R&C 0502 07 2

1

R&C I / ISTEC - 07/08

Protocolo IP (continuação)Protocolo IP (continuação)

2

R&C I / ISTEC - 07/085.8 – Protocolos de Routing

Protocolos de Routing:* RIP - Routing Information Protocol:

* Utilizado no interior de redes autónomas: IGP (Interior Gateway Protocol)

* Actualização dinâmica de tabelas de routing* Troca de mensagens entre routers

* Transmitidas em broadcast para toda a rede* Informação de tabelas de routing * Periodicamente (aprox. 30 seg)

* Utiliza algoritmo “Distance-Vector”:* Menor distancia - nº de ligações entre routers (“hops”)* Menor custo - preferência de administrador da rede

* BGP - Border Gateway Protocol:* Utilizado na fronteira entre redes diferentes e autónomas: EGP* Utiliza algoritmo “Path-Vector” (atravessar menos redes) ~ a RIP

External GW Protocol

3

R&C I / ISTEC - 07/08

* OSPF - Open Shortest Path First:* Protocolo IGP +recente & +desempenho que RIP* Actualização dinâmica de tabelas de routing - diferenças para RIP

* Apenas transmite entradas (de tabelas) alteradas* Apenas transmite alterações para routers vizinhos* Apenas existe troca de informação entre routers quando

existem alterações nas respectivas tabelas

+ Eficiente / - Pacotes de Controlo

+ Rápida convergência de tabelas de routers* Utiliza algoritmo “Link-State” - informação + completa :

* Menor distancia - nº de ligações entre routers (“hops”)* Maior velocidade das ligações* Menor atraso - congestionamento em routers* Menor custo - preferência de administrador da rede

5.8 – Protocolos de Routing

4

R&C I / ISTEC - 07/08

* Exemplo de Routing

5.9 – Routing

Metrica - nº de retransmissões / custo2 Caminhos para mesmo destino Escolher o de menor Metrica

192.168.2.0

192.168.0.0

E1=1192.168.0.5

Router2

Programação de Router2 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 Ethernet2=E2 1 192.168.1.0 255.255.255.0 Tokenring2=T2 1192.168.2.0 255.255.255.0 192.168.0.5 Ethernet2=E2 20.0.0.0 0.0.0.0 192.168.1.5 Tokenring2=T2 2

INTERNET

Router3

192.168.1.0E2=192.168.0.1

T3=192.168.1.5

T2=192.168.1.1

T1=192.168.2.3

Router1

Router recebe pacote:Selecciona entrada correspondente a endereço de (sub)Rede Destino1) Se não encontrar entrada utilizar entrada 0.0.0.02) Após encontrar entrada encaminha pacote para Interface de saída corresponente, que liga a Próximo Router

5

R&C I / ISTEC - 07/08


5.9 – Routing



192.168.2.0

192.168.0.0

E1=192.168.0.5

Programação de Router1 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 E1 1 192.168.1.0 255.255.255.0 192.168.0.1 E1 2192.168.2.0 255.255.255.0 T1 10.0.0.0 0.0.0.0 192.168.0.1 E1 3

INTERNET

Router3

192.168.1.0

E1

T3=192.168.1.5

T1=192.168.2.3

Router2

E2=192.168.0.1

Router1

T2=192.168.1.1

6

R&C I / ISTEC - 07/08



5.9 – Routing

192.168.2.0

192.168.0.0

Router1 Router2

Programação de Router3 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 192.168.1.1 T3 2 192.168.1.0 255.255.255.0 T3 1192.168.2.0 255.255.255.0 192.168.1.1 T3 30.0.0.0 0.0.0.0 E3 1

INTERNET

192.168.1.0

E3

T3=192.168.1.5

T2=192.168.1.1


7

R&C I / ISTEC - 07/08

Protocolo “auxiliares” de IP* Funcionam no nível 3 (como IP)* ICMP (Internet Control Message Protocol):

* Protocolo de controlo e testes * Controlo de fluxo* Teste de acessibilidade de destinos (redes ou computadores)* Transporte de alterações de tabelas de routing* Criação de estatísticas

* Utiliza IP para envio de mensagens* Protocolo ARP (Address Resolution Protocol):

* Utilizado para converter endereço IP em endereço físico (nível 2)* Ex. converter IP (32 bits) em Ethernet (48 bits)

192.168.0.5 00-80-C8-8A-6F-42 * Protocolo RARP (Reverse ARP) faz procedimento inverso

5.9 – Protocolos ICMP e ARP

8

R&C I / ISTEC - 07/085.9 – Protocolo MPLS

* MPLS (MultiProtocol Label Switching):* Objectivo: QoS em redes IP* Gestão de diferentes tipos de fluxos de tráfego/aplicações

* Definidos por FEC (Forward Equivalence Class) QoS* Mapea cabeçalho IP em Label simples de comprimento fixo:

* Labels: campo adicionado a pacotes IP, c\ base em FEC* Routing com base em FEC de label* Routing mais simples e rápido do que IP

* Independente de protocolos de N2, ex. Frame Relay, ATM, Ethernet

* Dois tipos de routers: LER (Label Edge Router) e LSR (Label Switching Router)

Entrada (LER)Router A

LSRRouter B

Saída (LER)Router C

RedeDestino

RedeDestino

RedeOrigem

RedeOrigem

1) Pedido de Label pra

Rede Destino

1) Pedido de Label pra

Rede Destino

2) Resposta c\ Label pra

mapear end. IP

2) Resposta c\ Label pra

mapear end. IP

Header MPLS Header IP Data IP

Pacote IP

9

R&C I / ISTEC - 07/08

* Cabeçalho MPLS:

* Label: endereço de pacote, define percurso pré-estabelecido* Actualizado em cada router

* Exp(erimental): define FEC (prioridade/QoS) de pacote* S(tack): possibilidade de utilizar multiplas-labels encapsuladas

(VPN)* Apenas processadas por routers LERs (fronteira da rede MPLS)* Se=1 Label corrente é última

* TTL: Tempo de vida

Label

5.1 – MPLS

Exp S TTL

20 bits 8 bits3 1

CabeçalhoMPLS

Pacote IP

32 bits

10

R&C I / ISTEC - 07/08

Mecanismos de Segurança IP

Arquitectura IPSec (IP Security):* Autenticação e Encriptação ao nível IP

* Invisível para Aplicações e Utilizadores

Aplicação

Transporte

IP + IPSec

Terminal-a-Rede

* Se implementacão ao nível de FW ou Routers: Possibilidade de suportar NAT

5.10 – Segurança IP

11

R&C I / ISTEC - 07/08

Arquitectura IPSec (IP Security):* Utilização de Cabeçalhos de Extensão:

* AH: Autenthication Header* Garante autenticidade e integridade de pacotes IP* Checksum criptográfico de Dados Não garante confidencialidade

* ESP: Encapsulation Security Payload* Garante confidencialidade e integridade de pacotes IP* Contem informação de encriptação de pacote

* Suporte de 2 modos de funcionamento:* Transporte:

* Protecção de Dados do utilizador (Payload)* Utilizado em comunicação extremo-a-extremo

* Túnel:* Protecção de todo o pacote* Pacote é tratado como Dados de um novo pacote


12

R&C I / ISTEC - 07/08

Arquitectura IPSec (IP Security):Modo de Transporte:

Modo de Túnel:

Internet

CabeçalhoIP

ESP AH CabeçalhoTCP

Dados

Protegido

Internet

CabeçalhoIP Externo

ESP CabeçalhoIP Interno

Dados

Protegido

CabeçalhoIP Externo

CabeçalhoIP Interno

=/=


Router Router

13

R&C I / ISTEC - 07/08

Arquitecturas de acesso usando Firewalls (FW)

* Configuração Bastion Host:* Computador desempenha funções de: Router + FW + Proxy de

Aplicações (ex. FTP, WWW, SMTP)* Desvantagem: várias funções concentradas num único elemento

Internet IntranetBastion Host(FTP, WWW,

SMTP)


14

R&C I / ISTEC - 07/08

Arquitecturas de acesso usando Firewalls (FW):

* Firewall com Screening Router

* Router executa funções de FW: filtragem de pacotes, com base:

* Lista controlo de endereços IP: ACL (Access Control List), protocolos/portos

* Router com 3 interfaces: Internet, Intranet (privada) e DMZ

* DMZ: DeMilitarized Zone: servidores de acesso público

* Desvantagem: Firewall é único ponto de segurança

* Uma única barreira para utilizadores não autorizados

Internet IntranetRouter

(Firewall)

DMZ

ServidorWWW

ServidorFTP

ServidorSMTP


15

R&C I / ISTEC - 07/08

Arquitecturas de acesso usando Firewalls (FW)* FW & Screening Router

* Solução mais robusta: 2 barreiras de protecção* Router: 1º filtro, baseado em endereços (ACL)* Firewall: 2º filtro, baseado em controlo de aplicações

Internet IntranetScreening

Router

DMZ

ServidorWWW

ServidorFTP

ServidorSMTP

Firewall


16

R&C I / ISTEC - 07/08

VPN (Virtual Private Networks):* Possibilitar interligação de redes privadas através de canais de

comunicação seguros e virtual/ dedicados de redes públicas* Principais aplicações:

* Redução de custos: * Substituição de linhas dedicadas na interligação de LANs e

WANs, por uso de internet* Flexibilidade:

* Maior facilidade de acessos a ISPs :* Expansão de internet utilização de acessos locais* Escalabilidade utilização apenas limitada por L.Banda

* Desvantagem:* Degradação de desempenho pela utilização de redes públicas

(não garantem QoS) + mecanismos de segurança

E não pelo nº de utilizadores, como nas soluções dial-in (CS)


17

R&C I / ISTEC - 07/08

VPN (Virtual Private Networks):

* Tecnologias de suporte a VPNs

LAN BLAN AInternet

Aplicação

Apresentação

Transporte

Rede

Ligação de Dados

Física

Sessão

Proxies de Aplicações

IPSec

SSL

L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocolsobre ATM, Frame-Relay


RouterRouter

* Modo de Túnel:

18

R&C I / ISTEC - 07/08

C:\WINDOWS>netstat -rn

Route Table

Active Routes:

Network Address Netmask Gateway Address Interface Metric 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 255.255.255.255 255.255.255.255 255.255.255.255 0.0.0.0 1

Active Connections

Proto Local Address Foreign Address State

* Tabela de Routing de computador sem ligação a Internet* Não existe endereço IP atribuído

5.11 – Exemplos Práticos

19

R&C I / ISTEC - 07/08

C:\WINDOWS>netstat -rn

Route Table

Active Routes:

Network Address Netmask Gateway Address Interface Metric 0.0.0.0 0.0.0.0 213.13.35.31 213.13.35.31 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 213.13.35.0 255.255.255.0 213.13.35.31 213.13.35.31 1 213.13.35.31 255.255.255.255 127.0.0.1 127.0.0.1 1 213.13.35.255 255.255.255.255 213.13.35.31 213.13.35.31 1 224.0.0.0 224.0.0.0 213.13.35.31 213.13.35.31 1 255.255.255.255 255.255.255.255 213.13.35.31 213.13.35.31 1

Active Connections

Proto Local Address Foreign Address State TCP 213.13.35.31:1384 64.58.76.87:80 ESTABLISHED

* Tabela de Routing de computador com ligação a Internet


20

R&C I / ISTEC - 07/08

* Tabela de Routing de computador com ligação a Internet

* Endereço IP atribuído = 213.13.35.31* Default Gateway para exterior (0.0.0.0)* Routing para rede loopback (127.0.0.0) é por loopback = 127.0.0.1 * Routing para 213.13.35.31 é por loopback interface = 127.0.0.1* Gateway para:

* Sub-Rede: 213.13.35.0* Difusão na rede: 213.13.35.255* Grupos: 224.0.0.0

* Ligação estabelecida com computador 64.58.76.87 * Porto 80 em servidor remoto Ligação HTTP


21

R&C I / ISTEC - 07/08

* Configuração IP:

Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\sergio>ipconfig

Windows IP Configuration

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Media disconnected

PPP adapter Nokia N70 USB (OTA):

Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 62.169.76.247 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : 62.169.76.247


22

R&C I / ISTEC - 07/08

C:\WINDOWS>ping 64.58.76.87

Pinging 64.58.76.87 with 32 bytes of data:

Reply from 64.58.76.87: bytes=32 time=350ms TTL=50Reply from 64.58.76.87: bytes=32 time=337ms TTL=50Reply from 64.58.76.87: bytes=32 time=296ms TTL=50Reply from 64.58.76.87: bytes=32 time=250ms TTL=50

Ping statistics for 64.58.76.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)Approximate round trip times in milli-seconds: Minimum = 250ms, Maximum = 350ms, Average = 308ms

* Verificação de comunicação com computador remoto


23

R&C I / ISTEC - 07/08

C:\WINDOWS>arp -a

Interface: 213.13.35.31 on Interface 2 Internet Address Physical Address Type 64.58.76.87 20-53-52-43-00-00 dynamic

* Verificação de Endereço Nível 2 associado a ligação IP


24

R&C I / ISTEC - 07/08

C:\WINDOWS>tracert 64.58.76.87

Tracing route to srd3.dcx.yahoo.com [64.58.76.87]over a maximum of 30 hops:

1 149 ms 125 ms 128 ms dial-b1-216-209.telepac.pt [194.65.216.209] 2 149 ms 147 ms 138 ms dial-b1-209-105.telepac.pt [194.65.209.105] 3 143 ms 144 ms 117 ms lcatrt2.telepac.net [213.13.135.101] 4 136 ms 129 ms 126 ms lgsr2.telepac.net [213.13.135.89] 5 143 ms 137 ms 139 ms ginter2.telepac.net [213.13.135.118] 6 127 ms 120 ms 167 ms adhara-a321.cprm.net [195.8.0.177] 7 151 ms 135 ms 120 ms shaula-g10.cprm.net [195.8.0.119] 8 200 ms 196 ms 221 ms acr1-sonet2-3-1-0.Miami.cw.net [208.172.99.137] 9 224 ms 204 ms 201 ms cable-and-wireless-internal-isp.Miami.cw.net [208.172.99.202] 10 248 ms 236 ms 221 ms bbr01-g2-0.miam01.exodus.net [64.253.193.1] 11 287 ms 242 ms 229 ms bbr02-p4-0.atln01.exodus.net [216.32.132.254] 12 310 ms 243 ms 226 ms bbr01-g2-0.atln01.exodus.net [216.35.162.3] 13 314 ms 14 258 ms 227 ms 229 ms dcr03-g6-0.stng01.exodus.net [216.33.99.83] 15 249 ms 231 ms 425 ms csr22-ve241.stng01.exodus.net [216.33.98.19] 16 232 ms 239 ms 248 ms 216.35.210.126 17 287 ms 252 ms 242 ms srd3.dcx.yahoo.com [64.58.76.87]

Trace complete.

* Verificação de caminho até computador destino


25

R&C I / ISTEC - 07/085.11- Analisador de Protocolos Ethereal

SYN ; ISN=X

Cliente Servidor

SYN ; ISN=Y; ACK=X+1

ACK=Y+1

3 way handshake

26

R&C I / ISTEC - 07/085.12 - DNS

DNS (Domain Name System)* Possibilita que máquinas ligadas à rede possam ser identificadas por

um nome (além de endereço IP)

Conversão de endereços numéricos (binários) em endereços lógicos (strings ASCII), + compreensíveis para os utilizadores

– Ex. srd3.dcx.yahoo.com 64.58.76.87– Nomes convertidos em endereços IP através de consulta de

servidores de nomes responsáveis por Domínios bem definidos• Domínio - espaço de nomes definido de forma hierárquica• Servidor DNS de Domínio conhece mapeamento nome/end. IP de:

– Todas as máquinas do Domínio– Se máquina não pertencer a Domínio, Servidor DNS deve saber

encaminhar query para DNS de (sub-)Domínio de máquina• Possibilitar gerir todo o espaço de nomeação sem necessitar de BD

centralizada Solução impossível para toda a Internet

27

R&C I / ISTEC - 07/08

* Tipos de Domínios:• Genéricos/Entidades (EUA): com, edu, gov, int, mil, net, org • Países/Geográficos: 2 caracteres que identificam país

educom gov mil pt de

Genéricos

. . .

sun

eng

clix empresayale

cs eng

Parte do espaço de nomes do domínio da internet

Países

mailimages

5.12 - DNS

28

R&C I / ISTEC - 07/08

* Para utilizador poder comunicar com outra máquina na Internet• Traduzir nome em endereço IP de máquina destino• Tradução é feita por resolver (SW) que interroga servidor DNS:

1) Servidor conhece e devolve endereço (ex. mesma empresa)

Possível iniciar comunicação

2) Servidor não conhece endereço mas consulta outro servidor da sua (sub-) hierarquia (ex. mesmo país)

Funcionamento Recursivo até 1)

3) Servidor não conhece endereço mas disponibiliza endereço de outro servidor raíz (fora da sua hierarquia) que o deverá conhecer (ex. países ou genéricos diferentes)

Funcionamento de Recursivo de 2) até 1)

5.12 - DNS

29

R&C I / ISTEC - 07/085.12 - DNS

Exemplo de DNS Query: de: flits.cs.vu.nlpara: begonia.cs.yale.edu

Resolver

VU CSName Server

Originadorde Query

flits.cs.vu.nl

cs.vu.nl(DNS local)

1)Querybegonia.cs.yale.edu

2)Query

4)Query

eduName Server

yaleName Server

yale CSName Server

3) yale.edu

6)Query

7)Endereço begonia.cs.yale.edu

8)End

5)cs.yale.edu

(DNS raíz)

30

R&C I / ISTEC - 07/085.13 – IP v6

IP v6* 2ª Geração Comercial de IP (1º é IP v4) IPng (next generation)

• Endereços de 128 bits– Satisfazer necessidade de (falta de) endereços IP (v4)– Aumento de nº de utilizadores da internet, por ex. China – Adesão a IP de serviços tradicionais, como voz e tv– Adesão a IP de equipamentos tradicionais, como terminais móveis– Remoção da necessidade de Soluções Temporárias de IP v4

• Disponibilizar QoS– Possibilitar definição de prioridades entre diferentes aplicações

• Disponibizar Segurança e Autenticação– Incorpora mecanismos de IPSec: AH, ESP– Encriptação de dados extremidade-a-extremidade

• Auto-Configuração: utilização de prefixo rede + MAC Address• Endereços Mulicast e Anycast, em alternativa a Broadcast

31

R&C I / ISTEC - 07/085.13 – IP v6

Pacote IP v6

Versão Label de Fluxo

32 bits

Comprimento de Dados Limite Transmissões

Endereço IP de Origem (128 bits)

Classe de Tráfego

Próximo Cabeçalho

Endereço IP de Destino (128 bits)

40 Octetos

Próximo CabeçalhoDados de Cabeçalho de ExtensãoVariável

Dados

Comprimento de Cab.

32

R&C I / ISTEC - 07/08

* Versão - Garantir compatibilidade entre diferentes versões (= IP v4)* Classe de Tráfego – Diferenciar classes de serviços de aplicações* Label de Fluxo – Gestão de QoS de diferentes fluxos de pacotes* Comprimento de Dados – nº de octetos de dados (max. 64k)* Próximo Cabeçalho – Possibilita a utilização de múltiplos cabeçalhos

encadeados, cada um com uma funcionalidade específica, exemplos:* Cabeçalhos AH e ESP de IPSec* Cabeçalho de Fragmentação* Cabeçalho de Camada Superior: TCP ou UDP

* Limite de Transmissões - Contador de transmissões (~ TTL IP v4)* Decrementado em cada transmissão entre routers

5.3 - Datagramas IP e os protocolos de transporte

33

R&C I / ISTEC - 07/085.13 – IP v6

Formato de Endereços IP v6

* Representação:

• x:x:x:x:x :x :x:x, “x ” número em hexadecimal (16 bits )

• x:x:x:x:x :x :z.z.z.z, “z.z.z.z” endereço IP v4

• “: :”, representa conjunto de “0’s”

• x:x:x:x:x :x :: /y, “y” nº bits de prefixo de rede

• Exemplos:

– 0:0:0:0:0:0:192.168.1.1 ::192.168.1.1, IP v4

– FF01:0:0:0:0:0:0:43 FF01::43, mult icast

– 2001:0db8:1234::/48 Rede 2001:0db8:1234

– 0:0:0:0:0:0:0:1 ::1, loopback

Prefixo de RoutingGlobal

Subnet Interface ID (Terminal)

64 bitsm bitsn bits

34

R&C I / ISTEC - 07/085.13 – IP v6

Tipos de Endereçamento: Unicast, Anycast e Multicast* Unicast: Identificam uma única interface

• Aggregable Global Address:– Endereçamento hierárquico com agregação de prefixos (~ CIDR)

• Routing mais eficiente, ~ Plano Numeração Rede Telefónica

– Prefixo: 2000::/3– TLA (Top Level Aggregator): Identifica ISPs de topo– NLA (Next Level Aggregator): Identifica comunidade em ISP– SLA (Site Level Aggregator): Função de subnet– Interface ID: identifica terminal, pode ser MAC address

SLA Interface ID (Terminal)

64 bits16 bits24 bits

NLAsTLA

21 bits3 bits

001

35

R&C I / ISTEC - 07/085.13 – IP v6

* Unicast (continuação)• Link Local Address: utilização interna endereços de link local

– Prefixo: FE80::/10• Site Local Address: utilização interna endereços de sites cooperativos

– Prefixo: FC00::/7• Endereços especiais: loop back: “::1”, não especificado: “::”

0 Interface ID (Terminal)

128 bits

1111 1110 10

10 bits

128 bits

16 bits

0 Interface ID (Terminal)1111 1100 Subnet ID

7 bits

Ex. Configuração automática de endereços

Ex. Utilizado em Endereços Privados

36

R&C I / ISTEC - 07/085.13 – IP v6

Tipos de Endereçamento* Anycast: Destino é a 1ª de um conjunto de interfaces, ex. acesso a

conjunto de servidores DNSs

* Multicast: Destino é um conjunto de interfaces, ex. Solicitar endereços

0

128 bits

Prefixo de Routing

0 Interface ID (Terminal)

128 bits

FF

Lifetime Scope8 bits

4 bits 4 bits

Lifetime: 0 – Permanente 1 – TemporárioScope: 1 – Node 2 - Link 5 – Site 8 – Organization E - Global

Ex. Todos os Nós do Link FF02:0:0:0:0:0:0:1

37

R&C I / ISTEC - 07/085.13 – IP v6

Mecanismos de Transição IP v6 / IP v4* Implementação de IP v6 será faseada e por ilhas crescentes* Pilha-Dupla

• Recurso a elementos de rede que suportam as 2 versões• Ex. Servidores DNS

* Túnel• Encapsulamento de pacotes IP v6 em transporte IP v4

IP v4IP v6 IP v6

RouterPilha-Dupla

Túnel

IP v4 Header IP v6 Header IP v6 Data

IP v6 Header IP v6 Data IP v6 Header IP v6 Data

RouterPilha-Dupla