of 56/56
1 Mreže računala Mrežni sloj Interneta Stjepan Groš

Ethernet lokalna mreža - zemris.fer.hr · Mreže računala Virtualne privatne mreže (1) •Ostvariti privatnu mrežu nad nekom postojećom mrežom. • Virtualna budući da ne postoji

  • View
    4

  • Download
    0

Embed Size (px)

Text of Ethernet lokalna mreža - zemris.fer.hr · Mreže računala Virtualne privatne mreže (1)...

  • 1

    Mreže računala

    Mrežni sloj InternetaStjepan Groš

  • 222Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 333Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 444Mreže računala

    IPv6

    • IPv6 adresa je dodijeljena sučeljima• Eksplicitna napomena, za razliku od IPv4

    • Vrste adresa• Unicast

    • Paket poslan na neku adresu iz ovog skupa isporučit će se sučelju s navedenom odredišnom adresom

    • Multicast• Paket poslan na neku adresu iz ovog skupa isporučit će

    sučelju svim sučeljima koji pripadaju adresiranoj grupi

    • Anycast• Paket poslan na neku adresu iz ovog skupa isporučit će se

    samo jednom sučelju u grupi sučelja

  • 555Mreže računala

    IPv6

    • Novi način raspodjele IPv6 adresa• RFC4291, veljača 2006.• Podjela navedena na slajdovima 6/108 i 6/109 više ne

    vrijedi!

    • Podjela adresnog prostora• Nespecificirana adresa ::/128• Loopback adresa ::1/128• Difuzija u grupi FF00::/8• Link lokalne adrese FE80::/10• Globalne unicast adrese Sve ostalo

  • 666Mreže računala

    IPv6

    • Kreiranje identifikatora sučelja• Za svaku lokalnu mrežu definirano zasebno

    • U dokumentima IP over XYZ

    • Primjer za IEEE802.3 adrese [RFC2464]Uzmemo MAC adresu sučelja

    00:50:56:c0:00:01U sredini se ubaci FF FE (između IEEE globalnog i lokalnog dijela)

    00:50:56:ff:fe:c0:00:01 (EUI-64)Invertira se globalni bit

    02:50:56:ff:fe:c0:00:01 (Modificirani EUI-64)To se prepiše u grupe po 16 bitova (dobijamo ID sučelja)

    0250:56ff:fec0:1Ubacujemo ga u link local mrežu

    fe80::250:56ff:fec0:1

  • 777Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 888Mreže računala

    Temeljni koncepti

    • Pravila za izradu novih protokola• Liberalan kod primanja i konzervativan kod slanja• Koristiti verzije protokola u PDU-ovima• Rezervirana polja kod primanja ignorirati, a kod slanja

    postaviti na neku predefiniranu vrijednost

    • “End-to-end design principle”• Funkcionalnost smjestiti izvan mreže

    • Mreža je jednostavnija te jeftinija i lakša za nadograditi• Općenitost mreže omogućava uvođenje novih aplikacija• Aplikacije ne ovise o ispravnosti nečega u mreži što efektivno

    povećava njihovu pouzdanost

    • Iznimka su optimizacije

  • 999Mreže računala

    “Middleboxes” (1)

    • Bilo koji uređaj koji obavlja nekakve funkcije nad paketima mimo standardnog usmjeravanja prilikom njihova putovanja od izvorišta do odredišta [RFC3234]

    • Ukratko: nikada nije konačno odredište paketa!

    • Problemi uređaja• mogu uzrokovati probleme s postojećim protokolima• uvode nove kritične točke• konfiguracija više nije samo na krajnjim točkama• pri pojavi problema teže je dijagnosticirati uzroke

  • 101010Mreže računala

    “Middleboxes” (2)

    • Primjeri uređaja• NAT, NAT-PT, SOCKS• Tuneli

    • Problemi s TTL-om, MTU-om, imaju “krivo odredište”

    • IP vatrozid• Aplikacijski vatrozid

    • Transparentni i netransparentni• Web posrednik (proxy), SMTP posrednik (proxy)

    • Priručne memorije (caches)• Modificirani DNS poslužitelji

  • 111111Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 121212Mreže računala

    Arhitektura Interneta

    • Autonomni sustavi (AS)• Ponekad se nazivaju i domene• Administrativno jedinstveni• Mogu biti tranzitni, ili krajnji (stub)• Koriste različite protokole usmjeravanja

    • Internet je skup autonomnih sustava• Izrazito nepravilna povezanost• BGP algoritam se koristi za razmjenu ruta između AS-

    ova

  • 131313Mreže računala

    Protokoli usmjeravanja na Internetu

    • Podjela protokola za usmjeravanje• usmjeravanje unutar domene (intradomain)• usmjeravanje između domena (interdomain)

    • Protokoli usmjeravanja unutar domena• RIP (jako rijetko)• Open Shortest Path First (OSPF)• Intermediate Sysem to Intermediate System (IS-IS)

    • Protokol usmjeravanja između domena• Border Gateway Protocol (BGP), verzija 4

  • 141414Mreže računala

    Open Shortest Path First (1)

    • Internet standard! (RFC2328)• Trenutno aktualna verzija 2• Za IPv6 koristi se posebna verzija (OSPFv3)

    • Dinamički algoritam stanja veze• Razvijen kao zamjena za RIP• Koristi direktno IP za prijenos podataka

    • Dominantan protokol za usmjeravanje unutar domena

    • IS-IS vrlo jaka konkurencija

  • 151515Mreže računala

    Open Shortest Path First (2)

    • Prednosti• Nema ograničenja na broj skokova u mreži• Vrlo brza propagacija promjena u mreži• Omogućava podjelu mreža u područja

    • Mogućnost ostvarivanja hijerarhijske organizacije mreže

    • U stacionarnom stanju troši izuzetno malo resursa• Otvoren standard bez patentnih i sličnih problema

  • 161616Mreže računala

    Open Shortest Path First (3)

    • Nedostaci• Relativno složen protokol• Računski zahtjevan• Korištenje područja može biti problematično

    • To je i prednost i mana

    • Ako je određeni link nestabilan OSPF promet može zagušiti mrežu svojim prometom

  • 171717Mreže računala

    Open Shortest Path First (4)

    • Osnovni pojmovi• Veza (Link) – sučelje na usmjerniku• Stanje veze (Link state) – opis sučelja i susjednih

    usmjernika• Baza stanja veza (Link state database) – skup svih

    stanja veza u mreži

    • Način rada• Svaki usmjernik generira stanja svih svojih veza• Algoritmom preplavljivanja šalje te podatke svim

    ostalim usmjernicima• Svi usmjernici računaju najkraće staze na osnovu tih

    podataka

  • 181818Mreže računala

    Open Shortest Path First (5)

    • Tipovi paketa koje šalju OSPF usmjernici• HELLO poruke

    • Sadrže popis susjeda usmjernika koji šalje paket

    • LSA poruke• Svaki LSA ima slijedni broj i starost kako bi se lakše odredile

    novije verzije• Router LSA, Network LSA, ...

    • Poseban problem višepristupne mreže• Potencijalno velik broj LSA-ova• Na višepristupnim mrežama biraju se odabrani

    usmjernik (Designated Router) i pomoćni odabrani usmjernik (Backup Designated Router)

  • 191919Mreže računala

    Border Gateway Protocol – BGP (1)

    • Vrlo bitan protokol Interneta• Razmjena informacija između autonomnih sustava• Trenutno u verziji 4

    • Klasa Path Vector protokola usmjeravanja• Sličan protokolima usmjeravanja vektorom udaljenosti,

    ali sa sobom nosi kompletan put

    • Glavna metrika za rad protokola: POLITIKA• Iz toga proizlazi dobar dio problema Interneta

    • Prijenos podataka upotrebom protokola TCP• Pristup 179 je rezerviran za BGP

  • 202020Mreže računala

    Border Gateway Protocol – BGP (2)

    • Po uspostavi veze razmjena informacija• Četiri vrste poruka: OPEN, UPDATE, KEEPALIVE,

    NOTIFICATION• Razmjena kompletnih tablica usmjeravanja• Potom razmjena samo razlika

    • Osnovna jedinica usmjeravanja put (path)• Svi putevi sadrže dodatne atribute• Dva najbitnija atributa su AS_PATH i NEXT_HOP• AS_PATH sadrži popis autonomnih sustava kroz koji s

    prolazi od odredišta • Služi za detekciju petlji!

  • 212121Mreže računala

    Border Gateway Protocol – BGP (3)

    • Podjela veza između usmjernika po funkciji• Interni BGP (iBGP)

    • Veza dva BGP usmjernika unutar istog autonomnog sustava

    • Eksterni BGP (eBGP)• Veza dva BGP usmjernika koji pripadaju različitim

    autonomnim sustavima

  • 222222Mreže računala

    Primjer razmjene dostižnosti

    • Primjer razmjene informacije o dostižnosti puta i detekcija petlje

  • 232323Mreže računala

    Pregled stanja usmjernika na Internetu

    • Pristup “pravom” usmjerniku• Usluga pod imenom “route-view”, “looking glass”, ...• Omogućen pristup usmjerniku i pregled njegovog

    statusa

    • Primjer: route-views.oregon-ix.net• Pristupa se telnet protokolom!• Usmjernik serije Cisco 7200• Korisničko ime: rviews• Ispis BGP staza

    sh ip bgp all

  • 242424Mreže računala

    Rast Interneta (1)

    • Primjer poblema: rast Interneta• Izvor: http://bgp.potaroo.net/

  • 252525Mreže računala

    Rast Interneta (2)

    • Bitni parametri za usmjernike• Broj staza u tablicama usmjeravanja• Prosječna duljina prefiksa• Broj autonomnih sustava

    • Optimiranje usmjernika vrši se na osnovu tih parametara

    • Primjerice, na osnovu očekivane duljine prefiksa izrađuju se algoritmi za pretraživanje tablica

    • Usmjernici u DFZ-u su vrlo skupi• Kod nabavke planira se nekoliko godina unaprijed

  • 262626Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 272727Mreže računala

    Multi Protocol Label Switching (1)

    • Problemi mrežnog sloja Interneta• Neefikasno proslijeđivanje

    • Izrazit problem jezgra Interneta (Tier-1 NSP-ovi)

    • Teško ostvariti kvalitetu usluge• Potreba za boljim upravljanjem prometom

    • Traffic Engineering

    • ATM i mreže bazirane na virtualnim vezama nemaju navedene probleme

    • Ali imaju svoj skup problema!

    • Pokušaj rješavanja problema upotrebom hibrida

  • 282828Mreže računala

    Multi Protocol Label Switching (2)

    • Ideja• Svakom IP paketu dodati nekakvu oznaku i obavljati

    proslijeđivanje temeljeno na toj oznaci• Vrlo slično načinu na koji radi ATM

    • Oznaka se još naziva labela• Osim labele još neke informacije => MPLS Zaglavlje

    • Smještaj MPLS zaglavljaZaglavlje

    podatkovnog slojaMPLSSHIM

    Zaglavljemrežnog sloja Podaci mrežnog sloja

    • MPLS je efektivno 2.5 sloj

  • 292929Mreže računala

    Multi Protocol Label Switching (3)

    • Struktura MPLS zaglavlja

    Labela Exp.

    0 19

    BS

    22 23

    TTL

    31

    • MPLS zaglavlja, odnosno labele mogu se ulančavati

    • Polje BS, kada je postavljeno na 1 označava zadnju labelu

  • 303030Mreže računala

    Multi Protocol Label Switching (4)

    • Primjer osnovnih elemenata i usmjeravanja

  • 313131Mreže računala

    Osnovni elementi MPLS arhitekture (1)

    • LER (Label Edge Router)• Usmjernik na granici MPLS mreže• dodaje (ingress) ili uklanja (egress) labelu

    • LSR (Label Switching Router)• Usmjernik unutar MPLS mreže• Preklapa isključivo na osnovu labele

    • LSP (Label Switched Path)• Put koji prolazi paket kroz MPLS mrežu

  • 323232Mreže računala

    Osnovni elementi MPLS arhitekture (2)

    • LIB (Label Information Base)• Tablica koju svaki LSR koristi za proslijeđivanje paketa

    • LDP (Label Distribution Protocol)• Protokol za razmjenu labela• Definirane su i modifikacije “standardnih” protokola

    usmjeravanja koje omogućavaju razmjenu labela

    • FEC (Forward Equivalence Class)• Grupe kojima pripadaju svi paketi• Svaka grupa ima svoju labelu

  • 333333Mreže računala

    Generalized Multi Protocol Label Switching

    • MPLS je ograničen• Paketne mreže (Internet)• Prospajanje okvira (Frame Relay)• Prospajanje ćelija (ATM)

    • GMPLS je proširenje na• TDM mreže• Mreže s prospajanjem krugova• Mreže s prospajanjem valnih duljina (WDM)

    • Osnovni problem je kako napraviti upravljanje od kraja do kraja

  • 343434Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 353535Mreže računala

    Mobilnost (1)

    • Sve veća zastupljenost mobilnih uređaja• Velike mogućnosti (bežičnog) spajanja na Internet• Želimo biti uvijek spojeni na Internet• Ne želimo da nam veze “pucaju” kad prelazimo iz

    jedne mreže u neku drugu mrežu

    • Problem: višestruka funkcija IP adresa• Identifikator pojedinog uređaja (sučelja)• Položaj (mreža) u kojoj se uređaj trenutno nalazi!• Znanje o IP adresama je ugrađeno u sve više slojeve

    • Posebno je problematičan prijenosni sloj

  • 363636Mreže računala

    Mobilnost (2)

    • Vrste mobilnosti• Mikro mobilnost

    • Malo područje, česti prijelazi (handoff)

    • Makro mobilnost• Veliko područje, rjeđi prijelazi

    • Nomadičnost• Neaktivan tijekom kretanja

    • Celularna mobilnost• Aktivan tijekom kretanja

    • Pojam “Road warrior”

  • 373737Mreže računala

    Mobilnost (3)

    • Načini postizanja mobilnosti• Promijenimo IP adresu

    • Promjena identiteta!• Veze pucaju, moramo se ponovo spajati!

    • Zadržimo IP adresu• Moramo reći usmjernicima gdje se nalazimo• Problem: usmjernici ionako preopterećeni

    (Internet nije najstabilnije mjesto na svijetu)

    • Moguća rješenja• Razdvajanje funkcionalnosti IP adresa (radikalno)• Uvođenje posebnih protokola za postizanje mobilnosti

  • 383838Mreže računala

    Mobilni IP (1)

    • Zadržavanje stare IP adrese na novoj mreži• MIPv4 je protokol koji to omogućava za IPv4• MIPv6 je protokol koji to omogućava za IPv6

    • Temeljni pojmovi• MN (Mobile Node)• CoA (Care of Address)• HoA (Home Address)• CN (Correspondent Note)• HA (Home Agent)• FA (Foreign Agent)

  • 393939Mreže računala

    Mobilni IP (2)

    • Mobilna stanica u “domaćoj” mreži

  • 404040Mreže računala

    Mobilni IP (3)

    • Registracija mobilne stanice u stranoj mreži

  • 414141Mreže računala

    Mobilni IP (4)

    • Tok prometa od CN do mobilne stanice u stranoj mreži

  • 424242Mreže računala

    Mobilni IP (6)

    • Tok prometa od mobilne stanice u stranoj mreži do CN-a

  • 434343Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 444444Mreže računala

    Višepristupnost (1)

    • Višestruko “priključivanje” na Internet

    • Multihoming

    • Primjer ograničene višepristupnosti

    • Priključenje na jednog ISP-a• Nije problematično• Nije najpouzdanije

  • 454545Mreže računala

    Višepristupnost (2)

    • Daleko bolje je koristiti pristup na više ISP-ova

  • 464646Mreže računala

    Višepristupnost (3)

    • Prednosti• Sigurniji od ispada pojedinog ISP-a

    • Jako bitno za poslovanje

    • Moguć prelazak na novi ISP bilo kada• Cijene i mogućnosti variraju

    • Istovremeno korištenje svih linija prema Internetu• Veći kapacitet

  • 474747Mreže računala

    Višepristupnost (4)

    • Problemi• ISP-ovi dodjeljuju IP adrese i NSP-ovima šalju

    agregirane adrese• Problematično je blok adresa jednog ISP-a slati drugome• Radi se o vrlo verlikim mrežnim maskama (/28, /29)• Moguće je koristiti NAT, opet nije dobro...

    • Jedino kompletno rješenje• Alocirati AS broj i staviti BGP usmjernike• Ali, u jezgru Interneta se ubacuju preveliki prefiksi

    • U IPv6 je to zabranjeno

  • 484848Mreže računala

    Višepristupnost (5)

    • Trenutna rješenja• Više IP adresa po računalu• Manipulacija DNS poslužiteljima

    • Rješenja trenutno u razvoju• Sva rješenja pokušavaju razdvojiti uloge IP adrese• Primjeri: SHIM6, HIP, ...

  • 494949Mreže računala

    Sadržaj

    • IPv6• Neki temeljni koncepti i “Middleboxes”• Arhitektura Interneta i protokoli usmjeravanja• (G)MPLS• Mobilnost• Višepristupnost• Virtualne privatne mreže

  • 505050Mreže računala

    Virtualne privatne mreže (1)

    • Ostvariti privatnu mrežu nad nekom postojećom mrežom.

    • Virtualna budući da ne postoji kao zasebna mreža• Privatna jer se isključivo koristi za vlastite potrebe

    • Mnoštvo mogućih rješenja• Velika većina uključuje kriptiranje, ali ne sva• Moguće ih je ostvariti na različitim slojevima, primjerice

    • Aplikacijski sloj (SSL, SSH)• Mrežni sloj (MPLS, IPsec)

  • 515151Mreže računala

    Virtualne privatne mreže (2)

    • MPLS virtualne privatne mreže• Nema kriptiranja• Upotrebljavaju stog labela

    • IPsec virtualne privatne mreže• Arhitektura za ostvarivanje sigurnosti na Internetu

    • Definira ponašanje čvorova i protokole koje čvorovi koriste

    • Opcionalni protokoli u IPv4, obavezni u IPv6• Trenutno aktualna druga verzija

    • 12. mjesec 2005.

  • 525252Mreže računala

    IPsec arhitektura (1)

    • Definira ponašanje čvorova i način na koji obrađuju IP pakete [RFC4301]

    • Ponašanje definirano preko sljedećih baza• SPD (Security Policy Database)

    • Definira što se štiti• Sastoji se od zapisa

    • (traffic selector, akcija)

    • Selektori prometa biraju pakete na osnovu IP adresa, protokola prijenosnog sloja, pristupa, ...

    • Akcija je BYPASS, DISCARD, DROP

  • 535353Mreže računala

    IPsec arhitektura (2)

    • SAD (Security Association Database)• Definira kako se štiti• Kripto algoritmi i ključevi

    • PAD (Peer Authorization Database)• Definira tko smije čemu pristupati

  • 545454Mreže računala

    IPsec protokoli (1)

    • Dva protokola mrežnog sloja• ESP (Encaspulated Security Policy)

    • Obavezan protokol, služi za enkripciju

    • AH (Authenticated Header)• Neobavezan protokol, pruža dokaz autentičnosti

    • Dva načina rada• Prijenosni način rada: Ne mjenjaju se IP adrese iz zaglavlja• Tunel način rada: Vrši se pakiranje jednog IP paketa u drugi

    • IKEv2 (Internet Key Exchange v2)• Protokol za razmjenu ključeva

  • 555555Mreže računala

    Primjer upotrebe IPsec-a

    • Komunikacija klijenta i poslužitelja• Baza SAD prazna, SPD zahtijeva zaštićenu

    komunikaciju

    IKEv2

    Linux Kernel Linux Kernel

    Client IKEv2 Server

    1 2

    3

    4 4

    5

    6

    Initiator Responder

  • 565656Mreže računala

    Scenariji upotrebe IPsec-a

    • Između dva računala

    • Između dvije mreže

    • Između računala i mreže