Sieci komputerowe - wprowadzenie

Jacek Kobus

Instytut Fizyki UMK (2004/2005)

Czy zostaliśmy złapani w Sieć?

• Rozwój nauki i techniki -- > przemiany cywilizacyjne

• Fizyka XX w. -- > półprzewodniki, układy scalone, nanotechnologia

• Komputery: mainframe, minikomputery, stacje robocze, PC

• Sieci komputerowe: LAN i WAN -- > Internet

• Technologie informatyczne składnikiem towarów, pracy, usług

W jakim stopniu nasze życie zależy od komputerów i sieci komputerowych?

Jak komputery i sieci komputerowe wpływają na funkcjonowanie państw i społeczeństw?

Krótka historia powstania Internetu

• 1969 - Agencja Zaawansowanych Projektów Badawczych Departamentu Obrony Stanów Zjednoczonych (DARPA - Defense Advanced Research Projects Agency) sfinansowała prace badawcze i rozwojowe prowadzące do stworzenia sieci z komutacją pakietów (ARPANET).

• 1971 - R.Tomlinson tworzy program do przesyłania poczty elektronicznej (adres: user@server)

• 1973 - powstają sieci w W.Brytanii i Norwegii połączone z siecią ARPANET łączami satelitarnymi

• 1979 - powstają pierwsze grupy dyskusyjne

• 1981 - opracowanie protokołów komunikacyjnych TCP Transmission Control Protocol) oraz IP (Internet Protocol)

• 1983 - protokoły TCP/IP zostały przyjęte jako Standardy Wojskowe; implementacja TCP/IP w systemie operacyjnym UNIX BSD; ARPANET staje się siecią TCP/IP

• 1983 - ARPANET rozpada się na sieć MILNET (sieć Departamentu Obrony) oraz ARPANET (przestała istnieć w 1990 r.)

Termin Internet służył do określenia obu tych sieci.

Internet = Sieć

• 1984 - wprowadzenie usługi DNS (Domain Name System)

• 1986 - powstaje NSFNET (Nationa Science Foundation NET), amerykańska sieć szkieletowa o przepustowości 56 kb/s

• 1991 - T.Berners-Lee tworzy HTML (Hyper-Text Markup Language), co daje początek WWW (World Wide Web)

• 1995 - powstają przeglądarki Netscape Navigator i Internet Explorer (wojna na przeglądarki)

Historia Internetu w liczbach

( www.netvalley.com/intvalstat.html)

# komputerów

# serwerów www

7/01

126 000 000

28 200 000

7/98

37 000 000

4 270 000

7/97

19 540 000

1 200 000

7/96

12 881 000

300 000

7/95

6 642 000

25 000

7/94

3 212 000

3 000

7/93

1 776 000

150

7/92

992 000

50

7/89

130 000

7/81

210

1969

4

Ile osób korzysta z Internetu?

( wg szacunkowych danych, www.nua.ie/surveys/how_many_online)

8/2002

606 mln

(Nua Ltd)

8/2001

513 mln

(Nua Ltd)

8/2000

369 mln

(Nua Ltd)

8/1999

195 mln

(Nua Ltd)

9/1998

147 mln

(Nua Ltd)

11/1997

76 mln

(Reuters)

12/1996

36 mln

(IDC)

12/1995

16 mln

(IDC)

Wg sondażu SMG/KRC ze stycznia 2003 r. 5.88 mln Polaków (19.7%) w wieku od 15 do 75 lat korzysta z Internetu (http://dziennik.pap.com.pl/)

Cel wykładu:

Jak jest zbudowana i jak działa lokalna i rozległa sieć komputerowa, czyli jak działa Internet (Sieć, sieć sieci)?

Program wykładu

1. Wprowadzenie

2. Architektura protokołów sieciowych: model odniesienia OSI i TCP/IP

3. Charakterystyka protokołów modelu TCP/IP: Ethernet, ICMP, ARP, RARP, IP, TCP, UDP

4. Lokalna sieć komputerowa: topologia, media transmisyjne, urządzenia sieciowe, protokoły

1. Konfiguracja interfejsu sieciowego, analiza połączeń sieciowych, śledzenie ruchu w lokalnej sieci

2. Reguły łączenia urządzeń sieciowych. Domeny kolizyjne, domeny rozgłoszeniowe

3. Łączenie sieci lokalnych: adresacja, sieci/podsieci, routing

4. Prywatne sieci komputerowe

5. Rozległa sieć komputerowa: topologia, media transmisyjne, urządzenia sieciowe, protokoły (X.25, Frame Relay, FDDI, ATM, SDH, ISDN, xDSL)

6. Sieć Internet: protokoły warstwy aplikacji, usługi sieciowe

7. Zasady okablowania strukturalnego

8. (Nie)bezpieczeństwo w sieci komputerowej (SSH, SSL, IP-, DNS-, ARP-spoofing, ściana ogniowa)

Protokoły sieciowe

Komputery i inne urządzenia przyłączone do sieci (hosty) wymieniają informacje według ściśle ustalonych reguł zwanych protokołami
komunikacyjnymi.

Umożliwia to budowę sieci heterogenicznych, w których mogą współpracować ze sobą komputery niezależnie od swojej architektury oraz systemu operacyjnego.

Internet - sieć z komutacją pakietów wykorzystująca rodzinę protokołów komunikacyjnych TCP/IP

TCP (Transmission Control Protocol) protokół sterowania transmisją

IP (Internet Protocol) protokół Internetu

Cechy TCP/IP:

• standard otwartych protokołów, łatwo dostępnych i opracowywanych niezależnie od specyfiki sprzętu komputerowego lub systemu operacyjnego

• niezależność od fizycznych właściwości sieci, co pozwala na integrację różnego rodzaju sieci (łącza telefoniczne, światłowodowe, radiowe)

• wspólny system adresacji pozwalający dowolnemu urządzeniu korzystającemu z TCP/IP na jednoznaczne zaadresowanie innego urządzenia w sieci

Model OSI versus TCP/IP

warstwa aplikacji

(7)

warstwa prezentacji

(6)

warstwa sesji

(5)

warstwa łącza danych

(2)

warstwa fizyczna

(1)

model OSI			model TCP/IP
		(4)	warstwa aplikacji
warstwa transportowa	(4)	(3)	warstwa transportowa
warstwa sieciowa	(3)	(2)	warstwa Internet
		(1)	warstwa dostępu do sieci

ISO (International Organization for Standardization) ogłasza w 1984 specyfikację modelu odniesienia OSI (Open System Interconnection, otwarte połączenie systemów).

Model OSI i TCP/IP opisują sieci z przełączaniem pakietów.

Funkcje warstw modelu OSI

(warstwy protokołów aplikacji)

zastosowań

(application layer) - oferuje usługi sieciowe użytkownikom lub programom, np. protokołowi realizującemu usługę poczty elektronicznej (nie dostarcza usług żadnej innej warstwie)

prezentacji

(presentation layer) - zapewnia przekazywanie danych (tekstowych, graficznych, dźwiękowych) w odpowiednim (wspólnym) formacie, dokonuje ich kompresji oraz ew. szyfrowania

sesji

(session layer) - ustanawia, zarządza i kończy połączeniami (sesjami) pomiędzy współpracującymi aplikacjami, m.in. ustala sposób wymiany danych (jednokierunkowy (half-duplex) lub dwukierunkowy (full-duplex))

(warstwy protokołów przepływu danych)

transportowa

(transport layer) - zapewnia bezbłędną komunikację pomiędzy komputerami w sieci (host to host), dzieli dane na fragmenty, kontroluje kolejność ich przesyłania, ustanawia wirtualne połączenia, utrzymuje je i likwiduje (TCP, UDP)

sieciowa

(network layer) - definiuje datagramy, ustala drogę transmisji danych i przekazuje dane pomiędzy węzłami sieci (IP, IPX, ICMP, Apple Talk)

łącza danych

(data link layer) - zapewnia niezawodne dostarczanie danych przez znajdującą się poniżej fizyczną sieć (IEEE 802.3, MAC, (R)ARP, PPP)

fizyczna

(physical layer) - umożliwia przesyłanie poszczególnych bitów (ramek) przez dane fizyczne łącze, kontroluje przepływ bitów, powiadamia o błędach (Etherenet 802.3, RS232C, V.35)

Model OSI: komunikacja równorzędna i kapsułkowanie

Komunikacja równorzędna węzeł-węzeł (host-host, host-to-host)

• przepływ danych pomiędzy odpowiadającymi sobie warstwami sieci

• nagłówek i dane danej warstwy tworzą dane dla warstwy niższej: kapsułkowanie, enkapsulacja (encapsulation)

Sieci równorzędne (peer-to-peer networks)

warstwa aplikacji

warstwa prezentacji

warstwa sesji

warstwa transportowa

warstwa sieciowa

warstwa łącza danych

warstwa fizyczna

 strumień danych 

 strumień danych 

 strumień danych 

 segmenty 

 pakiety 

 ramki 

 bity 

warstwa aplikacji

warstwa prezentacji

warstwa sesji

warstwa transportowa

warstwa sieciowa

warstwa łącza danych

warstwa fizyczna

host A	komunikacja	host B

Zalety modelu odniesienia OSI

• ułatwia zrozumienie działania komunikacji sieciowej

• standaryzuje elementy sieci pozwalając na ich rozwijanie przez wielu wytwórców

• pozwala na współdziałanie różnego typu urządzeń sieciowych i oprogramowania sieciowego

• przeciwdziała wpływowi zmian w jednej warstwie na funkcjonowanie innych warstw (szybszy rozwój)

• ułatwia uczenie i uczenie się działania sieci komputerowych

Warstwa dostępu do sieci (fizyczna + łącza danych)

Funkcje warstwy fizycznej:

• zamiana danych znajdujących się w ramkach na strumienie binarne

• stosowanie metody dostępu do nośnika, jakiej żąda warstwa łącza danych

• przesyłanie ramki danych szeregowo w postaci strumieni binarnych

• oczekiwanie na transmisje adresowane do danego hosta

• odbiór odpowiednio zaadresowanych strumieni

• przesyłanie binarnych strumieni do warstwy łącza danych, w celu złożenia ich w ramki

Sieci Ethernet/IEEE 802.3

• Lokalne sieci komputerowe są budowane w oparciu o normę IEEE 802.3 z roku 1985, która definiuje ramkę danych oraz określa sposób dostępu do nośnika.

• Norma ta uściśla i rozszerza specyfikację właściwą dla sieci Ethernet I (Ethernet PARC, Palo Alto Research Center) i Ethernet II (Ethernet DIX) i dlatego sieci wykorzystujące normę IEEE 802.3 zwane są sieciami ethernetowymi.

• Rodzaje ramek ethernetowych: PARC, DIX, 802.3, LLC (Logical Link Control), SNAP (Sub-Network Access Protocol)

• Materialnymi nośnikami transmisji są kabel koncentryczny, skrętka dwużyłowa, kabel światłowodowy. Ich fizyczne własności określają szerokość dostępnego pasma transmisyjnego, częstotliwości sygnałów i efektywną prędkość przesyłania danych.

IEEE Institute of Electrical and Electronics Engineers

Ramki Ethernet/IEEE 802.3

Ramka Ethernet II (Internet, DECNET, Novell)
7	1	6	6	2	46-1500	4
Preambuła	Ogranicznik początku ramki	Adres przeznaczenia	Adres źródłowy	Typ	Dane	Sekwencja kontrolna ramki

kip 0.5cm

Ramka IEEE 802.3 (NETBEUI, SNA)
7	1	6	6	2	46-1500	4
Preambuła	Ogranicznik początku ramki	Adres przeznaczenia	Adres źródłowy	Długość	Nagłówek 802.2 i dane	Sekwencja kontrolna ramki

SFD (Start of Frame Delimiter) ogranicznik początku ramki
FCS (Frame Check Sequence) sekwencja kontrolna ramki
CRC (Cyclic Redundancy Check) cykliczna kontrola nadmiarowa
SNA (Systems Network Architecture) architektura sieci systemów

Struktura warstwy dostępu do sieci wg IEEE 802.3

Powiązanie warstwy łącza danych i warstwy fizycznej z warstwą sieciową (Internet) jest realizowane poprzez protokół LLC (Logical Link Control)

Warstwy OSI

LLC sublayer

MAC sublayer

Data Link Layer
Physical Layer



Specyfikacja LAN

Ethernet

IEEE 802.2 IEEE 802.3i IEEE 802.3u IEEE 802.5 IEEE 802.8 10Base-T 100Base-TX Token Ring FDDI

Funkcje warstwy łącza danych:

• sterowanie łączem logicznym (LLC Logical Link Control)

Podwarstwa LLC izoluje protokoły wyższej warstwy od właściwej metody dostępu do nośnika, co zapewnia współoperacyjność różnych architektur sieciowych.

• sterowanie dostępem do nośnika (MAC Media Access Control)

Podwarstwa MAC odpowiada za opakowanie danych z podwarstwy LLC w ramki, za testy integralności danych, za śledzenie stanu nośnika

• używa płaskiej struktury adresowej (adresy MAC)

• grupuje bity w ramki

• używa MAC do określania, który komputer będzie transmitował dane (w sytuacji, gdy wiele komputerów chce nadawać równocześnie)

Usługi sterowania LLC

• nie potwierdzona usługa bezpołączeniowa

• potwierdzona usługa bezpołączeniowa

• usługa połączeniowa

Ethernet II Type Element Codes:

Note Hex Definition

@ 0000-05DC IEEE802.3 Length Field (0.:1500.)

+ 0101-01FF Experimental

0200 Xerox PUP (conflicts with 802.3 Length Field

range) (see 0A00)

0201 Xerox PUP Address Translation (conflicts ...)

(see 0A01)

0400 Nixdorf (conflicts with 802.3 Length Field)

+* 0600 Xerox NS IDP

0601 XNS Address Translation (3Mb only)

+* 0800 DOD Internet Protocol (IP)

+ 0801 X.75 Internet

+ 0802 NBS Internet

+ 0803 ECMA Internet

+ 0804 CHAOSnet

+ 0805 X.25 Level 3

+* 0806 Address Resolution Protocol (ARP) (for IP and for

CHAOS)

7031 Prime NTS (Network Terminal Service)

7034 Cabletron

8003 Cronus VLN

803E DEC Distributed Time Service

803F DEC LAN Traffic Monitor Protocol

+ 809B EtherTalk (AppleTalk over Ethernet)

+ 809C-809E Datability

+ 809F Spider Systems Ltd.

+ 80A3 Nixdorf Computers

+ 80A4-80B3 Siemens Gammasonics Inc.

+ 80C0-80C3 DCA (Digital Comm. Assoc.) Data Exchange

Cluster

+ 8137 Novell (old) NetWare IPX (ECONFIG E option)

+ 8138 Novell, Inc.

+ 8139-813D KTI

813F M/MUMPS data sharing

8145 Vrije Universiteit (NL) Amoeba 4 RPC (obsolete)

8146 Vrije Universiteit (NL) FLIP (Fast Local

Internet Protocol)

8147 Vrije Universiteit (NL) [reserved]

814C SNMP over Ethernet (see RFC1089)

Struktura ramki Ethernet LLC

Nagłówek 802.2:

• 1-oktetowe pole punktu dostępu do usługi docelowej (pole DSAP) identyfikujące punkt dostępu do usługi LLC urządzenia docelowego

• 1-oktetowe pole punktu dostępu do usługi źródłowej (pole SSAP) identyfikujące punkt dostępu do usługi LLC urządzenia źródłowego

• 1- lub 2-oktetowe pole kontroli, wskazujące typ przenoszonej ramki LLC

Długość pola danych: 43-1497 lub 42-1496



SSAP (Source Service Access Point) punkt dostępu usługi źródłowej

DSAP (Destination Service Access Point) punkt dostępu usługi docelowej

Struktura ramki Ethernet SNAP (Sub-Network Access Protocol protokół dostępu podsieci)

Nagłówek 802.2:

• 1-oktetowe pole punktu dostępu do usługi docelowej (pole DSAP) identyfikujące punkt dostępu do usługi LLC urządzenia docelowego

• 1-oktetowe pole punktu dostępu do usługi źródłowej (pole SSAP) identyfikujące punkt dostępu do usługi LLC urządzenia źródłowego

• 1- lub 2-oktetowe pole kontroli, wskazujące typ przenoszonej ramki LLC

• 5-oktetowa podramka SNAP zawierająca 3-oktetowe pole Identyfikator strukturalnie unikatowy i 2-oktetowe pole Typ protokołu (identyfikacja protokołu warstwy wyższej)

Długość pola danych: 38-1492 lub 37-1491

Ramka Ethernet SNAP umożliwia identyfikacje protokołów wyższego poziomu i zapewnia wsteczną kompatybilność z wcześniejszymi wersjami Ethernetu.

• Adres sprzętowy MAC (Media Access Control) składa się z 48 bitów.

24 bity są przypisane producentowi sprzętu (OUI, Organizational Unique Identifier), a pozostałe 24 bity numerują kolejne karty. Np. numery kart sieciowych firmy Sun Microsystems są postaci 08:00:20:xx:xx:xx.

• Dostęp do nośnika: wielodostęp z wykrywaniem fali nośnej i wykrywaniem kolizji, CSMA/CD (Carrier Sense-Multiple Access/Collision Detection)

Warstwa Internet (sieciowa)

Funkcje warstwy sieciowej:

• definiowanie datagramów

• definiowanie schematu adresowania używanego w Internecie

• przekazywanie danych pomiędzy warstwą transportową
  i warstwą dostępu do sieci

• kierowanie datagramów do komputerów oddalonych

• dokonywanie fragmentacji i ponownego składania datagramów
  (MTU, Maximum Transmission Unit)

Internet Protocol (IP) protokół międzysieciowy, internetowy (RFC 791)

Własności IP:

• IP jest protokołem bezpołączeniowym

• datagram jest formatem pakietu zdefiniowanym przez protokół Internet.

Dane są przekazane do właściwego protokołu warstwy transportowej na podstawie pola Numer protokołu w nagłówku datagramu.

• sieć Internet jest siecią z przełączaniem pakietów (routery, trasowanie)

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Version| IHL |Type of Service| Total Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Identification |Flags| Fragment Offset |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Time to Live | Protocol | Header Checksum |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Source Address |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Destination Address |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Options | Padding |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

IP Header Format (RFC 791)

Note that each tick mark represents one bit position.

Internet Assigned Numbers Authority (IANA, http://www.iana.org)

IP TIME TO LIVE PARAMETER: The current recommended default time to

live (TTL) for the Internet Protocol (IP) is 64 [RFC791, RFC1122]

IP TOS PARAMETERS: This documents the default Type-of-Service values

that are currently recommended for the most important Internet

protocols.

TOS Value Description Reference

--------- -------------------------- ---------

0000 Default [Obsoleted by RFC2474]

0001 Minimize Monetary Cost [Obsoleted by RFC2474]

0010 Maximize Reliability [Obsoleted by RFC2474]

0100 Maximize Throughput [Obsoleted by RFC2474]

1000 Minimize Delay [Obsoleted by RFC2474]

1111 Maximize Security [Obsoleted by RFC2474]

Generally, protocols which are involved in direct interaction with a

human should select low delay, while data transfers which may involve

large blocks of data are need high throughput. Finally, high reliability

is most important for datagram-based Internet management functions.

The following are recommended values for TOS:

Protocol TOS Value

TELNET (1) 1000 (minimize delay)

FTP

Control 1000 (minimize delay)

Data (2) 0100 (maximize throughput)

TFTP 1000 (minimize delay)

SMTP (3)

Command phase 1000 (minimize delay)

DATA phase 0100 (maximize throughput)

Domain Name Service

UDP Query 1000 (minimize delay)

TCP Query 0000

Zone Transfer 0100 (maximize throughput)

NNTP 0001 (minimize monetary cost)

Fragment pliku /etc/protocols:

# Internet (IP) protocols

#

# See also http://www.iana.org/assignments/protocol-numbers

ip 0 IP # internet protocol, pseudo protocol number

icmp 1 ICMP # internet control message protocol

igmp 2 IGMP # Internet Group Management

ggp 3 GGP # gateway-gateway protocol

ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'')

st 5 ST # ST datagram mode

tcp 6 TCP # transmission control protocol

egp 8 EGP # exterior gateway protocol

pup 12 PUP # PARC universal packet protocol

udp 17 UDP # user datagram protocol

hmp 20 HMP # host monitoring protocol

xns-idp 22 XNS-IDP # Xerox NS IDP

rdp 27 RDP # "reliable datagram" protocol

ipv6 41 IPv6 # IPv6

ipv6-crypt 50 IPv6-Crypt # Encryption Header for IPv6

ipv6-auth 51 IPv6-Auth # Authentication Header for IPv6

swipe 53 SWIPE # IP with Encryption

tlsp 56 TLSP # Transport Layer Security Protocol

ipv6-icmp 58 IPv6-ICMP # ICMP for IPv6

ipv6-nonxt 59 IPv6-NoNxt # No Next Header for IPv6

ipv6-opts 60 IPv6-Opts # Destination Options for IPv6

Klasy adresów IP (RFC 1597)

Każdy komputer pracujący w sieci posiada unikatowy adres (tzw. adres IP) składający się z 32 bitów zapisywanych w postaci czterech oktetów, czyli czterech liczb z zakresu 0-255 oddzielonych kropkami, np. 158.75.5.47.

Przydzielaniem adresów zajmuje się NIC Network Information Center.

Adres IP składa się z części sieciowej i części hosta. Podział na te części jest określony przez klasę do której adres należy.

klasa A

IP

0nnnnnnn.hhhhhhhh.hhhhhhhh.hhhhhhhh

adresy

0.0.0.0 - 127.255.255.255

# sieci

128

# hostów

 17× 10⁶

adres sieci (network address): np. 127.0.0.0

adres rozgłoszeniowy (broadcast address): np. 127.255.255.255

klasa B

IP

10nnnnnn.nnnnnnnn.hhhhhhhh.hhhhhhhh

adresy

128.0.0.0 - 191.255.255.255

# sieci

16384

# hostów

65536

klasa C

IP

110nnnnn.nnnnnnnn.nnnnnnnn.hhhhhhhh

adresy

192.0.0.0 - 223.255.255.255

# sieci

 2 × 10⁶

# hostów

256

klasa D (adresy grupowe)

IP

1110bbbb.bbbbbbbb.bbbbbbbb.bbbbbbbb

adresy

224.0.0.0 - 239.255.255.255

W trakcie transmisji multicastowej nadawca przesyła pojedynczą kopię wiadomości do dostarczyciela usługi (SP, service provider) w trakcie pojedynczej operacji. SP dostarcza kopię wiadomości do każdego odbiorcy transmisji multicastowej.

0 31 Address Range:

+-+----------------------------+

|0| Class A Address | 0.0.0.0 - 127.255.255.255

+-+----------------------------+

+-+-+--------------------------+

|1 0| Class B Address | 128.0.0.0 - 191.255.255.255

+-+-+--------------------------+

+-+-+-+------------------------+

|1 1 0| Class C Address | 192.0.0.0 - 223.255.255.255

+-+-+-+------------------------+

+-+-+-+-+----------------------+

|1 1 1 0| MULTICAST Address | 224.0.0.0 - 239.255.255.255

+-+-+-+-+----------------------+

+-+-+-+-+-+--------------------+

|1 1 1 1 0| Reserved | 240.0.0.0 - 247.255.255.255

+-+-+-+-+-+--------------------+

Adresy grupowe (multicast)

Niektóre adresy klasy D są zarezerwowane dla dobrze znanych grup multicastowych

• 224.0.0.1 - grupa wszystkich hostów akceptujących multicast; każdy host akceptujący multicasty zapisuje się do tej grupy przy uruchamianiu

• 224.0.0.2 - grupa wszystkich routerów multicastowych

• 224.0.0.4 - grupa routerów DVMRP (Distance Vector MulticastRouting Protocol)

• 224.0.0.5 - grupa routerów OSPF

• 

• 224.0.0.0 - 224.0.0.255 są zarezerwowane na potrzeby lokalne (administrowanie i konserwowanie urządzeń i usług) i nie są nigdy przekazywane dalej przez routery multicastowe

• 239.0.0.0 - 239.255.255.255 zarezerwowane na potrzeby administrative scoping

Sieci prywatne

klasa A

10.1.1.1

-

10.254.254.254

klasa B

172.16.1.1

-

172.31.254.254

klasa C

192.168.1.1

-

192.168.254.254

Adres pętli zwrotnej (loopback address)

sieć

127.0.0.0

adresy

127.x.x.x

Fragment pliku /etc/hosts

127.0.0.1 localhost.localdomain scobie localhost

158.75.5.43 ameryk.phys.uni.torun.pl ameryk am

158.75.5.47 ferm.phys.uni.torun.pl ferm fm

158.75.5.51 tal.phys.uni.torun.pl tal tl

158.75.5.90 nobel.phys.uni.torun.pl nobel nb

158.75.28.35 enter.hpc.uni.torun.pl enter

Komenda: ifconfig -a

eth0 Link encap:Ethernet HWaddr 00:10:A4:D2:52:55

inet addr:158.75.5.95 Bcast:158.75.5.255 Mask:255.255.254.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:0 errors:102 dropped:0 overruns:0 carrier:102

collisions:0 txqueuelen:100

RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Interrupt:11 Base address:0x4800

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:675 errors:0 dropped:0 overruns:0 frame:0

TX packets:675 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:65654 (64.1 Kb) TX bytes:65654 (64.1 Kb)

Sieci i podsieci. Maski podsieci

• standardowa struktura adresów IP może być lokalnie modyfikowana poprzez użycie bitów adresowych hostów jako dodatkowych bitów określających sieć

• podział sieci na podsieci (subnets) przy pomocy maski bitowej (maski podsieci (netmask)

• bit 1 w masce wskazuję, że odpowiadający mu bit w adresie IP wskazuje na adres sieci

• bit 0 w masce wskazuje, że odpowiadający mu bit adresu jest związany z adresem komputera w podsieci

• podsieć jest znana tylko lokalnie

Przykłady wielkości podsieci w zależności
od wyboru maski dla adresu klasy C.

liczba IP

maska (lbs)

liczba podsieci

2

255.255.255.254 (7)

128

4

255.255.255.252 (6)

64

8

255.255.255.248 (5)

32

16

255.255.255.240 (4)

16

32

255.255.255.224 (3)

8

64

255.255.255.192 (2)

4

128

255.255.255.128 (1)

2

maska podsieci = 256 - liczba IP w podsieci

LAN Instytutu Fizyki wykorzystuje adresy od 158.75.4.0 do 158.75.5.255 wydzielone spośród adresów klasy B przy pomocy maski sieciowej 255.255.254.0.

Przykład: sieć=195.15.25.0, maska=255.255.255.224.

sieć

sieć

podsieć

numery hostów

195.15.25.0

11000011 00000111 00011001

000

0-31

195.15.25.32

11000011 00000111 00011001

001

32-63

195.15.25.64

11000011 00000111 00011001

010

64-95

195.15.25.96

11000011 00000111 00011001

011

96-127

195.15.25.128

11000011 00000111 00011001

100

128-159

195.15.25.160

11000011 00000111 00011001

101

160-191

195.15.25.192

11000011 00000111 00011001

110

192-223

195.15.25.224

11000011 00000111 00011001

111

224-255




195.15.25.73

11000011 00000111 00011001

01001001

AND

255.255.255.224

11111111 11111111 11111111

11100000

=

195.15.25.64

11000011 00000111 00011001

01000000

Bezklasowe trasowanie międzydomenowe (CIDR Classless InterDomain Routing, RFC 1519)

Rozwój Internetu spowodował duże zapotrzebowanie na adresy. Przy rozdziale adresów wg klas wiele adresów się marnowało. CIDR umożliwia istnienie wielu mniejszych klas adresowych w ramach jednej, większej domeny trasowania (na poczatku lat 1990 było około 5000 tras w Internecie, a obecnie jest około 100000). Za pomocą adresu IP i maski można trasować dowolny datagram IP do miejsca przeznaczenia.

158.75.4.0 (10011110.01001011.00000100.00000000) Class C subnet address

158.75.5.0 (10011110.01001011.00000101.00000000) Class C subnet address

--------------------------------------------------------

158.75.4.0 (10011110.01001011.00000100.00000000) Supernetted Subnet address

255.255.254.0 (11111111.11111111.11111110.00000000) Subnet Mask

158.75.5.255 (10011110.01001011.00000101.11111111) Broadcast address

Grupowanie w nadsieci. Podsieć 158.75.4.0 zawiera wszystkie adresy od 158.75.4.0 do 158.75.5.255. Część sieciowa adresu ma długość 23 bitów, a część określająca hosty - 9.

Stosując notację CIDR taką podsieć zapisuje się jako 158.75.4.0/23.

Adres klasy A można zapisac jako /8, klasy B - /16, klasy C - /24.

Internet Control Message Protocol (ICMP, RFC 792) - protokół sterowania wiadomością internetową

Funkcje ICMP:

• sterowanie przepływem datagramów

• wykrywanie nieosiągalnych miejsc przeznaczenia

• przekierunkowywanie marszrut (zmiana trasowania)

• sprawdzanie połączeń z komputerami oddalonymi

Komendy: traceroute, ping

Komenda: traceroute 158.75.1.4

traceroute to 158.75.1.4 (158.75.1.4), 30 hops max, 38 byte packets

1 158.75.5.190 (158.75.5.190) 0.301 ms 0.275 ms 0.227 ms

2 172.16.3.5 (172.16.3.5) 1.141 ms 1.513 ms 0.998 ms

3 centrum.man.torun.pl (158.75.33.140) 1.377 ms 1.135 ms 2.386 ms

4 158.75.1.253 (158.75.1.253) 1.923 ms 2.388 ms 2.628 ms

5 koala.uci.uni.torun.pl (158.75.1.4) 1.674 ms 1.497 ms 2.013 ms

Komenda: ping 158.75.1.4

PING 158.75.1.4 (158.75.1.4) from 158.75.5.95 : 56(84) bytes of data.

64 bytes from 158.75.1.4: icmp_seq=1 ttl=251 time=1.84 ms

64 bytes from 158.75.1.4: icmp_seq=2 ttl=251 time=1.88 ms

64 bytes from 158.75.1.4: icmp_seq=3 ttl=251 time=1.21 ms

Komenda: ping -f -c 1000 158.75.5.90

PING 158.75.5.90 (158.75.5.90) from 158.75.5.95 : 56(84) bytes of data.

--- 158.75.5.90 ping statistics ---

1000 packets transmitted, 1000 received, 0% loss, time 252ms

rtt min/avg/max/mdev = 0.141/0.154/0.446/0.031 ms, ipg/ewma 0.252/0.147 ms

ARP/RARP

• ARP (Address Resolution Protocol) protokół odwzorowywania adresów: zmiana adresów logicznych (IP) na adresy fizyczne (MAC)

• RARP (Reverse Address Resolution Protocol) protokół odwrotnego odwzorowywania adresów: zamiana adresów fizycznych (MAC) na adresy logiczne (IP)

Zastosowania: bootowanie stacji bezdyskowych

Tablica ARP (komenda: arp )

158.75.4.198 ether 00:B0:D0:F4:83:CD C eth0

158.75.5.142 ether 00:50:04:03:9B:F1 C eth0

158.75.5.54 ether 00:01:02:8A:4C:2D C eth0

158.75.5.129 ether 00:00:C0:12:55:6A C eth0

158.75.5.238 ether 00:80:AD:8A:0D:89 C eth0

158.75.5.233 ether 00:10:5A:3C:15:4D C eth0

arsen.phys.uni.torun.pl ether 00:0E:A6:1B:82:15 C eth0

Jak powstaje tablica ARP?

Host A (158.75.5.90) próbuje przesłać dane do hosta B (158.75.5.47). Tablica ARP hosta A nie zawiera adresu MAC hosta B.

1. host A wysyła rozgłoszenie (ARP request): Who has 158.75.5.47? Tell 158.75.5.90.

2. host B odpowiada hostowi A (ARP reply): 158.75.5.47 is at 00:30:48:21:A3:8B

3. host A uzupełnia tablicę ARP o kolejny wpis

4. host A wysyła ramki z adresem docelowym 00:30:48:21:A3:8B

ARP spoofing (podszywanie ARP): odpowiedzi uzyskiwane na zapytania ARP nie są weryfikowane, co pozwala ,,zatruwać" tablice ARP.

Ograniczenia IP

• zbyt mała liczba adresów (2³²1  4.29×10⁹), nieefektywne wykorzystywanie przestrzeni adresowej (klasy adresowe)

• dwupoziomowa hierarchia adresowania (host.domena), która uniemożliwia konstruowanie wydajnych hierarchii adresowych (nieefektywne trasowanie datagramów)

• słaba obsługa ruchu audio/wideo

• brak mechanizmów zapewniających bezpieczeństwo przekazywania datagramów

Internet Protocol version 6 (IPv6)

• ogromna przestrzeń adresowa (2¹²⁸1  3.4×10³⁸)

• trzy rodzaje adresów (unicast, multicast, anycast)

• obsługa transmisji audio/wideo w czasie rzeczywistym

• opcje są określone w rozszerzeniu do nagłówka, dzięki czemu mogą być badane po dotarciu pakietu do celu, co pozwala poprawić szybkość przekazywania pakietów od węzła do węzła sieci Internet

• możliwość znaczenia pakietów (np. pakiety ,,multimedialne" mogą być przełączane z większym priorytetem)

• bezpieczeństwo (kodowanie i identyfikacja) - nagłówek zawiera rozszerzenie, które pozwala zaznaczyć używany w czasie połączenia mechanizm uwierzytelniania źródła pochodzenia pakietów (zapewnienie integralności i poufności danych)

• mobilność hostów, autokonfiguracja i autorekonfiguracja

Adresy IPv6

• unicast (adres pojedynczej emisji):

• adres dostawcy usług internetowych (ISP, Internet Service Provider)

• adres użytku lokalnego dla łącza przeznaczony dla pojedynczego łącza

• adresy użytku lokalnego dla miejsca przeznaczone do stosowania w miejscach i organizacjach, które nie są przyłączone do globalnego Internetu

• adres unicast IPv6 zgodny z IPv4 niezbędny z uwagi na tunelowanie IPv6 przez sieć IPv4

• adres unicast IPv6 wzorowany na IPv4 niezbędny z uwagi na tunelowanie IPv4 przez sieć IPv6 (adresy tymczasowe tylko dla routerów)

• anycast (adres dowolnej emisji) jest pojedynczą wartością przypisaną do więcej niż jednego interfejsu (zwykle różnych urządzeń). Pakiet wysłany na adres anycast jest trasowany tylko do jednego urządzenia najbliższego wg pewnej miary odległości.

• Adres multicast (adres rozgłoszenia grupowego) udostępnia ogromną liczbę adresów grup multicastowych.

Warstwa transportowa

Transmission Control Protocol (TCP, RFC 793) - protokół sterowania transmisją zapewnia usługi niezawodnie dostarczające dane, z wykrywaniem na obu końcach błędów i ich korekcją

Z TCP korzystają m.in. protokoły (warstwy aplikacji):

• HTTP (HyperText Transport Protocol) protokół przesyłania hipertekstu

• TELNET (Network Terminal Protocol) protokół końcówki sieciowej

• SSH (Secure SHell) bezpieczna powłoka

• FTP (File Transfer Protocol) protokół przesyłania plików

Wg RFC 793, 1.5. Operation:

As noted above, the primary purpose of the TCP is to provide reliable,

securable logical circuit or connection service between pairs of

processes. To provide this service on top of a less reliable internet

communication system requires facilities in the following areas:

Basic Data Transfer

Reliability

Flow Control

Multiplexing

Connections

Precedence and Security

+------+ +-----+ +-----+ +-----+

|Telnet| | FTP | |Voice| ... | | Application Level

+------+ +-----+ +-----+ +-----+

| | | |

+-----+ +-----+ +-----+

| TCP | | RTP | ... | | Host Level

+-----+ +-----+ +-----+

| | |

+-------------------------------+

| Internet Protocol & ICMP | Gateway Level

+-------------------------------+

|

+---------------------------+

| Local Network Protocol | Network Level

+---------------------------+

Protocol Relationships

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Source Port | Destination Port |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Sequence Number |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Acknowledgment Number |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Data | |U|A|P|R|S|F| |

| Offset| Reserved |R|C|S|S|Y|I| Window |

| | |G|K|H|T|N|N| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Checksum | Urgent Pointer |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Options | Padding |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| data |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

TCP Header Format (RFC 793)

TCP Header Format (RFC 793)

Control Bits: 6 bits (from left to right):

URG: Urgent Pointer field significant

ACK: Acknowledgment field significant

PSH: Push Function

RST: Reset the connection

SYN: Synchronize sequence numbers

FIN: No more data from sender

TCP: Three way handshake

The synchronization requires each side to send it's own initial

sequence number and to receive a confirmation of it in acknowledgment

from the other side. Each side must also receive the other side's

initial sequence number and send a confirming acknowledgment.

1) A --> B SYN my sequence number is X

2) A <-- B ACK your sequence number is X

3) A <-- B SYN my sequence number is Y

4) A --> B ACK your sequence number is Y

Because steps 2 and 3 can be combined in a single message this is

called the three way (or three message) handshake.

Trzystanowy handshake dla synchronizacji połączenia

host A

host B

wysyła SYN (seq=x)

odbiera SYN (seq=x)

wysyła SYN (seq=y)

wysyła ACK (ack=x+1)

odbiera SYN (seq=y)

odbiera ACK (ack=x+1)

wysyła ACK (ack=y+1)

wysyła dane (seq=x+1)

odbiera ACK (ack=y+1)

odbiera dane




TCP A TCP B

1. CLOSED LISTEN

2. SYN-SENT --> <SEQ=100><CTL=SYN> --> SYN-RECEIVED

3. ESTABLISHED <-- <SEQ=300><ACK=101><CTL=SYN,ACK> <-- SYN-RECEIVED

4. ESTABLISHED --> <SEQ=101><ACK=301><CTL=ACK> --> ESTABLISHED

5. ESTABLISHED --> <SEQ=101><ACK=301><CTL=ACK><DATA> --> ESTABLISHED

Basic 3-Way Handshake for Connection Synchronization

TCP zapewnia niezawodność dostarczania danych za pomocą mechanizmu zwanego pozytywne potwierdzenie z retransmisją (Positive Acknowledgement with Retransmission, PAR).

• Dane wysyłane są tak długo, aż nie nadejdzie potwierdzenie, że zostały poprawnie odebrane.

• Jeśli dane są poprawne, to odbiorca wysyła do nadawcy pozytywne potwierdzenie.

• Gdy odebrane dane są niepoprawne, to zostają zignorowane. Po określonym czasie moduł nadający powtórnie wysyła dane.

• Odbiorca wysyła nadawcy informację o maksymalnej liczbie bajtów, które wolno wysłać bez czekania na potwierdzenie. Wartość ta jest nazywana rozmiarem okna i jest podstawowym mechanizmem kontroli przepływu stosowanym w protokole TCP.

TCP: kontrola przepływu

• algorytm retransmisji z adaptacją ze zmiennym czasem oczekiwania (zależnym od rodzaju sieci i panujących w niej warunków)

• wartość czasu oczekiwania jest obliczana na podstawie bieżącej średniej czasu podróży w dwie strony dla dotychczas wysłanych pakietów

• jeśli odbiór pakietu nastąpi przed upływem czasu oczekiwania, to TCP aktualizuje średnią i stosuje ją przy oczekiwaniu na potwierdzenie kolejnego pakietu

• jeśli odbiór pakietu nie nastąpi przed upływem czasu oczekiwania, to TCP ponownie wysyła pakiet i czeka dwukrotnie dużej

• połączenie jest kontynuowane, jeśli nadejdzie potwierdzenie; przekroczenia maksymalnego czasu oczekiwania powoduje zerwanie połączenia

User Datagram Protocol (UDP, RFC 768) - protokół datagramów użytkownika udostępnia usługi dostarczające datagramy z małym narzutem, metodą bezpołączeniową

Z UDP korzystają m.in. protokoły (warstwy aplikacji):

• TFTP (Trivial File Transfer Protocol) trywialny protokół przesyłania plików

• SNMP (Simple Network Management Protocol) prosty protokół zarządzania siecią

• DNS (Domain Name System) system nazw domenowych

• NFS (Network File System) sieciowy system plików

Struktury danych protokołów TCP i UDP

warstwy TCP/IP	TCP	UDP
aplikacji	strumień (stream)	wiadomość (message)
transportowa	segment	pakiet
sieciowa	datagram	datagram
dostępu do sieci	ramka (frame)	ramka (frame)

IANA (Internet Assigned Numbers Authority) i /etc/services

# /etc/services:

# $Id: services,v 1.22 2001/07/19 20:13:27 notting Exp $

#

# Network services, Internet style

#

# Note that it is presently the policy of IANA to assign a single well-known

# port number for both TCP and UDP; hence, most entries here have two entries

# even if the protocol doesn't support UDP operations.

# Updated from RFC 1700, ``Assigned Numbers'' (October 1994). Not all ports

# are included, only the more common ones.

#

# The latest IANA port assignments can be gotten from

# http://www.iana.org/assignments/port-numbers

# The Well Known Ports are those from 0 through 1023.

# The Registered Ports are those from 1024 through 49151

# The Dynamic and/or Private Ports are those from 49152 through 65535

#

# Each line describes one service, and is of the form:

#

# service-name port/protocol [aliases ...] [# comment]

tcpmux 1/tcp # TCP port service multiplexer

tcpmux 1/udp # TCP port service multiplexer

rje 5/tcp # Remote Job Entry

rje 5/udp # Remote Job Entry

echo 7/tcp

echo 7/udp

discard 9/tcp sink null

discard 9/udp sink null

systat 11/tcp users

systat 11/udp users

daytime 13/tcp

daytime 13/udp

qotd 17/tcp quote

qotd 17/udp quote

msp 18/tcp # message send protocol

msp 18/udp # message send protocol

chargen 19/tcp ttytst source

chargen 19/udp ttytst source

ftp-data 20/tcp

ftp-data 20/udp

ftp 21/tcp

ftp 21/udp

ssh 22/tcp # SSH Remote Login Protocol

ssh 22/udp # SSH Remote Login Protocol

telnet 23/tcp

telnet 23/udp

smtp 25/tcp mail

smtp 25/udp mail

time 37/tcp timserver

time 37/udp timserver

#...

nicname 43/tcp whois

domain 53/tcp nameserver # name-domain server

domain 53/udp nameserver

whois++ 63/tcp

whois++ 63/udp

bootps 67/tcp # BOOTP server

bootps 67/udp

bootpc 68/tcp # BOOTP client

bootpc 68/udp

tftp 69/tcp

tftp 69/udp

#...

finger 79/tcp

finger 79/udp

http 80/tcp www www-http # WorldWideWeb HTTP

http 80/udp www www-http # HyperText Transfer Protocol

kerberos 88/tcp kerberos5 krb5 # Kerberos v5

kerberos 88/udp kerberos5 krb5 # Kerberos v5

supdup 95/tcp

supdup 95/udp

hostname 101/tcp hostnames # usually from sri-nic

hostname 101/udp hostnames # usually from sri-nic

iso-tsap 102/tcp tsap # part of ISODE.

csnet-ns 105/tcp cso # also used by CSO name server

csnet-ns 105/udp cso

pop3 110/tcp pop-3 # POP version 3

pop3 110/udp pop-3

#...

netbios-ns 137/tcp # NETBIOS Name Service

netbios-ns 137/udp

netbios-dgm 138/tcp # NETBIOS Datagram Service

netbios-dgm 138/udp

netbios-ssn 139/tcp # NETBIOS session service

netbios-ssn 139/udp

imap 143/tcp imap2 # Interim Mail Access Proto v2

imap 143/udp imap2

#>REGISTERED PORT NUMBERS

#>

#>The Registered Ports are listed by the IANA and on most systems can be

#>used by ordinary user processes or programs executed by ordinary

#>users.

socks 1080/tcp # socks proxy server

socks 1080/udp # socks proxy server

h323hostcallsc 1300/tcp # H323 Host Call Secure

h323hostcallsc 1300/udp # H323 Host Call Secure

ms-sql-s 1433/tcp # Microsoft-SQL-Server

ms-sql-s 1433/udp # Microsoft-SQL-Server

ms-sql-m 1434/tcp # Microsoft-SQL-Monitor

ms-sql-m 1434/udp # Microsoft-SQL-Monitor

ica 1494/tcp # Citrix ICA Client

ica 1494/udp # Citrix ICA Client

wins 1512/tcp # Microsoft's Windows Internet Name Service

wins 1512/udp # Microsoft's Windows Internet Name Service

Gniazda

Interfejs gniazd (socket interface) - mechanizm umożliwiający komunikowanie się procesów w tym samym systemie lub procesów różnych hostów w sieci.

Systemy Uniksowe/Linuksowe wspierają szereg klas gniazd łączonych w dziedziny (rodziny) gniazd.

System gniazd Linuxa jest rozszerzoną wersją systemu gniazd z Unixa 4.3 BSD i wspiera m.in. następujące dziedziny adresów:

• UNIX - gniazda domeny Unixowej

• INET - rodzina adresów internetowych wspierająca komunikację przy pomocy protokołów TCP/IP

• IPX - Novell IPX

• APPLETALK - Appletalk DDP (Datagram Delivery Protocol)

• X25 - gniazda dla komunikacji w ramach protokołu X25

Linux implementuje gniazda następujących typów:

• Stream - gniazda strumieniowe (zwane czasem obwodem wirtualnym) dostarczają niezawodnego, sekwencyjnego połączenia pomiędzy dwoma komunikującymi się hostami (protokół TCP)

• Datagram - gniazda tego typu nie gwarantują dotarcia wysłanej wiadomosci (protokół UDP)

• Raw - gniazda umożliwiające procesom bezpośredni, czyli ,,surowy" dostęp do niżej leżących protokołów; można otworzyć surowe gniazdo do urządzenia ethernetowego i oglądać ruch danych w sieci IP

• Reliable Delivered Messages - gniazda typu datagram, ale zapewniające dotarcie wiadomości do celu

• Sequenced Packets - gniazda strumieniowe operujące na pakietach o ustalonej wielkości

• Packet - gniazda umożliwiające docieranie do pakietów na poziomie urządzenia

Warstwa gniazd INET

• socket - tworzenie gniazda INET (adres rodziny, typ gniazda, protokół); struktura danych socket jest częścią struktury danych i-węzła VFS

• bind - wiązanie adresu do gniazda INET (adres IP + numer portu); porty poniżej 1024 mogą być wiązane tylko przez procesy superużytkownika

• connect - tworzenie połączenia (wirtualnego obwodu) TCP (początkowy numer sekwencyjnym, maksymalna dozwolona wielkość wiadomości, wielkość okna, itp.); oczekiwanie na potwierdzenie nawiązania połączenia (tryb nasłuchiwania); przekazywanie wiadomości (niepotwierdzone wiadomości są ponownie przesyłane)

• listen - ustawienie gniazda w tryb nasłuchiwania

• accept - akceptowanie żądania połączenia TCP powoduje utworzenie klonu oryginalnego gniazda i zwrócenie aplikacji sieciowej numeru deskryptora pliku takiego gniazda

Przykłady komend:

• netstat -np

• netstat -npl

• netstat -npl -inet-ip

• netstat -npl -tcp

• netstat -npl -udp

Monitorowanie usług i połączeń

Komenda: netstat -npl -tcp

Active Internet connections (only servers)

Proto ... Local Address Foreign Add State PID/Program name

tcp ... 0.0.0.0:32768 0.0.0.0:* LISTEN 487/rpc.statd

tcp ... 0.0.0.0:32769 0.0.0.0:* LISTEN 701/rpc.mountd

tcp ... 0.0.0.0:111 0.0.0.0:* LISTEN 468/portmap

tcp ... 0.0.0.0:6000 0.0.0.0:* LISTEN 922/X

tcp ... 0.0.0.0:113 0.0.0.0:* LISTEN 638/identd

tcp ... 0.0.0.0:22 0.0.0.0:* LISTEN 17456/sshd

tcp ... 0.0.0.0:631 0.0.0.0:* LISTEN 759/cupsd

tcp ... 0.0.0.0:23 0.0.0.0:* LISTEN 669/xinetd

tcp ... 0.0.0.0:862 0.0.0.0:* LISTEN 682/rpc.rquotad

Komenda: /etc/init.d/identd stop; netstat -npl -tcp

Active Internet connections (only servers)

Proto ... Local Address Foreign Add State PID/Program name

tcp ... 0.0.0.0:32768 0.0.0.0:* LISTEN 487/rpc.statd

tcp ... 0.0.0.0:32769 0.0.0.0:* LISTEN 701/rpc.mountd

tcp ... 0.0.0.0:111 0.0.0.0:* LISTEN 468/portmap

tcp ... 0.0.0.0:6000 0.0.0.0:* LISTEN 922/X

tcp ... 0.0.0.0:22 0.0.0.0:* LISTEN 17456/sshd

tcp ... 0.0.0.0:631 0.0.0.0:* LISTEN 759/cupsd

tcp ... 0.0.0.0:23 0.0.0.0:* LISTEN 669/xinetd

tcp ... 0.0.0.0:862 0.0.0.0:* LISTEN 682/rpc.rquotad

Komenda: netstat -np -tcp | grep '158.75.5.95'

tcp ... 158.75.5.90:22 158.75.5.95:33445 ESTABLISHED 6204/sshd

tcp ... 158.75.5.90:22 158.75.5.95:33459 ESTABLISHED 7323/sshd

tcp ... 158.75.5.90:23 158.75.5.95:33494 ESTABLISHED 23272/in.telnetd: t

tcp ... 158.75.5.90:23 158.75.5.95:33496 ESTABLISHED 23643/in.teln

Komenda: netstat -nlp -udp | grep '158.75.5.95'

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Add State PID/Program name

udp 0 0 0.0.0.0:32768 0.0.0.0:* 487/rpc.statd

udp 0 0 0.0.0.0:32770 0.0.0.0:* -

udp 0 0 0.0.0.0:32771 0.0.0.0:* 701/rpc.mountd

udp 0 0 0.0.0.0:859 0.0.0.0:* 682/rpc.rquotad

udp 0 0 0.0.0.0:111 0.0.0.0:* 468/portmap

udp 0 0 0.0.0.0:631 0.0.0.0:* 759/cupsd

Stany gniazda TCP

Komenda: man netstat

ESTABLISHED The socket has an established connection.

SYN_SENT The socket is actively attempting to establish

a connection.

SYN_RECV A connection request has been received from the network.

FIN_WAIT1 The socket is closed, and the connection is shutting

down.

FIN_WAIT2 Connection is closed, and the socket is waiting for

a shutdown from the remote end.

TIME_WAIT The socket is waiting after close to handle packets

still in the network.

CLOSED The socket is not being used.

CLOSE_WAIT The remote end has shut down, waiting for the socket

to close.

LAST_ACK The remote end has shut down, and the socket is closed.

Waiting for acknowledgement.

LISTEN The socket is listening for incoming connections.

CLOSING Both sockets are shut down but we still don't have all

our data sent.

UNKNOWN The state of the socket is unknown.

Super demon sieciowy xinetd (man xinetd.conf)

/etc/xinted.conf:

# Simple configuration file for xinetd

defaults

{

instances = 60

log_type = SYSLOG authpriv

log_on_success = HOST PID

log_on_failure = HOST RECORD

cps = 25 30

enabled = telnet ftp

# disabled = telnet ftp

}

includedir /etc/xinetd.d

/etc/xinted.d/telnet

# default: on

# description: The telnet server serves telnet sessions; it uses \

# unencrypted username/password pairs for authentication.

service telnet

{

disable = no

flags = REUSE

socket_type = stream

wait = no

user = root

server = /usr/sbin/in.telnetd

log_on_failure += USERID

banner_success = /etc/xinetd.d/banners/telnet

Plik /etc/xinted.d/tftp

# default: off

service tftp

{

disable = no

socket_type = dgram

protocol = udp

wait = yes

user = root

server = /usr/sbin/in.tftpd

server_args = -s /tftpboot

Komenda: /etc/init.d/identd stop; netstat -nltp

Active Internet connections (only servers)

Proto ... Local Address ... State PID/Program name

tcp ... 0.0.0.0:32768 ... LISTEN 484/rpc.statd

tcp ... 0.0.0.0:515 ... LISTEN 680/lpd Waiting

tcp ... 0.0.0.0:111 ... LISTEN 465/portmap

tcp ... 0.0.0.0:6000 ... LISTEN 932/X

tcp ... 0.0.0.0:21 ... LISTEN 31390/xinetd

tcp ... 0.0.0.0:22 ... LISTEN 651/sshd

tcp ... 0.0.0.0:23 ... LISTEN 32713/xinetd

tcp ... 127.0.0.1:25 ... LISTEN 702/sendmail: accep

Kontrola dostępu: TCP wrappers

• TCP wrappers są domyślnie instalowane na serwerach i pozwalają na kontrolę dostępu do szeregu usług internetowych (ssh, telnet, ftp, rsh, itp.)

• usługi sieciowe są ,,opakowane" w oprogramowanie kontrolujące do nich dostęp; jeśli kryteria dostępu są spełnione, to uruchamiana jest właściwa usługa sieciowa

• biblioteka libwrap.a dostarcza odpowiednich funkcji

• ssh, portmap, xinetd są kompilowane z biblioteką libwrap.a

• inne usługi sieciowe oraz oprogramowanie użytkowe mogą korzystać z libwrap.a

Zalety TCP wrappers:

• klient żądający usługi nie dostrzega działania ,,opakowywaczy"

• ,,opakowywacze" działają niezależnie od aplikacji, które chronią; wspólne pliki konfiguracyjne, łatwiejsze zarządzanie

Patrz: man 5 hosts_access, man 5 hosts.allow

Plik konfiguracyjny: /etc/hosts.allow

#

# hosts.allow This file describes the names of the hosts which are

# allowed to use the local INET services, as decided

# by the '/usr/sbin/tcpd' server.

#

ALL EXCEPT in.ftpd: 127.0.0.1 158.75.5.95

sshd: 158.75.5. 158.75.4.*

portmap: 158.75.5.51 158.75.5.90

in.telnetd: 158.75.5.1: spawn (/bin/echo `date` %c \

>> /var/log/telnet.log) &

Kontrola dostępu: TCP wrappers

Plik konfiguracyjny: /etc/hosts.deny

#

# hosts.deny This file describes the names of the hosts which are

# *not* allowed to use the local INET services, as decided

# by the '/usr/sbin/tcpd' server.

ALL: ALL@ALL, PARANOID : spawn ( /bin/echo `date` "%d-%h" \

>>/var/log/hosts.deny ) &

Warstwa zastosowań (sesji+prezentacji+zastosowań)

• transfer plików - protokół FTP (File Transfer Protocol)

• zdalne rejestrowanie się - protokół TELNET (Network Terminal Protocol)

• poczta komputerowa - protokoły SMTP (Simple Mail Transport Protocol), POP3 (Post Office Protocol), IMAP (Internet Message Access Protocol)

• listy korespondencyjne i dyskusyjne - protokół NNTP (Network News Transport Protocol).

• www (World Wide Web) - protokół HTTP (HyperText Transport Protocol)

• DNS (Domain Name Service) - protokół UDP

• NFS (Network File System) - sieciowy system plików pozwalający na współdzielenie plików przez wiele komputerów w sieci (protokoły UDP, TCP)

Rodzina protokołów NetWare firmy Novell

------------------------------------------------------------------------------

| | OSI |

| NetWare based applications | |

| | |

|----------------------------------------------- | |

| | | | | |

| SAP | NCP | NetWare | | |

| | | Shell |----------------------- 5+6+7|

| | | | | |

| | | | NetBIOS | |

| | | | | |

| | | | | |

|-----------------------------------------------------------------------|-----|

| | SPX | | |

| | | | |

| ----- ------ -------- | |

| IPX | RIP | | NLSP | | 3+4 |

| ----- ------ | |

|----------------------------------------------------------------------- -----|

| IEEE 802.3i| IEEE 802.3u | IEEE 802.5 | IEEE 802.8 | PPP | ATM |ISDN | 1+2 |

| 10Base-T | 100Base-TX | Token Ring | FDDI | | | | |

-----------------------------------------------------------------------------

• SAP (Service Advertisment Protocol) rozgłasza (co 60 sek.) adres i usługi serwera w sieci (identyfikatory SAP: 4 - serwer plików, 7 - serwer drukarek)

• NCP (NetWare Core Protocol) dostarcza połączeń i aplikacji dla komunikacji klient-serwer (dostęp do plików, drukarek, zarządzanie nazwami, synchronizacja plików, bezpieczeństwo)

• NetBIOS (Network Basic Input/Output System) pozwala aplikacjom uruchamianym na różnych komputerach na wzajemną komunikację w ramach lokalnej sieci komputerowej (schemat opracowany przez IBM w początkowym okresie rozwoju sieci komputerowych opartych o komputery osobiste, który później został przejęty przez firmę Microsoft i stał się de facto standardem); NetWare dostarcza emulatora pozwalającego uruchamiać aplikacje korzystające z interfejsu NetBIOS

• SPX (Sequenced Packet Exchange) połączeniowy protokół sekwencyjnej wymiany pakietów wspomagający protokoły warstwy transportowej i służący do sprawdzania czy pakiety IPX docierają do miejsca przeznaczenia

• IPX (Internetwork Packet Exchange) międzysieciowa wymiana pakietów jest bezpołaczeniowym protokołem (warstwy sieciowej) służącym do łączenia komputerów używających oprogramowania NetWare firmy Novell (oprogramowanie NetWare od wersji 5.0 używa w warstwie sieciowej protokołu IP zamiast IPX)

• RIP ((Novell's) Routing Information Protocol) protokół routingu wykorzystujący algorytm wektora odległości do wymiany informacji o dostępnych trasach pomiędzy routerami sieci IPX

• NLSP (NetWare Link Services Protocol) protokół routingu wykorzystujący algorytm stanu łącza (najkrótszej ścieżki)

Cechy systemu NetWare

• 80-bitowy adres postaci network.node (32+48-bitów)

• adres MAC jest częścią adresu logicznego

• wiele rodzajów kapsułkowania na pojedynczym interfejsie

• domyślnym protokolem routingu jest Novell RIP

• usługi są rozgłaszane przez SAP

• klienci znajdują serwery poprzez pakiety GNS (Get Nearest Server)

• RIP i NLSP są implementowane jako protokoły warstw 5-7

Rodzaje kapsułkowania w NetWare

nazwa novellowa	struktura ramki
NetWare  3.11:	Ethernet_802.3	802.3 IPX
NetWare ≥ 3.12:	Ethernet_802.2	802.3 802.2 LLC IPX
TCP/IP:	Ethernet_II	Ethernet IPX
TCP/IP+AppleTalk:	Ethernet_SNAP	802.3 802.2 LLC SNAP IPX

Struktura nagłówka pakietu IPX

• suma kontrolna (checksum, 2)

• długość pakietu (packet length, 2) - liczba oktetów nagłówka i danych

• sterowanie transportem (transport control, 1) - liczba routerów (  16), które pakiet może przejść zanim zostanie usunięty (każdy router zwiększa to pole o jeden)

• typ pakietu (packet type, 1) - numer usługi, która utworzyła pakiet (NCP(17), SAP, NetBIOS, SPX(5), RIP, NLSP)

• numer sieci docelowej (destination network, 4) - numer sieci, w której znajduje się węzeł docelowy

• adres węzła docelowego (destination node, 6) - adres MAC węzła, w którym znajduje się docelowy komputer

• numer gniazda docelowego (destination socket, 2) - numer gniazda procesu odbierającego pakiety

• numer sieci źródłowej (source network, 4) - numer sieci, w której znajduje się węzeł źródłowy

• adres węzła źródłowego (source node, 6) - adres MAC węzła, w którym znajduje się komputer źródłowy

• numer gniazda źródłowego (source socket, 4) - numer gniazda procesu wysyłającego pakiety

Protokoły AppleTalk firmy Apple

aplikacji

(7)

prezentacji

(6)

łącza danych

(2)

fizyczna

(1)

warstwy modelu OSI		warstwy modelu AppleTalk
		(5) aplikacji
sesji	(5)	(4) sesji
transportowa	(4)	(3) transportowa
sieciowa	(3)	(2) datagramowa
		(1) dostępu do sieci

Rodzina protokołów AppleTalk

• AFP (AppleTalk Filing Protocol) - protokół warstwy aplikacji dostarcza usługi plików sieciowych (wszystkim) aplikacjom istniejącym niezależnie od stosu protokołów

• ADSP (AppleTalk Data Stream Protocol) - protokół strumienia danych sieci dostarcza w niezawodny sposób pełnodupleksowe usługi połączeniowe poprzez ustanowienie logicznego połączenia (sesji) pomiędzy komunikującymi się komputerami (wykorzystuje gniazda)

• ASP (AppleTalk Session Protocol) - protokoł sesji zapewnia niezawodne dostarczanie danych poprzez sekwencyjne zarządzanie sesją

• PAP (Printer Access Protocol) - protokół dostępu do drukarki umożliwiający zarządzanie drukarkami (wymianę innych danych)

• ZIP (Zone Information Protocol) - protokół informacji o strefach zapewnia mechanizm logicznego grupowania urządzeń sieciowych (tworzenia stref)

• ATP (AppleTalk Transport Protocol) - protokoł transportu

• AURP (AppleTalk Update-Based Routing Protocol) - protokoł trasowania

• DDP (Datagram Delivery Protocol) - protokół warstwy datagramowej odpowiedzialny za dostarczanie danych metodą bezpołączeniową

• ELAP (Ether Talk Link Access Protocol) - protokół warstwy łącza danych zapewniający opakowywanie danych w ramkach 802.3

• TLAP (Token Talk Link Access Protocol) - protokół warstwy łącza danych zapewniający opakowywanie danych w ramkach sieci Token Ring

• LLAP (Local Talk Link Access Protocol) - protokół warstwy dostępu do sieci firmy Apple (skrętka dwużyłowa, 230Kb/s)

NetBIOS i NetBEUI

• NetBIOS Extended User Interface (NetBEUI) -rozszerzony interfejs użytkownika podstawowego systemu wej/wyj jest rozbudowaną wersją protokołu NetBIOS używanego przez sieciowe systemy operacyjne takie jak LAN Manager, LAN Server, Windows for Workgroups, Windows NT, Samba.

• Interfejs NetBIOS został opracowany przez firmę Sytec Inc. dla IBM w 1983 r. na potrzeby sieci komputerów IBM PC (PC Network)

• NetBEUI został wprowadzony w 1985 r., aby aplikacje dla PC Network mogły pracować w sieci Token-Ring

• w 1987 r. Microsoft wprowadził LAN Managera, który wykorzystywał ramki NetBIOS-owe

• NetBIOS/NetBEUI są ,,protokołami" warstwy sesji i wykorzystują do transportu niższe warstwy (NetBIOS over TCP/IP, NetBIOS over IPX/SPX, NetBIOS over PPP)

• NetBIOS nie jest protokołem, ale interfejsem do rodziny protokołów: Name Management Protocol (NMP), Diagnostic and Monitoring Protocol (DMP), User Datagram Protocol (UDP), Session Management Protocol (SMP).

NetBIOS był zaprojektowany jako interfejs programów użytkowych (API, Application Programming Interface)

• NetBEUI jako rozszerzenie NetBIOS-u nie jest protokołem, lecz API

• protokoł NetBIOS/NetBEUI - rodzina protokołów używanych przez API NetBIOS/NetBEUI

• w trakcie rozwoju NetBEUI powstały nowe protokoły zwane NetBIOS Frames (NBF), czyli niekapsułkowana implementacja NetBIOS-u

• NetBIOS/NetBEUI = NetBIOS Frames Protocol for 802.2 Networks (oficjalna nazwa używana przez IBM)

Server Message Block Protocol (SMB)

• Server Message Block Protocol, blok komunikatów serwera, jest protokołem warstwy aplikacji

• SMB służy do implementowania sterowania sesjami sieciowymi, sieciowym systemem plików, dostępem do sieciowych drukarek i przekazywaniem komunikatów

• zapewnia podobną funkcjonalność jak ASP, AFP, NCP, NFS

• SMB wykorzystuje:

• NetBIOS Frames Protocol (NBF)

• NetBIOS over TCP/IP

• NetBIOS over IPX

Rodzaje sieci

• LAN (Local Area Network) - lokalna sieć komunikacyjna obejmująca niewielki obszar geograficzny i umożliwiająca szybki i szerokopasmowy dostęp do lokalnych serwerów. LAN może także umożliwiać hostom dostęp do zasobów sieci rozległej (WAN).

Urządzenia LAN: komputery, serwery, drukarki sieciowe, koncentratory, mosty, przełączniki, routery.

• WAN (Wide Area Network) - rozległa sieć komunikacyjna obejmująca swoim zasięgiem rozległy obszar geograficzny i umożliwiająca LAN-om łączność poprzez komutowane lub dedykowane łącza. Technologie WAN funkcjonują w warstwach 1-3 modelu OSI.

Urządzenia WAN: routery, przełączniki, serwery telekomunikacyjne (dial-up), modemy, urządzenia CSU/DSU

CSU (Channel Service Unit) jednostka obsługi kanału
DSU (Data Service Unit) jednostka obsługi danych

Rodzaje topologii sieci

• sieć z szyną wielodostępną - pojedyncze łącze jest dzielone przez wszystkie stanowiska; szyna może mieć organizację linii prostej lub pierścienia

• sieć w kształcie gwiazdy - jedno ze stanowisk jest połączone ze wszystkimi pozostałymi

• sieć w kształcie pierścienia - każde stanowisko połączone z dwoma sąsiednimi; pierścień może być jedno- lub dwukierunkowy

• sieć w pełni połączona - każde stanowisko (węzeł) jest bezpośrednio połączony ze wszystkimi pozostałymi stanowiskami w systemie.

• sieć częściowo połączona - bezpośrednie łącza istnieją tylko między niektórymi (nie wszystkimi) parami stanowisk

Technologie LAN i model OSI

Powiązanie warstwy łącza danych i warstwy fizycznej z warstwą sieciową (Internet) jest realizowane poprzez protokół LLC (Logical Link Control)

LLC sublayer

MAC sublayer

Data Link Layer
Physical layer

LLC sublayer

MAC sublayer

Physical layer

LAN protocols		OSI layers
Ethernet	IEEE 802.2 IEEE 802.3 IEEE 802.3u IEEE 802.5 IEEE 802.8 10Base-T 100Base-TX Token Ring FDDI

Technologie WAN i model OSI

WAN protocols					OSI layers
X.25 PLP					Network layer
LAPB	Frame	HDLC	PPP	SDLC	Data Link layer
	Relay
	EIA/TIA-232
X.21bis	EIA/TIA-449				Physical layer
	V24, V25
	HSSI, G.703
	EIA-530

HDLC (High-level Data Link Control) wysokopoziomowe sterowanie łączem danych
PPP (Point-to-Point Protocol) protokół transmisji bezpośredniej
LAPB (Link Access Procedure Balanced)
PLP (Packet Level Protocol)
SDLC (Synchronous Data Link Control) sterowanie synchronicznym łączem danych
Frame Relay przekaz ramek

Sieci typu Ethernet

• maj 1973 - Robert Metcalfe publikuje notatkę opisującą X-Wire, czyli sieć biurową opartą o szynę wielodostępną o przepustowości 3 Mb/s

• 1973 - w Palo Alto Research Center (PARC) firmy Xerox powstaje pierwsza sieć (Alto Aloha Network)

• sieć może zapewnić komunikację dowolnym komputerom - zmiana nazwy na Ethernet

• komputer przyłączany do sieci poprzez interfejs ethernetowy (adapter sieciowy, kontroler, kartę sieciową (NIC,Network Interface Card)

Sieci Ethernet/IEEE 802.3

• Lokalne sieci komputerowe są budowane w oparciu o normę IEEE 802.3 z roku 1985, która definiuje ramkę danych oraz określa sposób dostępu do nośnika.

• Norma ta uściśla i rozszerza specyfikację właściwą dla sieci Ethernet I (Ethernet PARC) i Ethernet II (Ethernet DIX); sieci wykorzystujące normę IEEE 802.3 zwane są sieciami ethernetowymi.

• Rodzaje ramek ethernetowych: PARC, DIX, 802.3, LLC (Logical Link Control), SNAP (Sub-Network Access Protocol)

• Materialnymi nośnikami transmisji są kabel koncentryczny, skrętka dwużyłowa, kabel światłowodowy, pusta przestrzeń. Ich fizyczne własności określają szerokość dostępnego pasma transmisyjnego, częstotliwości sygnałów i efektywną prędkość przesyłania danych.

IEEE Institute of Electrical and Electronics Engineers

Jak działa Ethernet?

Dlaczego sieci ethernetowe działają dobrze pomimo braku

• potwierdzania otrzymywanych ramek

• zgłaszania nieudanych transmisji

• zegara sieciowego do wyznaczania pulsów danych

• kontroli wspołdzielenia sieci

• przewidywalności zachowania się sieci (indywidualne transmisje mogą być wstrzymywane)

• sterowania przepływem (brak priorytetowania)

• każda ramka rozpoczyna się 96 bitową zwłoką (9.6 sek dla sieci 10 Mb/s)

• 64 bity preambuły ramki ethernetowej służą synchronizacji zegara odbiorcy

• synchronizacja jest wymagana przez następnych 1518 oktetów (12144 bitów, 1.2 msek); możliwość tworzenia prostych urządzeń sieciowych

• wielkość danych: od 46 do 1500 oktetów
  (efektywność (26+12)/1500=2.5%)

Dostęp do nośnika: wielodostęp z wykrywaniem fali nośnej i wykrywaniem kolizji, CSMA/CD (Carrier Sense-Multiple Access/Collision Detection)

1. sprawdzanie stanu kanału przed wysłaniem ramki (carrier sense)

2. zwłoka 9.6 sek. przed rozpoczęciem nadawania

3. w razie wykrycia kolizji (collision) nadawca wysyła przez 32 bity czasu sygnał ,,tłok" (jam) i wstrzymuje nadawanie (backs off)

4. wznawianie nadawania (powrot do pkt. 1) po losowo określonej (i stopniowo wydłużanej) przerwie (backoff algorithm)

5. porzucenie ramki po 16 nieudanych próbach wysłania (około 1/2 sek.)

Forma dostępu do łącza wykorzystywana w sieciach typu Ethernet (IEEE 802.3).

• CD wymaga, aby długość sieci nie przekraczała [ 1/2] c_c t₄₆=5756 m (Ethernet 10 MHz)

• c_c prędkość rozchodzenia się sygnału elektrycznego (  2.25×10⁸m/s)

• t₄₆ czas transmisji najmniejszej ramki (8 ·64 ·1/10⁷=51.2 sek.)

• DIX Ethernet (gruby kabel koncentryczny): 3 segmenty po 500 m plus dwa wzmacniaki

Nośniki transmisji fizycznej:

• cienki kabel koncentryczny RG-58 (50 )

• nieekranowana (czteroparowa) skrętka (UTP, Unshielded Twisted Pair)

• kategoria 1,2: uznane za przestarzałe w 1995

• kategoria 3 UTP: szerokość pasma 16 MHz, szybkość 10 Mb/s, maks. odległość 100 m

• kategoria 4 UTP: szerokość pasma 20 MHz

• kategoria 5 UTP: szerokość pasma 100 MHz, szybkość 10, 100, 256 Mb/s, maks. odległość 100 m.

• ekranowana skrętka (STP, Shielded Twisted Pair)

• światłowód

• wielomodowy 62.5 m (62.5/125), LED (Light Emitting Diode)

• jednomodowy 8-10 m (osłona 125m) ILD (Injection Laser Diode)

LAN - rodzaje sieci Ethernet

• 10Base-5 - sieć z szyną wielodostępną w formie linii prostej wykorzystująca gruby kabel koncentryczny (tzw. gruby ethernet); zasięg do 500m, pasmo 10Mbs (IEEE 802.3)

• 10Base-2 - sieć z szyną wielodostępną w formie linii prostej wykorzystująca cienki kabel koncentryczny (tzw. cienki ethernet); zasięg do 185 m, 30 hostów w segmencie; pasmo 10Mb/s (IEEE 802.3a)

• 10Base-T - sieć w formie gwiazdy wykorzystująca nieekranowaną skrętkę (kategorii 3,4 lub 5); zasięg do 100m; pasmo 10 Mb/s (IEEE 802.3i)

• 10Base-FL/FB - sieć w formie gwiazdy bądź szkieletowa wykorzystująca włókna światłowodowe; zasięg do 2 km; pasmo 10Mb/s (IEEE 802.3j)

• 100Base-TX - sieć w formie gwiazdy bądź szkieletowa wykorzystująca 2 pary nieekranowanej skrętki (kategorii 5); zasięg do 100 m, pasmo 100 Mb/s (IEEE 802.3u)

• 100Base-T4 - sieć w formie gwiazdy bądź szkieletowa wykorzystująca 4 pary nieekranowanej skrętki (kategorii 3,4,5); zasięg do 100 m, pasmo 100 Mb/s (IEEE 802.3u)

• 100Base-FX - sieć w formie gwiazdy bądź szkieletowa wykorzystująca włókna światłowodowe (wielomodowe); zasięg do 2 km, pasmo 100 Mb/s

• 1000Base-T - sieć w formie gwiazdy wykorzystująca nieekranowaną skrętkę (kategorii 5, 4 pary); zasięg do 100 m, pasmo 1 Gb/s (IEEE 802.3ab)

• 1000Base-LX - krótka sieć szkieletowa wykorzystująca włókna światłowodowe (jednomodowe); zasięg do 5 km; pasmo 1 Gb/s (IEEE 802.3z)

• 10GBase-ER/EW - połączenie punkt-punkt wykorzystujące włókna światłowodowe (jednomodowe); zasięg do 40 km; pasmo 10 Gb/s (IEEE 802.3ae)

Sieć Token Ring

• szybkość: 4/16 Mb/s

• nośniki: TP, kabel koncentryczny, światłowód

• dostęp do łącza: przekazywanie żetonu

• w systemie ciągle krążą puste, pozbawione informacji ramki

• komputer-nadawca umieszcza w ramce wiadomość, adres przeznaczenie i żeton (token) (zmieniając ustalony bit w ramce z 0 na 1)

• komputer-odbiorca kopiuje wiadomość i usuwa żeton

• komputer-nadawca stwierdza brak żetonu i usuwa wiadomość

• jeśli ramka zginie, to wytwarza się nową

System komunikacji wykorzystywany w sieciach lokalnych wykorzystujących protokoły Token Ring (IEEE 802.5) oraz FDDI (Fiber Distributed Data Interface, IEEE 802.8).

Sieci bezprzewodowe WLAN (Wireless LAN)

• topologia: magistrala, gwiazda

• zasięg: od kilku do kilkuset metrów

• nośnik (warstwa fizyczna):

• podczerwień

• pasmo szerokie o bezpośredniej sekwencji częstotliwości, kluczowania bezpośredniego (DSSS Direct Sequence Spread Spectrum); zakres 2.4-2.4835GHz (4 podzakresy: 2.400-2.425, 2.414-2.440, 2.429-2.455, 2.443-2.470)

• pasmo szerokie o niebezpośredniej sekwencji częstotliwości, przeskoków częstotliwości (FHSS Frequency Hopping Spread Spectrum)

Pasmo 2.4 GHz jest pasmem nielicencjonowanym, przeznaczonym dla zastosowań przemysłowych, naukowych i medycznych (ISM).

Sieciom WLAN przypisano także fale radiowe z zakresów: 902-908 MHz, 5, 5.8-5.96 oraz 18-19 GHz.

• dostęp do nośnika: CSMA/CD, minimalne opóźnienie propagacji pomiędzy wysłaniem dwóch kolejnych ramek, losowy odstęp antykolizyjny pomiędzy dwiema wysyłanymi ramkami

• szybkość:

• 1, 2 Mb/s (DSSS, FHSS, IEEE 802.11)

• 1, 2, 5.5, 11 Mb/s (DSSS, IEEE 802.11b)

• 11, 54 Mb/s (DSSS, IEEE 802.11g)

przepływność maleje z odległością

• tryby pracy: infrastrukturalny BSS (Basic Service Set) i ESS (Extended Service Set) (punkt lub punkty dostępowe), ad hoc (IBSS Independent Basic Service Set)

Techniki PLC (PowerLine Communications)

Techniki PLC służą do przesyłania informacji za pośrednictwem tych samych przewodów, którymi do budynków dostarcza się energię elektryczną. Na prąd o niskim napięciu i częstotliwości 50 Hz nakłada się wysokoczęstotliwościowy sygnał (do 30 MHz). Techniki szerokopasmowe umożliwiają szybki dostęp do Internetu.

• zalety: nie trzeba inwestować w budowę okablowania

• wady: emitowanie zakłóceń do środowiska i niedokończony proces normalizacyjny

System Ascom PLC:

• kontroler zewnętrzny łączący komórkę PLC z siecią szkieletową

• adapter wewnętrzny jest modemem użytkownika końcowego

• ochronę abonentów uzyskuje się wykorzystując technologię VLAN (IEEE 802.1q), gdzie każdy użytkownik ma przypisany oddzielny identyfikator VLAN

• dane użytkowników są szyfrowane (RC4 Rivest Cipher 4) w połączeniu z wymianą kluczy

• szybkość rzędu kilku Mb/s

Binarne schematy kodowania:

• MLT3 (Multi-Level Threshold-3): 3 level amplitude (-1.0, 0, +1 volts); 0 = no transition, 1= transition to next level in cycle (for Fast Ethernet 100Base-TX)

• | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0

• +1 |---|---|

• | | |

• 0 |---| | |---|---|---|--- MLT-3

• |

• -1 ---|

• Mechester differential: always a transition in the middle of a cycle; 0=transition at a begining of the interval, 1=no transition at a begining of the interval

• | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0 |

• +1

• |---| |-| |---| |-| |-| |-|

• 0 | | | | | | | | | | | | Manchester differential

• --| |---| |-| |-| |-| |-| |--

• -1

• Tx(+): (Tx=transmit) 0=begin high, transition to low in the middle 1=begin low, transition to high in the middle

• | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0 |

• +1

• |-| |-| |---| |---| |-| |-|

• 0 | | | | | | | | | | | | Tx(+)

• --| |-| |-| |---| |_| |-| |-

• -1

• NRZ-L (Non-Return to Zero-Level) 0=low, 1=high

• | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0 |

• +1 -----------| |---|

• | | |

• 0 | | | NRZ-L

• | | |

• -1 |---| |------------

Topologie sieci ethernetowej

• topologia magistrali

• topologia gwiazdy

• topologia rozszerzonej gwiazdy

• topologia hierarchiczna gwiazdy

• topologia przełączana

Domena rozgłoszeniowa i domena kolizyjna.

Przy zastosowaniu topologii przełączanej następuje segmentacja domeny kolizyjnej (mikrosegmentacja).

Czynniki wpływające na wydajność lokalnej sieci Ethernet/802.3

• rozgłaszanie ramek

• metoda dostępu CSMA/CD ograniczająca transmisję do jednej stacji na raz

• zatory w sieci spowodowane zapotrzebowaniem na większe pasmo aplikacji multimedialnych

• standardowe opóźnienia wynikające ze skończonego czasu propagacji i przechodzenia ramek przez urządzenia sieciowe

rozmiar pakietu (B)	czas transmisji (msek)
64	51.2
512	410
1000	800
1518	1214
Dla sieci 10Base-T czas transmisji 1 b wynosi 100 nsek.

Urządzenia sieciowe: regenerator, koncentrator

• Regenerator (wzmacniak) jest urządzeniem warstwy 1, które wzmacnia i regeneruje sygnał w sieci Ethernet. Dzięki temu możliwe staje się rozszerzenie sieci na większy obszar i obsłużenie większej liczby użytkowników.

• Zastosowanie regeneratorów powoduje zwiększenie domeny rozgłoszeniowej i domeny kolizyjnej.

• Koncentrator to wieloportowy wzmacniak (multiport repeater, hub).

Metody zwiększenia wydajności sieci Ethernet/802.3

• nadawanie dwukierunkowe (pełny dupleks)

wymagania:

• dwie pary przewodów

• NIC i urządzenia sieciowe wyposażone w możliwość transmisji dwukierunkowej

• podział sieci LAN na segmenty

wymagania:

• mosty

• routery

• przełączniki

Urządzenia sieciowe: most

• Most (bridge) jest urządzeniem sieciowym warstwy 2 łączącym dwa segmenty sieci, które wykorzystuje adresy MAC do filtrowania ramek. Most tworzy tablicę adresów zawierającą wpisy typu interfejs-MAC, dzięki czemu możliwe staje się przekazywanie ramek tylko do właściwych segmentów.

• Most jest urządzeniem typu ,,przechowaj i przekaż" (store and forward).

• Most dzieli sieć LAN na dwie domeny kolizyjne (pozostaje jedna domena rozgłoszeniowa).

Urządzenia sieciowe: przełącznik ethernetowy

• Przełącznik ethernetowy (Ethernet switch) jest wieloportowym mostem, który dzieli sieć LAN na mikrosegmenty, które tworzą bezkolizyjne domeny.

• Jeśli przełącznik nie zna segmentu docelowego ramki, to przekazuje ją do wszystkich segmentów z wyjątkiem segmentu źródłowego.

Pozostaje jedna domena rozgłoszeniowa!

• Sieć o topologii przełączanej zachowuje się tak, jakby miała tylko dwa węzły, które dzielą między siebie całe dostępne pasmo transmisyjne.

• Każde dwa komunikujące się węzły połączone są obwodem wirtualnym.

• Przełączanie symetryczne i asymetryczne.

Stosowane są dwie metody przełączania:


1. Przechowaj i przekaż (store and forward) - przed przekazaniem ramki do segmentu (portu) docelowego cała ramka jest odbierana, odczytywane są adresy źródła oraz przeznaczenia i stosowane reguły fitrowania.

Cechy:

• możliwość wykrywania błędów

• im dłuższa ramka tym większe opóźnienie


2. Przycinanie (cut-through) - po odczytaniu adresu docelowego ramka jest kierowana do docelowego portu bez oczekiwania na odebranie jej pozostałej części.

Przycinanie przyjmuje postać

• przekazywania typu szybkie przełączanie (fast forward) - natychmiastowe przekazywanie ramki po otrzymaniu adresu docelowego (możliwość przekazywania błędnych ramek)

• przełączania bez fragmentacji (fragment free) - przed przekazywaniem odfiltrowywane są fragmenty powodujące kolizje (krótsze niż 64 bajty)

Cechy:

• słaba wykrywalność błędów

• zmniejszone opóźnienia transmisji

Urządzenia sieciowe: router

• Router jest urządzeniem sieciowym warstwy 3 łączącym dwa lub więcej segmentów lokalnej sieci komputerowej, kilka sieci LAN (lub WAN). Router przekazuje (trasuje) pakiety wykorzystując adresy warstwy 3. i tablicę routingu. Tabela routingu jest budowana w oparciu o jedną lub wiele metryk w celu ustalenia optymalnej ścieżki dla ruchu sieciowego.

• Router dzieli sieć LAN na oddzielne domeny kolizyjne i rozgłoszeniowe.

• Router wprowadza większe opóźnienia w ruchu pakietów niż koncentratory i przełączniki.

• Router tworzy tablicę routing dzięki wymianie informacji z innymi routerami przy wykorzystaniu protokołów trasowania.

Protokół trasowany/routowalny (routed protocol) to dowolny protokół sieciowy, który może być trasowany/routowany przez router i który dostarcza schematu adresowania pozwalającego na dostarczanie pakietów od jednego hosta do drugiego. Protokóły IP i IPX są przykładami protokołów trasowanych/routowalnych.

Protokół trasowania/routingu (routing protocol) to protokół obsługujacy protokoły trasowane poprzez dostarczanie mechanizmów umożliwiających wymianę informacji między routerami i wybór trasy pakietów. Do protokołów routing zaliczamy takie protokoły jak Routing Information Protocol (RIP), Interior Gateway Routing Protocol (IGRP), Enhanced IGRP, Open Shortest Path First (OSPF).

Urządzenia sieciowe: przełącznik warstwy 3.

W 1992 roku firma 3Com rozpoczęła scalanie produkowanych przez siebie przełączników i routerów (cel: zmniejszenie liczby urządzeń sieciowych, którymi trzeba zarządzać i obniżenie kosztów).

Generation	Technology	Product	Routing Performance
First	Software	LANplex(R) 5000 switch	50K pps
Second	ISE ASIC	CoreBuilder 2500, 6000 switch	100K-1.1Mpps
Third (1997)	FIRE ASIC	CoreBuilder 3500, 9000 switch	3.5M-64M pps
wg R.Ciampa, Layer 3 switching, 3Com documentation

ASIC Application Specific Integrated Circuit
FIRE Flexible Intelligent Routing Engine
ISE Intelligent Switching Engine

Urządzenia sieciowe: przełącznik warstwy 3.

Przełącznik warstwy 3. wykonuje swoje funkcje przekazywania pakietów na poziomie warstwy 2 i 3, pakietów uni- i multicastowych oraz rozgłoszeniowych sprzętowo, a nie programowo (jak tradycyjne routery).

Programowo obsługiwane jest administrowanie siecią, zarządzanie tabelami, obsługa wyjątków.

Sprzętowo implementowana jest polityka przekazywania pakietów pod względem:

• bezpieczeństwa

• równoważenia obciążenia

• rodzaju protokołów

• przydziału pasma i sterowanie przepływem (QoS, Quality Of Service)

• priorytetyzowania pakietów (CoS, Class Of Service)

• numerów portów protokołów TCP/UDP (Layer 4 switching)

Przełącznik warstwy 3. jest routerem, gdyż:

• wyznacza trasę w oparciu o informację z nagłówka pakietu warstwy 3.

• potwierdza ważność pakietu warstwy 3. w oparciu o sumę kontrolną nagłówka

• sprawdza i aktualizuje pole TTL

• odczytuje i reaguje na zawarte w nagłówku pakietu opcje

• uaktualnia statystyki przekazywanych pakietów w bazie informacji zarządzania (MIB Management Information Base)

• komunikuje się z innymi routerami poprzez protokoły RIP, OSPF, itp.

Przełączniki warstwy 3. nadają się dobrze do jednoczesnego przekazywania zwykłych danych oraz strumieni audio/wideo.

Routery są niezbędne do podłączenia sieci korporacyjnej do sieci WAN.

Urządzenia sieciowe: przełącznik warstwy 3. kontra router

Characteristic	Layer 3 Switch	Legacy Router
Routes core LAN protocols:
IP, IPX, AppleTalk	Yes	Yes
Subnet definition	Layer 2 switch domain	Port
Forwarding architecture	Hardware	Software
RMON support	Yes	No
Price	Low	High
Forwarding performance	High	Low
Policy performance	High	Low
WAN support	No	Yes
wg R.Ciampa, Layer 3 switching, 3Com documentation

Współczesny model sieci versus OSI i TCP/IP

warstwa aplikacji

(7)

warstwa prezentacji

(6)

warstwa sesji

(5)

przełączania

interfejsu

warstwa łącza danych

(2)

warstwa fizyczna

(1)

model współczesny	model OSI			model TCP/IP
aplikacji			(4)	aplikacji
transportowa	warstwa transportowa	(4)	(3)	transportowa
routowania	warstwa sieciowa	(3)	(2)	Internet
			(1)	dostępu do sieci

Urządzenia sieciowe: przełącznik ethernetowy 3Com 3300

• obsługa kilkunastu tysięcy adresów MAC

• automatyczny wybór prędkości transmisji (auto-sensing) portu w zależności od rodzaju przyłączonego urządzenia sieciowego

• możliwość tworzenia wirtualnych LAN-ów (Virtual LAN) oraz wykorzystanie FastIP do przyspieszenia komunikacji pomiędzy VLAN-ami.

• możliwość traktowania wielu równoległych połączeń jako jednego (port trunking)

• możliwość tworzenia zapasowych połączeń (resilient links) i podwójnych ścieżek w ramach protokołu częściowego drzewa (STP, Spanning Tree Protocol, IEEE 802.1d)

• sterowanie przepływem poprzez zastosowanie trybu pełnego dupleksu (IEEE 802.3x) oraz zastosownie Intelligent Flow Managment dla trybu półdupleksowego.

• obsługa znakowania wg IEEE 802.1q

• możliwość priorytetyzowania ruchu poprzez zastosowanie ośmiu kolejek (IEEE 802.1p); poprawa wydajność sieci multimedialnych

• filtrowanie pakietów multicastowych w oparciu o system IEEE 802.1p, który korzysta z GMRP (GARP Muticast Registration Protocol) oraz IGMP (Internet Group Management Protocol)

• zarządzanie kilkoma przełącznikami zestawionymi w stos jak pojedynczym urządzeniem

• zarządzanie i kontrolowanie całej sieci z jednego stanowiska

• kontrolowanie i konfigurowanie urządzenia za pomocą CLI, przeglądarki www, protokołu SNMP (Simple Network Management Protocol) oraz RMON-u (Remote Monitoring)

Wirtualne sieci lokalne (VLAN)

W typowej sieci LAN użytkownicy są grupowani w oparciu o ich położenie względem koncentratora. Użytkownicy (zwykle) różnych kategorii walczą o pasmo, dostęp do routera i sieci szkieletowej.

• Wirtualne sieci lokalne (Virtual LANs) pozwalają na grupowanie użytkowników podług ich przynależności organizacyjnej, pełnionej funkcji, wydziału, potrzeb, itp. niezależnie od położenia ich segmentu fizycznego.

• Sieci VLAN dokonują logicznego podziału fizycznej infrastruktury sieci lokalnej na różne podsieci (domeny rozgłoszeniowe).

• Sieci VLAN działają na poziomie warstwy 2 i 3 modelu OSI.

• Komunikacja między sieciami VLAN zapewniona jest prze routing warstwy 3.

• Użytkownicy są przypisywani do sieci VLAN przez administratora.

• Przekazywanie ramek poprzez sieć szkieletową wymaga ich znakowania poprzez umieszczenie w nagłówku ramki unikatowego identyfikatora (IEEE 802.1q)

• Rodzaje sieci VLAN:

1. bazujące na portach - wszystkie węzły tej samej sieci VLAN przypisane są do jednego portu przełącznika

2. statyczne - porty przełącznika są ręcznie przypisywane do określonych sieci VLAN

3. dynamiczne - porty przełącznika dokonują automatycznego wyboru sieci VLAN w oparciu o adres MAC, adres logiczny lub typ protokołu wykorzystywanego przez pakiety danych.

Zalety sieci VLAN:

• ograniczenie domen rozgłoszeniowych

• zwiększenie bezpieczeństwa poprzez separację użytkowników

• łatwość obsługi przemieszczających się użytkowników

• mniej zmian w okablowaniu i konfiguracji

• brak konieczności rekonfiguracji routerów

Protokół częściowego drzewa (STP, Spanning Tree Protocol)

STP umożliwia użycie podwójnych dróg na potrzeby ruchu sieciowego i wykorzystuje schemat wykrywania pętli w sieci w celu:

• wyznaczenia efektywności każdej z dróg

• uaktywnienia najlepszej drogi

• zdezaktywowania wszystkich mniej efektywnych połączeń

• uaktywnienie jednej z mniej efektywnych dróg, w przypadku awarii najlepszego połączenia

• komunikacja pomiędzy przełącznikami odbywa się poprzez wymianę BDPU (Bridge Protocol Data Unit)

Konfiguracja urządzeń sieciowych

Komenda: ifconfig

atm0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:172.16.3.6 Mask:255.255.255.252

UP RUNNING MTU:4470 Metric:1

RX packets:2147483647 errors:0 dropped:0 overruns:0 frame:0

TX packets:2147483647 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

eth1 Link encap:Ethernet HWaddr 00:30:48:21:A3:8B

inet addr:158.75.5.47 Bcast:158.75.5.255 Mask:255.255.254.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:84502524 errors:0 dropped:0 overruns:36 frame:0

TX packets:109005454 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:1377116795 (1313.3 Mb) TX bytes:3059594632 (2917.8 Mb)

Interrupt:16 Base address:0xf000

wartości MTU: 576 (wartość domyślna), 1500 (PPP, Ethernet), 1006 (SLIP)

netstat -s

Ip:

86788548 total packets received

10797 with invalid headers

1190614 forwarded

0 incoming packets discarded

85255000 incoming packets delivered

87084335 requests sent out

5210 outgoing packets dropped

60 fragments dropped after timeout

1581243 reassemblies required

269808 packets reassembled ok

90 packet reassembles failed

470668 fragments received ok

12 fragments created

Icmp:

229379 ICMP messages received

256 input ICMP message failed.

ICMP input histogram:

destination unreachable: 147755

timeout in transit: 3064

source quenches: 186

redirects: 297

echo requests: 64202

echo replies: 13765

141288 ICMP messages sent

0 ICMP messages failed

ICMP output histogram:

destination unreachable: 76983

time exceeded: 3

redirect: 100

echo replies: 64202

Tcp:

34830 active connections openings

1144833 passive connection openings

80 failed connection attempts

34841 connection resets received

76 connections established

66956592 segments received

73322112 segments send out

568095 segments retransmited

466 bad segments received.

25702 resets sent

Udp:

17397316 packets received

74955 packets to unknown port received.

481739 packet receive errors

12428262 packets sent

TcpExt:

7852 resets received for embryonic SYN_RECV sockets

4775 packets pruned from receive queue because of socket buffer overrun

105 ICMP packets dropped because they were out-of-window

290 ICMP packets dropped because socket was locked

ArpFilter: 0

976581 TCP sockets finished time wait in fast timer

25 time wait sockets recycled by time stamp

4219 packets rejects in established connections because of timestamp

952628 delayed acks sent

26144 delayed acks further delayed because of locked socket

Quick ack mode was activated 9580 times

2354642 packets directly queued to recvmsg prequeue.

32499426 packets directly received from backlog

2369972520 packets directly received from prequeue

26102417 packets header predicted

2273679 packets header predicted and directly queued to user

TCPPureAcks: 10252132

TCPHPAcks: 30771454

TCPRenoRecovery: 2540

TCPSackRecovery: 112655

TCPSACKReneging: 20

TCPFACKReorder: 1560

TCPSACKReorder: 511

TCPRenoReorder: 137

TCPTSReorder: 2209

TCPFullUndo: 2429

TCPPartialUndo: 11775

TCPDSACKUndo: 139

TCPLossUndo: 3853

TCPLoss: 79605

TCPLostRetransmit: 106

TCPRenoFailures: 943

TCPSackFailures: 35356

TCPLossFailures: 15088

TCPFastRetrans: 192685

TCPForwardRetrans: 17804

TCPSlowStartRetrans: 164048

TCPTimeouts: 71920

TCPRenoRecoveryFail: 757

TCPSackRecoveryFail: 32148

TCPSchedulerFailed: 282

TCPRcvCollapsed: 348308

TCPDSACKOldSent: 9989

TCPDSACKOfoSent: 135

TCPDSACKRecv: 86111

TCPDSACKOfoRecv: 266

TCPAbortOnSyn: 5

TCPAbortOnData: 6318

TCPAbortOnClose: 9712

TCPAbortOnMemory: 0

TCPAbortOnTimeout: 2292

TCPAbortOnLinger: 0

TCPAbortFailed: 86

TCPMemoryPressures: 0

Komenda: netstat -nr
                 route -ne

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface

172.20.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

158.75.4.0 0.0.0.0 255.255.254.0 U 0 0 0 eth3

172.20.0.0 172.20.0.2 255.255.128.0 UG 0 0 0 tun0

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth3

0.0.0.0 158.75.5.190 0.0.0.0 UG 0 0 0 eth3

Komenda: route -ee

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface MSS Window irtt

172.20.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 0 0 0

158.75.4.0 0.0.0.0 255.255.254.0 U 0 0 0 eth3 0 0 0

172.20.0.0 172.20.0.2 255.255.128.0 UG 0 0 0 tun0 0 0 0

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth3 0 0 0

0.0.0.0 158.75.5.190 0.0.0.0 UG 0 0 0 eth3 0 0 0

Analiza ruchu sieciowego: tcpdump

NAME

tcpdump - dump traffic on a network

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -U user ] [ -w file ]

[ -E algo:secret ] [ expression ]

DESCRIPTION

Tcpdump prints out the headers of packets on a network

interface that match the boolean expression.

Analiza ruchu sieciowego: ethereal

NAME

ethereal - Interactively browse network traffic

SYNOPSYS

ethereal [ -a capture autostop condition ] ... [ -b num-

ber of ring buffer files ] [ -B byte view height ] [ -c count ]

...

DESCRIPTION

Ethereal is a GUI network protocol analyzer. It lets you

interactively browse packet data from a live network or from a

previously saved cap- ture file. Ethereal's native capture

file format is libpcap format,

Standardy EIA/TIA-568B

Instalacja sieciowa powinno być wykonane zgodnie z normami
EIA/TIA-568B, które określają sposób wykonania okablowania:

• poziomego

• węzłów dystrybucyjnych

• szkieletowego

• pomieszczeń zawierających urządzenia sieciowe

• miejsc pracy i urządzeń wejściowych

EIA Electronics Industry Association Towarzystwo Przemysłu Elektronicznego
TIA Telecommunications Industry Association Towarzystwo Przemysłu Telekomunikacyjnego

Okablowanie poziome łączy każde gniazdo telekomunikacyjne z poziomym punktem dystrybucyjnym (krosownicą).

Rodzaje przewodów:

• UTP (Unshielded Twisted Pair): max. długość segmentu 3+90+6 (3m kabel od urządzenia sieciowego do gniazda, 90m od gniazda telekomunikacyjnego do krosownicy, 6m kable połączeniowe w węźle dystrybucyjnym)

4 pary przewodów:

para #1

biało-niebieska/niebieska

para #2

biało-pomarańczowa/pomarańczowa

para #3

biało-zielona/zielona

para #4

biało-brązowa/brązowa

• RG58A/U (kabel koncentryczny): 50 , max. długość segmentu 185m, max. liczba węzłów 30

• kabel światłowodowy wielomodowy (62.4/125 m)

Wtyk RJ-45

-----------------------------

| |

| - ---------- |

| | | | | 1 --- |

| | | | | 2 --- |

-------| | | | | 3 --- |

| | | | | 4 --- |

| | | | | 5 --- |

-------| | | | | 6 --- |

| | | | | 7 --- |

| | | | | 8 --- |

| - ---------- |

| |

-----------------------------

Uwaga: złote styki u góry, języczek u dołu

Kabel prosty

DTE

568B (RJ-45)

568B (RJ-45)

DCE

1

N+

biało-pomarańczowy

1 -- > 1

biało-pomarańczowy

O+

1

2

N-

pomarańczowy

2 -- > 2

pomarańczowy

O-

2

3

O+

biało-zielony

3 -- > 3

biało-zielony

N+

3

4

niebieski

4 -- > 4

niebieski

4

5

biało-niebieski

5 -- > 5

biało-niebieski

5

6

O-

zielony

6 -- > 6

zielony

N-

6

7

biało-brązowy

7 -- > 7

biało-brązowy

7

8

brązowy

8 -- > 8

brązowy

8




DCE (Data Communications Equipment) urządzenie końcowe łącza teleinformatycznego
DTE (Data Terminal Equipment) terminal teleinformatyczny

DCE vs DTE

• DCE (Data Communications Equipment, Data Circuit-terminating Equipment) urządzenie końcowe łącza teleinformatycznego, czyli urządzenie teleinformatyczne, które przekazuje (,,komunikuje") sygnały wytwarzane przez inne urządzenia (modemy, routery, porty MDI-X koncentratora)

odpowiednikiem ethernetowym DCE jest IEA/TIA 568A

• DTE (Data Terminal Equipment) terminal teleinformatyczny - urządzenie teleinformatyczne, które samo generuje lub otrzymuje przekazywane do niego sygnały (interfejsy sieciowe komputerów, routery, porty MDI koncentratora)

odpowiednikiem ethernetowym DTE jest IEA/TIA 568B



MDI (Media Dependent Interface)
MDI-X (Media Dependent Interface Cross-over)

Kabel skrośny

DTE

568B (RJ-45)

568A (RJ-45)

DTE

1

N+

biało-pomarańczowy

1 -- > 3

biało-zielony

N+

1

2

N-

pomarańczowy

2 -- > 6

zielony

N-

2

3

O+

biało-zielony

3 -- > 1

biało-pomarańczowy

O+

3

4

niebieski

4 -- > 4

niebieski

4

5

biało-niebieski

5 -- > 5

biało-niebieski

5

6

O-

zielony

6 -- > 2

pomarańczowy

O-

6

7

biało-brązowy

7 -- > 7

biało-brązowy

7

8

brązowy

8 -- > 8

brązowy

8




Kabel skrośny (null modem cable) - kabel potrzebny do połączenia dwóch identycznych urządzeń ze sobą

Zalety okablowania UTP

• łatwość instalacji (korytka, gniazdka i wtyki RJ45, panele montażowe, szafy dystrybucyjne)

• łatwość rozbudowy

• odporność na zakłócenia

• łatwość lokalizowania i usuwania awarii sieci

Węzeł dystrybucyjny (wiring closet):

• wydzielone miejscem w budynku, które służy do łączenia okablowania przenoszącego dane i głos

• centralny punkt łączący urządzenia sieci LAN w topologii gwiazdy

• ściany wyłożone sklejką o grubości 20mm (w odległości 30mm od ściany) i pokryte farbą ognioodporną

• wyposażenie: panele montażowe (patch panel), koncentratory, przełączniki, routery, POP (Point of Presence)

• liczba: na każde 1000m² powierzchni przypada jeden węzeł dystrybucyjny

Sieć o topologii rozszerzonej gwiazdy wymaga

• głównego węzeła dystrybucyjnego (MDF, Main Distribution Facility)

• pośrednich węzłów dystrybucyjnych (IDF, Intermediate Distribution Facility)

Okablowanie szkieletowe łączy węzły dystrybucyjne w topologii rozszerzonej gwiazdy i obejmuje

• okablowanie pionowe (pomiędzy węzłami na różnych piętrach)

• okablowanie pomiędzy MDF i POP,

• okablowanie pomiędzy budynkami

Typy mediów sieciowych:

• UTP 100 

• STP 150 

• światłowód wielomodowy 62.5/125m

• światłowód jednomodowy

Jakość wykonania instalacji

Standardy IEEE i EIA/TIA-568B określają sposób testowania sieci po zakończeniu instalacji.

Testery okablowania wyznaczają:

• długość okablowania

• położenie wadliwych połączeń (skrzyżowane pary)

• poziomy tłumienności

• poziomy przesłuchu zbliżnego (NEXT Near-End CrossTalk)

• poziomy zakłóceń

• położenie kabli w ścianach

Jakość wykonania instalacji (tester połączeń)

Tester okablowania wyznacza tzw. mapę połączeń. Połączenia mogą być

• otwarte - brak połączeń pomiędzy pinami na obu końcach kabla

• zwarte - pomiędzy dwiema lub większą liczbą linii występuje zwarcie

• skrzyżowana para - para podłączona do dwóch różnych pinów na obu końcach (np. para pierwsza jest podłączona do pinów 4/5 z jednej strony i 1/2 z drugiej)

• odwrócona para (odwrócona polaryzacja) - dwie linie pary są podłączone do odwrotnych pinów z każdej strony kabla (linia podłączona do pinu 1 na jednym końcu jest przyłączona do pinu 2 na drugim końcu kabla)

• rozszczepiona para - jedna linia z każdej z dwóch par jest podłączona tak, jakby stanowiła część jednej pary przewodów

Urządzenia LAN:

• warstwa 1:

• wieloportowy wzmacniak (multiport repeater), koncentrator sieciowy (hub)

• stackable hub

• dual-speed hub

• nadbiornik (transceiver=transmitter-receiver)

• warstwa 2:

• most (bridge)

• przełącznik (switch) ethernetowy (wieloportowy most)

• warstwa 3:

• router (router)

• przełącznik warstwy 3.

Zasada 5-4-3-2-1 łączenia urządzeń sieci Ethernet 10Base-T:

1. jest tylko 5 segmentów pomiędzy każdymi dwoma węzłami

2. są tylko 4 wzmacniaki pomiędzy każdymi dwoma węzłami

3. są tylko 3 segmenty, które służą do podłączania węzłów

4. są dwa segmenty, które nie mogą służyć do podłączania węzłów

5. jest jedna domena kolizyjna, w której mogą być co najwyżej 1024 węzły

Zasady łączenia urządzeń Fast Ethernet 100Base-TX

patrz http://www.surecom-net.com/support/faq/faq-hubs.htm#q01

Legenda:

[p] : PC; the terminal nodes

[1] : 100 Base-TX Class I Repeater

[2] : 100 Base-TX Class II Repeater

[1/2] : 100 Base-TX Class I or Class II Repeater

[S] : 10 Base-T/100 Base-TX Switch

----- : TX cable (Twisted Pairs cable)

(Cat. 5 UTP/STP cable for 100 Base-TX,

Cat. 3, 4, or 5 UTP/STP cable for 10 Base-T.)

===== : FX cable (Half Duplex),

<===> : FX cable (Full Duplex) Multi-mode Fiber cable (62.5/125)

<- CD ->: Collision Domain

Zasady łączenia urządzeń Fast Ethernet 100Base-TX

100m 100m

[p]------------------------[1/2]-------------------------[p]

|<------------------------ CD 1 ------------------------>|

100m 5m 100m

[p]---------------------[2]------[2]---------------------[p]

|<------------------------ CD 1 ------------------------>|

100m 100m 100m

[p]---------------[S]------------------[S]---------------[p]

|<---- CD 1 ---->| |<---- CD 2 ---->|

100m 100m 100m 100m

[p]----------[1/2]---------[S]----------[1/2]------------[p]

|<--------- CD 1 --------->|<---------- CD 2 ----------->|

Zasady łączenia urządzeń 100Base-TX i 100Base-FX

(2) 100m 160m 100m 100m

[p]-------------[1]=======[S]-----------[1/2]------------[p]

|<---------- CD 1 --------->|<----------- CD 2 -------->|

(3) 100m 208m 100m 100m

[p]-------------[2]=======[S]-----------[1/2]------------[p]

|<----------- CD 1 --------->|<-------- CD 2 ----------->|

(4) 100m 412m 100m

[p]--------------[S]====================[S]--------------[p]

|<---- CD 1 ---->| |<---- CD 2 ---->|

(5). 100m 2000m 100m

[p]--------------[S]<==================>[S]--------------[p]

|<---- CD 1 ---->| |<---- CD 2 ---->|

Rodzaje sieci

• LAN (Local Area Network) - lokalna sieć komunikacyjna obejmująca niewielki obszar geograficzny i umożliwiająca szybki i szerokopasmowy dostęp do lokalnych serwerów. LAN może także umożliwiać hostom dostęp do zasobów sieci rozległej (WAN).

Urządzenia LAN: komputery, serwery, drukarki sieciowe, koncentratory, mosty, przełączniki, routery.

• WAN (Wide Area Network) - rozległa sieć komunikacyjna obejmująca swoim zasięgiem rozległy obszar geograficzny i umożliwiająca LAN-om łączność poprzez komutowane lub dedykowane łącza. Technologie WAN funkcjonują w warstwach 1-3 modelu OSI.

Urządzenia WAN: routery, przełączniki, serwery telekomunikacyjne (dial-up), modemy, urządzenia CSU/DSU

CSU (Channel Service Unit) jednostka obsługi kanału
DSU (Data Service Unit) jednostka obsługi danych

Technologie WAN i model OSI

WAN protocols					OSI layers
X.25 PLP					Network layer
LAPB	Frame	HDLC	PPP	SDLC	Data Link layer
	Relay
	EIA/TIA-232
X.21bis	EIA/TIA-449				Physical layer
	V24, V25
	HSSI, G.703
	EIA-530

HDLC (High-level Data Link Control) wysokopoziomowe sterowanie łączem danych
PPP (Point-to-Point Protocol) protokół transmisji bezpośredniej
LAPB (Link Access Procedure Balanced)
PLP (Packet Level Protocol)
SDLC (Synchronous Data Link Control) sterowanie synchronicznym łączem danych
Frame Relay tranzyt (przekaz) ramek

Technlogie WAN

• komutowanie obwodów (Circuit Switching)

• tradycyjna telefonia (POTS, Plain Old Telephone Service)

• ISDN (Integrated Services Digital Network) cyfrowa sieć usług zintegrowanych

• sieci Switched 56

• komutowanie pakietów (Packet Switching)

• X.25

• Frame-Relay tranzyt ramek

• komutowanie komórek (Cell Switching)

• ATM (Asynchronous Transfer Mode) tryb przesyłania asynchronicznego

• SMDS (Switched Multimegabit Data Service)

Standardy sygnałów cyfrowych

Linie dzierżawione umożliwiają przesyłanie danych w zgodzie ze standardowymi schematami transmisyjnymi. Schematy te określają szybkość transmisji i rodzaje nośników, formaty ramek i metody multipleksowania.

Standardy sygnałów cyfrowych ANSI (DSH Digital Sygnal Hierarchy)

St. sygnałów cyfr.

Szerokość pasma

Liczba kanałów głosowych

DS-0

64 Kb/s

1

DS-1

1.544 Mb/s

24

DS-1C

3.152 Mb/s

48

DS-2

6.312 Mb/s

96

DS-3

44.736 Mb/s

672

DS-4

274.176 Mb/s

4032




Standardy DS zostały zastosowane w systemach telefonicznych pod nazwą systemu T-Carrier. Standardowi DS-1 odpowiadają obwody transmisyjne T-1, a DS-3 - T3.

Standardy sygnałów cyfrowych ITU

St. sygnałów cyfr.

Szerokość pasma

Liczba kanałów głosowych

CEPT-1

2.048 Mb/s

30

CEPT-2

8.448 Mb/s

120

CEPT-3

34.368 Mb/s

480

CEPT-4

139.264 Mb/s

1920

CEPT-5

565.148 Mb/s

7680




Standard CEPT-1 realizują (w Europie) urządzenia transmisyjne E-1, a CEPT-3 - E-3.

Szerokość CEPT-1 wynosi 32 kanały głosowe. 2 wolne kanały są wykorzystywane do celów synchronizacji i sygnalizowania. ANSI narzuca umieszczanie impulsów czasowych i ramek w każdym kanale, redukując dostępną szerokość pasma w stosunku do podawanej szybkości transmisji.

SONET (Synchronous Optical NETwork) synchroniczna sieć optyczna, czyli szereg systemów transmisyjnych opartych na technologii optycznej, które zapewniają współpracę między systemami przyłączania różnych producentów oraz systemów o różnej pojemności i szybkości działania (norma ANSI).

Standard SONET obsługuje dwa systemy transmisji:

• system nośników optycznych (OC Optical Carrier)

• system sygnałów transportu synchronicznego (STS Synchronous Transport Signal) na nośnikach miedzianych

zachodzi odpowiedniość: OC-n - STS-n

SDH (Synchronous Digital Hierarchy) - standard ITU (podobny do SONET-u), który definiuje szybkości i formaty danych przesyłanych przez włókna światłowodowe. STM-1 (Synchronous Transport Module) jest podstawową szybkością równą 155.52Mb/s.

Linia nośnika opt.

Szerokość pasma

Liczba kanałów DS-1

Odp. STM

OC-1

51.84 Mb/s

28

OC-3

155.52 Mb/s

84

STM-1

OC-9?

466.56 Mb/s

252

OC-12

622.08 Mb/s

336

STM-4

OC-18?

933.12 Mb/s

504

OC-24?

1.244 Gb/s

672

OC-36?

1.866 Gb/s

1008

OC-48

2.488 Gb/s

1344

STM-16

OC-96?

4.976 Gb/s

2688

OC-192

9.952 Gb/s

5376

STM-64




DWDM (Dense Wavelength Division Multiplexing) - multipleksacja z gęstym podziałem falowym, technika umożliwiaja utworzenie w obrębie jednego włókna światłowodowego dziesiątków, a nawet setek odrębnych kanałów transmisji danych OC-48.

Systemy przenoszenia sygnałów

T-1 i T-3 - schemat transmisji danych w sieciach rozległych odpowiadające standardom DS-1 i DS-3

• system wprowadzony przez Bell System w latach 1960.

• przenoszenie dźwięku (100 Hz-4 kHz) w postaci cyfrowej

• modulacja impulsowa (PCM Pulse Code Modulation) i multipleksacja czasowa

• linia T-1 o przepustowości 1.544Mb/s składa się z 24 kanałów 64 kb/s; format ramki - D-4 (także ESF, Extended Super Frame); kodowanie B8ZS (Bipolar with 8-Zeros Substitution bipolarna substytucja ośmiozerowa)

maksymalna przepustowość wynika z częstotliwości próbkowania: 24 kanały są próbkowane 8000 razy na sekundę (każdy przy pomocy 8. bitowego słowa) i przesyłane w ramce o długości 192 bitów plus jeden bit rozdzielający ramki (192×8000+8000=1544000)

• skrętka dwuparowa, włókna światłowodowe, fale radiowe

E-1 i E-3 - schemat transmisji danych w sieciach rozległych używany w Europie, dane przenoszone z szybkością 2.048 i 34.368 Mb/s (wg CEPT-1 i CEPT-3) i stanowi odpowiednik schematów T-1 i T-3

The E1 frame is made up of 32 x 8 bit slots making a 256 bit frame. The coding scheme used is called High-density Bipolar with 3-zeros (HDB3) and the error checking used is called Cyclic Redundancy Check with level 4 checking (CRC-4).

Komutowanie obwodów (Circuit Switching)

POTS:

• połączeniowo zorientowane; przed przesłaniem danych musi nastąpić nawiązanie połączenia (zestawienie kanału)

• zestawiony kanał pozostaje niezmieniony w czasie trwania połączenia (stałe pasmo)

• sygnał jest przesyłany z szybkością ,,drutów"

• brak korekcji błędów

Switched 56:

• wdzwaniane (dial-up) połączenie LAN-LAN; z obu stron potrzebne urządzenia CSU/DSU

• szybkość 56 Kb/s

• koszt zależny od czasu połączenia

• technologia zanikająca

ISDN (Integrated Services Digital Network) - sieć cyfrowa usług zintegrowanych

• tryb podstawowy BRA 2B+D (Base Rate User Access):

• dwa kanały B (Bearer Channel) po 64 kb/s do transmisji danych; dwa kanały B mogą być używane jako jeden kanał o przepustowości 128 kb/s

• kanał D (16 kb/s) do przesyłania informacji sterujących

Całkowita przepustowość łącza podstawowego wynosi 144 kb/s.

• tryb rozszerzony PRA 30B+D (Primary Rate User Access)

• 30 kanałów B (64 kb/s)

• jeden kanał D (64 kb/s)

Całkowita przepustowość 1920 kb/s.

Do łącza ISDN można podłączyć maksymalnie 8 urządzeń abonenckich (terminali), czyli telefonów, faksów, komputerów.

Komutowanie pakietów (Packet Switching)

X.25:

• standard ITU-T określający sposób podłączania terminali do cyfrowych sieci publicznych typu PDN (Privite Data Networks)

• standard określający protokół warstwy łącza danych (HDLC) LAPB (Link Access Procedure, Balanced) oraz protokół warstwy sieci PLP (Packet Level Protocol); trasa pakietu jest wyznaczana dynamicznie przez urządzenia (przełączniki) sieciowe

• mechanizmy kontroli błędów (linie telefoniczne nie zapewniają wysokiej jakości przesyłania sygnałów)

• podłączenie wymaga urządzeń DTE (po stronie użytkownika) i DCE (po stronie dostawcy) oraz urządzeń PAD (Packet Assembler/Disassembler)

• szybkość 64 kb/s (nowsze wersje - do 2 Mb/s)

HDLC LAPB

• protokół warstwy 2. modelu OSI

• zapewnia bezbłędne (CRC) i we właściwej kolejności przekazywanie danych pomiędzy węzłami sieci

• zapewnia sterowanie przepływem (m.in. dzięki wykorzystaniu okna ramek)

• bitowo zorientowany, synchroniczny protokól dla równorzędnych (peer-to-peer) transmisji punkt-punkt, połączenie w trybie pełnego dupleksu

• trzy rodzaje ramek:

• ramki informacyjne do przenoszenia danych poprzez sieć i enkapsulacji wyższych warstw architektury OSI

• ramki nadzorcze umożliwiające sterowanie przepływem i usuwanie błędów

• ramki nienumerowane służące do inicjowania i kończenia połączeń

HDLC NRM (HDLC Normal Response Mode)

• protokół będący częścią SNA (System Network Architekture) firmy IBM, zwany także SDLC (Synchronous Data Link Control)

• umożliwia tworzenie sieci nierównorzędnych: jedna stacja nadrzędna i jedna lub wiele stacj podrzędnych

• tryb pracy - półdupleks

Frame-Relay:

• standard określający protokół warstwy łącza danych pozwalający tworzyć sieci wykorzystujące komutowanie pakietów zmiennej długości

• umożliwia tworzenie wielu wirtualnych obwodów przy wykorzystaniu enkapsulacji HDLC (High-level Data Link Control - synchroniczny protokół warstwy łącza danych) pomiędzy połączonymi urządzeniami

• wykorzystuje PVC (Permanent Virtual Circuits) - stałe, logiczne połączenie pomiędzy urządzeniami sieciowymi użytkownika o określonej przepustowości (CIR, Committed Information Rate); brak fragmentacji i routingu (odpada wybór najlepszej trasy); gwarantowana jakość usługi (QoS, Quality of Service)

• wykorzystuje SVC (Switched Virtual Circuits) - komutowane obwody wirtualne pomiędzy urządzeniami sieciowymi użytkownika; zmienna charakterystyka wydajności (opóźnienia, fluktuacje)

• przełączniki pakietów używają metody store-and-forward do przekazywania danych; możliwe priorytetowanie pakietów (CoS, Class Of Service)

• kontrola przepływu w oparciu o bity nagłówka: DE (Discard Eligible), FECN (Forward Explicit Congestion Notification), BECN (Backward Explicit Congestion Notification)

możliwość przekraczania ustalonych szybkości przekazywania informacji


CIR  Bc   ( Committed Burst Rate)  Be   ( Excess Burst Rate)

• wymaga użycia urządzeń CSU/DSU w celu stworzenia fizycznego połączenia z siecią WAN w oparciu o dzierżawione linie cyfrowe (tradycyjne i optyczne); szybkość ≥ 56 kb/s

• wymaga zastosowania routerów do połączenia sieci LAN z WAN

• opłaty stałe (PVC) lub za przesłane pakiety (SVC)

• rozszerzonie Frame Relay o LMI (Local Management Interface) pozwala na stosowanie adresowania globalnego, tj. jednoznacznych identyfikatorów łącza danych (DLCI, Data Link Connection Identifier) w obrębie globalnej ,,chmury Frame Relay"; LMI pozwala także na stosowanie transmisji multicastingowych

• wydajniejszy od X.25, ograniczona kontrola poprawności przesyłanych danych; brak mechanizmów retransmisji ramek, błędne ramki są porzucane, punkty końcowe łącza są odpowiedzialne za powtórne przesłanie danych

• traktowany jako następca X.25

Porównanie linii dzierżawionych i Frame Relay

Linie dzierżawione

Frame Relay

Architektura oczek pełnych wymaga n(n1)/2 łączy fizycznych

Architektura oczek pełnych wymaga n(n1)/2 stałych lub komutowanych obwodów wirtualnych, ale n łączy fizycznych

Trudne i drogie dodawanie/usuwanie nowych linii

Dodawanie/usuwanie nowych połączeń wymaga tylko dodania/usunięcia obwodu wirtualnego

Mniejsza niezawodność, brak połączeń zapasowych

Większa niezawodność, połączeń zapasowych

Słabe wykorzystanie pasma

Dobre wykorzystanie pasma




Zalety sieci Frame Relay

Prywatne sieci Frame Relay:

• wykorzystanie istniejącego sprzętu sieciowego (ochrona inwestycji)

• dzięki współdzieleniu pasma lepsze wykorzystanie istniejących obwodów

• większa elastyczność i kontrola nad siecią

Publiczne sieci Frame Relay:

• zmniejszenie kosztów własności (szkieletem sieci zarządza dostawca usługi)

• duży zasięg geograficzny, tanie połączenia wielu oddalonych miejsc, możliwość dostępu wdzwanianego (dial-in)

• ułatwione współdziałanie z niezależnymi organizacjami

Komutowanie komórek (Cell Switching)

ATM (Asynchronous Transfer Mode):

• usługa bezpołączeniowa (przed przesłaniem danych nie musi następować nawiązanie połączenia, bo każda komórka zawiera adres docelowy) wykorzystująca komórki o stałej długości 53 bajtów (48 bajtów danych i 5 bajtów nagłówka)

• SVC (Switched Virtual Circuits) - komórki są routowane dynamicznie,

• PVC (Permanent Virtual Circuits) - połączenia są zestawiane ręcznie

• logiczny routing pozwala na dobre wykorzystanie zasobów sieci i dostępnej przepustowości

• logiczne obwody pozwalają na zagwarantowanie jakości usługi QoS (Quality of Service)

• przełączniki komórek używają metody store-and-forward do przekazywania danych; możliwość wykrywania błędów i priorytetowania pakietów (CoS)

• komórki przesyłane poprzez sieci LAN oraz WAN pracujące w trybie podstawowym (baseband) oraz szerokopasmowym (broadband); szybkość 155 Mb/s, 622 Mb/s lub więcej

• możliwość przesyłania głosu, obrazów, danych, sygnału wideo w czasie rzeczywistym, sygnałów audio wysokiej jakości

Komutacja komórek łączy zalety sieci z komutacją łączy (gwarantowana przepustowość) z zaletami sieci z komutacją pakietów (wydajne wykorzystaniem pasma i możliwość priorytetowania danych).

Urządzenia WAN: modemy

• Modem jest urządzeniem, które przekształca sygnały cyfrowe generowane przez komputer na sygnały analogowe, które mogą być przesyłane po linii telefonicznej oraz przekształca docierające sygnały analogowe na ich cyfrowe odpowiedniki (MOdulator/DEModulator).

• Przekształcanie sygnałów odbywa się zgodnie z protokołami modulacyjnymi i one decydują o surowej (bez kompresji) prędkości przesyłania danych.

• Organizacja ITU (International Telecommunications Union, wcze/sniej CCITT) zajmuje się standaryzacją protokołów komunikacyjnych wykorzystywanych w urządzeniach telekomunikacyjnych.

Najpopularniejsze protokoły modemowe

Protokół

Maksymalna

Sposób modulacji

szybkość (b/s)

V.22

1200 (600 b)

full-dupleks, PSK

V.22bis (1985)

2400 (600 b)

full-dupleks, QAM

V.32 (1987)

4800/9600 (2400 b)

asynch/synch, QAM

V.32bis (1992)

14400

asynch/synch, TCM

V.34 (1994)

28800

TCM

V.34+

33600

TCM

V.42 (1988)

V.32 + korekcja błędów

V.42bis

V.42 + kompresja danych (Lempel Ziv)

V.44 (2000)

standard kompresji danych dla V.92

V.90

31200(u)/56000(d)

PCM jednostronna

V.92 (2003)

48000(u)/56600(d)

PCM dwustronna

MNP (Microcom Networking Protocol)

MNP 4 + korekcja błędów oraz poprawiona szybkość transmisji (odp. V.42)

MNP 5 + korekcja błędów oraz podstawowa kompresja danych (odp. V.42bis)

PSK (Phase Shift Keying), QAM (Quadrature Amplitude Modulation), PCM (Pulse Code Modulation)




• Nowoczesne modemy są wyposażone w możliwości kompresji i korekcji przesyłanych danych

• Modemy pracujące z korekcją błędów potrafią odfiltrowywać szumy oraz ponownie przesyłać uszkodzone dane.

• Modemy nawiązujące łączność potrafią uzgodnić najwyższą możliwą prędkość przesyłania danych i stosowaną korekcję błędów.

Zalety protokołu V.92 (www.v92.com/about):

• lepsza kompresja danych (nie 4 do 1 jak w V.42bis, lecz 6 do 1 dzięki protokołowi V.44)

• przyspieszenie przeglądania stron WWW (do 120%) dzięki stosowaniu przez wiele witryn internetowych mocno skompresowanych plików html

• większa szybkość przesyłanie danych (nawet do 40%)

• ulega skróceniu do około 50% czas nawiązywania połączenia z centralą operatora telefonicznego (dzięki pamiętaniu ustawień ostatniego polączenia)

• możliwość czasowego zawieszania połączenia modemowego, aby przyjąć rozmowę telefoniczną

• zastosowanie modulacji impulsowo-kodowej (PCM)

Urządzenia WAN: xDSL

xDSL (Digital Subscriber Line) - cyfrowa linia abonencka (CLA) wykorzystująca stałe połączenie pomiędzy siedzibą klienta, a centralą operatora sieci telefonicznej, wymaga modemów z obu stron; szybkości od 16 Kb/s do 52 Mb/s zależy od odległości od centrali telefonicznej

• ISDN DSL (IDSL) - BRA (2B+D), zasięg do 6 km, Frame Relay

• Single Line DSL (SDSL) - CLA oparta na jednej parze przewodów, szybkość 768 Kb/s, zasięg 3 km, szybkość taka sama w obu kierunkach (symetryczy DSL)

• High speed DSL (HDSL) - CLA o szybkiej transmisji danych, dwie pary przewodów, szybkość od 384 Kb/s do 2 Mb/s, zasięg 4 km (1.544 Mb/s, zasięg 3.6 km)

• Symmetric DSL (SDSL) - HDSL wykorzystująca jedną parę przewodów

• Asymmetric DSL (ADSL) - asymetryczna CLA, para parzewodów, zasięg do 6 km, szybkość do 8 Mb/s z centrali do klienta (zależna od odległości), 640Kb/s od klienta do centrali

szybkość (w dół)

odległość

1.544 Mb/s

5.5 km

2.048 Mb/s

4.8 km

6.312 Mb/s

3.6 km

8.448 Mb/s

2.7 km

• 
  

• Rate Adaptive DSL (RADSL) - CLA o adaptacyjnej szybkości transmisji (rozszerzenie ADSL), która potrafi dostosować szybkość przesyłania danych do stanu łącza

• Very high data rate DSL (VDSL) - bardzo szybka CLA, zasięg 1.5 km, szybkość do 52 Mb/s z centrali do klienta, 1.5-2.3 Mb/s od klienta do centrali

Modemy kablowe

Infrastruktura kablowa CATV (Community Antenna TeleVision, CAble TV) może być wykorzystana do transmisji dwukierunkowej (tzw. kanał zwrotny), co pozwala na tani i szybki dostęp do Internetu.

Na system transmitowaniua danych przez sieć telewizji kablowej składa się

• centralny system nadawczo-odbiorczy CMTS (Cable Modem Termination System)

• modemy kablowe instalowane w mieszkaniach abonentów

Zasięg: do kilkudziesięciu kilometrów

Prędkość: 2-50 Mb/s

Parametry techniczne określają standardy DOCSIS (Data Over Cable Service Interface Specification) oraz EuroDOCSIS (odmiana europejska): wersja 1.0 z 1997 r., wersja 1.1 z 1999 r. (obecnie obowiązująca):

• transmisja danych w sieci jest pakietowa i kodowana

• współistnienie różnych usług w sieci kablowej

• bezpieczeństwo przesyłania danych

• autoryzowany dostęp

IEEE powołał w 1994 r. grupę 802.14, której zadaniem było (jest?) opracowanie międzynarodowej normy transmisji danych przez sieć telewizji kablowej.

Do transmisji modem wykorzystuje dwa kanały:

• ,,w górę" (upstream), tj. od modemu do stacji centralnej (kanał zwrotny); tym kanałem o zerokości 5-42 MHz (5-65 MHz dla EuroDOCSIS) wysyłane są dane porcjami (TDMA, Time Division Multiple Access) z pełną prędkością kanału zwrotnego lub w sposób ciągły w wydzielonej części pasma kanału zwrotnego (FDMA, Frequency Division Multiple Access)

• ,,w dół" (downstream), tj. od centrali do modemu; tym kanałem o szerokości 6 MHz (8 MHz wg EuroDOCSIS) płyną stale dane od stacji nadawczej (kodowanie QAM64 lub QAM256)

Szerokopasmowy dostęp bezprzewodowy

Standardy:

• PAN (Personal Area Network) IEEE 802.15 Bluetooth

• LAN (Local Area Network) IEEE 802.11 Wireless LAN

• MAN (Municipal Area Network) IEEE 802.16 Wireless MAN

• WAN (Wide Area Network) IEEE 802.20 (propozycja)

Standard IEEE 802.16 (Air Interface for Fixed Broadband Wireless Access System) został wprowadzony, aby zapewnić w obszarze miejskim bezprzewodowy dostęp ,,ostatniej mili' o wydajności porównywalnej do tej, która jest oferowana poprzez modemy DSL, modemy kablowe i tradycyjne łącza modemowe.

ETSI (European Telecommunications Standards Institute) pracuje nad europejskim standardem bezprzewodowej sieci metropolitalnej HIPERMAN.

IEEE 802.16/802.16a:

• pasma w zakresie 10-66 GHz, stacja bazowa musi być na linii wzroku (802.16, 4/2002),

• pasma w zakresie 2-11 GHz, stacja bazowa nie musi być na linii wzroku (802.16a, 1/2003)

• zasięg do około 50 km, optymalne warunki transmisji zapewnia komórka o promieniu 6-10 km

• 75 Mb/s na sektor, tj. pojedynczą parę nadajnik/odbiornik obsługiwaną przez stację bazową (60 linii T1, setki połączeń modemowych)

• zastosowany system modulacji pozwala dostosowywać szybkość transmisji do odległości (np. zastępując QAM64 przez QAM16)

• QoS, szyfrowanie danych, uwierzytelnianie połączeń

Standard IEEE 802.16e ma zapewnić taki rodzaj podłączenia, który jest znany z telefonii komórkowej, tj. możliwość poruszania się w obrębie sieci miejskiej.

Technologia	Szybkość	Medium
GSM	9.6 to 14.4Kb/s	RF
zwykła telefonia	do 56 Kb/s	TP
Frame Relay	56 Kb/s	różne
ISDN	BRI: 64-128 Kb/s	TP
	PRI: 24/30 (T-1/E-1)
Enhanced Data GSM	384 Kb/s	RF
Frame Relay	56 Kb/s - 1.544 Mb/s	TP/koncentryk
DS1/T-1	1.544 Mb/s	TP/koncentryk/światłowód
UMTS	do 2Mb/s	RF
E-carrier	2.048 Mb/s	TP/koncentryk/światłowód
T-1C (DS1C)	3.152 Mb/s	TP/koncentryk/światłowód
IBM Token	4.16 Mb/s	TP/koncentryk/światłowód
DS2/T-2	6.312 Mb/s	TP/koncentryk/światłowód
DSL	512 Kb/s do 8 Mb/s	TP
E-2	8.448 Mb/s	TP/koncentryk/światłowód

Technologia	Szybkość	Medium
Ethernet	10 Mb/s	10Base-2/5, 10Base-F
E-3	34.368 Mb/s	TP/światłowód
T-3	44.736Mb/s	TP/światłowód
OC-1	51.84 Mb/s	światłowód
Fast Ethernet	100 Mb/s	100Base-T
FDDI	100 Mb/s	światłowód
T-3D (DS3D)	135 Mb/s	światłowód
E-4	139.264 Mb/s	światłowód
OC-3/SDH	155.52 Mb/s	światłowód
E-5	565.148 Mb/s	światłowód
OC-12/STM-4	622.08 Mb/s	światłowód
Gigabit Ethernet	1 Gb/s	TP/światłowód
OC-24	1.244 Gb/s	światłowód
OC-48/STM-16	2.488 Gb/s	światłowód
OC-192/STM-64	10 Gb/s	światłowód
OC-256	13.271 Gb/s	światłowód

Jaką rolę w sieci pełni router?

• Router jest urządzeniem sieciowym warstwy 3 łączącym dwa lub więcej segmentów lokalnej sieci komputerowej, sieci LAN lub WAN.

• Router przekazuje (komutuje, trasuje) pakiety wykorzystując adresy warstwy 3. i tabelę routingu.

• Tabela routingu jest budowana w oparciu o jedną lub wiele metryk w celu ustalenia optymalnej ścieżki dla ruchu sieciowego.

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface MSS Window irtt

192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 0 0 0

192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 0 0 0

158.75.4.0 * 255.255.254.0 U 0 0 0 eth1 0 0 0

127.0.0.0 * 255.0.0.0 U 0 0 0 lo 0 0 0

default igs 0.0.0.0 UG 0 0 0 eth1 0 0 0

Flags Possible flags include

U (route is up)

H (target is a host)

G (use gateway)

R (reinstate route for dynamic routing)

D (dynamically installed by daemon or redirect)

M (modified from routing daemon or redirect)

A (installed by addrconf)

C (cache entry)

! (reject route)

Router tworzy tablicę routingu dzięki wymianie informacji z innymi routerami przy wykorzystaniu protokołów trasowania.

Protokół trasowania/routingu (routing protocol) to protokół obsługujacy protokoły trasowane poprzez dostarczanie mechanizmów umożliwiających wymianę informacji między routerami i wybór trasy pakietów. Do protokołów routingu zaliczamy takie protokoły jak:

• APPN (Advanced Peer-to-Peer Networking)

• BGP (Border Gateway Protocol) protokół bramki granicznej

• EGP (Exterior Gateway Protocol protokół zewnętrznej bramki

• EIGRP (Enhanced IGRP)

• IGRP (Interior Gateway Routing Protocol) protokół routingu wewnętrznej bramki

• IS-IS (Intermediate System-to-Intermediate System

• NLSP (Netware Link Services Protocol)

• OSPF (Open Shortest Path First)

• RIP (Routing Information Protocol)

Protokół trasowany/routowalny (routed protocol) to dowolny protokół sieciowy, który może być trasowany/routowany przez router i który dostarcza schematu adresowania pozwalającego na dostarczanie pakietów od jednego hosta do drugiego. Protokóły IP i IPX są przykładami protokołów trasowanych/routowalnych.

Protokoły routingu dzielą się na tzw. protokoły:

• wewnętrzne - wykorzystywane do trasowania wspólnie zarządzanych sieci (tzw. systemy autonomiczne), np. RIP, IGRP

• zewnętrzne - wykorzystywane do wymiany informacji o trasach między sieciami, które nie są wspólnie zarządzane, np. EGP, BGP

Od protokołów routingu wymaga się, aby były proste i wydajne, odporne na różne zachowanie sieci, elastyczne (szybko dostosowywać się do zmieniających się warunków w sieci) oraz pozwalające na uzyskanie szybkiej zbieżności.

Zbieżność to zdolność urządzeń obsługujących sieć do przekazywania sobie informacji o zmianie topologii sieci i ponownego wyliczenia optymalnych tras.

Routing może być

• statyczny - tabela routingu jest tworzona przez administratora sieci, który ustala ręcznie trasy pakietów (np. w odniesieniu do sieci szczątkowych (stub networks))

• dynamiczny - tabela routingu jest tworzona i modyfikowana w oparciu o informacje wymieniane przez routery w oparciu o różne protokoły routingu

Protokoły routingu stosują różne metryki do ustalania najlepszej ścieżki. Metryki wykorzystują takie charakterystyki ścieżek jak:

• Liczba skoków - liczba routerów, przez które musi przejść pakiet, zanim osiągnie miejsce przeznaczenia (ścieżka jest tym lepsza im liczy mniej skoków)

• Pasmo - przepustowość/pojemność łącza (np. łącze T3 jest lepsze niż T1)

• Opóźnienie - czas potrzebny na dotarcie pakietu ze źródła do miejsca przeznaczenia

• Niezawodność - częstotliwość występowania błędów na poszczególnych odcinkach łącza

• Takty - opóźnienie w warstwie łącza danych (wyrażane w taktach zegara IBM PC, czyli około 55 milisekund)

• Koszt - arbitralna wartość powiązana z szerokością pasma, kosztem dzierżawy łącza, itp.

Algorytmy routingu wg wektora odległości

Algorytmy routingu wg wektora odległości powodują, że każdy z routerów okresowo rozsyła kopię swojej tabeli routingu do sąsiadujących routerów. Algorytm ten pozwala modyfikować informację o topologii sieci, ale żaden z routerów nie posiada informacji o topologii całej sieci.

Stosowanie tego algorytmu może prowadzić do powstawaniu tzw. pętli routingu. Można temu zapobiegać przez określenie maksymalnej liczby skoków, zastosowaniu metody podzielonego horyzontu (split horizon) lub liczników wstrzymywania.

Przykładowe protokoły: RIP, IGP

Algorytmy stanu łącza

Algorytmy stanu łącza, zwane także algorytmami najkrótszej ścieżki (SPF, Shortest Path First) tworzą i uaktualniają stale bazy danych dotyczące topologii sieci.

Każdy z routerów rozsyła ogłoszenia o stanie łącza (LSA, Link State Advertisement) do sieci, z którymi jest bezpośrednio połączony. Te informacje są podstawą tworzenia przez każdy z routerów drzewa najkrótszych ścieżek od danego routera do wszyskich punktów docelowych.

Drzewo SPF jest podstawą tworzenia i uaktualniania tabeli routingu.

Algorytm SPF jest uruchamiany za każdym razem, kiedy router otrzymuje ogłoszenie o zmianie topologii sieci (nowy sąsiad, zmiana kosztu łącza, awaria łącza).

Przykładowe protokoły: OSFP, IS-IS, NLSP

Algorytmy stanu łącza: problemy

Routing stanu łącza działa poprawnie, jeśli wszystkie routery otrzymują właściwe pakiety LSA. W przeciwnym razie routery wyznaczają trasy w oparciu o różne dane o topologii sieci.

Problem niewłaściwej dystrybucji pakietów LSA wzrasta wraz z powiększaniem się sieci złożonej.

Rozwiązania:

• uaktualnienia wysyłane są do desygnowanego routera (grup routerów)

• budowa struktur hierarchicznych, tak aby routery w wydzielonych obszarach sieci przyjmowały uaktualnienia LSP tylko od routerów z danego obszaru

• numery sekwencyjne LSP, znaczniki czasu, mechanizmy starzenia

Algorytmy routingu: porównanie

Wektor odległości

Stan łącza

Topologia sieci w oparciu o dane sąsiadujących routerów

Topologia sieci w oparciu o LSA

Dodaje odległości między kolejnymi routerami

Oblicza najkrótszą scieżkę do innych routerów

Okresowe uaktualnienia, wolna zbieżność

Uaktualnienia wywołane zmianami, szybka zbieżność

Przenosi kopie tabeli routingu do sąsiadujących routerów

Przekazuje uaktualnienia o stanie łączy do innych routerów




Zrównoważony protokół hybrydowy (balanced hybrid routing) łączy zalety routingu wektora odległości i stanu łącza. Oblicza on najkrótszą scieżkę wg wektora odległości, ale uaktualnienia bazy danych są powodowane przez zmiany topologii sieci. Przykłady: EIGRP.

Sieci skalowalne

Własności rozległej sieci skalowalnej:

1. Pewność i dostępność

Sieć jest stale dostępna (24x7), awarie niewidoczne dla końcowych użytkowników, konieczność utrzymywania nadmiarowych połączeń. Sieć silna szybko radzi sobie z awariami.

Funkcje IOS Cisco zwiększające niezawodność i dostępność:

• skalowalne protokoły routingu (OSPF, EIGRP)

• ścieżki zapasowe

• równoważenie obciążenia

• tunele protokołów

• kopia zapasowa połączeń


2. Zdolność szybkiej reakcji (QoS dla aplikacji i protokołów)

Kolejkowanie:

• FIFO

• priorytetowe (4 kolejki)

• niestandardowe (rezerwowanie minimalnej ilości pasma dla każdego rodzaju ruchu; 16 kolejek)

• równomierne (dynamiczna strategia kolejkowania stosowana domyślnie przez routery Cisco dla wszystkich interfesów E1 i wolniejszych)


3. Wydajność (wykorzystanie pasma, redukcja zbędnego ruchu):

• listy kontroli dostępu (ACL, Access Control List)

• routing migawkowy

• kompresja

• routing połączeń na żądanie (DDR, Dial-on-Demand Routing)

• podsumowywanie tras

• narastające uaktualnienia (np. OSPF i EIGRP wysyłają informacje tylko o trasach, które uległy zmianie)


4. Łatwość przystosowania (różne protokoły, aplikacje, technologie)

EIGRP jest przykładem protokołu dobrze przystosowującego się (obsługuje informacje o routingu dla protokołów IP, IPX i AppleTalk).

System IOS Cisco oferuje redystrybucję tras (przekazywania danych zgromadzonych w tablicach jednego protokołu routingu do innego).
5. Dostępność i bezpieczeństwo

• możliwość łączenia się przy wykorzystaniu różnych technologii i typów połączeń (wdzwaniane, dedykowane, komutowane).

• protokoły uwierzytelniania takie jak PAP lub CHAP (Password Authentication Protocol, Challenge Handshake Authentication Protocol)

Czy Linux może być wykorzystany jako OS routera?

Jądra z serii 2.4-2.6 oferują szereg funkcji, które pozwalają na przekształcenie skrzynki z Linuksem w router.

[*] Networking support

Networking options --->

[*] TCP/IP networking

[*] IP: multicasting

[*] IP: advanced router

[*] IP: policy routing

[*] IP: use netfilter MARK value as routing key

[*] IP: equal cost multipath

[*] IP: verbose route monitoring

[*] IP: kernel level autoconfiguration

[*] IP: DHCP support

[*] IP: BOOTP support

[*] IP: RARP support

<*> IP: tunneling

< > IP: GRE tunnels over IP

[ ] IP: multicast routing

[*] IP: ARP daemon support (EXPERIMENTAL)

[ ] IP: TCP syncookie support (disabled per default)

< > IP: AH transformation

< > IP: ESP transformation

< > IP: IPComp transformation

--- IP: tunnel transformation

< > IP: TCP socket monitoring interface

IP: Virtual Server Configuration --->

< > The IPv6 protocol (EXPERIMENTAL)

[*] Network packet filtering (replaces ipchains) --->

<*> IPsec user configuration interface

SCTP Configuration (EXPERIMENTAL) --->

< > Asynchronous Transfer Mode (ATM) (EXPERIMENTAL)

<*> 802.1d Ethernet Bridging

<*> 802.1Q VLAN Support

< > DECnet Support

< > ANSI/IEEE 802.2 LLC type 2 Support

< > The IPX protocol

< > Appletalk protocol support

< > CCITT X.25 Packet Layer (EXPERIMENTAL)

< > LAPB Data Link Driver (EXPERIMENTAL)

[ ] Frame Diverter (EXPERIMENTAL)

< > Acorn Econet/AUN protocols (EXPERIMENTAL)

< > WAN router

QoS and/or fair queueing --->

Network testing --->

[*] Networking support

Networking options --->

[ ] Amateur Radio support --->

<*> IrDA (infrared) subsystem support --->

< > Bluetooth subsystem support --->

[*] Network device support

<*> Dummy net driver support

< > Bonding driver support

< > EQL (serial line load balancing) support

<*> Universal TUN/TAP device driver support

< > General Instruments Surfboard 1000

ARCnet devices --->

Ethernet (10 or 100Mbit) --->

Ethernet (1000 Mbit) --->

Ethernet (10000 Mbit) --->

Token Ring devices --->

Wireless LAN (non-hamradio) --->

PCMCIA network device support --->

Wan interfaces --->

[ ] FDDI driver support

[ ] HIPPI driver support (EXPERIMENTAL)

< > PLIP (parallel port) support

< > PPP (point-to-point protocol) support

< > SLIP (serial line) support

[ ] Fibre Channel driver support

< > Traffic Shaper (EXPERIMENTAL)

< > Network console logging support (EXPERIMENTAL)

[*] Networking support

Networking options --->

Wan interfaces --->

[*] Wan interfaces support

< > Comtrol Hostess SV-11 support (NEW)

< > COSA/SRP sync serial boards support (NEW)

< > Etinc PCISYNC serial board support (NEW)

< > LanMedia Corp. SSI/V.35, T1/E1, HSSI, T3 boards (NEW)

< > Sealevel Systems 4021 support (NEW)

< > SyncLink HDLC/SYNCPPP support (NEW)

< > Generic HDLC layer (NEW)

< > Frame Relay DLCI support (NEW)

< > Granch SBNI12 Leased Line adapter support (NEW)

Filtrowanie pakietów: kilka powodów

• budowa internetowych ścian ogniowych (filtrowanie pakietów w zależności źródła, przeznaczenia, usługi, stanu połączenia)

• dzielenie dostępu do Internetu przez wiele hostów przy użyciu jednego (kilku) adresów IP

• tworzenie przezroczystych serwerów buforujących (proxy servers)

• budowa routerów QoS

• manipulacja nagłówkami pakietów (np. polem TOS nagłówka pakietu IP)

Filtrowanie pakietów w Linuksie

Jądro Linuksa jest wyposażone w możliwości filtrowania pakietów:

• seria 2.0: filtr - ipfw, obsługa - ipfwadmin

• seria 2.2: filtr - ipchains, obsługa - ipchains

• seria 2.4-6: filtr - netfilter, obsługa - iptables

netfilter posiada moduły pozwalające na dopasowywanie pakietów, obsługi zamiany adresów (NAT, Network Address Table), rejestrowania zdarzeń, śledzenia połączeń i ich stanów, moduły do sprawdzania/modyfikacji niektórych pól nagłówków, itp. (moduły mogą zostać wkompilowane w jądro).

Patrz: www.netfilter.org

Jądro Linuksa ma trzy wbudowane tablice określające sposoby filtrowania pakietów:

• filter: domyślna tablica do filtrowania pakietów

• nat: tablica używana do zmiany adresów

• mangle: tablica używana do dokonywania specyficznych zmian w nagłówkach pakietów

Każda z tych tablic ma wbudowane typy łańcuchów reguł (np. iptables -t filter -nL):

• filter: INPUT, FORWARD, OUTPUT

• nat: PREROUTING, POSTROUTING, OUTPUT

• mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

mangle - zmiażdżyć, pogruchotać (body, vehicle); przekłamać, przekłamywać (message)

Tablica filter

---------- -----------

Incoming | routing | | | Outgoing

--------> | decision |------->| FORWARD |-------->---------->

| | | | ^

---------- ----------- |

| |

| |

V |

--------- ----------

| | | |

| INPUT | | OUTPUT |

| | | |

--------- ----------

| ^

| |

V |

-----------> Local process -------->

Trzy łańcuchy (chains) tablicy filter:

• INPUT: dla pakietów zdążających do lokalnej maszyny

• OUTPUT: dla pakietów wytworzonych lokalnie

• FORWARD: dla pakietów zdążających do lokalnej maszyny, ale dla niej nie przeznaczonych

Użycie iptables:

• wyświetlanie listy reguł: iptables -L [chain]

• dodawanie na końcu: iptables -A <chain-name>

• wstawianie pomiędzy: iptables -I <chain-name>

• usuwanie: iptables -D <chain-name>

• zastępowanie: iptables -R <chain-name>

• usuwanie wszystkich reguł: iptables -F [chain-name]

• zerowanie liczników: iptables -Z [chain-name]

Przykłady użycia komendy iptables:

iptables -t filter -A INPUT -p tcp --dport 23 -j DROP

iptables -A INPUT -p tcp --dport 23 -j DROP

iptables --append INPUT -p tcp --dport 23 -j DROP

iptables -D INPUT -s 0.0.0.0/0.0.0.0 -p tcp \

--dport 23 -j REJECT

iptables --delete INPUT -s 158.75.5.0/24 -p tcp

--dport 23 -j ACCEPT

iptables -P FORWARD -j DROP

iptables --policy OUTPUT -j DROP

Rozszerzenia iptables:

iptables -m tcp --help/iptables --match tcp --help

iptables -p tcp --help

iptables -m udp --help/iptables -p udp --help

iptables -m multiport --help

iptables -m state --help

iptables -m conntract --help

iptables -m limit --help

iptables -m owner --help

iptables -m icmp --help/iptables -p icmp --help

iptables -m mac --help

FTP aktywny i pasywny (ip_conntrack_ftp)

iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

Wszystkie flagi, tj. SYN,ACK,FIN,RST,URG,PSH, powinny być sprawdzone, ale tylko SYN i ACK powinny być ustawione.

# równoważne komendy

iptables -A INPUT --protocol tcp --syn -j DROP

iptables -A INPUT --protocol tcp --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A INPUT --match mac --mac-source 00:00:0a:0b:0c:0d -j ACCEPT

# 3 matches per hour with a burst of 5

iptables -A INPUT --match limit -j LOG

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j LOG

iptables -A INPUT -p tcp --syn -m limit --limit 1/h -j LOG

iptables -A INPUT -p tcp --syn -m limit --limit-burst 5 -j LOG

# ping of death

iptables -A INPUT -p icmp --icm-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -F

iptables -A INPUT -s 0.0.0.0/0 \

-m state --state ESTABLISHED,RELATED -j ACCEPT

iptables --append INPUT -s 0.0.0.0/0 -p tcp --dport 21 \

-m state --state NEW -j ACCEPT \

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22

-m state --state NEW -j ACCEPT \

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25

-m state --state NEW -j ACCEPT \

iptables -A INPUT -s 0/0 -p tcp --dport 80

-m state --state NEW -j ACCEPT \

iptables -A INPUT -s 0/0 -j DROP

iptables -F

iptbles -P INPUT DROP

iptbles -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED \

-j ACCEPT

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED \

-j ACCEPT

Można tworzyć (usuwać) własne łańcuchy filtrowania:

• tworzenie: iptables -N <rule-name>

• usuwanie: iptables -X <rule-name>

INPUT test

-------------------------- ----------------------------------

| Rule1: -p ICMP -j DROP | | Rule1: -s 192.168.1.1 -j ACCEPT |

|--------------------------| |----------------------------------|

| Rule2: -p TCP -j test | | Rule2: -d 192.168.1.1 -j DROP |

|--------------------------| ----------------------------------

| Rule3: -p UDP -j DROP |

--------------------------

Tablica nat

------------ ----------- -------------

| prerouting | | routing | | postrouting |

----> | D-NAT |------->| decision |--------->| S-NAT | -->

| | | | ^ | |

------------ ----------- | -------------

| -----------

| | routing |

| | decision |

| -----------

| | OUTPUT |

| -----------

| ^

V |

-> Local process

Filtrowanie pakietów: SNAT

Lokalna, prywatna podsieć (np. 192.168.1.0/24) jest przyłączona do LAN poprzez interfejs ethernetowy:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4:1-1023

Filtrowanie pakietów: MASQUERADE

Lokalna sieć jest przyłączona do Internetu poprzez łącze modemowe typu dial-up:

iptables -A INPUT -p -tcp -m multiport --dport 113,25 -j ACCEPT

iptables -A INPUT -m state --state NEW,INVALID -i ppp0 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Filtrowanie pakietów: DNAT

Lokalna, prywatna podsieć (np. 192.168.1.0/24) jest przyłączona do Internetu poprzez interfejs ethernetowy:

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.1

# load-balancing

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.1-192.168.1.5

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \

-j DNAT --to 192.168.1.1:8080

# transparent proxy

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \

-j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \

-j DNAT --to 192.168.1.1 --to-port 3128

Filtrowanie pakietów: DNAT+SNAT

Lokalna, prywatna podsieć (np. 192.168.1.0/24) jest przyłączona do Internetu i w sieci znajduje się serwer WWW (192.168.1.1), który ma być dostępny dla hostów z Internetu i z lokalnej sieci:

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 \

-j DNAT --to 192.168.1.1

iptables -t nat -A POSTROUTING -d 1.2.3.4 -s 192.168.1.0/24 \

-p tcp --dport 80 -j SNAT --to 192.168.1.250

Filtrowanie pakietów: mangle

Tablica mangle może być wykorzystana do znaczenia indywidualnych pakietów, aby potem w oparciu o te znaczniki i komendę ip (dawniej iproute2) budować tabele routingu.

iptables -t mangle -p tcp --dport 25 -j MARK --set-mark 1

Filtrowanie pakietów: rozszerzenia do iptables

Patrz: netfilter-extensions-HOWTO

iptables -A INPUT -m string --string 'cmd.exe' -j QUEUE

iptables -A INPUT -p tcp --dport 80 -m quota --quota 52428800 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT

iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 \

--iplimit-above 4 -j REJECT

iptables -t mangle -A OUTPUT -j TTL --ttl-set 126

Filtrowanie pakietów: rozszerzenia do iptables

# encrypting TCP and UDP traffic

# on host A (1.2.3.4)

iptables -t mangle -A OUTPUT -d 1.2.3.5 -j XOR --key somekey --block-size 3

iptables -t mangle -A INPUT -s 1.2.3.4 -j XOR --key somekey --block-size 3

# on host B (1.2.3.5)

iptables -t mangle -A OUTPUT -d 1.2.3.4 -j XOR --key somekey --block-size 3

iptables -t mangle -A INPUT -s 1.2.3.5 -j XOR --key somekey --block-size 3

Filtrowanie pakietów: rozszerzenia do iptables

iptables -A FORWARD -m recent --rcheck --seconds 60 -j DROP

iptables -A FORWARD -i eth0 -d 127.0.0.0/8 -m recent --set -j DROP

iptables -A FORWARD -m recent --update --seconds 60 -j DROP

iptables -A FORWARD -i eth0 -d 127.0.0.0/8 -m recent --set -j DROP

iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP

iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy \

--set -j DROP

Wirtualne serwery: IPVS

IPVS (IP Virtual Server) implements transport-layer load balancing inside the Linux kernel, so called Layer-4 switching. IPVS running on a host acts as a load balancer before a cluster of real servers, it can direct requests for TCP/UDP based services to the real servers, and makes services of the real servers to appear as a virtual service on a single IP address.

• IPVS via NAT

• IPVS via IP tunnelling

• IPVS via direct routing

Patrz:
http://www.linuxvirtualserver.org/
http://www.austintek.com/LVS/LVS-HOWTO/

VS/NAT

VS/TUN

VS/DR

Server

any

tunneling

non-arp device

server network

private

LAN/WAN

LAN

server number

low (10 20)

high

high

server gateway

load balancer

own router

own router






Wirtualne serwery: KTCPVS



KTCPVS stands for Kernel TCP Virtual Server. It implements application-level load balancing inside the Linux kernel, so called Layer-7 switching. Since the overhead of layer-7 switching in user-space is very high, it is good to implement it inside the kernel in order to avoid the overhead of context switching and memory copying between user-space and kernel-space. Although the scalability of KTCPVS is lower than that of IPVS (IP Virtual Server), it is flexible, because the content of request is known before the request is redirected to one server.

Patrz: http://www.linuxvirtualserver.org/software/ktcpvs/ktcpvs.html



Wysoka dostępność serwerów wirtualnych: heartbeat+mon, heartbeat+ldirectord, piranha, keepalived (VRRP¹), ultramonkey (Linux-HA Project)

Patrz: http://www.linuxvirtualserver.org/HighAvailability.html

Wirtualne prywatne sieci

Sieć prywatna - sieć powstała przez połączenie węzłów dedykowanymi (dzierżawionymi) łączami; przesyłane dane mogą być szyfrowane

Wirtualna sieć prywatna (VPN Virtual Private Network) - sieć powstała przez połączenie rozrzucownych węzłów/hostów należących do jakiegoś użytkownika wirtualnymi (logicznymi) i szyfrowanymi łączami (tunelami) przebiegającymi poprzez sieć publiczną (połączenia węzeł-węzeł albo host-host).

Wirtualne prywatne sieci (cdn)

Tunelowanie jest realizowane przez:

• IPSec (IP Security) - protokóły warstwy 3; implementacja: np. FreeS/WAN

uwierzytelniania wykorzystując protokoły ESP (Encapsulating Security Payload/Protocol, szyfrowanie i uwierzytelnianie), AH (Authentication Header, uwierzytelnianie pakietów) oraz IKE (Internet Key Exchange, negocjacja parametrów połączenia, w tym kluczy)

Zapory ogniowe wykorzystujące FreeS/WAN: The Linux Router Project, Gibraltar (based on Debian GNU/Linux), Astaro Security Linux, Linuxwall Smoothwall Devil Linux, Coyote Linux

• PPTP (Point to Point Tunnelling Protocol) - protokół warstwy 2; implementacja: system Windows

Wirtualne prywatne sieci (cdn)

Tunelowanie jest realizowane przez:

• L2TP (Layer 2 Tunnelling Protocol) łączy zalety PPTP i L2F (Layer 2 Forwarding); implementacja: Cisco

• SSL (Secure Sockets Layer), TLS (Transport Layer Security) - protokoły warstwy 4; implementacja: np. OpenVPN

Komunikacja jest szyfrowana (RSA, DES, Triple-DES, itp.). Uwierzytelnianie: PAP, CHAP, Microsoft CHAP, cyfrowe certyfikaty.

OpenVPN

Patrz: http://openvpn.sourceforge.net/

OpenVPN is an easy-to-use, robust, and highly configurable SSL VPN daemon which can be used to securely link two or more private networks using an encrypted tunnel over the internet.

With OpenVPN, you can:

• tunnel any IP subnetwork or virtual ethernet adapter over a single UDP or TCP port

• create cross-platform tunnels between any of the operating systems supported by OpenVPN including Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Windows 2000/XP

• use all of the encryption, authentication, and certification features of the OpenSSL library to protect your private network traffic as it transits the internet

• use any cipher, key size, or HMAC (Hash Message Authentication Code) digest (for datagram authentication) supported by the OpenSSL library

• choose between static-key based conventional encryption or certificate-based public key encryption

• use static, pre-shared keys or TLS-based dynamic key exchange,

• use real-time adaptive link compression and traffic-shaping to manage link bandwidth utilization

• tunnel networks whose public endpoints are dynamic such as DHCP or dial-in clients

• tunnel networks through connection-oriented stateful firewalls without having to use explicit firewall rules

• tunnel networks over NAT

OpenVPN is built for portability. OpenVPN runs on Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Windows 2000/XP.

OpenVPN is written as a user-space daemon rather than a kernel module or a complex modification to the IP layer, porting efforts are dramatically simplified.

OpenVPN has been rigorously designed and tested to operate robustly on unreliable networks.

OpenVPN has been built with a strongly modular design. All of the crypto is handled by the OpenSSL library, and all of the IP tunneling functionality is provided through the TUN/TAP virtual network driver.

• TUN is Virtual Point-to-Point network device. TUN driver was designed as low level kernel support for IP tunneling (/dev/tunX - character device)

• TAP is a Virtual Ethernet network device. TAP driver was designed as low level kernel support for Ethernet tunneling (/dev/tapX - character device)

OpenVPN is the only open source VPN product to fully support the OpenSSL PKI (public key infrastructure) for session authentication, the TLS protocol for key exchange.

OpenVPN has been built with a strongly modular design. All of the crypto is handled by the OpenSSL library, and all of the IP tunneling functionality is provided through the TUN/TAP virtual network driver. As such, OpenVPN has the benefit that it will cooperatively evolve with both of these projects.

The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a full-strength general purpose cryptography library. The project is managed by a worldwide community of volunteers that use the Internet to communicate, plan, and develop the OpenSSL toolkit and its related documentation. (OpenSSL is based on the excellent SSLeay library developed by Eric A. Young and Tim J. Hudson.)

OpenVPN: routed IP tunnels

|--- tun0 172.20.1.25 ================== tun0 172.20.1.26 -------|

| |

|--- eth0 81.190.17.1 --- INET (tcp) --- eth0 158.75.63.1:124 ---|

| |

Host VPN Server

|

|

----- LAN -----

170.20.0.0/17

OpenVPN: routed IP tunnels (client's side)

Destination Gateway Genmask Flags Metric Ref Use Iface

172.20.1.26 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

158.75.4.0 172.20.1.26 255.255.254.0 UG 0 0 0 tun0

81.190.16.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0

172.20.0.0 172.20.1.26 255.255.128.0 UG 0 0 0 tun0

0.0.0.0 81.190.16.1 0.0.0.0 UG 0 0 0 eth0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:172.20.1.25 P-t-P:172.20.1.26 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

...

tunl0 Link encap:IPIP Tunnel HWaddr

NOARP MTU:1480 Metric:1

...

OpenVPN: routed IP tunnels (server's side)

Destination Gateway Genmask Flags Metric Ref Use Iface

172.20.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

158.75.4.0 0.0.0.0 255.255.254.0 U 0 0 0 eth3

172.20.0.0 172.20.0.2 255.255.128.0 UG 0 0 0 tun0

0.0.0.0 158.75.5.190 0.0.0.0 UG 0 0 0 eth3

1: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop qlen 1000

link/ether 00:50:8b:68:5d:1e brd ff:ff:ff:ff:ff:ff

inet 158.75.63.1/28 scope global eth0

6: eth3: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000

link/ether 00:0e:0c:60:d4:e6 brd ff:ff:ff:ff:ff:ff

inet 158.75.5.90/23 brd 158.75.5.255 scope global eth3

inet6 fe80::20e:cff:fe60:d4e6/64 scope link

valid_lft forever preferred_lft forever

8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 100

link/[65534]

inet 172.20.0.1 peer 172.20.0.2/32 scope global tun0

(Nie)Bezpieczeństwo w Sieci

Autoryzacja poprzez:

• hasło chroniące dostępu do konta/skrzynki pocztowej

• odczyt danych z karty identyfikacyjnej, odcisku palca, wzorca tęczówki oka, podpisu, itp.

Fragment pliku /etc/passwd

gomula:x:2002:103:Jerzy Gomula:/home/gomula:/bin/tcsh

goral:x:5482:104:Grzegorz Gorecki:/home/goral:/bin/tcsh

gos:x:1125:102:Grzegorz Osinski:/home/gos:/bin/tcsh

grachud:x:5671:102:Grazyna Chudanska:/home/grachud:/bin/tcsh

grinberg:x:1080:103:Marek Grinberg:/home/grinberg:/bin/tcsh

gringo:x:1204:103:Jerzy Cioslowski:/home/gringo:/bin/tcsh

Fragment pliku /etc/shadow

gomula:Cdgv67agf4c1s:9178:0:::::

goral:sFJWHgdtyx6L.:10014:::::11261:

gos:b6F5tgfgn0tBw:10178::::::

grachud:kdPFdfdf38YKw:10976::::::

grinberg:lbiwgfrtyQz.6:8901:::::11261:

gringo:KF3tfgtrBJlv6:10138::::::

Szyfrowanie symetryczne

Jeśli E_k i D_k oznaczają odpowiednio algorytmy szyfrowania i deszyfrowania z kluczem k, to algorytm szyfrowania musi mieć następujące własności dla każdego komunikatu m:

1. D_k(E_k(m))=m

2. E_k i D_k można obliczać efektywnie

3. bezpieczeństwo systemu zależy tylko od tajności klucza, a nie od tajności algorytmów E lub D

Najczęściej stosowane algorytmy symetryczne:

• DES (Data Encription Standard) standard (rządu USA) szyfrowania danych używany od 1977 r. Klucz długości 56 bitów służy do kodowania 64 bitowych segmentów.

Liczba możliwych kluczy wynosi 2⁵⁶  7.2×10¹⁶ i przy obecnych możliwościach obliczeniowych cała przestrzeń kluczy może zostać przeszukana w stosunkowo niedługim czasie.

• IDEA (International Data Encription Algorithm) międzynarodowy algorytm szyfrowania danych stworzony, by zwiększyć bezpieczeństwo szyfrowania (klucz 128 bitowy) oraz obejść restrykcje eksportowe rządu USA stosowane w odniesieniu do algorytmu DES.

Przestrzeń 2¹²⁸  3.4×10³⁸ możliwych kluczy jest nie do przeszukania.

• RC4 algorytm Ronalda Rivesta zamieniający wejściowy ciąg znaków (klucz może być długości 2048 bitów) na strumień pseudolosowych bitów. Algorytm wykorzystuje ciąg elementarnych operacji, które dają się efektywnie implementować.

• MD5 (Message Digest), czyli skrót wiadomości, to algorytm (opracowany przez firmę RSA Data Security Inc.), który zamienia dowolny ciąg znaków na jego 128-bitową skróconą postać, tzw. odcisk palca.

Skróty wyznacza się przy pomocy jednokierunkowych funkcji haszujących (mieszających), tj. takich, że znajomość skrótu wiadomości N nie pozwala praktycznie znaleźć takiej wiadomości m, że H(m)=N (wyznaczenie H(m) jest proste).

Zastosowanie: szyfrowanie haseł, podpisywanie oprogramowania (md5sum).

Szyfrowanie asymetryczne

Problem: Jak zapewnić bezpieczną komunikację pomiędzy N hostami?

N hostów wymaga (N || 2) kluczy:

• N=10: 45 kluczy

• N=1000: 499999 kluczy

RSA to algorytm opracowany w 1978 r. przez Ronalda Rivesta, Adi Shamira i Leonarda Adelmana (matematyków z MIT) i rozprowadzany przez firmę RSA Data Security Inc.

Od września 2000 r. algorytm RSA nie jest już chroniony prawem patentowym.

Algorytm RSA pozwala na bezpieczne przekazywania klucza wykorzystywanego przez symetryczne algorytmy szyfrujące.

Algorytm RSA opiera się on na trudności w rozkładzie liczby naturalnej na iloczyn dwóch liczb pierwszych i wykorzystuje dwa klucze: prywatny oraz publiczny.

Klucz publicznego szyfrowania stanowi para (e,n); klucz prywatny jest parą (d,n), przy czym e, d i n są dodatnimi liczbami całkowitymi. Każdy komunikat jest reprezentowany jako liczba całkowita z przedziału [0,n1]

Funkcje E i D są zdefiniowane następująco:


E(m)=m^e  mod n=c




D(c)=c^d mod n

Liczba całkowita n jest obliczana jako iloczyn dwu wielkch (100 i więcej cyfrowych) liczb pierwszych p i q.

Chociaż n jest powszechnie znane trudność złamania tego schematu szyfrowania bierze się z trudności w odgadnięciu liczb pierwszych p i q.

Cyfrowy podpis

nadawca A

odbiorca B

typ

(k_S^A, k_P^A)

(k_S^B, k_P^B)

komunikacji

E_kP^B(m)=c

D_kS^B(c)=m

poufna

E_kS^A(m)=c

D_kP^A(c)=m

uwierzytelniona

H(m)=N

E_kS^A(N)=c_N

E_kP^B(m+c_N)=c

D_kS^B(c)=m+c_N

poufna

D_kP^A(c_N)=N

uwierzytelniona

H(m)=N

niezmieniona

k_Sⁱ - klucz prywatny (sekretny) i

k_Pⁱ - klucz publiczny (ogólnie dostępny) i

H - funkcja mieszająca




Bezpieczne połączenia internetowe

SSL2/SL3/TLS standard zabezpieczeń internetowych firmy Netscape Communications

• niezależny od aplikacji, współpracuje z wszelkimi narzędziami internetowymi

• aplikacje stosują algorytm szyfrowania RSA z kluczem publicznym, certyfikaty RSA i podpisy cyfrowe do identyfikowania stron biorących udział w transakcji

• po nawiązaniu połączenia następuje wymiana kluczy, po czym do zabezpieczenia transakcji stosuje się algorytm szyfrowania z kluczem symetrycznym RC4

Eksportowa wersja przeglądarki Netscape Navigator korzystała jeszcze do niedawna tylko z 40-bitowego klucza i dlatego nie nadawała się przeprowadzania transakcji handlowych w Internecie. Ograniczenie to już nie obowiązuje, gdyż w połowie 2000 rząd USA zniósł ograniczenia eksportowe na oprogramowanie szyfrujące bazujące na długim kluczu.

Moc szyfrowania

Im klucze są dłuższe, tym trudniej jest informacje odszyfrować.

Przyjmuje się, że dla kluczy:

       

asymetrycznych: 512 - zbyt mało 768 - stosunkowo bezpiecznie 1024 - silne bezpieczeństwo symetrycznych: 40 - zbyt mało 56 - stosunkowo bezpiecznie 128 - silne bezpieczeństwo




Łamanie kluczy metodą brute force (sprawdzanie po kolei możliwych kluczy):

• 40 bitowego zajęło 3 godziny sieci komputerów

• 56 bitowego (w algorytmie RC5) zajęło 250 dni w ramach jednego z projektów distributed.net; eksperyment został przeprowadzony przez sieć komputerów, których moc obliczeniowa była równoważna 26 tysięcom komputerów klasy Pentium 200

• 128 bitowego zajęłoby 1 bilion x 1 bilion lat (za pomocą pojedynczego superkomputera).

2¹²⁸  3.4×10³⁸ kluczy

15×10⁹ lat = 4.7×10¹⁷ sek.

6×10⁹ ludzi×10⁹ kluczy/sek×4.7×10¹⁷  28×10³⁵  3×10³⁶

Od początku istnienia wszechświata udałoby się przeszukać około 1% kluczy!

Przeglądarka i bezpieczne strony WWW

• zabezpieczona strona WWW - ikona z zamkniętą kłódką na przeglądarce; dodatkowa informacja o bezpiecznej stronie

• uwierzytelnianie stron WWW poprzez certyfikaty

• przeglądarki pozwalają na zarządzanie certyfikatami osobistymi, ceryfikatami serwerów WWW oraz organizacji certyfikujących

Certyfikaty cyfrowe

W pierwszej fazie nawiązywania połączenia SSL serwer i przeglądarka wymieniają tzw. certyfikaty. Certyfikat jest odpowiednikiem dokumentu tożsamości dla serwera WWW oraz dla przeglądarki (klienta).

Certyfikat zawiera następujące składniki:

1. nazwę właściciela certyfikatu

2. nazwę wydawcy certyfikatu

3. publiczny klucz właściciela dla algorytmu asymetrycznego

4. cyfrowy podpis wystawcy certyfikatu (np. Verisign)

5. okres ważności

6. numer seryjny (tzw. fingerprint)

Zarządzanie certyfikatami cyfrowymi

Certyfikaty są wydawane przez niezależne i zaufane urzędy - Certification Authorities (CA). Wydanie certyfikatu jest poprzedzone sprawdzeniem autentyczności danego wnioskodawcy (czy taki ktoś istnieje, czy rzeczywiście jest tym za kogo się podaje).

Schemat kodowania RSA stosowany z odpowiednio długim kluczem jest praktycznie nie do złamania.

Problemem pozostaje bezpieczne przekazywanie kluczy publicznych i ich uwierzytelnianie.

Zajmują się tym niezależne firmy i organizacje takie jak m.in. GlobalSign (www.globalsign.net), Verisign ( www.verisign.com), TC Trust Center www.trustcenter.de)

Bezpieczne transakcje bankowe

Certyfikaty SSL serwera zapewniają uwierzytelnienie serwera bankowego. Łącząc się z serwerem WWW sprawdzaj czy jego certyfikat jest ważny oraz sprawdzaj informacje zawarte w certyfikacie, np. czy nazwa właściciela jest prawidłowa.

Bezpieczna poczta elektroniczna

Firma RSA wprowadziła standard S/MIME (Secure Multi-Purpose Internet Mail Extension), który jest rozszerzeniem standardu MIME o możliwości bezpiecznego przesyłania poczty w oparciu o szyfrowanie według algorytmu RSA.

Rozwiązanie stosowane przez Outlook Express, Netscape Messenger i inne programy do obsługi poczty elektronicznej.

S/MIME umożliwia:

• zachowanie poufności korespondencji

• dołączanie do listów cyfrowych podpisów

• sygnalizację wszelkich prób zmiany zawartości listu

Bezpieczna poczta elektroniczna

Do wymiany szyfrowanych lub/i podpisanych elektronicznie listów i dokumentów można wykorzystać publicznie dostępny program gpg (GNU Privacy Guard), który jest dostępny dla systemu Windows oraz Unix/Linux (www.gnupg.org).

gpg umożliwia:

• szyfrowanie/deszyfrowanie wiadomości oraz tworzenie podpisów cyfrowych

• manipulowanie generowanymi kluczami

• korzystanie z programów pocztowych mutt/pine do szyfrowania listów lub/i wysyłania listów z elektronicznym podpisem

Bezpieczne rejestrowanie się

• ssh (secure shell) - program umożliwiający rejestrowanie się na zdalnym systemie bez jawnego przekazywania hasła oraz na szyfrowane przekazywanie danych pomiędzy odległymi systemami.

• telnet jest wypierany przez ssh, a ftp przez scp

• dla systemów Windows są dostępne programy PUTTY i PSCP (www.putty.nl/download.html)

Algorytm RSA jest wykorzystywany do bezpiecznego wymienienia klucza służącego obu systemom do szyfrowania/odszyfrowywania przesyłanych danych.

Koniec cenzury?

Publius (publius.cdt.org) system rozpowszechniania wiadomości w Internecie, który jest odporny na zapędy cenzorskie i pozwala ukryć autora informacji (po użyciu serwisu takiego jak Anonymizer.com, Rewebber.de, Freedom.net).

Etapy zabezpieczania pliku:

• załadowanie pliku wraz z hasłem dostępowym na serwer

• Publius generuje klucz i tym kluczem szyfruje przesłany plik

• algorytm (zwany tajemniczym podziałem) dzieli kluczy szyfrujący na 100 lub więcej kawałków, w taki sposób, że można odtworzyć originalny klucz kompletując określoną liczbę tych kawałków

• serwer Publiusa rozsyła 100 kopii zaszyfrowanych danych do 100 różnych serwerów wraz z kawałkiem (innym dla każdego serwera) pierwotnego klucza

Wirusy, robaki, konie trojańskie, itp.

Wirus jest to fragment kodu, który infekuje (modyfikuje) program i dokleja się do niego, aby móc się rozprzestrzenić. Nie może pracować samodzielnie, więc aby zadziałał musi zostać uruchomiony program-nosiciel. Celem działania wirusa jest znalezienie sobie kolejnej ofiary i zwykle podjęcie jakiś destrukcyjnych działań (RFC 1135)

• Wirysy mogą działać jako programy rezydentne (TSR - terminate and stay resident) w systemie MS-DOS lub Windows kontrolująć działanie systemu i wyszukując sobie kolejną ofiarę.

• Wirusy plikowe to takie, które infekują pliki i wraz z plikiami przenoszą się z systemu do systemu.

• Wirusy dyskowe umieszczają się w wybranych miejscach na dysku twardym bądź dyskietce (np. w sektorze startującym) by przejąć kontrolę nad procesem uruchamiania komputera. Utrudnieniem dla tych wirusów są systemy z wbudowaną ochroną dostępu do dysków i plików.

• Wirusy zawarte w makrach uaktywniają się w momencie otwarcia dokumentu, który z takich makr korzysta (np. dokument programu Word czy Excel). Przykładem tego typu wirusa jest Melissa, który jest wirusem szablonów w edytorze Word i został napisany jako makro w języku VBA (Visual Basic for Applications).

Robak (worm) jest to program, który do swojego działania nie potrzebuje innych programów, zużywa na swoje potrzeby zasoby zainfekowanego komputera i potrafi przenosić się na inne komputery (RFC 1135).

Pierwszym zaobserwowanym i jednym z najbardziej spektakularnych był robak Morissa, który 2 listopada 1988 r. został uruchomiony na jednym z komputerów MIT. Po kilku godzinach zdołał zainfekować komputery większości amerykańskich uniwersytetów, przedsiębiorstw i organizacji rządowych (podłączonych do Internetu), w sumie około 60 tys. maszyn. Po 10 dniach wszystkie egzemplarze robaka zostały unieszkodliwione.

Robak ten infekował tylko komputery firmy Sun (pracujące pod kontrolą systemu operacyjnego SunOS) oraz komputery VAX firmy DEC (Unix 4.3 BSD). Rozprzestrzeniał się wykorzystując tzw. furtkę w programie sendmail, demona fingerd oraz program rsh.

Podobnego typu robakami są I love you oraz Kurnikova.

Jak bronić się przed wirusami?

• Wyłącz uruchamianie skryptów w czasie przeglądania poczty elektronicznej.

• Wyłącz WSH (Windows Scripting Host), co uniemożliwia przypadkowe wykonanie złośliwego pliku .VBS.

• Usuń rozszerzenie VBS z listy tzw. rozszerzeń rejestrowanych, aby nie można było uruchomić pliku z takim rozszerzeniem przez podwójne kliknięcie (w dalszym ciągu można takie pliki uruchamiać używając programu Wscript.exe.

• Zainstaluj przygotowane przez Microsoft zabezpieczenia (poprawki) do programów.

• Filtruj załączniki poczty elektronicznej zawierające programy wykonywalne w postaci binarnej i skryptów.

Inne złośliwe programy

• Tylne wejścia, inaczej furtki, to możliwości uzyskania nieautoryzowanego dostępu do systemu.

• Bomby logiczne to ukryte funkcje programów, które uruchamiają się w określonych warunkach.

• Konie trojańskie to programy udające jakieś narzędzia, ale w rzeczywistości wykonujące inne, zakamuflowane funkcje.

• Bakterie lub króliki to programy rozmnażające się i tworzące ogromną liczbę kopii, które zajmują zasoby systemowe.

Więcej informacji na temat bezpieczeństawa systemów komputerowych można znaleźć m.in. w książkach:

• Marek Wrona, Niebezpieczeństwo komputerowe (Wydawnictwo RM, W-wa 2000)

• S.Garfinkel, G.Spafford, Bezpieczeństwo w Unixie i Internecie (O'Reilly & Associates, Inc., Wydawnictwo RM, W-wa 1997)

Słownik skrótów



API Application Programming Interface interfejs programów użytkowych

ARP Address Resolution Protokol protokół odwzorowywania adresów

ASCII American Standard Code for Information Interchange standardowy amerykański kod wymiany informacji

ASIC Application Specific Integrated Circuit układ scalony właściwy aplikacji

ATM Asynchronous Transfer Mode tryb przesyłania asynchronicznego

B8ZS Bipolar with 8-Zeros Substitution bipolarna substytucja ośmiozerowa

BECN Backward Explicit Congestion Notification jawne powiadomienie o zatorze wysyłane w kierunku nadawcy

bps bits per second bity na sekundę

BRA Base Rate User Access tryb podstawowy dostępu użytkownika

CHAP Challenge Handshake Authentication Protocol protokół wymiany wyzwania uwierzytelniającego (protokół uwierzytelniania przez uzgodnienie)

CIDR Classless InterDomain Routing bezklasowy routing międzydomenowy

CIR Committed Information Rate zagwarantowany poziom transmisji

CoS Class Of Service klasa usługi

CSMA/CD Carrier Sense-Multiple Access/Collision Detection wielodostęp z wykrywaniem fali nośnej i wykrywaniem kolizji

CRC Cyclic Redundancy Check cykliczna kontrola nadmiarowa

DCE Data Communications Equipment urządzenie końcowe łącza teleinformatycznego

DDP Datagram Delivery Protocol protolół dostarczania datagramów

DES Data Encription Standard standard szyfrowania danych

DHCP Dynamic Host Configuration Protocol protokół dynamicznej konfiguracji hosta

DLCI Data Link Connection Identifier jednoznaczny identyfikator łącza danych

DNS Domain Name System system nazw domenowych

DSAP Destination Service Access Point punkt dostępu usługi docelowej

DSH Digital Sygnal Hierarchy hierarchia sygnałów cyfrowych (standard ANSI)

DSL Digital Subscriber Line cyfrowa linia abonencka

DTE Data Terminal Equipment terminal teleinformatyczny

DWDM Dense Wavelength Division Multiplexing multipleksacja z gęstym podziałem falowym

EBCDIC extended binary coded decimal interchange code rozszerzony kod znakowy

EIA Electronics Industry Association Towarzystwo Przemysłu Elektronicznego

FDDI Fiber Distributed Data Interface złącze danych w sieciach optycznych o dużych przepustowościach

FCS Frame Check Sequence sekwencja kontrolna ramki

FECN Forward Explicit Congestion Notification jawne powiadomienie o zatorze wysyłane w kierunku odbiorcy

FR Frame Relay przekaz ramek

FTP File Transfer Protocol protokół przesyłania plików

Gb gigabit gigabit

GB gigabyte gigabajt

GNS Get Nearest Server uzyskaj dostęp do najbliższego serwera

HDLC High-level Data Link Control wysokopoziomowe sterowanie łączem danych

HTML Hypertext Markup Language język hipertekstowego znakowania informacji

HTTP Hypertext Transfer Protocol protokół przesyłania hipertekstu

IANA Internet Assigned Numbers Authority urząd internetowy odpowiedzialny za przydział numerów

ICMP Internet Message Control Protocol protokół sterowania wiadomością internetową

IDEA International Data Encription Algorithm międzynarodowy algorytm szyfrowania danych

IDF Intermediate Distribution Facility pośredni węzeł dystrybucyjny

IEEE Institute of Electrical and Electronics Engineers Instytut Inżynierów Elektryków i Elektroników

IGRP Interior Gateway Routing Protocol

ILD Injection Laser Diode iniekcyjna dioda laserowa

IMAP Internet Mail Access Protocol protokół dostępu do poczty internetowej

IP Internet Protocol protokół internetowy

IPX Internetwork Packet eXchange protokół wymiany pakietów sieci firmy Novell

ISDN Integrated Services Digital Network sieć cyfrowa usług zintegrowanych

ISO International Organization for Standardization Międzynarodowa Organizacja Normalizacyjna

ISO International Standards Organization Organizacja Standardów Międzynarodowych

ISP Internet Service Provider dostawca usług internetowych

Kb kilobit kilobit

KB kilobyte kilobajt

LAN Local Area Network lokalna sieć komputerowa

LAPB Link Access Procedure Balanced zrównoważona procedura dostępu do łącza

LED Light Emitting Diode dioda emitująca światło

LLC Logical Link Control sterowanie lączem logicznym

MAC Media Access Control sterowanie dostępem do nośnika

MAN Municipal Area Network miejska sieć komputerowa

Mb megabit megabit

MB megabyte megabajt

MD5 Message Digest 5 skrót wiadomości 5

MDF Main Distribution Facility główny węzeł dystrybucyjny

MIB Management Information Base baza informacji zarządzania

MIME Multipurpose Internet Mail Extension uniwersalne rozszerzenie poczty internetowej

MDI Media Dependent Interface interfejs zależny od medium

MDI-X Media Dependent Interface Cross-over skrośny interfejs zależny od medium

NCP NetWare Core Protocol protokół rdzeniowy systemu Netware

NetBIOS Network Basic Input/Output System system podstawowych procedur wejścia/wyjścia

NetBEUI NetBIOS Extended User Interface rozszerzony interfejs użytkownika podstawowego systemu wejścia/wyjścia

NEXT Near-End CrossTalk poziom przesłuchu zbliżnego

NFS Network File System sieciowy system plików

NIC Network Information Center (1) sieciowe centrum informacyjne

NIC Network Interface Card (2) karta interfejsu sieci

NLSP NetWare Link Services Protocol protokół usług łącza danych firmy Netware

NNTP Network News Transfer Protocol (protokół przesyłania wiadomości w sieci Internet)

OC Optical Carrier system nośników optycznych

OSI Open Systems Interconnection otwarte połączenie systemów

OSPF Open Shortest Path First

OUI Organizational Unique Identifier unikatowy identyfikator organizacji

PAD Packet Assembler/Disassembler asembler/disasembler pakietów

PAP Password Authentication Protocol protokół uwierzytelniania hasła

PAR Positive Acknowledgement with Retransmission pozytywne potwierdzenie z retransmisją

PCM Pulse Coded Modulation modulacja impulsowa

PDN Privite Data Networks cyfrowe sieci publiczne

PLC PowerLine Communications komunikacja wykorzystująca linie energetyczne

PLP Packet Level Protocol protokół warstwy sieci w stosie protokołów X.25

POP Post Office Protocol (1) protokoł urzędu pocztowego

POP Point of Presence (2) miejsce przyłączenia (urządzeń sieciowych odbiorcy z urządzeniami komunikacyjnymi firmy telefonicznejobecności)

POTS Plain Old Telephone Service tradycyjna telefonia

PPP Point-to-Point Protocol protokół transmisji bezpośredniej (protokół dwupunktowy)

PRA Primary Rate User Access pierwotny tryb dostępu użytkownika (tryb rozszerzony)

PVC Permanent Virtual Circuit stałe łącze wirtualne

QoS Quality Of Service jakość usługi

RARP Reverse Address Resolution Protokol protokół odwrotnego odwzorowywania adresów

RIP Routing Information Protocol protokół informacji routingu

RMON Remote Monitoring zdalny nadzór

SAP Service Advertisment Protocol protokół rozgłaszania usługi

SMDS Switched Multimegabit Data Service

SDH Synchronous Digital Hierarchy hierarchia cyfrowych sygnałów synchronicznych (standard ITU)

SDLC Synchronous Data Link Control) sterowanie synchronicznym łączem danych

SFD Start of Frame Delimiter ogranicznik początku ramki

SMB Server Message Block Protocol protokół bloków komunikatów serwera

SMIME Secure Multipurpose Internet Mail Extension bezpieczne i uniwersalne rozszerzenie poczty internetowej

SMTP Simple Mail Transport Protocol prosty protokół przesyłania poczty

SNA Systems Network Architecture architektura sieci systemów

SNAP Sub-Network Access Protocol protokół dostępu podsieci

SNMP Simple Network Management Protocol prosty protokół zarządzania siecią

SONET Synchronous Optical NETwork synchroniczna sieć optyczna

SPX Sequenced Packet Exchange protokół sekwencyjnej wymiany pakietów

SSAP Source Service Access Point punkt dostępu usługi źródłowej

SSH Secure SHell bezpieczna powłoka

STM Synchronous Transport Module moduł transportu synchronicznego

STS Synchronous Transport Signal system sygnałów transportu synchronicznego

STP Spanning Tree Protocol (1) protokół częściowego drzewa

STP Shielded Twisted Pair (2) ekranowana skrętka

SVC Switched Virtual Circuit komutowany obwód wirtualny

TCP Transmission Control Protocol protokół sterowania transmisją

TELNET Network Terminal Protocol protokół końcówki sieciowej

TFTP Trivial File Transfer Protocol trywialny protokół przesyłania plików

TIA Telecommunications Industry Association Towarzystwo Przemysłu Telekomunikacyjnego

TORMAN Torun Municipal Area Network toruńska miejska sieć komputerowa

UDP User Datagram Protocol protokół datagramów użytkownika

URL Universal Resource Locator ujednolicony lokalizator zasobów

UTP Unshielded Twisted Pair nieekranowana skrętka

VLAN Virtual LAN wirtualna lokalna sieć komputerowa

WAN Wide Area Network rozległa sieć komputerowa

WLAN Wireless Local Area Network lokalna bezprzewodowa sieć komputerowa

WWW World Wide Web światowa pajęczyna




Footnotes:

¹Virtual Router Redundancy Protocol




File translated from T_EX by T_TH, version 3.40.
On 9 Jun 2005, 23:59.

---