S Tietoliikenneverkot Verkkojen välinen liikenne

Transkriptio

1 S Tietoliikenneverkot Verkkojen välinen liikenne Markus Peuhkuri 22. syyskuuta 1999 Luennon aiheet Internet Protocol (IP) osoitearitmetiikka IPng eli IPv6 Internetin nimipalvelu Muut verkkoprotokollat Internet Protocol (IP, DoD IP) Nykyisin käytössä versio 4 (RFC 791, 1981) Toimii verkkokerroksella Sähkepohjainen tarjoaa best-effort -palvelun olettaa vähän alla olevalta verkolta 32-bittinen osoite sisältää verkkonumeron alunperin jako A, B ja C-luokkiin nykyään aliverkon koko voidaan melko vapaasti valita (CIDR) DF: Don t Fragment lohkominen kielletty MF: More Fragments mikäli paketti on lohkottu, tämä on asetettu kaikissa muissa lukuunottamatta viimeistä lohkoa. Pakettien lohkominen Paketin maksimikoko vaihtelee verkoissa PPP (ld): 296, x.25: 576, eth: 15, FDDI: 4352, ATM Classical IP: 9168, 16Mb TR: 17914, Hyperchannel: isommat paketit tehokkaimpia, koska vähämmän otsikoita prosessoitavana datamäärään nähden Lohkomistavat joka yhteydellä, kasaus jokaisessa reitittimessä ) viive, hukkuneet paketin osat, muistitarve vain tarvittaessa pienemmiksi, kasaus kohdekoneessa Verkossa tapahtuva lohkominen yleisesti haitallista, koska paketti on hyödytön jos yksikin osa puuttuu. ) IPv6:ssa verkossa paketteja ei lohkota Minimi MTU on 128 tavua: mikäli jollain linkillä on tätä pienenpi, linkille tulee toteuttaa oma IP-kerroksen alapuolella oleva lohkominen (a) Network Host H1 R1 R2 R3 H ETH IP (14) FDDI IP (14) P2P IP (512) ETH IP (512) (b) 1 Network Host P2P IP (512) P2P IP(376) ETH IP (512) ETH IP(376) (c) 1 1 IP - paketti 21 8 Network Host versio ots. pit DS-tavu kokonaispituus (max 65535) tunniste D M F F lohkon sijainti elinaika protokolla otsikon tarkistussumma lähdeosoite kohdeosoite option tyyppi option pituus option data option data... täyte Liikennöinti samassa verkossa Vastapuolen MAC-osotteen selvittäminen: Address Resolution Protocol [4] 1. lähettää levitysviestinä ARP-kyselyn ) muut koneet oppivat 2. kone vastaa joko kohde- tai levitysviestinä 3. mikäli ei käyttöä, poistuvat vähitellen ( 15 min) Perusmuoto Ethernet-verkoissa käytetty, sovellukset muihin, esimerkiksi ATM-verkkoihin 1

2 Reverse ARP: oman IP-osotteen selvittäminen hw-pit. laitteistotyyppi protokollatyyppi toiminto lähettäjän hw lähettäjän IP kohteen hw kohteen IP proto-pit. Osoitearitmetiikkaa Kaksi konetta samassa verkossa, jos verkko-osoite on sama Levitysosoite: verkko-osoite + käänteinen peite ^ _ ^ ^ _ Liikennöinti toiseen verkkoon Tunnistetaan verkkomaskin perustella reititystaulut koneissa yleensä yksi "default gateway" lähetetään reitittimen MAC osotteeseen proxy arp Reititin päättää taulukon perusteella kohteen staattinen konfigurointi ) ei vikasietoinen dynaaminen konfigurointi reitittimet vaihtavat reititysprotokollaa käyttäen käsitystään verkosta ) mukautuu verkon muutoksiin Osoitteiden jako Osoitteet blokkeina operaattoreille [2] ) reititystaulujen koko pysyy hallinnassa (CIDR) pienin lohko 32 C-luokan verkkoa (/19) vanhoja C-luokan verkkoja käytössä Jako maantieteellisesti Eurooppa RIPE NCC (Reseau IP Europeens) Amerikka ARIN (American Registry for Internet Numbers ) Aasia APNIC (Asia-Pacific Network Information Center) Yksityiset osoitteet [6]: 1/8, /12 ja /16 Eivät reititettäviä organisaation ulkopuolelle ) NAT: Network Address Translation Osoitearitmetiikka Perusongelmat onko kaksi osoitetta samassa verkossa mikä on levitysosoite k.o. verkossa Verkkopeite (netmask) ilmaisee, mikä osa osoitteesta on verkon osoite ja mikä koneen osoite verkossa arvona ( , xfffffc) pituutena (/22, [/1]) suoritetaan bitti-ja -toiminto osoitteen ja peitteen välillä ) tuloksena verkko-osoite Internet Control Message Protocol (ICMP) Pakollinen osa kaikkia IP-toteutuksia [5] virheistä tiedottaminen saavutettavuustestaus, suorituskykymittaus ruuhkanhallinta ei suositella käytettäväksi reitin muutos, aliverkkomaski Sovellukset ping kohteen saavutettavuus, viive traceroute reitti kohteeseen: lähettää UDP-paketteja eri TTL-arvoilla, vastauksena ICMP Time Exeeded tai ICMP Destination Unreachable 2

3 IP:n päällä käytettävät protokollat TCP luotettava tavuvirta UDP sähkepalvelu GGP, EGP, OSPF, ISIS reititystieto RSVP resurssien varaus VINES Banyan Vines mikroverkko ISO-IP ISO Internet Protocol, ISO-TP4 - ISO Transport Protocol Class 4 IP: tulevaisuuden vaatimukset nykyään palvelee "tietokoneyhteisöä": nykyisin Internettin liittyneiden verkkojen määrä kaksinkertaistuu vuosittain kasvun seuraava vaihe jakautuu useille markkinoille liikkuvat informaatiovälineet: langattomat (radio/infrapuna) verkot verkkoviihde: tilausvideo, pelit laitteiden ohjaus kotiautomatio IP->IPng väistämätöntä 3-7 seuraavan vuoden aikana reititys ja osotteistus IPv4:ää tekohengitetty Classless Inter-Domain Routing ) C-luokan verkkoja annettu operaattoreille nipuissa verkot loppuvat tuki liikkuville laitteille siirtyminen helpompaa niin kauan kuin osoitteet ja verkot riittävät edellytykset: IPv4 ja IPng toimivat yhdessä, joustava siirtyminen ) taaksepäin yhteensopiva (vrt x86-prosessorit) Turvallisuuden parantaminen IPng: IPv6 laajennetut reititys- ja osoituskapasiteetit 32->128 bittiä: enemän hierarkiatasoja, enemän mahdollisia asemia ja yksinkertaisempi konfigurointi jakelulähetysreititys (multicast) skaalattavampi jokulähetys (anycast): lähetetään jollekin useasta yksinkertaisempi otsake enemän optionaalista: osoite 4*=>otsake 2* nopeampi käsittely ja kaistanleveyden säästö parempi tuki optioille tehokkaampi edelleenohjaus, vähemän rajoituksia ja mahdollisuus uusille järjestys määrätty => nopeampi käsittely IPng: IPv6... palvelun laatu ) paketit kuuluvat tiettyihin virtoihin, joille pyydetään erityiskäsittelyä, esim tosiaikasovellukset tunnistaminen ja yksityisyys ) mekanismit tunnistamiseen, tiedon eheyteen ja luottamuksellisuuteen ovat peruselementteinä: mukaan kaikkiin toteutuksiin IPv6 otsake versio DS-tavu vuotunniste kokonaispituus seuraava otsake hyppyraja lähdeosoite (128 bittiä) kohdeosoite (128 bittiä) lisäotsakkeet (reititys, autentikointi, hyppykohteiset optiot, kohdeoptiot) ylemmän tason protokolla IPv6 osoitteistus [1] 7; kertaa IPv4:n osoiteavaruus ) tehollisia osotteita ( osoitetta/m 2 ), 15 % määritelty Esitetään heksadesimaalisena x:x:x:x:x:x:x:x 16 bitin ryhmissä Esimerkiksi FEDC:BA98:7654:321:FEDC:BA98:7654:321 18::::8:8:2C:417A Pitkät nollaryhmät voidaan tiivistää FF1:::::::11 ) FF1::11 IPv4-osoitteiden ::FFFF: Osoitteet yhteiskäyttö Osoitteet ovat verkkoliitäntäkohtaisia, ei laitekohteisia. Laitetta voidaan osoittaa millä tahansa sen verkkoliitännän osoittella. Kohdelähetys tiettyyn (yhteen) verkkoliitäntään osoitettu viesti (unicast). Ryhmä(?)lähetys määrittää joukon verkkoliitäntöjä: paketti välitetään lähimmälle (anycast). Jakelulähetys määrittää joukon verkkoliitäntöjä: paketti välitetään kaikille ryhmään kuuluville liitännöille (multicast). Levitysviestit (broadcast) on korvattu jakelulähetyksillä. 3

4 Osoiteiden jako FP Osuus Käyttö 1/256 määrittelemätön osoite, silmukoitiosoite ja IPv4 1 1/256 vapaa 1 1/128 varattu NSAP-käyttöön 1 1/128 varattu IPX-käyttöön 11 1/128 vapaa 1 1/32 vapaa 1 1/16 vapaa 1 1/8 yhdistettävät globalit kohdelähetysosoitteet 1 1/8 vapaa 11 1/8 vapaa 1 1/8 vapaa 11 1/8 vapaa 11 1/8 vapaa 111 1/16 vapaa /32 vapaa /64 vapaa /128 vapaa /512 vapaa /124 linkkipaikallinen kohdelähetysosoite /124 verkkopaikallinen kohdelähetysosoite /256 jakelulähetysosoiteet Osoiterakenne Globaali yhdistettävä osoite FP TLA ID var. NLA ID SLA ID liitäntätunniste FP muototunniste 1 (Format Prefix) TLA ID korkeimman tason koontitunniste (Top-Level Aggregation ID) var. varattu tulevaa käyttöä varten NLS ID seuraavan tason koontitunniste (Next- Level) SLA ID verkkotason koontitunniste (Site- Level), käytettävissä organisaation sisällä aliverkotukseen liitäntätunniste EUI-64 -muodossa oleva globaalisti (tai paikallisesti) unikki osoite Linkkipaikallinen Verkkopaikallinen IPv4-osotteita vastaavat liitäntätunniste aliverkko liitäntätunniste Tunnistaminen ja eheys sekä IPv6 että IPv4 osaaville IPv4-osoite vain IPv FFFF IPv4-osoite Ryhmälähetys: kohdelähetysosoite Verkon reitittimet: liitäntätunniste Jakeluosoite FP liput laajuus ryhmätunniste FP muototunniste (Format Prefix) liput T; T = pysyvä ( well-known ) ryhmä, T = 1 tilapäinen ryhmä laajuus ryhmän laajuus: laite, linkki, verkko, organisaatio, globali ryhmätunniste aluksi vain alimmat 32 bittiä käytössä (2 32 ryhmää) Esimerkiksi osoite FF2:::::::1 vastaa nykyisiä levitysviestiosoitteita ja FF5:::::::2 kaikkia verkon reitittimiä. IPv6 reititys lähes kuten IPv4 Classless Inter-Domain Routing:llä vanhat reititysprotokollat käyttökelpoisia suoraviivaisilla muutoksilla OSPF, RIP, BGP uudet ominaisuudet tarjoajan valinta (hinta, suorituskyky...) liikkuvuus (reitti nykyiseen sijaintiin) automaattinen uudelleenosoitteistus (reitti uuteen osoitteeseen) perustuvat "Routing-optioon ) reitti tallentuu ja vastapuoli lähettää samaa reittiä takaisin IPv6 palvelun laatu Vuotunnus "satunnainen" mahdollistaa erikoispalvelujen tarjoamisen voidaan käyttää reitityksen ja vuonvarauksen tehostamiseen DS-tavu alunperin realiaika / elastinen: 8+8 prioriteettia nykyisin Differentiated Services mukainen käyttö [3] IPng turvallisuus käyttää IPng Authentication Header -osaketta suojaa tekeytymiseltä ylemmillä kerroksilla ei ole ollut hyvää suojaa Eheys ja luottamuksellisuus käyttää IPng Encapsulating Security Header ei sidoksissa yhteen salausalgoritmiin Ongelmana (USA:n) vientikiellot, patentit ja viranomaisten politiikka vahva salaus kielletty tai rajoitettu Ranskassa, Belgiassa ja Englannissa 4

5 IPng:hen siirtyminen Vaiheittainen siirtyminen pienet riippuvuudet (DNS) osotteita ei ole välttämätöntä muuttaa Pienet kustannukset IPv4-osotteita voidaan käyttää (:: ) alkuvaiheessa laitteet kaksineuvoisia IPv6 kapselointi IPv4-paketteihin IPv4-liikenteen reitittäminen vain-ipv6 verkossa suunniteltu (siirtymän viimevaihe) paikallisia laitteita (esim kirjoittimet) ei tarvitse koskaan päivittää Nimipalvelu Numerot vaikeasti muistettavia koneille helppoja käsitellä (kiinteämittaisina) tunnus kuvaus A IP-osoite NS auttoratiivinen nimipalvelin XXX CNAME nimi aliakselle SOA aukkoriteettialueen alku WKS tunnetut palvelut PTR osoite nimeen (osoitteesta nimi) HINFO tietoa koneesta MX postinvälityksestä huolehtiva kone TXT tekstiä RP vastuuhenkilö LOC sijainti (koordinaatit) AAAA IPv6 osoite kaikki tietueet Nimen selvittäminen Ohjelma kysyy käyttöjärjestelmän kirjastolta Kirjasto omalta nimipalvelimelta saa joko kysytyn vastauksen tai tiedon "kuka tietää" tallentaa kyselyjen vastaukset, myös negatiiviset Kuvaavat nimet helpompia ihmisille knows fi juuripalvelin Litteä nimiavaruus ) ei rakennetta nimissä Hierrarkinen nimiavaruus ) nimet muodostavat puumaisen rakenteen 8-luvun puoliväliin kaikki Internetin koneet yhtenä tiedostona ) keskitetty ylläpito, lähetettiin sähköpostitse jokaiselle ylläpitäjälle DNS Hierrarkinen jaettu hallinnollisesti itsenäisiin osa-alueisiin kaksi tai useampi nimipalvelin joka alueella Tietokanta <nimi, arvo, tyyppi, luokka, elinikä> tyyppi: miten nimi-arvo tulkitaan luokka: tyyppien määrittelijä (IN) elinikä: kuinka kauan tietue on voimassa nimipalvelin asiakaskone Oma nimipalvelin lähtee selvittämään niin ylhäältä kuin tarpeen is Nimen valitseminen knows hut.fi knows tky.hut.fi is Päätason maatunnisteet (ISO3166) USA: com, org, net, gov, mil fi hut.fi tky.hut.fi Kunkin päätason hallinnoija jakaa organisaatiotunnisteet Suomi: THK, tietokantaa ylläpitää Eunet Organisaation sisällä vapaa: litteä tai hierrarkinen esimerkiksi osastoittain Koneiden nimeäminen palveluidenmukaan(mail,news,ftp,www,...) teemanmukaan(planeetat,alkuaineet,...) organisatorisesti(hyflt12,lk-hp-1,...) käyttäjänmukaan(erkkipc,...) Mahdollisesti turvakysymys 5

6 IP-liikenteen vaiheet Nimikysely ARP-kysely nimipalvelijan tai (oletus)reitittimen osotteelle nimikysely nimipalvelijalta ) mahdollisesti vastaus vaatii kyselyjä IP-datagrammin lähettäminen ARP-kysely kohdekoneen tai (oletus)reitittimen osotteelle Ylempien protokollien yhteyden luominen Liikennöintiesimerkki DNS-palvelin asiakas reititin reititin IEEE82.3 Frame Relay IEEE82.3 DNS query DNS responce DNS query DNS responce DNS-palvelin HTTP-palvelin ISO Esitystapakerros ASN.1 (abstract syntax notation number one) koodaus- ja purkurutiinit UNIVERSAL: esim kokononaisluvut CONTEXT-SPECIFIC APPLICATION PRIVATE rakenteet UNIVERSAL SEQUENCE SEQUENCE OF SET SET OF CHOISE ASN.1 Formaali määrittely, josta voidaan tuottaa koodia pc54.aik.on ns1.aik.on gw.nos.re ns.nos.re serv.nos.re Koodaus ISO-protokollat palvelumäärittely (m) mitä palveluja protokolla tarjoaa ylöspäin ja mitä palveluja se voi käyttää request, confirm, indication, response protokollamäärittely (()) määrittää Protocol Data Unit:n vertaisolioiden kanssa keskusteluun Service Access Point määrittää kunkin kerroksen palvelunsaajan ISO protokollan määrittely Määritellään kaikki tulevat tapahtumat tilat lähtevät tapahtumat ja toiminnot tilamuuttujat ja määritteet Luodaan laajennettu tapahtuma-tila -taulukko tietty tapahtuma tietyssä tilassa aiheuttaa siirtymän toiseen tilaan tapahtuma voi olla yläpuolelta tuleva (palvelupyyntö) alapuolelta tuleva (dataa saatu) paikallinen tapahtuma (ajastin) ainoastaan määritellyt tapahtumat laillisia tunniste pituus sisältö luokka rakenne tyyppi Novell Internet Packet Exchange (IPX) Perustuu Xerox Network Services:n Internet Datagram Protocol:aan verkko.kone.portti-osoite voi käyttää useita eri kehysmuotoja raaka 82.3 (ilman LLC-kehystä) LLC-paketointi (oma DSAP/SSAP-koodi) SNAP-kehystys (Sub-Network Access Protocol: Ethernet-kehystys LLC-kehyksessä) Tarjoaa yhteydettömän sähkepohjaisen liikenteen (kuten DoD IP) Reititettävä protokolla Point-to-Point protokollaa kaksipisteyhteyksillä IPX-pakettien "tunnelointi" IP-paketteihin IPverkkojen yli 6

7 Network [Basic] Input/Output System palvelurajapinta IBM PC-koneissa verkkoliikennöinnistä IBM:n dokumenttiin : "Technical Reference PC Network" siirtomedian suhteen joustava TCP/IP, DECnet, DLC, XNS, ISO TP4, IPX... perustuu nimiin (16 tavua) [5] J. Postel. Internet control message protocol. Request for Comments (Standard) STD 5, RFC 792, Internet Engineering Task Force, September (Obsoletes RFC 777). URL: [6] Y. Rekhter, B. Moskowitz, D. karrenberg, G. J. de Groot, and E. Lear. Address allocation for private internets. Request for Comments (Best Current Practice) RFC 1918 (BCP 5), Internet Engineering Task Force, February (Obsoletes RFC 1627, RFC 1597). URL: rfc/rfc1918.txt. litteä nimiavaruus reititys vaatii usein lisä-älyä reitittimeen "yksinkertaisin" siirtomedia NetBIOS Extended User Interface reititys ei mahdollista Yhteenveto IP merkittävin verkkoprotokolla koeteltu skaalautuvuus uusi versio tulossa Muilla omat käyttösovelluksensa parempi turvallisuus (ehkä) eri protokollien sekakäyttö kuormittaa laajasta skaalautuvuudesta ei kokemuksia Viitteet [1] R. Hinden and S. Deering. IP version 6 addressing architecture. Request for Comments (Standards Track) RFC 2373, Internet Engineering Task Force, July URL:http: // [2] K. Hubbard, M. Kosters, D. Conrad, D. Karrenberg, and J. Postel. Internet registry IP allocation guidelines. Request for Comments (Best Current Practice) RFC 25 (BCP 12), Internet Engineering Task Force, November (Obsoletes RFC 1466). URL: rfc25.txt. [3] K. Nichols, S. Blake, F. Baker, and D. Black. Definition of the differentiated services field (DS field) in the IPv4 and IPv6 headers. Request for Comments (Standards Track) RFC 2474, Internet Engineering Task Force, December (Obsoletes RFC 1455 and RFC 1349). URL: ietf.org/rfc/rfc2474.txt. [4] D. Plummer. Ethernet address resolution protocol: Or converting network protocol addresses to 48.bit ethernet address for transmission on ethernet hardware. Request for Comments (Standard) RFC 826, Internet Engineering Task Force, November URL: rfc826.txt. 7