Vuonimiö on pelkkä tunniste

Samankaltaiset tiedostot
... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

Vuonimiö on pelkkä tunniste

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

2. IPv6-protokolla. enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

2. IPv6-protokolla. Internet. Internetin verkkokerros

Internetin verkkokerros. 2. IPv6-protokolla

IPv6. IPv6. IPv6-otsake. Otsakekentät. 16 tavun osoitteet => rajaton määrä osoitteita

CIDR on kikkailua, ei ratkaise IP:n perusongelmia tavoitteita:

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Turvallisuus verkkokerroksella

AH-otsake. TCP/UDP -segmentti. Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla

AH-otsake. AH-otsake. IP-otsake. ESP-otsake. AH-otsake

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Internet Protocol version 6. IPv6

IPv6-protokolla. Internet. Internetin verkkokerros

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon!

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

Internet-protokollia. testauspakettien lähettäminen

IPv6-protokolla. Internet. Internetin verkkokerros

Internet-protokollia. ICMP-sanomia

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

ICMP (Internet Control Message Protocol)

Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

001.. Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

OSI ja Protokollapino

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Verkkokerros ja Internet Protocol. kirja sivut

Kytkentäosa. Ulosmenoportit. Jonotus reitittimessä 001..

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Liikkuvien isäntäkoneiden reititys

5. Mobile IP (RFC 3220)

Reitittimen rakenne. Kytkentäosa ... (switching fabric) Reititysprosessori 2/7/ pakettien edelleenohjaaminen (PE)

" Reititysprosessori. " suorittaa reititysprotokollaa " RIP, OSPF, BGP,.. " päivittää reititystauluja. " hallinta- ja ylläpitotoimintoja

Reitittimen rakenne. Kytkentäosa ... (switching fabric) Reititysprosessori linkkikerroksen toiminnot (LK)

" Reititysprosessori. " suorittaa reititysprotokollaa " RIP, OSPF, BGP,.. " päivittää reititystauluja. " hallinta- ja ylläpitotoimintoja

Verkkokerros. Verkkokerros ja Internet Protocol. End-to-end -argumentti. IP-otsikkotiedot. IP ja linkkikerros <#>

Reitittimen rakenne ... ulostuloportit. sisäänmenoportit. Kytkentäosa. (switching fabric) Reititysprosessori 2/7/

hteitä 2005 Markku Kojo Detailed algorithm for a RED router

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Internet perusteet. Analyysin tasot

Johdanto Internetin reititykseen

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Verkkokerros ja Internetprotokolla

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

T Tietokoneverkot

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Verkkokerros ja Internetprotokolla

Internet perusteet. Internet perusteet Osoitteet IPv4 ja ICMP -protokollat ARP - Address Resolution Protocol. Internet-1. S-38.

Verkkokerros ja Internetprotokolla

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Introduction to exterior routing

Luento 7: Verkkokerros verkkokerroksen tehtävät, IP-protokolla, reititin. Syksy 2014, Tiina Niklander

Introduction to exterior routing

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Luento 7: Verkkokerros

3. Kuljetuskerros 3.1. Kuljetuspalvelu

2/24/15. Verkkokerros 1: IP-protokolla CSE-C2400 Tietokoneverkot Kirjasta , 4.4. ja 8.7. Verkkokerros. Verkkokerroksen tehtävä

Johdanto Internetin reititykseen

Langattomat lähiverkot. Matti Puska

Introduction to exterior routing

Salausmenetelmät (ei käsitellä tällä kurssilla)

Introduction to exterior routing. Autonomous Systems

Chapter 4 Network Layer

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Aliverkkomaskin käyttö maskin avulla osoitteesta poistetaan koneosoite. etsitään verkko-osoite reititystaulusta esim.

Reititin (Router) Reitittimen rakenne. Reititysprosessori. Aliverkkomaskin käyttö maskin avulla osoitteesta poistetaan koneosoite AND-operaatio

IP asetus -harjoitus Tietojenkäsittelyn koulutusohjelma

Verkkokerroksen palvelut. 5. Verkkokerros. Tulvitus jokainen saapunut paketti lähetetään kaikille muille ulosmenoille.

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

IPv6 - uusi Internet-protokolla

5. Verkkokerros. Verkkokerroksen palvelut. Tulvitus jokainen saapunut paketti lähetetään kaikille muille ulosmenoille.

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

T Tietokoneverkot

Antti Vähälummukka 2010

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Tietoliikenteen perusteet. Verkkokerros

Kattava katsaus reititykseen

Monilähetysreititys. Paketti lähetetään usealle vastaanottajalle Miksi? Monet sovellukset hyötyvät

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Miten selain muodostaa TCP- tai UDP-yhteyden? TCP-osoite = IP-osoite + porttinumero ( tässä 80) SOCKET BIND (80) LISTEN ACCEPT. Connection Request

Monilähetysreititys (multicast routing)

Monilähetysreititys (multicast routing)

ESPOO VANTAA INSTITUTE OF TECHNOLOGY. ser 0/0. Right WS-3 WS-4. Ennen QoS-määrittelyjä tehdään normaalit reititinmäärittelyt ja testataan IP-yhteys:

T Tietokoneverkot kertaus

Luento 13: Arkkitehtuurit. Internet tänään

T Tietokoneverkot

Introduction to Routing in Internet

T Tietokoneverkot : Reititys sisäverkossa

T Tietokoneverkot

" Internet on globaalin mittakaavan koeverkko. " Nykyinen Internet. " yhtäläiset resurssit ja kurjuus. " Best Effort palvelua. " 3 bitin precedence

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

Transkriptio:

Reitittimelle vuo on joukko peräkkäisiä paketteja, joita tulee käsitellä tietyllä tavalla samat resurssivaraukset samat turvallisuusvaatimukset samat säännöt pakettien hävittämiseen samat etuoikeudet jonoissa samat vaatimukset aliverkon palvelunlaadulle sama laskutus 18.9.2003 25 Vuonimiö on pelkkä tunniste on erikseen esitettävä, mitä toimintoja kuhunkin nimiöön liittyy neuvottelemalla etukäteen reitittimen kanssa valvontaprotokollaa käyttäen ilmoittamalla paketteja lähetettäessä otsakkeissa halutut toiminnot Hop-By-Hop -option otsakkeessa voidaan pyytää tiettyä palvelunlaatua (QoS) tai tosiaikaista palvelua 18.9.2003 26

Vuonimiöiden käsittely solmuissa Jos ei osaa käsitellä, niin jätetään huomiotta. Jos on sama vuonimiö, niin on oltava myös sama kohde- ja lähdeosoite sama prioriteetti samat hop-by-hop-optiot (jos käytössä) samat reititysoptiot (jos käytössä) Jotta reititin pystyy käsittelemään paketin pelkän vuonimiön perusteella lähde antaa vuotunnisteen ja pitää kirjaa niistä noin 16 miljoonaa tunnistetta valitaan satunnaisesti sama tunniste uudelleen käyttöön vasta, kun sitä ei enää käytetä 18.9.2003 27 Laajennusotsakkeet reititysotsake (Routing header) laajennettu reititys ~IPv4:n lähdereititys, vaadittu reitti tai reitin osa paloitteluotsake (Fragmentation header) paloitteluun ja kokoamiseen liittyvää tietoa Turvaotsakkeet => IPSec salausotsake ESP ja autentikointiotsake AH kohdeoptioiden otsake (Destination Options header) paketin vastaanottajille tarkoitettua tietoa Hop-By-Hop- optioiden otsake tietoja reitittimille, käsitellään joka reitittimessä 18.9.2003 28

Reititysotsake Next Header Hdr Ext Len Routing type Segments left Routing type (8 bittiä): reititysotsakkeen tyyppi = 0 Segments left (8 bittiä): vielä kuljettavien välisolmujen määrä 18.9.2003 29 Tyypin 0 reititysotsake Next Header Hdr Ext Len 0 Segments left reserved Strict/loose bit map Routing type Address1... Segments left Address n Bit map (23 bittiä): 1 (strict routing) = vastaava osoite on seurava solmu, 0 (loose routing) = ei välttämättä oltava seuraava osoite

Kohteen IP-osoite on osoitelistan viimeinen, IP-otsakkeessa on ensimmäisen reittilistalla olevan reitittimen osoite tämä reititin tutkii reititysotsikon ja saa selville, minne paketti seuraavaksi ohjataan päivittää IP-paketin osoitteeksi seuraavan listalla olevan reitittimen sekä vähentää yhdellä segments left -kenttää 18.9.2003 31 Paloittelu (fragmentation) IPv6: lähettäjäsolmu paloittelee sanoman ei enää reititin reititin hylkää liian suuret paketit path discovery -algoritmi: lähettäjä selvittää reitillä olevan pienimmän MTU:n (Maximum data unit), jotta osaa paloitella sopiviksi osiksi 1280 tavun paketti on kaikkien pystyttävä välittämään 18.9.2003 32

Paloittelu-otsake Next Header reserved Fragment offset res. M identification Fragment offset (13 bittiä): osan sijainti, yksikkönä 64 bitin osat M-lippu: 1 = lisää palasia, 0= viimeinen pala Identification (32 bittiä): koko sanoman tunniste, kaikissa osissa sama, 18.9.2003 33 1. pak. IPv6-otsake paloitteluotsake UDP-otsake + data 2. pak. IPv6-otsake paloitteluotsake UDP-otsake + data 3. pak. IPv6-otsake paloitteluotsake UDP-otsake + data 4. pak. IPv6-otsake paloitteluotsake UDP-otsake + data 18.9.2003 34

Turvallisuusotsakkeet kaksi erilaista turvallisuusotsaketta Autentikointiotsake AH (Authentication Header) varmentaa lähettäjän takaa paketin muuttumattomuuden itse paketti selväkielisenä Salakirjoituksella suojattu otsake ESP (Encrypted security payload) edellisten lisäksi salakirjoittaa kuorman 18.9.2003 35 AH-otsake Varmistaa datagrammin eheyden ja lähettäjän identiteetin juuri tämä lähettäjä on lähettänyt juuri tämän paketin kukaan ei väärentänyt lähettäjää kukaan ei ole millaan tavoin muuttanut pakettia IPv6-otsake AH-otsake TCP/UDP -segmentti Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AHprotokolla 18.9.2003 36

AH-otsake Next header onko data TCP-, UDP-,. Segmentti SPI eli yhteystunnus yhdessä lähettäjän IP-osoitteen ja käytetyn protokollan kanssa identifioi yhteyden turvasopimuksen SA Sequence number järjestysnumero 32 bitillä, yhteyden alussa 0 Authentication Data sanoman digitaalinen allekirjoitus => lähettäjän identiteetin ja sanoman yheyden varmistus esim. DES, MD5 tai SHA 18.9.2003 37 AH-otsake IP-otsake (next header = AH= 51) Next Header Auth. Data Len 00000000 00000000 Security Parameters Index (SPI) Sequence Number Authentication Data (koodattu käyttäen HMAC- koodausta) Data (esim. TCP-segmentti) selväkielisenä 18.9.2003 38

ESP-otsake Sanoman salaus ja lähettäjän autentikointi autentikoitu salakirjoitettu IP-otsake ESP-otsake TCP/UDP- ESP-peräke ESP-autentikointi segm. Protokollakenttä (=50): datagrammissa ESP-otsake ja -peräke Salakirjoituksessa DES-CBC (Cipher Block Chaining) 18.9.2003 39 ESP-otsake IP-otsake (next header = ESP) Securitty Parameters Index (SPI) salauksen parametrit Data (esim. TCP-segmentti) salakirjoitettuna Padding Authentication Data Pad Len Padding Next Header 18.9.2003 40

Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla Ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security Agreement) looginen yksisuuntainen yhteys verkkokerroksella käytetty protokolla (AH tai ESP) lähettäjän IP-osoite 32-bittinen yhteystunnus SPI (Security Parameter Index) kaikissa saman SA:n IPsec-datagrammeissa sama SPI-arvo ISKMP (Internet Security Association and Key Management Protocol) muodostaa ja purkaa SA-yhteyksiä IKE (Internet Key Exchange) -algoritmi avainten hallintaan 18.9.2003 41 IPsec ja IPv4 / IPv6 IPsec toimii sekä IPv4:n että IPv6:n kanssa 18.9.2003 42

Kohdeoptioiden otsake käsitellään vasta kohteessa geneerinen kohdeoptio-otsake säästää tyyppinumeroita (vain 256 kpl) parametreinä voi olla useita yksittäisiä kohdeoptioita toistaiseksi käytössä vain PAD-optiot lisää yhden (Pad1) tai n kappaletta (Padn) täytetavuja 18.9.2003 43 Hop-by-hop -optioiden laajennusotsake Next Header Hrd Ext Len One or more options Next Header: seuraavan otsakkeen tyyppi Header Extension Length: otsakkeen pituus 64 bitin osina ensimmäisen 64 bitin lisäksi

jumbogrammi ainoa hop-to-hop- optio toistaiseksi suuria paketteja tarvitaan supertietokoneille suurien videopakettien siirrossa erittäin nopeilla yhteyksillä datagrammin otsakkeen (lisä)pituus option tyyppi pituus 4 tavulla next header 0 194 0 Jumbo payload length ( > 65535 tavua) Maksimikooksi yli 4 Gtavua 18.9.2003 45 Otsakkeiden järjestys Standardin otsakkeet myös annetaan edellä esitetyssä järjestyksessä Poikkeuksena ovat kohdeoptioiden otsakkeet Optiot voidaan tarkoittaa myös usealle kohteelle. Tällöin annetaan ensimmäinen osoite kohdeosoitteen kentässä ja muiden kohteiden lista reititysotsakkeessa. Tällainen kohdeoptioiden otsake esiintyy heti hop-by-hopotsakkeen jälkeen. Jos otsakkeen tiedot on tarkoitettu vain paketin viimeiselle vastaanottajalle, niin annetaan viimeisenä laajennuksena. 18.9.2003 46

Otsakkeiden järjestys IPv6- Hop- Kohde- Reititys- Paloit- Auten- Kohde- TCP / otsake by- otsake otsake telu- tenti- otsake ODPhop- otsake kointi- otsake otsake otsake 18.9.2003 47 Siirtyminen IPv4 => IPv6 Kestää pitkään edellinen suuri muutos NCP--> TCP 20 vuotta sitten ja silloin Internet oli paljon pienempi! Nyt satoja miljoonia koneita ja miljoonia verkon ylläpitäjiä Ratkaisuja kaksoispino (Dual stack ) IPv6-solmut toteuttavat myös IPv4:n toiminnot tunnelointi (tunneling) IPv6-saarekkeet kommunikoivat IPv4-verkkojen läpi kuin minkä tahansa muun verkon läpi lähettävät IPv6-sanomat kapseloituina IPv4-sanomien sisällä 18.9.2003 48

Kaksoispino IPv6 IPv6 IPv4 IPv4 IPv6 IPv6 IPv6 IPv4 IPv4 IPv6 Flow= X Flow =?? 18.9.2003 49 Tunnelointi IPv6 IPv6 IPv4 IPv4 IPv6 IPv6 tunneli IPv6 IPv4 IPv6 IPv4 IPv6 IPv6 Flow= X Flow = x 18.9.2003 50

Onko IPv6 edes tarpeen? Asiakkaat eivät kysele! CIDR (Classless Interdomain Routing), DHCP (Dynamic Host Configuration Protocol), NAT (Network Address Translation) ratkaisseet osoiteongelman Valmistajat eivät ole kiinnostuneita! Euroopassa ja Japanissa laajempi kiinnostus 6Bone 18.9.2003 51 3. Verkkokerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) RARP (Reverse Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing) NAT (Network Address Translation) OSPF (Open Shortest Path First) BGP (Border Gateway Protocol) IGMP (Internet Group Management Protocol) Mobile IP 18.9.2003 52

3.1. ICMP (Internet Control Message Protocol) Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä reitittimet ilmoittavat verkon ongelmista toisilleen reitittimet ilmoittavat lähetysten kohtalosta isäntäkoneille "Destination network unreachable" testauspakettien lähettäminen 18.9.2003 53 ICMP-sanomat kapseloidaan IPpaketteihin TCP- ja UDP-segmenttien tavoin IP-paketin protokollakentässä 'ICMP' => paketti annetaan ICMP:n käsiteltäväksi ICMP-sanomassa tyyppi + koodi kertovat sanoman 8 tavua sanoman aiheuttaneesta IP-paketista jotta lähettäjä tietää, mikä paketti aiheutti sanoman 18.9.2003 54

ICMP-sanomia Destination unreachable Time-To-Live exceeded Parameter problem Source quench Redirect Echo request, Echo reply Timestamp request, Timestamp reply 18.9.2003 55 Summary of Message Types 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply 18.9.2003 56

Type 3: Destination unreachable Code 0 = net unreachable; 1 = host unreachable; 2 = protocol unreachable; 3 = port unreachable; 4 = fragmentation needed and DF set; 5 = source route failed. 6 = network unknown 7 = host unknown 18.9.2003 57 Type 11:Time-To-Live exceeded Sanoma hävitettiin, koska sen elinaika ehti kulua umpeen Code 0 = time to live exceeded in transit; 1 = fragment reassembly time exceeded. 18.9.2003 58

Type 12: Parameter problem Virhe IP-otsakkeessa Sanomassa osoitin, joka kertoo virheellisen kohdan ilmoittaa virheellisen tavun esim. osoittimen arvo 1 kertoo, että vika on TOSkentässä Sanoma lähetetään vain, jos IP-sanoma joudutaan virheen takia hävittämään 18.9.2003 59 Type 4: Source quench Tällä voidaan ilmoittaa lähettäjälle, että sen tulee vähentää lähettämistään reititin joutuu hävittämään paketteja puskuristaan vastaanottaja ei ehdi käsitellä paketteja sitä vauhtia kun niitä tulee HUOM! Käyttöä ei suositella TCP-ruuhkanvalvonta TCP-vuonvalvonta 18.9.2003 60

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute