Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

1 ADRESOWANIE IP- zadania Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej.

Podobne prezentacje


Prezentacja na temat: "1 ADRESOWANIE IP- zadania Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej."— Zapis prezentacji:

1 1 ADRESOWANIE IP- zadania Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej używaną implementacją adresu IP jest jej wersja 4 (IPv4). Kiedy dokonuje się konfiguracji karty sieciowej stacji roboczej czy serwera, należy podać kilka niezbędnych wartości (rys.): 1. adres IP hosta (IP address), np maskę podsieci (subnet mask), np bramkę (default gateway), 4. adresy serwerów DNS (Domain Name System): podstawowego i zapasowego.

2 2 ADRESOWANIE IP- zadania

3 3 Taka konfiguracja interfejsu umożliwi połączenie się z Internetem. Użytkownik będzie mógł używać nazw domen, np. zamiast adresów IP (zamiany dokona serwer DNS) – by się połączyć z serwerami Internetu. Jeśli ustawi się wyłącznie adres IP hosta i maskę podsieci, to taka konfiguracja też będzie poprawna, ale umożliwi komunikację tylko w ramach tego samego segmentu sieci (tej samej podsieci). Obecnie funkcjonują dwie wersje adresów IP – starsza, bardzo rozpowszechniona IPv4 oraz nowsza, mniej popularna IPv6. Adres IP w wersji 4 ma zawsze i niezmiennie długość 32 bitów. Należy zwrócić uwagę, że mimo binarnej natury administratorzy najczęściej przedstawiają go postaci dziesiętnej, co znacznie ułatwia posługiwanie się nim. Adres podzielony jest na cztery 8- bitowe bloki zwane oktetami:

4 4 ADRESOWANIE IP- zadania odpowiada dziesiętnej postaci adresu: Maksymalna wielkość liczby w każdym oktecie nie może przekroczyć wartości 255 ( dwójkowo). Administrator sieci musi biegle przeliczać liczby z systemu dwójkowego na dziesiętny i odwrotnie. Kiedy trzeba przedstawić adres IP w postaci binarnej, mając jego postać dziesiętną należy rozpocząć od najstarszego oktetu: Przy przeliczaniu z postaci dziesiętnej na dwójkową pomocna może być tabela obrazująca wagi dziesiętne dla poszczególnych bitów:

5 5 ADRESOWANIE IP- zadania

6 6 Od liczby dziesiętnej należy odjąć wartość 128. Jeżeli wynik tej operacji będzie liczbą dodatnią (lub zerem) w polu najstarszego, ósmego bitu należy ustawić wartość binarną 1. Od otrzymanej różnicy należy odjąć wartość 64. Jeśli wynik będzie liczbą dodatnią, w polu bitu (2^6) należy ustawić wartość 1. Jeśli wynik odejmowania będzie liczbą ujemną, dla danej pozycji bitu przypisać należy 0. Schemat liczenia przedstawiony jest w tabeli 10. NIE – przenieś liczbę do następnego kroku. TAK – do następnego kroku przenieś różnicę.

7 7 ADRESOWANIE IP- zadania

8 8 Przykład: Czy różnica 192 – ? =64 => TAK na pozycji najstarszego bitu należy ustawić wartość 1

9 9 ADRESOWANIE IP- zadania 2. Czy różnica ? 64-64=0 => TAK na pozycji kolejnego bitu należy ustawić wartość 1 Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero).

10 10 ADRESOWANIE IP- zadania Podobnie postępuje się dla kolejnych oktetów: Czy różnica ? =40 => TAK na pozycji najstarszego bitu należy ustawić wartość Czy różnica ? 40-64= - 24 => NIE na pozycji kolejnego bitu należy ustawić wartość

11 11 ADRESOWANIE IP- zadania 3. Czy różnica ? 40-32=8 => TAK na pozycji kolejnego bitu należy ustawić wartość Czy różnica ? 8-16= - 8 => NIE na pozycji kolejnego bitu należy ustawić wartość Czy różnica ? 8-8= 0 => TAK na pozycji kolejnego bitu należy ustawić wartość

12 12 ADRESOWANIE IP- zadania Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero) Podobnie wykonane obliczenia dla pozostałych dwóch oktetów dadzą wartości :

13 13 ADRESOWANIE IP- zadania Przeliczanie adresu z postaci dwójkowej na dziesiętną odbywa się zgodnie z przedstawionym przykładem: należy przedstawić adres: w postaci dziesiętnej.

14 14 ADRESOWANIE IP- zadania

15 15 ADRESOWANIE IP- zadania Adresowi w postaci binarnej odpowiada adres w postaci dziesiętnej Teoretycznie, mając do dyspozycji 32 bity, możliwe jest wygenerowanie 2^32= adresów IP. Adresy IP zostały jednak tak zaprojektowane, aby można było określić, która część jest związana z adresem całej sieci (N), a która z adresem poszczególnych hostów (H) w tejże sieci. Adresy IP zostały podzielone na klasy A, B, C, D i E (tab. 11):

16 16 ADRESOWANIE IP- zadania Tab.11. Klasy adresów IPv4 – zakres i maski domyślne (binarnie i dziesiętnie oraz zapis skrócony). Zapis skrócony wskazuje, ile bitów w masce, licząc od najstarszego, ma wartość 1.

17 17 ADRESOWANIE IP- zadania

18 18 ADRESOWANIE IP- zadania Klasa A zaczyna się od 0 do 127 (najstarszy bit ma wartość 0). Dla tej klasy adres sieci jest zdefiniowany przez 8 najstarszych bitów, natomiast pozostałe 24 bity służą do zaadresowania urządzeń w tejże sieci. W każdej sieci klasy A jest dostępnych 2^24 = (zatem przeszło szesnaście milionów siedemset siedemdziesiąt siedem tysięcy) adresów hostów. Przykład takiego adresu to: W przypadku klasy B, która zawiera się w przedziale od 128 do 191, dwa najstarsze bity będą miały odpowiednio wartość 10. Część identyfikująca sieci to dwa pierwsze oktety. Liczba dostępnych sieci w klasie B to 2^14 = 16384, a ilość adresów hostów w każdej z nich przekracza sześćdziesiąt pięć tysięcy (2^16=65536). Przykład takiego adresu to:

19 19 ADRESOWANIE IP- zadania W przypadku adresu klasy C, której adresy zawierają się w przedziale od 192 do 223 trzy najstarsze bity ustawione są odpowiednio na 110. Liczba dostępnych sieci to 2^21= , a każda z nich to obszar 2^8=256 adresów IP. Przykład takiego adresu to: Adresy klas A-C są używane do transmisji unicastowych, czyli pomiędzy wyłącznie dwoma hostami w sieci (one-to-one communication). Stosowane są również do komunikacji rozgłoszeniowej – broadcastowej (one-to-everyone communication). W przypadku adresu klasy D, o przedziale adresowym od 224 do 239, najstarsze bity mają wartości Adresy klasy D używane są do transmisji grupowej (multicast – one-to-many communication), czyli skierowanej do większej ilości hostów (np. wideokonferencja). Zastosowanie tej klasy adresów zostało dokładnie omówione m.in. w RFC-1020 i

20 20 ADRESOWANIE IP- zadania Dla adresów klasy E najstarsze bity pierwszego oktetu przyjmują wartość binarną Adresy te są zarezerwowane do celów testowych i nie wolno ich używać do adresowania hostów. Nie wszystkie adresy IP mogą być używane w Internecie. IANA (Internet Assigned Numbers Authority jest odpowiedzialna za przydział adresów IP dla potrzeb komercyjnych i doświadczalnych. Dla Europy adresy IP są przydzielane przez organizację Resaux IP Europeens – Na stronach tej organizacji znajdują się wyszukiwarki whois, które umożliwiają zdobycie informacji o właścicielu adresu IP. Adresy można podzielić na ogólne (publiczne) i do zastosowań specjalnych, w tym prywatne. Adresy ogólne są stosowane do adresowania hostów w Internecie.

21 21 ADRESOWANIE IP- zadania Adresy prywatne, nieroutowalne w sieci internetowej, są używane tylko w ramach sieci lokalnej. Administrator sieci lokalnej może używać tych adresów bez konieczności ich uzyskania od w/w organizacji. Na ten cel zostały zarezerwowane następujące adresy (tab. 12): Tab. 12. Prywatne adresy IP

22 22 ADRESOWANIE IP- zadania Adresy te mają głównie zastosowanie do adresowania hostów w Intranecie. Sieć intranetowa używa m.in. operacji NAT (Network Address Translation, RFC 1631) do komunikacji z Internetem (mapowanie adresów prywatnych na adresy publiczne). Zastosowanie tej techniki pozwala zaoszczędzić adresy publiczne i dodatkowo wpływa na bezpieczeństwo sieci intranetowych. Najważniejsze adresy do zastosowań specjalnych zostały zestawione w tabeli 13: Tab. 13. Przykłady adresów specjalnych

23 23 ADRESOWANIE IP- zadania Adresów prywatnych i specjalnych nie wolno używać w ruchu zewnętrznym, poza siecią lokalną (Intranetem). Czy aktualnie jest możliwość uzyskania pełnej klasy adresów A lub B? Odpowiedź brzmi NIE. Uzyskanie pełnej puli adresów klasy C jest w tej chwili bardzo trudne. Kiedy otrzymuje się pulę adresów klasy C (256 adresów) to do zaadresowania hostów pozostają 254 adresy. Każda bowiem sieć musi mieć swój adres sieci i adres rozgłoszeniowy (broadcastowy). Te dwa adresy nie mogą być użyte do zaadresowania hostów, np. dla sieci klasy C x (tab. 14, rys.10): Tab. 14. Zakres adresów klasy C

24 24 ADRESOWANIE IP- zadania Adres broadcastowy będzie użyty wtedy, kiedy host w sieci x będzie chciał nadać komunikat do wszystkich hostów do niej należących (wspólna domena rozgłoszeniowa). Komunikat broadcastowy nie zostanie przekazany do sieci Rys. 10. Dwie domeny broadcastowe rozdzielone routerem. Każda domena wykorzystuje całą klasę adresów IP

25 25 ADRESOWANIE IP- zadania

26 26 ADRESOWANIE IP- zadania Adres sieci będzie użyty w tablicach routingu jest niezbędny do wyznaczania tras pakietów pomiędzy sieciami. Przykładowa tablica routingu routera CISCO obsługującego złożoną sieć (protokół routingu: RIP) przedstawiona jest poniżej. R4#sh ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * – candidate default U – per-user static route, o – ODR

27 27 ADRESOWANIE IP- zadania Gateway of last resort is not set [1] R /24 [120/3] via , 00:00:12, Serial0 [2] R /24 [120/3] via , 00:00:12, Serial0 [3] C /24 is directly connected, Ethernet0 [4] R /24 [120/4] via , 00:00:13, Serial0 [5] C /24 is directly connected, Serial0 [6] R /24 [120/1] via , 00:00:13, Serial0 [7] R /24 [120/1] via , 00:00:13, Serial0 [8] R /24 [120/3] via , 00:00:13, Serial0 [9] R /24 [120/3] via , 00:00:13, Serial0 R4#

28 28 ADRESOWANIE IP- zadania W linii [1] zdefiniowana jest trasa do sieci poprzez interfejs routera o adresie Linie [2], [4], [6]-[9] definiują trasę do kolejnych sieci. Linie [3] i [5] definiują sieci bezpośrednio przyłączone do routera. Okazało się, że podział adresów na klasy spowodował bardzo szybkie wyczerpanie ze względu na ich nieefektywne wykorzystanie. Kiedy przedsiębiorstwo potrzebuje 257 adresów IP, jedna pełna klasa C nie wystarcza, trzeba użyć obszaru adresów dwóch klas C lub jednego obszaru klasy B (strata ponad 65 tysięcy adresów IP). Rozwiązaniem problemu okazało się wprowadzenie nowego systemu adresowania, w którym całą pulę adresów danej klasy dzieli się na podsieci. W systemie klasowym routery rozpoznawały adres sieci po najstarszych bitach najstarszego oktetu adresu.

29 29 ADRESOWANIE IP- zadania Można sobie wyobrazić sytuację, kiedy istnieje konieczność podziału sieci na segmenty (np. podzielenie sieci na segment administracyjny i studencki). Co zrobić, kiedy dostaje się pulę adresów klasy C, a trzeba rozdzielić sieć na kilka obszarów? Taką pulę trzeba podzielić na podsieci. Dokonuje się tej operacji, wykorzystując tę część adresu, dla której domyślna maska sieci ma wartość 0 (obszar adresu hosta). Z adresów hostów pożycza się wymaganą ilość bitów (tzw. bitów podsieci – S), która określi ilość utworzonych podsieci. Pożyczanie polega na ustawieniu wartości 1 w masce sieci wyłącznie w obszarze adresu hosta, wtedy: Adres IP = ADRES_SIECI ADRES_PODSIECI ADRES_HOSTA Proces podziału sieci na podsieci zobrazowany jest w przykładzie 1.

30 30 ADRESOWANIE IP- zadania Przykład 1: Pewne przedsiębiorstwo dostało adres z maską ( /24) Administrator musi podzielić sieć na pięć podsieci zgodnie ze schematem przedstawionym na rys. 11 (każda podsieć zaznaczona innym kolorem).

31 31 ADRESOWANIE IP- zadania

32 32 ADRESOWANIE IP- zadania Rys. Pięciosegmentowa sieć z zaznaczoną wymaganą ilością hostów w każdym segmencie (podsieci). Wyznaczyć adresy podsieci, adresy rozgłoszeniowe i adresy hostów w każdej podsieci. Jaka maksymalna liczba hostów będzie mogła pracować w każdej podsieci?

33 33 ADRESOWANIE IP- zadania 1.W pierwszej kolejności należy wyznaczyć maskę podsieci Należy określić klasę otrzymanego adresu. W przykładzie adres jest klasy C, więc jego struktura ma postać NNNNNNN.NNNNNNNN.NNNNNNN.HHHHHHHH (maska domyślna: lub /24). Nie można wykorzystać adresu sieci do operacji wydzielenia podsieci (domyślna maska), dostępne są więc TYLKO bity w czwartym oktecie adresu (8 bitów). Ile bitów "S" ( - s ang. subnet–podsieć) z obszaru HHHHHHHH powinno się pożyczyć, by utworzyć wystarczającą Liczbę Efektywnych Podsieci (LEPS)?

34 34 ADRESOWANIE IP- zadania UWAGA: Kiedy dokonuje się podziału sieci na podsieci trzeba pamiętać, że adresy hostów pierwszej (adres całej sieci) i ostatniej podsieci (adres broadcastowy całej sieci) nie powinny być wykorzystywane do adresowania urządzeń sieciowych (RFC890). Stąd pojęcie efektywnych podsieci i całkowita liczba podsieci. Niektóre routery umożliwiają wykorzystanie tych zakresów adresów. Routery CISCO wymagają w tym celu podania polecenia ip subnet-zero w procesie ich konfiguracji Choć dokument RFC1812 zezwala na użycie przestrzeni adresowej pierwszej i ostatniej podsieci, to nie ma gwarancji, że wszystkie hosty i routery będą w stanie je obsługiwać.

35 35 ADRESOWANIE IP- zadania Chcąc odpowiedzieć na powyższe pytanie, trzeba rozwiązać nierówność względem S. 2 S -2 >= LEPS gdzie: LEPS – liczba efektywnych podsieci, S – liczba bitów pobranych z obszaru hostów maski. Jednocześnie trzeba policzyć Całkowitą Liczbę Podsieci ( CLP) zgodnie z równaniem: CLP=2 S Jeśli pożyczone zostaną dwa bity: SSHHHHHH, to będzie można stworzyć 4 podsieci (CLP) o adresach: 00, 01, 10, 11 Tylko podsieci 01 i 10 będą mogły być wykorzystanie, a więc nie spełni to warunków zadania.

36 36 ADRESOWANIE IP- zadania Jeśli pożyczyć 3 bity: SSSHHHHH, to można stworzyć LEPS = =6 efektywnych podsieci (całkowita ilość podsieci CLP=2^3=8). Tak wyznaczona maska podsieci przyjmie postać: co po zamianie na system dziesiętny odpowiada wartości (/27) Tak skonstruowana maska spełni warunki zadania (potrzebnych jest 5 efektywnych podsieci).

37 37 ADRESOWANIE IP- zadania 2. Kolejnym etapem jest określenie zakresu adresów podsieci i zakresu adresów hostów. Skoro z czwartego oktetu adresu pożyczone zostały 3 bity na zaadresowanie podsieci, to pozostałe 5 bitów (SSSHHHHH) wykorzystane zostanie na obliczenie zakresu adresów poszczególnych podsieci. Z=2 H =2 5 =32 Ponieważ każda podsieć musi mieć swój adres podsieci i adres rozgłoszeniowy, to na zaadresowanie hostów pozostanie: EAH=2 H -2=2 5 -2=30 Efektywnych adresów hostów – EAH

38 38 ADRESOWANIE IP- zadania 3. Zestawiając wyniki można stwierdzić, że maska (/27) podzieli sieć na 8 podsieci (6 efektywnych). Każda podsieć będzie miała zakres 32 adresów, z czego dla hostów przewidzianych jest 30 adresów: Tab. Podział sieci klasy C na 8 podsieci (6 efektywnych podsieci)

39 39 ADRESOWANIE IP- zadania

40 40 ADRESOWANIE IP- zadania Zakres 1 (adres całej sieci) i 8 (adres rozgłoszeniowy całej sieci) nie są do wykorzystania. Zakres 7 do wykorzystania w późniejszym czasie. Maksymalna liczba hostów dla każdej podsieci: 30 (efektywne adresy IP w każdej podsieci, EAH).

41 41 ADRESOWANIE IP- zadania Rozdział adresów IP został przedstawiony na rysunku 12.

42 42 ADRESOWANIE IP- zadania Jak widać, istnieje pokaźna ilość adresów, które nie mogą być wykorzystane do adresowania hostów. Przy podziale sieci na 8 podsieci dla hostów dostępnych jest tylko 6*30=180 adresów IP z puli 254. Dodatkowo traci się znaczną ilość adresów na połączeniach punkt-punkt pomiędzy routerami (potrzebne są tylko dwa adresy IP, a pula ma ich 30). Kiedy dzieli się sieci na podsieci istnieje czasami konieczność oznaczenia, w której podsieci pracuje urządzenie, któremu nadano już adres IP (przykład 2). Bardzo często okazuje się, że administrator pomylił się i urządzenie ma przyznany nieprawidłowy adres IP (adres podsieci, adres broadcastowy podsieci lub adres z całego pierwszego i ostatniego zakresu adresów podsieci).

43 43 ADRESOWANIE IP- zadania Przykład 2 W pewnym przedsiębiorstwie drukarce przydzielono adres /29. Obliczyć, do której podsieci należy drukarka. Podać adres podsieci, zakres adresów hostów podsieci oraz adres rozgłoszeniowy podsieci. Czy adres jest prawidłowy?

44 44 ADRESOWANIE IP- zadania 1.W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnej 2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski

45 45 ADRESOWANIE IP- zadania Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: x.x.x.x Skoro x.x.x.x jest adresem klasy ?, to maska ? oznacza, że pożyczonych zostało ? Bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci. Do zaadresowania hostów pozostały ? bity, więc w podsieci może być nie więcej niż EAH=?-2= ? hostów (SSSSSHHH).

46 46 ADRESOWANIE IP- zadania Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.

47 47 ADRESOWANIE IP- zadania Zestawiając informacje można zapisać: Adres IP drukarki: Maska podsieci: Adres podsieci: Adres rozgłoszeniowy: (liczone z zakresu Z=23=8 ) Zakres adresów hostów podsieci: x.x.x.x- y.y.y.y

48 48 ADRESOWANIE IP- zadania Rozwiązanie: 1. W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnej H: S: (29 jedynek) 2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski /29

49 49 ADRESOWANIE IP- zadania Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: Skoro jest adresem klasy C, to maska /29 oznacza, że pożyczonych zostało 5 bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci. Do zaadresowania hostów pozostały 3 bity, więc w podsieci może być nie więcej niż EAH=2 3 -2= 6 hostów (SSSSSHHH).

50 50 ADRESOWANIE IP- zadania Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.

51 51 ADRESOWANIE IP- zadania Zestawiając informacje można zapisać: Adres IP drukarki: Maska podsieci: Adres podsieci: Adres rozgłoszeniowy: (liczone z zakresu Z=2 3 =8 ) Zakres adresów hostów podsieci: Adres prawidłowy (mieści się w zakresie adresów hostów i nie należy ani do pierwszej, ani do ostatniej podsieci).

52 52 ADRESOWANIE IP- zadania 6. VLSM (Variable-Length Subnet Masks) podsieci o zmiennej długości. Można sobie wyobrazić sytuację, kiedy sieć ulega rozwojowi i konieczne jest dołączenie kolejnego segmentu sieci, tak jak na rysunku 13.

53 53 ADRESOWANIE IP- zadania

54 54 ADRESOWANIE IP- zadania Rys. 13. Schemat rozbudowy przykładowej sieci. Korzystając z tabeli 17, okaże się, że brakuje adresów IP dla hostów podsieci 7. Widać również, że połączenia pomiędzy routerami Lodz i Krakow oraz Lodz i Poznan wykorzystują tylko po dwa adresy IP – traci się 56 adresów IP z podsieci 2 i 6. Gdyby podzielić podsieć na pod-podsieci, może się okazać, że zaoszczędzone zostaną kolejne adresy IP. Wybierając zakres 3 (tab. 17) dostępne są następujące adresy IP: Tab. 17.

55 55 ADRESOWANIE IP- zadania Kiedy przyjrzeć się masce sieci z przykładu 1: (/27) okazuje się, że dostępnych jest 5 bitów (zera w masce), które mogą być użyte do kolejnego podziału podsieci. Jeżeli pożyczyć 3 bity, to można będzie utworzyć 2 3 =8 pod-podsieci. Każda pod-podsieć będzie obejmowała cztery adresy (2^2), z czego dwa będą mogły być wykorzystane do adresowania połączeń miedzy routerami (punkt- punkt). Dla podsieci 3 maska ulegnie więc zmianie: (/30) Wyniki takiego podziału podsieci 3 przedstawione są w tabeli 18 (dla ułatwienia ominięte zostały pierwsze trzy, niezmienne oktety adresu: x).

56 56 ADRESOWANIE IP- zadania Tab. 18. Pod-podsieci zakresu –

57 57 ADRESOWANIE IP- zadania Używając techniki VLSM, można więc podzielić sieć na podsieci o zmiennej długości. Są to podsieci, które nie zawierają jednakowej ilości hostów. Schemat sieci po rozbudowie przedstawiono na rysunku 14: Rys. 14. Przydział adresów IP / VLSM dla siedmiu podsieci

58 58 ADRESOWANIE IP- zadania

59 59 ADRESOWANIE IP- zadania CIDR (Classless InterDomain Routing) CIDR – bezklasowy routing międzydomenowy – jest kolejną techniką stosowaną w celu lepszego zarządzania adresami IP. W CIDR adres sieci jest oznaczany poprzez maskę sieci. Adres sieci to ta część adresu IP, dla której maska sieci ma ustawione bity na 1. Adres hosta to ten obszar adresu IP, dla którego maska sieci ma ustawione bity na 0. CIDR umożliwia trasowanie pakietów w zagregowanych (połączonych) kilku kolejnych sieciach. Przykładowo, kilka kolejnych sieci, np. klasy C, może zostać połączonych są w jedną, bezklasową przestrzeń adresową. Taka przestrzeń nazwana jest supersiecią. W przestrzeni takiej nie obowiązuje podział na klasy adresów (classless). Jeśli przedsiębiorstwo potrzebuje 1000 adresów, to należy wyznaczyć liczbę bitów, która umożliwia zaadresowanie 1000 hostów (2 10 =1024). Dziesięć bitów będzie więc używane w części przeznaczonej na adresowanie hostów, a 22 określać będą adres sieci

60 60 ADRESOWANIE IP- zadania Zakładając, że adresem początkowym zakresu jest z maską /22 ( ) można wyznaczyć adres końcowy zakresu (broadcast): (razem 1024 adresów). Adresy dostępne dla hostów to zakres od do Dzięki CIDR oraz VLSM możliwa jest tez agregacja tras. Ma to na celu zmniejszenie ilości wpisów w tablicach routingu routerów. Na rysunku 15 przestawiony jest schemat sieci, gdzie pomiędzy routerami Lodz_main i Poznan_main następuje koncentracja ruchu, a tablice routingu są rozbudowane. Rysunek 15. Schemat sieci Adresy IP sieci obsługiwanych przez poszczególne routery przedstawione są w tabeli 19:

61 61 ADRESOWANIE IP- zadania

62 62 ADRESOWANIE IP- zadania

63 63 ADRESOWANIE IP- zadania Każda sieć i podsieć wymaga odpowiedniego wpisu do tablicy routingu routerów Lodz_main i Poznan_main. W omawianym przykładzie spowoduje to wygenerowanie dużej ilości takich wpisów w tych routerach. Zamiast pięciu wpisów, można zredukować ich liczbę do jednego. W tym celu trzeba wyznaczyć trasę sumaryczną (część wspólną adresów). Dokonuje się tego, używając postaci binarnej adresów. W obszarze, gdzie adres nie ulega zmianie, ustawia się bity maski na 1. Dla lewej gałęzi sieci:

64 64 ADRESOWANIE IP- zadania Tak zagregowana trasa obejmować będzie adresy sieci od do

65 65 ADRESOWANIE IP- zadania Dla prawej gałęzi sieci: Trasa sumaryczna obejmować będzie sieci od do

66 66 ADRESOWANIE IP- zadania Opracowano wiele kalkulatorów, które ułatwiają przeliczanie adresów IP. Freewareowe kalkulatory mogą być pobrane ze np. stron Famatechu (www.radmin.com) oraz Podsumowanie Stosowanie odpowiednich technik administrowania adresami IP spowodowało, że groźba wyczerpania się adresów IPv4 oddaliła się. Techniki te w pewien sposób zatrzymały rozwój i implementację protokołu IPv6. W chwili obecnej (2004) adresowanie hostów za pomocą adresów tzw. Nowej generacji (IPv6) ma zastosowanie, ale raczej do celów testowych.

67 67 Wykład Wydajny podział zasobów; multipleksacja; funkcjonalność

68 68 Wydajny podział zasobów- multipleksacja Wydajny podział zasobów jak komputery współdzielą sieć, gdy chcą jednocześnie wymieniać komunikaty? multipleksacja (multiplexing)- współdzielenie zasobu systemowego przez wielu użytkowników rozważmy prostą sieć jak na rysunku

69 69 Wydajny podział zasobów- multipleksacja załóżmy, że komputer na górze (lewa strona) porozumiewa się z komputerem na górze (prawa strona), itd. w powyższej sytuacji trzy przepływy danych są poddane multipleksacji na jednym łączu fizycznym przez komutator1 a następnie poddane demultipleksji przez komutator2 istnieje kilka metod multipleksacji przepływów na jednym łączu fizycznym rys. multipleksacja wielu logicznych przepływów na jednym łączu fizycznym

70 70 Wydajny podział zasobów- multipleksacja 1.w sieciach telefonicznych stosowana jest synchroniczna multipleksacja z podziałem czasu (synchronous-time division multiplexing- STDM) ideą STDM jest podział czasu na kwanty o jednakowym rozmiarze i danie szansy każdemu przepływowi na przesłanie danych przez łącza w trybie karuzelowym (round-robin); 2. multipleksacja z podziałem czestotliwosci (frequency-division multiplexing- FDM) nadawanie każdego przepływu na łączu fizycznym z różną częstotliwością (np. w telewizji kablowej) istotne wady STDM i FDM jeżeli jeden z przepływów nie ma już danych, to współdzielone łącze fizyczne (kwant czasu, częstotliwość) pozostaje niewykorzystane

71 71 Wydajny podział zasobów- multipleksacja 3. dlatego stosuje sie multipleksację statystyczną (statistical multiplexing) dane z pierwszego przepływu są przesyłane przez łącze, potem dane z drugiego... podobnnie jak w STDM łącze fizyczne jest współdzielone w czasie inaczej jednak niż w STDM, dane z każdego przepływu są przesyłane na żądanie, a nie we wcześniej określonej szczelinie czasowej jeżeli np. tylko jeden przepływ ma dane do przesłania, to zaczyna je przesyłać bez czekania na swój kwant nie ma mechanizmu gwarantującego, że wszystkie przepływy otrzymają szanse przesłania komunikatów aby zwiększyć taką szanse ogranicza się transmisję konkretnego przepływu definiując górną granice rozmiaru bloku danych

72 72 Wydajny podział zasobów- multipleksacja rys.komutator dokonujący multipleksacji pakietów od wielu nadawców w jedno współdzielone łącze

73 73 Wydajny podział zasobów- multipleksacja ten ograniczony blok danych nazywany jest pakietem ; komunikat aplikacji musi być podzielony na pakiety nadawane oddzielnie komputer odbiorczy ponownie połączy je w jeden komunikat jak sprawiedliwie przydzielać pojemność łącza różnym przepływom? To może być mechanizm karuzelowy, a jescze lepiej wg. algorytmu FIFO (first-in-first-out) - pierwszy przyszedł-pierwszy poszedł konieczność buforowania pakietów ; możliwość ich utraty w sytuacji przeciążenia (congestion) sieci

74 74 Wydajny podział zasobów- funkcjonalność Funkcjonalność celem sieci komputerowej jest nie tylko dostawa pakietów, ale przede wszystkim dostarczanie środków komunikacji między procesami aplikacji rozproszonych na komputerach aby dwa programy aplikacyjne mogły sie porozumiewać, musi zaistnieć wiele skomplikowanych zdarzeń, wykraczających poza proste nadanie komunikatów zdarzenia te odpowiadają określonym funkcjom, które musi zrealizować projektant sieci szereg aplikacji wymaga tych samych usług; jak więc wydzielić ten właściwy zbiór usług?

75 75 Wydajny podział zasobów- funkcjonalność rys. procesy porozumiewające się przez abstrakcyjny kanał

76 76 Wydajny podział zasobów- funkcjonalność intuicyjnie możemy patrzeć na sieć jak na dostawcę kanałów logicznych, przez które procesy z poziomu aplikacji mogą się porozumiewać każdy kanał dostarcza zbiory usług wymaganych przez aplikację wyzwanie projektanta: jakie funkcje kanał powinien dostarczać progrmowi aplikacyjnemu (aplikacji) czy można tolerować zagubienie niektórych komunikatów? czy komunikaty muszą docierać w tej samej kolejności? czy musi być zapewniona prywatność przesyłanych komunikatów?

77 77 Wydajny podział zasobów- funkcjonalność Identyfikacja wspólnych wzorców komunikacji rozpatrzmy typowe aplikacje sieciowe, z punktu widzenia wymagań związanych z projektowaniem abstrakcyjnych kanałów

78 78 Wydajny podział zasobów- funkcjonalność 1.FTP- jedna z najwcześniejszych aplikacji można tu wyróżnić składnik komunikacyjnego zdalnego dostępu do pliku: para procesów, z których jeden żąda odczytu pliku albo zapisu do pliku (klient), a drugi to notuje (serwer) czytanie z pliku pociąga za sobą nadanie przez klienta małego komunikatu do serwera i nadanie przez serwer dużego komunikatu zawierającego dane z pliku zapis działa również w odwrotny sposób: klient nadaje duży komunikat (dane do zapisu w serwerze), a serwer odpowiada małym komunikatem potwierdzającym zapis na dysku

79 79 Wydajny podział zasobów- funkcjonalność 2. najnowsza klasa aplikacji: program biblioteki cyfrowej (digital library) wyszukiwany jest w bibliotece cyfrowej określony rodzaj danych: niewielki plik tekstowy, duży obraz cyfrowy, obiekt multimedialny wzorzec komunikacji jest jednak podany w 1

80 80 Wydajny podział zasobów- funkcjonalność 3. następna klasa aplikacji: odtwarzanie zapisu wideo przez sieć w aplikacji wideo na żądanie potencjalna opcja: cały plik wideo jest pobierany z komputera zdalnego za pomocą aplikacji dostępu do pliku, a następnie odtworzony na komputerze lokalnym; konieczność otrzymania całego pliku przed rozpoczęciem odtwarzania (opóźnienie!) inna opcja: nadawca i odbiorca są odpowiednio źródłem i ujściem ramek wideo, przesyłanych jako komunikaty i po odbiorze wyświetlonych generalnie w tej aplikacji nie ma żadnych poważnych ograniczeń czasowych (np. opóźnienie 10s jest satysfakcjonujące) ramki przesyłane są w jednym tylko kierunku: wideo samo w sobie nie jest aplikacją- to raczej typ danych wykorzystywanych jako część aplikacji wideo na żądanie, albo w aplikacji telekonferencyjnej takiej jak NV

81 81 Wydajny podział zasobów- funkcjonalność 4. aplikacja telekonferencyjna typu NV (wideo na żywo) ta aplikacja ma ścisłe ograniczenia czasowe :interakcja między użytkownikami musi zachodzić we właściwym czasie gdy np. osoba wykonuje po jednej stronie jakiś gest, to odpowiadający obraz wideo musi być wyświetlony po drugiej stronie jak najszybciej; opóźnienie czyni taki system bezużyteczny w wideo na żywo, ramki przepływają zwykle w obu kierunkach

82 82 Wydajny podział zasobów- podsumowanie Podsumowanie na podstawie tych reprezentatywnych aplikacji można mówić o potrzebie dwóch typów kanałów: żądanie/odpowiedź oraz strumień komunikatów kanał typu żądanie/odpowiedż (przesyłanie plików, cyfrowa biblioteka): będzie gwarantował, że każdy komunikat nadany przez jedną stronę zostanie odebrany przez drugą stronę i będzie to tylko jedna kopia komunikatu być może będzie również chronił prywatność i spójność danych

83 83 Wydajny podział zasobów- podsumowanie kanał typu strumień komunikatów (wideo na żądanie, telekonferencje): musi być sparametryzowany w celu obsługi ruchu jednokierunkowego albo dwukierunkowego oraz w celu wspomagania opóźnień różnych wielkości nie musi gwarantować dostarczenia wszystkich komunikatów ramki muszą docierać w tej samej kolejności, w której zostały nadane kanał może wymagać wspomagania rozgłaszania grupowego projektanci dążą do najmniejszej liczby typów kanałów abstrakcyjnych zdolnych obsłużyć największą liczbę aplikacji

84 84 Wydajny podział zasobów- niezawodność Niezawodność niezawodna dostawa komunikatów jest jedną z najważniejszych funkcji, jakie sieć powinna zapewnić sieć komputerowa nie działa jednak w doskonałym świecie istnieją trzy klasy uszkodzeń:

85 85 Wydajny podział zasobów- niezawodność 1.błędy bitów (bit errors) mogą się pojawić gdy pakiet jest przesyłany przez łącze fizyczne (1 - 0 lub (0 - 1) częściej niż uszkodzenia pojedynczych bitów następuje błąd seryjny (burst error) uszkodzenie kilku kolejnych bitów powody: uderzenie pioruna, skoki napięcia błędy bitów są rzadkie: jeden bit z 10 8 lub 10 7 w kablu miedzianym, lub jeden z lub bitów w światłowodzie istnieją techniki wykrywania i poprawiania błędów; w poważnych wypadkach pakiet trzeba przesłać powtórnie

86 86 Wydajny podział zasobów- niezawodność 2.utrata całego pakietu np. w przypadku nienaprawialnego błędu pakiet musi być odrzucony lub z powodu oprogramowania (np. w komutatorze przekazującym pakiet z jednego łącza do drugiego) z powodu przeciążenia sieci- brak miejsca w buforze na zapamiętanie pakietów (problem: czy pakiet został stracony czy tylko jest opóźniony)

87 87 Wydajny podział zasobów- niezawodność 3. uszkodzenie na poziomie węzła i łącza przecięcie łącza lub awaria komputera przyłączonego do danego łącza uszkodzenia mogą być naprawione, ale mają radykalny wpływ na sieć w dłuższym okresie czasu możliwe jest np. obejście uszkodzonego węzła w sieci z komutacją pakietów problemy: rozróżnienie czy komputer jest uszkodzony czy tylko działa wolniej; czy łącze jest całkowicie przecięte czy tylko poważnie uszkodzone.

88 88 Wydajny podział zasobów- efektywność Efektywność sieć jest wykorzystywana do wymiany danych przez prowadzone na wielu komputerach obliczenia rozproszone skuteczność tych obliczeń często zależy bezpośrednio od wydajności, z jaką sieć dostarcza dane

89 89 Wydajny podział zasobów- efektywność Szerokość pasma i opóżnienie efektywność sieci mierzymy na podstawie dwóch wielkości: pasma (bandwith) zwanego również przepustowością (throughput), oraz opóżnienia (latency, delay)

90 90 Wydajny podział zasobów- efektywność 1.szerokość pasma sieci określa się przez liczbę bitów, które mogą być przesłane przez sieć w pewnym czasie (łącza cyfrowe) np. przepustowość 10 milionów bitów na sekundę (Mb/s) oznacza, że jest ona zdolna dostarczyć 10 milionów bitów w ciągu każdej sekundy niekiedy wygodniej wyobrażać sobie szerokość pasma za pomocą ilości czasu potrzebnego do przesłania każdego bitu danych dla sieci o szerokości pasma 10 Mb/s czas ten wynosi 0.1 mikrosekundy w przypadku kanału analogowego (np. głosowe łącze telefoniczne) łącze wspomaga sygnały w zakresie od 300 do 3300 Hz, a szerokość pasma wynosi 3300Hz Hz = 3000Hz

91 91 Wydajny podział zasobów- efektywność rys. można przyjąć że bity przesyłane w danej szerokości pasma mają określoną szerokość (a) bity nadawane w szerokości pasma 1 Mb/s (każdy bit o szerokości 1 mikrosekundy); (b) bity nadawane o szerokości pasma 2 Mb/s (każdy bit o szerokości 0.5 mikrosekundy)

92 92 Wydajny podział zasobów- efektywność w przypadku pojedynczego łącza fizycznego szerokość pasma to liczba bitów przesyłanych w 1 sekundzie o pojedynczym bicie możemy myśleć jako o impulsie pewnej szerokości im technika nadawania i odbioru jest lepsza, tym każdy bit może być węższy, a szerokość pasma większa

93 93 Wydajny podział zasobów- efektywność 2. opóżnienie jest to czas w którym pojedynczy bit przemieszcza się z jednego końca sieci na drugi może mieć czas oczekiwania równy 24 mikrosekundy (4800 km szerokości USA) w wielu sytuacjach ważniejsza jest wiedza o czasie przesłania bitu z jednego końca na drugi i z powrotem; takie opóżnienie to czas podróży w obie strony (round-trip-time, RTT )

94 94 Wydajny podział zasobów- efektywność całkowite opóźnienie w łączu można zdefiniować: opóźnienie = opóźnienie propagacji + czas transmisji + czas kolejkowania opóźnienie propagacji = odległość / prędkość światła prędkość światła w: próżni: 3.0*108 m/s kablu miedzianym: 2.3*108 m/s Swiatłowodzie:2.0*108 m/s czas transmisji = rozmiar / szerokość pasma odległość - długość kabla prędkość światła - efektywna prędkość światła w tym kablu rozmiar- rozmiar pakietu

95 95 Wydajny podział zasobów- efektywność szerokość pasma sieci będzie się stale poprawiać, opóźnienie programu jest jednak ograniczone przez prędkość światła kombinacja szerokości pasma i opóźnienia definiuje charakterystykę efektywności danego łącza; ich znaczenie zależy jednak od aplikacji dla pewnych zastosowań opóźnienie dominuje nad szerokością pasma, np. klient nadający jednobajtowy komunikat do serwera i odbierający jednobajtowy komunikat jest ograniczony opóźnieniem

96 96 Wydajny podział zasobów- efektywność załóżmy, że dla jakiejś aplikacji do przygotowania odpowiedzi nie są wymagane żadne poważne obliczenia aplikacja korzystająca z kanału przechodzącego przez całe USA, z czasem RTT równym 100 ms, zachowa się odmiennie od aplikacji korzystającej z kanału przechodzącego przez jeden pokój z RTT = 1ms czy kanał ma szerokość pasma 1Mb/s czy 100 Mb/s jest w tym przypadku mało istotne (czasy transmisji odpowiednio 8 i 0,08 mikrosekund ; )

97 97 Wydajny podział zasobów- efektywność rozważmy dla porównania program biblioteki cyfrowej, który odbiera żądanie przysłania obrazu o rozmiarze 25MB (megabajtów) szerokość pasma kanału ma tu dominujący wpływ np. jeżeli kanał ma szerokość pasma 10Mb/s to przesłanie obrazu zajmie 20 sekund, co powoduje, że jest nieistotne czy opóżnienie propagacji kanału wynosi 1ms czy 100ms; będzie to odpowiadało czasom odpowiedzi s lub 20.1s

98 98 Wydajny podział zasobów- efektywność

99 99 Wydajny podział zasobów- efektywność rysunek pokazuje (skala logarytmiczna) jak opóźnienie lub szerokość pasma może wpływać (zdominować) efektywność w rożnych okolicznościach obiekt jednobajtowy (naciśnięcie klawisza) obiekt o rozmiarze 2 kB ( ) obiekt o rozmiarze 1 MB (obraz cyfrowy)

100 100 Wydajny podział zasobów- efektywność Iloczyn: opóźnienie * szerokość pasma

101 101 Wydajny podział zasobów- efektywność o kanale między parą procesów możemy myśleć jako o pustej rurze, gdzie opóźnienie odpowiada długości rury, a szerokość pasma odpowiada średnicy rury. iloczyn opóźnienie * szerokość pasma czyli objętość rury - określa liczbę bitów, którą może ona pomieścić np. transkontynentalny kanał z opóźnieniem w jednym kierunku równym 50 ms i szerokością pasma równa 45 Mb/s jest zdolny pomieścić 50 * s * 45 * 10 6 bitów/s = 2.25 * 10 6 bitów czyli około 280 kB danych

102 102 Wydajny podział zasobów- efektywność znajomość tego iloczynu jest ważna podczas konstruowania sieci o wysokiej efektywności: określa on liczbę bitów, które nadajnik musi wysłać, zanim pierwszy bit dotrze do odbiornika jeżeli nadajnik oczekuje na jakikolwiek sygnał od odbiornika, że bity zaczęły napływać, a kolejne opóźnienie zajmuje propagacja sygnału z powrotem do nadajnika (myślimy o RTT), wtedy nadajnik może wysłać dane aż do podwojonej wartości tego iloczynu, zanim usłyszy od odbiornika, że wszystko jest w porządku w większości przypadków interesujemy się czasem podróży w obie strony (RTT), który odnosimy do iloczynu opóźnienie * szerokość pasma, bez wyraźnego określenia, czy iloczyn jest mnożony przez dwa ( czy to opóźnienie w jedną czy w dwie strony - będzie wynikało z kontekstu)

103 103 Subnetting- czyli podsieciowanie Wykład przedostatni Przykłady, pytania, odpowiedzi

104 104 Subnetting- czyli podsieciowanie 1.Co to jest adres IP Adres IP składa się z 4 oktetów lub inaczej - 32 bitów. Zazwyczaj jest reprezentowany za pomocą oddzielonych od siebie kropkami 4 liczb decymalnych np.: Każdy numer reprezentuje oktet. Oktet to grupa 8 bitów. Jeżeli nasz adres składa się z 4 oktetów, to mamy 8*4=32 bity. Komputery nie rozumieją notacji decymalnej, funkcjonują tylko w oparciu o format binarny, czyli 1 lub 0. Dlatego musimy znaleźć sposób na przejście z formatu dziesiętnego na binarny. Zrobimy to oktet po oktecie.

105 105 Subnetting- podsieciowanie Każdy bit w oktecie odpowiada liczbie w systemie dziesiętnym: Nr bitu Wartość Przykład: Mamy następujący adres IP: Przełóżmy go na system binarny oktet po oktecie: 131: Wartość Binarnie

106 106 Subnetting- podsieciowanie Kolumnie z jedynką zliczamy odpowiednie wartości: = : Wartość Binarnie Stosując powyższą metodę mamy: =107

107 107 Subnetting- podsieciowanie Wartość Binarnie Tutaj mamy prostą sytuację. Wynik 2. Wartość Binarnie Sytuacja jak wyżej. Wynik 4.

108 108 Subnetting- podsieciowanie Zapiszemy teraz nasz adres w notacji binarnej: Adres IP składa się z dwóch różnych części: Numeru sieci i Numeru hosta. Kiedy próbujemy zapingować jakiś adres IP, powłoka 3 próbuje sprawdzić czy adres IP jest lokalny czy zdalny dla naszej sieci. Aby to wytłumaczyć, posłużę się przykładem z życia: Dla przykładu, Ja mieszkam w Poznaniu. Ty mówisz, że też mieszkasz w Poznaniu. Czy jesteśmy sąsiadami ? Możemy być, lub nie. Nie mamy dość informacji aby odpowiedzieć na to pytanie. Kiedy będziemy mogli być sąsiadami ? Jeżeli mieszkamy w tym samym mieście i na tej samej ulicy to jesteśmy sąsiadami. Jeżeli nie mieszkamy w tym samym mieście, to nie ważna jest już ulica, ponieważ na pewno nie jesteśmy sąsiadami. To samo odnosi się do adresów IP. Zanim system sprawdzi jaki jest numer hosta (ulica) sprawdza jaki jest numer sieci (miasto) - stad wie, czy jest to ta sama sieć czy inna.

109 109 Subnetting- podsieciowanie 2. Co to jest maska sieci ? Maska sieciowa jest stosowana, aby rozpoznać czy adres IP z którym próbujemy się skontaktować należy do tej samej sieci co nasz, czy do innej. Pomaga sprawdzić która część adresu IP to numer sieci a która jest numerem hosta. Jak to się dzieje ? Przyjrzyjmy się przykładowej masce sieciowej: Jest ona zapisana w formacie decymalnym oddzielonym kropkami. Musimy ją przetłumaczyć komputerowi na format binarny.

110 110 Subnetting- podsieciowanie 255: Wartość Binarnie Zliczamy odpowiednie cyfry przy jedynkach: =255 0: Wartość Binarnie Tutaj nie ma co liczyć. W wyniku mamy 0. Wiemy już, że 255 to same jedynki, a 0 to same zera. Binarnie to wygląda następująco:

111 111 Subnetting- podsieciowanie Jeżeli połączymy nasz adres IP i maskę sieciową otrzymamy: Bity numeru sieci zostały zaznaczone na czerwono, a bity hosta na niebiesko. Wszystkie bity sieciowe w adresie IP mają wartość "1" w masce sieciowej, a bity hosta mają "0" w masce sieciowej. Proste, prawda ?? W naszym przykładzie numer sieci to , a numer hosta to 4. Jeżeli zmienię maskę sieciową na , to co się stanie ? Zobaczmy na przykładzie:

112 112 Subnetting- podsieciowanie Okazuje się, że numer sieci to a numer hosta 2.4. To jest dowód na to, że adres IP nie może istnieć bez maski sieciowej Spójrzmy na dwa poniższe adresy: i Są to adresy lokalne dla siebie nawzajem, czy nie ?? Nie możemy odpowiedzieć na to pytanie ponieważ jest ono niekompletne. Musimy znać maskę sieciową, aby udzielić odpowiedzi. Spróbujmy z maską

113 113 Subnetting- podsieciowanie Czy numer sieci się zgadza ?? Spójrzmy na 3 oktet: Jeżeli numer sieci się nie pokrywa, to 2 numery IP należą na pewno do różnych sieci. Aby komputery z jednej sieci do drugiej mogły się przedostać potrzebujemy router-a. Spróbujmy z inną maską:

114 114 Subnetting- podsieciowanie Czy teraz numery sieci pasują do siebie ?? TAK Jeżeli 2 numery sieci pasują do siebie, oba adresy IP należą do tej samej sieci.

115 115 Subnetting- podsieciowanie 3. Co oznaczają klasy IP ? Na pewno słyszeliście o klasach adresów IP nazywanych literkami A, B i C. Jak to działa ? Spójrzmy na następującą tabelkę: Klasa A *0xxxxxxx Klasa B xxxxxx Klasa C xxxxx

116 116 Subnetting- podsieciowanie * adres zaczynający się na 127 to część klasy A, ale nie można używać adresów 127.x.x.x ponieważ są one zarejestrowane dla adresu pętli zwrotnej komputera lokalnego. Co to oznacza ? Jeżeli mówimy o klasie adresu IP, należy patrzeć tylko na pierwszy oktet, aby określić z jakiej klasy jest adres. Dla klasy A, pierwszy oktet na pewno będzie się zaczynał od 0. Najniższy bit pierwszego oktetu to , a najwyższy to (dziesiętnie to przedział od 1 do 127). Dla klasy B, pierwszy oktet na pewno będzie się zaczynał od 10. Najniższy bit pierwszego oktetu to , a najwyższy to (dziesiętnie to przedział od 128 do 191). Dla klasy C, pierwszy oktet na pewno będzie się zaczynał od 110. Najniższy bit pierwszego oktetu to , a najwyższy to (dziesiętnie to przedział od 192 do 223). Istnieją odpowiednie maski sieciowe dla odpowiednich klas: Klasa A Klasa B Klasa C

117 117 Subnetting- podsieciowanie Oczywiście możemy stosować różne maski dla adresów z różnych klas w zależności co chcemy osiągnąć. Tak było w przypadku adresów i przy masce z klasy C Co to jest subnetting ?? Subnetting - po Polsku podsieciowanie, to akcja mająca na celu podzielenie puli (zakreu) adresów IP z tej samej sieci na kilka podsieci - gdzie adres IP z jednego zakresu będzie adresem zdalnym z innego zakresu. Jeżeli chcesz wiedzieć ile hostów (komputerów) masz w zakresie IP, najpierw musisz sprawdzić ile masz bitów. Spróbujmy na poprzednim przykładzie z adresem i maską Z poprzednich przykładów wiemy, że adres sieci to a adres hosta to 4. innymi słowy mamy 3 oktety dla numeru sieci i 1 dla numeru hosta. Kiedy już wiemy ile bitów przypada na numer hosta możemy skorzystać z następującej reguły:

118 118 Subnetting- podsieciowanie ((2^N)-2) = ilość hostów, gdzie N to ilość bitów przypadających na numer hosta To daje nam: ((2^8)-2) = 254 hosty Wnioskujemy, że mamy do czynienia z siecią x, w której możemy zaadresować do 254 lokalnych hostów. Co się stanie, kiedy wybierzemy maskę z klasy A ? Zobaczmy: ((2^24)-2) = poprawnych adresów IP w jednym zakresie ! Co, jeżeli nie potrzebujemy tylu hostów ?? Właściwym rozwiązaniem byłoby podzielenie tego wielkiego zakresu na kilka(naście) mniejszych - łatwiejszych w zarządzaniu. Z pomocą przychodzi nam podsieciowanie. Stwórzmy podsieci, Dlaczego we wzorze mamy minus 2 hosty ?? Ponieważ tracimy numery z samymi zerami (które oznaczają numer sieci) oraz numery z samymi jedynkami (które oznaczają adres brodcast).

119 119 Subnetting- podsieciowanie Aby odpowiednio podzielić zakres na podsieci możemy skorzystać z tabelki: Wartość Maska podsieci Ilość podsieci To jedyna tabelka, którą należy zrozumieć, aby poprawnie obliczyć podsieci. Pierwsza linia jest oczywista, więc nie będę jej znów opisywał. Druga linia mówi nam jaką maskę musimy przyjąć (chodzi o oktet w którym normalnie jest 0). Skąd się wzięły te wartości ? Jeżeli dodamy wartość z poprzedzającej linii 2 do wartości z linii 1 to otrzymamy: =192+32=224+16=240+8=248+4=252+2=254+1=255 Proste ?

120 120 Subnetting- podsieciowanie Trzecia linia mówi nam ile podsieci otrzymamy przy wykorzystaniu maski podsieci z odpowiedniej drugiej linii. Innymi słowy: jeżeli użyjesz 192 w twojej masce sieciowej otrzymasz 2 podsieci. Jak otrzymałem te wartości ? Ile bitów muszę ustawić, aby otrzymać 192 ? Hmmm, dodaję 128 i 64, więc są to 2 bity. Możemy utworzyć wzór: ((2^2)-2)=2

121 121 Subnetting- podsieciowanie Przykład podsieciowania. Mamy zakres IP o adresie i masce Chcemy mieć 6 podsieci. Co robimy ? Spoglądamy na tabelkę powyżej i widzimy, że aby podzielić zakres na 6 podsieci potrzebujemy maski 224. Nasza maska w tej chwili wygląda tak:

122 122 Subnetting- podsieciowanie Nie możemy "zabrać" żadnych bitów z numeru sieci ponieważ mamy tam same jedynki. Możemy tylko zrobić to z numerem hosta. Zamieniamy zatem trzeci oktet na naszą podsieć. W wyniku otrzymujemy Binarnie to wygląda następująco: Zabraliśmy zatem 3 bity z numeru hosta. Zamieniliśmy je na "1". Te trzy bity to: =224 Możemy teraz wyliczyć ile hostów możemy zaadresować w naszych podsieciach. Zera oznaczają numery hostów, więc: ((2^13)-2)=8190 hostów na zakres

123 123 Subnetting- podsieciowanie Odpowiedź na nasze przykładowe pytanie jest następująca: Nasza nowa maska sieciowa dla sieci x.x to , przy której możemy stworzyć 6 podsieci z 8190 hostami w każdej z nich. Postawmy następne pytanie: Jakie są te przedziały ?? Nasze dane zebrane do tej pory to: Oryginalny zakres IP: x.x Oryginalna maska sieciowa: Maska podsieciowa: Ilość podsieci: 6 Pierwszy poprawny zakres adresów IP to Jak go uzyskałem ? Już piszę ….

124 124 Subnetting- podsieciowanie Po prostu odpowiedziałem sobie na pytanie: Jaki jest najniższy bit potrzebny do uzyskania mojej maski podsieciowej 224 ?? Odpowiedź to: 32 (pamiętacie: =224). Mamy teraz więcej danych: Wartość dziesiętna najniższego bitu32 Maska podsieciowa224 Ilość podsieci6 Obrazowo można to przedstawić tak: Aby uzyskać 6 podsieci musimy użyć maski 224 i rozpocząć nasz pierwszy zakres od 32. Kolejne zakresy tworzymy inkrementując (zwiększając) nasze bity o 32. Nasz zakresy będą wyglądać następująco:

125 125 Subnetting- podsieciowanie Jak widać, aby uzyskać następny zakres, po prostu zwiększam trzeci oktet o 32 (cyfry na czerwono). Z kolei wartości na niebiesko to następne wartości czerwone pomniejszone o 1.

126 126 Subnetting- podsieciowanie OK. Spróbujmy teraz stworzyć zakresy dla sieci z klas A i C. Oryginalny zakres IP: 10.x.x.x Oryginalna maska sieciowa: Ilość potrzebnych podsieci: 14 Aby uzyskać 14 podsieci należy użyć maski 240, dlatego nasza nowa maska będzie następująca: Uwaga!!! Najniższy bit jest teraz w oktecie 2 a nie w 3. Wartość najniższego bitu w 240 to 16. Dlatego zaczynamy nasze zakresy od 16 i zwiększamy o 16. Wynik:

127 127 Subnetting- podsieciowanie

128 128 Subnetting- podsieciowanie Teraz zróbmy to samo dla klasy C. Pamiętajcie, że klasa C jest najtrudniejsza, więc bądźcie ostrożni !! Oryginalny zakres IP: x Oryginalna maska sieciowa: Ilość potrzebnych podsieci: 6 Aby uzyskać 6 podsieci musimy użyć maski 224, dlatego nasza nowa maska podsieniowa będzie następująca: Nasz bit podsieniowy jest teraz w 4 oktecie, nie w trzecim lub drugim tak jak to było w poprzednich przykładach. To będzie bardzo ważne przy tworzeniu podsieci. Jaka jest wartość najniższego bitu ?? 32. Dlatego nasz pierwszy zakres będzie się zaczynał od 32 w czwartym oktecie i będzie zwiększany o 32. Nasze zakresy powinny wyglądać tak:

129 129 Subnetting- podsieciowanie Zaraz, zaraz. Miało się zaczynać od 32. O co chodzi ??

130 130 Subnetting- podsieciowanie Pamiętacie poprzednie przykłady ? Zawsze startowaliśmy od.1 (w czwartym oktecie). Dlatego przykład z klasą C jest wyjątkowy. Więc dlaczego nie możemy zacząć od adresu z maską ? Spójrzmy na tabelkę poniżej: Wychodzi na to, że numer hosta składa się z samych zer. Ten adres jest zabroniony !!!

131 131 Wykład- jeden z ostatnich Wykład- jeden z ostatnich Sieci komputerowe Wykład: Ochrona systemów i sieci komputerowych

132 132 Ochrona systemów i sieci komputerowych Rozróżniamy dwa podstawowe sposoby ochrony: ochrona kryptograficzna; rozgraniczenie dostępu; Problem bezpieczeństwa nie został definitywnie rozwiązany, choć wydawałoby się, że jest to problem o małej złożoności. Błąd w podejściu do bezpieczeństwa sieci i systemów został popełniony w przeszłości. Nikt nie przypuszczał, że nastąpi taki rozwój sieci, że problemy bezpieczeństwa będą miały aż taką wagę. Niestety zakres zagrożeń przerósł wyobrażenia ludzi, którzy tworzyli podstawy protokołów, sieci. Podstawowy protokół IP liczy 30 lat. Dane przesyłane w nim są otwartym tekstem, więc nie trzeba wiele wysiłku aby przejąć np. hasło wysyłane tym protokołem. Nie warto jednak zmieniać i modyfikować protokołu, ponieważ wiele programów po zmianie nie współpracowałoby z IP. Modyfikacja programów wymagała by ogromnych nakładów finansowych. Z tego powodu bezpieczeństwo w samej sieci nie jest zapewnione.

133 133 Ochrona systemów i sieci komputerowych Rozgraniczanie dostępu - na poziomie sieci i systemu operacyjnego; -zapewnienie niekolizyjności zadań, a nie tylko ochrona danych przed innymi użytkownikami. Przykład: zapory ogniowe, bramkowanie Ochrona kryptograficzna - ochrona poufałości - ochrona autentyczności Przykład: podpis cyfrowy Zazwyczaj w ochronie systemów i sieci nie stosuje się tylko jednego rodzaju zabezpieczeń, lecz wielu różnych. Więcej zabezpieczeń to większe prawdopodobieństwo, że nasze dane będą bezpieczne – potencjalny intruz może nie dać rady przełamać wszystkich zabezpieczeń, lub może się po prostu zniechęcić.

134 134 Ochrona systemów i sieci komputerowych Przykład: W drogim samochodzie jest wiele alarmów, ale np. alarm w trabancie może przewyższyć cenę samego auta. Czyli jeśli mamy system, który łatwo odtworzyć i nie mamy w nim danych, które mogłyby kogoś interesować to nie warto inwestować w zaawansowane zabezpieczenia. Narzędzia kryptografii wykorzystywane są do ochrony poufności i autentyczności. Rozgraniczanie dostępu może być funkcją systemu operacyjnego lub samej sieci (ściany ogniowe – zapory).

135 135 Ochrona systemów i sieci komputerowych 1. OCHRONA KRYPTOGRAFICZNA 1.1 Model systemu kryptograficznego

136 136 Ochrona systemów i sieci komputerowych Pierwszym elementem w systemie ochrony kryptograficznej jest tekst jawny, najczęściej generowany przez użytkownika. W systemie komputerowym zostaje on przetworzony do postaci zero- jedynkowej. Szyfrowanie polega na przetwarzaniu takich właśnie ciągów binarnych. Szyfrowania nie należy mylić z kodowaniem.

137 137 Ochrona systemów i sieci komputerowych Następnym elementem jest szyfrator, na wyjściu którego uzyskujemy tekst tajny (kryptogram). Szyfrowanie może następować programowo lub sprzętowo. Algorytmy szyfrowania są bardzo złożone obliczeniowo, aby przyśpieszyć ten proces często wykorzystywane jest szyfrowanie sprzętowe. Poza tym, gdyby proces miał być wykonywany programowo, wszystkie dane znajdowałyby się w systemie operacyjnym, gdzie możliwe by było udostępnienie tekstu jawnego i tajnego niepowołanym osobom. Szyfrator pracuje w oparciu o algorytmy szyfrowania. Na świecie istnieje około 800 takich algorytmów. Większość z nich jest jawna, tylko kilka jest utajnionych, ponieważ znajomość działania algorytmu nie pozwala na odszyfrowanie tekstu tajnego. Kryptoanalityk aby odszyfrować tekst, potrzebuje kawałek tekstu jawnego i kawałek tekstu tajnego, a nie interesuje się metodą szyfrowania.

138 138 Ochrona systemów i sieci komputerowych Algorytmy szyfrowania opierają się na dwóch podstawowych operacjach: podstawiania przestawiania. To, jakie operacje wykorzystujemy w algorytmie zależy od rodzaju szyfrowania. Jeśli ten sam klucz wykorzystywany jest do deszyfrowania i szyfrowania, to prawie wyłącznie stosujemy podstawianie i przestawianie. W przypadku dwóch komplementarnych kluczy w ogóle nie wykorzystywane są operacje podstawiania i przestawiania, tylko inne złożone operacje obliczeniowe. Klucz to tajna informacja, która opisuje sposób przekształcania tekstu do postaci niezrozumiałej i odwrotnie. Decyduje w znacznym stopniu, jak silne jest szyfrowanie.

139 139 Ochrona systemów i sieci komputerowych 1.2 Szyfrowanie symetryczne (klasyczne lub z kluczem tajnym) W szyfrowaniu tym operacje szyfrowania i deszyfrowania realizowane są z wykorzystaniem jednego i tego samego klucza.

140 140 Ochrona systemów i sieci komputerowych W przypadku szyfrowania symetrycznego musi istnieć bezpieczny kanał przesyłania klucza, gdyż klucz musi być taki sam u nadawcy i odbiorcy, a jest to klucz jest tajny. Poza tym każda para użytkowników chcąc szyfrować wiadomości do siebie musiałaby mieć unikalny klucz prywatny. W ten sposób liczba wykorzystywanych kluczy w przypadku korespondencji z wieloma osobami wzrasta nam do olbrzymich rozmiarów. Stosowanie szyfrowania symetrycznego jest wygodne gdy mamy stałe, jedno połączenie, np. transfer filia – bank. Do wad kryptografii symetrycznej odnosimy: - konieczność tworzenia bezpiecznego kanału przesyłania kluczy; - znaczna liczba kluczy. Jego zaletami są: - wysoka szybkość szyfrowania (operacje proste do wykonania w systemie nie powodują opóźnień); -bardzo wysoki stopień ochrony. Z założenia życie kluczy jest na tyle krótkie, że gdyby nawet zaszyfrowany klucz wpadł w ręce kryptoanalityka, to nie ma on na tyle czasu żeby go złamać.

141 141 Ochrona systemów i sieci komputerowych Historia Pierwsze szyfry pojawiły się w czasach rzymskich (około roku 100 p.n.e.) w czasie panowania Juliusza Cezara. Początkowo były to szyfry bez klucza. Szyfry z kluczem to lata 20-te XX wieku, wykorzystywane podczas Pierwszej Wojny Światowej. Pierwszy profesjonalny klucz powstał w 1969 roku – Lucifer, zaś pierwszy akredytowany to DES (1977).

142 142 Ochrona systemów i sieci komputerowych 1.3 Szyfrowanie asymetryczne W szyfrowaniu tym operacje szyfrowania i deszyfracji odbywają się z wykorzystywaniem pary komplementarnych kluczy. Szyfrowanie ma dwa cele: - ochronę poufności – tj. udostępnianie informacji wyłącznie tym osobom, którzy posiadają uprawnienia (np. poczta elektroniczna) - ochronę autentyczności W przypadku szyfrowania symetrycznego, gdy klucz nie jest skompromitowany (czyli nie wpadł w ręce niepowołanych osób), wraz z ochroną poufności otrzymujemy również ochrona autentyczności. Inaczej sprawa ma się z szyfrowaniem asymetrycznym. Szyfrowanie asymetryczne może chronić jedynie poufność, jedynie autentyczność, lub i poufność i autentyczność.

143 143 Ochrona systemów i sieci komputerowych

144 144 Ochrona systemów i sieci komputerowych W celu ochrony poufności nadawca szyfruje wiadomość kluczem publicznym odbiorcy. Tylko klucz prywatny, który znajduje się w rękach odbiorcy, może rozszyfrować kryptogram. Nadawca może więc być pewien, że nikt inny nie przeczyta wiadomości. Klucz publiczny jest dostępny, jawny, może być rozpowszechniany przez strony www, przez centralne bazy danych kluczy itd. Natomiast klucz prywatny jest tajny, powinien być chroniony. W przypadku szyfrowania asymetrycznego pojawia się problem stworzenia kluczy komplementarnych, tak aby posiadanie klucza publicznego nie pomagało w deszyfracji. Aktualnie do tworzenia klucza wykorzystuje się duże liczby pierwsze od Wady: - duża złożoność obliczeniowa (1000 – razy większa niż szyfrowania symetrycznego); - moc szyfrowania jest mniejsza. Standardowo szyfrowanie symetryczne to klucz 56-bitowy, aby uzyskać taką samą moc w szyfrowaniu asymetrycznym należałoby posłużyć się kluczem 512-bitowym.

145 145 Ochrona systemów i sieci komputerowych

146 146 Ochrona systemów i sieci komputerowych Do ochrony autentyczności wykorzystuje się klucz nadawcy. W celu zaszyfrowania wiadomości nadawca szyfruje wiadomość swoim kluczem prywatnym. Nikt inny nie zna tego klucza, więc odbiorca deszyfrujący kluczem publicznym nadawcy może być spokojny, że nadawca jest tym za kogo się podaje. W przypadku gdy chce się aby była chroniona zarówno autentyczność jak i poufność wiadomości, można stosować szyfrowanie wiadomości najpierw kluczem prywatnym nadawcy, a następnie kluczem publicznym odbiorcy. Istnieją również inne metody szyfrowania, np.: - losowe, budowane są generatory pseudolosowe synchronizowane, skuteczne, gdy nie uda się zdobyć kawałka tekstu jawnego i tajnego; - stenagografia – polega na ukrywaniu w pewnych formatach danych informacje tajne, ujawnienie takiego algorytmu wiąże się z jego kompromitacją.

147 147 Ochrona systemów i sieci komputerowych 1.4 Podpisy cyfrowe Podpis cyfrowy to ochrona autentyczności realizowana z wykorzystywaniem funkcji skrótu i kryptografii asymetrycznej. Podpisywany dokument jest skracany z wykorzystaniem funkcji haszującej. Otrzymany w ten sposób skrót o stałej długości jest szyfrowany metodą ochrony autentyczności. Następnie podpis i tekst jawny są konkatenowane. W takiej postaci są one przesyłane do odbiorcy. Odbiorca oddziela tekst jawny od podpisu. Deszyfruje podpis, a następnie porównuje go z uzyskanym samodzielnie skrótem tekstu jawnego. Identyczność obu skrótów gwarantuje autentyczność tekstu jawnego.

148 148 Ochrona systemów i sieci komputerowych Jeśli chcemy przesłać jawny dokument w sposób wiarygodny, możemy wykorzystać szyfrowanie asymetryczne z ochroną autentyczności, ale w ten sposób musielibyśmy szyfrować cały dokument, co często jest niewygodne. Dlatego właśnie zastosowano podpis cyfrowy. Najpierw otrzymujemy skrót dokumentu (hash), który jest ciągiem o określonej długości (128b – 4 kb). Niewielkie zmiany w dokumencie powodują duże zmiany w skrócie (zmiana 1 bitu to zmiana 99% bitów w skrócie). Widać więc, że skrót jest bardzo wrażliwy na manipulacje. Przesyłamy do odbiorcy jawny dokument plus zaszyfrowany hash (szyfrowanie asymetryczne z ochroną autentyczności). Odbiorca sam tworzy jeszcze raz skrót dokumentu i porównuje go z otrzymanym. Jeśli uzyskany skrót jest identyczny ze skrótem rozszyfrowanym, to wiadomość jest wiarygodna.

149 149 Ochrona systemów i sieci komputerowych 2. ROZGRANICZANIE DOSTĘPU 2.1 Ściany ogniowe W najprostszym przypadku ściana ogniowa jest bramą łączącą sieć prywatną z siecią publiczną.

150 150 Ochrona systemów i sieci komputerowych Przedstawiona architektura realizowana jest najczęściej za pomocą routera ekranującego, w którym ruch jest filtrowany na podstawie specjalnej listy dostępowej. Ponieważ router jest urządzeniem funkcjonującym na bazie warstwy sieci, realizowanie zaawansowanych usług filtrujących (wyższych wartstw) jest niemożliwe. Z tego powodu kolejną architekturą jest architektura z routerem ekranującym i hostem bastionem.

151 151 Ochrona systemów i sieci komputerowych Host bastion to najczęściej komputer z wielostanowiskowym systemem operacyjnym. Gdy duży ruch jest w sieci HB może stać się wąskim gardłem sieci, poza tym ta struktura nie chroni przed atakami z wewnątrz sieci i HB można obejść.

152 152 Ochrona systemów i sieci komputerowych 2.2 Polityka administrowania ścianą ogniową Nic co nie jest jawnie zezwolone jest zabronione. Bardzo bezpieczna strategia. Administrator określa jakie usługi będą dostępne w sieci, z zasady niebezpieczne usługi są eliminowane. Pojawia się problem gdy w sieci jest nowy użytkownik, albo nowy problem wymagający nowej usługi. Wszystko trzeba samemu określić. Bardzo pracochłonne. Nic co nie jest jawnie zabronione jest zezwolone. Metoda efektywana w działaniu, ale pogarsza parametry bezpieczeństwa. Administrator musi określić wszystkie niebezpieczne usługi.

153 153 Ochrona systemów i sieci komputerowych 2.3 Polityka bezpieczeństwa Polityka bezpieczeństwa to zestaw zasad organizacyjnych zapewniających bezpieczeństwo systemu informatycznego. W polityce zawarte są m.in.: zagrożenia i zakres ochrony; zakres kompetencji i odpowiedzialności. Podstawowymi dokumentami określającymi politykę bezpieczeństwa są: RFC 1224 PN-I Innymi elementami systemu bezpieczeństwa są: specyfikacja bezpieczeństwa; model bezpieczeństwa.

154 154 Ochrona systemów i sieci komputerowych Literatura [1] Vademecum teleinformatyka IDG Poland S.A r. [2] L. Petersen, B. Davie Sieci komputerowe – podejście systemowe Nakom 2000 r. [3] Tom Sheldon, Wielka encyklopedia sieci komputerowych Robomatic 1999 r. [4] William Stallings, Ochrona danych w sieci i intersieci Wydawnictwo Naukowo- Techniczne 1997 r. [5] J. Stokłosa, T. Bilski, T. Pankowski, Bezpieczeństwo danych w systemach informatycznych, Wydawnictwo Naukowe PWN [6] Schneier Bruce, Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowe w języku C, WNT 2002.

155 155 Ochrona systemów i sieci komputerowych

156 156 Ochrona systemów i sieci komputerowych

157 157 Ochrona systemów i sieci komputerowych

158 158 Ochrona systemów i sieci komputerowych


Pobierz ppt "1 ADRESOWANIE IP- zadania Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej."

Podobne prezentacje


Reklamy Google