Verkkokerros 1: IP-protokolla

Samankaltaiset tiedostot
2/24/15. Verkkokerros 1: IP-protokolla CSE-C2400 Tietokoneverkot Kirjasta , 4.4. ja 8.7. Verkkokerros. Verkkokerroksen tehtävä

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Internet Protocol version 6. IPv6

T Tietokoneverkot kertaus

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Verkkokerros ja Internet Protocol. kirja sivut

Verkkokerros ja Internetprotokolla

Verkkokerros ja Internetprotokolla

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

Verkkokerros ja Internetprotokolla

ELEC-C7241 Tietokoneverkot Verkkokerros

OSI ja Protokollapino

Verkkokerros. Verkkokerros ja Internet Protocol. End-to-end -argumentti. IP-otsikkotiedot. IP ja linkkikerros <#>

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Internet-protokolla versio 6

Internet-protokolla versio 6

Chapter 4 Network Layer

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Internet-protokolla versio 6

Internet-protokolla versio Miika Komu Kalvot: Sanna Suoranta Comer luku 31, 30 (vanha kirja ss )

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31 (vanha kirja ss ) Internet Protocol (IPv6)

Internet-protokolla versio 6

Internet-protokolla versio 6

T Tietokoneverkot

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. IPv6:n ominaisuudet. IPv6-osoitteet. ss

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Luennon sisältö. Internet Protokolla versio 6. Miksi vaihtaa? Internet-kerrosmalli. Kolme osoitetyyppiä Unicast - Yksilähetysosoite

Internet Protokolla versio 6

Internet-protokolla versio 6

Internet-protokolla versio 6

IPv6. IPv6. IPv6-otsake. Otsakekentät. 16 tavun osoitteet => rajaton määrä osoitteita

CIDR on kikkailua, ei ratkaise IP:n perusongelmia tavoitteita:

T Tietokoneverkot

T Tietokoneverkot

T Tietokoneverkot

T Tietokoneverkot

T Tietokoneverkot

Sisällysluettelo. Miksi vaihtaa?

T Tietokoneverkot Miika Komu Alkup. kalvot: Sanna Suoranta Tietoliikenneohjelmistot Tietotekniikan laitos Aalto-yliopisto

Tietoliikenneohjelmistojen pääainesauna tänään!

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Tietoliikenne- ja tietoverkkontekniikan laitos

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2010

Tämän kurssin sisältö. Tietoa tästä kurssista. Esitiedot. T Tietokoneverkot. TCP/IP-verkot ja niiden toiminta Turvallisuusominaisuudet

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Internetin turvallisuus

Tietoliikenneohjelmistojen pääainesauna tänään! Tietoa tästä kurssista. Tämän kurssin sisältö. T Tietokoneverkot

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Antti Vähälummukka 2010

Turvallisuus verkkokerroksella

AH-otsake. TCP/UDP -segmentti. Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla

AH-otsake. AH-otsake. IP-otsake. ESP-otsake. AH-otsake

IPv6-protokolla. Internet. Internetin verkkokerros

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon!

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

Tietoa tästä kurssista. Esitiedot. T Tietokoneverkot. TCP/IP-verkot ja niiden toiminta. Verkkosovellusten suunnittelu ja ohjelmointi

Kytkentäosa. Ulosmenoportit. Jonotus reitittimessä 001..

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Yhteenveto. CSE-C2400 Tietokoneverkot

Jaakko Ylituomaala. IPv4-protokollasta siirtyminen IPv6-protokollaan. Opinnäytetyö Kevät 2011 Tekniikan yksikkö Tietotekniikan koulutusohjelma

2. IPv6-protokolla. enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

2. IPv6-protokolla. Internet. Internetin verkkokerros

Internetin verkkokerros. 2. IPv6-protokolla

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

ITKP104 Tietoverkot - Teoria 2

Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

001.. Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

Verkkodiagnostiikkaa. Path MTU Discovery (RFC1191)

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Tämän kurssin sisältö. Tietoa tästä kurssista. Esitiedot. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

TW- EAV510 / TW- EAV510 AC: IPSeC- Ohjeistus

Tämän kurssin sisältö. Ilmoittautuminen

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Tietoliikenteen perusteet. Verkkokerros

Luento 7: Verkkokerros

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

IPv6 &lanne Ciscon tuo2eissa

Tämän kurssin sisältö. Tietoa tästä kurssista. Esitiedot. T Tietokoneverkot

T Tietokoneverkot : Reititys sisäverkossa

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

L2TP LAN to LAN - yhteys kahden laitteen välille

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

Luennon runko. TLT-2600 Verkkotekniikan jatkokurssi. DNS: nimestä osoitteeksi. DNS: nimestä osoitteeksi (2)

Verkkokerroksen palvelut. 4. Verkkokerros. Virtuaalipiiri (virtual circuit) connection-oriented ~ connectionless. tavoitteet.

Luento 7: Verkkokerros verkkokerroksen tehtävät, IP-protokolla, reititin. Syksy 2014, Tiina Niklander

Introduction to exterior routing. Autonomous Systems

Tämän kurssin sisältö. Ilmoittautuminen

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Transkriptio:

Verkkokerros 1: IP-protokolla CSE-C2400 Tietokoneverkot Kirjasta 4.1-4.2, 4.4. ja 8.7 Sanna Suoranta Tietokoneverkot 2016 Sanna Suoranta sanna.suoranta@aalto.fi

Verkkokerros Tällä luennolla Yleistä verkkokerroksessa erityisesti Internet-verkossa IP-osoitteet, NAT- ja DHCP-protokollat IP-protokolla (versiot 4 ja 6) Virhetilanteet ja ICMP-protokolla Turvallinen IP (IPsec) 1.3. luennolla jatketaan verkkokerroksen asioita Reitittimen toiminta Reititys Internet-verkossa ja internet-verkoissa Yleislähetys (broadcast) ja monilähetyksen (multicast) reititys

Internet-protokollapino ja verkkokerroksen tehtävä Ohjelmistot (software) Sähköposti Facebook Web-selain Käyttöjärjestelmä (operating system, OS) Laiteajurit (drivers) Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros Verkkokerros erottaa Internetverkon koneet toisistaan ja huolehtii yhteyksistä koneiden välillä

Verkkokerroksen tehtävä (edellisillä luennoilla käsitellyn) kuljetuskerroksen tehtävä on viestien välittäminen eri koneiden eri prosessien (esim. Web-palvelin ja -sovellus) välillä verkon yli end-to-end Eli koneen sisällä oikean prosessin valinta kuljetuskerroksella Verkkokerroksen tehtävä on huolehtia Internet-verkossa vastaanottajakoneen löytämisestä Pakettien edelleenlähetyksestä (forwarding), eli mitä tehdään, kun yksittäinen paketti saapuu reitittimeen (tällä luennolla) ja Reitityksestä (routing), eli miten reitittimet sopivat keskenään jo ennen pakettien välittämistä, että mihin mikäkin paketti välitetään, jotta se löytää perille mahdollisimman tehokkaasti. Tätä tietoa käytetään sitten hyväksi paketteja edelleenlähetettäessä yllä. (reitityksestä ensi luennolla)

Verkkokerroksen ominaisuuksia Myös verkkokerros voi tarjota erilaisia palveluita Luotettava tai ei, min. kaistanleveys, max. viiveen vaihtelu (jitter), tiedonsalaus, etc. Virtuaalipiiri (virtual circuit) vs. Pakettiverkko (datagram net) Virtuaalipiiriverkko tarjoaa yhteydellisen palvelun Yhteyden muodostus (virtuaalipiiri) ennen datan lähetystä Hyvää: helpompi toteuttaa parempi palvelu (esim. max jitter) Huonoa: reitittimet joutuvat pitämään lukua yhteyksistä Esim. ATM ja x.25 Paketti(kytkentäinen)verkko tarjoaa yhteydettömän palvelun Paketteja liikutellaan kohdeosoitteen avulla yksittäin Reitittimet ei joudu pitämään tilaa yhteyksistä (niitä ei ole!) Esim. Internet Protokolla (IP) Tällä luennolla käsitellään jatkossa vain Internet-protokollaa (IP), joka on pakettikytkentäisen verkon protokolla

Verkko 1 Verkko 2 do what I mean Päätelaite 1 Päätelaite 2 Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros Reititin 1 Verkkokerros Linkkikerros Fyysinen kerros Reititin 1 Verkkokerros Linkkikerros Fyysinen kerros Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros Sovelluskerroksen data pakataan kuljetuskerroksen tietosähkeeseen, joka pakataan verkkokerroksen pakettiin Reitittimet katsovat edelleenlähetystaulustaan, mihin rajapintaan paketti lähetetään seuraavaksi Reitittimet ovat siis verkkokerroksen laitteita

Miten tunnistetaan kone, jolle paketti on tarkoitettu? Verkkokerroksen tunnisteina käytetään globaalisti uniikkia IP-osoitteita (address) Oikeastaan IP-osoite kertoo verkkoliittymän (network interface) osoitteen, sillä joskus yhdellä laitteella voi olla useita IP-osoitteita (eri verkkotekniikoille tai esim. reititin) IPv4-osoite on 32 bittiä pitkä, esim. 130.233.224.196 (minkäniminen kone? J) IPv6-osoite on 128-bittinen, esim. 2001:db8::1420:57ab ja 68E6:8C64:FFFF:FFFF:0:1180:95A:FFFF Sovelluskerros - nimi Kuljetuskerros - portti Verkkokerros - IP-osoite Linkkikerros - MAC-osoite Fyysinen kerros - piuhan pää

IPv4-osoitteen kaksi osaa: verkko ja rajapinta 10000010 11100000 11011111 11000100 Alkuosa kertoo verkon (network prefix) ja loppuosa identifioi verkkorajapinnan (host id) Reitittimet välittävät paketteja verkko-osan perusteella (tehokasta) Alunperin käytettiin vakiomittaisia luokkia (A, B ja C) Nykyään liukuva raja käyttäen CIDR-tekniikkaa (Classless Interdomain Routing): kerrotaan verkko-osoite (ensimmäinen osoite) ja merkitsevien bittien määrä 130.233.0.0/16 on Aallon verkko-osoite (vanha B-luokan verkko) Huom: osoitetta käsitellään binäärinä, vaikka se esitetään ihmiselle helpommin ymmärrettävässä desimaalimuodossa

Aliverkot ja verkkomaski Kone: Kone: Verkko: Verkkomaski 130.233.224.196/22 10000010 11100000 11011111 11000100 10000010 11100000 11011100 00000000 11111111 11111111 11111100 00000000 Verkko voidaan jakaa vielä aliverkkoihin lainaamalla koneosan alusta bittejä aliverkkoa varten, esim. Aliverkon osoite: 130.233.224.0/22; maski 255.255.252.0 Aliverkkoon kuuluvat osoitteet: 130.233.224.0-130.233.227.255 Alin osoite on verkon osoite 130.233.224.0 (koneosa nollia) Ylin yleislähetysosoite: 130.233.227.255 (koneosa ykkösiä), Loput sopivat isäntäkoneille, eli koneita voi olla yht 2 (32-22) -2=1022

Esimerkki: IP-verkko ja osoitteet 223.1.2.0/28 223.1.2.0/24 223.1.1.2 223.1.1.0/24 223.1.1.1 223.1.2.1 223.1.2.9 223.1.1.3 223.1.3.1 223.1.2.2 223.1.1.4 223.1.3.0/27 223.1.3.0/24 223.1.3.27 223.1.3.2

Erikoisosoitteet Selitys IPv4 IPv6 Mikä tahansa; lähettäjällä ei ole vielä IP-osoitetta 0.0.0.0 0:0:0:0:0:0:0:0 (= ::) Loopback-osoite takaisin itselle (testaukseen, ei välitetä lainkaan ulos koneesta Paikallinen yleislähetysosoite eli broadcast-osoite (reititin ei välitä eteenpäin) 127.0.0.1 (mikä tahansa 127- alkuinen osoite) 255.255.255.255 (kaikki bitit ykkösiä) 0:0:0:0:0:0:0:1 (=::1) Ei yleislähetystä, vaan kaikki koneet - ryhmälähetystä Verkon yleislähetysosoite (directed broadcast) Esim. 222.1.16.255/24 (koneosan bitit ykkösiä) ei yleensä välitetä

Yksityiskäyttöön varatut osoitteet Vain paikalliseen käyttöön (IPv4) 10.0.0.0/8 (alunperin Arpanetille varattu osoiteavaruus) 192.168.0.0/16 172.16.0.0/12 Linkki- ja toimipaikkakohtaiset osoitteet (IPv6) Alkaa biteillä 1111111010 (linkkikohtainen), ei välitetä ulos fyysisestä verkosta 1111111011 + aliverkko (toimipaikkakohtainen), ei välitetä ulos organisaation verkosta Runkoverkko kieltäytyy reitittämästä näitä Voi käyttää vapaasti lähiverkossa, mutta Ei voi viestiä (suoraan) Internet-verkkoon apuna käytetään NAT-tekniikkaa

IPv6-osoitteet: 128 bittiä 3 45 16 64 bits 001 reititysetuliite aliverkko-id RAJAPINTA-ID Toimipaikan tunniste Aliverkon (linkin) Koneen (global routing prefix) tunniste tunniste (vaihtuvamittainen) (vaihtuvamittainen) (EUI-64- Yksilähetysosoitteen formaatissa) etuliite on yleensä 001 Verkko-osa mahdollista jakaa kahtia: toimipaikka ja sen aliverkot Rajapinnan ID voidaan johtaa esim verkkokortin Ethernet-osoitteesta IPv4-osoitteen voi upottaa IPv6-osoitteeseen: alkuun nollia, juuri ennen osoitetta joko 0000 (molempia tuetaan) tai FFFF (IPv4-noodi)

Mistä saa verkolleen osoitteen? Organisaation sisällä vastuulliselta taholta oma aliverkko Internet-palveluntarjoajalta (ISP) voi ostaa oman verkon ISP saa osoitteitaan oman alueensa Internet-rekisteriltä (Regional Internet Registry, RIR) näitä on viisi Euroopassa Réseaux IP Européens Network Coordination Centre (RIPE NCC) Alueen rekisteri saa osoitteet ICANNilta (Internet Corporation for Assigned Names and Numbers) Viimeinenkin IPv4-verkko on jaettu 2011! Eli IPv4-osoitteet ovat käytännössä nyt loppuneet IPv6-osoitteita on joka hiekanjyvälle, joten niitä riittää hyvin Miten IPv4 voi vielä olla käytössä? Miten osoitteita yhä riittää?

Miten päätelaite saa osoitteen itselleen? Päätelaitteelle voidaan asettaa kiinteä osoite verkkoasetuksista käsin (lähinnä palvelimille nykyään) Yleensä käytetään DHCP-protokollaa (Dynamic Host Configuration Protocol): kolme tapaa Staattinen allokointi: Aina sama osoite tietylle päätelaitteelle linkkikerroksen MAC-osoitteen perusteella (ylläpitäjä konffaa) Automaattinen allokointi: Joku osoite ekalla kerralla, sitten aina sama MAC-osoitteen perusteella (ei tarvi manuaalista konfausta) Dynaaminen allokointi: Päätelaite saa jonkin osoitteista lainaan väliaikaisesti, mutta lainaa voi pyytää jatkettavaksi. Osoite voi vaihtua joka kerta, kun laite liittyy verkkoon DHCP tarvitsee palvelimen lähiverkkoon (tai välityspalvelimen) Osoitteen lisäksi päätelaite saa muutakin tietoa verkosta, esim. aliverkkomaskin, oletusyhdyskäytävän (=reititin) ja DNS-palvelimen osoitteet

DHCP DHCP DNS Internet 1. Asiakas lähettää DISCOVER-viestin UDP:n porttiin 67 käyttäen yleislähetysosoitetta 255.255.255.255 (lähettäjän osoitteena 0.0.0.0) Transition ID tunnisteeksi 2. Palvelin huomaa viestin ja lähettää UDP:llä porttiin 68 OFFER-viestin yleislähetysosoitteeseen Transition ID, tarjottu IP-osoite (yiaddr), osoitteen laina-aika DHCP-palvelimen IPosoite, verkkomaski, jne 3. Asiakas lähettää REQUEST-viestin Edelleen yleislähetysosoitteeseen Samat tiedot kuin OFFER-viestissä 4. Palvelin vastaa ACK-kuittauksella Samat tiedot kuin OFFER-viestissä

DHCP esimerkki Palvelin A (223.1.2.6) DHCPDISCOVER DHCPOFFER DHCPREQUEST Asiakas Läh: 223.1.2.5:67 Vast: 255.255.255.255:68 yiaddr: 223.1.2.4 ID: 654 Server ID: 223.1.2.5 Läh: 0.0.0.0:68 Vast: 255.255.255.255:67 yiaddr: 0.0.0.0 ID: 654 DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPACK DHCPRELEASE tai uusintapyyntö Palvelin B (223.1.2.5) Läh: 0.0.0.0:68 Vast: 255.255.255.255:67 yiaddr: 223.1.2.4 ID: 654 Server ID: 223.1.2.5

Toinen tapa säästää osoitteita: NAT (Network/Port Address Translation) Reitittimellä yksi (tai muutama) julkisen verkon osoite Sisäverkossa käytetään yksityisosoitteita Yksityisosoitteet vaihdetaan reitittimessä julkisiin ja päinvastoin Reititin pitää kirjaa käytetyistä osoite (ja portti) pareista Huom! Reitittimessä on verkkoyhteyden tila Päätelaite ei (välttämättä) huomaa, että yhteyden välissä on NAT-laite (eikä sitä, että sillä on käytössä vain yksityisosoite) Huonot puolet NAT rikkoo päästä-päähän-yhteyden Internetistä ei voi aloittaa yhteyttä NATin takana olevalle sisäverkon koneelle (jollei käytetä kiinteää NAT-muunnosta) Kaksi NATin takana olevaa päätelaitetta ei pysty viestimään, vaan avuksi tarvitaan STUN-, ICE-, tai TURN-välityspalvelimia

NAT esimerkki IP-paketin muuttuminen matkalla: reititin vaihtaa osoitteita ja portteja Internetin ja sisäverkon rajalla 1 2 4 3 10.0.0.2 10.0.0.1 194.197.18.3 130.233.9.10 lähdeosoite lähdeportti kohdeosoite kohdeportti 1 10.0.0.2 8890 130.233.9.10 80 2 194.197.18.3 3498 130.233.9.10 80 3 130.233.9.10 80 194.197.18.3 3498 4 130.233.9.10 80 10.0.0.2 8890

IP-protokollan käyttö ja viestit IPv4 alunperin määritelty RFC 791 (vuodelta 1981) IPv6 määritelty RFC 2460 (jo vuonna 1998), 2462, 4291 Epäluotettava ja yhteydetön palvelu, viestien perillemenoa ei varmenneta Reitittimet käsittelevät jokaisen IP-paketin erikseen Lähettäjä saa virheilmoituksen vain, jos IP ei tiedä, miten toimittaa viesti perille lähettäjän vastuulle jää, miten sitten toimitaan Apuprotokolla ICMP (Internet Control Message Protocol) virhetilanteiden käsittelyyn

IPv4-otsake 4 0 16 31 Header Type of Vers Total length length Service Kasvava laskuri -> Uniikki id paketille Ei oikeastaan käytössä Identification Flags Fragment offset TTL Protocol Header checksum Options... Time to Live: - vähennetään yhdellä jokaisessa reitittimessä - kun 0 -> paketti hylätään Source IP address Destination IP address Data fragmentointi Lasketaan vain IP-otsakkeesta Kuljetuskerroksen protokolla (TCP=6, UDP=17) Padding Harvoin käytössä: tietoturva & tehokkuusongelmat

Paketin lähettäminen ja välittäminen do what I mean Lähettäjällä kuljetuskerroksen paketti enkapsuloidaan IPpakettiin ja muodostetaan sille IP-otsikko näin saatu paketti enkapsuloidaan linkkikerroksen protokollan kehykseen ja lähetetään vastaanottajalle tai oletusreitittimelle Reititin tarkistaa otsikon tarkistussumman, ja jos se on ok, katsoo vastaanottajan osoitteen perusteella, mihin rajapinnoista viesti seuraavaksi välitetään, Reititin vähentää TTL-kentän arvoa yhdellä ja laskee uuden tarkastussumman otsikolle ja enkapsuloi viestin seuraavan verkon linkkikerroksen protokollaa käyttäen ja lähettää sen eteenpäin

Lohkominen IPv4:ssä (fragmentation) MTU=1500 Ethernet, MTU=1500 MTU= 1500 MTU= 576 do what I mean Reitillä olevien eri linkkikerroksen tekniikoita käyttävien verkkojen kehysten koko vaihtelee MTU Maximum Transmission Unit; taattu minimi 68 oktettia IPv4 ja 1280 IPv6 (mutta näiden käyttäminen olisi erittäin epätehokasta) Reititin voi joutua lohkomaan paketin useampaan fragmenttiin ID jokaisessa sama, fragment offset kertoo palasen sijainnin alkupeäisessä paketissa ja liput kertovat, onko palasia lisää Vastaanottaja kokoaa fragmentit yhdeksi IP-paketiksi

Lohkomisen ongelmat Epätehokasta; otsikkojen osuus (overhead) kasvaa Monimutkaistaa reitittimien ja vastaanottajan toimintaa Vastaanottajan pitää puskuroida IP-paketin palaset (verkkokerroksella) kunnes koko paketti saatu perille Kaikki palat pitää uudelleenlähettää, jos yksikin katoaa (kuljetuskerros ei edes tiedä näin tapahtuneen) Tietoturvaongelma, esim. palvelunestohyökkäys pommittamalla kohdetta väärinrakennetuilla fragmenteilla

Lohkomisen välttäminen polun MTU:n selvittämisellä Lohkomista pyritään välttämään selvittämällä koko polun suurimman sallitun tietosähkeen koko ja lähettäjä tekee alunperin sen kokoisia paketteja Näin toimii esim IPv6, jossa matkan varrella ei lohkota mitään Path MTU Discovery: Lähetetään suuri paketti, jossa do not fragment lippu päällä Jos paketti oli liian suuri, vastaanotetaan virheviesti reitittimeltä Kokeillaan pienemmällä paketilla uudestaan; virheviestissä mukana sen verkon MTU, johon matka tyssäsi) Mitäs nämä virheviestit sitten oikein on?

ICMP (Internet Control Message Protocol) Kummallekin IP:lle oma: v4 RFC 792 ja v6 RFC 4443 Virhetilanteista raportointiin (ei niiden korjaamiseen) Lisäksi ping ja traceroute käyttävät ICMPtä ICMP-viestit on tarkoitettu verkkokerrokselle Pakataan suoraan IP-paketin sisään (ei lainkaan TCP/UDP) Usein ilmoitus välitetään myös sovellukselle Käyttö on usein rajoitettu turvallisuussyistä route redirect ja router advertisement viestien väärinkäyttö Pingin avulla voi kartoittaa verkon koneet

ICMP-viesti Type Code Checksum Data Tyyppi määrittelee viestin Esim. 3=tavoittamattomissa (+code); 11=TTL expired, 12=IPotsikko rikki, 8 = echo request ja 0 = echo reply (pingiä varten) Code määrittelee syyn (lisätietoa edelliseen) Esim. 0=verkko, 1=host, 2=protokolla, 3=portti, 6=tuntematon verkko, 7=tuntematon host Data sisältää virheviestin aiheuttaneen paketin alun Vakiomittainen viesti: IPv4:ssä mukaan mahtuu 8 oktettia virheen aiheuttaneesta paketista, IPv6:ssa MTU:n verran

ICMP esimerkki: traceroute L TTL=1 TTL=2 TTL=3 V ICMP TTL expired ICMP TTL expired ICMP TTL expired ICMP port unreachable Mahdollistaa IP-tason polun selvittämisen Lähettäjä lähettää UDP-segmenttejä Kohdeosoite on polun päätepiste, portiksi joku epätodennäköisesti auki oleva Aluksi TTL=1, kasvatetaan yhdellä peräkkäisissä segmenteissä Myös ajastin käynnistetään jokaista segmenttiä lähetettäessä Kun TTL=0 Reititin hylkää segmentin ja lähettää ICMP TTL expired viestin lähettäjälle ICMP viestit paljastavat polun reitittimien osoitteet ja viiveen

Uusi versio IP-protokollasta (IPv6) Aika ajoissa havaittiin IPv4-osoiteavaruuden ongelmat ja osoitteiden loppuminen Internet-verkon koko kasvoi ja tarpeet muuttuivat ylikansalliset yritykset, uudet päätelaitteet ja verkkoteknologiat, uudenlaiset sovellukset tosiaikavaatimuksineen Erot aiempaan: Pidemmät osoitteet (128) ja laajempi osoitehierarkia, kolme osoitetyyppiä (yksilähetys, monilähetys ja anycast) Joustava otsakeformaatti, jota on helppo laajentaa Tuki automaattiselle asetusten määrittelylle Tuki resurssien varaamiselle (oli jo IPv4:ssä, mut kömpelö)

IPv6-tietosähkeen rakenne perus otsikko laajennukset TCP/UDP Data Perusotsikko on määrämittainen 40 oktettia (eli 40*8 bittiä) Perusotsikko on nopea käsitellä Useita laajennusotsikoita

IPv6-perusotsikko 6 Vuo pitää sisällään polun Internetin läpi (tietty palvelunlaatu) Kertoo laajennusotsikon tai kuljetuskerroksen protokollan tyypin (eli mitä paketissa on) 0 4 12 16 24 31 VERS LIIKENNELUOKKA VUON NIMI DATAN PITUUS SEURAAVA ETAPPIRAJA LÄHDEOSOITE (128 bittiä) KOHDEOSOITE (128 bittiä) Mitä puuttuu IPv4ään verrattuna? (hop limit) korvaa TTL-kentän (kuvaavampi nimi)

Ylemmän kerroksen tarkistussumma IPv6-otsikossa ei ole tarkastussummaa! UDP:n pitää käyttää tarkistussummaa IPv6:n kanssa Erityisesti TCP- ja UDP-protokollien tarkistussumma 128-bittiset lähettäjän ja (lopullisen) vastaanottajan osoitteet 32-bittinen ylemmän kerroksen tietosähkeen pituus 24 bittiä nollia 8 bittiä seuraava ylemmän kerroksen protokollan tunniste (ei siis esim. IPv6-optio) Perusotsikko on vakiomittainen, joten sen pituutta ei tarvita Fragmentointi ja optiot tiputettu laajennusotsikoihin Lohkominen tehdään jo lähettäjällä, ei koskaan matkan varrella

Laajennusotsikot Laajennusotsikot tarjoavat Lohkomisen Lähdereitityksen (eli minkä verkkojen kautta paketin tulee kulkea) Optiot Tietoturvaa (IPsec): väärentämättömyyden ja lähettäjän (authentication header, AH) ja luottamuksellisuuden (encapsulating security payload, ESP) takaavat otsikot (samat tietoturvaprotokollat toimii myös IPv4:n yhteydessä) Laajennusotsikot tuovat tehoa ja joustavuutta Suositeltu järjestys: matkan varrella muuttuvat optiot, reititysotsikko, lohkomisotsikko, IPsecin todennus ja salausotsikot, määränpään optiot

Mitä muuta muuttuu? ICMPv6 tarjoaa lisää palveluita ARPia ei käytetä naapureiden MAC-osoitteiden löytämiseen vaan naapureiden/reititimen etsintä- ja ilmoitusviestit toteutetaan ICMPv6:lla (neighbor discovery protocol) DHCP voidaan korvata automaattisella asetusten määrittelyllä ICMPv6:lla Reititin kertoo, käytetäänkö tätä tapaa ja kertoo verkon tiedot (esim. verkkomaskin) reitittimen ilmoitus ICMP-viestillä Isäntäkone keksii koneosan esim. verkkokortin MAC-osoitteen perusteella, ja tarkistetaan sitten tarkistetaan, onko osoite vapaa, lähettämällä kysely kaikillle

Verkkokerroksen protokollaversion vaihto uuteen versioon Tuplapino (dual stack) IPv6-noodeilla myös IPv4-pinosta toteutus, DNS apuna kertomaan, osaako kone kumpaa protokollaa Ongelmia virheviestien ja lohkomisten kanssa Tunnelointi IPv6-koneet viestivät IPv4-verkon yli keskenään, välissä IPv6- paketit pakataan IPv4-pakettien sisään Voidaan käyttää NATin tyyliin Vaihtaminen on ollut todella hidasta Länsimaissa on riittänyt IPv4-osoitteita Kiinassa käytetään jo IPv6:tta

Verkkokerroksen tietoturva: IPsec Käytetään yleensä VPN-tekniikassa (virtual private network) Sama protokolla(perhe) toimii sekä IPv6 että IPv4 kanssa IPv4:ssä IP-otsikon jälkeen tulee turvaotsikot IPv6:ssa laajennusotsikoina, toteutus pakollista, käyttö ei Kaksi käyttötapaa: tunnelointi ja pakettien suojaus yksittäin Tarjoaa monenlaisia tietoturvapalveluita: Luottamuksellisuus (confidentiality) Yhteydetön eheys (connectionless integrity) ja tiedon alkuperän todennus (data origin authentication) Pääsynvalvonta (access control) Suojaus toistoa vastaan (replay protection) Rajoitettu vuon luottamuksellisuus

IPsec kokonaisuutena (framework) Viestit suojattu: IPsec AH ja/tai ESP IKE: SA:n sopimiseen ja hallintaan SPD SAD Yhteyden suojaamiseen käytetyt turvapalvelut (SA: avaimet jne) talletetaan SAD-tietokantaan IPsec-paketti Otsikossa SPI: käytettävän SA hakuavain SAD SPD Yleiset säännöt SA:n luomiseksi (tässä organisaatiossa) talletetaan SPD:hen)

IPsec Framework (2) SA: Turva-assosiaatio (security association) määrittelee yhteydellä käytetyt algoritmit ja avaimet yhteen suuntaan, toiseen suuntaan voi olla erilainen SA SPI: tietokanta-avain SA:lle (security parameter index) kertoo käytetyn SA:n vastaanottajan tietokantaan, ei lähettäjän SAD:Turva-assosaatiotietokanta (security association database) m.m. mitä algoritmeja olemassaolevilla yhteyksillä on käytössä SPD: Turvapolitiikkatietokanta (security policy database) Esim. Mitä algoritmeja saa käyttää ja mihin saa ottaa yhteyden IKE: Avaintenhallinta (key management) ja SA:sta sopiminen

IPsec-tunnelointi Tunnelointia käytetään kun toinen tai molemmat yhteyden päätepisteet ovat turvayhdyskäytäviä (esim VPN:n yhteydessä) Uusi IP-otsikko lisätään kokonaan suojatun alkuperäisen IP-otsikon (ja IPsec-otsikoiden) eteen Koko alkuperäinen paketti on suojattu sovituilla menetelmillä Uusi IPotsikko suojattu IPsec Alkup. Ylemmän kerroksen proto- AH/ESP IP-otsikko kollan otsikko ja data traileri

Pakettikohtainen suojaus (transport mode) IP (4or6) AUTHENTICATION TCP/UDP DATA HEADER HEADER HEADER Suojattu muuttamiselta (muuttumattomat kentät) IP HEADER Yhdessä: IP HEADER ESP HEADER AUTH HEADER TCP/UDP HEADER ESP HEADER DATA eheys luottamuksellisuus TCP/UDP HEADER D A T A ESP TRAILER ESP AUTH ESP (ESP TRAILER AUTH)

Yhteenveto Verkkokerroksen IP-protokolla toteuttaa epäluotettavan ja tilattoman kuljetuspalvelun Internetissä Luotettavuus voidaan toteuttaa kuljetuskerroksella (ylempänä) Paketit välitetään perille niissä olevan osoitteen perusteella kukin itsenäisesti IPv4 osoitteet ovat lopussa, mutta protokolla yhä käytössä DHCP ja NAT auttavat IPv6 käytössä jo

Olennaisia termejä ja käsitteitä Edelleenlähetys (forwarding) ja reititys (routing), edelleenlähetystaulu, reititystaulu, reititin (router), reititysalgoritmi, reititysprotokolla, kytkin (switch) Taattu välitys (guaranteed delivery), viive (delay), viiveen vaihtelu (jitter), kaista (bandwidth),palvelunlaatu (quality of service), paras mahdollinen palvelu (best-effort service), virtuaalipiiriverkko (virtual circuit network), paketti(kytkentäinen)verkko (datagram network), yhteydellinen (connectionoriented), yhteydetön (connectionless), signalointi (signaling) Etuliite (prefix), verkko-osa (network part), osoite (address), tietosähke/paketti (datagram) (verkko)rajapinta (network interface), piste-erotettu esitysmuoto? (dotted-decimal notation) Lohkominen (fragmentation), lohko (fragment), suurin mahdollinen linkkikerroksen kehys, suurin mahdollinen lähetysyksikkö (maximum transmission unit), Aliverkko (subnet), aliverkkomaski (subnet mask), luokaton osoitteistus (classless addressing),luokallinen osoite (classfull address), väliaikainen osoite (temporary address), lainattu osoite (leased address), laina-aika (lease time), osoiteavaruus (address space), yksityisosoite (private address) NATin läpäisy? (NAT traversal) Monilähetys (multicast), yksilähetys (unicast), anycast(?), vuo (flow), liikenneluokka (traffic class), etappiraja (hop limit), tuplapino (dual-stack), muunnosalgoritmi, tunnelointi (tunneling), Lähteen todennus (origin authentication), tiedon eheys (data integrity), salaus (encryption),

Olennaisia lyhenteitä IP Internet protocol ICMP internet control message protocol TOS type of service QoS quality of service TTL time to live VC virtual circuit MTU maximum transmission unit CIDR classless interdomain routing DHCP dynamic host configuration protocol NAT network address translation IPsec Internet protocol security

Lähteet RFC 791 IPv4 RFC 4291 - IP Version 6 Addressing Architecture, 2006 RFC 2462 IPv6 Stateless Address Autoconfiguration RFC 2460 - Internet Protocol, Version 6 (IPv6) Specification, 1998 IPsec: 4301- Security Architecture for the Internet Protocol, 2005 4302 - IP Authentication Header, 2005 4303 - IP Encapsulating Security Payload (ESP), 2005 4306 - The Internet Key Exchange (IKE), 2005 2411 - IP Security Document Roadmap, 1998

CIDR: RFC 4632 DHCP: RFC 2131, RFC 2132 NAT: RFC 2663, 3022 RFC 4443- Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification, 2006 RFC 2461 - Neighbor Discovery for IP Version 6 (IPv6), 1998 RFC 1981 - Path MTU Discovery for IP Version 6, 1996

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute