Download præsentationen
Præsentation er lastning. Vent venligst
1
Velkommen til kurset ”IP Grundkursus”
Den super komprimeret udgave Lemvigh-Müller Allan Normann Jensen
2
Agenda Netværk, hvad er det? Netværkstopologier Kobber og Fiber kabler
Protokoller/Bæretjenester Switchen Layer 3 Switch / Router IP adressen TCP/IP og klienten IP opsætning i Windows DHCP-Serveren Routenings protokoller NAT / PAT Firewall ICMP
3
Netværk, hvad er det?
4
Netværk, hvad er det? Forbindelse mellem to eller flere computere
Eller forbindelse mellem flere netværk
5
Hvorfor netværk? Deling af informationer:
Mapper, dokumenter, databaser, regnskab, netspil mm. Deling af ressourcer: Printer, internetforbindelse, filserver, backup, cd-rom drev, mm. Kommunikation: , IP-telefoni, Video, Konferencer, Chat, Sikkerhed
6
Netværks begreber LAN (Local Area Network) eller lokalnet.
Normalt i én bygning. Forbindelse af enheder, ressourcer. Er som regel Ethernet. WAN (Wide Area Network) Forbindelse mellem to geografisk adskilte netværk. Netværk som teleoperatører tilbyder, Frame R., ISDN, xDSL, Fiber MAN (Metropolitan Area Network) Typisk et byområde, større end LAN, hurtigere end WAN. Kunne være Ethernet.
7
Netværks begreber LAN WAN MAN
8
Netværkstopologier
10
Topologier Stjerne/star - Enhederne forbundet som en stjerne.
11
Topologier Ring - Enhederne er for bundet i en ring
12
Topologier Mesh - Enhederne er forbundet direkte til flere enheder.
13
Hvad er topologi ? Fortæller om opbygning af netværk. Fysisk
Kabling, det der kan ses. Logisk Data flow, det der ikke kan ses. Det rent elektriske.
14
Topologier I dag anvendes primært fysiske stjerneforbindelser Logisk
Ethernet ……men også i LAN kan det være en vigtig information at vide hvordan den logiske topologi er. Her handler det om hvordan signalet bevæger sig. Både logisk bus- og ring- topologi kan fungerer i en fysisk stjerne forbindelse. Token Ring
15
Kobber og Fiber kabler
16
Standarder PDS= Premises Distribution System Kablings-standarder
ISO11801, 2nd (International standard) EN50173, 2nd (Europæisk standard) ANSI/ EIA/ TIA 568 B (Amerikansk standard) Kablingsstandarder = Pass/Fail - kan testes med kablingstester f.eks. Fluke DTX1800 Installationsstandarder = Krav til udførelse - f.eks. Overholdelse af respektafstande.
17
Standarder 1990 KAT.3 / Class C
Kabel standard EN50173 – frekvenser op til 16 MHz IEEE 802.3i 10BASE-T (10 Mbit/s) 1995 KAT.5 / Class D Kabel standard EN50173 – frekvenser op til 100 MHz IEEE 802.3u 100BASE-TX (100 Mbit/s) 2001 KAT.5E / Class D+ Kabel standard EN50173 – frekvenser op til 100 MHz IEEE 802.3ab 1000BASE-T (1 Gbit/s) 2002 KAT.6 / Class E Kabel standard EN50173 – frekvenser op til 250 MHz IEEE 802.3ab 1000BASE-T (1 Gbit/s)
18
Standarder 2008 KAT.6A / Class E+
Kabel standard EN50173 – frekvenser op til 500 MHz IEEE 802.3an - 10GBASE-T (10 Gbit/s) 2002 KAT.7 / Class F Kabel standard EN50173 – frekvenser op til 600 MHz IEEE 802.3an - 10GBASE-T (10 Gbit/s) 2010 KAT.7A / Class F+ Kabel standard EN50173 – frekvenser op til 1000 MHz IEEE 802.3ba – (40 Gbit/s 55m & 100Gbit/s 15m)
19
Kat. 3 1990 16 MHz Kat.5 1995 100 MHz Kat.5E 2001 Kat.6 2002 250MHz
Kategori År Kabelstandard EN 50173 Kat. 3 1990 16 MHz Kat.5 1995 100 MHz Kat.5E 2001 Kat.6 2002 250MHz Kat.6A 2008 500MHz Kat.7 600 MHz Kat.7A 1000 MHz
20
EN 50173 IEEE Kategori 5E - 100MHz Kategori MHz Kategori 6A MHz 100 Mbit ,25 MHz 1.000 Mbit - 80,00 MHZ Mbit – 417 MHz
21
PDS Premises Distribution System
UTP - Uskærmet parsnoet kabel. Meget anvendt i Danmark. Unshilded Twisted Pair Kat. 6a
22
Afstande 5m 5m 90m
23
Netværks Forbindelser
BNC stik Coaxial RJ45 stik PDS kabel Fiber LC / SC stik
24
Fiber optiske kabler Cladding Glaskerne Coatning
25
Fiber optisk kabel typer
Termen “62.5/125” betyder : En glaskerne på 62.5 m i diameter. Og en cladding på 125 m i diameter. Et menneskehår er ca m i diameter
26
Fiber klasser / længder
OF 300 OF 500 OF 2000 OF 5000 OF 10000 10 Mbit OM1 OS2 100 Mbit 1 Gbit OM2 OS1 10 Gbit OM3 Note: OM = Optisk Multimode OS = Optisk Single OM1 Multimode 62,5 µm fiber OM2 Multimode 50 µm fiber OM3 Optimeret Multimode 50µm fiber OS1 Singlemode 9 µm fiber G.652B OS2 Singlemode 9 µm fiber G.652D
27
Mest anvendte fiberstik i dag
Fiberstik montagemetoder: Prepolerede stik – typisk Crimp stik med fabrikspolerede ender, som crimpes via noget lysfølsomt gel, sammen med fiberenden. Håndpolerede stik – typisk lim konnektorer eller Hotmelt. Derudover anvendes mere og mere fiber pigtails som er fabriksmonterede fiber konnektorer, hvis fiber ende ”svejses” sammen med installationskablet via en fusionssplidser. Derved opnår man den mindst mulige dæmpning.
28
SFP
29
Protokoller/Bæretjenester
31
Protokoller Hvad er Protokoller ?
Protokoller er et regelsæt til at kommunikere. Enhederne skal tale sammen sprog for at kunne kommunikere
32
Ethernet IEEE 802.3 10Mbps (Ethernet)
IEEE 802.3u 100Mbps (Fast Ethernet) IEEE 802.3z 1000Mbps (Gigabit Ethernet) IEEE 802.3ae Mbps (10Gigabit Ethernet) Benytter CSMA/CD Carrier sence multiple access/collision detect Pakkestørrelse: 1518 byte (1522 byte ved Frame Tagging) Mest udbredte Protokol… til LAN (local area network)
33
CSMA/CD
34
OSI-modellen (7-lags model) Open Systems Interconnection
35
OSI-modellens 7 lag Lag 1: Det fysiske lag
Beskrivelse af standarder for spændinger, bitkodning, stik o.lign. Eksempel: V.24, V.35 og IEEE (Ethernet) Lag 2: Datalink-laget Fejkontrol og flowkontrol. Pålidelig overførsel af data mellem direkte forbundne systemer. Eksempel: Ethernet og PPP Lag 3: Netværkslaget Definering af netværksadresser og transport ad korrekt vej. Eksempel: IP, IPX og X.26 Lag 4: Transportlaget Kan tilbyde pålidelig overførsel mellem forskellige net. Eksempel: TCP, UDP (upålidelig) og SPX
36
OSI-modellens 7 lag Lag 5: Sessionslaget
Valg af dialogform (halv- eller fuld duplex) og indsættelse af synkroniserings-punkter (hvorfra transmission af store datamængder kan genoptages efter et udfald) Lag 6: Præsentationslaget Ingen specifik funktion i TCP/IP. Bruges i andre systemer til syntakskonvertering (f.eks. ASCII til netværksspecifik syntaks), komprimering og kryptering. Lag 7: Applikationslaget Tilbyder en programgrænseflade (API) til applikationerne (programmer) så de kan kommunikere sammen igennem OSI-modellen. Indeholder fast definerede hjælpeprogrammer (f.eks. FTP, Telnet, SMTP og HTTP).
37
FTP, HTTP,POP3,SMTP, SNMP, TELNET,DNS,BOOTP
TCP/IP (5-lags model) Internet Protocol Suite 5 Applikation 4 Transport 3 Netværk 2 Datalink 1 Fysisk FTP, HTTP,POP3,SMTP, SNMP, TELNET,DNS,BOOTP TCP, UDP IP, DHCP, ICMP, RIP2, VRRP MAC/ARP/RARP
38
TCP/IP-modellen
39
OSI-modellen (Open System Interconection)
I LAN’et er det primært de 3 nederste lag i OSI modellen der bruges 7. Applikation 6. Præsentation 5. Session 4. Transport 3. Netværk 2. Datalink 1. Fysisk Her findes IP-adressen Data 0040F9A1B2C3 00A0C937E7A9 Her findes MAC adressen Kabler og stik
40
Datapakke Pre-amp Modtager Afsender Type Data CRC
Pre-ample. De første syv byte er , den sidste byte er Bruges til at synkronisere modtageren. (8 byte) Modtagerens MAC-adresse byte Afsenderens MAC-adresse byte Type-kode for L3-protokol i datafeltet, f.eks. TCP/IP= ”0800” i hex 2 byte Data-felt byte* Cyclic Redundancy Check. CRC-værdien beregnes med en formel udfra den øvrige information i pakken. Modtageren beregner den samme værdi, og hvis disse værdier er ens, er pakken transmitteret fejlfrit byte Total * Jumbo-pakker” på giga-bit kan komme op på bytes afhænging af producent.
41
MAC - adressen Dette er en unik adresse som hver netkort har.
6 Bytes lang (48 bit). Netkortet hæfter sin MAC adresse på hver pakke. Kaldes også hardware adresse. 3 Byte (producent ID) 3 Byte (Netkort ID) 00 - D0 - B7 (Intel) A D
42
Netkort Netkortet sidder i computeren.
Den enhed der bestemmer hvilken L2-protokol den enkelte maskine skal kommunikere med. Bestemmer computerens MAC-adresse
43
Netkort Forbindelsen mellem pc’er og netværk.
Fra parallel til seriel data. Fra ”computersprog” til ”netværkssprog”.
44
Hub’en Forstærker Filter RX TX
Hub (et hjul-Nav (UK)) forstærker og videresender til alle porte. Forstærker Filter Hub’en er et ”Shared medie” (delt medie). Alle klienter deles om båndbredde RX TX
45
Switchen (L2-Switchen)
46
Switchen Hvad er en switch?
En switch er en populær betegnelse for en bridge, der udfører forwarding arbejdet (flytter pakker mellem portene) i hardware og som regel har flere end to porte. Selvom switche anvendes til samme formål som hubs er de teknisk set meget forskellige. Den tekniske betegnelse for switching er "transparent bridging".
47
Switchens indlæring A sender til B A E B C D NEJ NEJ
Er afsender adressen i tabellen ? A sender til B Tilføj til tabellen NEJ Adresse Tabel A E PC ADRESSE PORT A: 0080C8A0C PC ADRESSE PORT Er modtager adressen i tabellen ? Switch NEJ Indlæring Når en switch modtager en pakke, ”kigger” den på source MAC adressen i pakken og sammenligner denne MAC adresse med adressetabellen. Hvis source MAC adressen ikke er i tabellen, tilføjes den automatisk Herved får Switchen efterhånden opbygget en tabel over de forskellige MAC adresser som er tilsluttet Switchen Hvis ikke destinations MAC adressen er i tabellen, vil Switchen videresende pakken til alle porte undtagen den port hvorfra pakken kommer. Store & Forward I Store & Forward mode læser Switchen hele pakken ind i hukommelsen før den ”kikker” på MAC adressen og CRC Efter indlæringsfasen vil Switchen sammenligne destinations MAC adressen med tabellen Hvis destinations MAC adressen er på det samme netværk segment som sourcen, vil Switchen automatisk kassere pakken Hvis CRC og MAC adressen er i orden, vil Switchen videresende pakken på den port, hvor modtageren er tilsluttet Cut Trough Så snart Switchen har læst MAC adressen på modtageren, vil den forsøge at videresende pakken samtidigt med at den modtager resten af pakken. Her er ingen check af CRC eller fejlpakker. Switch B ud Videresend pakke til alle porte Hvad gør Switchen? C D
48
Switchens indlæring D sender til A A E B C D JA JA NEJ
Er afsender adressen i tabellen ? D sender til A JA Adresse Tabel PC ADRESSE PORT PC ADRESSE PORT A: 0080C8A0C B: 0080C8B0C C: 0080C6C0C D: 0080C835CC E: 0080C510CC A E Er modtager adressen i tabellen ? Switch JA Switch Er modtager adressen på afsender port ? B NEJ C D ud Videresend pakke til den angivne port Hvad gør Switchen?
49
Switchens indlæring C sender til D A E B C D JA JA JA
Er afsender adressen i tabellen ? C sender til D JA Adresse Tabel A E PC ADRESSE PORT PC ADRESSE PORT A: 0080C8A0C B: 0080C8B0C C: 0080C6C0C D: 0080C835CC E: 0080C510CC Er modtager adressen i tabellen ? Switch JA Switch Er modtager adressen på afsender port ? B JA C D Ignorerer pakken Hvad gør Switchen?
50
Mange snakker samtidig
A kommunikerer med D B kommunikerer med E C kommunikerer med F F E … samtidig, det kan en hub ikke. D Switchen er et ”Dedikeret medie” Alle klienter har den påtrykte båndbredde til rådighed A B C
51
Halv & Fuld duplex 10BASE-T, 10BASE2, 10BASE5 har mulighed for enten
at sende eller modtage … Halv duplex 100BASE-TX, 100BASE-FX har mulighed for både at sende og modtage samtidigt … Fuld duplex 1000BASE-T, 1000BASE-SX, 1000BASE-LX har mulighed for både at sende og modtage samtidigt … Fuld duplex
52
Fuld Duplex På en Switch kan der sendes og modtages samtidig
Når en Hub sender… … er alt optaget !
53
Autonegotiation Automatisk detektering af hastighed og duplex
1Gbit (1000Mbit) fuld duplex 100Mbit fuld duplex 100Mbit halv duplex 10Mbit fuld duplex 10Mbit halv duplex Auto-negotiation dækker over en teknik, hvormed to net porte (f.eks. Netkort eller switchporte) forhandler sig frem til transmissionshastighed og duplex.
54
Auto MDI-X MDI/MDI-X" er hvad du vil se på en hub eller switch, hvor en port kan krydses, så man ikke behøver et krydset kabel til at forbinde den til en anden switch eller hub. Grundet at PDS systemet supporterer fuld duplex, består en forbindelse af et transmit par og et receive par. For at få data til at løbe mellem de to enheder skal transmit forbindes til receive og receive forbindes til transmit. Mellem to forskellige enheder (DTE og DEC) skal dette ske med et ”lige-i-gennem” partch kabel. Mellem to ens enheder (DTE og DTE / DCE og DCE) skal dette ske med et krydspatchkabel. Porten på NIC, Routere og andet udstyr som er beregnet til direkte tilslutning på Hub eller Switch benævnes MDI (Medium Dependent Interface). Porten på Hub og Switch er krydset internt og benævnes MDI-X (Medium Dependent Interface - Crossed).
55
Hvorfor Switch ? Fuld duplex Hastighedskonvertering
Parallel dataoverførsel Fuld duplex Hastighedskonvertering Opdeling af netværket i kollisionsdomæner Intilligens i netværket
56
Layer 3 switch (Router)
57
Delt Internet forbindelse
Layer 3 switch Delt Internet forbindelse Layer 3 Switch Delt Printer Layer 2 Managed Switch Layer 2 Managed Switch
58
Hvorfor Layer 3-switching?
Når netværk vokser kan det betale sig at segmentere det op i mindre bidder(VLAN) for at undgå ydelsesproblemer Layer 3 switchen er i stand til at wirespeed route imellem disse VLAN Deling af ressourcer, som printere og internetforbindelse osv. Flere forskellige IP net på samme fysiske lokation Sikkerhed & Kontrol, typisk findes Layer 3 switche i organisationer, der har rigtig godt styr på sikkerheden Styring og regulering af båndbredde = QoS
59
Internettets muligheder & tilbud
60
Internettet Det amerikanske forsvar fik i 70erne behov for samkommunikation mellem tropperne i hele verdenen. TCP/IP-suiten blev derfor udviklet af militærorg. DARPA Også kommercielt behov for kommunikation mellem forskellige computersystemer (Digital/DECNet, IBM/SNA, Apple/Appletalk) I 1980 blev TCP/IP den bærende teknologi i et nyt net:Internettet Nettet blev hurtigt en kæmpe succes for universiteter, regeringer, computerselskaber, telefonselskaber……. Ingen ejer nettet men IAB bestemmer hvilke funktioner (protokoller) der må eksistere på Internettet og udsteder jævnligt RFC (Request for Comments)
61
Internetkonfiguration af router
Internettet = Default Route ( / ) Dynamisk eller fast tildeling af ekstern IP-adresse (DHCP)? NAT (Network Address Table) oversætter én WAN IP-adresse til flere LAN IP-adressebrugere Brug Wizzard for at få hjælp til de mest almindelige opsætninger. VIGTIGT: Kontroller altid for utilsigtede opkald hos kunden !!!
62
Routeren Forbinder LAN med WAN WAN (andre LAN eller Internettet)
Segmenterer LAN (i broadcast domæner) Remote access (IPsec/SSL) Sikkerhed (Firewall) WAN LAN LAN LAN LAN
63
Routeren kræver en rutebar adressering (f.eks TCP/IP)
Routeren opdeler netværket i broadcastdomæner kræver en rutebar adressering (f.eks TCP/IP) En router vil aldrig ”floode” en pakke (udsende den på flere porte hvis destinationen er ukendt) En pakke kan håndteres på 3 måder: indtil pakken når destinationen pakken afvises pga. defalut action = afvis TTL udløber Routeren bestemmer den bedste vej for en pakke til en destination til dette bruger den routningstabeller der kan konfigureres og opdateres manuelt (statisk) eller automatisk (dynamisk)
64
Routeren antal router hop tid båndbredde pris ($)
Routningstabellen indeholder typisk: Destinationsnetværksadresse next hop router cost (prisen for at nå destinationen): antal router hop tid båndbredde pris ($) Routning protokoller (f.eks. RIP og OSPF varetager oprettelse og vedligeholdelse af routningstabeller) vælges udfra den enkelte netværkssituation
65
IP adressen
66
IP adresse Internet Protokol-adressen
Er et unikt nummer som netværksenheder åsom f.eks. computere, bruger til at kommunikere med hinanden (IP). Alle enheder der skal kommunikere på IP-laget – blandt andet computere, servere, routere, netværksprintere og IP-telefoner, skal alle have deres egen unikke adresse. Dette sikrer at kommunikationen mellem de forskellige enheder ikke bliver blandet sammen.
67
IP adresse Er en adresse man selv kan tildele enhederne,
der befinder sig i netværket. Er sammensat af 4 Bytes (32 bit) separeret med punktum. Kaldes også software adresse X X X X 192 168 25 1
68
Det hele er i virkeligheden ”nuller” og ”etter”!
32 bit 4 grupper á 8 bit 4 grupper á 4 decimaltal
69
IP adresse Opdeles i Network-ID og Host-ID
Subnet mask angiver Network og Host-ID opdelingen. Eksempel IP-adresse Subnet mask Anbefalet IP til LAN brug
70
IP adresse IP-adressen er lettere at huske end MAC adressen.
Der må ikke være 2 ens IP-adresser på et LAN = IP adresse konflikt. Det samme er gældende for MAC adresser.
71
På netværket kan alle pakker deles op i 3 forskellige typer
Unicast En pakke der går fra en til en. Det mest simple dataoverførelse, men kan også føre til store mængder trafik. Multicast En pakke der går fra en til mange. Bruges ofte i forbindelse med streams af større mængder data som f.eks. Video eller IP tv Broadcast En pakke der går fra en til alle. Ofte i forbindelse med styre og info beskeder på netværket f.eks. et DHCP request fra en ny klient på netværket.
72
Destination IP Address
IP Datagram 4 8 16 19 24 31 Vers HLEN ToS Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Header Source IP Address Destination IP Address Options (If any) Padding Data Data …... …...
73
TCP/IP og klienten
74
Transmission Control Protocol/Internet Protocol
Samling af protokoller, udviklet af det amerikanske forsvar 2 grunde til TCP/IP’s succes: 1) Mest udbredte metode til kommunikation mellem forskellige fabrikanters netværksudstyr 2) Fundamentet for Internettet Et TCP/IP netværk opbygges vha. routere Al data rejser som Internet Protokol datagrammer der routes på hop-til-hop basis. Ingen enkelt-enhed træffer beslutning om den nøjagtige rute gennem netværket. Hvert enkelt datagram er en selvstændig enhed der kan rejse andre veje end datagrammer fra samme dataoverførsel
75
TCP/IP 2 forskellige protokoller ligger over IP-protokollen:
TCP (Transmission Control Protocol) Conection-Oriented (giver en pålidelig overførsel, dvs. fejl- og flowkontrol) Kræver at forbindelse først etableres Hver node på vejen skal reservere ressourcer så længe transmissionen foregår Procedure for opkald/terminering af opkald UDP (User Datagram Protocol) Connectionless (upålidelig dataoverførsel) Kræver ikke at en transmissionsvej/forbindelse etableres før datagrammet afsendes Nedbringer prisen og hæver hastigheden på routerne
76
IP opsætning i Windows XP
77
IP opsætning i Windows XP
78
IP opsætning i Windows XP
79
IP opsætning i Windows XP
80
IP opsætning i Windows 7 Venstre klik på de markeret ikoner
81
IP opsætning i Windows 7 Netværk og Internet indstillinger
82
IP opsætning i Windows 7 Netværk og delingscenter
83
IP opsætning i Windows 7 Alle netkort indstillinger
84
IP opsætning i Windows 7 Højre klik og egenskaber på ønskede netkort
85
IP opsætning i Windows 7 Dobbelt klik på IP version 4 Du kan nu vælge at få IP adressen automatisk eller selv vælge en IP adresse.
86
DHCP-serveren
87
Automatisk administration af IP-adresser (DHCP)
Klienten kan automatisk få tildelt: Egen IP-adresse Gateway-IP-adresse (router) DNS (konvertering af Internet domæne-navne Fungerer på ”Klient/server-basis”: en klient-PC udsender ved opstart en ”discovery” til en server. DHCP-serveren udvidelse af det gamle BOOTP ”range” af IP-adresser, f.eks IP-”discovery” kan forwardes af routere, hvis DHCP serveren skal findes på et andet netværk
88
DHCP serveren DHCP discovery Klienten sender en broadcast
besked på det fysiske subnet for at opdage tilgængelige DHCP-servere DHCP offer Når DHCP serveren modtager DHCPDISCOVERY reserverer den en IP adresse og returnerer et DHCPOFFER DHCP request Når klient ser dette DHCPOFFER, broadcaster den et DHCPREQUEST hvor det fremgår hvilket offer der er accepteret DHCP acknowledgment Når DHCP serveren modtager DHCPREQUEST og kan se at det er den selv der er valgt, sendes DHCPACK til klient og processen er forbi
89
DHCP: Automatisk uddeling af IP-adresser mm.
server IP-pulje: Gateway: DNS: filserver IP-adr: IP-adr: ? DHCP offer DHCP-discovery? DHCP ACKnowledgment IP= GW= DNS= DHCP request ROUTER IP-adr: Internet ISP DHCP- server IP-pulje: (offentlig) Gateway: DNS: Brugere fra andre lokalnet Dial In User (f.eks hjemmearbejdsplads) I større netværk kan administration af klienternes IP-adresser være en større ressourcekrævende opgave. En række manuelle IP-konfigurationsopgaver kan automatiseres vha. DHCP (Dynamic Host Configuration Protokol). Kræver en DHCP-server der kan konfigureres med en IP-pulje, gateway og DNS.
90
DHCP: Automatisk uddeling af IP-adresser mm.
DHCP server med mulighed for at tildele ”Option” kan bruges til at automatiserer dele af en konfiguration og ikke kun give en IP adresse Nogle eksempler er: Option 82: Relay Agent information. Bruges ofte i switche til at definere hvilken switch og port en klient er tilsluttet. Option 43: Vendor specifik information. Definere hvilken leverandør udstyret er fra, og kan bruges til f.eks. Placering af IP telefoner i et specifik VLAN Option 66: TFTP server name. Option 67: Bootfile name. Med options 66 og 67 vil man kunne fortælle hvor en given fil ligge og hvad den hedder. Dette bruges f.eks. Af snom One anlæg til at lave automatiske opdateringer, og konfigurere telefonerne
91
Router eller ej? Eget net = modtagernet ? Ja! Nej! DATA 192.168.10.100
Afs.IP-adr. Modt.IP-adr. IP-adr.: Subn.maske: Gateway: Ja! send pakke direkte på eget net! Nej! Send pakke til Gateway! ROUTER ROUTER
92
ARP - Address Resolution Protocol
Anvendes til at finde en IP-værts hardware-adresse (MAC) når IP-adressen er kendt Ved hjælp af jævnlige ARP-request’s (broadcast’s), vedligeholdes en ARP-tabel i de enkelte klienter. Hvis en tabelindgang ikke anvendes inden for et tidsrum (typisk 10 minutter) slettes den.
93
B A 2 1 3 ARP-tabel (Klient A) IP-adr. MAC-adr.
MAC-adr.: 00-A0-C9-37-8E-3E IP-adr.: MAC-adr.: 00-A0-C A B A 2 ARP-response: 00-A0-C9-37-8E-3E ! ARP-request: ? 1 FFFFFFFFFFFFF 00A0C937123A Modt.IP-adr.(B) Afs.IP-adr.(A) ARP-request Modt.MAC-adr.(B) Afs.MAC-adr.(A) Data layer 2 layer 3 3 A0-C9-37-8E-3E ARP-tabel (Klient A) IP-adr MAC-adr.
94
IP-netværk Kolding Odense Routing Table Netværk Interface
i1 i2 Routing Table Netværk Interface i1 i2 En routningstabel indeholder typisk information om netværksadresser, interfaces som netværksadressen kan nås med, og ”costs” for en given destination, dvs. hvor besværlig er destinationen at nå, normal antallet af routere der skal passeres. Routningstabellen kan udfyldes statisk, dvs. manuelt, eller den kan udfyldes dynamisk, dvs. ved at udveksle routings-information med andre routere. Den mest almindelige dynamiske routningsprotokol er RIP, mens OSPF bruges i større netværk. Kolding Odense Netværksadresse: Netværksadresse:
95
Statisk Routning Routing Table Netværk Interface Cost
Århus: i i1 i i2 i3 Odense: i2 Esbjerg: i2 i3 i1 i3 i1 Routing Table Netværk Interface Cost Routing Table Netværk Interface Cost i i i i i i i i i i
96
Dynamisk Routning Routing Table Netværk Interface Cost
Århus: ROUTER i i i i sort: initial-konfiguration blå: 1. RIP-update i1 rød: 2. RIP-update grå: 2. RIP-update efter”redundant” i3 i2 i2 Odense: ROUTE Esbjerg: ROUTER i2 i3 ”redundant” i1 i1 Routing Table Netværk Interface Cost Routing Table Netværk Interface Cost i i i i i i i i
97
Routnings Protokoller
98
Statisk Routning Manuel konfiguration af netværksadresser
Vanskeligt at håndtere og overskue i store netværk Simpelt og sikkert (ingen information om netværk udsendes)
99
Dynamisk Routning Ingen manuel konfiguration - Routeren ”opdager” selv hvilke netværk der kan nås, og hvilken rute der er hurtigst/billigst Protokoller: RIP-1, RIP-2, OSPF
100
RIP-1, RIP2 RIP1: Router udsender sin routningstabel hvert 30. sekund til naboer (kan undgås med ”triggered RIP”) Max. router-hop: 15 Langsom opdatering af netværkstilstand RIP2: tabeller udsendes som ”multicast” i stedet for ”broadcast” - dvs. kun routere behandler oplysningerne understøtter variable netværksadresser password-mekanisme
101
OSPF (Open Shortest Path First)
OSPF-routere udsender information om tilsluttede links til alle Routere i netværket ved ændringer Bruger derfor mindre båndbredde end RIP Reagerer hurtigere overfor ændringer end RIP ”Load Splitting”, dvs. brug af to parallelle forbindelser samtidig Mere kompliceret at konfigurere og fejlfinde
102
NAT / PAT
103
Network Address Translation (NAT)
Konvertering mellem private IP-adresser og Internet-IP-adresser ! 3 typer af konverteringsmetoder: STATISK: a) mellem netværk af samme størrelse eller b) mellem enkelte IP-adresser DYNAMISK: mellem netværk af forskellig størrelse NETVÆRK-TIL-ENKELT IP-ADRESSE
104
VPN Eksempel på brug af NAT og Port forward
105
Portnumre Til at identificere de enkelte kommunikerende applikationsprogrammer over lag 4 anvendes PORTNUMRE Portnumre er ”lag 4”-information (Transportlaget) - både modtage- og senderport angives Anvendes i høj grad i forbindelse med filtrering. Portnumrerne er 16-bit lange dvs. at samtidige programmer kan være aktive i en TCP/IP maskine Laveste portnumre er dog reserveret til standardprogrammer, f.eks: Applikation Port-nr. FTP 20/21 TELNET SMTP (mail) DNS TFTP HTTP SNMP 181 List_of_TCP_and_UDP_port_numbers Til at identificere de enkelte kommunikerende applikationer (programmer) anvendes portnumre. Portnumrerne kan sammen med IP-adresserne adressere præcist hver enkelt kommunikerende applikationsorienterde program. Portnummerfelterne er 16 bit lange, så der kan adresseres programmer i hver enkelt station. De første 245 numre er reserveret til standardiserede applikationsorienterde programmer (f.eks. FTP, Telnet, SMTP og SNMP).
106
Filtrering Frasortering af IP-pakker på baggrund af IP-adresser og/eller port-numre. Bruges mest af sikkerhedshensyn, men også for at undgå at utilsigtede pakker åbner en dial-up linje (f.eks. ISDN) Kan opsættes som BLACK LIST: default action = PASS - filterregler fra-sorterer! WHITE LIST: default action = DISCARD - filterregler tillader! RX eller TX RX-filter indadgående trafik TX-filter udadgående trafik
107
”Statisk” NAT Mellem netværk af samme størrelse (host-ID forbliver uændret) eller Mellem enkelte IP-adresser Forbindelse kan etableres begge veje ! Intern IP-adresse Ekstern IP-adresse afs modt. afs modt. modt afs. a) modt afs. afs modt. afs modt. b) modt afs. modt afs.
108
”Statisk” NAT Kaldes også en One–to–one Nat One-to-one Many-one-to-one
109
”Dynamisk” NAT Mellem netværk af forskellig størrelse
Forbindelse kan kun startes indenfra! Intern IP-adresse Ekstern IP-adresse afs modt. afs modt. modt afs. modt afs.
110
”Dynamisk” NAT Many-to-many Overload
111
”Netværk-til-enkelt IP-adresse”-NAT
Forbindelse kan kun startes indenfra! Intern IP-adresse Ekstern IP-adresse afs modt. afs modt. modt afs. modt afs.
112
”Netværk-til-enkelt IP-adresse”-NAT
Many-to-one TCP multiplexer flere forbindelser til en enkelt Internet host ved brug af sockets og porte.
113
Meget simpel TCP/IP Packet
Eks.
114
NAT and PAT Process
115
Firewall Firewall
116
Hvorfor Firewall? Firewall
Vi står over for større og større sikkerhedstrusler Selvom packet filter og NAT begrænser adgangen til bestemte computere, servere og netværk, kan denne sikkerhed være utilstrækkelig for flere virksomheder Så ved ønsket om øget sikkerhed, bør der overvejes brug af en firewall.
117
Firewall Firewall Routeren WAN Forbinder LAN med WAN
(andre LAN eller Internettet) Segmenterer LAN (i broadcast domæner) Remote access (IPsec/SSL) Sikkerhed Firewall med bla.a Antivirus, Antispam & IDP WAN LAN LAN LAN LAN
118
Attack to Firewall blocked
Hvordan virker IDP og Anti-virus? Attack to Firewall blocked Block attack to DMZ Block attack to LAN
119
Et eksempel på et muligt scenarie
120
DMZ DMZ Hvad er DMZ Det referere til Demilitariseret Zone, eller det man kan kalde en slags ingenmandsland. Man har interne resurser som man ønsker at dele med eksterne brugere, samtidigt med at man ønsker at sikre et internt netværk fra ekstern tilgang?? Man må godt tilgå lokal serveren, men må ikke kunne tilgå lokal PC’en
121
Zone beskyttelse DMZ Adgang til WAN Adgang til LAN Tilladt
IKKE tilladt Adgang til DMZ Tilladt Adgang til DMZ Tilladt Adgang til LAN IKKE tilladt Default Firewall Action LAN to DMZ = Allowed LAN to WAN = Allowed DMZ to WAN = Allowed DMZ to LAN = Dropped WAN to LAN = Dropped
122
ICMP
123
ICMP (Internet Control Message Protocol)
Administrationsprotokol til fejlrapportering og information om IP-netværkets tilstand: Routere: Rapportering af problemer eller ændringer i netværket (f.eks. henvisning af klient til anden router) Klienter: Test af destination (f.eks ”PING” og Traceroute) ICMP er en ”hjælper”-protokol der primært bruges til at sende fejlbeskeder i mellem IP-stationer samt ”redirection”-information imellem routere. F.eks. en besked om at en pakke er smidt væk pga. overfyldning, eller at en mere fordelagtig router kan benyttes.
124
ICMP (Internet Control Message protocol)
ICMP blev designet til af fungere som en budbringer af fejl og diagnoser. Alle IP netværksenheder har evnen til at sende, modtage og bearbejde ICMP beskeder. Da ICMP blev designet, var der ikke taget højde for de sikkerheds problemer, som vi i dag kæmper med, med der blev dog sat et par grundregler for at ICMP kan virke effektivt. 1. For at sikre at ICMP beskeder ikke flood’er et IP netværk, bliver ICMP ikke givet nogen speciel priotet, og behandles altid som normal trafik. 2. ICMP beskeder kan ikke blive sendt som svar til andre ICMP beskeder. Denne design mekanisme forhindre situationer hvor en fejl besked generere endnu en fejl besked og endnu en, da dette vil blive et stort problem! 3. ICMP er designet til ikke at sende en responce på multicast og broadcast trafik.
125
Forkortelser ARP Address Resolution Protocol BOOTP Bootstrap Protocol
CHAP Challenge-Handshake Authentication Protocol DARPA Defense Advanced Research Projects Agency DHCP Dynamic Host Configuration Protocol DMZ Demilitaiserede Zone DNS Domain Name Service FTP File Transfer Protocol HTML Hyper Text Markup Language HTTP HyperText Transfer Protocol IAB Internet Architecture Board IP Internet Protocol ISDN Integrated Services Digital Network ISP Internet Service Provider KBPS kilo bilts per sekund LAN Local Area Network NAT Network Address Translation NT Netværksterminering OSI Open System Interconnection PAP Password Authentication Protocol PING Packet Internet or Inter-Networ Groper POP Post office Protocol PPP Point to Point Protocol PSTN Public Switched Telephone Network RARP Reverse Address Resolution Protocol RFC Requests For Comment RIP Routing Information Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol TCP Transmission Control Protocol TELNET Terminalemuleringsprogram URL Uniform Ressource Locator VPN Virtuel Private Network WAN Wide Area Networlk WWW World Wide Web
126
Mere information: http://www.whatis.com
hurtig-opslag af alverdens data-begreber The Free Encyclopedia -> 763 000+ artikler Bogen ”Datakommunikation” af Stig Jensen og Arne Gjelstrup (ISBN ) fra Teknisk Forlag (
Lignende præsentationer
© 2024 SlidePlayer.dk Inc.
All rights reserved.