56
1 Mreže računala Mrežni sloj Interneta Stjepan Groš

Ethernet lokalna mreža - zemris.fer.hr · Mreže računala Virtualne privatne mreže (1) •Ostvariti privatnu mrežu nad nekom postojećom mrežom. • Virtualna budući da ne postoji

  • Upload
    others

  • View
    25

  • Download
    0

Embed Size (px)

Citation preview

1

Mreže računala

Mrežni sloj Interneta

Stjepan Groš

222Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

333Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

444Mreže računala

IPv6

• IPv6 adresa je dodijeljena sučeljima• Eksplicitna napomena, za razliku od IPv4

• Vrste adresa• Unicast

• Paket poslan na neku adresu iz ovog skupa isporučit će se sučelju s navedenom odredišnom adresom

• Multicast

• Paket poslan na neku adresu iz ovog skupa isporučit će sučelju svim sučeljima koji pripadaju adresiranoj grupi

• Anycast

• Paket poslan na neku adresu iz ovog skupa isporučit će se samo jednom sučelju u grupi sučelja

555Mreže računala

IPv6

• Novi način raspodjele IPv6 adresa• RFC4291, veljača 2006.

• Podjela navedena na slajdovima 6/108 i 6/109 više ne vrijedi!

• Podjela adresnog prostora• Nespecificirana adresa ::/128

• Loopback adresa ::1/128

• Difuzija u grupi FF00::/8

• Link lokalne adrese FE80::/10

• Globalne unicast adrese Sve ostalo

666Mreže računala

IPv6

• Kreiranje identifikatora sučelja• Za svaku lokalnu mrežu definirano zasebno

• U dokumentima IP over XYZ

• Primjer za IEEE802.3 adrese [RFC2464]Uzmemo MAC adresu sučelja

00:50:56:c0:00:01

U sredini se ubaci FF FE (između IEEE globalnog i lokalnog dijela)

00:50:56:ff:fe:c0:00:01 (EUI-64)

Invertira se globalni bit

02:50:56:ff:fe:c0:00:01 (Modificirani EUI-64)

To se prepiše u grupe po 16 bitova (dobijamo ID sučelja)

0250:56ff:fec0:1

Ubacujemo ga u link local mrežu

fe80::250:56ff:fec0:1

777Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

888Mreže računala

Temeljni koncepti

• Pravila za izradu novih protokola• Liberalan kod primanja i konzervativan kod slanja

• Koristiti verzije protokola u PDU-ovima

• Rezervirana polja kod primanja ignorirati, a kod slanja postaviti na neku predefiniranu vrijednost

• “End-to-end design principle”• Funkcionalnost smjestiti izvan mreže

• Mreža je jednostavnija te jeftinija i lakša za nadograditi

• Općenitost mreže omogućava uvođenje novih aplikacija

• Aplikacije ne ovise o ispravnosti nečega u mreži što efektivno povećava njihovu pouzdanost

• Iznimka su optimizacije

999Mreže računala

“Middleboxes” (1)

• Bilo koji uređaj koji obavlja nekakve funkcije nad paketima mimo standardnog usmjeravanja prilikom njihova putovanja od izvorišta do odredišta [RFC3234]

• Ukratko: nikada nije konačno odredište paketa!

• Problemi uređaja• mogu uzrokovati probleme s postojećim protokolima

• uvode nove kritične točke

• konfiguracija više nije samo na krajnjim točkama

• pri pojavi problema teže je dijagnosticirati uzroke

101010Mreže računala

“Middleboxes” (2)

• Primjeri uređaja• NAT, NAT-PT, SOCKS

• Tuneli• Problemi s TTL-om, MTU-om, imaju “krivo odredište”

• IP vatrozid

• Aplikacijski vatrozid• Transparentni i netransparentni

• Web posrednik (proxy), SMTP posrednik (proxy)

• Priručne memorije (caches)

• Modificirani DNS poslužitelji

111111Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

121212Mreže računala

Arhitektura Interneta

• Autonomni sustavi (AS)• Ponekad se nazivaju i domene

• Administrativno jedinstveni

• Mogu biti tranzitni, ili krajnji (stub)

• Koriste različite protokole usmjeravanja

• Internet je skup autonomnih sustava• Izrazito nepravilna povezanost

• BGP algoritam se koristi za razmjenu ruta između AS-ova

131313Mreže računala

Protokoli usmjeravanja na Internetu

• Podjela protokola za usmjeravanje• usmjeravanje unutar domene (intradomain)

• usmjeravanje između domena (interdomain)

• Protokoli usmjeravanja unutar domena• RIP (jako rijetko)

• Open Shortest Path First (OSPF)

• Intermediate Sysem to Intermediate System (IS-IS)

• Protokol usmjeravanja između domena• Border Gateway Protocol (BGP), verzija 4

141414Mreže računala

Open Shortest Path First (1)

• Internet standard! (RFC2328)• Trenutno aktualna verzija 2

• Za IPv6 koristi se posebna verzija (OSPFv3)

• Dinamički algoritam stanja veze• Razvijen kao zamjena za RIP

• Koristi direktno IP za prijenos podataka

• Dominantan protokol za usmjeravanje unutar domena

• IS-IS vrlo jaka konkurencija

151515Mreže računala

Open Shortest Path First (2)

• Prednosti• Nema ograničenja na broj skokova u mreži

• Vrlo brza propagacija promjena u mreži

• Omogućava podjelu mreža u područja• Mogućnost ostvarivanja hijerarhijske organizacije mreže

• U stacionarnom stanju troši izuzetno malo resursa

• Otvoren standard bez patentnih i sličnih problema

161616Mreže računala

Open Shortest Path First (3)

• Nedostaci• Relativno složen protokol

• Računski zahtjevan

• Korištenje područja može biti problematično• To je i prednost i mana

• Ako je određeni link nestabilan OSPF promet može zagušiti mrežu svojim prometom

171717Mreže računala

Open Shortest Path First (4)

• Osnovni pojmovi• Veza (Link) – sučelje na usmjerniku

• Stanje veze (Link state) – opis sučelja i susjednih usmjernika

• Baza stanja veza (Link state database) – skup svih stanja veza u mreži

• Način rada• Svaki usmjernik generira stanja svih svojih veza

• Algoritmom preplavljivanja šalje te podatke svim ostalim usmjernicima

• Svi usmjernici računaju najkraće staze na osnovu tih podataka

181818Mreže računala

Open Shortest Path First (5)

• Tipovi paketa koje šalju OSPF usmjernici• HELLO poruke

• Sadrže popis susjeda usmjernika koji šalje paket

• LSA poruke• Svaki LSA ima slijedni broj i starost kako bi se lakše odredile

novije verzije

• Router LSA, Network LSA, ...

• Poseban problem višepristupne mreže• Potencijalno velik broj LSA-ova

• Na višepristupnim mrežama biraju se odabrani usmjernik (Designated Router) i pomoćni odabrani usmjernik (Backup Designated Router)

191919Mreže računala

Border Gateway Protocol – BGP (1)

• Vrlo bitan protokol Interneta• Razmjena informacija između autonomnih sustava

• Trenutno u verziji 4

• Klasa Path Vector protokola usmjeravanja• Sličan protokolima usmjeravanja vektorom udaljenosti,

ali sa sobom nosi kompletan put

• Glavna metrika za rad protokola: POLITIKA• Iz toga proizlazi dobar dio problema Interneta

• Prijenos podataka upotrebom protokola TCP• Pristup 179 je rezerviran za BGP

202020Mreže računala

Border Gateway Protocol – BGP (2)

• Po uspostavi veze razmjena informacija• Četiri vrste poruka: OPEN, UPDATE, KEEPALIVE,

NOTIFICATION

• Razmjena kompletnih tablica usmjeravanja

• Potom razmjena samo razlika

• Osnovna jedinica usmjeravanja put (path)• Svi putevi sadrže dodatne atribute

• Dva najbitnija atributa su AS_PATH i NEXT_HOP

• AS_PATH sadrži popis autonomnih sustava kroz koji s prolazi od odredišta

• Služi za detekciju petlji!

212121Mreže računala

Border Gateway Protocol – BGP (3)

• Podjela veza između usmjernika po funkciji• Interni BGP (iBGP)

• Veza dva BGP usmjernika unutar istog autonomnog sustava

• Eksterni BGP (eBGP)

• Veza dva BGP usmjernika koji pripadaju različitim autonomnim sustavima

222222Mreže računala

Primjer razmjene dostižnosti

• Primjer razmjene informacije o dostižnosti puta i detekcija petlje

232323Mreže računala

Pregled stanja usmjernika na Internetu

• Pristup “pravom” usmjerniku• Usluga pod imenom “route-view”, “looking glass”, ...

• Omogućen pristup usmjerniku i pregled njegovog statusa

• Primjer: route-views.oregon-ix.net• Pristupa se telnet protokolom!

• Usmjernik serije Cisco 7200

• Korisničko ime: rviews

• Ispis BGP staza

sh ip bgp all

242424Mreže računala

Rast Interneta (1)

• Primjer poblema: rast Interneta• Izvor: http://bgp.potaroo.net/

252525Mreže računala

Rast Interneta (2)

• Bitni parametri za usmjernike• Broj staza u tablicama usmjeravanja

• Prosječna duljina prefiksa

• Broj autonomnih sustava

• Optimiranje usmjernika vrši se na osnovu tih parametara

• Primjerice, na osnovu očekivane duljine prefiksa izrađuju se algoritmi za pretraživanje tablica

• Usmjernici u DFZ-u su vrlo skupi• Kod nabavke planira se nekoliko godina unaprijed

262626Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

272727Mreže računala

Multi Protocol Label Switching (1)

• Problemi mrežnog sloja Interneta• Neefikasno proslijeđivanje

• Izrazit problem jezgra Interneta (Tier-1 NSP-ovi)

• Teško ostvariti kvalitetu usluge

• Potreba za boljim upravljanjem prometom

• Traffic Engineering

• ATM i mreže bazirane na virtualnim vezama nemaju navedene probleme

• Ali imaju svoj skup problema!

• Pokušaj rješavanja problema upotrebom hibrida

282828Mreže računala

Multi Protocol Label Switching (2)

• Ideja• Svakom IP paketu dodati nekakvu oznaku i obavljati

proslijeđivanje temeljeno na toj oznaci

• Vrlo slično načinu na koji radi ATM

• Oznaka se još naziva labela

• Osim labele još neke informacije => MPLS Zaglavlje

• Smještaj MPLS zaglavlja

Zaglavljepodatkovnog sloja

MPLSSHIM

Zaglavljemrežnog sloja Podaci mrežnog sloja

• MPLS je efektivno 2.5 sloj

292929Mreže računala

Multi Protocol Label Switching (3)

• Struktura MPLS zaglavlja

Labela Exp.

0 19

BS

22 23

TTL

31

• MPLS zaglavlja, odnosno labele mogu se ulančavati

• Polje BS, kada je postavljeno na 1 označava zadnju labelu

303030Mreže računala

Multi Protocol Label Switching (4)

• Primjer osnovnih elemenata i usmjeravanja

313131Mreže računala

Osnovni elementi MPLS arhitekture (1)

• LER (Label Edge Router)• Usmjernik na granici MPLS mreže

• dodaje (ingress) ili uklanja (egress) labelu

• LSR (Label Switching Router)• Usmjernik unutar MPLS mreže

• Preklapa isključivo na osnovu labele

• LSP (Label Switched Path)• Put koji prolazi paket kroz MPLS mrežu

323232Mreže računala

Osnovni elementi MPLS arhitekture (2)

• LIB (Label Information Base)• Tablica koju svaki LSR koristi za proslijeđivanje paketa

• LDP (Label Distribution Protocol)• Protokol za razmjenu labela

• Definirane su i modifikacije “standardnih” protokola usmjeravanja koje omogućavaju razmjenu labela

• FEC (Forward Equivalence Class)• Grupe kojima pripadaju svi paketi

• Svaka grupa ima svoju labelu

333333Mreže računala

Generalized Multi Protocol Label Switching

• MPLS je ograničen• Paketne mreže (Internet)

• Prospajanje okvira (Frame Relay)

• Prospajanje ćelija (ATM)

• GMPLS je proširenje na• TDM mreže

• Mreže s prospajanjem krugova

• Mreže s prospajanjem valnih duljina (WDM)

• Osnovni problem je kako napraviti upravljanje od kraja do kraja

343434Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

353535Mreže računala

Mobilnost (1)

• Sve veća zastupljenost mobilnih uređaja• Velike mogućnosti (bežičnog) spajanja na Internet

• Želimo biti uvijek spojeni na Internet

• Ne želimo da nam veze “pucaju” kad prelazimo iz jedne mreže u neku drugu mrežu

• Problem: višestruka funkcija IP adresa• Identifikator pojedinog uređaja (sučelja)

• Položaj (mreža) u kojoj se uređaj trenutno nalazi!

• Znanje o IP adresama je ugrađeno u sve više slojeve

• Posebno je problematičan prijenosni sloj

363636Mreže računala

Mobilnost (2)

• Vrste mobilnosti• Mikro mobilnost

• Malo područje, česti prijelazi (handoff)

• Makro mobilnost

• Veliko područje, rjeđi prijelazi

• Nomadičnost• Neaktivan tijekom kretanja

• Celularna mobilnost• Aktivan tijekom kretanja

• Pojam “Road warrior”

373737Mreže računala

Mobilnost (3)

• Načini postizanja mobilnosti• Promijenimo IP adresu

• Promjena identiteta!

• Veze pucaju, moramo se ponovo spajati!

• Zadržimo IP adresu

• Moramo reći usmjernicima gdje se nalazimo

• Problem: usmjernici ionako preopterećeni(Internet nije najstabilnije mjesto na svijetu)

• Moguća rješenja• Razdvajanje funkcionalnosti IP adresa (radikalno)

• Uvođenje posebnih protokola za postizanje mobilnosti

383838Mreže računala

Mobilni IP (1)

• Zadržavanje stare IP adrese na novoj mreži• MIPv4 je protokol koji to omogućava za IPv4

• MIPv6 je protokol koji to omogućava za IPv6

• Temeljni pojmovi• MN (Mobile Node)

• CoA (Care of Address)

• HoA (Home Address)

• CN (Correspondent Note)

• HA (Home Agent)

• FA (Foreign Agent)

393939Mreže računala

Mobilni IP (2)

• Mobilna stanica u “domaćoj” mreži

404040Mreže računala

Mobilni IP (3)

• Registracija mobilne stanice u stranoj mreži

414141Mreže računala

Mobilni IP (4)

• Tok prometa od CN do mobilne stanice u stranoj mreži

424242Mreže računala

Mobilni IP (6)

• Tok prometa od mobilne stanice u stranoj mreži do CN-a

434343Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

444444Mreže računala

Višepristupnost (1)

• Višestruko “priključivanje” na Internet

• Multihoming

• Primjer ograničene višepristupnosti

• Priključenje na jednog ISP-a

• Nije problematično

• Nije najpouzdanije

454545Mreže računala

Višepristupnost (2)

• Daleko bolje je koristiti pristup na više ISP-ova

464646Mreže računala

Višepristupnost (3)

• Prednosti• Sigurniji od ispada pojedinog ISP-a

• Jako bitno za poslovanje

• Moguć prelazak na novi ISP bilo kada• Cijene i mogućnosti variraju

• Istovremeno korištenje svih linija prema Internetu• Veći kapacitet

474747Mreže računala

Višepristupnost (4)

• Problemi• ISP-ovi dodjeljuju IP adrese i NSP-ovima šalju

agregirane adrese

• Problematično je blok adresa jednog ISP-a slati drugome

• Radi se o vrlo verlikim mrežnim maskama (/28, /29)

• Moguće je koristiti NAT, opet nije dobro...

• Jedino kompletno rješenje• Alocirati AS broj i staviti BGP usmjernike

• Ali, u jezgru Interneta se ubacuju preveliki prefiksi• U IPv6 je to zabranjeno

484848Mreže računala

Višepristupnost (5)

• Trenutna rješenja• Više IP adresa po računalu

• Manipulacija DNS poslužiteljima

• Rješenja trenutno u razvoju• Sva rješenja pokušavaju razdvojiti uloge IP adrese

• Primjeri: SHIM6, HIP, ...

494949Mreže računala

Sadržaj

• IPv6

• Neki temeljni koncepti i “Middleboxes”

• Arhitektura Interneta i protokoli usmjeravanja

• (G)MPLS

• Mobilnost

• Višepristupnost

• Virtualne privatne mreže

505050Mreže računala

Virtualne privatne mreže (1)

• Ostvariti privatnu mrežu nad nekom postojećom mrežom.

• Virtualna budući da ne postoji kao zasebna mreža

• Privatna jer se isključivo koristi za vlastite potrebe

• Mnoštvo mogućih rješenja• Velika većina uključuje kriptiranje, ali ne sva

• Moguće ih je ostvariti na različitim slojevima, primjerice

• Aplikacijski sloj (SSL, SSH)

• Mrežni sloj (MPLS, IPsec)

515151Mreže računala

Virtualne privatne mreže (2)

• MPLS virtualne privatne mreže• Nema kriptiranja

• Upotrebljavaju stog labela

• IPsec virtualne privatne mreže• Arhitektura za ostvarivanje sigurnosti na Internetu

• Definira ponašanje čvorova i protokole koje čvorovi koriste

• Opcionalni protokoli u IPv4, obavezni u IPv6

• Trenutno aktualna druga verzija

• 12. mjesec 2005.

525252Mreže računala

IPsec arhitektura (1)

• Definira ponašanje čvorova i način na koji obrađuju IP pakete [RFC4301]

• Ponašanje definirano preko sljedećih baza

• SPD (Security Policy Database)• Definira što se štiti

• Sastoji se od zapisa

• (traffic selector, akcija)

• Selektori prometa biraju pakete na osnovu IP adresa, protokola prijenosnog sloja, pristupa, ...

• Akcija je BYPASS, DISCARD, DROP

535353Mreže računala

IPsec arhitektura (2)

• SAD (Security Association Database)• Definira kako se štiti

• Kripto algoritmi i ključevi

• PAD (Peer Authorization Database)• Definira tko smije čemu pristupati

545454Mreže računala

IPsec protokoli (1)

• Dva protokola mrežnog sloja• ESP (Encaspulated Security Policy)

• Obavezan protokol, služi za enkripciju

• AH (Authenticated Header)

• Neobavezan protokol, pruža dokaz autentičnosti

• Dva načina rada• Prijenosni način rada: Ne mjenjaju se IP adrese iz zaglavlja

• Tunel način rada: Vrši se pakiranje jednog IP paketa u drugi

• IKEv2 (Internet Key Exchange v2)• Protokol za razmjenu ključeva

555555Mreže računala

Primjer upotrebe IPsec-a

• Komunikacija klijenta i poslužitelja

• Baza SAD prazna, SPD zahtijeva zaštićenu komunikaciju

IKEv2

Linux Kernel Linux Kernel

Client IKEv2 Server

1 2

3

4 4

5

6

Initiator Responder

565656Mreže računala

Scenariji upotrebe IPsec-a

• Između dva računala

• Između dvije mreže

• Između računala i mreže