ICT1TN002 1/11 Tietokone ja tietoverkot Tietojenkäsittelyn koulutusohjelma 1 ICT1TN002 Harjoitus lähiverkkoasetusten vaikutuksesta Tässä harjoituksessa tutustutaan labrassa lähiverkon toimintaan tekemällä muutoksia käyttöjärjestelmän verkkokorttiasetuksiin (IP asetuksiin). Tarkoituksena on saada näkyväksi teoriaosuudessa kerrottu toimintatapa ja samalla nähdä, miten toiminta on ymmärrettävissä ja ennustettavissa teorian avulla. 1.1 Kohteen tavoitettavuuden toteaminen (Ping komento) Tietoverkossa voidaan verkon toimintaa testata ping komennolla. Ping komento lähettää komennossa määritellylle kohteelle dataa, jonka kohteen tulee palauttaa lähettäjälle. Toiminta on määritelty Internet -standardissa RFC 1122, vaikka nykyään on varsin tavallista, ettei standardia noudateta komennon aiheuttaman tietoturvauhan takia. Esimerkiksi labrojen oletusreititin 172.28.1.254 ei vastaa pingiin. Komento on peruskäytöltään varsin yksinkertainen ja sen syntaksi on seuraava: C:\>ping /? Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] [-k host-list]] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name Options: -t Ping the specified host until stopped. To see statistics and continue type Control-Break; To stop - type Control-C. -a Resolve addresses to hostnames. -n count Number of echo requests to send. -l size Send buffer size. -f Set Don't Fragment flag in packet (IPv4-only). -i TTL Time To Live. -v TOS Type Of Service (IPv4-only). -r count Record route for count hops (IPv4-only). -s count Timestamp for count hops (IPv4-only). -j host-list Loose source route along host-list (IPv4-only). -k host-list Strict source route along host-list (IPv4-only). -w timeout Timeout in milliseconds to wait for each reply. -R Use routing header to test reverse route also (IPv6-only). -S srcaddr Source address to use. -4 Force using IPv4. -6 Force using IPv6. Windowsissa oletuksena lähetetään kohteeseen 32 tavua dataa neljä eri kertaa ja tarkistetaan palautetun datan oikeellisuus ja paljonko aikaa kului datan lähetyksestä palautukseen. Komennossa ei yleensä anneta muuta kuin kohteen nimi tai ip-osoite.
ICT1TN002 2/11 Nykytilanteessa, kun pingin toiminta on usein estetty tietoturvasyistä, voidaan pingin toimiessa virheettä päätellä, että kohde ja reitti ovat kunnossa. Mikäli vastausta ei saada, ei voi oikeastaan päätellä mitään, jos ei ole varma, että kohteen pitäisi vastata pingiin. Virheetön vastaus näyttää seuraavalta Kuten kuvasta näkyy, neljään lähetykseen saadaan neljä vastausta (Reply), kaikissa 32 tavua ja yhdessä tapauksessa vastaus kesti 2ms. Yhteenvetotilastoista nähdään, että virheitä ei ole tapahtunut ja miten aikaa kului lähettämisestä vastaukseen keskimäärin. Mikäli tiedonsiirrossa tapahtuu datavirheitä, niin ne näkyvät tilastotiedoissa. Mikäli kohteen nimelle ei löydy ip -osoitetta, tulee seuraava ilmoitus Tämä virheilmoitus saadaan aina kun nimenselvitys epäonnistuu, oli syy mikä tahansa. Nimi kirjoitettu väärin tai nimipalvelin ei vastaa, koska siihen ei saada yhteyttä. Mikäli kohdetta ei ole olemassakaan, saadaan virheilmoitus Tässä tapauksessa pingaavan koneen ip osoite on ollut 172.28.1.134 ja se ei ole saanut yhteyttä samassa verkossa olevaan koneeseen 172.28.1.19. Tämä tarkoittaa, että koneen fyysistä osoitettakaan ei ole saatu selville ja siten dataa ei ole voitu lähettää koneelle.
ICT1TN002 3/11 Mikäli olematon kohde on reitittimen takana ja reitittimeen saadaan yhteys, niin virheilmoitus on 1.2 Testaustilanne Nyt tilanne on se, että data on voitu lähettää (tässä reitittimelle), mutta vastausta ei ole kuulunut määrätyssä ajassa, jolloin maksimi odotusaika on ylittynyt. Tilanne on sama jos kohteessa on pingaukseen vastaaminen estetty, oli se sitten reitittimen takana tai ei. Virhetilanteissa voi tulla muitakin ilmoituksia, riippuen tilanteesta. Tarvittaessa lisätietoa saa Microsoftin sivuilta. Lataa oma asennuksesi (partitio) koneelle ja kirjaudu tunnuksella, joka kuuluu Administrators ryhmään. Verkkokortin asetuksia ei voi muuttaa ilman ko. oikeuksia. Tilanne on labraverkossa seuraavanlainen: Kuvassa on opiskelijan kone, jossa on staattiset IP asetukset (IP osoite on jokaisella yksilöllinen) ja muita koneita, kuten Helga, jota käytetään testauksessa. Lisäksi kuvassa on oletusreititin, jonka kautta on yhteys Internettiin. Reititin ei tunne lähiverkossa muuta verkkoa kuin 172.28.0.0/24.
ICT1TN002 4/11 1. Tehtävä Käynnistä komentotulkki valinnasta Start, johon kirjoitat hakusanaksi cmd ja valitset löytyneen ohjelman cmd.exe. Kirjoita komennoksi ipconfig /all ja tarkista, että verkkokortin asetukset ovat oikein. Asetusten pitäisi olla seuraavan kuvan mukaiset, paitsi IP osoite (seuraavassa kuvassa 172.28.221.222), jonka tulee oikeasti olla se, joka määriteltiin asennuksen yhteydessä. Tee seuraavaksi komento ping 172.28.2.68 ja vastaukseksi pitäisi tulla (kuvassa on ohjeesta poiketen käytetty koneen nimeä Helga ) 2. Tehtävä Mikäli edellä oleva ei tapahtunut, jossakin on jokin virhe, joka pitää korjata, ennen kuin voit jatkaa. Muutetaan koneen asetuksia siten, että aliverkon peitteeksi (Subnet mask) määritellään 8 bittiä eli 255.0.0.0 (käynnistä Network and Sharing Center ja sieltä Change adapter settings ja edelleen hiiren oikealla Local Area Connection ja Properties. Valitse TCP/IPv4 protokolla ja edelleen Properties). Asetusten pitäisi olla seuraavanlaiset, paitsi IP osoite, jonka tulee olla se, joka määriteltiin asennuksen yhteydessä yksilölliseksi osoitteeksi koneellesi
ICT1TN002 5/11 Sulje ikkuna valinnasta OK ja seuraavasta ikkunasta valitse Close. Asetusten muutos ei tule voimaan, ellet sulje molempia ikkunoita oikein! Siirry komentotulkkiin ja tee taas komento ping 172.28.2.68. Nyt vastaukseksi pitäisi tulla Eli lopputulos on sama (kaikki toimii) kuin aikaisemmin, kun maski oli oikein eli 16 bittiä. Mitä siis tapahtui? Oma koneesi tarkisti ensin oman verkkonsa (tässä 172.28.221.222 AND 255.0.0.0) ja sai tulokseksi siis 172.0.0.0. Sen jälkeen koneesi tarkisti kohdekoneen verkon (172.28.2.68 AND 255.0.0.0) ja sai tulokseksi taas 172.0.0.0. Lopputuloksena on siis, että koneet kuuluvat oman koneesi mielestä samaan verkkoon. Oman koneesi oikea maski 255.255.0.0 antaa saman tuloksen (että koneet ovat samassa verkossa, verkko tosin on 172.28.0.0).
ICT1TN002 6/11 3. Tehtävä Lisäksi pitää tarkistaa, mitä tapahtuu, kun kohdekone 172.28.2.68 on lähettämässä vastausta pingiin. Kohdekoneen asetuksia ei ole muutettu, joten sen maski on edelleen 16 bittiä eli 255.255.0.0. Kohdekone tarkistaa ensin oman verkkonsa (172.28.2.68 AND 255.255.0.0) ja saa vastaukseksi siis 172.28.0.0. Sen jälkeen se tarkistaa koneesi verkon (joka nyt on muuttunut itse asiassa kohdekoneeksi ja se itse 172.28.2.68 on muuttunut lähettäväksi koneeksi), jolloin 172.28.221.222 AND 255.255.0.0 antaa tulokseksi 172.28.0.0. Lopputuloksena on, että koneet kuuluvat samaan verkkoon ja kaikki siis toimii. Muutetaan seuraavaksi verkkokortin asetuksissa aliverkon peitteeksi 24 bittiä ja poistetaan oletusreitittimen määrittely. Asetukset näyttävät siis seuraavilta Kun olet hyväksynyt asetukset (muista sulkea molemmat ikkunat), siirry komentotulkkiin ja tee taas sama pingaus. Tuloksen pitäisi näyttää esimerkiksi seuraavalta (tiedonsiirto ei siis onnistu)
ICT1TN002 7/11 Päättele, mitä tapahtuu ja vastaa Moodlessa olevan tentin seuraavaan kysymykseen. T3. Kun koneesi maski on muutettu 24 bittiseksi ja oletusreititin on poistettu, ei yhteys Helgaan (172.28.2.68) enää onnistu, koska Valitse ainakin yksi vastaus a. Pingausta tekevä kone haluaisi lähettää datan reitittimelle, jota ei ole määritelty b. Koska oletusreititintä ei ole määritelty, ei pingaus toimisi, vaikka maski olisi oikein c. Data saapuu kyllä kohdekoneelle 172.28.2.68, mutta sen vastaus katoaa, koska reititintä ei ole määritelty 4. Tehtävä Lisätään verkkokortin asetuksiin tuo puuttuva tieto oletusreitittimestä (maski pidetään ennallaan 255.255.255.0). Kun olet hyväksymässä asetusta, saat ilmoituksen Ilmoituksessa varoitetaan (aiheellisesti), että asetuksissa ei oletusreititin kuulu samaan verkkoon kuin itse kone IP osoitteen ja maskin perusteella. Hyväksytään asetus varoituksesta huolimatta valinnasta Yes. Testaa seuraavaksi, että pingaus nyt toimii taas virheettä. Nyt pitää tuon yllä olevan varoituksen perusteella olettaa, että kone käyttää tuota reititintä kuin se olisi samassa verkossa, vaikka niin ei ip osoitteiden ja maskin perusteella asia olekaan. Mitä tässä tilanteessa siis tapahtuu? Vastaa Moodlessa olavan tentin seuraavaan kysymykseen:
ICT1TN002 8/11 T4. Kun maski on 24 bittinen ja oletusreititin määritelty, niin pingaus toimii, koska Valitse ainakin yksi vastaus a. Pingaavasta koneesta data lähetetään reitittimelle, joka lähettää sen edelleen takaisin samaan verkkoon kohdekoneelle 172.28.2.68 b. Pingaava kone saa tiedon reitittimeltä, missä kohdekone 172.28.2.68 on ja lähettää sen jälkeen datan suoraan kohdekoneelle c. Vastaus koneelta tulee kuitenkin suoraan pingaavaan koneeseen eikä se kierrä reitittimen kautta d. Nyt kaikki data kulkee reitittimen kautta ja sen takia kaikki toimii 5. Tehtävä Muutetaan seuraavaksi alkuperäisiä oikeita ip asetuksia siten, että muutetaan vain koneen ip osoitetta siten, että oikean ip osoitteen (tässä 172.28.221.222) tilalle laitetaan ip osoite 172.29.221.222. Palauta siis edellisessä tehtävässä määritelty virheellinen maski (24b) oikeaksi eli 255.255.0.0. Asetukset näyttävät nyt seuraavilta: Kun hyväksyt asetuksia, saat taas tuon varoituksen oletusreitittimen virheellisestä sijainnista. Hyväksy kuitenkin asetukset valinnalla Yes ja muista sulkea myös toinen ikkuna valinnasta OK. Kun taas testaat yhteyttä Helgaan pingaamalla sen ip osoitetta 172.28.2.68, saat vastaukseksi
ICT1TN002 9/11 Nyt virheilmoitus on Request timed out. Mitä tässä tilanteessa tapahtui? Vastaa Moodlessa olavan tentin seuraavaan kysymykseen: T5. Kun pingaavan koneen ip-osoite on muotoa 172.29.x.y ei pingaus enää toimi, koska Valitse ainakin yksi vastaus a. Pingaava kone lähettää datan reitittimelle, joka lähettää sen kohteelle 172.28.2.68, mutta paluu ei onnistu, koska paluudata lähetetään myös reitittimelle, joka ei tiedä, missä kone 172.29.x.y on b. Data lähtee pingauksesta reitittimelle, josta se jatkaa matkaansa Internettiin, jonne se katoaa c. Tässä tilanteessa ongelmaksi tulee DNS -palvelin, jonka ip-osoite on 172.28.11.67 d. Pingaavan koneen data ei koskaan saavu koneelle 172.28.2.68, joten vastaustakaan ei voida saada 6. Tehtävä Edellisessä tilanteessa aiheutti toiminnan tulkinnalle ongelmia se, että määrittely oli jo koneen omien asetusten kannalta virheellinen. Muutetaan asetuksia niin, että ne ovat periaatteessa oikein. Määritellään maskiksi 8 bittiä, jolloin asetukset näyttävät seuraavilta
ICT1TN002 10/11 Kun asetukset on tallennettu, mitään varoitusta ei virheellisistä asetuksista enää tule. Pingauksen lopputulos on kuitenkin sama kuin edellä eli Request timed out. Miten näillä asetuksilla data yrittää kulkea koneiden välillä? Vastaa Moodlessa olavan tentin seuraavaan kysymykseen: Kun koneen ip-osoite on muotoa 172.29.x.y ja maski 8 bittiä (255.0.0.0), niin ko. koneessa tehty "ping 172.28.2.68" aiheuttaa Valitse ainakin yksi vastaus a. Pingaus saadaan toimimaan, mikäli reititittimen tiedot poistetaan pingaavan koneen asetuksista b. Kone 172.28.2.68 lähettää vastauksen reitittimelle 172.28.1.254, joka ei osaa lähettää sitä edelleen koneelle 172.29.x.y c. Data lähtee pingauksesta reitittimelle 172.28.1.254, joka ei osaa lähettää sitä edelleen kohteeseen 172.28.x.y d. Data lähtee pingauksesta suoraan kohteeseen 172.28.2.68 7. Tehtävä Otetaan vielä yksi esimerkki, jota et voi kokeilla käytännössä. Ajatellaan, että koneesi ip osoite olisi 172.28.1.1 ja maskiksi olisi koneelle määritelty virheellisesti 24 bittiä oikean 16 bitin (255.255.0.0) sijasta. Nyt oman koneesi ip osoitetta määrittäessäsi ei tulisi mitään virheilmoitusta virheellisestä maskista, koska reititin näyttäisi kuuluvan samaan verkkoon 172.28.1.0 koneesi kanssa. Et voi kokeilla ko. tilannetta, koska Sinulla ei ole tietoa, mitkä 172.28.1 alkuiset ip osoitteet ovat käytössä labrassa. Ratkaise tehtävä pelkästään päättelemällä.
ICT1TN002 11/11 Miten ping komennon kanssa kävisi? Saisitko virheilmoituksen ja jos, niin minkä. Mitä reittiä data kulkisi koneiden välillä? Vastaa Moodlessa olavan tentin seuraavaan kysymykseen: Mikäli koneesi ip-osoite olisi 172.28.1.1 ja maski virheellisesti 24b (255.255.255.0), niin miten ping -komennon kanssa kävisi? Valitse ainakin yksi vastaus a. Mitään virheilmoituksia ei tulisi missään vaiheessa ja ping toimisi virheettä b. Ongelmana olisi, että kaikki näyttäisi olevan kunnossa, mutta data kiertäisi reitittimen kautta c. Työasemalta kulkeva data kulkisi reitittimen kautta, koska kohde 172.28.2.68 olisi sen mielestä eri verkossa d. Data ei kulkisi Helgalta työasemalla ja ping -komento antaisi siis virheilmoituksen e. Ping antaisi virheilmoituksen "Request timed out"