur 4.6 toont op welke manier een tracert commando alle IP adressen weergeeft van de routers die het testpakket ontvangen en weer doorsturen.
67
co
m
Uitbreidingsprotocollen en netwerkapplicaties
s.
Figuur 4.6: Ping commando
IGMP
on lin ec
4.4
om
po
ne
nt
Tracert stuurt eerst een testpakket met een time to live waarde van 1. De eerste router verlaagt deze waarde tot 0, gooit het bericht weg en stuurt een ICMP Time Exceeded bericht terug. Hierdoor kan het IP adres van de eerste router weergegeven worden. Vervolgens wordt een testbericht verstuurd met een time to live waarde van 2. De eerste router verlaagt deze waarde en stuurt het bericht verder. De tweede router zal de time to live waarde op 0 plaatsen, het bericht weggooien en een ICMP foutbericht terug sturen. Hierdoor is het IP adres bekend van de tweede router. Deze procedure wordt verder gezet tot de uiteindelijke host bereikt werd.
4.4.1
Inleiding
IGMP (Internet Group Management Protocol) is het protocol voor IP multicast toepassingen op TCP/IP netwerken. Deze standaard is gedefinieerd in RFC 1112. Naast een definitie van adres- en hostuitbreidingen voor de ondersteuning van multicasting door IP hosts, bevat deze RFC ook een definitie van versie 1 van IGMP. IGMP versie 2 wordt gedefinieerd in RFC 2236. Beide versies van IGMP bieden een protocol waarmee informatie over het lidmaatschap van een host van specifieke multicast groepen kan worden uitgewisseld en bijgewerkt. Multicast berichten worden naar één adres verstuurd (multicast IP adres) maar worden door meerdere hosts verwerkt. De verzameling van deelnemers die luisteren naar één bepaald multicast IP adres wordt een multicast groep genoemd. Enkele belangrijke aspecten van multicasting:
• Het lidmaatschap van een groep is dynamisch: hosts kunnen op elk moment toetreden tot een groep of een groep verlaten.
• Hosts kunnen zich aansluiten bij multicast groepen door IGMP berichten te versturen • Er is geen beperking omtrent de grootte van groepen. De verschillende deelnemers kunnen over meerdere netwerken verspreid zijn op voorwaarde dat de tussenliggende routers IGMP ondersteunen.
Uitbreidingsprotocollen en netwerkapplicaties
68
• Hosts die niet tot een bepaalde groep behoren kunnen wel IP berichten versturen naar die groep.
4.4.2
IGMP berichten
IGMP beschrijft hoe de informatie over de lidmaatschapstatus uitgewisseld wordt tussen routers en de verschillende deelnemers van multicast groepen. Enkele IGMP berichten:
• Hostlidmaatschapsrapport: wordt verzonden als een host lid wordt van een multicast groep en informeert hiermee alle andere leden van de groep. Een router bewaart deze rapporten en staat zo in voor het onderhoud van de multicast groep.
m
• Hostlidmaatschsquery: wordt verstuurd door routers om periodiek te informeren naar
co
groepsleden in een netwerk. Alle leden van een groep antwoorden opnieuw met een lidmaatschapsrapport. Routers houden alle informatie bij en zorgen ervoor dat er geen multicast berichten verstuurd worden op netwerken waar geen leden van de groep zijn.
s.
• Groep verlaten: dit bericht wordt verzonden door een host die als laatste lid van een
nt
groep binnen een bepaald netwerksegment een groep verlaat.
on lin ec
om
po
ne
Het IGMP protocol is een ondersteunend protocol aan het IP protocol. Het gebruikt dan ook IP pakketten om de berichten te versturen. Figuur 4.7 toont hoe een IGMP bericht wordt ingekapseld in een dataframe.
Figuur 4.7: Inkapseling van een IGMP bericht
4.4.3
IGMP snooping
Een switch welke een lid uit een multicast groep verbindt met een router kan IGMP berichten lezen en evalueren met behulp van IGMP snooping. IGMP snooping vertaalt multicast IP adressen in multicast MAC adressen. Een switch kan op deze manier multicast MAC adressen bewaren in zijn multicast filter tabel. Een switch kan op deze manier multicast berichten dadelijk naar de juiste poorten versturen en verhinderen dat multicast berichten een netwerk nodeloos gaan belasten. Dit staat bij switches ook gekend als het dynamische gebruik van multicasting. Dit in tegenstelling to het statisch gebruik van multicasting waarbij manueel de groepen in alle switches en voor alle poorten geconfigureerd moeten worden.
Uitbreidingsprotocollen en netwerkapplicaties
4.4.4
69
Multicast adressen
Multicast IP adressen zijn klasse D adressen welke in het bereik 224.0.0.0 tot en met 239.255.255.255 gelegen zijn. Voor privé netwerken wordt het aangeraden om multicast IP adressen in het bereik 239.x.x.x te gebruiken. De adressen binnen het bereik 224.0.0.1 tot en met 224.0.0.255 worden gereserveerd voor multicast toepassingen binnen één netwerk. De time to live waarde van dergelijke IP pakketten wordt op 1 geplaatst zodat dergelijke berichten het netwerk niet kunnen verlaten.
po
ne
nt
s.
co
m
Er worden ook multicast MAC adressen gereserveerd. Alle adressen waarvan de eerste byte gelijk is aan 01h zijn besschikbaar voor mulitcasting. Adressen welke beginnen met de waarde 01:00:5E:0 zijn multicast MAC adressen welke gebruikt worden voor IP multicasting.
om
Figuur 4.8: Omzetting van multicast IP adres naar multicast MAC adres
4.5
on lin ec
Deze omzetting vraagt enige aandacht. De meest beduidende bit van de tweede byte behoort tot de herkenningscode van een multicast adres en wordt zodoende niet meegemapt. Zo wordt het multicast IP adres 228.30.117.216 omgezet naar het multicast MAC adres 01:00:5E:1E:75:D8. Het multicast IP adres 228.158.117.216 wordt echter ook omgezet naar het multicast MAC adres 01:00:5E:1E:75:D8.
4.5.1
GMRP
IEEE 802.1p
Bedrijfsnetwerken worden steeds groter en complexer. Het is essentieel dat het groeiende netwerkverkeer op een efficiënte manier kan gemanaged worden. Quality of Service is hierbij een belangrijke tool om te verzekeren dat de meest kritische data op een voorspelbare manier wordt afgeleverd. Door middel van het IEEE 802.1p protocol kunnen switches netwerkverkeer prioritair verwerken. Voorspelbaarheid en betrouwbaarheid van het netwerkverkeer worden hierdoor verbeterd. IEEE 802.1p definieert een 3 bit-veld binnen een tagged Ethernet frame. Het definieert een prioriteitswaarde tussen 0 en 7 om op deze manier het netwerkverkeer te differentiëren. De IEEE 802.1P standaard voorziet ook in maatregelen om multicastberichten te filteren opdat deze zich niet nodeloos zouden verspreiden over laag 2 gebaseerde netwerken. Hieron-
Uitbreidingsprotocollen en netwerkapplicaties
70
der bevindt zich GMRP (GARP Multicast Registration Protocol). GMRP and GARP zijn industriële protocollen gedefinieerd door de IEEE 802.1P.
4.5.2
Werking GMRP
GMRP verwerkt multicast groepsadressen op laag 2 (MAC layer). GMRP draait zowel op de switch als bij de hosts. Op de host, GMRP wordt er samen gebruikt met IGMP, worden door GMRP laag 2 dataframes gecreëerd van de layer 3 IGMP berichten.
s.
co
m
Een switch ontvangt zowel de laag 2 GMRP en de laag 3 IGMP berichten. Met de GMRP berichten zal de switch het dataverkeer beperken in de VLAN groep tot welke de zendende host zich bevindt. Wanneer de switch de GMRP join message ontvangt zal het de poort waarop het dit bericht ontvangen heeft toevoegen aan de betreffende multicastgroep. De switch zal het aanvraagbericht tot lidmaatschap doorsturen naar alle andere deelnemers in de VLAN, waaronder zich uiteraard ook de multicastbron bevindt. Wanneer de bron een multicastbericht stuurt naar de groep zal de switch dit bericht enkele doorsturen naar de leden van deze groep.
DNS Inleiding
on lin ec
4.6.1
om
4.6
po
ne
nt
De switch zendt periodiek GMRP queries. Indien een deelnemer lid wenst te blijven van een groep zal hij een antwoord versturen naar de switch. Een deelnemer welke niet langer tot de groep wil blijven kan een leave bericht versturen of totaal niet antwoorden. Indien de switch geen antwoordt krijgt of een leave bericht ontvangt van een bepaalde host zal het deze deelnemer uit de lijst schrappen.
Er zijn twee belangrijke manieren om een host op het Internet aan te duiden. Naast het reeds besproken IP adres is er ook de mogelijkheid om voor een deelnemer een hostnaam, een symbolische naam, te voorzien die algemeen eenvoudiger te gebruiken is. Hostnamen, zoals www.google.be (zoekmachine), gaia.cs.umass.edu (computer networks research Group van de university of Massachusetts, Amherst) zijn beter te onthouden en dus gebruiksvriendelijker. Een hostnaam geeft echter niet genoeg informatie over de plaats van die host binnen het Internet. Omdat gebruikers liever de hostnaan toepassen maar TCP/IP protocollen gebaseerd zijn op IP adressering moet er een koppeling gebeuren tussen hostnamen en IP adressen. Domain Name System (DNS) zal hier de oplossing bieden. Dr. Paul V. Mockapetris en Jon Postel zijn de uitvinders van het Domain Name System. In 1983, stelden zij een DNS achitectuur voor in RFC882 en RFC883. Samenvattend staat DNS voor:
• Een gedistribueerde database welke geïmplementeerd is in een hiërarchie van DNS servers
• Een applicatielaagprotocol waarmee hosts en DNS servers kunnen communiceren om de vertaalslag (het omzetten van een IP adres in een hostnaam en omgekeerd) te maken.
Uitbreidingsprotocollen en netwerkapplicaties
71
De DNS servers zijn vaak Unix machines waarop de Berkeley Internet Name Domain (BIND)software of Microsoft DNS software wordt uitgevoerd. Het DNS protocol werkt met UDP en gebruikt poort 53.
4.6.2
De structuur van een hostnaam
m
Qua syntaxis bestaat elke hostnaam uit een reeks alfanumerieke segmenten die door punten gescheiden worden. Domeinnamen hebben een hiërarchische structuur waarbij het meest significante deel van de naam rechts staat. Het meest links segment is de naam van de individuele host. Andere segmenten in een domeinnaam identificeren de groep die eigenaar van de naam is. DNS legt niet vast uit hoeveel segmenten een domeinnaam moet bestaan, Het DNS geeft waarden voor het meest significante segment. Tabel 4.1 geeft een overzicht van alle namen
ne
nt
s.
Toegewezen aan commerciële organisatie opleidingsinstituut overheidsorgaan militaire groep netwerkondersteuningscentrum andere organisaties internationale organisatie een land, be voor België
Werking van het DNS protocol
on lin ec
4.6.3
om
po
Domeinnaam com edu gov mil net org int landcode
co
Tabel 4.1: Namen voor het meest significante deel van een domeinnaam
Inleiding
Wanneer een toepassing (bv. een webbrowser) op de host van een gebruiker een hostnaam moet vertalen in een IP adres zal deze toepassing de clientcomponent van de DNS aanroepen met de hostnaam welke vertaald moet worden. De DNS clientcomponent op de host van de gebruiker neemt het dan over en verzendt een verzoekbericht het netwerk in. Alle DNS vezoek- en antwoordberichten worden in UDP segmenten naar poort 53 verzonden. Na een vertraging, die kan variëren van enkele milliseconden tot enkele seconden, ontvangt de DNS clientcomponent op de host van de gebruiker een DNS antwoordbericht met de gezochte verwijzing. Deze verwijzing wordt vervolgens doorgegeven aan de toepassing. Op die manier is DNS, gezien vanuit het perspectief van de toepassing op de host van de gebruiker, een blackbox die een eenvoudige, ongecompliceerde vertaaldienst levert. In feite is de dienst die de zwarte doos levert echter erg complex en bestaat uit een groot aantal DNS servers, verspreid over de wereld, en een applicatielaagprotocol dat bepaalt hoe de DNS servers en de verzoekende hosts met elkaar communiceren. Een eenvoudig ontwerp voor DNS zou bestaan uit één DNS server die alle verwijzingen bevat. In dit gecentraliseerde ontwerp zouden alle clients hun verzoeken slechts naar die ene DNS server hoeven te verzenden die op zijn beurt alle verzoeken zou behandelen. Hoewel de eenvoud van dit ontwerp aantrekkelijk is, is deze oplossing ongeschikt voor het huidige Internet met het enorme (en snel toenemende) aantal hosts.
Uitbreidingsprotocollen en netwerkapplicaties
72
DNS maakt gebruik van een groot aantal, over de hele wereld verspreide, DNS servers in een hiërarchische structuur. Er is geen enkele DNS server die alle verwijzingen voor alle hosts op het Internet bevat. De verwijzingen zijn verdeeld over de DNS servers. In eerste instantie zijn er drie klassen DNS servers:
• Root DNS servers; • Topleveldomein (TLD) DNS servers; • Verifiërende DNS servers.
m
Een gedistribueerde, hiërarchische database
s.
co
Een DNS client neemt eerst contact op met een van de rootservers, die IP adressen voor TLD servers voor het Topleveldomein com retourneert. De client neemt vervolgens contact op met een van deze TLD servers, die het IP adres van een verifiërende server retourneert. Tenslotte neemt de client contact op met een van de verifiërende servers, die het IP adres van de hostnaam zal terugsturen.
po
ne
nt
Root DNS server Op het Internet zijn er slechts 13 root DNS servers (die aangeduid worden door de letters A tot en met M), waarvan de meeste in Noord-Amerika zijn opgesteld. Hoewel de 13 root DNS servers aangeduid worden als één server, bestaat elke server in werkelijkheid uit een cluster gerepliceerde servers (om redenen van beveiliging en betrouwbaarheid).
om
Topleveldomein (TLD) server Deze servers zijn verantwoordelijk voor topleveldomeinen zoals com, org, net, edu en alle landen topleveldomeinen zoals bijvoorbeeld be, nl, fr, jp,...
on lin ec
Verifiërende DNS server Elke organisatie met hosts op het Internet die door het publiek benaderbaar zijn (zoals webserver en Mailserver) is verplicht om DNS gegevens te leveren waarin de namen van deze hosts aan IP adressen worden gekoppeld. Deze DNS gegevens worden opgeslagen op de verifiërende DNS server. Een organisatie kan ervoor kiezen om zelf een verifiërende DNS server met deze gegevens te implementeren; ook kan de organisatie een serviceprovider (Telenet bijvoorbeeld) inschakelen om deze gegevens tegen betaling op diens verifiërende DNS server op te slaan. De meeste universiteiten en grote bedrijven implementeren en beheren hun eigen primaire en secundaire (als back-up) verifiërende DNS server. De root, TLD-, en verifiërende DNS servers behoren allemaal tot de hiërarchie van DNS servers. Er is nog een ander belangrijk type DNS servers, die lokale DNS servers worden genoemd. Een lokale DNS server hoort strikt genomen niet thuis in de hiërarchie van servers maar is desondanks van vitaal belang voor de DNS structuur. Elke ISP (Internet Service Provider) heeft een lokale DNS server (ook wel standaard DNS server (default name server) genoemd). Wanneer een host een verbinding tot stand wil brengen met een ISP, geeft de ISP aan die host de IP adressen van een of meer van diens lokale DNS server (meestal met behulp van DHCP).
Uitbreidingsprotocollen en netwerkapplicaties
4.7
73
SNMP
4.7.1
Inleiding
SNMPv1: In 1990 werd in RFC 1157 het SNMP protocol gedefinieerd. SNMP staat voor Simple Network Management Protocol. Dit protocol beschrijft een gestructureerde manier voor het bewaken en beheren van een bepaalde netwerkinfrastructuur. Al snel werd dit protocol op grote schaal geïmplementeerd in commerciële producten en werd dit protocol de facto standaard voor netwerkbeheer. SNMP is ontworpen om een eenvoudig protocol te zijn.
m
SNMPv2: Naarmate de ervaringen werd in 1993 een verbeterde versie van SNMP beschreven in RFC 1441 en RFC 1452 (coëxcistentie tussen v1 en v2) om uiteindelijk de Internet standaard te worden.
nt
s.
co
SNMPv3: In 1999 wordt in v3 security toegevoegd aan de vorige versies. De derde versie van Internet Standard Management Framework (SNMPv3) is afgeleid van en gebaseerd op de voorgaande versies SNMPv1 en SNMPv2.SNMPv3 is dus SNMPv2 aangevuld met security en administratie. De belangrijkste eigenschappen van SNMPv3 omvatten:
– authenticatie en privacy
po
– toegangscontrole
ne
• security
• administratie
om
– gebruikersnamen en sleutelmanagement – benamingen van deelnemers
on lin ec
– policies
Op een netwerk zijn heel wat interessante deelnemers aktief welke belangrijke statusinformatie kunnen bevatten voor het beheer van een netwerk. Dergelijke deelnemers kunnen hubs, switches, routers, printers of PC’s zijn. Om rechtstreeks door SNMP te worden beheerd moet een node in staat zijn een SNMP managementproces -een SNMP agent- te draaien. Alle computers voldoen aan deze eis, evenals veel hubs, switches, routers en randapparaten die voor netwerkgebruik ontworpen zijn. Elke agent houdt een lokale database bij met variabelen die zijn toestand en geschiedenis weerspiegelen en zijn werking beïnvloeden.
74
co
m
Uitbreidingsprotocollen en netwerkapplicaties
s.
Figuur 4.9: Managers en agents op een netwerk
SNMP structuur
on lin ec
4.7.2
om
po
ne
nt
Het netwerkmanagement wordt gedaan vanuit managementstations: in feite gewone computers waarop speciale management software loopt. Deze stations bevatten een of meer processen die via het netwerk met agents communiceren, waarbij ze opdrachten geven en antwoorden krijgen. In dit opzet bevindt alle intelligentie zich in de managementstations om de agents zo eenvoudig mogelijk te houden en hun invloed op de apparaten waarop ze lopen te minimaliseren. Veel managementstations hebben een grafische gebruikersinterface, zodat de netwerkbeheerder de toestand van het netwerk kan inspecteren en zo nodig actie kan ondernemen.
Het raamwerk van SNMP bestaat uit drie essentiële onderdelen:
• de MIB (Management Information Base (RFC1213)) is de omschrijving van alle varaibelen een bepaald netwerkelement bevat.
• SMI (Structure of Management Information (RFC 1155)) is de structuur voor het opslaan van de netwerkinformatie.
• SNMP is het communicatieprotocol tussen de manager en een netwerkdeelnemer (RFC1157). De meeste bestaande netwerken zijn van gemengd fabrikaat - met hosts van een of meer fabrikanten, hubs, switches en routers van andere firma’ s en printers van weer andere. Om het mogelijk te maken dat een management station (eventueel van weer een andere leverancier) met al deze uiteenlopende componenten praat, moet de aard van de informatie, die door al deze apparaten wordt bijgehouden strikt gespecificeerd worden. Het heeft geen zin dat het management station een router vraagt wat zijn frequentie van verloren gegane pakketten is als de router deze frequentie niet bijhoudt. Daarom beschrijft SNMP de exacte informatie die elk soort agent moet bijhouden en het formaat waarin de agent deze informatie moet leveren. Het grootste deel van het SNMP model is de definitie van wie wat moet bijhouden en hoe deze informatie wordt doorgegeven. In het kort komt het erop neer dat elk apparaat een of meer variabelen (objecten) bijhoudt die de toestand van het apparaat
Uitbreidingsprotocollen en netwerkapplicaties
75
beschrijven. De verzameling van alle mogelijke objecten in een netwerk staat in een datastructuur die de MIB (Management Information Base) wordt genoemd. Het SNMP protocol zelf beschrijft dan hoe de interactie tussen het managementstation en de agents tot stand komt. Hierbij worden vijf verschillende berichtypen gedefinieerd.
De MIB en SMI
po
ne
nt
s.
co
m
4.7.3
om
Figuur 4.10: MIB is een database welke alle variabelen bevat voor netwerkmanagement
on lin ec
De verzameling objecten die door SNMP worden beheerd, wordt gedefinieerd in de MIB en wordt weergegeven in figuur 4.10. Voor het gemak worden deze objecten ingedeeld in verschillende groepen. Het is de bedoeling dat deze categorieën een basis leveren voor wat een managementstation moet begrijpen.
• De groep System geeft de manager de gelegenheid erachter te komen hoe het apparaat heet, wie het heeft gemaakt, welke hardware en software het bevat, waar het zich bevindt en wat het moet doen. Het tijdstip van de laatste boot wordt ook aangegeven.
• De groep Interfaces gaat over de netwerkadapters. Deze houdt bij hoeveel pakketten en bytes er door het netwerk worden gezonden en ontvangen, hoeveel er worden weggegooid, hoeveel broadcasts er zijn en hoe groot de bestaande uitvoer-wachtrij is.
• De groep lP gaat over lP verkeer naar en vanuit de node. Hierin komen vooral veel tellers voor die bijhouden hoeveel pakketten er om verschillende redenen worden weggegooid. Er zijn ook statistische gegevens beschikbaar over het fragmenteren en weer in elkaar zetten van datagrammen. Al deze items zijn vooral voor het beheer van routers van belang.
• De groep ICMP heeft betrekking op IP foutmeldingen. Er is een teller voor elke ICMP melding, waarin wordt bijgehouden hoeveel er van dat type zijn gezien.
• De groep TCP registreert het huidige aantal geopende verbindingen, gezonden en ontvangen segmenten en diverse statistische gegevens over fouten.
76
om
po
ne
nt
s.
co
m
Uitbreidingsprotocollen en netwerkapplicaties
on lin ec
Figuur 4.11: MIB boomstructuur
• De groep UDP telt het aantal gezonden en ontvangen UDP datagrammen en houdt bij hoeveel van de ontvangen datagrammen onbestelbaar waren wegens een onbekende poort of een andere reden.
• De laatste groep is bedoeld om statistische gegevens te verzamelen over de werking van SNMP zelf: hoeveel berichten er worden gezonden, wat voor berichten het zijn, en dergelijke.
Iedere variabele, ieder object uit de MIB wordt gekenmerkt door een object identifier (OID) en zijn type:
• De OID beschrijft een pad in de MIB boomstructuur. Figuur 4.11 laat de structuur zien van de MIB zoals gebruikt voor SNMP. Het object sysObjectID, welke deel uit maakt van de groep system is bereikbaar via OID 1.3.6.1.2.1.1.2.0
• Object typen worden opgebouwd mbv de fundamentele typen welke gedefinieerd worden in de SMI. Er zijn verschillende MIB’s beschikbaar. Vooreerst zijn er de globale MIB’s beschreven in RFC’s. Zo is er MIB2 beschreven in RFC1213. Dergelijke MIB’s moeten ondersteund worden door alle SNMP compatibele toestellen. Anderzijds zijn er ook de fabrikant specifieke MIB objecten.
Uitbreidingsprotocollen en netwerkapplicaties
4.7.4
77
SNMP protocol
Het normale gebruik van SNMP is dat het managementstation een aanvraag naar een agent zendt met de vraag om informatie of met de opdracht zijn toestand op een bepaalde manier bij te werken. In het ideale geval antwoordt de agent alleen met de gevraagde informatie of bevestigt dat hij zijn toestand heeft bijgewerkt zoals aangevraagd is. SNMP definieert de verschillende berichten die verstuurd kunnen worden. Tabel 4.2: SNMP berichten van manager naar agent
co
m
Beschrijving Vraagt de waarde van één of meer variabelen op Vraagt de variabele na de huidige op Haalt een grote groep informatie op Werkt één of meer varaibelen bij Bericht tussen managers dat lokale MIB beschrijft
s.
Bericht Get request Get next request Get bulk request Set request Inform request
om
po
ne
nt
In één bepaald geval kan de agent zelf het initiatief nemen om een bericht te versturen en dit op het moment dat een agent een bepaald kritisch event opmerkt. Managed nodes kunnen uitvallen en rebooten, netwerksegmenten kunnen uitvallen en weer in bedrijf komen, enzovoort. Elke relevant event wordt in een MIB module gedefinieerd. Wanneer een agent merkt dat er een relevant event is geweest, meldt hij dit event onmiddellijk aan alle managementstations in zijn configuratielijst. Deze melding wordt een SNMP trap genoemd. De melding zegt meestal alleen dat er één of ander event is opgetreden. Het is dan de taak van het managementstation requests uit te voeren om de details te achterhalen Tabel 4.3: SNMP berichten van agent naar manager
on lin ec
Bericht SNMP trap
Beschrijving Melding event van agent naar manager
Figuur 4.12 toont dat SNMP berichten gebruik maken van het UDP protocol en welke poorten hiervoor gebruikt worden;
4.8
4.8.1
HTTP en HTTPS TLS/SSL
Transport Layer Security (TLS) , de opvolger van Secure Sockets Layer (SSL), is een encryptie protocol om een veilig datakanaal te creëren op een onbeveiligd netwerk zoals het Internet. Beide protocollen draaien op een laag onder de applicatieprotocollen zoals http, SMYP, FTP, en boven het transportprotocol TCP. Ze maken deel uit van de protocolsuite TCP/IP. Een belangrijke doelstelling is het beveiligen van client/server applicaties. Langs de verzendende kant zal de TLS laag gegevens van de applicatie versleutelen en doorgeven aan de juiste TCP poort. Aan de ontvangende zijde leest TLS de gegevens uit de juiste
78
co
m
Uitbreidingsprotocollen en netwerkapplicaties
s.
Figuur 4.12: SNMP communicatie
om
po
ne
nt
TCP poort, ontsleutelt de gegevens en stuurt deze door naar de toepassing. Het doorsluizen van de gegevens is de taak van de recordlaag.
on lin ec
Figuur 4.13: SSL TLS laag
TLS voorziet de volgende veiligheden voor client/server applicaties over TCP/IP:
• Authenticatie: een applicatie toestaan om de identiteit van een andere applicatie waarmee deze communiceert te verifiëren.
• Privacy: gegevens die tussen applicaties worden overgebracht, kunnen niet worden misbruikt of bekeken.
• Integriteit: applicaties detecteren wanneer gegevens zijn gewijzigd tijdens de transmissie. De gebruikte technieken zijn gebaseerd op concepten zoals public-key en certificaten (zie onderdeel security). Indien een applicatie gebruikt maakt van SSL/TLS wordt er eerst een handshakingprocedure gestart waarbij het versleutelalgoritme en de te gebruiken sleutels worden afgesproken en waarbij de client de server verifieert. Eens deze procedure voltooid is zullen alle toepassingsgegevens versleuteld worden. De uitvoering en opvolging van deze handshakingsprocedure gebeurt door de bovenste deellagen van het protocol. Zie figuur 4.13.
Uitbreidingsprotocollen en netwerkapplicaties
4.8.2
79
HTTP
HTTP, HyperText Transfer Protocol, is het protocol voor de communicatie tussen een webclient (een webbrowser) en een webserver. Dit protocol wordt niet alleen veel op het World Wide Web gebruikt, maar ook op lokale netwerken. Het protocol definieert het exacte formaat van de aanvragen, de requests van een webbrowser aan de server en het formaat van de antwoorden, responses een webserver daarop kan teruggeven. Elke vraag bevat een URL die naar een webcomponent of een statisch object zoals een webpagina verwijst. Het http protocol maakt gebruik van poort 80. Elke http url begint met ’http://’.
HTTPS
s.
4.8.3
co
m
HTTP is onveilig en wordt blootgesteld aan man-in-the-middle aanvallen en afluisterpraktijken.
Elke url begint met ’https://’.
po
ne
nt
HTTPS, Hypertext Transfer Protocol Secure, is een uitbreiding op het HTTP protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld, waardoor het voor een buitenstaander moeilijk wordt om de gegevens op te vangen. HTTPS is dus in principe HTTP waarbij gebruik gemaakt wordt van SSL/TLS om de data te versleutelen en de server te verifiëren.
om
Hiervoor wordt volgens afspraak poort 443 gebruikt.
Overzicht van enkele andere belangrijke applicaties
on lin ec
4.9 4.9.1
FTP
FTP, File Transfer Protocol is een protocol dat uitwisseling van bestanden tussen verschilllende hosts vergemakkelijkt. Het staat de overdracht van een willekeurig bestand toe en bevat een mechanisme waarmee aan bestanden beperkingen ten aanzien van eigenaarschap en toegangsrechten kunnen verbonden worden. Het protocol verbergt de details van een individueel computersysteem voor de gebruiker en is dus geschikt voor heterogene situaties. Het protocol kan een bestand transporteren tussen twee totaal willekeurige systemen.
4.9.2
TFTP
TFTP, Trivial File Transfer Protocol, is een vereenvoudigde versie van FTP die veel gebruikt wordt om apparatuur zoals routers, switches, ... van firmware en configuraties te voorzien.
4.9.3
NTP
NTP, Network Time Protocol, is een protocol waarmee computers op een netwerk hun interne klok kunnen gelijkzetten aan die van andere computer. NTP is gebaseerd op de voorspelbaarheid van de netwerkvertraging. Het computernetwerk wordt hiërarchisch ingedeeld, waarbij de computer met de nauwkeurigste tijdbron wordt aangeduid met ’stratum 0’. De
Uitbreidingsprotocollen en netwerkapplicaties
80
computersystemen die via NTP daar de tijd van afhalen, zijn per definitie ’stratum 1’. Het protocol beschikt over enkele intelligente functies. Zo kan een een NTP Client van meerdere NTP servers gebruik maken, waarbij de NTP Client zelf uitzoekt welke server het beste werkt. Aan de hand van een aantal beslissingscriteria kiest een NTP Client een server en synchroniseert zich daar aan. Kleine verschillen in tijd tussen server en client worden door de client bijgewerkt door de tijdsverwerking op de client computer iets sneller of langzamer te laten werken. Daardoor kan zonder sprongen in tijd het verschil worden weggewerkt.
4.9.4
SSH
co
m
Secure Shell situeert zich in de applicatie laag van het TCP/IP protocol. SSH vervangt oudere protocollen zoals telnet en rlogin door een beveiligde variant daarvan. Het protocol maakt gebruik van TCP-poort 22.
s.
SSH maakt het mogelijk om op een veilige manier in te loggen op een andere computer, en op afstand commando’s op de andere computer uit te voeren via een Shell. De toegepaste encryptie maakt het voor vreemden moeilijk om de originele commando’s te achterhalen.
4.9.5
po
ne
nt
Een groot voordeel van SSH is dat ook authenticatie met behulp van een private / public key mogelijk is. Hierdoor kunnen SSH toepassingen geautomatiseerd gebruikt worden zonder dat er een wachtwoord in de code hoeft te staan. Ook kan op elk systeem dat de publieke sleutel kent, aangemeld worden door het gebruik van de geheime sleutel.
CLI (Command Line Interface)
on lin ec
om
Wanneer een besturingssyteem een Command Line Interface voorziet, dan kan de gebruiker aan de hand van een regel tekst het systeem één of meerdere opdrachten laten uitvoeren. Eens de opdracht uitgevoerd krijgt de gebruiker opnieuw de kans om een volgende commandoregel in te geven. Een commando wordt meestal afgesloten met de <enter>-toets. Gekende CLIs zijn de command.com (DOS) of bash (UNIX). Naast besturingssystemen zijn er ook andere programma’s die met een CLI kunnen werken. De FTP-client en de Telnet-client van Microsoft bijvoorbeeld gebruiken een opdrachtregel. Industriële switches zijn meestal ook configureerbaar via een CLI.
Hoofdstuk 5
Algemeen
co
5.1
m
De switch
on lin ec
om
po
ne
nt
s.
De switch is de basiscomponent voor de opbouw van een lokaal, op Ethernet gebaseerd netwerk. Met behulp van switches worden de verschillende deelnemers van een LAN op een intelligente manier met elkaar gekoppeld. Een switch heeft meerdere poorten. Op ieder poort van een switch kan een host (netwerkdeelnemer) aangesloten worden, of kan de verbinding gemaakt worden met een andere switch. Op die manier kan een netwerk op een stervormige manier uitgebouwd worden. Vanaf iedere poort start een netwerksegment, een collision domein.
Figuur 5.1: De switch is zelflerend uit de inkomende berichten
Voor iedere poort wordt softwarematig een MAC adrestabel bijgehouden. De switch is zelflerend, deze MAC adrestabel wordt gevuld door op het desbetreffende segment alle inkomende berichten te bestuderen. Het bronadres van ieder inkomend bericht op een bepaalde poort wordt gekopieerd naar de tabel. Ieder adres wordt gedurende een beperkte tijd vastgehouden en het wordt weer gewist zodra een bepaalde tijd, de holdtime, is verstreken. Door deze
De switch
82
techniek wordt voorkomen dat niet-actieve stations worden geadresseerd of dat stations juist niet meer worden herkend. Voordat een datapakket via een switch wordt doorgegeven van het ene segment naar het andere segment onderzoekt een switch het MAC adres en op basis hiervan vindt al dan niet transport naar het andere segment plaats. Switches werken volgens het store-and-forward principe.
Industriële switches Algemeen
om
5.2.1
po
5.2
ne
nt
s.
co
m
Een store-and-forward switch zal eerst de volledige dataframe binnennemen, controleren op fouten en dan via de juiste poort doorsturen. De latency is dus afhankelijk van de berichtgrootte. Voorafgaand aan een bericht is er de preamble. Tussen de preamble en het Ethernet frame is er een intervaltijd, een interframe gap. Deze tijd is gelijk aan de tijd nodig om 96 bits op het netwerk te plaatsen. Deze tijd bedraagt voor 100Mbps dus 0,960µs. De theoretische latency voor een store-and-forward switch om een breicht met minimumlengte (64 bytes) door te sturen wordt bepaald volgens de formule: TL = TIG (tijd voor interframe gap) + (64 ∗ 8 ∗ TBT) [µs] TL = 0,960 + (64 ∗ 8 ∗ 0,01) = 6,08 µs. De maximum berichtgrootte is 1518 bytes. Dit komt overeen met volgende latency: TL = 0,960 + (1518 ∗ 8 ∗ 0,01) = 122,4 µs
Bij de industriële switches kan een eerste onderscheid gemaakt worden tussen twee verschillende categorieën:
on lin ec
• non-managed switches
• web-based managed switches Bij de eerste groep switches kan niets geconfigureerd worden. Voor de algemene werking van een switch dient ook niets geconfigureerd te worden. De tweede groep switches kunnen via een webserver geconfigureerd worden. Dergelijke benadering is ook interessant voor diagnose mogelijkheden van het netwerk.
Figuur 5.2: De MCS 16 TX
De switch
83
Figuur 5.2 toont de industriële switch FL SFN 8TX Gigabit switch van Phoenix Contact. Enkele typisch technische kenmerken van dergelijke switches zijn:
• 10/100/1000 TX, auto negotiation, auto crossing • Non-managed, geen software configuratie • montage op DIN-rail, alarm contact, redundante power supply, • Temperatuursbereik: -25◦ C to +60◦ C 5.2.2
Technische beschrijving van een industriële switch
om
po
ne
nt
s.
co
m
Aan de hand van een technische beschrijving van de uit de Factory Line van Phoenix Contact worden alle mogelijke eigenschappen van een switch besproken.
Figuur 5.3: De SMCS 8GT
on lin ec
SMCS staat voor Smart Managed Compact Switch. Deze switch is conform de IEEE802.3 standaard opgebouwd en is gemaakt om beheerbare automatiseringsnetwerken op te bouwen gebaseerd op Ethernet. Deze switch is het type met 8 RJ45 poorten om twisted pair kabel op aan te sluiten. Alle poorten ondersteunen 10/100/1000 Mbps. Alle poorten ondersteunen autonegotiation en autocrossing. De switch is naast het gebruik als normale standaard Ethernetswitch, uitermate geschikt voor Profinet RT en Ethernet/IP toepassingen en ondersteunt de management functies die hiervoor nodig zijn. De switch ondersteunt IGMP Snooping voor Ethernet/IP. Redundante netwerkstructuren kunnen opgebouwd worden volgens het (Rapid) Spanning Tree Protocol of volgens Media Redundancy Protocol. Hierdoor wordt een optimale werking van het netwerk gegarandeerd onafhankelijk van de gebruikte topologie. Binnen complete netwerksystemen kan informatie uit de switch opgevraagd worden via SNMP. De configuratie en diagnose kan via een web server en een V.24 (RS232) interface gebeuren. De SWITCH SMCS is van het type store-and-forward. Alle datagrammen welke op een poort de switch bereiken worden eerst opgeslagen in een buffer en gecontroleerd op geldigheid. Corrupte datapakketten, m.a.w. pakketten welke groter zijn dan 1522 bytes, welke kleiner
De switch
84
zijn dan 64 bytes of pakketten waarbij CRC fouten optreden moeten verwijderd worden. Geldige datapakketten worden dan ogenblikkelijk doorgestuurd via de juiste poort. De transmissiesnelheid wordt per poort bepaald door het aangekoppelde netwerksegment. De switch leert dynamisch alle adressen van de verschillende netwerkdeelnemers door ieder binnenkomend bericht te evalueren op het source adres. De switch moet tot 8000 adressen kunnen opslaan in zijn MAC adrestabel met een aging time van 40 seconden (default setting bij levering). Deze tijd is instelbaar van 10 tot 825 seconden via SNMP of Webbased mangement. Dit betekent dat alle adressen welke langer dan deze tijd niet meer gebruikt zijn, automatisch gewist worden uit de MAC-adrestabel.
nt
s.
co
m
De switch is voorzien van een alarmcontact. Het alarmcontact is floating en gesloten bij een correcte werking van de switch. Dit contact volgt de werking van switch en moet geopend worden bij de hierna beschreven omstandigheden. Bij een heropstart zal de switch een hardware zelftest uitvoeren. Wanneer een fout gedetecteerd wordt tijdens deze zelftest wordt het alarmcontact geopend. Tijdens de normale werking zal een watchdog de cyclische uitvoering van het softwareprogramma opvolgen. Indien deze watchdog niet cyclisch getriggerd wordt door de software zal het alarmcontact geopend worden.
po
ne
Verschillende statusleds moeten de gebruiker informeren over de status van de switch. Op deze manier is een lokale diagnose mogelijk zonder gebruik te moeten maken van bijbehorende tools.
om
De SMCS switch ondersteunt autocrossing. Hierdoor moet niet langer meer onderscheid gemaakt worden tussen een rechtdoorkabel of een gecroste Ethernet twisted-pair kabel.
on lin ec
De SMCS ondersteunt autonegotation. Hierdoor moet de switch automatisch de parameters van een bepaald subnet op iedere poort kunnen detecteren en deze parameters toepassen op deze RJ45 poort. Deze parameters zijn de toegepaste transmissiesnelheid (10, 100 of 1000 Mbps) en de transmissiemode (half duplex of full duplex). Deze automatische detectie maakt manuele interventies door de gebruiker overbodig. De functie autonegotation kan via webbased management geactiveerd of gedeactiveerd worden. Bij gebruik van twisted pair kabels waar een polariteit verkeerdelijk aangesloten is, meer bepaald het omwisselen van RD+ en RD-, zal de switch automatisch de polariteit omwisselen. Deze eigenschap staat bekend onder auto polarity exchange. De switch controleert op geregelde tijdstippen de aangesloten subnetten op iedere poort. Het gebruikt hiervoor linktestpulsen zoals beschreven in de IEEE 802.3 standaard om de geconnecteerde TP/TX kabels te controleren op kortsluiting of onderbreking. De switch kan op twee verschillende manieren een IP adres bekomen. Via het BootP protocol of via de seriële V.24 interface. Bij levering is de toekenning van het IP adres ingesteld op BootP. Configuratiesoftware is beschikbaar om zodoende de switch op een eenvoudige manier een IP adres te geven. Het mechanisme om een IP adres toe te kennen kan gemanipuleerd worden via webbased management of de V.24 interface. Via een MODE knop vooraan op de module kan de switch in smart mode geplaatst wroden. In smart mode kan de switch in een andere gebruikersmode geplaatst worden zonder de
De switch
85
management interface te moeten gebruiken. Verder is het mogelijk om in smart mode de switch te resetten naar default settings. De switch kan als Profinet IO device geconfigureerd worden. Via wabbased management of in smart mode kan de operating mode op default (normale Ethernet switch) of op Profinet IO geplaatst worden. Wordt de switch als Profinet IO device geconfigureerd, dan kan de switch opgenomen worden als Profinet IO device in de Profinet engineeringsoftware. Op die manier is er in de engineeringsoftware per ingang van de switch een byte aan diagnose-informatie ter beschikking.
co
m
De SMCS switch ondersteunt het LLDP-protocol conform de IEEE802.1ab. De switch verstuurt en ontvangt management- en verbindingsinformatie van naburige toestellen. Op die manier kunnen netwerkarchitecturen visueel voorgesteld of opgevolgd worden via beschikbare software tools. Profinet engineeringsoftware maakt hiervan gebruik om netwerkdiagnose visueel in kaart te brengen.
ne
nt
s.
De switch ondersteunt twee wachtrijen voor prioriteit (traffic classes volgens de IEEE802.1D). Ontvangen datapakketten worden toegekend aan deze wachtrijen afhankelijk van hun prioriteit. De prioriteit is aangegeven in de VLAN tag van het Ethernet frame. Dit zorgt ervoor dat data met een hoge prioriteit geen vertraging ondervindt door grote hoeveelheden lage prioriteitsdata. In geval van een overload wordt data met een lage prioriteit niet meer binnengelezen. Dit principe wordt gebruikt door o.a. Profinet RT en heet Quality of Service.
on lin ec
om
po
Een VLAN tag conform de IEEE802.1Q kan verwerkt worden door de switch. Deze tag bestaat uit 4 bytes en staat in het Ethernet frame tussen het source address en het type veld. In die 4 bytes staan er 3 bits die de prioriteit aangeven. Via de web-interface kunnen verschillende VLANs per poort op de switch ingesteld worden. Op deze manier kunnen verschillende VLANs opgebouwd worden binnen een netwerkarchitectuur met dergelijke switches. Binnen één fysisch netwerk kunnen zodoende verschillende logische netwerken gecreëerd worden. De switch ondersteunt Spanning Tree Protocol (STP) en Rapid Spanning Tree protocol (RSTP). STP is beschreven in de IEEE802.1d norm en laat toe om ringstructuren of mesh structuren te vormen in de topologie van het netwerk. Door de mesh structuren kunnen er meerdere verbindingspaden bestaan tussen twee toestellen. Om oneindige loops en broadcast storms tegen te gaan worden enkele verbindingen onderbroken door de switch. In het geval van een kabelbreuk zal het netwerk na een zekere tijd (20..50s) herstellen door de uitgeschakelde poorten terug in te schakelen. Uitgeschakdelde poorten kunnen wel nog data ontvangen maar geen meer verzenden. Alleen ingeschakelde poorten zullen data verzenden. Het RSTP is een vernieuwde versie van het STP en kan zorgen voor omschakeltijden van 1 tot 10s. Ook het RSTP ondersteunt mesh en ringstructuren. Bij de RSTP configuratie kan RSTP Fast Ring Detection functie geactiveerd worden. De functie is enkel mogelijk bij 10 of 100 Mbps. Met de Fast Ring Detection funcite kan snellere omschakeltijden bekomen worden. De SMCS ondersteunt het Media Redundancy Protocol (MRP). Bij een ringtopology wordt bij een fout een hersteltijd van 200 tot 500ms verzekerd. Via SNMP (Simple Network Management Protocol) kan het toestel gemonitord worden via het netwerk. Een SNMP management systeem heeft de mogelijkheid om configuratiedata van het toestel te lezen en aan te passen en om aan diagnose te doen. Versies 1 en 2c
De switch
86
van SNMP worden ondersteund. De volgende MIBs worden ondersteund: RFC1213, RMON MIB, bridge MIB, If MIB, Etherlike MIB, Iana-address-family MIB, IANAifType MIB, SNMPv2 MIB, SNMP-FRAMEWORK MIB, P bridge MIB, Q bridge MIB en de eigen SNMP objecten van Phoenix Contact (FL-SWITCH-M MIB).
co
m
Een lokale verbinding met de switch kan gebeuren via een V.24 interface (RS232). De kabel wordt bij de PC aangesloten op de COM poort en bij de switch op een mini-DIN socket. Bij deze lokale verbinding gebeurt de communicatie via een programma zoals HyperTerminal. Via deze interface kan het IP adres en subnetmask samen met de standaard gateway ingesteld worden. BootP, gebruikt voor het automatisch toekennen van een IP adres kan in-of uitgeschakeld worden. De parameters kunnen via deze interface opgeslagen worden, en het toestel kan opnieuw opgestart worden. Ook het herstellen van de parameters naar hun standaard defaultinstellingen is mogelijk.
on lin ec
om
po
ne
nt
s.
Een volgende interface is de webinterface. Deze interface laat diagnose en configuratie toe tijdens de opstart, het gebruik, en in het geval van een fout. De webinterface geeft ook netwerk- en toestelinformatie. Webbased management laat toe op een zeer gekende manier, op basis van een Internet Explorer, alle informatie van het toestel op te vragen. Technische data, installatiegegevens, locale diagnosegegevens en alle commando’s voor de seriële interface zijn op te vragen. Verder kunnen alle configuratieparameters gecontroleerd en aangepast worden. Hieronder worden IP configuratie, SNMP configuratie, software updates en paswoorden verstaan. Onder een item ’Switch Station’ kan allerlei diagnose-informatie over de verschillende poorten en het alarmcontact opgevolgd worden. Iedere poort kan individueel geactiveerd of gedeactiveerd worden. Per poort kunnen alle transmissieparameters aangepast worden en kan via webbased management statistische informatie over de data zelf bevraagd worden. Ook de functie ’Port Mirroring’ kan geactiveerd worden. Met deze functie is het mogelijk om alle data welke via een bepaalde poort verstuurd moet worden, ook te versturen via een andere poort. Dit is belangrijk om op deze manier via een netwerksniffer fouten op te sporen. De SMCS switch is voorzien van een memory plug, FL MEM PLUG. Enkele algemene technische en mechanische gegevens:
• De montage van het toestel gebeurt op een DIN rail. • De isolatieklasse is IP20 (beschermd tegen vaste objecten groter dan 12mm, geen bescherming tegen water) DIN40050, IEC60529.
• De beschermingsklasse is klasse 3 VDE 0106, IEC60536. • De voeding gebeurt op 24V DC (18.5V - 30.5V) en kan gebeuren met een sectie van maximaal 2,5 mm2 .
• Het is mogelijk om een redundante voeding te voorzien op het toestel. • De aarding gebeurt via de DIN rail waarop het toestel gemonteerd is. • Het stroomverbruik bedraagt 600mA (15W). • Het toestel is 128mm breed, 110mm hoog en 69 mm diep en weegt 650g. • De werkingstemperatuur gaat van 0◦ C tot 55◦ C en de opslagtemperatuur (buiten werking) bedraagt -40◦ C tot 85◦ C.
De switch
87
• De switch moet kunnen werken en opgeslagen worden in ruimtes met een vochtigheidsgraad tussen de 10% tot 95% zonder condensatie.
• De luchtdruk zou bij werking 80k Pa tot 108 kPa op 2000m hoogte mogen bedragen en
on lin ec
om
po
ne
nt
s.
co
m
bij opslag 70 kPa tot 108 kPa op een hoogte van 3000m boven het zeeniveau.
Hoofdstuk 6
Inleiding
co
6.1
m
De router
on lin ec
om
po
ne
nt
s.
Een router is een apparaat (dat kan een computer zijn), dat twee of meer verschillende computernetwerken aan elkaar verbindt, bijvoorbeeld internet en een bedrijfsnetwerk. Figuur 6.1 toont dat een router kan gezien worden als een schakelapparaat voor datapakketten dat actief is op laag 3 van het OSI model.
Figuur 6.1: De router en het OSI model
6.2
Het routen van berichten
Een bericht dat van de ene computer naar een andere computer over een internet moet verstuurd worden moet door verschillende routers verwerkt worden. Een zender zal het IP pakket eerst doorsturen naar een eerste router. Hiervoor kapselt de zender het IP pakket in een frame met een header conform het fysieke netwerk waarop de zender en de router gekoppeld zijn.
89
nt
s.
co
m
De router
ne
Figuur 6.2: Een IP pakket bij de verschillende stappen tijdens de route over een internet
on lin ec
om
po
Als het frame de router bereikt zal deze het frame ontmantelen en het IP pakket bestuderen. De router moet nu weten via welke poort hij het bericht moet verder sturen. Om de juiste uitgaande poort te kiezen, zoekt de router het bestemmingsadres van het te routeren pakket op in de routeringstabel. Bij het TCP/IP-protocol bestaat een routeringstabel uit een tabel met IP-adressen of gegroepeerde IP-adressen (subnet), en het bijbehorende volgende knooppunt (next-hop). Het volgende knooppunt is doorgaans een andere router, die gekoppeld is via een van de poorten van de router. Wanneer het bestemmingsadres routeerbaar is, en dus bestaat in de routeringstabel, zal de router het bijbehorende volgende knooppunt gebruiken om de uitgaande poort te bepalen. Het binnenkomende IP-pakket wordt naar de uitgaande poort gestuurd. De router zal het IP pakket nu opnieuw inkapselen met een header eigen aan het fysieke netwerk waarop beide routers gekoppeld zijn. Zo toont figuur 6.2 dat een IP pakket telkens wordt ingekapseld in een frame dat bij het fysieke netwerk past. Het is duidelijk dat een router voor elke poort een IP adres heeft welke behoort tot de range van het Net ID waarop de router gekoppeld is. Maar elke poort heeft ook een fysiek hardware adres overeenstemmend met het protocol van het subnet waarop deze poort van de router gekoppeld is. De router bouwt een routeringstabel op door route informatie uit te wisselen met buurrouters. Zo ontstaat een volledig beeld van alle routes in het IP netwerk. De router zal op basis van het kortste pad algoritme (Edsger Dijkstra), een routeringstabel opbouwen waarbij het kortste pad wordt gekozen naar de eindbestemming. In andere bewoording: het knooppunt dat gekozen wordt, maakt deel uit van het kortste pad. Hiervoor bestaan verschillende routeringsprotocollen. Een router wordt beschouwd als een uitvoerapparaat. Een datapakket mag normaal maar door een bepaald aantal routers heen gaan voor het op zijn eindbestemming aankomt, bepaald door de TTL-waarde (Time to Live) van het pakketje.
De router
6.3
90
Soorten routers
Er bestaan veel verschillende soorten routers. Ze kunnen van elkaar worden onderscheiden door de vorm die ze hebben, de aansluitingen van de router en allerlei extra functies die in de router zijn ingebouwd, zoals een modem, firewall of een switch. Er kan onderscheid gemaakt worden tussen software routers en hardware routers. Met behulp van software kan een eenvoudige PC, uitgerust met twee netwerkinterfaces als router functioneren. Een hardware router is een apart toestel. Eigenlijk is het toestel een kleine, eenvoudige computer welke speciaal is ontwikkeld voor het routeren.
co
m
Commerciële routers voor thuisgebruik zijn vaak gecombineerd met een switch, voorzien van een modem en een wireless AP zodat er maar één toestel nodig is om een privé netwerkje te koppelen aan het Internet.
s.
Ook zijn er switches met routerfunctionaliteiten op de markt. Vaak wordt voor deze toestellen de naam laag-3-switch gehanteerd.
Laag 3 switch
om
6.4
po
ne
nt
Verder in dit hoofdstuk ligt de nadruk op industriële routers. In zijn eenvoudigste vorm is dergelijke router voorzien van een LAN en een WAN interface. Hiermee kan een industrieel netwerk gekoppeld worden aan een bedrijfsnetwerk of aan het Internet. De industriële routers hebben ook allerlei extra functionaliteiten opdat ze als een volwaardige security module kunnen ingezet worden voor een veilige koppeling van industriële netwerken aan bedrijfsnetwerken.
on lin ec
Zoals beschreven operen netwerk switches op laag 2 van het OSI model en netwerk routers op laag 3 van het OSI model. Een laag 3 switch is een performant toestel voor netwerk routing. Laag 3 switches verschillen in weinig van standaard netwerk routers. Beide verwerken inkomende berichten en aan de hand van de adressen opgegeven inde berichten worden dynamische beslissingen genomen omtrent het verder doorsturen van deze berichten (routeren). Ze zijn ontstaan in de nood naar routers welke gemakkelijk kunnen ingezet worden in uitgebreide LAN netwerken zoals bedrijfsintranetten. Het belangrijkste verschil tussen laag 3 switches en standaard routers is de hardware opbouw. Bij een laag 3 switch wordt de hardware van een switch gecombineerd met deze van een router om dus een betere perfomantie te kunnen garanderen bij het routeren in grotere LAN infrastructuren. Typisch gebruikt voor intranetten zal een laag 3 switch geen WAN poort bezitten en meestal ook geen typische WAN applicaties ondersteunen.
6.5
Koppeling van een privé netwerk aan het Internet
Een industriële router zal gebruikt worden om een automatiseringsnetwerk te koppelen aan een bedrijfsnetwerk of aan het Internet. Voor het op Ethernet gebaseerde automatiseringsnetwerk zal een Net ID moeten gekozen worden. Bij voorkeur een Net ID dat voldoet aan de RFC 1597.
De router
91
nt
s.
co
m
Figuur 6.3 toont een voorbeeld. De router zal langs LAN zijde een IP adres bekomen welke behoort tot de range van het gekozen Net ID. Meestal wordt dit het eerste of het laatste vrije IP adres van het netwerk. Anderzijds heeft de netwerkinterface langs LAN zijde ook een MAC adres. De router zal op het netwerk fungeren als default gateway.
po
ne
Figuur 6.3: Koppeling van een privé netwerk aan het Internet via een router
om
Via de WAN interface van de router kan het netwerk gekoppeld worden aan het Internet. Hiervoor krijgt de router, meestal via DHCP, van een ISP (Internet Service Provider) een uniek IP adres op het Internet.
on lin ec
Ieder toestel op het netwerk kan nu als volgt geconfigureerd worden. IP adres Subnetmask Default gateway
172.23.22.14 255.255.0.0 172.23.0.1
Hierbij krijgt ieder deelnemer een IP adres waarbij de Net ID voor iedere deelnemer gelijk is, maar het Host ID voor iedere deelnemer uniek is. Indien een applicatie vanop een PC op het netwerk een communicatie wil opstarten met een Server op het Internet moet de PC een eerste IP pakket opmaken om verbinding aan te vragen. Dit IP pakket wordt op het Internet verstuurd via de default gateway. Hiervoor kapselt de PC het IP pakket in een Ethernetframe. Figuur 6.4 toont de gegevens welke nodig zijn om het Ethernetframe op te maken. Het MAC adres van de router wordt via het ARP protocol bekomen. Eens het bericht aangekomen bij de router zal deze het IP pakket via de WAN interface doorsturen naar een andere router op het Internet. Omdat het privé netwerk gescheiden is van het Internet zal de router het source IP adres van de PC vervangen via door zijn IP adres langs WAN zijde. Het privé netwerk is enkel via dit externe IP adres van de router bereikbaar via het Internet. De server kan nu een antwoord versturen en zal dit antwoord richten aan het externe IP adres van de router. Er ontstaat nu een probleem want de router moet nu beslissen naar welke PC
De router
92
m
Figuur 6.4: Koppeling van een privé netwerk aan het Internet via een router
IP NAT NAT: IP masquerading
ne
6.6.1
nt
6.6
s.
co
dit bericht moet verstuurd worden. In het antwoord van de Server staan geen gegevens meer omtrent de orignele zender. Om dit probleem op te lossen werd IP NAT ontwikkeld.
om
po
Network Address Translation (NAT) is een protocol dat toelaat om een netwerk met niet geregistreerde IP adressen (een privé netwerk dat voldoet aan RFC 1597) te koppelen aan het Internet. Zoals in de vorige paragraaf beschreven, plaatst de router telkens zijn extern IP adres als source IP adres in elk bericht dat vanuit het privé netwerk op Internet verstuurd wordt. Alle antwoorden zullen nu gericht zijn aan het externe IP adres van de router.
on lin ec
Het NAT protocol laat toe dat een router het TCP source port veld wijzigt. In een NAT tabel worden alle nieuwe poortnummers gelinkt aan een intern endpoint. Ieder antwoord vanop het Internet naar een PC op het privé netwerk zal gericht zijn aan het externe IP adres van de router maar zal als TCP destination port een poortnummer uit de NAT tabel van de router bevatten. Op die manier weet de router voor welk endpoint dit bericht bestemd is. Praktisch gezien is NAT een protocol welke een IP adres van het ene netwerk vertaalt in een IP adres gekend in een ander netwerk. Het ene netwerk wordt the inside genoemd, het andere netwerk the outside. Typisch zal een bedrijf zijn locale inside IP adressen vertalen naar één of meerdere globale outside IP adressen en zal het globale IP adressen van inkomende berichten terug vertalen naar inside IP adressen. NAT laat dus toe dat een bedrijf slechts één globaal IP adres gebruikt voor zijn communicatie met de buitenwereld, het Internet. Dit draagt bij tot het security concept omdat alle uitgaande en inkomende berichten onderworpen worden aan een vertaling van adressen. Figuur 6.5 toont de werking van het NAT protocol. Dit is het dynamisch gebruik van het NAT protocol, wordt daarom soms ook wel dynamisch NAT genoemd.
6.6.2
Port Forwarding
Port forwarding is het statisch gebruik van het NAT protocol. Indien er op het privé netwerk Servers aanwezig zijn welke rechtstreeks via het Internet bereikbaar moeten zijn kunnen de endpoints van deze Servers op een statische manier gekoppeld worden aan poortnummers
93
nt
s.
co
m
De router
po
ne
Figuur 6.5: Werking van het NAT protocol: op een PC met IP adres 172.23.22.14 wordt het http://166.68.45.159: 80 commando gegeven
on lin ec
om
in de NAT tabel van de router. Om deze server van op het Internet te bereiken moet als endpoint het externe IP adres van de router gekoppeld worden aan het poortnummer uit de NAT tabel. De router zal in een inkomend bericht bestemd voor die specifieke Server het endpoint vertalen naar het correcte endpoint van de Server. Dit is reeds een extra vorm van security. De excate IP gegevens van de Server moeten niet bekendgemaakt worden en eventuele hackers hebben ook geen idee over de archtectuur van het netwerk waar die Servers zich op bevinden. Figuur 6.6 toont welke configuratie er moet gebeuren voor port forwarding of statisch NAT.
94
co
m
De router
1:1 NAT
ne
6.7
nt
s.
Figuur 6.6: Port forwarding
po
1:1 NAT is protocol waarbij een IP adres vertaald wordt in een ander IP adres zonder de gebruikte TCP/UDP poorten te wijzigen.
on lin ec
om
Indien een router langs LAN zijde verbonden is met het netwerk 192.168.1.0/24 en via de WAN poort verbonden is met het netwerk 10.1.0.0/16 en als extern IP adres 10.1.1.0/16 heeft, dan is met behulp van 1:1 NAT de LAN deelnemer met IP adres 192.168.1.100 via de WAN zijde bereikbaar via het IP adres 10.1.1.100.
Figuur 6.7: Mapping van het IP adres bij 1:1 NAT
1:1 NAT biedt interessante mogelijkheden voor de automatiseringswereld:
• Verschillende subnetten kunnen aan elkaar gekoppeld worden waarbij op alle subnetten eenzelfde IP adressering gehanteerd wordt.
• Er hoeven geen bijkomende routes gedefinieerd te worden in het bedrijfsnetwerk. • Een ARP demon op de mGuard verwerkt de ARP requests vanop het externe netwerk.
De router
95
• Systemen op subnetten kunnen dadelijk aangesproken worden vanuit het bedrijfsnetwerk door de IP mapping. Bij deze mapping wordt het HOST ID behouden en wordt enkel het NET ID aangepast.
on lin ec
om
po
ne
nt
s.
co
m
Figuur 6.8 toont de werking van 1:1 NAT.
96
on lin ec
om
po
ne
nt
s.
co
m
De router
Figuur 6.8: Principe van 1:1 NAT
Hoofdstuk 7
Inleiding
co
7.1
m
De firewall
nt
s.
Een firewall is een applicatie welke datagewijs de toegang regelt tot het netwerk. Een firewall is ontworpen om al het verkeer te weigeren, behalve het verkeer dat expliciet doorgelaten mag worden.
po
ne
Soms bestaat er verwarring tussen een router en een firewall alhoewel er een fundamenteel verschil is. Een router is een netwerk structuurelement bedoeld om het dataverkeer zo snel en efficiënt mogelijk door te sturen en dus zeker niet bedoel om dat te blokkeren.
7.2
on lin ec
om
Het gebruik van firewalls moet zeker niet beperkt worden tot Internet verbindingen. Het kan ook interessant zijn om firewalls in te zetten binnenin internet netwerken om verschillende delen apart te beveiligen. Firewalls kunnen meestal ook geconfigureerd worden om al het verkeer in een logboek te registreren en kunnen gecentraliseerde managementfuncties uit voeren.
Soorten firewalls
Er zijn twee soorten firewals. Er zijn de software firewalls en de hardware firewalls. Een software firewall is een firewall die als een programma op een computer geïnstalleerd wordt. Een hardware firewall is een afzonderlijk apparaat zoals de router met geïntegreerde firewall. Beide soorten firewalls (sofware- en hardware firewalls) hebben een gelijkaardige werking. De gebruikte terminologie is op beiden van toepassing. Ook naar werking bestaan er verschillende soorten firewalls. Het onderscheid wordt gemaakt op basis van de manier waarop een beslissing genomen wordt om data al dan niet door te laten.
• Pakket filter: aan de hand van een aantal regels bepaalt de firewall of een IP pakket wordt doorgelaten of tegengehouden. Dergelijke regels worden opgebouwd aan de hand van IP adressen, domeinnamen, protocollen (http, ftp, telnet, ...) en poortnummers. Dergelijke firewalls werken eenvoudig en snel. De pakket filter werkt eigenlijk als een portier: hij screent eerder oppervlakkig de voorbijkomende berichten. Zo wordt nagegaan of de berichten binnenkomend zijn (inbound), naar buiten gaan (outbound)
De firewall
98
of op doorreis zijn (route). De opgegeven, maar gemakkelijk te vervalsen (spoofen) herkomst en de eindbestemming (IP adres en poortnummer) worden gecontroleerd. Er wordt er in de transportlaag gekeken naar het opgeven type en de aard van het bericht. Maar wat er werkelijk in het bericht staat wordt niet doorgenomen. Pakket filter zijn stateless. Ze controleren de herkomst en de bestemming maar kunnen niet evalueren op verdachte patronen in een bepaalde sessie. Zo kan niet opgemerkt worden als er plots verdacht veel datapakketten tussen bepaalde applicaties uitgewisseld worden.
• Stateful inspection: naast de verschillende regels conform een pakket filter kan derge-
po
ne
nt
s.
co
m
lijke firewall tussentijdse informatie bijhouden omtrent de toestand van alle connecties die over de firewall lopen. Stateful Packet Inspection (SPI) betekent dat ieder pakket vanaf de aanmelding en de daarop volgende handshaking tussen de communicerende hosts de context ervan onderzoekt. Statefull inspection zal op deze manier gedurende de volledige sessie nagaan wat er volgens het verbindingsverzoek toegestaan is. Eerst wordt net als bij een stateless pakket filter nagegaan of de verbinding tussen de bron en het doel op zich is toegestaan. Zo nee, dan wordt het synchronisatie verzoek verworpen. Is de verbinding toegestaan dan wordt de informatie uit het eerste datagram dat de sessie opbouwt (SYN) gedurende de sessie in een state-table database in het geheugen bewaard. Als er binnen de context van die verbinding iets vreemds gebeurt (een host verandert plotseling zijn IP adres of onverwacht zijn doelpoort) wordt de sessie onderbroken.
on lin ec
om
De meest courante firewalls zijn stateful inspection firewalls.
Hoofdstuk 8
Inleiding
co
8.1
m
VPN
• geheimhouding van de data (encryptie)
nt
s.
Datapakketten worden meestal volledig onbeschermd over het Internet verstuurd. Hierdoor is er geen:
ne
• identiteitsgarantie van de afzender (authentication)
po
• controle of data al dan niet corrupt is (integriteit)
8.2
on lin ec
om
Een Virtual Private Network (VPN) is een privaat communicatiekanaal welke functioneert als een koepel boven op een publieke infrastructuur, meestal het Internet. De te verzenden data via deze dienst wordt zodanig beveiligd dat de integriteit, autorisatie en authenticiteit van de data gewaarborgd blijft. De eindgebruikers zullen in principe niet merken dat er een VPN gebruikt wordt. Er zijn verschillende protocollen die deze dienst beschikbaar maken.
Internet Protocol Security, IPsec
IPsec, Internet Protocol Security, is het meest geïmplementeerde VPN protocol. IPsec maakt encryptie van de data tussen twee communicatiepartners mogelijk. IPsec kan transparant geïmplementeerd worden in een netwerkinfrastructuur. IPSec (een acroniem voor Internet Protocol Security) is een suite van protocollen die er samen voor zorgen dat IP-pakketten beveiligd over een IP-netwerk verzonden kunnen worden. IP security biedt internetgebruikers dus de mogelijkheid om op een beveiligde manier data te verzenden. De suite van protocollen verzorgt daarvoor de volgende diensten, die tijdens het verzenden van een IP datapakket actief zijn:
• Integriteit: het protocol biedt de garantie dat het verzonden pakket tijdens het transport niet door derden veranderd is.
• Authenticatie: het protocol legt de identiteit van de communicatiepartijen vast. Tijdens een beveiligd transport van data moet gegarandeerd worden dat de beoogde partij voor ontvangst van het datapakket ook daadwerkelijk de partij is, die het ontvangt.
• Ontvangstbevestiging: het protocol toont aan dat wanneer er een transport van gegevens heeft plaatsgevonden de ontvangende partij dit niet kan ontkennen.
VPN
100
• Confidentialiteit: het protocol zorgt voor de daadwerkelijke beveiliging van de gegevens
s.
co
m
en garandeert de afzender dat alleen de ontvangende partij het bericht kan lezen.
nt
Figuur 8.1: Internetwerken
om
po
ne
Het protocol wordt vooral ingezet bij het verzenden van informatie via publieke verbindingen en voorkomt zogenaamde ’Man in the middle attacks’ en ’Spoofing’. Het maakt daarbij gebruik van het zogenaamde IKE-protocol (Internet Key-Exchange) waarmee de partijen worden geïdentificeerd die een verbinding tot stand willen brengen. Vervolgens wordt een verbinding opgebouwd en wordt de te verzenden data door middel van encryptie beveiligd.
on lin ec
Encryptie wordt bij tal van protocollen gebruikt om geheimhouding van data te realiseren. Bij encryptie zal de data getransformeerd worden naar een onleesbare vorm, de zogenaamde cyphertekst. Door middel van een sleutel kan de ontvanger dan een omgekeerde transformatie uitvoeren (decryptie) waardoor de tekst terug leesbaar wordt. De meest performante encryptietechnieken vandaag de dag zijn 3DES en AES. AES heeft altijd de voorkeur vanwege haar sterkere crypto eigenschappen t.o.v. 3DES. 3DES is verouderd en mag alleen gebruikt worden als er geen mogelijkheden zijn om AES te gebruiken. IPSec ondersteunt beveiliging vanaf de derde laag van het OSI-model, namelijk de netwerklaag. Hierdoor kan het gebruikt worden door zowel TCP als UDP maar het levert wel overhead op ten opzichte van bijvoorbeeld SSL dat op hogere OSI-niveaus werkt (en geen UDP kan beveiligen). De standaard is door het IETF vastgelegd in RFC’s 2401-2412, optioneel voor IPv4 en verplicht bij IPv6. Het protocol is als volgt opgebouwd:
• Authentication Header (AH): checksumcontrole over het gehele IP-pakket. • Encapsulating Security Payload (ESP): waakt tegen Man-in-the-middle-aanval aanvallen.
• IP payload compression (IPcomp): compressie op de payload van het IP-pakket voordat de encryptie plaatsvindt.
• Internet Key Exchange (IKE): assisteert bij het opbouwen van de verbinding door veilig de sleutels/certificaten over te brengen.
VPN
101
IPsec bestaat in twee varianten:
• Transport: versleutelt de inhoud (payload) van het IP-pakket, maar niet de header. In deze mode wordt er geen nieuw IP-pakket gemaakt, maar worden de headers (AH of ESP of allebei) in het IP-pakket gestopt. De bron- en doeladressen blijven ongewijzigd.
• Tunnel: versleutelt zowel de inhoud van het IP-pakket als de header.In deze mode wordt het complete IP-pakket in een compleet nieuw IP-pakket gestopt. Het IP-pakket heeft als bron- en doeladres het begin- en eindpunt van de tunnel.
VPN implementaties
m
8.3
po
ne
nt
s.
co
VPN kan op drie verschillende manieren geïmplementeerd worden. 1. Security gateway to Security gateway
om
Figuur 8.2: Internetwerken
on lin ec
2. Host to security gateway
Figuur 8.3: Internetwerken
3. Host to Host gateway
VPN
102
on lin ec
om
po
ne
nt
s.
co
m
Figuur 8.4: Internetwerken
Hoofdstuk 9
Bedrijfsnetwerk
s.
9.1
co
m
Automatiseringsnetwerken & Security
on lin ec
om
po
ne
nt
Een bedrijfsnetwerk is het geheel van servers, computers en systemen om de algemene werking van het bedrijf op IT-niveau mogelijk te maken. Ethernet TCP/IP is al jarenlang de standaard voor het uitwerken van IT-netwerken in kantoren en bedrijven. Een bedrijfsnetwerk is in zijn eenvoudigste vorm aan het Internet gekoppeld via een router en een firewall. Grotere bedrijfsnetwerken voorzien aanvullend een DMZ, dit is een gedeelte van het netwerk waarbinnen publieke servers staan (mailserver, webserver, DNS server, ...).
Figuur 9.1: Een bedrijfsnetwerk
Een router is in zijn eenvoudigste vorm een toestel dat communicatie tussen twee netwerken mogelijk maakt. Hier concreet langs de ene kant het bedrijfsnetwerk (LAN), langs de andere zijde het Internet (WAN). Firewalls worden gebruikt om ongewenste communicatie te blokkeren, waarbij IP pakketten volgens door de gebruiker vastgelegde regels gefilterd worden. Zowel inkomende als uitgaande communicatie kan daarbij geblokkeerd worden. De filtercriteria kunnen IP adressen, poortnummers of bepaalde protocollen zijn die naar keuze kunnen geblokkeerd of vrijgeven worden.
Automatiseringsnetwerken & Security
9.2
104
Automatiseringsnetwerk
9.2.1
Automatiseringscel
Een automatiseringscel is het geheel van PC’s, dataservers, controllers, IO devices, sensoren en actoren welke nodig zijn om de verschillende functionaliteiten van een automatiseringsconcept uit te voeren. Een automatiseringsproject is het geheel van
• Productielijnen en procesinstallaties
m
• PLC systemen (Progammeerbare Logic Controllers)
co
• ESD systemen (Emergency Shut Down and Safaty Controllers) • DCS systemen (Process and distributed Control Systems)
s.
• SCADA systemen (Supervisory Control and Data Acquisition)
on lin ec
om
po
ne
nt
Switches zijn de structuurelementen waarmee een volledige automatiseringscel verder opgebouwd wordt. Door de combinatie van verschillende topologieën en media wordt een flexibel, veilig en beheersbaar netwerk op basis van Ethernet TCP/IP uitgebouwd op de industriële werkvloer.
Figuur 9.2: Verschillende topologieën in een automatiseringscel
Belangrijke segmenten worden via switches in een redundante ring met elkaar verbonden. In bepaalde deelsegmenten worden netwerkdeelnemers in ster verbonden via switches (zoals in normale IT-netwerken). Waar mogelijk wordt een lijnstructuur toegepast om deelnemers met elkaar te verbinden. Om een lijnstructuur mogelijk te maken is het noodzakelijk dat alle IO-devices standaard voorzien zijn van een geïntegreerde switch.
9.2.2
Automatiseringsnetwerk
Een automatiseringsnetwerk bestaat uit één of meerdere automatiseringscellen. wordt iedere cel gescheiden door een router.
Hierbij
105
s.
co
m
Automatiseringsnetwerken & Security
nt
Figuur 9.3: Automatiseringsnetwerk
ne
Bekabeling en connectoren in een automatiseringsnetwerk
po
De uitbouw en de bekabeling gekend van de kantooromgeving kunnen niet onbeperkt in ruwe industriële omgevingen toegepast worden.
on lin ec
om
Kabels, connectoren en infrastructuurelementen moeten afgestemd zijn op de productieomgeving waar belastingen als vocht, grote temperatuursvariaties, schokken of trillingen kunnen optreden. Deze onderdelen, connectoren en kabels, moeten voldoen aan de kwaliteitseisen van de industrie. Dit is de eerste stap naar een betrouwbaar automatiseringsnetwerk. Het is belangrijk dat alle Ethernetkabels op een eenvoudige manier op de werkvloer kunnen geconfigureerd worden. Het is aanbevolen om eerst de bekabeling uit te voeren en pas nadien de Ethernetconnectoren aan te brengen. Gebruik van switches
Als structuurelementen worden uitsluitend switches gebruikt. De opbouw van het netwerk is belangrijk om de netwerkbelasting te optimaliseren. Deze mag nooit hoger zijn dan 60% van de volledige netwerkcapaciteit. Voor de opbouw van een redundante ringstructuur moeten de switches RSTP ondersteunen. Voor het beheer en diagnose van het netwerk moeten switches binnen de verschillende automatiseringscellen volgende protocollen ondersteunen:
• Webbased management, voor een snelle en duidelijke configuratie • SNMP, voor toesteldiagnose • LLDP, voor controle en diagnose van de netwerktopologie • VLAN, voor een gestructureerde opsplitsing van het netwerk
Automatiseringsnetwerken & Security
106
Switches moeten de mogelijkheid bieden om bij verschillende gebeurtenissen SNMP trap meldingen te versturen of een alarm contact in te schakelen. Voor de eenvoudige configuratie van nieuwe toestellen wordt een smart memory plug gebruikt. Een andere belangrijke stap in een beveiligd netwerk is het gebruik van VLAN.
9.2.3
Koppeling van een automatiseringsnetwerk aan een bedrijfsnetwerk
9.3.1
co
Noodzaak aan beveiliging Inleiding
s.
9.3
m
De koppeling van een automatiseringsnetwerk met het bedrijfsnetwerk gebeurt door middel van een router. Deze router zorgt voor een ideale scheiding tussen de twee netwerken welke totaal verschillende vereisten hebben. Deze router moet een open doch sterk beveiligde communicatiestructuur tussen het bedrijfsnetwerk en het automatiseringsnetwerk mogelijk maken.
ne
nt
Automatiseringsnetwerken zijn tot op heden meestal geïsoleerde netwerken met controllers en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen. De productieafdeling is meestal zelf verantwoordelijk voor de industriële communicatie. Security is zelden een aandachtspunt.
om
po
Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken gebaseerd op Ethernet TCP/IP. Hierdoor wordt de IT-afdeling medeverantwoordelijk voor de industriële communicatie. Security wordt een belangrijk aandachtspunt.
on lin ec
Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling. Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen tegen de gevaren die al jaren gekend zijn in de IT-wereld.
9.3.2
Bewustwording
Het bewustzijn en de kennis om het kantoornetwerk te beveiligen is heden ten dage heel sterk aanwezig. Het is standaard geworden om een firewall te plaatsen tussen het kantoornetwerk en het Internet aangevuld met een aantal bijkomende beveiligingsmaatregelen. Hiermee is het kantoornetwerk goed beveiligd. Op productieniveau is dit bewustzijn en deze kennis nog niet zo sterk aanwezig. Volgende vragen zijn op de werkvloer dan ook voor de hand liggend:
• Is de productie IT wel zo kwetsbaar dat beveiliging zich opdringt? • En als het bedrijfsnetwerk goed beveiligd is, kan er toch niets fout gaan? • Welke niet-geautoriseerde persoon gaat zich nu bezighouden met het hacken van de productieapparatuur en de fabriek stilleggen?
• Daarenboven draaien er toch binnen de industriële IT totaal andere protocollen op het systeem dan de gekende Microsoft-protocollen. Hierdoor zijn productienetwerken toch minder gevoelig voor aanvallen van de buitenwereld?
Automatiseringsnetwerken & Security
107
Dit laatste was vroeger correct, maar er is een evolutie naar het gebruik van open systemen zoals op Windows gebaseerde software-applicaties en protocollen zoals HTTP, FTP, of DCOM (gebruikt in OPC) tot op PLC niveau. Deze open systemen zijn virus gevoelig en kunnen zorgen voor het blokkeren van de PLC.
m
Enerzijds situeren de problemen op de industriële werkvloer zich zozeer rond het opzettelijk hacken maar eerder rond toevallige fouten binnen de productie. Bijvoorbeeld kabels die uitgetrokken of verkeerd ingeplugd worden. Productiestilstand of erger kan het gevolg zijn van het gebruik van een USB-stick die een virus bevat en welke ingeplugd wordt in een PC die met een machine verbonden is. Dataverkeer vanuit het kantoornetwerk kan zorgen voor delays op het productienetwerk.
ne
nt
s.
co
Anderzijds mag niet uitgesloten worden dat er misbruik kan gemaakt worden van de data die gehackt wordt. Het bedrijf kan gechanteerd worden om het zo te treffen. Recente studies tonen een evolutie aan op het gebied van industriële security incidenten. De meer accidentele gebeurtenissen worden meer en meer aangevuld met externe incidenten zoals virussen, trojan horses, systeem hacking, sabotage,... . Hackers krijgen meer en meer kennis van besturingssystemen en SCADA applicaties. Hackers doen het heden minder voor de fun maar meer en meer in het kader van de georganiseerde misdaad om een bepaald bedrijf te chanteren.
9.3.3
po
Beveiligen wordt een must.
Doelstelling van security
om
De hoofddoelstellingen van security zijn drieledig:
• Betrouwbaarheid (confidentiality): zekerheid dat gegevens niet terecht komen bij der-
on lin ec
den.
• Juistheid van de gegevens (Integrity): bescherming van de gegevens tegen ongewenste aanpassingen of tegen het vernietigen ervan.
• Beschikbaarheid (availability): resources zijn beschikbaar en functioneren correct op het ogenblik dat ze dit moeten doen.
Veiligheid zal dus het voorkomen zijn dat iemand ongewenst in het systeem komt, dat het systeem ten aller tijden normaal blijft functioneren en dat alle gegevens in het systeem op een betrouwbare manier kunnen verhandeld worden.
9.3.4
Security in de kantoorwereld versus security in de automatiseringswereld
Inleiding Door de integratie van open systemen kan de indruk ontstaan dat de security problemen binnen de productiewereld op te lossen zijn door de aanpak binnen de kantoorwereld over te nemen. Er zijn echter belangrijke verschillen tussen beide domeinen. De kantoor IT is niet dezelfde als de productie IT. Er moet nagegaan worden wat er uit de kantoor IT al dan niet kan gebruikt worden in de productie IT. Er is een standaard in ontwikkeling, de ANSI/ISA99, om het wat, hoe en waarom van security in de automatiseringswereld volledig te beschrijven.
Automatiseringsnetwerken & Security
108
Hoofddoelstelling security Vooreerst is er een belangrijk verschil in de hoofddoelstelling van security. In de kantoorwereld is het hoofddoel van security altijd het op een vertrouwelijke manier verhandelen van data en gegevens. In de automatiseringswereld zal het hoofddoel van security altijd de beschikbaarheid van het productiesysteem zijn. Netwerkprestaties
s.
co
Kantoornetwerk Niet real-time Respons moet betrouwbaar zijn Hoge throughput gewenst Grote vertraging en jitter mag
nt
Automatiseringsnetwerk Real-time Respons is tijdskritisch Matige throughput aanvaardbaar Grote vertraging is een probleem
m
Beide domeinen hebben totaal verschillende prestatievereisten. Een overzicht:
po
ne
Hierdoor is het belangrijk om de impact van security technologieën op de performantie van het systeem goed te kunnen inschatten alvorens deze geïmplementeerd worden. Zo wordt in de kantoorwereld veel encryptie toegepast. Encryptie komt echter de real-time werking niet ten goede.
om
Betrouwbaarheid van een netwerk
Ook de vereisten naar betrouwbaarheid zijn voor beide domeinen verschillend. Een overzicht:
on lin ec
Automatiseringsnetwerk Continue operaties Stroomonderbrekingen niet toegelaten Verondersteld getest voor de implementatie Formele certificatie is verplicht bij aanpassingen
Kantoornetwerk Geplande operaties Onderbrekingen toegelaten Beta testen ter plaatse toegelaten Weinig papierwerk bij aanpassingen
Het installeren van een nieuw service pack is hier een mooi voorbeeld van. In de kantoorwereld is dit een normale zaak, in de industriële wereld is de installatie van een service pack zeker niet evident en in bepaalde industriële takken niet toegelaten. Verschillende risico opvatting Automatiseringsnetwerk Menselijke veiligheid Risico impact is verlies van leven, product of toestel Fout tolerantie is essentieel
Kantoornetwerk Data integriteit Risico impact is verlies van data, bedrijfsoperaties Heropstart via reboot
Verder zijn er in de automatiseringsnetwerken de kritische reactietijden op menselijke interventies. Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd worden door paswoordbeveiligingen.
Automatiseringsnetwerken & Security
109
Verschillende security architectuur In de kantoor IT zijn de centrale servers de meest kritische toestellen om te beveiligen. Bij de productie IT is het eindtoestel, zoals de PLC, het meest kritische toestel en niet de centrale dataserver met de historische data van het proces. Besluit
ne
nt
s.
co
m
De klassieke firewall beschermt tegen hackers, wormvirussen en spyware. Het zijn softwareprogramma’s die het netwerk of de specifieke computer beschermen tegen de buitenwereld en enkel vertrouwde boodschappen doorlaten. Eén van de doelen is alle verdachte programma’s die vanuit de eigen locatie verbinding zoeken met het Internet te blokkeren. Aanvullend in de kantoor IT zijn er de zogenaamde antivirusprogramma’s, anti-spyware en anti-adware-programma’s die elk binnenkomend bestand tegenhouden, controleren op de aanwezigheid van in databases opgeslagen bedreigingen en deze dan clean verklaren of in quarantaine plaatsen. Ook screenen ze alle opgeroepen files op de aanwezigheid van in de database opgenomen virussen, spyware en adware. Het principe van deze IT-bescherming is dat de firewall al het inkomend en uitgaand dataverkeer, alle datafiles, programma’s,... bekijkt en analyseert. Dergelijke firewalls vertragen het systeem en indien nodig hinderen ze de werking van het programma.
on lin ec
om
po
Om een meer industriële firewall te realiseren, zullen in de eerste plaats technieken gebruikt worden om geen vertraging op te lopen en toch de veiligheid en betrouwbaarheid van de data te garanderen. Men kan daarbij gebruik maken van veilige communicatiekanalen tussen bijvoorbeeld PLC en de bedieningscomputer of dataservers. Om real-time werking te verzekeren mag er geen vertraging optreden bij het controleren van de data die de firewall passeert.Er zullen andere technologieen moeten toegepast worden. Een mogelijkheid is om niet niet de eigenlijke data maar eeder de toegepaste protocollen te controleren.
9.3.5
Standaardisatie omtrent security in automatiseringsnetwerken
Inleiding
ANSI/ISA 99 geeft richtlijnen bij het uitvoeren van een risico-inventarisatie, het opstellen van een zogenaamd cyber security beleid en het uitvoeren van dat beleid. De standaard is opgesteld in samenwerking met eindgebruikers, systeemintegratoren en leveranciers. De ANSI/ISA 99 norm is in volle ontwikkeling. Momenteel zijn er 2 delen beschikbaar. Figuur 9.4 toont een overzicht van de ISA 99 standaard. Bedoeling is dat deel 1 een raamwerk wordt rond alle andere delen. Momenteel zijn enkel deel 1 en deel 2.01 beschikbaar. Deel 1 (ANSI/ISA report TR99.00.01- 2007) Dit eerste deel heeft als title : ’Security for Industrial Automation and Control Systems’, de laatste versie dateert van 29 oktober 2007. Het Beschrijft security technologieën welke heden beschikbaar zijn voor industriële productie en controle systemen. In dit deel worden technologieën zoals authenticatie en autorisatie, firewalls, VPN,... besproken. Authenticatie is het proces om gebruikers, toestellen, applicaties, resources positief te kunnen herkennen. Authenticatie kan gebeuren aan de hand van iets wat gekend is (pincode,
110
co
m
Automatiseringsnetwerken & Security
s.
Figuur 9.4: De ANSI/ISA 99 standaard
ne
nt
paswoord,...) , iets wat in bezit is (sleutel, intelligente kaart, dongle,...) iets fysisch (vingerafdruk,... ). Hierbij moet onderscheid gemaakt worden tussen 2 verschillende authenticaties: user authenticatie en netwerk service authenticatie.
po
Deel 2 (ANSI/ISA report TR99.00.02- 2004)
on lin ec
om
Oorspronkelijk had het tweede deel als titel : Integrating Electronic Security into the Manufacturing and Control Systems Environment. Het oorspronkelijke deel 2 en deel 3 worden nu uiteindelijk samengebracht tot deel 2. Deel 2 zal dan uit twee onderdelen bestaan. Het eerste deel ISA 99 part 2.01, is klaar en krijgt als titel ’Establishing an Industrial Automation and Control Systems Security Program’. Bedoeling is de bedrijven te ondersteunen bij het opstellen van een security management plan. De basis van dergelijk plan is om alle mogelijke risico’s in kaart te brengen en vervolgens een aantal oplossingen te formuleren. ISA 99 part 2.02 zal beschrijven hoe dergelijk security plan moet uitgevoerd worden.
Deel 4
In deel 4 zullen de eisen welke gesteld worden aan apparatuur en systemen beschreven worden opdat deze zouden voldoen aan de ISA 99 standaard.
9.3.6
Een veiligheidsprogramma
Het uitwerken van een veiligheidsplan is meer dan alleen maar aandacht hebben voor technische oplossingen zoals firewalls en encryptie van data. Verschillende menselijke factoren kunnen bijdragen tot een succesvolle implementatie van een CSMS (Cyber Security Management System). Verschillende aandachtspunten welke kunnen leiden tot een succesvolle integratie:
• Een veiligheidsbeleid moet volledig passen in het bedrijfsbeleid • Het veiligheidsprogramma moet passen in de bedrijfscultuur
Automatiseringsnetwerken & Security
111
• Ondersteuning en engagement van het bedrijfsmanagement • Duidelijke budgettering van security management acties • Scheiden van de functionaliteiten: indien een productieverantwoordelijke ook verantwoordelijk is voor security dan komt security vaak op de tweede plaats.
• Activiteiten en opleidingen organiseren voor alle werknemers • Richtlijnen verspreiden onder alle werknemers •
m
Security in de praktijk
co
9.4
s.
Security betekent eigenlijk de machine, de productie of het proces beschermen tegen bepaalde menselijke activiteiten. Menselijke activiteiten kunnen onbewust of doelbewust ervoor zorgen dat er productiestilstand gecreëerd wordt.
ne
nt
Om security toe te passen is er niet één regel maar moeten verschillende concepten er toe leiden dat menselijke fouten geminimaliseerd worden of dat personen met slechte intenties afgeschrikt worden om misbruik te maken van de beschikbare data.
Laag 1 security
om
9.4.1
po
Security op de werkvloer kan op verschillende niveaus geïntegreerd worden.
on lin ec
Een eerste stap in een goed beveiligd netwerk is de mechanische beveiliging van de netwerkkabels. Safe clips moeten vermijden dat netwerkkabels eenvoudig kunnen verwijderd worden uit een netwerkpoort. Ook de toegang tot vrije RJ45 poorten van de verschillende switches moet mechanisch bemoeilijkt worden om de toegang van ongewenste deelnemers te verhinderen. Figuur 9.5 toont de mogelijkheid om ongebruikte poorten te blokkeren of om Ethernet connectoren vast te zetten.
Figuur 9.5: Laag 1 security
9.4.2
Laag 2 security
Een tweede stap bij het beveiligen van een netwerk is het gebruik van de beschikbare software voor het managen van switches. Switches moeten de mogelijkheid bieden om enkele belangrijke beveiligingen in te stellen:
• Webbased management moet paswoord beveiligd zijn.
Automatiseringsnetwerken & Security
112
• Er moet de mogelijkheid zijn om op basis van IP-adressen verschillende rechten toe te kennen (read-only of read-write beveiliging).
• Switches moeten de mogelijkheid bieden om verschillende beveiligingen per poort in te stellen. Zo moet per poort een lijst van toegelaten MAC adressen ingesteld kunnen worden.
9.4.3
Laag 3 security
m
De belangrijkste stap bij het beveiligen van een automatiseringsnetwerk is het scheiden van verschillende segmenten door een security module. Een security module is een router met volgende mogelijkheden:
• NAT en 1:1 NAT: het toepassen van NAT zorgt reeds voor een vertaling van IP adressen.
co
Hierdoor is het voor een buitenstaander al moeilijker om de toegepaste IP adressering op het netwerk te achterhalen.
s.
• Geïntegreerde stateful inspection firewall.
on lin ec
om
po
ne
• Ondersteuning van VPN technologie.
nt
• User firewall: individuele rules voor verschillende gebruikers.
