ADRESOWANIE IP- zadania Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej używaną implementacją adresu IP jest jej wersja 4 (IPv4). Kiedy dokonuje się konfiguracji karty sieciowej stacji roboczej czy serwera, należy podać kilka niezbędnych wartości (rys.): 1. adres IP hosta (IP address), np. 192.168.2.50 2. maskę podsieci (subnet mask), np. 255.255.255.0 3. bramkę (default gateway), 4. adresy serwerów DNS (Domain Name System): podstawowego i zapasowego.
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Taka konfiguracja interfejsu umożliwi połączenie się z Internetem. Użytkownik będzie mógł używać nazw domen, np. www.wp.pl zamiast adresów IP (zamiany dokona serwer DNS) – by się połączyć z serwerami Internetu. Jeśli ustawi się wyłącznie adres IP hosta i maskę podsieci, to taka konfiguracja też będzie poprawna, ale umożliwi komunikację tylko w ramach tego samego segmentu sieci (tej samej podsieci). Obecnie funkcjonują dwie wersje adresów IP – starsza, bardzo rozpowszechniona IPv4 oraz nowsza, mniej popularna IPv6. Adres IP w wersji 4 ma zawsze i niezmiennie długość 32 bitów. Należy zwrócić uwagę, że mimo binarnej natury administratorzy najczęściej przedstawiają go postaci dziesiętnej, co znacznie ułatwia posługiwanie się nim. Adres podzielony jest na cztery 8-bitowe bloki zwane oktetami:
ADRESOWANIE IP- zadania 11000000. 10101000.00000010. 00110010 odpowiada dziesiętnej postaci adresu: 192.168.2.50 Maksymalna wielkość liczby w każdym oktecie nie może przekroczyć wartości 255 (11111111 dwójkowo). Administrator sieci musi biegle przeliczać liczby z systemu dwójkowego na dziesiętny i odwrotnie. Kiedy trzeba przedstawić adres IP w postaci binarnej, mając jego postać dziesiętną należy rozpocząć od najstarszego oktetu: 192.168.2.50 Przy przeliczaniu z postaci dziesiętnej na dwójkową pomocna może być tabela obrazująca wagi dziesiętne dla poszczególnych bitów:
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Od liczby dziesiętnej należy odjąć wartość 128. Jeżeli wynik tej operacji będzie liczbą dodatnią (lub zerem) w polu najstarszego, ósmego bitu należy ustawić wartość binarną 1. Od otrzymanej różnicy należy odjąć wartość 64. Jeśli wynik będzie liczbą dodatnią, w polu bitu (2^6) należy ustawić wartość 1. Jeśli wynik odejmowania będzie liczbą ujemną, dla danej pozycji bitu przypisać należy 0. Schemat liczenia przedstawiony jest w tabeli 10. NIE – przenieś liczbę do następnego kroku. TAK – do następnego kroku przenieś różnicę.
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Przykład: 192.168.2.50 1. Czy różnica 192 – 128 ≥ 0 ? 192-128=64 => TAK na pozycji najstarszego bitu należy ustawić wartość 1
ADRESOWANIE IP- zadania 2. Czy różnica 64-64 ≥ 0 ? 64-64=0 => TAK na pozycji kolejnego bitu należy ustawić wartość 1 Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero).
ADRESOWANIE IP- zadania Podobnie postępuje się dla kolejnych oktetów: 192.168.2.50 1. Czy różnica 168-128 ≥ 0 ? 168-128=40 => TAK na pozycji najstarszego bitu należy ustawić wartość 1 128 64 32 16 8 4 2 1 1 2. Czy różnica 40-64 ≥ 0 ? 40-64= - 24 => NIE na pozycji kolejnego bitu należy ustawić wartość 0 1 0
ADRESOWANIE IP- zadania 3. Czy różnica 40-32 ≥ 0 ? 40-32=8 => TAK na pozycji kolejnego bitu należy ustawić wartość 1 128 64 32 16 8 4 2 1 1 0 1 4. Czy różnica 8-16 ≥ 0 ? 8-16= - 8 => NIE na pozycji kolejnego bitu należy ustawić wartość 0 1 0 1 0 5. Czy różnica 8-8 ≥ 0 ? 8-8= 0 => TAK 128 64 32 16 8 4 2 1 1 0 1 0 1
ADRESOWANIE IP- zadania Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero). 128 64 32 16 8 4 2 1 0 1 0 1 0 0 0 Podobnie wykonane obliczenia dla pozostałych dwóch oktetów dadzą wartości : 192.168.2.50
ADRESOWANIE IP- zadania 192.168.2.50 Przeliczanie adresu z postaci dwójkowej na dziesiętną odbywa się zgodnie z przedstawionym przykładem: należy przedstawić adres: 01011011 . 00011010 . 00100110 . 11101010. w postaci dziesiętnej.
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Adresowi w postaci binarnej 01011011 . 00011010 . 00100110 . 11101010 odpowiada adres w postaci dziesiętnej 91.26.38.234 Teoretycznie, mając do dyspozycji 32 bity, możliwe jest wygenerowanie 2^32=4’294’967’296 adresów IP. Adresy IP zostały jednak tak zaprojektowane, aby można było określić, która część jest związana z adresem całej sieci (N), a która z adresem poszczególnych hostów (H) w tejże sieci. Adresy IP zostały podzielone na klasy A, B, C, D i E (tab. 11):
ADRESOWANIE IP- zadania Tab.11. Klasy adresów IPv4 – zakres i maski domyślne (binarnie i dziesiętnie oraz zapis skrócony). Zapis skrócony wskazuje, ile bitów w masce, licząc od najstarszego, ma wartość 1.
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Klasa A zaczyna się od 0 do 127 (najstarszy bit ma wartość 0). Dla tej klasy adres sieci jest zdefiniowany przez 8 najstarszych bitów, natomiast pozostałe 24 bity służą do zaadresowania urządzeń w tejże sieci. W każdej sieci klasy A jest dostępnych 2^24 =16’777’216 (zatem przeszło szesnaście milionów siedemset siedemdziesiąt siedem tysięcy) adresów hostów. Przykład takiego adresu to: 80.17.255.14 W przypadku klasy B, która zawiera się w przedziale od 128 do 191, dwa najstarsze bity będą miały odpowiednio wartość 10. Część identyfikująca sieci to dwa pierwsze oktety. Liczba dostępnych sieci w klasie B to 2^14 = 16’384, a ilość adresów hostów w każdej z nich przekracza sześćdziesiąt pięć tysięcy (2^16=65’536). Przykład takiego adresu to: 130.125.44.56
ADRESOWANIE IP- zadania W przypadku adresu klasy C, której adresy zawierają się w przedziale od 192 do 223 trzy najstarsze bity ustawione są odpowiednio na 110. Liczba dostępnych sieci to 2^21=2’097’152, a każda z nich to obszar 2^8=256 adresów IP. Przykład takiego adresu to: 195.17.14.33 Adresy klas A-C są używane do transmisji unicastowych, czyli pomiędzy wyłącznie dwoma hostami w sieci (one-to-one communication). Stosowane są również do komunikacji rozgłoszeniowej – broadcastowej (one-to-everyone communication). W przypadku adresu klasy D, o przedziale adresowym od 224 do 239, najstarsze bity mają wartości 1110. Adresy klasy D używane są do transmisji grupowej (multicast – one-to-many communication), czyli skierowanej do większej ilości hostów (np. wideokonferencja). Zastosowanie tej klasy adresów zostało dokładnie omówione m.in. w RFC-1020 i -1060.
ADRESOWANIE IP- zadania Dla adresów klasy E najstarsze bity pierwszego oktetu przyjmują wartość binarną 1111. Adresy te są zarezerwowane do celów testowych i nie wolno ich używać do adresowania hostów. Nie wszystkie adresy IP mogą być używane w Internecie. IANA (Internet Assigned Numbers Authority www.iana.org) jest odpowiedzialna za przydział adresów IP dla potrzeb komercyjnych i doświadczalnych. Dla Europy adresy IP są przydzielane przez organizację Resaux IP Europeens – www.ripe.net. Na stronach tej organizacji znajdują się wyszukiwarki whois, które umożliwiają zdobycie informacji o właścicielu adresu IP. Adresy można podzielić na ogólne (publiczne) i do zastosowań specjalnych, w tym prywatne. Adresy ogólne są stosowane do adresowania hostów w Internecie.
ADRESOWANIE IP- zadania Adresy prywatne, nieroutowalne w sieci internetowej, są używane tylko w ramach sieci lokalnej. Administrator sieci lokalnej może używać tych adresów bez konieczności ich uzyskania od w/w organizacji. Na ten cel zostały zarezerwowane następujące adresy (tab. 12): Tab. 12. Prywatne adresy IP
ADRESOWANIE IP- zadania Adresy te mają głównie zastosowanie do adresowania hostów w Intranecie. Sieć intranetowa używa m.in. operacji NAT (Network Address Translation, RFC 1631) do komunikacji z Internetem (mapowanie adresów prywatnych na adresy publiczne). Zastosowanie tej techniki pozwala zaoszczędzić adresy publiczne i dodatkowo wpływa na bezpieczeństwo sieci intranetowych. Najważniejsze adresy do zastosowań specjalnych zostały zestawione w tabeli 13: Tab. 13. Przykłady adresów specjalnych
ADRESOWANIE IP- zadania Adresów prywatnych i specjalnych nie wolno używać w ruchu zewnętrznym, poza siecią lokalną (Intranetem). Czy aktualnie jest możliwość uzyskania pełnej klasy adresów A lub B? Odpowiedź brzmi NIE. Uzyskanie pełnej puli adresów klasy C jest w tej chwili bardzo trudne. Kiedy otrzymuje się pulę adresów klasy C (256 adresów) to do zaadresowania hostów pozostają 254 adresy. Każda bowiem sieć musi mieć swój adres sieci i adres rozgłoszeniowy (broadcastowy). Te dwa adresy nie mogą być użyte do zaadresowania hostów, np. dla sieci klasy C 199.119.99.x (tab. 14, rys.10): Tab. 14. Zakres adresów klasy C
ADRESOWANIE IP- zadania Adres broadcastowy 199.119.99.255 będzie użyty wtedy, kiedy host w sieci 199.119.99.x będzie chciał nadać komunikat do wszystkich hostów do niej należących (wspólna domena rozgłoszeniowa). Komunikat broadcastowy nie zostanie przekazany do sieci 200.1.100.0. Rys. 10. Dwie domeny broadcastowe rozdzielone routerem. Każda domena wykorzystuje całą klasę adresów IP
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Adres sieci będzie użyty w tablicach routingu jest niezbędny do wyznaczania tras pakietów pomiędzy sieciami. Przykładowa tablica routingu routera CISCO obsługującego złożoną sieć (protokół routingu: RIP) przedstawiona jest poniżej. R4#sh ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * – candidate default U – per-user static route, o – ODR
ADRESOWANIE IP- zadania Gateway of last resort is not set [1] R 192.168.200.0/24 [120/3] via 192.168.6.1, 00:00:12, Serial0 [2] R 192.168.201.0/24 [120/3] via 192.168.6.1, 00:00:12, Serial0 [3] C 192.168.8.0/24 is directly connected, Ethernet0 [4] R 192.168.4.0/24 [120/4] via 192.168.6.1, 00:00:13, Serial0 [5] C 192.168.6.0/24 is directly connected, Serial0 [6] R 192.168.7.0/24 [120/1] via 192.168.6.1, 00:00:13, Serial0 [7] R 192.168.1.0/24 [120/1] via 192.168.6.1, 00:00:13, Serial0 [8] R 192.168.2.0/24 [120/3] via 192.168.6.1, 00:00:13, Serial0 [9] R 192.168.3.0/24 [120/3] via 192.168.6.1, 00:00:13, Serial0 R4#
ADRESOWANIE IP- zadania W linii [1] zdefiniowana jest trasa do sieci 192.168.200.0 poprzez interfejs routera o adresie 192.168.6.1. Linie [2], [4], [6]-[9] definiują trasę do kolejnych sieci. Linie [3] i [5] definiują sieci bezpośrednio przyłączone do routera. Okazało się, że podział adresów na klasy spowodował bardzo szybkie wyczerpanie ze względu na ich nieefektywne wykorzystanie. Kiedy przedsiębiorstwo potrzebuje 257 adresów IP, jedna pełna klasa C nie wystarcza, trzeba użyć obszaru adresów dwóch klas C lub jednego obszaru klasy B (strata ponad 65 tysięcy adresów IP). Rozwiązaniem problemu okazało się wprowadzenie nowego systemu adresowania, w którym całą pulę adresów danej klasy dzieli się na podsieci. W systemie klasowym routery rozpoznawały adres sieci po najstarszych bitach najstarszego oktetu adresu.
ADRESOWANIE IP- zadania Można sobie wyobrazić sytuację, kiedy istnieje konieczność podziału sieci na segmenty (np. podzielenie sieci na segment administracyjny i studencki). Co zrobić, kiedy dostaje się pulę adresów klasy C, a trzeba rozdzielić sieć na kilka obszarów? Taką pulę trzeba podzielić na podsieci. Dokonuje się tej operacji, wykorzystując tę część adresu, dla której domyślna maska sieci ma wartość 0 (obszar adresu hosta). Z adresów hostów „pożycza” się wymaganą ilość bitów (tzw. bitów podsieci – S), która określi ilość utworzonych podsieci. „Pożyczanie” polega na ustawieniu wartości 1 w masce sieci wyłącznie w obszarze adresu hosta, wtedy: Adres IP = ADRES_SIECI ADRES_PODSIECI ADRES_HOSTA Proces podziału sieci na podsieci zobrazowany jest w przykładzie 1.
ADRESOWANIE IP- zadania Przykład 1: Pewne przedsiębiorstwo dostało adres 199.119.99.0 z maską 255.255.255.0 (199.119.99.0/24) Administrator musi podzielić sieć na pięć podsieci zgodnie ze schematem przedstawionym na rys. 11 (każda podsieć zaznaczona innym kolorem).
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Rys. Pięciosegmentowa sieć z zaznaczoną wymaganą ilością hostów w każdym segmencie (podsieci). Wyznaczyć adresy podsieci, adresy rozgłoszeniowe i adresy hostów w każdej podsieci. Jaka maksymalna liczba hostów będzie mogła pracować w każdej podsieci?
ADRESOWANIE IP- zadania W pierwszej kolejności należy wyznaczyć maskę podsieci Należy określić klasę otrzymanego adresu. W przykładzie adres jest klasy C, więc jego struktura ma postać NNNNNNN.NNNNNNNN.NNNNNNN.HHHHHHHH (maska domyślna: 255.255.255.0 lub /24). Nie można wykorzystać adresu sieci do operacji wydzielenia podsieci (domyślna maska), dostępne są więc TYLKO bity w czwartym oktecie adresu (8 bitów). Ile bitów "S" ( - s ang. subnet–podsieć) z obszaru HHHHHHHH powinno się pożyczyć, by utworzyć wystarczającą Liczbę Efektywnych Podsieci (LEPS)?
ADRESOWANIE IP- zadania UWAGA: Kiedy dokonuje się podziału sieci na podsieci trzeba pamiętać, że adresy hostów pierwszej (adres całej sieci) i ostatniej podsieci (adres broadcastowy całej sieci) nie powinny być wykorzystywane do adresowania urządzeń sieciowych (RFC890). Stąd pojęcie „efektywnych podsieci” i „całkowita liczba podsieci”. Niektóre routery umożliwiają wykorzystanie tych zakresów adresów. Routery CISCO wymagają w tym celu podania polecenia ip subnet-zero w procesie ich konfiguracji Choć dokument RFC1812 zezwala na użycie przestrzeni adresowej pierwszej i ostatniej podsieci, to nie ma gwarancji, że wszystkie hosty i routery będą w stanie je obsługiwać.
ADRESOWANIE IP- zadania Chcąc odpowiedzieć na powyższe pytanie, trzeba rozwiązać nierówność względem S. 2S -2 >= LEPS gdzie: LEPS – liczba efektywnych podsieci, S – liczba bitów pobranych z obszaru hostów maski. Jednocześnie trzeba policzyć Całkowitą Liczbę Podsieci ( CLP) zgodnie z równaniem: CLP=2S Jeśli pożyczone zostaną dwa bity: SSHHHHHH, to będzie można stworzyć 4 podsieci (CLP) o adresach: 00, 01, 10, 11 Tylko podsieci 01 i 10 będą mogły być wykorzystanie, a więc nie spełni to warunków zadania.
ADRESOWANIE IP- zadania Jeśli pożyczyć 3 bity: SSSHHHHH, to można stworzyć LEPS = 23-2=6 efektywnych podsieci (całkowita ilość podsieci CLP=2^3=8). Tak wyznaczona maska podsieci przyjmie postać: 11111111.11111111.11111111.11100000 co po zamianie na system dziesiętny odpowiada wartości 255.255.255.224 (/27) Tak skonstruowana maska spełni warunki zadania (potrzebnych jest 5 efektywnych podsieci).
ADRESOWANIE IP- zadania 2. Kolejnym etapem jest określenie zakresu adresów podsieci i zakresu adresów hostów. Skoro z czwartego oktetu adresu pożyczone zostały 3 bity na zaadresowanie podsieci, to pozostałe 5 bitów (SSSHHHHH) wykorzystane zostanie na obliczenie zakresu adresów poszczególnych podsieci. Z=2H=25=32 Ponieważ każda podsieć musi mieć swój adres podsieci i adres rozgłoszeniowy, to na zaadresowanie hostów pozostanie: EAH=2H-2=25-2=30 Efektywnych adresów hostów – EAH
ADRESOWANIE IP- zadania 3. Zestawiając wyniki można stwierdzić, że maska 255.255.255.224 (/27) podzieli sieć na 8 podsieci (6 efektywnych). Każda podsieć będzie miała zakres 32 adresów, z czego dla hostów przewidzianych jest 30 adresów: Tab. Podział sieci klasy C na 8 podsieci (6 efektywnych podsieci)
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Zakres 1 (adres całej sieci) i 8 (adres rozgłoszeniowy całej sieci) nie są do wykorzystania. Zakres 7 do wykorzystania w późniejszym czasie. Maksymalna liczba hostów dla każdej podsieci: 30 (efektywne adresy IP w każdej podsieci, EAH).
ADRESOWANIE IP- zadania Rozdział adresów IP został przedstawiony na rysunku 12.
ADRESOWANIE IP- zadania Jak widać, istnieje pokaźna ilość adresów, które nie mogą być wykorzystane do adresowania hostów. Przy podziale sieci na 8 podsieci dla hostów dostępnych jest tylko 6*30=180 adresów IP z puli 254. Dodatkowo traci się znaczną ilość adresów na połączeniach punkt-punkt pomiędzy routerami (potrzebne są tylko dwa adresy IP, a pula ma ich 30). Kiedy dzieli się sieci na podsieci istnieje czasami konieczność oznaczenia, w której podsieci pracuje urządzenie, któremu nadano już adres IP (przykład 2). Bardzo często okazuje się, że administrator pomylił się i urządzenie ma przyznany nieprawidłowy adres IP (adres podsieci, adres broadcastowy podsieci lub adres z całego pierwszego i ostatniego zakresu adresów podsieci).
ADRESOWANIE IP- zadania Przykład 2 W pewnym przedsiębiorstwie drukarce przydzielono adres 192.168.5.125 /29. Obliczyć, do której podsieci należy drukarka. Podać adres podsieci, zakres adresów hostów podsieci oraz adres rozgłoszeniowy podsieci. Czy adres jest prawidłowy?
ADRESOWANIE IP- zadania W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnej 2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski
ADRESOWANIE IP- zadania Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: x.x.x.x Skoro x.x.x.x jest adresem klasy ?, to maska ? oznacza, że pożyczonych zostało ? Bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci. Do zaadresowania hostów pozostały ? bity, więc w podsieci może być nie więcej niż EAH=?-2= ? hostów (SSSSSHHH).
ADRESOWANIE IP- zadania Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.
ADRESOWANIE IP- zadania Zestawiając informacje można zapisać: Adres IP drukarki: Maska podsieci: Adres podsieci: Adres rozgłoszeniowy: (liczone z zakresu Z=23=8 ) Zakres adresów hostów podsieci: x.x.x.x- y.y.y.y
ADRESOWANIE IP- zadania Rozwiązanie: 1. W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnej H: 11000000.10101000.00000101.01111101 S: 11111111.11111111.11111111.11111000 (29 jedynek) 2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski 192.168.5.125 /29
ADRESOWANIE IP- zadania Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: 192.168.5.120. Skoro 192.168.5.120 jest adresem klasy C, to maska /29 oznacza, że pożyczonych zostało 5 bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci. Do zaadresowania hostów pozostały 3 bity, więc w podsieci może być nie więcej niż EAH=23-2= 6 hostów (SSSSSHHH).
ADRESOWANIE IP- zadania Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.
ADRESOWANIE IP- zadania Zestawiając informacje można zapisać: Adres IP drukarki: 192.168.5.125 Maska podsieci: 255.255.255.248 Adres podsieci: 192.168.5.120 Adres rozgłoszeniowy: 192.168.5.127 (liczone z zakresu Z=23=8 ) Zakres adresów hostów podsieci: 192.168.5.121-192.168.5.126 Adres prawidłowy (mieści się w zakresie adresów hostów i nie należy ani do pierwszej, ani do ostatniej podsieci).
ADRESOWANIE IP- zadania 6. VLSM (Variable-Length Subnet Masks) − podsieci o zmiennej długości. Można sobie wyobrazić sytuację, kiedy sieć ulega rozwojowi i konieczne jest dołączenie kolejnego segmentu sieci, tak jak na rysunku 13.
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Rys. 13. Schemat rozbudowy przykładowej sieci. Korzystając z tabeli 17, okaże się, że brakuje adresów IP dla hostów podsieci 7. Widać również, że połączenia pomiędzy routerami Lodz i Krakow oraz Lodz i Poznan wykorzystują tylko po dwa adresy IP – traci się 56 adresów IP z podsieci 2 i 6. Gdyby podzielić podsieć na pod-podsieci, może się okazać, że zaoszczędzone zostaną kolejne adresy IP. Wybierając zakres 3 (tab. 17) dostępne są następujące adresy IP: Tab. 17.
ADRESOWANIE IP- zadania Kiedy przyjrzeć się masce sieci z przykładu 1: 255.255.255.224 (/27) 11111111.11111111.11111111.11100000 okazuje się, że dostępnych jest 5 bitów (zera w masce), które mogą być użyte do kolejnego podziału podsieci. Jeżeli „pożyczyć” 3 bity, to można będzie utworzyć 23=8 pod-podsieci. Każda pod-podsieć będzie obejmowała cztery adresy (2^2), z czego dwa będą mogły być wykorzystane do adresowania połączeń miedzy routerami (punkt-punkt). Dla podsieci 3 maska ulegnie więc zmianie: 11111111.11111111.11111111.11111100 (/30) Wyniki takiego podziału podsieci 3 przedstawione są w tabeli 18 (dla ułatwienia ominięte zostały pierwsze trzy, niezmienne oktety adresu: 199.119.99.x).
ADRESOWANIE IP- zadania Tab. 18. Pod-podsieci zakresu 199.119.99.64 – 199.119.99.95
ADRESOWANIE IP- zadania Używając techniki VLSM, można więc podzielić sieć na podsieci o zmiennej długości. Są to podsieci, które nie zawierają jednakowej ilości hostów. Schemat sieci po rozbudowie przedstawiono na rysunku 14: Rys. 14. Przydział adresów IP / VLSM dla siedmiu podsieci
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania CIDR (Classless InterDomain Routing) CIDR – bezklasowy routing międzydomenowy – jest kolejną techniką stosowaną w celu lepszego zarządzania adresami IP. W CIDR adres sieci jest oznaczany poprzez maskę sieci. Adres sieci to ta część adresu IP, dla której maska sieci ma ustawione bity na 1. Adres hosta to ten obszar adresu IP, dla którego maska sieci ma ustawione bity na 0. CIDR umożliwia trasowanie pakietów w zagregowanych (połączonych) kilku kolejnych sieciach. Przykładowo, kilka kolejnych sieci, np. klasy C, może zostać połączonych są w jedną, bezklasową przestrzeń adresową. Taka przestrzeń nazwana jest supersiecią. W przestrzeni takiej nie obowiązuje podział na klasy adresów (classless). Jeśli przedsiębiorstwo potrzebuje 1000 adresów, to należy wyznaczyć liczbę bitów, która umożliwia zaadresowanie 1000 hostów (210=1024). Dziesięć bitów będzie więc używane w części przeznaczonej na adresowanie hostów, a 22 określać będą adres sieci. 11111111.11111111.11111100.00000000
ADRESOWANIE IP- zadania Zakładając, że adresem początkowym zakresu jest 193.13.12.0 z maską /22 (255.255.252.0) można wyznaczyć adres końcowy zakresu (broadcast): 193.13.15.255 (razem 1024 adresów). Adresy dostępne dla hostów to zakres od 193.13.13.1 do 193.13.15.254. Dzięki CIDR oraz VLSM możliwa jest tez agregacja tras. Ma to na celu zmniejszenie ilości wpisów w tablicach routingu routerów. Na rysunku 15 przestawiony jest schemat sieci, gdzie pomiędzy routerami Lodz_main i Poznan_main następuje koncentracja ruchu, a tablice routingu są rozbudowane. Rysunek 15. Schemat sieci Adresy IP sieci obsługiwanych przez poszczególne routery przedstawione są w tabeli 19:
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania
ADRESOWANIE IP- zadania Każda sieć i podsieć wymaga odpowiedniego wpisu do tablicy routingu routerów Lodz_main i Poznan_main. W omawianym przykładzie spowoduje to wygenerowanie dużej ilości takich wpisów w tych routerach. Zamiast pięciu wpisów, można zredukować ich liczbę do jednego. W tym celu trzeba wyznaczyć trasę sumaryczną (część wspólną adresów). Dokonuje się tego, używając postaci binarnej adresów. W obszarze, gdzie adres nie ulega zmianie, ustawia się bity maski na 1. Dla lewej gałęzi sieci:
ADRESOWANIE IP- zadania Tak zagregowana trasa obejmować będzie adresy sieci od 192.168.0.0 do 192.168.7.0.
ADRESOWANIE IP- zadania Dla prawej gałęzi sieci: Trasa sumaryczna obejmować będzie sieci od 10.0.0.0 do 10.127.0.0.
ADRESOWANIE IP- zadania Opracowano wiele kalkulatorów, które ułatwiają przeliczanie adresów IP. Freeware’owe kalkulatory mogą być pobrane ze np. stron Famatechu (www.radmin.com) oraz www.solarwinds.net. Podsumowanie Stosowanie odpowiednich technik administrowania adresami IP spowodowało, że groźba wyczerpania się adresów IPv4 oddaliła się. Techniki te w pewien sposób zatrzymały rozwój i implementację protokołu IPv6. W chwili obecnej (2004) adresowanie hostów za pomocą adresów tzw. Nowej generacji (IPv6) ma zastosowanie, ale raczej do celów testowych.
Wykład Wydajny podział zasobów; multipleksacja; funkcjonalność
Wydajny podział zasobów- multipleksacja jak komputery współdzielą sieć, gdy chcą jednocześnie wymieniać komunikaty? multipleksacja (multiplexing)- współdzielenie zasobu systemowego przez wielu użytkowników rozważmy prostą sieć jak na rysunku
Wydajny podział zasobów- multipleksacja rys. multipleksacja wielu logicznych przepływów na jednym łączu fizycznym załóżmy, że komputer na górze (lewa strona) porozumiewa się z komputerem na górze (prawa strona), itd. w powyższej sytuacji trzy przepływy danych są poddane multipleksacji na jednym łączu fizycznym przez komutator1 a następnie poddane demultipleksji przez komutator2 istnieje kilka metod multipleksacji przepływów na jednym łączu fizycznym
Wydajny podział zasobów- multipleksacja w sieciach telefonicznych stosowana jest synchroniczna multipleksacja z podziałem czasu (synchronous-time division multiplexing- STDM) ideą STDM jest podział czasu na kwanty o jednakowym rozmiarze i danie szansy każdemu przepływowi na przesłanie danych przez łącza w trybie karuzelowym (round-robin); 2. multipleksacja z podziałem czestotliwosci (frequency-division multiplexing- FDM) nadawanie każdego przepływu na łączu fizycznym z różną częstotliwością (np. w telewizji kablowej) istotne wady STDM i FDM jeżeli jeden z przepływów nie ma już danych, to współdzielone łącze fizyczne (kwant czasu, częstotliwość) pozostaje niewykorzystane
Wydajny podział zasobów- multipleksacja 3. dlatego stosuje sie multipleksację statystyczną (statistical multiplexing) dane z pierwszego przepływu są przesyłane przez łącze, potem dane z drugiego... podobnnie jak w STDM łącze fizyczne jest współdzielone w czasie inaczej jednak niż w STDM, dane z każdego przepływu są przesyłane na żądanie, a nie we wcześniej określonej szczelinie czasowej jeżeli np. tylko jeden przepływ ma dane do przesłania, to zaczyna je przesyłać bez czekania na swój kwant nie ma mechanizmu gwarantującego, że wszystkie przepływy otrzymają szanse przesłania komunikatów aby zwiększyć taką szanse ogranicza się transmisję konkretnego przepływu definiując górną granice rozmiaru bloku danych
Wydajny podział zasobów- multipleksacja rys.komutator dokonujący multipleksacji pakietów od wielu nadawców w jedno współdzielone łącze
Wydajny podział zasobów- multipleksacja ten ograniczony blok danych nazywany jest pakietem ; komunikat aplikacji musi być podzielony na pakiety nadawane oddzielnie komputer odbiorczy ponownie połączy je w jeden komunikat jak sprawiedliwie przydzielać pojemność łącza różnym przepływom? To może być mechanizm karuzelowy, a jescze lepiej wg. algorytmu FIFO (first-in-first-out) - pierwszy przyszedł-pierwszy poszedł konieczność buforowania pakietów ; możliwość ich utraty w sytuacji przeciążenia (congestion) sieci
Wydajny podział zasobów- funkcjonalność celem sieci komputerowej jest nie tylko dostawa pakietów, ale przede wszystkim dostarczanie środków komunikacji między procesami aplikacji rozproszonych na komputerach aby dwa programy aplikacyjne mogły sie porozumiewać, musi zaistnieć wiele skomplikowanych zdarzeń, wykraczających poza proste nadanie komunikatów zdarzenia te odpowiadają określonym funkcjom, które musi zrealizować projektant sieci szereg aplikacji wymaga tych samych usług; jak więc wydzielić ten właściwy zbiór usług?
Wydajny podział zasobów- funkcjonalność rys. procesy porozumiewające się przez abstrakcyjny kanał
Wydajny podział zasobów- funkcjonalność intuicyjnie możemy patrzeć na sieć jak na dostawcę kanałów logicznych, przez które procesy z poziomu aplikacji mogą się porozumiewać każdy kanał dostarcza zbiory usług wymaganych przez aplikację wyzwanie projektanta: jakie funkcje kanał powinien dostarczać progrmowi aplikacyjnemu (aplikacji) czy można tolerować zagubienie niektórych komunikatów? czy komunikaty muszą docierać w tej samej kolejności? czy musi być zapewniona prywatność przesyłanych komunikatów?
Wydajny podział zasobów- funkcjonalność Identyfikacja wspólnych wzorców komunikacji rozpatrzmy typowe aplikacje sieciowe, z punktu widzenia wymagań związanych z projektowaniem abstrakcyjnych kanałów
Wydajny podział zasobów- funkcjonalność FTP- jedna z najwcześniejszych aplikacji można tu wyróżnić składnik komunikacyjnego zdalnego dostępu do pliku: para procesów, z których jeden żąda odczytu pliku albo zapisu do pliku (klient), a drugi to notuje (serwer) czytanie z pliku pociąga za sobą nadanie przez klienta małego komunikatu do serwera i nadanie przez serwer dużego komunikatu zawierającego dane z pliku zapis działa również w odwrotny sposób: klient nadaje duży komunikat (dane do zapisu w serwerze), a serwer odpowiada małym komunikatem potwierdzającym zapis na dysku
Wydajny podział zasobów- funkcjonalność 2. najnowsza klasa aplikacji: program biblioteki cyfrowej (digital library) wyszukiwany jest w bibliotece cyfrowej określony rodzaj danych: niewielki plik tekstowy, duży obraz cyfrowy, obiekt multimedialny wzorzec komunikacji jest jednak podany w 1
Wydajny podział zasobów- funkcjonalność 3. następna klasa aplikacji: odtwarzanie zapisu wideo przez sieć w aplikacji wideo na żądanie potencjalna opcja: cały plik wideo jest pobierany z komputera zdalnego za pomocą aplikacji dostępu do pliku, a następnie odtworzony na komputerze lokalnym; konieczność otrzymania całego pliku przed rozpoczęciem odtwarzania (opóźnienie!) inna opcja: nadawca i odbiorca są odpowiednio źródłem i ujściem ramek wideo, przesyłanych jako komunikaty i po odbiorze wyświetlonych generalnie w tej aplikacji nie ma żadnych poważnych ograniczeń czasowych (np. opóźnienie 10s jest satysfakcjonujące) ramki przesyłane są w jednym tylko kierunku: wideo samo w sobie nie jest aplikacją- to raczej typ danych wykorzystywanych jako część aplikacji wideo na żądanie, albo w aplikacji telekonferencyjnej takiej jak NV
Wydajny podział zasobów- funkcjonalność 4. aplikacja telekonferencyjna typu NV (wideo na żywo) ta aplikacja ma ścisłe ograniczenia czasowe :interakcja między użytkownikami musi zachodzić we właściwym czasie gdy np. osoba wykonuje po jednej stronie jakiś gest, to odpowiadający obraz wideo musi być wyświetlony po drugiej stronie jak najszybciej; opóźnienie czyni taki system bezużyteczny w wideo na żywo, ramki przepływają zwykle w obu kierunkach
Wydajny podział zasobów- podsumowanie na podstawie tych reprezentatywnych aplikacji można mówić o potrzebie dwóch typów kanałów: żądanie/odpowiedź oraz strumień komunikatów kanał typu żądanie/odpowiedż (przesyłanie plików, cyfrowa biblioteka): będzie gwarantował, że każdy komunikat nadany przez jedną stronę zostanie odebrany przez drugą stronę i będzie to tylko jedna kopia komunikatu być może będzie również chronił prywatność i spójność danych
Wydajny podział zasobów- podsumowanie kanał typu strumień komunikatów (wideo na żądanie, telekonferencje): musi być sparametryzowany w celu obsługi ruchu jednokierunkowego albo dwukierunkowego oraz w celu wspomagania opóźnień różnych wielkości nie musi gwarantować dostarczenia wszystkich komunikatów ramki muszą docierać w tej samej kolejności, w której zostały nadane kanał może wymagać wspomagania rozgłaszania grupowego projektanci dążą do najmniejszej liczby typów kanałów abstrakcyjnych zdolnych obsłużyć największą liczbę aplikacji
Wydajny podział zasobów- niezawodność niezawodna dostawa komunikatów jest jedną z najważniejszych funkcji, jakie sieć powinna zapewnić sieć komputerowa nie działa jednak w doskonałym świecie istnieją trzy klasy uszkodzeń:
Wydajny podział zasobów- niezawodność błędy bitów (bit errors) mogą się pojawić gdy pakiet jest przesyłany przez łącze fizyczne (1 - 0 lub (0 - 1) częściej niż uszkodzenia pojedynczych bitów następuje błąd seryjny (burst error) uszkodzenie kilku kolejnych bitów powody: uderzenie pioruna, skoki napięcia błędy bitów są rzadkie: jeden bit z 108 lub 107 w kablu miedzianym, lub jeden z 1012 lub 1014 bitów w światłowodzie istnieją techniki wykrywania i poprawiania błędów; w poważnych wypadkach pakiet trzeba przesłać powtórnie
Wydajny podział zasobów- niezawodność 2.utrata całego pakietu np. w przypadku nienaprawialnego błędu pakiet musi być odrzucony lub z powodu oprogramowania (np. w komutatorze przekazującym pakiet z jednego łącza do drugiego) z powodu przeciążenia sieci- brak miejsca w buforze na zapamiętanie pakietów (problem: czy pakiet został stracony czy tylko jest opóźniony)
Wydajny podział zasobów- niezawodność 3. uszkodzenie na poziomie węzła i łącza przecięcie łącza lub awaria komputera przyłączonego do danego łącza uszkodzenia mogą być naprawione, ale mają radykalny wpływ na sieć w dłuższym okresie czasu możliwe jest np. obejście uszkodzonego węzła w sieci z komutacją pakietów problemy: rozróżnienie czy komputer jest uszkodzony czy tylko działa wolniej; czy łącze jest całkowicie przecięte czy tylko poważnie uszkodzone.
Wydajny podział zasobów- efektywność sieć jest wykorzystywana do wymiany danych przez prowadzone na wielu komputerach obliczenia rozproszone skuteczność tych obliczeń często zależy bezpośrednio od wydajności, z jaką sieć dostarcza dane
Wydajny podział zasobów- efektywność Szerokość pasma i opóżnienie efektywność sieci mierzymy na podstawie dwóch wielkości: pasma (bandwith) zwanego również przepustowością (throughput), oraz opóżnienia (latency, delay)
Wydajny podział zasobów- efektywność szerokość pasma sieci określa się przez liczbę bitów, które mogą być przesłane przez sieć w pewnym czasie (łącza cyfrowe) np. przepustowość 10 milionów bitów na sekundę (Mb/s) oznacza, że jest ona zdolna dostarczyć 10 milionów bitów w ciągu każdej sekundy niekiedy wygodniej wyobrażać sobie szerokość pasma za pomocą ilości czasu potrzebnego do przesłania każdego bitu danych dla sieci o szerokości pasma 10 Mb/s czas ten wynosi 0.1 mikrosekundy w przypadku kanału analogowego (np. głosowe łącze telefoniczne) łącze wspomaga sygnały w zakresie od 300 do 3300 Hz, a szerokość pasma wynosi 3300Hz - 300 Hz = 3000Hz
Wydajny podział zasobów- efektywność rys. można przyjąć że bity przesyłane w danej szerokości pasma mają określoną szerokość (a) bity nadawane w szerokości pasma 1 Mb/s (każdy bit o szerokości 1 mikrosekundy); (b) bity nadawane o szerokości pasma 2 Mb/s (każdy bit o szerokości 0.5 mikrosekundy)
Wydajny podział zasobów- efektywność w przypadku pojedynczego łącza fizycznego szerokość pasma to liczba bitów przesyłanych w 1 sekundzie o pojedynczym bicie możemy myśleć jako o impulsie pewnej szerokości im technika nadawania i odbioru jest lepsza, tym każdy bit może być węższy, a szerokość pasma większa
Wydajny podział zasobów- efektywność 2. opóżnienie jest to czas w którym pojedynczy bit przemieszcza się z jednego końca sieci na drugi może mieć czas oczekiwania równy 24 mikrosekundy (4800 km szerokości USA) w wielu sytuacjach ważniejsza jest wiedza o czasie przesłania bitu z jednego końca na drugi i z powrotem; takie opóżnienie to czas podróży w obie strony (round-trip-time, RTT )
Wydajny podział zasobów- efektywność całkowite opóźnienie w łączu można zdefiniować: opóźnienie = opóźnienie propagacji + czas transmisji + czas kolejkowania opóźnienie propagacji = odległość / prędkość światła prędkość światła w: próżni: 3.0*108 m/s kablu miedzianym: 2.3*108 m/s Swiatłowodzie:2.0*108 m/s czas transmisji = rozmiar / szerokość pasma odległość - długość kabla prędkość światła - efektywna prędkość światła w tym kablu rozmiar- rozmiar pakietu
Wydajny podział zasobów- efektywność szerokość pasma sieci będzie się stale poprawiać, opóźnienie programu jest jednak ograniczone przez prędkość światła kombinacja szerokości pasma i opóźnienia definiuje charakterystykę efektywności danego łącza; ich znaczenie zależy jednak od aplikacji dla pewnych zastosowań opóźnienie dominuje nad szerokością pasma, np. klient nadający jednobajtowy komunikat do serwera i odbierający jednobajtowy komunikat jest ograniczony opóźnieniem
Wydajny podział zasobów- efektywność załóżmy, że dla jakiejś aplikacji do przygotowania odpowiedzi nie są wymagane żadne poważne obliczenia aplikacja korzystająca z kanału przechodzącego przez całe USA, z czasem RTT równym 100 ms , zachowa się odmiennie od aplikacji korzystającej z kanału przechodzącego przez jeden pokój z RTT = 1ms czy kanał ma szerokość pasma 1Mb/s czy 100 Mb/s jest w tym przypadku mało istotne (czasy transmisji odpowiednio 8 i 0,08 mikrosekund ; )
Wydajny podział zasobów- efektywność rozważmy dla porównania program biblioteki cyfrowej, który odbiera żądanie przysłania obrazu o rozmiarze 25MB (megabajtów) szerokość pasma kanału ma tu dominujący wpływ np. jeżeli kanał ma szerokość pasma 10Mb/s to przesłanie obrazu zajmie 20 sekund , co powoduje, że jest nieistotne czy opóżnienie propagacji kanału wynosi 1ms czy 100ms; będzie to odpowiadało czasom odpowiedzi 20.001s lub 20.1s
Wydajny podział zasobów- efektywność
Wydajny podział zasobów- efektywność rysunek pokazuje (skala logarytmiczna) jak opóźnienie lub szerokość pasma może wpływać (zdominować) efektywność w rożnych okolicznościach obiekt jednobajtowy (naciśnięcie klawisza) obiekt o rozmiarze 2 kB (e-mail) obiekt o rozmiarze 1 MB (obraz cyfrowy)
Wydajny podział zasobów- efektywność Iloczyn: opóźnienie * szerokość pasma
Wydajny podział zasobów- efektywność o kanale między parą procesów możemy myśleć jako o pustej rurze, gdzie opóźnienie odpowiada długości rury, a szerokość pasma odpowiada średnicy rury. iloczyn opóźnienie * szerokość pasma czyli objętość rury - określa liczbę bitów, którą może ona pomieścić np. transkontynentalny kanał z opóźnieniem w jednym kierunku równym 50 ms i szerokością pasma równa 45 Mb/s jest zdolny pomieścić 50 * 10-3s * 45 * 106 bitów/s = 2.25 * 106 bitów czyli około 280 kB danych
Wydajny podział zasobów- efektywność znajomość tego iloczynu jest ważna podczas konstruowania sieci o wysokiej efektywności: określa on liczbę bitów, które nadajnik musi wysłać, zanim pierwszy bit dotrze do odbiornika jeżeli nadajnik oczekuje na jakikolwiek sygnał od odbiornika, że bity zaczęły napływać, a kolejne opóźnienie zajmuje propagacja sygnału z powrotem do nadajnika (myślimy o RTT), wtedy nadajnik może wysłać dane aż do podwojonej wartości tego iloczynu, zanim usłyszy od odbiornika, że wszystko jest w porządku w większości przypadków interesujemy się czasem podróży w obie strony (RTT), który odnosimy do iloczynu opóźnienie * szerokość pasma , bez wyraźnego określenia, czy iloczyn jest mnożony przez dwa ( czy to opóźnienie w jedną czy w dwie strony - będzie wynikało z kontekstu)
Subnetting- czyli podsieciowanie Wykład przedostatni Przykłady, pytania, odpowiedzi
Subnetting- czyli podsieciowanie Co to jest adres IP Adres IP składa się z 4 oktetów lub inaczej - 32 bitów. Zazwyczaj jest reprezentowany za pomocą oddzielonych od siebie kropkami 4 liczb decymalnych np.: 131.107.2.205. Każdy numer reprezentuje oktet. Oktet to grupa 8 bitów. Jeżeli nasz adres składa się z 4 oktetów, to mamy 8*4=32 bity. Komputery nie rozumieją notacji decymalnej, funkcjonują tylko w oparciu o format binarny, czyli 1 lub 0. Dlatego musimy znaleźć sposób na przejście z formatu dziesiętnego na binarny. Zrobimy to oktet po oktecie.
Subnetting- podsieciowanie Każdy bit w oktecie odpowiada liczbie w systemie dziesiętnym: Nr bitu 1 2 3 4 5 6 7 8 Wartość 128 64 32 16 Przykład: Mamy następujący adres IP: 131.107.2.4. Przełóżmy go na system binarny oktet po oktecie: 131: Wartość 128 64 32 16 8 4 2 1 Binarnie
Subnetting- podsieciowanie Kolumnie z jedynką zliczamy odpowiednie wartości: 128+2+1=131 107: Wartość 128 64 32 16 8 4 2 1 Binarnie Stosując powyższą metodę mamy: 64+32+8+2+1=107
Subnetting- podsieciowanie Wartość 128 64 32 16 8 4 2 1 Binarnie Tutaj mamy prostą sytuację. Wynik 2. Wartość 128 64 32 16 8 4 2 1 Binarnie Sytuacja jak wyżej. Wynik 4.
Subnetting- podsieciowanie Zapiszemy teraz nasz adres 131.107.2.4 w notacji binarnej: 10000011.01101011.00000010.00000100 Adres IP składa się z dwóch różnych części: Numeru sieci i Numeru hosta. Kiedy próbujemy zapingować jakiś adres IP, powłoka 3 próbuje sprawdzić czy adres IP jest lokalny czy zdalny dla naszej sieci. Aby to wytłumaczyć, posłużę się przykładem z życia: Dla przykładu, Ja mieszkam w Poznaniu. Ty mówisz, że też mieszkasz w Poznaniu. Czy jesteśmy sąsiadami ? Możemy być, lub nie. Nie mamy dość informacji aby odpowiedzieć na to pytanie. Kiedy będziemy mogli być sąsiadami ? Jeżeli mieszkamy w tym samym mieście i na tej samej ulicy to jesteśmy sąsiadami. Jeżeli nie mieszkamy w tym samym mieście, to nie ważna jest już ulica, ponieważ na pewno nie jesteśmy sąsiadami. To samo odnosi się do adresów IP. Zanim system sprawdzi jaki jest numer hosta (ulica) sprawdza jaki jest numer sieci (miasto) - stad wie, czy jest to ta sama sieć czy inna.
Subnetting- podsieciowanie 2. Co to jest maska sieci ? Maska sieciowa jest stosowana, aby rozpoznać czy adres IP z którym próbujemy się skontaktować należy do tej samej sieci co nasz, czy do innej. Pomaga sprawdzić która część adresu IP to numer sieci a która jest numerem hosta. Jak to się dzieje ? Przyjrzyjmy się przykładowej masce sieciowej: 255.255.255.0 Jest ona zapisana w formacie decymalnym oddzielonym kropkami. Musimy ją przetłumaczyć komputerowi na format binarny.
Subnetting- podsieciowanie 255: Zliczamy odpowiednie cyfry przy jedynkach: 128+64+32+16+8+4+2+1=255 0: Wartość 128 64 32 16 8 4 2 1 Binarnie Wartość 128 64 32 16 8 4 2 1 Binarnie Tutaj nie ma co liczyć. W wyniku mamy 0. Wiemy już, że 255 to same jedynki, a 0 to same zera. Binarnie to wygląda następująco: 11111111.11111111.11111111.00000000
Subnetting- podsieciowanie Jeżeli połączymy nasz adres IP i maskę sieciową otrzymamy: 131.107.2.4 10000011 01101011 00000010 00000100 255.255.255.0 11111111 00000000 Bity numeru sieci zostały zaznaczone na czerwono, a bity hosta na niebiesko. Wszystkie bity sieciowe w adresie IP mają wartość "1" w masce sieciowej, a bity hosta mają "0" w masce sieciowej. Proste, prawda ?? W naszym przykładzie numer sieci to 131.107.2, a numer hosta to 4. Jeżeli zmienię maskę sieciową na 255.255.0.0, to co się stanie ? Zobaczmy na przykładzie:
Subnetting- podsieciowanie 131.107.2.4 10000011 01101011 00000010 00000100 255.255.0.0 11111111 00000000 Okazuje się, że numer sieci to 131.107 a numer hosta 2.4. To jest dowód na to, że adres IP nie może istnieć bez maski sieciowej Spójrzmy na dwa poniższe adresy: 131.107.2.4 i 131.107.5.6 Są to adresy lokalne dla siebie nawzajem, czy nie ?? Nie możemy odpowiedzieć na to pytanie ponieważ jest ono niekompletne. Musimy znać maskę sieciową, aby udzielić odpowiedzi. Spróbujmy z maską 255.255.255.0.
Subnetting- podsieciowanie 131.107.2.4 10000011 01101011 00000010 00000100 131.107.5.6 00000101 00000110 255.255.255.0 11111111 00000000 Czy numer sieci się zgadza ?? Spójrzmy na 3 oktet: 1 Jeżeli numer sieci się nie pokrywa, to 2 numery IP należą na pewno do różnych sieci. Aby komputery z jednej sieci do drugiej mogły się przedostać potrzebujemy router-a. Spróbujmy z inną maską:
Subnetting- podsieciowanie 131.107.2.4 10000011 01101011 00000010 00000100 131.107.5.6 00000101 00000110 255.255.0.0 11111111 00000000 Czy teraz numery sieci pasują do siebie ?? TAK Jeżeli 2 numery sieci pasują do siebie, oba adresy IP należą do tej samej sieci.
Subnetting- podsieciowanie 3. Co oznaczają klasy IP ? Na pewno słyszeliście o klasach adresów IP nazywanych literkami A, B i C. Jak to działa ? Spójrzmy na następującą tabelkę: Klasa A 1 - 127* 0xxxxxxx Klasa B 128 - 191 10xxxxxx Klasa C 191 - 223 110xxxxx
Subnetting- podsieciowanie * adres zaczynający się na 127 to część klasy A, ale nie można używać adresów 127.x.x.x ponieważ są one zarejestrowane dla adresu pętli zwrotnej komputera lokalnego. Co to oznacza ? Jeżeli mówimy o klasie adresu IP, należy patrzeć tylko na pierwszy oktet, aby określić z jakiej klasy jest adres. Dla klasy A, pierwszy oktet na pewno będzie się zaczynał od 0. Najniższy bit pierwszego oktetu to 00000001, a najwyższy to 01111111 (dziesiętnie to przedział od 1 do 127). Dla klasy B, pierwszy oktet na pewno będzie się zaczynał od 10. Najniższy bit pierwszego oktetu to 10000000, a najwyższy to 10111111 (dziesiętnie to przedział od 128 do 191). Dla klasy C, pierwszy oktet na pewno będzie się zaczynał od 110. Najniższy bit pierwszego oktetu to 11000000, a najwyższy to 11011111 (dziesiętnie to przedział od 192 do 223). Istnieją odpowiednie maski sieciowe dla odpowiednich klas: Klasa A 255.0.0.0 Klasa B 255.255.0.0 Klasa C 255.255.255.0
Subnetting- podsieciowanie Oczywiście możemy stosować różne maski dla adresów z różnych klas w zależności co chcemy osiągnąć. Tak było w przypadku adresów 131.107.2.3 i 131.107.5.6 przy masce z klasy C 255.255.255.0. 4. Co to jest subnetting ?? Subnetting - po Polsku podsieciowanie, to akcja mająca na celu podzielenie puli (zakreu) adresów IP z tej samej sieci na kilka podsieci - gdzie adres IP z jednego zakresu będzie adresem zdalnym z innego zakresu. Jeżeli chcesz wiedzieć ile hostów (komputerów) masz w zakresie IP, najpierw musisz sprawdzić ile masz bitów. Spróbujmy na poprzednim przykładzie z adresem 131.107.2.4 i maską 255.255.255.0. Z poprzednich przykładów wiemy, że adres sieci to 131.107.2 a adres hosta to 4. innymi słowy mamy 3 oktety dla numeru sieci i 1 dla numeru hosta. Kiedy już wiemy ile bitów przypada na numer hosta możemy skorzystać z następującej reguły:
Subnetting- podsieciowanie ((2^N)-2) = ilość hostów, gdzie N to ilość bitów przypadających na numer hosta To daje nam: ((2^8)-2) = 254 hosty Wnioskujemy, że mamy do czynienia z siecią 131.107.2.x, w której możemy zaadresować do 254 lokalnych hostów. Co się stanie, kiedy wybierzemy maskę z klasy A ? Zobaczmy: ((2^24)-2) = 16 777 214 poprawnych adresów IP w jednym zakresie ! Co, jeżeli nie potrzebujemy tylu hostów ?? Właściwym rozwiązaniem byłoby podzielenie tego wielkiego zakresu na kilka(naście) mniejszych - łatwiejszych w zarządzaniu. Z pomocą przychodzi nam podsieciowanie. Stwórzmy podsieci, Dlaczego we wzorze mamy minus 2 hosty ?? Ponieważ tracimy numery z samymi zerami (które oznaczają numer sieci) oraz numery z samymi jedynkami (które oznaczają adres brodcast).
Subnetting- podsieciowanie Aby odpowiednio podzielić zakres na podsieci możemy skorzystać z tabelki: Wartość 128 64 32 16 8 4 2 1 Maska podsieci 192 224 240 248 252 254 255 Ilość podsieci 6 14 30 62 126 To jedyna tabelka, którą należy zrozumieć, aby poprawnie obliczyć podsieci. Pierwsza linia jest oczywista, więc nie będę jej znów opisywał. Druga linia mówi nam jaką maskę musimy przyjąć (chodzi o oktet w którym normalnie jest 0). Skąd się wzięły te wartości ? Jeżeli dodamy wartość z poprzedzającej linii 2 do wartości z linii 1 to otrzymamy: 128+64=192+32=224+16=240+8=248+4=252+2=254+1=255 Proste ?
Subnetting- podsieciowanie Trzecia linia mówi nam ile podsieci otrzymamy przy wykorzystaniu maski podsieci z odpowiedniej drugiej linii. Innymi słowy: jeżeli użyjesz 192 w twojej masce sieciowej otrzymasz 2 podsieci. Jak otrzymałem te wartości ? Ile bitów muszę ustawić, aby otrzymać 192 ? Hmmm, dodaję 128 i 64, więc są to 2 bity. Możemy utworzyć wzór: ((2^2)-2)=2
Subnetting- podsieciowanie Przykład podsieciowania. Mamy zakres IP o adresie 131.107.0.0 i masce 255.255.0.0. Chcemy mieć 6 podsieci. Co robimy ? Spoglądamy na tabelkę powyżej i widzimy, że aby podzielić zakres na 6 podsieci potrzebujemy maski 224. Nasza maska w tej chwili wygląda tak: 255.255.0.0 11111111.11111111.00000000.00000000
Subnetting- podsieciowanie Nie możemy "zabrać" żadnych bitów z numeru sieci ponieważ mamy tam same jedynki. Możemy tylko zrobić to z numerem hosta. Zamieniamy zatem trzeci oktet na naszą podsieć. W wyniku otrzymujemy 255.255.224.0. Binarnie to wygląda następująco: 255.255.224.0 11111111.11111111.11100000.00000000 Zabraliśmy zatem 3 bity z numeru hosta. Zamieniliśmy je na "1". Te trzy bity to: 128+64+32=224 Możemy teraz wyliczyć ile hostów możemy zaadresować w naszych podsieciach. Zera oznaczają numery hostów, więc: ((2^13)-2)=8190 hostów na zakres
Subnetting- podsieciowanie Odpowiedź na nasze przykładowe pytanie jest następująca: Nasza nowa maska sieciowa dla sieci 131.107.x.x to 255.255.224.0, przy której możemy stworzyć 6 podsieci z 8190 hostami w każdej z nich. Postawmy następne pytanie: Jakie są te przedziały ?? Nasze dane zebrane do tej pory to: Oryginalny zakres IP: 131.107.x.x Oryginalna maska sieciowa: 255.255.0.0 Maska podsieciowa: 255.255.224.0 Ilość podsieci: 6 Pierwszy poprawny zakres adresów IP to 131.107.32.1 - 131.107.63.254. Jak go uzyskałem ? Już piszę ….
Subnetting- podsieciowanie Po prostu odpowiedziałem sobie na pytanie: Jaki jest najniższy bit potrzebny do uzyskania mojej maski podsieciowej 224 ?? Odpowiedź to: 32 (pamiętacie: 128+64+32=224). Mamy teraz więcej danych: Wartość dziesiętna najniższego bitu 32 Maska podsieciowa 224 Ilość podsieci 6 Obrazowo można to przedstawić tak: Aby uzyskać 6 podsieci musimy użyć maski 224 i rozpocząć nasz pierwszy zakres od 32. Kolejne zakresy tworzymy inkrementując (zwiększając) nasze bity o 32. Nasz zakresy będą wyglądać następująco:
Subnetting- podsieciowanie 131.107.32.1 - 131.107.63.254 131.107.64.1 - 131.107.95.254 131.107.96.1 - 131.107.127.254 131.107.128.1 - 131.107.159.254 131.107.160.1 - 131.107.191.254 131.107.192.1 - 131.107.223.254 Jak widać, aby uzyskać następny zakres, po prostu zwiększam trzeci oktet o 32 (cyfry na czerwono). Z kolei wartości na niebiesko to następne wartości czerwone pomniejszone o 1.
Subnetting- podsieciowanie OK. Spróbujmy teraz stworzyć zakresy dla sieci z klas A i C. Oryginalny zakres IP: 10.x.x.x Oryginalna maska sieciowa: 255.0.0.0 Ilość potrzebnych podsieci: 14 Aby uzyskać 14 podsieci należy użyć maski 240, dlatego nasza nowa maska będzie następująca: 255.240.0.0. Uwaga!!! Najniższy bit jest teraz w oktecie 2 a nie w 3. Wartość najniższego bitu w 240 to 16. Dlatego zaczynamy nasze zakresy od 16 i zwiększamy o 16. Wynik:
Subnetting- podsieciowanie 10.16.0.1 - 10.31.255.254 10.128.0.1 - 10.143.255.254 10.32.0.1 - 10.47.255.254 10.144.0.1 - 10.159.255.254 10.48.0.1 - 10.63.255.254 10.160.0.1 - 10.175.255.254 10.64.0.1 - 10.79.255.254 10.176.0.1 - 10.191.255.254 10.80.0.1 - 10.95.255.254 10.192.0.1 - 10.207.255.254 10.96.0.1 - 10.111.255.254 10.208.0.1 - 10.223.255.254 10.112.0.1 - 10.127.255.254 10.224.0.1 - 10.239.255.254
Subnetting- podsieciowanie Teraz zróbmy to samo dla klasy C. Pamiętajcie, że klasa C jest najtrudniejsza, więc bądźcie ostrożni !! Oryginalny zakres IP: 192.168.2.x Oryginalna maska sieciowa: 255.255.255.0 Ilość potrzebnych podsieci: 6 Aby uzyskać 6 podsieci musimy użyć maski 224, dlatego nasza nowa maska podsieniowa będzie następująca: 255.255.255.224. Nasz bit podsieniowy jest teraz w 4 oktecie, nie w trzecim lub drugim tak jak to było w poprzednich przykładach. To będzie bardzo ważne przy tworzeniu podsieci. Jaka jest wartość najniższego bitu ?? 32. Dlatego nasz pierwszy zakres będzie się zaczynał od 32 w czwartym oktecie i będzie zwiększany o 32. Nasze zakresy powinny wyglądać tak:
Subnetting- podsieciowanie 192.168.2.33 - 192.168.2.62 192.168.2.129 - 192.168.2.158 192.168.2.65 - 192.168.2.94 192.168.2.161 - 192.168.2.190 192.168.2.97 - 192.168.2.126 192.168.2.193 - 192.168.2.222 Zaraz, zaraz. Miało się zaczynać od 32. O co chodzi ??
Subnetting- podsieciowanie Pamiętacie poprzednie przykłady ? Zawsze startowaliśmy od .1 (w czwartym oktecie). Dlatego przykład z klasą C jest wyjątkowy. Więc dlaczego nie możemy zacząć od adresu 192.168.2.32 z maską 255.255.255.224 ? Spójrzmy na tabelkę poniżej: 192.168.2.32 11000000 10101000 00000010 00100000 255.255.255.254 11111111 11100000 Wychodzi na to, że numer hosta składa się z samych zer. Ten adres jest zabroniony !!!
Wykład- jeden z ostatnich Sieci komputerowe Wykład: Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych Rozróżniamy dwa podstawowe sposoby ochrony: • ochrona kryptograficzna; • rozgraniczenie dostępu; Problem bezpieczeństwa nie został definitywnie rozwiązany, choć wydawałoby się, że jest to problem o małej złożoności. Błąd w podejściu do bezpieczeństwa sieci i systemów został popełniony w przeszłości. Nikt nie przypuszczał, że nastąpi taki rozwój sieci, że problemy bezpieczeństwa będą miały aż taką wagę. Niestety zakres zagrożeń przerósł wyobrażenia ludzi, którzy tworzyli podstawy protokołów, sieci. Podstawowy protokół IP liczy 30 lat. Dane przesyłane w nim są otwartym tekstem, więc nie trzeba wiele wysiłku aby przejąć np. hasło wysyłane tym protokołem. Nie warto jednak zmieniać i modyfikować protokołu, ponieważ wiele programów po zmianie nie współpracowałoby z IP. Modyfikacja programów wymagała by ogromnych nakładów finansowych. Z tego powodu bezpieczeństwo w samej sieci nie jest zapewnione.
Ochrona systemów i sieci komputerowych Rozgraniczanie dostępu - na poziomie sieci i systemu operacyjnego; zapewnienie niekolizyjności zadań, a nie tylko ochrona danych przed innymi użytkownikami. Przykład: zapory ogniowe, bramkowanie Ochrona kryptograficzna - ochrona poufałości - ochrona autentyczności Przykład: podpis cyfrowy Zazwyczaj w ochronie systemów i sieci nie stosuje się tylko jednego rodzaju zabezpieczeń, lecz wielu różnych. Więcej zabezpieczeń to większe prawdopodobieństwo, że nasze dane będą bezpieczne – potencjalny intruz może nie dać rady przełamać wszystkich zabezpieczeń, lub może się po prostu zniechęcić.
Ochrona systemów i sieci komputerowych Przykład: W drogim samochodzie jest wiele alarmów, ale np. alarm w trabancie może przewyższyć cenę samego auta. Czyli jeśli mamy system, który łatwo odtworzyć i nie mamy w nim danych, które mogłyby kogoś interesować to nie warto inwestować w zaawansowane zabezpieczenia. Narzędzia kryptografii wykorzystywane są do ochrony poufności i autentyczności. Rozgraniczanie dostępu może być funkcją systemu operacyjnego lub samej sieci (ściany ogniowe – zapory).
Ochrona systemów i sieci komputerowych 1. OCHRONA KRYPTOGRAFICZNA 1.1 Model systemu kryptograficznego
Ochrona systemów i sieci komputerowych Pierwszym elementem w systemie ochrony kryptograficznej jest tekst jawny, najczęściej generowany przez użytkownika. W systemie komputerowym zostaje on przetworzony do postaci zero- jedynkowej. Szyfrowanie polega na przetwarzaniu takich właśnie ciągów binarnych. Szyfrowania nie należy mylić z kodowaniem.
Ochrona systemów i sieci komputerowych Następnym elementem jest szyfrator, na wyjściu którego uzyskujemy tekst tajny (kryptogram). Szyfrowanie może następować programowo lub sprzętowo. Algorytmy szyfrowania są bardzo złożone obliczeniowo, aby przyśpieszyć ten proces często wykorzystywane jest szyfrowanie sprzętowe. Poza tym, gdyby proces miał być wykonywany programowo, wszystkie dane znajdowałyby się w systemie operacyjnym, gdzie możliwe by było udostępnienie tekstu jawnego i tajnego niepowołanym osobom. Szyfrator pracuje w oparciu o algorytmy szyfrowania. Na świecie istnieje około 800 takich algorytmów. Większość z nich jest jawna, tylko kilka jest utajnionych, ponieważ znajomość działania algorytmu nie pozwala na odszyfrowanie tekstu tajnego. Kryptoanalityk aby odszyfrować tekst, potrzebuje kawałek tekstu jawnego i kawałek tekstu tajnego, a nie interesuje się metodą szyfrowania.
Ochrona systemów i sieci komputerowych Algorytmy szyfrowania opierają się na dwóch podstawowych operacjach: • podstawiania • przestawiania. To, jakie operacje wykorzystujemy w algorytmie zależy od rodzaju szyfrowania. Jeśli ten sam klucz wykorzystywany jest do deszyfrowania i szyfrowania, to prawie wyłącznie stosujemy podstawianie i przestawianie. W przypadku dwóch komplementarnych kluczy w ogóle nie wykorzystywane są operacje podstawiania i przestawiania, tylko inne złożone operacje obliczeniowe. Klucz to tajna informacja, która opisuje sposób przekształcania tekstu do postaci niezrozumiałej i odwrotnie. Decyduje w znacznym stopniu, jak silne jest szyfrowanie.
Ochrona systemów i sieci komputerowych 1.2 Szyfrowanie symetryczne (klasyczne lub z kluczem tajnym) W szyfrowaniu tym operacje szyfrowania i deszyfrowania realizowane są z wykorzystaniem jednego i tego samego klucza.
Ochrona systemów i sieci komputerowych W przypadku szyfrowania symetrycznego musi istnieć bezpieczny kanał przesyłania klucza, gdyż klucz musi być taki sam u nadawcy i odbiorcy, a jest to klucz jest tajny. Poza tym każda para użytkowników chcąc szyfrować wiadomości do siebie musiałaby mieć unikalny klucz prywatny. W ten sposób liczba wykorzystywanych kluczy w przypadku korespondencji z wieloma osobami wzrasta nam do olbrzymich rozmiarów. Stosowanie szyfrowania symetrycznego jest wygodne gdy mamy stałe, jedno połączenie, np. transfer filia – bank. Do wad kryptografii symetrycznej odnosimy: - konieczność tworzenia bezpiecznego kanału przesyłania kluczy; - znaczna liczba kluczy. Jego zaletami są: - wysoka szybkość szyfrowania (operacje proste do wykonania w systemie nie powodują opóźnień); bardzo wysoki stopień ochrony. Z założenia życie kluczy jest na tyle krótkie, że gdyby nawet zaszyfrowany klucz wpadł w ręce kryptoanalityka, to nie ma on na tyle czasu żeby go złamać.
Ochrona systemów i sieci komputerowych Historia Pierwsze szyfry pojawiły się w czasach rzymskich (około roku 100 p.n.e.) w czasie panowania Juliusza Cezara. Początkowo były to szyfry bez klucza. Szyfry z kluczem to lata 20-te XX wieku, wykorzystywane podczas Pierwszej Wojny Światowej. Pierwszy profesjonalny klucz powstał w 1969 roku – “Lucifer”, zaś pierwszy akredytowany to DES (1977) .
Ochrona systemów i sieci komputerowych 1.3 Szyfrowanie asymetryczne W szyfrowaniu tym operacje szyfrowania i deszyfracji odbywają się z wykorzystywaniem pary komplementarnych kluczy. Szyfrowanie ma dwa cele: - ochronę poufności – tj. udostępnianie informacji wyłącznie tym osobom, którzy posiadają uprawnienia (np. poczta elektroniczna) - ochronę autentyczności W przypadku szyfrowania symetrycznego, gdy klucz nie jest skompromitowany (czyli nie wpadł w ręce niepowołanych osób), wraz z ochroną poufności otrzymujemy również ochrona autentyczności. Inaczej sprawa ma się z szyfrowaniem asymetrycznym. Szyfrowanie asymetryczne może chronić jedynie poufność, jedynie autentyczność, lub i poufność i autentyczność.
Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych W celu ochrony poufności nadawca szyfruje wiadomość kluczem publicznym odbiorcy. Tylko klucz prywatny, który znajduje się w rękach odbiorcy, może rozszyfrować kryptogram. Nadawca może więc być pewien, że nikt inny nie przeczyta wiadomości. Klucz publiczny jest dostępny, jawny, może być rozpowszechniany przez strony www, przez centralne bazy danych kluczy itd. Natomiast klucz prywatny jest tajny, powinien być chroniony. W przypadku szyfrowania asymetrycznego pojawia się problem stworzenia kluczy komplementarnych, tak aby posiadanie klucza publicznego nie pomagało w deszyfracji. Aktualnie do tworzenia klucza wykorzystuje się duże liczby pierwsze od 2250. Wady: - duża złożoność obliczeniowa (1000 – 10000 razy większa niż szyfrowania symetrycznego); - moc szyfrowania jest mniejsza. Standardowo szyfrowanie symetryczne to klucz 56-bitowy, aby uzyskać taką samą moc w szyfrowaniu asymetrycznym należałoby posłużyć się kluczem 512-bitowym.
Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych Do ochrony autentyczności wykorzystuje się klucz nadawcy. W celu zaszyfrowania wiadomości nadawca szyfruje wiadomość swoim kluczem prywatnym. Nikt inny nie zna tego klucza, więc odbiorca deszyfrujący kluczem publicznym nadawcy może być spokojny, że nadawca jest tym za kogo się podaje. W przypadku gdy chce się aby była chroniona zarówno autentyczność jak i poufność wiadomości, można stosować szyfrowanie wiadomości najpierw kluczem prywatnym nadawcy, a następnie kluczem publicznym odbiorcy. Istnieją również inne metody szyfrowania, np.: - losowe, budowane są generatory pseudolosowe synchronizowane, skuteczne, gdy nie uda się zdobyć kawałka tekstu jawnego i tajnego; - stenagografia – polega na ukrywaniu w pewnych formatach danych informacje tajne, ujawnienie takiego algorytmu wiąże się z jego kompromitacją.
Ochrona systemów i sieci komputerowych 1.4 Podpisy cyfrowe Podpis cyfrowy to ochrona autentyczności realizowana z wykorzystywaniem funkcji skrótu i kryptografii asymetrycznej. Podpisywany dokument jest skracany z wykorzystaniem funkcji haszującej. Otrzymany w ten sposób skrót o stałej długości jest szyfrowany metodą ochrony autentyczności. Następnie podpis i tekst jawny są konkatenowane. W takiej postaci są one przesyłane do odbiorcy. Odbiorca oddziela tekst jawny od podpisu. Deszyfruje podpis, a następnie porównuje go z uzyskanym samodzielnie skrótem tekstu jawnego. Identyczność obu skrótów gwarantuje autentyczność tekstu jawnego.
Ochrona systemów i sieci komputerowych Jeśli chcemy przesłać jawny dokument w sposób wiarygodny, możemy wykorzystać szyfrowanie asymetryczne z ochroną autentyczności, ale w ten sposób musielibyśmy szyfrować cały dokument, co często jest niewygodne. Dlatego właśnie zastosowano podpis cyfrowy. Najpierw otrzymujemy skrót dokumentu (hash), który jest ciągiem o określonej długości (128b – 4 kb). Niewielkie zmiany w dokumencie powodują duże zmiany w skrócie (zmiana 1 bitu to zmiana 99% bitów w skrócie). Widać więc, że skrót jest bardzo wrażliwy na manipulacje. Przesyłamy do odbiorcy jawny dokument plus zaszyfrowany hash (szyfrowanie asymetryczne z ochroną autentyczności). Odbiorca sam tworzy jeszcze raz skrót dokumentu i porównuje go z otrzymanym. Jeśli uzyskany skrót jest identyczny ze skrótem rozszyfrowanym, to wiadomość jest wiarygodna.
Ochrona systemów i sieci komputerowych 2. ROZGRANICZANIE DOSTĘPU 2.1 Ściany ogniowe W najprostszym przypadku ściana ogniowa jest bramą łączącą sieć prywatną z siecią publiczną.
Ochrona systemów i sieci komputerowych Przedstawiona architektura realizowana jest najczęściej za pomocą routera ekranującego, w którym ruch jest filtrowany na podstawie specjalnej listy dostępowej. Ponieważ router jest urządzeniem funkcjonującym na bazie warstwy sieci, realizowanie zaawansowanych usług filtrujących (wyższych wartstw) jest niemożliwe. Z tego powodu kolejną architekturą jest architektura z routerem ekranującym i hostem bastionem.
Ochrona systemów i sieci komputerowych Host bastion to najczęściej komputer z wielostanowiskowym systemem operacyjnym. Gdy duży ruch jest w sieci HB może stać się wąskim gardłem sieci, poza tym ta struktura nie chroni przed atakami z wewnątrz sieci i HB można obejść.
Ochrona systemów i sieci komputerowych 2.2 Polityka administrowania ścianą ogniową • Nic co nie jest jawnie zezwolone jest zabronione. Bardzo bezpieczna strategia. Administrator określa jakie usługi będą dostępne w sieci, z zasady niebezpieczne usługi są eliminowane. Pojawia się problem gdy w sieci jest nowy użytkownik, albo nowy problem wymagający nowej usługi. Wszystko trzeba samemu określić. Bardzo pracochłonne. • Nic co nie jest jawnie zabronione jest zezwolone. Metoda efektywana w działaniu, ale pogarsza parametry bezpieczeństwa. Administrator musi określić wszystkie niebezpieczne usługi.
Ochrona systemów i sieci komputerowych 2.3 Polityka bezpieczeństwa Polityka bezpieczeństwa to zestaw zasad organizacyjnych zapewniających bezpieczeństwo systemu informatycznego. W polityce zawarte są m.in.: • zagrożenia i zakres ochrony; • zakres kompetencji i odpowiedzialności. Podstawowymi dokumentami określającymi politykę bezpieczeństwa są: • RFC 1224 • PN-I-13335-1 Innymi elementami systemu bezpieczeństwa są: • specyfikacja bezpieczeństwa; • model bezpieczeństwa.
Ochrona systemów i sieci komputerowych Literatura [1] “Vademecum teleinformatyka” IDG Poland S.A. 2000 r. [2] L. Petersen, B. Davie “Sieci komputerowe – podejście systemowe” Nakom 2000 r. [3] Tom Sheldon, “Wielka encyklopedia sieci komputerowych” Robomatic 1999 r. [4] William Stallings, “Ochrona danych w sieci i intersieci” Wydawnictwo Naukowo- Techniczne 1997 r. [5] J. Stokłosa, T. Bilski, T. Pankowski, „Bezpieczeństwo danych w systemach informatycznych”, Wydawnictwo Naukowe PWN 2001. [6] Schneier Bruce, “Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowe w języku C”, WNT 2002.
Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych
Ochrona systemów i sieci komputerowych