Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 1 Lekce 3 Technologie a protokoly managementu na úrovni síťové vrstvy
Linková a síťová vrstva Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 IP Síť / směrovač IP Síť / Broadcastová doména 1 02ef5a-ee42a e-6b28ac e-5d3a15 0c214d-57a32c směrovač Síťová vrstva (Network layer) Linková vrstva (Data link layer)
Linková a síťová vrstva Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Síťová vrstva využívá pro přenos svých PDU (IP pakety) vrstvu linkovou, která dokáže svoje PDU (ethernet rámce) přenášet jen v prostoru své broadcatové domény. IP síť tedy nemůže svým rozsahem překročit rozsah broadcastové domény -Může být ale menší -Může v jedné broadcastové doméně být více IP sítí (ale jejich vzájemná komunikace stejně musí jít přes směrovač). Ale broadcastová doména nedokáže rozlišit členství v IP sítích => L2-broadcasty a flooding do všech IP sítí v broadcastové doméně. Ideální stav je tedy 1 broadcastová doména = 1 IP síť
Linková a síťová vrstva Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Co si vzájemně předávají L2 a L3 vrstva: Kromě PDU (IP paket) musí síťová vrstva dodat linkové i MAC adresu, která: -Buď odpovídá IP adrese příjemce (uložené v hlavičce IP paketu) při doručování v rámci broadcastové domény -Nebo je MAC adresou směrovače, přes který bude paket směrován k příjemci Překlad IP na MAC zajišťuje: -v IPv4 ARP (Address Resolution Protocol) mechanizmus -v IPv6 mechanizmus NDP (Neighbor Discovery Protocol)
ARP Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Mechanizmus ARP: -síťová vrstva pověří linkovou odesláním ARP request (ethernetový broadcast rámec s hodnotou 0x0806 v poli Type a se specifikací hledané IP adresy v těle rámce) -uzel, který má danou IP adresu odešle nazpět ARP response (ethernetový unicast rámec s hodnotou 0x0835 a s uvedením své MAC adresy v těle rámce) -aby se snížilo množství požadavků na zjišťování MAC adresy, udržuje si ARP mechanizmus v mezipaměti (ARP Cache) po omezenou dobu již zjištěné MAC adresy Obsah ARP Cache je možno vypsat příkazem arp -a výpis vypadá takto: internetová adresa fyzická adresa typ b0 dynamická Je možno dodat (arp –s) nebo odstranit (arp –d) ARP záznam i staticky
NDP Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Mechanizmus NDP (IPv6): Je začleněn do protokolové skupiny IPv6 daleko systematičtěji než je tomu u IPv4 – využívá zprávy protokolu ICMPv6: Neighbor Solicitation (ICMPv6 zpráva 135) je ekvivalent k ARP Request Neighbor Advertisement (ICMPv6 zpráva 136) je ekvivalent ARP Response – odpověď na Neighbor Solicitation. Navíc uzel může posílat tyto zprávy i nevyžádané jako informaci o změně linkové adresy
Co řídit na síťové vrstvě Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Síťová vrstva v architektuře TCP/IP má jediný přenosový protokol a to IP a několik služebních (ICMP, IGMP, ARP,…. Síťová vrstva využívá globální adresaci – v architektuře TCP/IP je to IP adresace Můžeme řídit: -Přidělování adresních prostorů IP sítí -Přidělování IP adres v rámci spravované IP sítě -Směrování komunikace mezi adresními prostory -Publikaci IP adresních prostorů
Přidělování adresních prostorů Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Základní podmínkou doručitelnosti IP paketu je jednoznačnost IP adres v rámci celého globálního prostoru. Tedy: Z hlediska přidělování adresních prostorů se nesmí vyskytnout žádná veřejná IP síť více než jednou. Přidělování adresních prostorů je tedy přísně centralizované s definovanou distribuční sítí a s přísně stanovenými pravidly a odpovědností.
Přidělování adresních prostorů Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Centrální autoritou v přidělování IP adres je organizace IANA. Centrální přidělování IP adres až na úroveň uzlů by bylo příliš náročné, proto je přidělování adres distribuováno: -Globální adresní prostor je rozdělen na nižší adresní prostory a pro každý z nich je stanoven správce zodpovědný za přidělování IP adres v tomto prostoru (např pro Evropu RIPE, pro Asii a Pacifik APNIC, pro USA ARIN,….) -Každý správce adresního prostoru může svůj adresní prostor dále dělit na adresní podprostory a jejich správu distribuovat dále Např.: -VUT dostal přidělen adresní prostor / 16 (tedy 1 síť třídy B) -z něho správce adresního prostoru VUT distribuoval pro FP adresní prostor / 21 (tedy 8 po sobě jdoucích sítí třídy C) -z něho správce sdresního prostoru FP distribuoval pro studentskou síť adresní prostor /23 (tedy 2 sítě třídy C) -správce adresního prostoru studentské sítě FP z tohoto prostoru přiděluje jednotlivým uzlům IP adresy
Privátní adresní prostory Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 V podnikové praxi ale má spíš význam práce s privátními adresními prostory – tedy s IP sítěmi, jejichž adresní prostory se veřejně nepublikují. Jednoznačnost IP adres je tedy nutno hlídat jen v privátním adresním prostoru organizace. Privátní IP adresy musí ale vzhledem k veřejným adresním prostorům splňovat základní podmínku – nesmí existovat stejná veřejná IP adresa => musí být vyčleněny adresní prostory pro privátní IP adresy: x – x254 sítí třídy C x.x – x.x16 sítí třídy B -10.x.x.x1 síť třídy A Proč dělit
Privátní adresní prostory Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Proč dělit firemní adresní prostor na více sítí: Stejné důvody jako u zavádění VLAN – zvýšení bezpečnosti a snížení zátěže sítí. Obvykle IP sítě kopírují rozsahem broadcastové domény, tedy: -buď oddělené fyzické LAN - nebo VLAN. Na rozdíl od linkové vrstvy ale síťová vrstva dokáže komunikovat i mezi sítěmi: - buď neomezeně (s pomocí čistých směrovačů) -nebo přesně definovaně, omezeně (s pomocí firewallů) Rozdělení IP adresního prostoru na oddělené IP sítě by mělo vycházet z bespečnostní strategie firmy a z analýzy datových toků.
Přidělování IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Přidělování IP adres koncovým uzlům je v kompetenci správce adresního prostoru lokální sítě. Při velkém počtu uzlů však může být správa adresního prostoru problematická. Je třeba zabezpečit: - vytvoření adresního plánu sítě - přidělování IP adres jednotlivým uzlům podle plánu - nastavení IP adresy a ostatních parametrů s ní související v operačním systému uzlu - evidovat používané IP adresy
IP adresní plán sítě Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 1.Volba dostatečně velké sítě - rozsah jednou definované IP sítě se poblematicky rozšiřuje, je-li síť v používání - u sítí s privátními IP adresami a IPv6 netřeba šetřit….. - je třeba si uvědomit, že první adresa je rezervovaná pro síť a poslední pro broadcasty 2.Správné volby adres jednotlivých sítí v závislosti na dislokace (možnost zjednodušit routovací tabulky pokud jedním záznamem směrujeme k více sítím) např. jsou-li na jednom směrovači dvě sítě /24 a /24, můžeme na ostatní routery dát jen jeden záznam, který bude směrovat na agregovanou síť /23 3.Navrhnout topologii spojení sítí, směrovače a stanovit jejich IP adresy
IP adresní plán sítě Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 4.Navrhnout skupiny IP adres v jednotlivých sítích pro různé určení např:x.x.x.1 – x.x.x.20 pro aktivní prvky x.x.x.21-x.x.x.50 pro servery x.x.x.51-x.x.x.100 pro tiskárny a jiné speciální zařízení x.x.x.101-x.x.x.200 pro stanice s dyn. přidělováním adres x.x.x.201-x.x.x.254 jako rezerva
Přidělování IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Přidělování IP adres koncovým uzlům sítě podle stanoveného adresního plánu je v podstatě možné dvěma způsoby: 1.Ručně Tuto variantu je možno volit v případě hodně malých sítí (hrozí duplicita IP adres) Je nutná u uzlů, které nesmí měnit IP adresu (např. servery, síťové tiskárny, aktivní prvky a podobně V některých případech lze nahradit automatickým přidělováním s hodně dlouhou dobou pronájmu
Přidělování IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 2.Automatizovaně Funguje tak, že po zapojení uzlu do sítě je automaticky zabezpečeno přidělení IP adresy uzlu, případně i předání dalších parametrů sítě, případně i jiných služeb Existuje několik metod: RARP (Reverse Address Resolution protokol) definován RFC-903 Primárně slouží k získání IP adresy jiného uzlu při znalosti jeho MAC adresy. Stejně jako ARP funguje na principu Reques – Reply odesílané na broadcastovou adresu. Pokud se v síti nachází RARP server pošle odpověď podle tabulky Tedy na základě dotazu na vlastní MAC adresu obdržíme IP adresu Nedostatkem je, že používá linkové broadcasty, může tedy fungovat jen v jedné broadcastové doméně a jedinou službu, kterou poskytuje je pouze IP adresa….
Přidělování IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 BOOTP (Bootstrap Protocol) definován RFC-951 Princip opět dotaz – odpověď Dotaz se posílá na broadcastovou adresu na port UDP 68 s hodnotou své MAC adresy Odpověď od BOOTP serveru směruje standardně na port UDP 69 Odpověď obsahuje hlavně přidělenou IP adresu, masku sítě, IP adresu brány, adresu DNS a cestu k serveru a souboru, ze kterého může nabootovat operační systém. Přidělení IP adres je trvalé Používá se u bezdiskových stanic pro vzdálené zavádění operačního systému Je nahrazen mechanizmem DHCP…
Přidělování IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 DHCP (Dynamic Host Control Protocol) definován RFC 1531, pro IPv6 DHCPv6 definován RFC 3315 Je nástupcem BOOTP, ale není zpětně kompatibilní Používá stejné principy a porty komunikace DHCP server poskytuje více informací, protokol je volněji koncipován, může poskytovat i proprietální informace IP adresy přiděluje buď podle tebulky MAC-IP nebo dynamicky z určeného rozsahu na předem určenou dobu (déle nepoužívané IP adresy může znovu přidělit) Uzel před vypršením doby pronájmu musí požádat o prodloužení
Evidence IP adres Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Účelem evidence přidělených IP adres je: - Zamezení duplicit IP adres -Získání trvalého přehledu (a to i historického) o uzlech za účelem např. sledování komunikace, řešení problémů komunikace, a podobně Možnosti: -Ručně – velmi malé sítě -DHCP -Proprietální systémy OS např. WINS -DNS -Integrované managerské systémy – čerpají data s DHCP, DNS,……
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Co je směrování (routing) na síťové vrstvě? Rozhodnutí, kterým směrem poslat paket - tedy určit jaká je příští IP adresa další cesty paketu - tedy není to vlastní posílání - forwarding Směrovat tedy musí umět každé zařízení, které odesílá pakety…… - nejen směrovač (router) - ale i počítač - a každé jiné zařízení, které komunikuje na síťové vrstvě
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Jaké rozhodování má počítač s jedním síťovým rozhraním a jednou IP adresou ? - Posílám sám na sebe? -> přímé doručování na loop back - Posílám na uzel v mojí síti -> přímé doručování na IP - Posílám na uzel v jiné síti? -> nepřímé doručování na IP směrovače - Je určeno explicitně na který směrovač? -> tedy na jeho IP - Pokud ne -> na IP defaultní brány Kromě přidělené IPv4 respektive IPv6 adresy má vždy ještě jednu fiktivní aresu sám na sebe – loop back, localhost - pro IPv4: pro IPv6: ::1
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Pokud má počítač navíc - na jednom rozhraní více IP adres - nebo více síťových rozhraní a tím i více IP adres Musí navíc rozhodnout, přes které své rozhraní paket odešle….. Aby byl v internetu pořádek musí: Tato rozhodování musí být deterministická a na základě pevně stanovených pravidel a předem daných údajů.
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Stejně pracuje i směrovač…. Chová se vlastně při směrování jako počítač (rozdíl je v tom, že pakety pro routování nevytváří, ale dostává ze svého okolí). směrovač Směrovač musí mít tolik rozhraní, kolik spojuje sítí Každé z těchto rozhraní patří do příslušné sítě (IP/maska)
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Data pro rozhodování: Směrovací tabulka Cíl v sítimaskabránarozhranímetrika směrovač
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 V tabulce jsou požity záznamy s různou délkou adresy sítě (masky) Může se stát, že jeden cíl vyhovuje dvěma a více záznamům v tabulce. Např.adresa vyhovuje dvěma záznamům: / / Je tedy nutno definovat přesně routovací proces, aby výsledek byl vždy stejný a předvídatelný Pravidlo vyhledávání: V tabulce se vyhledává vždy podle délky masky od nejdelší po nejkratší Záznamy s maskou se stejnou délkou se prohledávají v pořadí podle metriky. Forvarding se provede podle prvního nalezeného záznamu.
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Jak vzniká routovací tabulka: -Ručně např. použitím příkazu route ADD …… nebo s použitím managementu směrovačů - Automaticky -V PC automaticky vytváří OS na základě nastavení parametrů sítě (IP adresa, maska, default Gateway,…) -Automaticky na základě komunikace směrovačů – používají se různé protokoly pro šíření routovacích informací: -
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Routovací protokoly: - RIPv.1 –metrikou je počet přeskoků (omezeno na 15), zná jen masky pro základní třídy sítí A, B, C), pro šíření informací (celá routovací tabulka) používá broadcast. -RIPv.2 – navíc umožňuje libovolnou délku masky, přibyla autentizace směrovačů, pro komunikaci používá multicast na adresu RIPng – přidává routing IPv6 -IGRP – propritální CISCO -BGP – Border Gateway Protocol – používá se pro směrování mezi autonomními systémy (ISP v peeringových uzlech) – jako metrika je použito větší množství parametrů, převážně cena… -OSPF (Open Shortest Path First) – Posílají se zprávy jen po změně sítí a jen údaje o změnách. Jinak se kontrolují, zda žijí pomocí ECHO zpráv. Pro výpočet metriky používají Dijkstrův algoritmus. Směrovače používající OSPF mohou pracovat v samostatných oblastech, kde si vyměňují zprávy. Souhrné informace za oblast si vzájemně posílají hraniční směrovače.
Směrování Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Většina směrovačů (i SW v PC) umožňuje kromě čistého směrování na síťové vrstvě i další doplňkové funkce: -Filtrování komunikace na síťové vrstvě (povolení/zákaz komunikace mezi definovanými uzly/skupinami uzlů/sítěmi) -Stavové firewally – filtrování komunikace na transportní vrstvě -Směrování na transportní vrstvě – vnucení jiné IP cílové adresy na základě služby (portu) - aplikační proxy (např. pro FTP, RPC, H.323, HTTP, ….) -NAT – překlad adres.
NAT Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Co je to NAT (network Address Translation) Veřejná síť (veřejné IP) Veřejná síť (veřejné IP) Privátní síť (privátní IP) /16 Privátní síť (privátní IP) /16 Směrovač + NAT PC v lokální síti s IP pošle do internetu paket Na směrovači s funkcí NAT se změní adresa odesílatele na IP Odpověď, která přijde na směrovač přepošle zpět na PC Tedy směrovač vystupuje navenek za počítače v privátní síti.
NAT Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Jak to probíhá u TCP: (řešení je pomocí transportní vrstvy) 1.PC odešle paket z IP :5268 na :80 na bránu danou lokální routovací tabulkou, tedy na Směrovač (+NAT) změní v hlavičkách síťové a transportní vrstvy IP odesílatele na a port odesílatele např. na a pošle směrem k cíli. 3.Směrovač zaznamená do tabulky spojení vazbu mezi :5268 a svým portem s příznakem „navazuje se spojení“ 4.Protistrana odpoví ze :80 na : Směrovač na základě tabulky spojení v paketu odpovědi změní opět cílovou aresu:port na :5268 a forwarduje na PC 6.Jakmile si takto PC a cíl v internetu vymění komunikaci a navážou spojení (sprostředkovaně) změní směrovač příznak na „navázáno“ 7.Veškerá komunikace pak probíhá stejným způsobem až do doby, než je spojení ukončeno. Poté směrovač odstraní záznam z tabulky a další takto identifikovanou komunikaci nepropouští.
NAT Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Jak to probíhá u UDP: U UDP je princip podobný, s tím rozdílem, že neexistuje spojení (bezstavový protokol). Z tabulky spojení se tedy záznam definující virtuální „spojení“ povolující komunikaci z internetu na navazující PC odstraňuje po vypršení definovaného Time-out-u. Tedy TCP i UDP komunikace navázaná (iniciovaná) z privátní sítě funguje přibližně stejně. I zde je možno vložit (pokud to směrovač umožňuje doplňující filtry, které povolují/zakazují definovanou komunikaci. Pro komunikující PC v lokální síti je NAT transparentní – neví o něm Pro komunikující server v internetu se jeví komunikace jako komunikace se směrovačem
NAT Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 Jak funguje přes NAT komunikace iniciovaná z internetu: Protože existuje jen jedna veřejná IP adresa (internetový port směrovače), veškerá komunikace z internetu musí být adresována na tento směrovač (jeho veřejnou IP adresu). Jediným rozlišením typu komunikace je tedy port. Na směrovači se musí ručně nastavit tabulka serverů ve vazbě Příchozí port IP adresa serveru v privátní síti. Např. bude-li poštovní server na adresa musí být v tabulce serverů na směrovači s NATem uvedena vazba Port TCP25 IP Všechny servery v privátní síti přístupné z internetu jsou tedy na venek publikovány se stejnou IP adresou – veřejnou IP adresou směrovače.
DNS Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 2 DNS sice nepatří do protokolů ani technik síťové vrstvy, ale je s ní přímo spjat…. statické záznamy DDNS (dynamic DNS – RFC 2136 a RFC 2845) Využívá obvykle DHCP server, aby po přidělení adresy udělal záznam do DNS Active Directory využívá pro vytváření a aktualizaci srv záznamů