Petri Nuutinen 2011 KEVÄT

Transkriptio

1 Petri Nuutinen 2011 KEVÄT

2 Luku 1 TCP/IP-protokollamalli 1 TCP/IPprotokolla-malli LUKU 1 Y hteistä sopimusta siitä, miten TCP/IP kuvattaisiin kerrosmallina ei kuvattaisiin kerrosmallina ei ole. Kuitenkin on yleisesti hyväksyttyä on yleisesti hyväksyttyä että kerroksia on vähemmän kuin OSIvähemmän kuin OSI-mallissa (7). Tässä esityksessä kuvaamme protokollan rakennetta käyttämällä neljää kerrosta: Sovelluskerros - sisältää sovellukset, jotka käyttävät verkkoa Kuljetuskerros - tarjoaa päästä-päähän siirtopalvelut Internet-kerros - määrittää tietosähkeen ja suorittaa tietojen reitityksen Fyysinen kerros - sisältää fyysisen verkon käsittelyssä tarvittavat rutiinit varsinaiset sovellukset HTTP FTP Telnet SMTP DNS TFTP NETBios tiedonsiirto sovelluksille TCP UDP reititys IP fyysinen verkko muunnos ICMP, IP IP Ethernet OSI-mallin tavoin tiedot siirretään kerroksissa alaspäin, kun ne lähetetään verkkoon ja ylöspäin, kun ne vastaanotetaan verkosta. Malli esittää tapaa, jolla tietoja käsitellään niiden siirtyessä alaspäin pinossa sovellustasolta fyysiseen verkkoon. Jokainen kerros lisää omat ohjaustietonsa varmistaakseen tietojen perille menemisen. Näitä ohjaustietoja kutsutaan otsakkeiksi (headers), koska ne lisätään lähetettävien tietojen alkuun. Jokainen kerros käsittelee ylemmästä kerroksesta saamiaan tietoja pakettina (packet) ja lisää paketin alkuun omat otsakkeensa. Kun tiedot

3 Luku 1 TCP/IP-protokollamalli 2 vastaanotetaan, tapahtuu päinvastoin. Jokainen kerros poistaa omat otsakkeensa ennenkuin siirtää paketin ylempään kerrokseen. Sovelluskerros Tiedot Kuljetuskerros Otsake Tiedot Internet-kerros Otsake Otsake Tiedot Fyysinen kerros Otsake Otsake Otsake Tiedot Jokaisella kerroksella on oma tietorakenteensa. Käsitteellisesti ottaen kerros on täysin tietämätön ylä- ja alapuolella olevien kerrosten tietorakenteista (black-box). TCP-protokollassa varsinaisista tiedoista käytetään erilaisia nimiä riippuen kerroksesta. Sovellukset käsittelevät tietoa tietovuona (data stream) ja kuljetuskerros segmenttinä (segment). Vastaavasti Internet-kerros näkee tiedot lohkoina, joista käytetään nimeä tietosähke (datagram). Useimmissa verkoissa lähetettäviä tietoja kutsutaan paketeiksi tai kehyksiksi (frames). Sovelluskerros tietovuo Kuljetuskerros segmentti Internet-kerros tietosähke Fyysinen kerros kehys Fyysinen kerros Fyysisen kerroksen protokollat tarjoavat järjestelmän käyttöön välineet, joiden avulla se voi siirtää tietoja verkon laitteiden välillä. Fyysisessä kerroksessa suoritettaviin toimintoihin kuuluu IP-tietosähkeiden kehystäminen fyysiseen verkkoon lähetettäväksi ja IP-osoitteiden muuttaminen verkon fyysisiksi osoitteiksi (esim. MAC). Toisin kuin ylimmän tason protokollien, fyysisen kerroksen protokollien on tunnettava yksityiskohtaisesti alla olevan verkon (esim. Ethernet, ATM) rakenne voidakseen muotoilla lähetettävät tiedot verkon vaatimuksia vastaavaksi. Fyysinen kerros on käyttäjälle näkymätön. TCP/IP:n rakenne piilottaa kerroksen toiminnot ja käyttäjien paremmin tuntemat protokollat (IP, TCP, HTTP) ovat ylemmän tason protokollia. Otettaessa käyttöön uusia verkkoteknologioita on kerrokseen kehitettävä myös uusia protokollia. Fyysisen kerroksen protokollia on siis yksi jokaista fyysistä verkkostandardia varten. Protokollat ovat usein olemassa sekä laiteajureina että niihin liittyvinä ohjelmina (esim. verkkokorttien ajurit). Verkon nimellä yksilöidyt laiteajurit kehystävät tiedot ja jakelevat ne verkkoon, ja erilliset ohjelmat suorittavat oheistoimintoja kuten osoitteiden muuntamista.

4 Luku 1 TCP/IP-protokollamalli 3 Internet-kerros Internet-kerroksen Internet-protokolla (IP) on TCP/IP:n sielu. Se tarjoaa pakettien siirrossa tarvittavat peruspalvelut eli se määrittää osoitteistuksen, reitittää tietosähkeet etäasemille ja suorittaa tietosähkeiden jakamisen osiin ja uudelleen kokoamisen. IP on yhteydetön protokolla eli se ei avaa yhteyttä asemien välillä vaihtamalla ohjaustietoja (eli kättelemällä ) ennen tiedonsiirron käynnistämistä., vaan se lähettää paketit vastaanottajalle tarkistamatta vastaanottajan hengissä olemista. IP luottaa siihen, että ylemmissä kerroksissa olevat protokollat avaavat yhteyden, mikäli yhteydellistä palvelua tarvitaan. IP luottaa myös siihen, että ylemmissä kerroksissa olevat protokollat hoitavat virheentarkastuksen ja -korjauksen. TCP/IP-verkko on pakettienvälitysverkko. Paketti on tietolohko, jonka mukana kulkee sen toimittamiseen liittyvät tiedot - samaan tapaan kuin tavallisessa kirjeessä, jonka kuoreen on merkitty osoite. Paketit kulkevat verkossa itsenäisesti toisista paketeista riippumatta. Tietosähke on IP:ssä määritelty paketin muoto, jonka ensimmäiset viisi tai kuusi 32-bitin sanaa muodostavat ohjaustiedot, joita kutsutaan siis otsakkeiksi. Otsakkeen tärkeimmät tiedot ovat jaetun paketin tunnistetiedot (32 bit) elinaika, TTL eli Time To Live (8 bit) protokollanumero (8 bit) IP-otsakkeen tarkistussumma (16 bit) lähdeosoite (32 bit) kohdeosoite (32 bit) Itse lähetettävän tiedon pituus yksittäisessä paketissa riippuu käytettävästä verkkomediasta ja voi olla 68 tavun ja 64 kilotavun välillä, esimerkiksi Ethernetissä 1500 tavua miinus otsaketiedot. Jos kohdeosoite osoittaa samassa verkossa olevaan asemaan (verrattuna siis lähdeosoitteeseen aliverkon maskia käyttämällä), paketti lähetetään suoraan kohdeasemaan. Jos osoite ei ole samassa verkossa, paketti siirretään yhdyskäytävään (gateway) edelleen toimittamista varten. Yhdyskäytävät ovat laitteita, jotka siirtävät paketteja fyysisten verkkojen välillä. Yhdyskäytävän valintaprosessia kutsutaan reitittämiseksi. IP tekee reitityspäätöksen jokaisen paketin osalta erikseen. Yhdyskäytäviä kutsutaan tavallisesti IP-reitittimiksi (huomaa, kuitenkin että uusimman terminologian mukaan yhdyskäytävä siirtää tietoja kahden eri protokollan ja reititin kahden eri verkon välillä). Paketit kulkevat asemissa kaikkien neljän eri kerroksen läpi, mutta yhdyskäytävissä/reitittimissä ne siirtyvät vain Internetkerrokseen, jossa reitityspäätökset siis tehdään:

5 Luku 1 TCP/IP-protokollamalli 4 Asema A Asema B Sovellus Sovellus Kuljetus Yhdyskäytävä Kuljetus Internet Internet Internet Verkko Verkko Verkko Koska tietosähke kulkee eri fyysisten verkkojen kautta, voi syntyä tilanne, että jostakin verkosta tullut tietosähke on liian pitkä lähetettäväksi yhtenä pakettina toisen verkon kautta, jolloin se joudutaan jakamaan pienempiin osiin lähetystä varten. Tätä prosessia kutsutaan ositukseksi (fragmentation). Esimerkiksi IP:n on jaettava Ethernetin suhteellisen suuret paketit pienemmiksi paketeiksi, mikäli ne täytyy siirtää X.25-verkkoon. TTL-kentän arvo ilmaisee sekunteina, kuinka kauna sanoma saa kiertää verkossa ennen kuin se tuhotaan. Kentän alkuperäinen arvo riippuu käyttöjärjestelmästä (nykyinen suositus on 64). Jokaisen paketin matkan varrella olevan reitittimen tulee vähentää kentän arvoa vähintään yhdellä, ja vähennystä tulee tehdä enemmän, mikäli paketti joutuu odottamaan esimerkiksi reitittimen puskurissa. Jos paketti ei koskaan löydä perille, sen elämän lopettaa se reititin, joka vähentää sen kentän arvon nollaan (eli ei siis käy kuten eräissä scifi-kirjoissa). Kun IP vastaanottaa tietosähkeen, joka on osoitettu paikalliselle asemalle, se siirtää tietosähkeen tieto-osan oikealle kuljetusprotokollalle (TCP, UDP) otsakkeessa olevan protokollanumeron perusteella. Internet-kerroksen olennainen osa on ICMP-protokolla, joka käyttää IPtietosähkeiden jakelutoimintoja viestiensä lähettämiseen. Tärkeimmät ICMP:n toiminnoista ovat: vuonohjaus eli jos tietosähkeet saapuvat nopeammin kuin niitä ehditään käsitellä, vastaanottava asema tai välittävä yhdyskäytävä lähettää lähettävälle asemalle viestin, että tietosähkeiden lähettäminen on väliaikaisesti lopetettava ilmoitus tuntemattomasta kohteesta eli yhdyskäytävä lähettää ko. viestin, jos kohdeosoitetta ei pystytä tavoittamaan, tai vastaanottava asema lähettää viestin, jos kohdeporttia ei pystytä tavoittamaan uudelleenreititys eli yhdyskäytävä pyytää asemaa käyttämään toista yhdyskäytävää, mikäli sellainen on olemassa ja toinen reitti on parempi vaihtoehto etäasemien tarkkailu eli asema voi lähettää viestin varmistaakseen että vastaanottava asema on toiminnassa (ping-komento käyttää tätä).

6 Luku 1 TCP/IP-protokollamalli 5 Kuljetuskerros Kuljetuskerroksen kaksi tärkeintä protokollaa ovat TCP (Transmission Control Protocol) ja UDP (User Datagram Protocol). TCP tarjoaa luotettavan tiedonsiirron virheentarkastuksineen ja korjauksineen. UDP puolestaan tarjoaa vähän resursseja vaativan, yhteydettömän tiedonsiirtotavan. Sovelluksen ohjelmoija päättää, kumpi palvelu sopii paremmin hänen tarkoituksiinsa (esim. DNS ja TFTP käyttävät UDP:tä). UDP on epäluotettava, yhteydetön, protokolla eli protokollaan ei sisälly toimintoja, joilla tarkistetaan, että tiedot ovat menneet oikein perille. Sovellusohjelmoijan kannattaa kuitenkin käyttää sitä, jos lähetettävien tietojen määrä on vähäinen, sillä tällöin yhteyden luominen ja tietojen perillemenon varmistaminen vaativat enemmän resursseja kuin itse tietojen siirto, vaikka ne jouduttaisiinkin lähettämään uudelleen. UDP sopii myös sovelluksiin, joissa kyselyn vastauksena odotetaan pelkästään vahvistusta viestin perillemenosta jos vastausta ei saada annetun ajan kuluessa, kysely lähetetään uudelleen. TCP protokolla tarkistaa, että tiedot ovat menneet verkon läpi virheettömästi ja oikeassa järjestyksessä. Se lähettää tiedot uudelleen, kunnes se saa vastaanottajalta vahvistuksen siitä, että tiedot on vastaanotettu oikein. Jokainen segmentti sisältää tarkistussumman, jonka avulla vastaanottaja varmistaa, etteivät tiedot ole muuttuneet matkalla. TCP on yhteydellinen protokolla eli se muodostaa loogisen päästä päähän yhteyden kahden aseman välille. Asemat vaihtavat keskenään kättelyksi kutsutun ohjausviestin ennenkuin varsinaiset tiedot lähetetään. TCP tarkastelee lähettämiään tietoja jatkuvana vuona eikä yksittäisinä paketteina. Siksi se huolehtii myös siitä, että tiedot lähetetään ja vastaanotetaan oikeassa järjestyksessä. TCP-segmentin otsakkeessa oleva järjestysnumero ja kuittausnumero ilmaisevat tavujen oikean järjestyksen. Jos esimerkiksi ensimmäisenä lähetetyn segmentin ensimmäisen tavun numero on 1 ja 8000 tavua on jo lähetetty, niin lähetysvuorossa olevan segmentin järjestysnumero on Vastaanottavan aseman lähettämässä kuittausnumerossa kerrotaan lähettäjälle, kuinka monta tavua on jo vastaanotettu. Jos esimerkiksi ensimmäisenä lähetetyn segmentin ensimmäisen tavun numero on 1 ja 4000 tavua on onnistuneesti vastaanotettu, lähetetään kuittausnumero Vastaanotetussa segmentissä on myös ikkuna-kenttä, joka ilmoittaa montako tavua etäasema voi vielä vastaanottaa eli kuinka suuri etäaseman sen hetkinen puskuri on. Jos puskuriin mahtuu vielä 6000 tavua, on ikkunakentän arvo Tämä kertoo samalla lähettävälle asemalle, että se voi jatkaa tietojen lähettämistä. Vastaanottava asema voi taas ohjata lähettäjältä tulevaa tietovuota ikkunan kokoa muuttamalla.

7 Luku 1 TCP/IP-protokollamalli 6 1. paketti Lähettäjä: Järj.nro 1 Koko 8000 Vast.ottaja: Kuittausnro 8000 Ikkuna paketti Lähettäjä: Järj.nro 8001 Koko 8000 Vast.ottaja: Kuittausnro Ikkuna paketti Lähettäjä: Järj.nro Koko 6000 Vast.ottaja:... Sovelluskerros Sovelluskerroksen protokollat (HTTP, FTP, SMTP,...) tuottavat varsinaiset palvelut käyttäjille. Sen jälkeen kun IP on siirtänyt vastaanottamansa tiedot kuljetusprotokollalle, tämä siirtää ne edelleen oikealle sovellukselle. Sovellukset määritetään (lähde- ja kohde-) porttinumeroilla, jotka ovat 16-bittisiä arvoja. Porttinumerot (Well- Known Ports) on varattu eri protokollille ja palveluille. Portit (egistered Ports)ovat varattuja puolivirallisille ohjelmille. Loput porttinumerot, (Dynamic/Private Ports)ovat ohjelmoijien valittavissa omille soveluksilleen. Portit kokonaisuudessaan: Allaolevassa taulukossa on yleisimpien sovellusprotokollien porttinumeroita. 7 echo ( ping ) 20 ftp-data 21 ftp-commands 23 telnet 25 smtp 53 dns 69 tftp 80 http 110 pop3 119 nntp 143 imap 194 irc 389 ldap 443 https Tunnettujen standardien porttinumeroiden avulla etäjärjestelmät tietävät, mihin porttiin niiden on kytkeydyttävä käyttäessään tarvitsemiaan verkon palveluita. Standardia porttinumeroa käytetään vain kohdeportissa

8 Luku 1 TCP/IP-protokollamalli 7 ( palvelinpäässä ). Lähdeportin ( asiakaspään ) numero varataan dynaamisesti, jotta jokainen yhteys olisi yksilöitävissä. Kun siis asiakasasema ottaa yhteyttä esimerkiksi palvelinaseman Telnetsovellukseen, se valitsee itselleen satunnaisen lähdeportin (esim. 3456) ja asettaa kohdeportiksi Telnet-protokollan mukaisesti 23. Vastaavasti palvelinasema lähettäessään paketteja takaisin asettaa lähdeportiksi 23 ja kohdeportiksi Lähettäjä Vastaanottaja kohdeportti / 23 (telnet) - lähdeportti / 3456 (sat.) - kohdeportti / lähdeportti / 23 IP-osoitteen ja porttinumeron yhdistelmää kutsutaan socketiksi. Socket määrittää yksiselitteisesti prosessin koko Internetin laajuudessa.

9 Luku 2 IP-osoitteistus 8 IP-osoitteistus LUKU 2 J okaisella TCP/IP-protokollaa käyttävällä laitteella tulee olla yksilöllinen laitteella tulee olla yksilöllinen IP-osoite. Tämä on yksilöllinen itse on yksilöllinen itse asiassa kahdella eri tasolla. Kaikkiaan 32-bittiä Kaikkiaan 32-bittiä käsittävästä osoitteesta voidaan erikseen määritellä verkkotunnus (domain) ja konetunnus (host). Verkkotunnus on globaalisti yksilöllinen Internetiin liittyneissä verkoissa ja konetunnus on yksilöllinen tietyssä Internettiin liittyneessä verkossa. Yksilöllisyyttä tarvitaan, jotta Internetin reitittimet tietävät mihin verkkoon IP-paketteja tulee välittää. Huom! Allaolevat ovat eri asioita, vaikka käytetään samoja termejä! verkkotunnus = konetunnus = 241 verkkotunnus = sonera.fi konetunnus = www Verkon osoitteen yksilöllisyyden vaatimuksista voidaan poiketa kahdessa tapauksessa. Ensinnäkin mikäli verkko ei ole kytkettynä Internetiin eli kyseessä on suljettu verkko ja toiseksi mikäli reitittimessä tai palomuurissa käytetään NAT-tekniikkaa (tästä lisää jatkossa). Tällöin on periaatteessa sama, mitä osoitteita verkossa käyttää, mutta näitä tapauksia varten on kuitenkin olemassa erityiset rekisteröimättömät IP-osoitteet, joita suositellaan käytettäväksi. Vapaat osoiteavaruudet ovat kpl A-luokan verkkoja kpl B-luokan verkkoja kpl C-luokan verkkoja Lisäksi kaksi osoiteavaruutta, ja , on varattu erikoistarkoituksiin. Verkko 0 on oletusreitti ja verkko 127 on takaisinkytkentäosoite (yleensä käytetään ). Myös numerot 0 ja 255 on varattu kaikissa osoiteluokissa ja niitä käytetään reititystaulukoissa. Laitenumero 0 tarkoittaa itse verkkoa eli osoite tarkoittaa

10 Luku 2 IP-osoitteistus 9 koko C-luokan verkkoa Laitenumero 255 on levitysosoite (broadcast), jolla viitataan kaikkiin verkon asemiin eli osoitteeseen lähetetty paketti menee verkon kaikille asemille. Myös osoiteavaruus on ennalta varattu. Sitä käyttää hyväkseen mm. Windows 2000 käyttöjärjestelmän DHCP-palvelu. Internet-verkkoon kytkettäville koneille on hankittava IP-osoitteet Internetyhteyksiä tarjoavalta verkko-operaattorilta (esim. Sonera). IPosoiteavaruuden omistaa ICANN (Internet Corporation for Assigned Names and Numbers), aiemmin IANA, joka on delegoinut niiden jakamisen maantieteellisesti (IPE NCC - Eurooppa, AIN - Amerikka, APNIC - Aasia). Nämä alueelliset rekisterit jakavat osoitteet verkko-operaattoreille. ICANN IPE NCC Sonera Yritys Oy Funet SAMK Huom! IP-osoitteiden lisäksi täytyy hakea myös domain-nimi! (tästä jatkossa lisää) IP-osoitteita on perinteisesti jaettu A-, B- ja C-luokan osoiteavaruuksina seuraavan taulukon mukaisesti: Luokka Verkkotunnus Verkkomaski Esimerkki Konetunnus esim. IP-esimerkki A B X C X.Y osoitteen 1. tavusta näkee siis luokan Luokan C jälkeiset osoitteet on varattu niin sanotuiksi ryhmälähetyosoitteiksi ( ) ja kokeilukäyttöön ( ). Yritykset, joiden verkko koostui alle 255 koneesta, hankkivat siis C-luokan osoiteavaruuden, ja yritykset, joiden verkko koostui yli 255 koneesta, hankkivat B-luokan osoiteavaruuden. Internetin konemäärän räjähdettyä alkoi B-luokan osoitevaranto nopeasti vähentyä. Aluksi yritykset pakotettiin käyttämään useampaa C-luokkaa. Tästä aiheutui kuitenkin uusia ongelmia, koska jokainen C-luokan (ja tietysti myös A- ja B-luokan) verkko tarvitsee oman merkinnän reititystaulukoihin. eitittimien reitystaulukot uhkasivat paisua liian suuriksi niiden suorituskykyyn nähden. Tämä ongelma ratkaistiin siten, että nykyään suurille verkko-operaattoreille

11 Luku 2 IP-osoitteistus 10 (palveluntarjoajille) annetaan laajoja, peräkkäisiä osoitealueita, jotka vaativat vain yhden merkinnän reititystaulukkoon verkko-operaattorille tulevaa liikennettä varten. Tästä seuraa tietysti se, että verkkooperaattoreiden jakamat osoitteet ovat nykyään operaattorisidonnaisia eli tietyltä operaattorilta saadut osoitteet täytyy operaattoria vaihdettaessa luovuttaa takaisin. Kuitenkin edelleen löytyy myös vanhoja IP-osoitteita, jotka eivät ole sidoksissa mihinkään operaattoriin. Sama peräkkäisten osoitealueiden idea laajenee myös ylöspäin eli esim. osoitealueet on jaettu Euroopalle, jolloin siis tiedämme, että esim. verkkoihin ja johtaa sama reitti Euroopan ulkopuolelta. Vastaavasti on jaettu Amerikalle, Aasialle ja Euroopalle. Euroopan palveluntarjoajien jakamat osoitelohkot löytyvät osoitteesta Yleinen tapa jakaa esimerkiksi C-luokka verkon IP-laitteiden kesken: Palvelimet 1 9 Tulostimet Varalla Kiinteät IP:t työasemille DHCP:n jakamat IP:t Varalla Verkon laitteet (kytkimet, etäpalvelimet,...) eitittimet Aliverkotus (subnetting) Useassa (vanhemmissa) suomalaisessa yritysverkossa on käytössä yksi B- luokan verkkotunnus, joka kattaa useita reitittimillä yhdistettyjä osaverkkoja. Tällöin B-luokan osoiteavaruus on jaettu osiin eli aliverkotettu. Aliverkko määritellään muuttamalla IP-osoitteen maski (vrt. koneen TCP/IP-asetusten Subnet mask). Ulkopuolisten verkkojen reitittimissä näkyy ainoastaan koko B-luokka yhden kerran, mutta sisäisessä verkossa on sovittu, että B-luokan osoiteavaruus jaetaan sisäisesti C-luokan osoitealueisiin. Verkon sisäisissä reitittimissä löytyy reitti kaikkiin aliverkkoihin erikseen. Maskin tehtävä on kertoa, erottamalla verkkotunnus osoitteesta, mitkä koneet kuuluvat samaan paikalliseen (lähi)verkkoon ja mitkä koneet ovat saavutettavissa reitittimen kautta. Aliverkotuksessa on myös se hyvä puoli, että sen avulla verkonhallitsija voi delegoida osoitteiden hallinnan pienemmille ryhmille organisaation sisällä. Tämä voi usein olla poliittisesti järkevää, vaikkei teknisesti olisikaan välttämätöntä.

12 Luku 2 IP-osoitteistus 11 Teknisesti aliverkotus vähentää liikenneruuhkia, koska levitysviestit, kuten AP- JA DHCP-kyselyt, eivät normaalisti välity reitittimien yli (DHCP voidaan konfiguroida menemään läpi) verkko Maski: Maski: Maski Uudemmissa verkoissa käytetään (koska siis B-luokan osoiteavaruuksia ei enää käytännössä jaeta) vastaavasti usean C-luokan verkkotunnusta. Yleensä kullekin lähiverkon osalle asetetaan oma C-luokan osoiteavaruus Maski: Maski: Maski:

13 Luku 2 IP-osoitteistus 12 Jos yrityksellä on useita lähiverkkoja, joissa jokaisessa on vain muutama kone, niin C-luokan osoiteavaruus joudutaan aliverkottamaan. C-luokan klassisessa aliverkottamisessa osoitealue jaetaan tasakokoisiin osoitelohkoihin. Allaolevissa taulukoissa on esimerkkejä C-luokan klassisesta jakamisesta aliverkkoihin. C-luokka: Aliverkko maski: Aliverkon tunnus IP-osoitteet aliverkossa Broadcast-osoite C-luokka: Aliverkko maski: Aliverkon tunnus IP-osoitteet aliverkossa Broadcast-osoite C-luokka: Aliverkko maski: Aliverkon tunnus IP-osoitteet aliverkossa Broadcast-osoite C-luokka: Aliverkko maski: Aliverkon tunnus IP-osoitteet aliverkossa Broadcast-osoite (Ali)verkkomaski (Ali)verkkomaskin merkityshän on siinä, että se kertoo laitteille ja reitittimille, mistä kohdasta osoite jakautuu verkkotunnukseen ja konetunnukseen (samassa verkon osassa toimivilla koneilla tulee olla sama verkkotunnus). Verkkomaskin ykkösbitit kertovat verkkotunnusosan ja nollabitit konetunnus-osan. Paikallinen aliverkkomaski tulee konfiguroida kaikille koneille ja reititittimille, jotta ne tietävät mikä osoitealue on asetettu käyttöön paikallisessa lähiverkossa. Aliverkkomaski esitetään perinteisesti 4-tavuisena numerosarjana, jonka merkitys selkenee,

14 Luku 2 IP-osoitteistus 13 kun sen kirjoittaa auki binäärimuodossa (vrt. jälkimmäisessä esimerkissä yo. taulukkoa): Verkkotunnus ( ) Konetunnus (93) Verkkotunnus ( ) Konetunnus (29) Sekä osoitteen että maskin esittäminen on vaivalloista osoitteita kirjoitettaessa. Siksi osoitteiden esittämistä varten on kehitetty lyhennetty esitystapa. Sen sijaan että kirjoitettaisiin erikseen osoite ja maski , kirjoitetaankin /26, jossa prefiksi ilmoittaa, montako bittiä osoitteen verkkotunnus-osaan kuuluu. Allaolevassa taulukossa on esitetty C-luokan mahdolliset aliverkkomaskit (vrt. edellisen sivun taulukkoa). Verkkomaski Verkkotunnuksen pituus Aliverkkoja Osoitteita aliverkossa / = / = / = / = / = / = / = / = 0 Luokaton reitittäminen Klassinen aliverkotus pakottaa jakamaan osoitealue tasakokoisiin osiin. Verkon osat ovat yleensä kuitenkin eri kokoisia, jolloin tästä aiheutuu osoitealueen epätaloudellista käyttöä. Uudet reitittimet ja reititysprotokollat tukevat luokatonta reitittämistä (CID, Classless Inter-Domain outing), joka mahdollistaa vaihtuvamittaisen aliverkottamisen. Luokaton reitittäminen on menetelmä, jossa reitittimet määrittävät verkkotunnuksen maskin eikä osoiteluokan perusteella. Vaihtuvamittaisessa aliverkottamisessa osoitelohkot ovat kooltaan kahden potensseja (4, 8, 16, 32, 64,...). Käytännössä tämä tarkoittaa sitä, että esim.

15 Luku 2 IP-osoitteistus 14 C-luokka jaetaan osiin valitsemalla klassisen aliverkotuksen mukaisista jaoista sellaiset, jotka eivät mene keskenään päällekkäin. Allaolevassa taulukossa on esimerkki C-luokan vaihtuvamittaisesta jakamisesta aliverkkoihin (vrt. edellisen sivun taulukoihin). C-luokka: Vaihtuvamittaiset aliverkot: /25, /26, 2 x /27 Aliverkon maski Aliverkon tunnus IP-osoitteet aliverkossa Broadcast-osoite (/25) (/26) (/27) (/27) Ylläolevan taulukon jakoa voitaisiin käyttää allaolevan kuvan mukaisesti verkko Maski: Maski: Maski: Aiemmin todettiin, että jos yhdellä C-luokalla ei saada katettua kaikkia verkon koneita, otetaan käyttöön useampia C-luokan verkkotunnuksia ja asetetaan kullekin lähiverkon osalle oma C-luokan osoiteavaruus. Tällöin tarvitaan kuitenkin reitittimiä apuna, koska samassa lähiverkossa, mutta eri osoitealueissa olevat koneet, eivät voi muuten liikennöidä keskenään. Tämä luonnollisesti myös kuormittaa reititintä ja mahdollisesti hidastaa koneiden välistä liikennöintiä.

16 Luku 2 IP-osoitteistus 15 Jos C-luokan osoiteavaruudet ovat peräkkäisiä, niitä on parillinen määrä ja osoitteista pienimmän kolmas oktetti on jaollinen niiden määrällä, voidaan ne yliverkottaa (supernetting) sopivalla verkkomaskilla. Tämä sama verkkomaski konfiguroidaan kaikkiin koneisiin, jolloin kaikki koneet kuuluvat samaan osoitealueeseen ja lähiverkkoon. Tässäkin on siis kyse luokattomasta reitittämisestä. Allaolevassa taulukossa on esitetty joitakin ylimaskauksia. Verkkomaski Verkkotunnuksen pituus C-lk:n verkkoja Osoitteita verkossa / = / = / = / = 510 Aiemmin esitetyssä erillisten C-luokkien käytössä (jos verkko-operaattorilta on itse asiassa saatu neljä peräkkäistä C-luokkaa) voitaisiin nyt siis luopua reitittimistä - edellyttäen että etäisyydet eivät ole ongelma: Maski: Huomaa, että edelleen kaikissa ali/yliverkotus tapauksissa (lähi)verkossa olevien koneiden täytyy tietää ainoastaan paikallisessa verkossa käytettävä verkkomaski, jonka perusteella ne tietävät, mitkä koneet löytyvät paikallisesta verkosta ja mitkä reitittimen takaa. Verkko-operaattoritkin jakavat siis nykyään osoitteita (luokattoman reitittämisen periaatteen mukaisesti) lohkoina, joiden koot kulkevat kahden potensseissa. Tämä on mahdollista, koska vaihtuvamittaiset aliverkot ovat lähinnä reitittimien ominaisuus eli verkko-operaattorin omassa verkossaan muodostamat aliverkot ovat näkymättömiä IP-osoitteet hankkineelle yritykselle. Pienen lähiverkon omaava yritys voi siis nykyään hankkia verkko-operaattorilta Internet-reititinliityntäänsä varten esim. 32 osoitetta ja isompi yritys esim. 512 osoitetta.

17 Luku 2 IP-osoitteistus 16 IPv6 Luokaton reitittäminen on väliaikainen ratkaisu, vaikka se tarjoaakin helpotusta osoitteistukseen ja reititykseen moneksi vuodeksi. Pitkän aikavälin ratkaisu on nykyisen osoiterakenteen korvaaminen kokonaan uudella. IETF (Internet Engineering Task Force) onkin jo luonut uuden version nimeltä IPv6. IP-protokollan uudessa versiossa osoitteet on laajennettu 16 tavuun nykyisen 4 sijaan, jolloin osoitteiden loppumisen vaaraa ei pitäisi koskaan tulla. Itse asiassa on ehkä oikeampaa sanoa, että osoite käyttää 16 oktettia, koska osoite kirjoitetaan kahdeksan kahden oktetin parina ja erotetaan kaksoispisteellä. Oktetit esitetään heksadesimaalimuodossa, esim.: 4A3F:AE67:F240:56C4:3409:AE52:440F:1403 Osoitteiden kirjoitusasu siis muuttuu, jolloin muodostuu ongelmia yhteensopivuudessa vanhojen järjestelmien kanssa. Koska osoitteet pitenevät, tulee niiden muistaminenkin lähes mahdottomaksi eli DNSnimipalvelun rooli tulee vahvistumaan. IPv6-osoitteet talletetaan nimipalveluun AAAA-tietueina. Merkittävimpiä muita muutoksia uudessa versiossa ovat liikkuvien koneiden tuki eli kone voi pitää oman osoitteensa koko verkossa riippumatta siitä, missä se liitetään verkkoon, pakettien salaus ja allekirjoitus sekä mahdollisuus kaistanvaraukseen aikakriittisiä sovelluksia varten (esim. ääntä ja videota käyttävät sovellukset). IPv6:n käyttöönottoa hidastaa laitevalmistajien haluttomuus sitoutua uuteen protokollaan sekä osoitteiden piilotus NAT-tekniikalla, jolla vanhan IP:n (IPv4) käyttöaikaa saadaan pidennettyä. Lisätietoja korkeakoulujen IPv6:sta ja hankkeista

18 eitityksestä 17 eitityksestä LUKU 3 eitittimestä löytyy tavallisesti yksi tai useampia LAN-liityntöjä ja useampia LAN-liityntöjä ja samoin yksi tai useampia WAN-liityntöjä. useampia WAN-liityntöjä. Lähiverkon keskitin (hubi) tai kytkin keskitin (hubi) tai kytkin liitetään Ethernet-parikaapeloinnilla reitittimen LAN-liityntään. Etäyhteyttä (Internet-yhteyttä) varten reitittimessä on (a)synkroninen sarjaliityntä. Käytettävä liikennöintinopeus riippuu reitittimiin kytkettävistä laitteista. Allaoleva kuva havainnollistaa liityntöjä: WAN-liityntä EITITIN V.35 modeemi Internet KESKITIN LAN-liityntä Työasema eitittimillä yhdistetään siis normaalisti kahta verkkoa (omia broadcastalueitaan). Yleisesti ottaen yhdistäminen voidaan tehdä joko yhden reitittimen eri liitännöillä tai kahdella eri reitittimellä: tai

19 eitityksestä 18 Tarvitaan siis IP-osoitteisto (verkkotunnus) molempiin verkkoihin. Tämän lisäksi tarvitaan verkkotunnukset reitittimen WAN-liitynnöille. Eli reitittimen jokaiselle verkkoliitynnälle varataan jokin IP-osoite siitä verkkoavaruudesta, johon liityntä kuuluu. Allaolevassa kuvassa on yrityksellä kaksi erillistä lähiverkkoa, joissa molemmissa on käytössä oma C-luokka: Verkko: Maski: Verkko: Maski: Lähiverkot voidaan nyt yhdistää kahdella reitittimellä, jolloin reitittimien väliselle linkille tarvitaan oma verkkotunnus. Olisi tietysti tuhlausta käyttää linkille koko C-luokan osoiteavaruus, joten tarvitaan muita keinoja. Verkko: Maski: ? Verkko: Maski: Mahdollista voisi olla toisen C-luokan (vaihtuvamittainen) aliverkottaminen ja liityntöjen IP-osoitteiden asettaminen esimerkiksi seuraavasti: Verkko: Maski: Verkko: Maski: Verkko: Maski: WAN-liitynnät voidaan tarvittaessa jättää ilman IP-osoitteita, jolloin säästetään hyvinkin paljon IP-osoitteita. Tällöin puhutaan numeroimattomista liitynnöistä. Kun liitynnöillä ei ole omia IP-osoitteita, ovat reitittimien väliset yhteydet reititysprotollien varassa. IP-pakettien välityshän tapahtuu normaalisti niin, että mikäli lähettävä kone/laite maskin perusteella toteaa, että vastaanottaja on samassa verkossa, kone lähettää paketit suoraan vastaanottajalle. Jos vastaanottajan osoite

20 eitityksestä 19 kuuluu eri verkkoon, paketti lähetetään reititystaulun perusteella siihen yhdyskäytävään/reitittimeen, jonka takaa vastaanottaja löytyy. Kaikissa IP-protokollaa ymmärtävissä koneissa ja laitteissa (siis esimerkiksi työasemissa ja reitittimissä) on reititystaulu, josta löytyy niiden tuntemat verkkotunnukset sekä tiedot mistä ne löytyvät. Windows-koneen reititystaulun sisällön näkee komennoilla route PINT netstat -rn Vain yhtä verkkoyhteyttä käyttävissä koneissa käyttöjärjestelmän luomia reittejä ei tarvitse yleensä itse muuttaa, koska tarvittavat tiedot saadaan koneen TCP/IP-asetuksista. Seuraavassa on (fiktiivinen) esimerkki Tiedepuiston työaseman mahdollisesta reititystaulusta: Network Destin Netmask Gateway Interface Ensimmäinen rivi on oletusreitti (default route), jota käytetään, jos reititystaulussa ei ole muita kohdeosoitteeseen sopivia rivejä. Tämä on yhdyskäytävä (gateway) eli normaalisti lähiverkon Internettiin yhdistävä reititin. Toinen rivi kertoo, että koneeseen lähetetyt viestit toimitetaan koneelle itselleen eli loopback/callback-osoitteeseen. Kolmas rivi kertoo, että samaan C-luokkaan kuuluvat koneet löytyvät samasta paikallisverkosta. Neljännellä rivillä määritellään broadcast-osoite eli levitysviestit lähetetään koneen oman verkkokortin kautta. Viides rivi määrittää loopback-verkon, kuudes multicast-verkon ja seitsemäs koko verkon yleislähetysosoitteen. Toisena esimerkkinä Tiedepuiston soittopalvelimelle etäyhteydessä olevan työaseman reititystaulu, jossa kaikki (paitsi koneen itsensä) paketit reititetään soittopalvelimelle (jonka dynaamisesti antama IP-osoite tässä esimerkissä on ): Network Destin Netmask Gateway Interface Nyt ensimmäinen rivi kertoo, että oletusreittinä on kone (tai siis sen verkkokortti) itse. Kolmas rivi kertoo, että levitysviestit lähetetään myös koneen oman verkkokortin kautta. Vastaavasti reitittimilläkin on oma reititystaulu, joka ilmoittaa mitkä verkot on yhdistetty liityntöjen taakse. Esimerkiksi allaolevaa tilannetta