Miksi? Miten? Miten? S 38.191 Televerkot yrityksissä Luento 2: Network Address Translation. Internet



Samankaltaiset tiedostot
Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

L2TP LAN to LAN - yhteys kahden laitteen välille

TW- EAV510 / TW- EAV510 AC: IPSeC- Ohjeistus

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Kuva maailmasta Pakettiverkot (Luento 1)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Sonera Hosted Mail -palvelun käyttöohje

Antti Vähälummukka 2010

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

T Tietokoneverkot kertaus

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

OSI ja Protokollapino

TW- EAV510: WDS- TOIMINTO KAHDEN TW- EAV510 LAITTEEN VÄLILLÄ

Internet Protocol version 6. IPv6

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

String-vertailusta ja Scannerin käytöstä (1/2) String-vertailusta ja Scannerin käytöstä (2/2) Luentoesimerkki 4.1

TW- LTE REITITIN: GRE- OHJEISTUS

Salausmenetelmät (ei käsitellä tällä kurssilla)

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

Lisää segmenttipuusta

3. IP-kerroksen muita protokollia ja

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Monimutkaisempi stop and wait -protokolla

Siirtyminen IPv6 yhteyskäytäntöön

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

Yleinen ohjeistus Linux tehtävään

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Vesihuoltolaitoksen liittymismaksu määräytyy kiinteistön käyttötarkoituksen, laajuuden ja palveluiden käytön perusteella seuraavasti:

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

TW- EAV510 / TW- EAV510 AC: OpenVPN

S Teletekniikan perusteet

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

TW-EAV510AC-LTE OpenVPN ohjeistus

OpenVPN LAN to LAN - yhteys kahden laitteen välille

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Huomaathan, että ohjeessa olevat näytöistä otetut kuvat voivat poiketa sinun koulutuksesi vastaavien sivujen kuvista.

Service Level Agreement. Service Level Agreement. IP verkkopalvelu. S Verkkopalvelujen tuotanto Luento 1: Service Level Agreement

BookIT DDM Helppoa viestintää kännykkään Teknologiakuvaus

Introduction to exterior routing

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Vesimaksun yksikköhinta, / m 3 Liittyjältä peritään vesimaksua toimitetusta vedestä mitatun kulutuksen mukaan.

Käyttöjärjestelmät: Virtuaalimuisti

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Suomi.fi-tunnistaminen Julkishallinto, valtion ja kuntien yhtiöt Versio 2.0, JTO142

Tiedonvälitystekniikka 1-3 ov. Kurssin sisältö ja tavoite

WL54AP2. Langattoman verkon laajennusohje WDS

Dynaamisen järjestelmän siirtofunktio

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Webforum. Version 16.2 uudet ominaisuudet. Päivitetty:

Dynaaminen hankintajärjestelmä. Kuntatalo Katariina Huikko Lakimies, Suomen Kuntaliitto

Sisällys. 12. Monimuotoisuus. Johdanto. Alityypitys. Johdanto. Periytymismekanismi määrittää alityypityksen.

Reititys. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Reititys. Jaakko Kangasharju.

Ylläpitäjä ei peri maksua omien sähköisten palvelujensa yhteydessä, ellei sitä ole palvelun kuvauksessa erikseen ja selkeästi mainittu.

Tips & Tricks for TestStand development NI Days 2013

TW- EAV510/TW- EAV510AC: GRE- OHJEISTUS

KUNTIEN ROOLI MUUTOKSESSA Vaikuttamisiltapäivä ja EK-foorumi 3.2.

ESTON LASKENTA VERKOSSA

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Epäyhtälön molemmille puolille voidaan lisätä sama luku: kaikilla reaaliluvuilla a, b ja c on voimassa a < b a + c < b + c ja a b a + c b + c.

Kattava katsaus reititykseen

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Tietoliikenne- ja tietoverkkontekniikan laitos

KÄYTTÖOHJE FLSNIF KÄYTTÖÖNOTTO V2.2 ( ) 1 (5)

OHJE YRITYSVAIKUTUSTEN ARVIOINNISTA

Lupapiste-palvelua koskeva Yritystilisopimus

Hajautusrakenteet. R&G Chapter Tietokannan hallinta, kevät 2006, Jan 1

Hajautusrakenteet. Hajautukseen perustuvat tiedostorakenteet. Hajautukseen perustuvat tiedostorakenteet. Hajautukseen perustuvat tiedostorakenteet

Lue ohjeet huolellisesti ennen laitteen käyttöä.

SuperWISE II / SuperWISE SC II

SMG-2100: SÄHKÖTEKNIIKKA

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Linux palomuurina (iptables) sekä squid-proxy

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Tutkimusdatanhallinnan suunnittelu ja DMPTuuli-työkalu

Asteri Kirjanpito Dos ALV% nousu 1 %-yksiköllä Vuosipäivitys

Eksponenttifunktion Laplace muunnos Lasketaan hetkellä nolla alkavan eksponenttifunktion Laplace muunnos eli sijoitetaan muunnoskaavaan

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Moodle HOPS-työskentelyn tukena

T Tietokoneverkot

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Pientuotannon edistyminen. Energiaviraston uusiutuvan energian ajankohtaispäivä Milja Aarni, Motiva oy

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Transkriptio:

Lic.(Tech.) Marko Luoma (1/23) Lic.(Tech.) Marko Luoma (2/23) Miksi? S 38.191 Televerkot yrityksissä Luento 2: Network Address Translation Ongelma: A,B ja C luokkiin perustuva osoitejako johti osoiteavaruuden fragmentoitumiseen ja huonoon hyötysuhteeseen. Jaettavien osoitelohkojen loppuminen uhkasi jo lyhyelläkin aikavälillä. Ratkaisuja: Pitkällä tähtäimellä Uusi Protokolla, joka mahdollistaisi suuremman määrän osoitteita Lyhyellä tähtäimellä Osoitteiden luokattomuus. Liitetään osoitteeseen peite, jonka perusteella määrätään verkon koko kahden potensseina. Hyödynnetään samoja osoitteita useammassa kohdassa verkkoa, mikäli kyseisten verkon osien ei tarvitse (ainakaan täydessä laajuudessa) kommunikoida muualle verkkoon. Lic.(Tech.) Marko Luoma (3/23) Lic.(Tech.) Marko Luoma (4/23) Miten? Miten? Hyödyntää yleistä havaintoa, että vain pieni osa yksittäisen nysä/tynkä alueen (stub network) laitteista kommunikoi alueen ulkopuolelle Saman aikaisesti (dynaamisuus) Yleensäkään (staattisuus) Tynkäalue voi olla mikä tahansa internet, joka on muun verkon kannalta yhdestä pisteestä liitetty ja jonka sisällä on yhtenäinen osoitteistus. in tehtävä on muuntaa IP pakettien osoitekenttien sisältöä niiden kulkiessa kahden verkon välillä, joihin on yhteydessä. Periaate on siis varsin yksinkertainen. Teknisesti tähän liittyy kuitenkin useita vaiheita ja ongelmia, joita käsittelemme tällä luennolla 130.233.154.176 130.233.154.254 Src=130.233.154.254 Dst=130.233.154.176 10.38.0.16 Src=10.38.0.16 Dst=130.233.154.176

in käyttö tarpeita Kahden IP verkon välillä, jos toisessa verkossa käytetään lokaaleja IP osoitteita (osoitteita, joita ei voida käyttää globaaliin kommunikaatioon): 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Lic.(Tech.) Marko Luoma (5/23) Sama osoiteavaruus on käytössä molemmissa verkoissa: Lokaaleja osoitteita (kaksi riippumatonta organisaatiota voi käyttää sisäisesti samoja osoitteita) Globaaleja osoitteita (toinen organisaatioista on saattanut kuulua jonkun muun operaattorin verkkoon ja kuitenkin halunnut säilyttää ko verkon osoitteet) tarjoaa välityspalvelua kahden osoitereaalisaation välillä ei ole reititin Välityspalvelulla tarkoitetaan osoitteen muunnosta muotoon, joka mahdollistaa normaalin välittämisen toisessa osoitereaalisaatiossa voi kuitenkin olla integroituna reitittimen ohjelmistoon voi puuttua reititysilmoituksiin tarkastamalla, että tynkäalueen muunnettavia osoitteita (verkkoja) ei mainosteta muualle tiin. 10.38.0.0/24 130.233.224.0 Lic.(Tech.) Marko Luoma (6/23) 10.10.0.0/24 0.0.0.0 10.10.0.0 10.38.0.0 10.233.224.0 130.233.224.0 130.233.224.0/24 10.233.224.0/24 Vaihtoehdot Lic.(Tech.) Marko Luoma (7/23) Dynaaminen Lic.(Tech.) Marko Luoma (8/23) Staattinen Niille päätelaitteille, joiden on tarve kommunikoida muun maailman kanssa tehdään staattinen varaus tiettyihin osoitteisiin 130.233.154.0/24 130.233.154.240 < > 10.38.0.3 130.233.154.241 < > 10.38.0.16 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > 10.38.0.110 130.233.154.244 < > 10.38.0.228 Dynaaminen Mikäli ei ole tietoa tarpeista tai ne ovat satunnaisia, varataan joukko osoitteita, joita hyödyntää dynaamisesti B 130.233.154.240 < > 10.38.0.3 25 130.233.154.241 < > B 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > B 130.233.154.244 < > 10.38.0.228 130.233.154.245 < > 130.233.154.246 < > 10.38.0.0/24 130.233.154.247 < > 130.233.154.248 < > Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten 24 tuntiin. Tilakoneella on kolme tilaa Osoitteen varaaminen Lokaalin verkon päätelaite aloittaa kommunikaation in kautta tai ulkoapäin halutaan kommunikoida lokaalin verkon päätelaitteelle. Globaali osoite liitetään lokaaliin osoitteeseen, jonka jälkeen kaikki yhteydet kyseisestä lokaalista osoitteesta saavat issa kyseisen globaalin osoitteen.

Dynaaminen Lic.(Tech.) Marko Luoma (9/23) in vaikutuksia Lic.(Tech.) Marko Luoma (10/23) Osoitteen haku ja muunnos Kyseiseltä lokaalin verkon päätelaitteelta on tullut paketteja jo aiemmin ja sille on tehty jo osoitteen liittäminen Suoritetaan tarvittavat muunnokset ja aktivoidaan mahdollisesti tarvittavat sovellusriippuvat osat (ALG) Osoitteen vapauttaminen Lokaalin päätelaitteen kommunikaatio globaaliin verkkoon on päättynyt eikä globaalia osoitetta enää tarvitse varata sen käyttöön. Viimeisellä TCP yhteydellä on tullut FIN ja siihen liittyvä kuittaus Paketteja ei ole liikkunut 5 minuuttiin Avoimella TCP yhteydellä ei ole toimintaa 24 tuntiin Seuraus 1 IP otsikon sisältö muuttuu (binäärinen) Vaikutus IP otsikon tarkistussumma täytyy laskea uudestaan Tarkistussumma on yhden komplementti > tarvitsee laskea erotus muuttuneelle osoittekentälle ja lisätä se tarkistussummaan TCP:n tarkistussumman täytyy laskea uudelleen (TCPn pseudo otsikko sisältää IP osoitteet). Sama yhden komplementti laskenta kuin IP:lle Lic.(Tech.) Marko Luoma (11/23) Lic.(Tech.) Marko Luoma (12/23) in vaikutuksia Application Level Gateway Seuraus 2 Sovellusprotokollan sisältämä osoitetieto muuttuu Vaikutus Mikäli osoite on koodattu numeroina voi paketin pituus muuttua 10.38.0.16 < > 130.233.154.242 Muuttunut pituus aiheuttaa TCPn tarkistussumma vaatii muutoksen TCPn järjestysnumero (sequence number)ja kuittausnumero (acknowledge number) vaativat muutokset. Tarvitaan erillinen tilakone huolehtimaan lähtevien pakettien ja vastaanotettujen kuittausten välisestä sovellusriippuvasta muunnoksesta. ALG on in spesifinen toteutus tietylle sovellusprotokollalle Sidottu tiettyyn protokollaporttiin tuleviin paketteihin Suorittaa yksittäisen protokollan vaatimat muutokset paketin rakenteeseen Ylläpitää tilakonetta yskittäisille datavoille, jotta tarvittavat muutokset voidaan suorittaa. Tyypillisiä ALG protokollia FTP HTTP ICMP Telnet H.323

Kysymys: www asiakas Lic.(Tech.) Marko Luoma (13/23) Julkisesta verkosta lokaaliin verkkoon? Miten tiin kytketty päätelaite voi ottaa yhteyden in takana olevaan toiseen päätelaitteeseen? www palvelin Ongelma: www palvelin käyttää lokaalia osoitetta (esim verkosta), koska sen pääasiallinen käyttö on sisäinen www palvelu 10 verkon osoitteet eivät ole tiedossa julkisenverkon puolella Lic.(Tech.) Marko Luoma (14/23) Julkisesta verkosta lokaaliin verkkoon? Ratkaisu: Käytetään nimipalvelua hyväksi Operoidaan täydellisillä piirinimillä Nimeen liitetään julkisenverkon osoite (staattinen tai dynaaminen) www asiakas Käytetään DNS ALGtä luomaan tarvittavat tilakoneet DNS www palvelin Kaksinkertainen Lic.(Tech.) Marko Luoma (15/23) Kaksinkertainen Lic.(Tech.) Marko Luoma (16/23) Esimerkki: Organisaatiolla Oli aiemmin 256 osoitteen lohko (130.233.154.0) Vaihtoivat 512 osoitteeseen (130.233.254.0/23) Sisäisesti säilytettiin vanha osoiteavaruus. Operaattori Jakoi luovutetun 256 osoitteen lohkon uudelle käyttäjälle (130.233.154.0/24) 130.233.254.0/23 130.233.154.0/24 Ongelma: Kuinka kaksi konetta voivat kommunikoida keskenään, kun niillä on konfliktoivat osoitteet (tarkoituksella)

Lic.(Tech.) Marko Luoma (17/23) Lic.(Tech.) Marko Luoma (18/23) Kaksinkertainen Monikotisuus Ratkaisu: Operoidaan piirinimillä Canis.lupus.fi Tarvitaan DNS ALG, joka ottaa huomioon onko haettu laite julkisessa vai lokaalissa Src= versiossa osoiteavaruutta Dst=130.233.254.100 Mikäli ulkoisessa avaruudessa annetaan pseudo osoite, joka muutetaan :ssa todelliseksi Mikäli sisäisessä annetaan sisäinen osoite Src=130.233.254.100 Dst= Src=10.10.0.100 Dst= DNS Resp 10.10.0.100 Src= Dst=10.10.0.100 Query Canis.lupus.fi Canis.lepus.fi Periaatteessa on tarkoitettu tynkäalueisiin, eli on vain yksi liityntä ulkomaailmaan Vikaantumisriski on suuri Monikotisuudella saavutetaan varmuutta mutta toisaalta tarvittava logiikka kasvaa Kuinka taata, että kaikki yhteyden paketit kulkevat yksittäisen in kautta TCPn tilakone sekoaa, jos paketteja puuttuu runsaasti Kuinka ien välinen konfiguraatio pysyy hallinnassa Samoja osoitteita ei jaeta useammassa paikassa kerrallaan Tynkäalue Lic.(Tech.) Marko Luoma (19/23) Lic.(Tech.) Marko Luoma (20/23) Porttitason Jaettu tynkäalue Porttitason issa useat päätelaitteet jakavat saman globaalin IP osoitteen Hyödynnetään porttinumeroita asiakkaiden erottelussa Vaarana ylivuoto Esimerkki: Julkisia osoitteita on 255 kpl Lokaaleja osoitteita on 1000 kpl Liikenteestä 50 % suuntautuu B 130.233.154.250:8080 < > 10.38.0.3:80 25 130.233.154.250:4434 < > 10.38.100.1:143 B 130.233.154.251:5000 < > 10.38.0.60:123 B 130.233.154.252:4400 < > 10.38.8.60:600 5 130.233.154.253:2500 < > 10.38.11.60:20 B 130.233.154.254:8000 < > 10.38.0.100:22 130.233.154.254/30 ulos 10.38.0.0/16 Tynkäalue voi olla myös paloiteltu useampaan osaan eri puolille operaattorin verkkoa Näiden yhdistämiseen tarvitaan Vuokrajohtoa (ei eleganttia) VPN (usein turhaan) Kaksinkertainen (turhan hankalaa) Tunnelointia 10.10.1.100 10.10.1.110

Lic.(Tech.) Marko Luoma (21/23) Lic.(Tech.) Marko Luoma (22/23) Tunnelointi Entäpä tästä tiin Tunneloinnissa IP paketti välitetään toisen paketin hyötykuormana Tunnelilla on määrätyt päätepisteet Alku, jossa kehystetään Loppu, jossa puretaan Kehystyksessä Voidaan kopioida alkuperäisen paketin välitystietoja, jos halutaan vaikuttaa paketin välitykseen julkisessa verkossa (ToS kenttä) Src=10.10.1.110 Dst=10.10.1.100 Src=174.128.101.15 Dst= Src=10.10.1.110 Dst=10.10.1.100 10.10.1.100 174.128.101.15 10.10.1.110 Kommunikointi tiin Kaksi erillistä tia Kaksi erillistä julkista osoiteavaruutta Yksi Yksi julkinen osoiteavaruus Yksi asiakasosoite (tunnelin toinen pää) 174.128.101.15 10.10.1.100 10.10.1.110 Lic.(Tech.) Marko Luoma (23/23) Ongelmia Edellyttää harvaa liikennematriisia Vain pieni osajoukko päätelaitteista kommunikoi tynkäalueen ulkopuolle tai ulkopuolelta kommunikoidaan pieneen osaan tynkäalueen päätelaitteista Muuten hyöty pienenee Osoitteiden uudelleen käytettävyydessä Prosessoinnin raskaudessa Lisää riskiä globaalisti vääriin osoitekonfiguraatioihin Pienentää tiettyjen sovellusten kapasiteettia (ftp, http jne) Piilottaa loppukäyttäjän identiteetin Monimutkaistaa nimipalvelua Ei sovi IPSecin kanssa IPSecissä hyödynnetään osoitteita, joten osoitemuutos johtaa salausavaimen korruptoitumiseen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute