Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Samankaltaiset tiedostot
Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Miksi? Miten? Miten? S Televerkot yrityksissä Luento 2: Network Address Translation. Internet

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Kuva maailmasta Pakettiverkot (Luento 1)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Siirtyminen IPv6 yhteyskäytäntöön

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Antti Vähälummukka 2010

Salausmenetelmät (ei käsitellä tällä kurssilla)

OSI ja Protokollapino

TW- EAV510 / TW- EAV510 AC: OpenVPN

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

OpenVPN LAN to LAN - yhteys kahden laitteen välille

PPTP LAN to LAN - yhteys kahden laitteen välille

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

TW- LTE REITITIN: GRE- OHJEISTUS

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Service Level Agreement. Service Level Agreement. IP verkkopalvelu. S Verkkopalvelujen tuotanto Luento 1: Service Level Agreement

S Teletekniikan perusteet

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

TW- EAV510/TW- EAV510AC:

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

PPTP LAN to LAN - yhteys kahden laitteen välille

Internet Protocol version 6. IPv6

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Tietoliikenne II (2 ov)

Linux palomuurina (iptables) sekä squid-proxy

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

TW-EAV510AC-LTE OpenVPN ohjeistus

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

TW- EAV510/TW- EAV510AC: PPTP- OHJEISTUS

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Introduction to exterior routing

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

TW- EAV510/TW- EAV510AC: GRE- OHJEISTUS

WL54AP2. Langattoman verkon laajennusohje WDS

Kytkimet, reitittimet, palomuurit

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

T Tietokoneverkot kertaus

Monimutkaisempi stop and wait -protokolla

DNA LAAJAKAISTA TUOTEKUVAUS

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Yleinen ohjeistus Linux tehtävään

Yhdysliikennejärjestelyt suomessa sekä tekniikan kuvaus

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Verkkotekniikan jatkokurssi Mobile IPv

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Miska Sulander Jyväskylän yliopisto Atk keskus FUNET yhdistyksen vuosikokous

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Verkkoliikennettä Java[ssa lla] Jouni Smed

ELEC-C7241 Tietokoneverkot Kuljetuskerros

VALOKUITU PALVELUKUVAUS

Ohjelmistoarkkitehtuurit

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

Reititys. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Reititys. Jaakko Kangasharju.

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Tulevaisuuden Internet. Sasu Tarkoma

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

Liikkuvien isäntäkoneiden reititys

Videoneuvottelu. Johdanto. Järjestelmät. Telepresensce. Laitteisto. Ryhmäneuvottelut

5. Mobile IP (RFC 3220)

TW- EAV510 / TW- EAV510 AC: IPSeC- Ohjeistus

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

TELIA YHTEYS KOTIIN MOBIILI PALVELUKUVAUS

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

1.1 Palomuuri suunnitelma

Future Internet. Markus Peuhkuri Funet tekniset päivät Aalto-yliopisto Tietoliikenne- ja tietoverkkotekniikan laitos

Miten Internet toimii?

Transkriptio:

Lic.(Tech.) Marko Luoma (1/31) Lic.(Tech.) Marko Luoma (2/31) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut IPv4 osoiteavaruus on loppumassa Syy tähän on käytön huono hyötysuhde (historian painolastina myönnetyt A ja B luokan osoitelohkot) Ratkaisumalleja: Pitkällä tähtäimellä Uusi Protokolla, joka mahdollistaisi suuremman määrän osoitteita Lyhyellä tähtäimellä Osoitteiden luokattomuus (oletusarvo nykyään) Hyödynnetään samoja osoitteita useammassa kohdassa verkkoa, mikäli kyseisten verkon osien ei tarvitse (ainakaan täydessä laajuudessa) kommunikoida muualle verkkoon. Lic.(Tech.) Marko Luoma (3/31) Lic.(Tech.) Marko Luoma (4/31) Osoitemanipulaation syitä Miten? Verkossa käytetään lokaaleja IP osoitteita. Eli osoitteita, jotka on tarkoitettu testi sekä sisäiseen käyttöön. 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Sama osoiteavaruus on käytössä molemmissa verkoissa: Lokaaleja osoitteita (kaksi riippumatonta organisaatiota voi käyttää sisäisesti samoja osoitteita) Globaaleja osoitteita (toinen organisaatioista on saattanut kuulua jonkun muun operaattorin verkkoon ja kuitenkin halunnut säilyttää ko verkon osoitteet) Hyödynnetään havaintoa, että vain pieni osa yksittäisen nysä/tynkä alueen (stub network) laitteista kommunikoi alueen ulkopuolelle Saman aikaisesti (dynaamisuus) Yleensäkään (staattisuus) Tynkäalue voi olla mikä tahansa internet, joka on muun verkon kannalta yhdestä pisteestä liitetty Pääosa liikenteestä on paikallista > pätee suurelta osin yritysten lähiverkkoihin

Lic.(Tech.) Marko Luoma (5/31) Lic.(Tech.) Marko Luoma (6/31) Vaihtoehtoja Network Address Translation Network Address Translation (NAT) Yhdyskäytävä suorittaa jokaiselle IP paketille IP otsikon osoitteen muunnoksen IP otsikon tarkistussumma Siirto otsikon muuttuminen TCP pseudo otsikko Sovellustason osoitemuunnos Realm Specific IP (RSIP) Yhdyskäytävä luovuttaa päätelaitteelle julkisen osoitteen rajalliseksi ajaksi (vertaa DHCP) Informaatio tunneloidaan lokaalissa alueessa yhdyskäytävälle, joka välittää paketin julkiseen verkkoon NATin tehtävä on muuntaa IP pakettien osoitekenttien sisältöä niiden kulkiessa kahden osoitereaalisaation välillä, joihin NAT on yhteydessä. Periaatessa: yksinkertainen Teknisesti: toimintaan liittyy useita vaiheita jotka aiheuttavat ongelmia 130.233.154.176 130.233.154.254 10/8 Src=130.233.154.254 Dst=130.233.154.176 10.38.0.16 Src=10.38.0.16 Dst=130.233.154.176 NAT tarjoaa yhdyskäytäväpalvelua kahden osoitereaalisaation välillä NAT ei ole reititin Välityspalvelulla tarkoitetaan osoitteen muunnosta muotoon, joka mahdollistaa normaalin välittämisen toisessa osoitereaalisaatiossa NAT voi kuitenkin olla integroituna reitittimen ohjelmistoon NAT voi puuttua reititysilmoituksiin tarkastamalla, että tynkäalueen muunnettavia osoitteita (verkkoja) ei mainosteta muualle tiin. NAT 10.38.0.0/24 130.233.224.0 Lic.(Tech.) Marko Luoma (7/31) 10.10.0.0/24 10/8 0.0.0.0 10.10.0.0 10.38.0.0 10.233.224.0 130.233.224.0 130.233.224.0/24 10.233.224.0/24 Staattinen NAT Niille päätelaitteille, joilla on jatkuva tarve kommunikoida muun maailman kanssa tehdään staattinen varaus tiettyihin osoitteisiin 130.233.154.0/24 10/8 130.233.154.240 < > 10.38.0.3 130.233.154.241 < > 10.38.0.16 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > 10.38.0.110 130.233.154.244 < > 10.38.0.228 Vaihtoehdot Lic.(Tech.) Marko Luoma (8/31) Dynaaminen NAT Mikäli ei ole tietoa tarpeista tai ne ovat satunnaisia, varataan joukko osoitteita, joita NAT hyödyntää dynaamisesti B 130.233.154.240 < > 10.38.0.3 25 130.233.154.241 < > B 130.233.154.242 < > 10.38.0.60 130.233.154.243 < > B 130.233.154.244 < > 10.38.0.228 130.233.154.245 < > 130.233.154.246 < > 10.38.0.0/24 130.233.154.247 < > 130.233.154.248 < >

Lic.(Tech.) Marko Luoma (9/31) Dynaaminen NAT toiminta Lic.(Tech.) Marko Luoma (10/31) Dynaaminen NAT toiminta Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Tilakoneella on kolme tilaa Osoitteen varaaminen Lokaalin verkon päätelaite aloittaa kommunikaation NATin kautta tai ulkoapäin halutaan kommunikoida lokaalin verkon päätelaitteelle. Globaali osoite liitetään lokaaliin osoitteeseen, jonka jälkeen kaikki yhteydet kyseisestä lokaalista osoitteesta saavat NATissa kyseisen globaalin osoitteen. Osoitteen haku ja muunnos Kyseiseltä lokaalin verkon päätelaitteelta on tullut paketteja jo aiemmin ja sille on tehty jo osoitteen liittäminen Suoritetaan tarvittavat muunnokset ja aktivoidaan mahdollisesti tarvittavat sovellusriippuvat osat (ALG) Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Lic.(Tech.) Marko Luoma (11/31) Lic.(Tech.) Marko Luoma (12/31) Dynaaminen NAT toiminta NATin vaikutuksia Muunnos Ensimmäinen paketti lokaalista osoitteesta Varaaminen Null Vapauttaminen Lokaaliin osoitteeseen ei ole liikennettä UDPssa ~2 5 min TCPssä FIN ~2 5min tai muuten x tuntiin. (esim 24h) Osoitteen vapauttaminen Lokaalin päätelaitteen kommunikaatio globaaliin verkkoon on päättynyt eikä globaalia osoitetta enää tarvitse varata sen käyttöön. Viimeisellä TCP yhteydellä on tullut FIN ja siihen liittyvä kuittaus Paketteja ei ole liikkunut 5 minuuttiin Avoimella TCP yhteydellä ei ole toimintaa x tuntiin Seuraus 1 IP otsikon sisältö muuttuu (binäärinen) Vaikutus IP otsikon tarkistussumma täytyy laskea uudestaan Tarkistussumma on yhden komplementti > tarvitsee laskea erotus muuttuneelle osoittekentälle ja lisätä se tarkistussummaan TCP:n tarkistussumman täytyy laskea uudelleen (TCPn pseudo otsikko sisältää IP osoitteet). Sama yhden komplementti laskenta kuin IP:lle

NATin vaikutuksia Lic.(Tech.) Marko Luoma (13/31) Lic.(Tech.) Marko Luoma (14/31) Application Level Gateway Seuraus 2 Sovellusprotokollan sisältämä osoitetieto muuttuu Perinteinen päästä päähän integriteetti katoaa Vaikutus Mikäli osoite on koodattu numeroina voi paketin pituus muuttua (10.38.0.16 < > 130.233.154.242) TCPn tarkistussumma vaatii muutoksen TCPn järjestysnumero (sequence number)ja kuittausnumero (acknowledge number) vaativat muutokset. Tarvitaan erillinen tilakone huolehtimaan lähtevien pakettien ja vastaanotettujen kuittausten välisestä sovellusriippuvasta muunnoksesta. ALG on NATin spesifinen toteutus tietylle sovellusprotokollalle Sidottu tiettyyn protokollaporttiin tuleviin paketteihin Suorittaa yksittäisen protokollan vaatimat muutokset paketin rakenteeseen Ylläpitää tilakonetta yskittäisille datavoille, jotta tarvittavat muutokset voidaan suorittaa. Tyypillisiä ALG protokollia FTP HTTP ICMP Telnet H.323 Kysymys: www asiakas Lic.(Tech.) Marko Luoma (15/31) Julkisesta verkosta lokaaliin verkkoon? Miten tiin kytketty päätelaite voi ottaa yhteyden NATin takana olevaan toiseen päätelaitteeseen? NAT www palvelin Ongelma: www palvelin käyttää lokaalia osoitetta (esim 10/8 verkosta), koska sen pääasiallinen käyttö on sisäinen www palvelu 10 verkon osoitteet eivät ole tiedossa julkisenverkon puolella Lic.(Tech.) Marko Luoma (16/31) Julkisesta verkosta lokaaliin verkkoon? Ratkaisu: Käytetään nimipalvelua hyväksi Operoidaan täydellisillä piirinimillä Nimeen liitetään julkisenverkon NAT osoite (staattinen tai dynaaminen) www asiakas Käytetään DNS ALGtä luomaan tarvittavat tilakoneet DNS www palvelin NAT

Kaksinkertainen NAT Lic.(Tech.) Marko Luoma (17/31) Kaksinkertainen NAT Lic.(Tech.) Marko Luoma (18/31) Esimerkki: Organisaatiolla Oli aiemmin 256 osoitteen lohko (130.233.154.0) Vaihtoivat 512 osoitteeseen (130.233.254.0/23) Sisäisesti säilytettiin vanha osoiteavaruus. Operaattori Jakoi luovutetun 256 osoitteen lohkon uudelle käyttäjälle (130.233.154.0/24) 130.233.254.0/23 130.233.154.0/24 Ongelma: Kuinka kaksi konetta voivat kommunikoida keskenään, kun niillä on konfliktoivat osoitteet (tarkoituksella) Ratkaisu: Operoidaan piirinimillä Kaksinkertainen NAT Canis.lupus.fi Tarvitaan DNS ALG, joka ottaa huomioon onko haettu laite julkisessa vai lokaalissa Src= versiossa osoiteavaruutta Dst=130.233.254.100 Mikäli ulkoisessa avaruudessa annetaan pseudo osoite, joka muutetaan NAT:ssa todelliseksi Mikäli sisäisessä annetaan sisäinen osoite Lic.(Tech.) Marko Luoma (19/31) Src=130.233.254.100 Dst= NAT Src=10.10.0.100 Dst= DNS Resp 10.10.0.100 Src= Dst=10.10.0.100 Query Canis.lupus.fi Canis.lepus.fi Periaatteessa NAT on tarkoitettu tynkäalueisiin, eli on vain yksi liityntä ulkomaailmaan Vikaantumisriski on suuri Monikotisuudella saavutetaan varmuutta mutta toisaalta tarvittava logiikka kasvaa Kuinka taata, että kaikki yhteyden paketit kulkevat yksittäisen NATin kautta TCPn tilakone sekoaa, jos paketteja puuttuu runsaasti Monikotisuus Lic.(Tech.) Marko Luoma (20/31) Kuinka NATien välinen konfiguraatio pysyy hallinnassa Samoja osoitteita ei jaeta useammassa paikassa kerrallaan Tynkäalue

Porttitason NAT Lic.(Tech.) Marko Luoma (21/31) Jaettu tynkäalue Lic.(Tech.) Marko Luoma (22/31) Porttitason NATissa useat päätelaitteet jakavat saman globaalin IP osoitteen Hyödynnetään porttinumeroita asiakkaiden erottelussa Vaarana ylivuoto Esimerkki: Julkisia osoitteita on 255 kpl Lokaaleja osoitteita on 1000 kpl B 130.233.154.250:8080 < > 10.38.0.3:80 25 130.233.154.250:4434 < > 10.38.100.1:143 B 130.233.154.251:5000 < > 10.38.0.60:123 B 130.233.154.252:4400 < > 10.38.8.60:600 5 130.233.154.253:2500 < > 10.38.11.60:20 B 130.233.154.254:8000 < > 10.38.0.100:22 10/8 130.233.154.254/30 Liikenteestä 50 % suuntautuu ulos 10.38.0.0/16 Tynkäalue voi olla myös paloiteltu useampaan osaan eri puolille operaattorin verkkoa Näiden yhdistämiseen tarvitaan Vuokrajohtoa (ei eleganttia) VPN (usein turhaan) Kaksinkertainen NAT (turhan hankalaa) Tunnelointia 10.10.1.100 10.10.1.110 Lic.(Tech.) Marko Luoma (23/31) Lic.(Tech.) Marko Luoma (24/31) Tunnelointi Entäpä tästä tiin Tunneloinnissa IP paketti välitetään toisen paketin hyötykuormana Tunnelilla on määrätyt päätepisteet Alku, jossa kehystetään Loppu, jossa puretaan Kehystyksessä Voidaan kopioida alkuperäisen paketin välitystietoja, jos halutaan vaikuttaa paketin välitykseen julkisessa verkossa (ToS kenttä) Src=10.10.1.110 Dst=10.10.1.100 Src=174.128.101.15 Dst= Src=10.10.1.110 Dst=10.10.1.100 10.10.1.100 174.128.101.15 10.10.1.110 Kommunikointi tiin Kaksi erillistä NATtia Kaksi erillistä julkista osoiteavaruutta Yksi NAT Yksi julkinen osoiteavaruus Yksi asiakasosoite (tunnelin toinen pää) 174.128.101.15 10.10.1.100 10.10.1.110

NATin ongelmia Lic.(Tech.) Marko Luoma (25/31) Realm Specific IP Lic.(Tech.) Marko Luoma (26/31) Edellyttää harvaa liikennematriisia Vain pieni osajoukko päätelaitteista kommunikoi tynkäalueen ulkopuolle tai ulkopuolelta kommunikoidaan pieneen osaan tynkäalueen päätelaitteista Muuten hyöty pienenee Osoitteiden uudelleen käytettävyydessä Prosessoinnin raskaudessa Lisää riskiä globaalisti vääriin osoitekonfiguraatioihin Pienentää tiettyjen sovellusten kapasiteettia (ftp, http jne) Piilottaa loppukäyttäjän identiteetin Monimutkaistaa nimipalvelua Ei sovi IPSecin kanssa IPSecissä hyödynnetään osoitteita, joten osoitemuutos johtaa salausavaimen korruptoitumiseen RSIP on tarkoitettu korvaamaan NATin käyttö siellä missä se on mahdollista RSIP ei riko päästä päähän integriteettiä RSIP vaatii päätelaitteisiin muutoksia Komponentit RSIP palvelin Hallinnoi julkisia osoitteita RSIP yhdyskäytävä Yhdyskäytävä, joka toimii RSIP tunnelin päätepisteenä RSIP asiakas Tarjoa sovellukselle läpinäkyvän yhteyden julkiseen verkkoon palvelimelta saamalla osoiteella Lic.(Tech.) Marko Luoma (27/31) Lic.(Tech.) Marko Luoma (28/31) RSIP toiminta RSIP Toiminta muistuttaa DHCP:n toimintaa RSIP voi perustua myös porttitason toimintaan src=130.233.254.121 dst=130.233.224.100 130.233.154.0/24 10.38.15.254 src=10.38.15.254 dst=10.38.15.10 RSIP address response 130.233.154.121 src=10.38.15.10 dst=10.38.15.254 RSIP address query src=10.38.15.10 dst=10.38.15.254 src=130.233.254.121 dst=130.233.224.100 10.38.15.10 DHCP: Haetaan koneelle IP osoite RSIP: Haetaan koneelle IP osoite, jota käytetään kommunikointiin julkiseen verkkoon IP osoitteella on elinaika, jonka jälkeen varaus täytyy vahvistaa uudelleen Yhdyskäytävän täytyy pitää kirjaa kenelle (mille lokaalille osoitteelle) tunneloidaan mikäkin paketti samasta julkisesta osoitteesta RSIP voi perustua myös muihin kanavointi kriteereihin IPSec!!!

Lic.(Tech.) Marko Luoma (29/31) Lic.(Tech.) Marko Luoma (30/31) Kommunikointi julkisesta verkosta? IPv6 < > IPv4 RSIP voidaan yhdistää DNS:n kanssa kuten NAT Piirinimen haku liittää julkisen osoitteen käyttöön. Kyseinen liitos informoidaan lokaalin verkon päätelaitteelle Raskas prosessi Haku ei välttämättä johda liikenteeseen Porttitason toiminnassa??? RSIP ei ole primäärinen ratkaisu julkisten palveluiden toteuttamiselle RSIP tarjoaa joustavan menetelmän lokaalin verkon siirtymiselle IPv6:n käyttöön Julkiseen verkkoon kulkevat paketit tunneloidaan lokaalissa verkossa Päätelaitteelta edellytetään kahta protokollapinoa Oletusarvo nykyisissä TCP/IP ohjelmistoissa Lic.(Tech.) Marko Luoma (31/31) RSIP ongelmia Suurin yksittäinen ongelma VAATII TUKEA PÄÄTELAITTEELTA Useita, vastaanottaja riippuvaisia, IP osoitteita Tunnelointi Muita ongelmia Levitys ja jakeluliikenteen toteuttaminen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute