View
26
Download
0
Category
Preview:
Citation preview
222Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
333Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
444Mreže računala
IPv6
• IPv6 adresa je dodijeljena sučeljima• Eksplicitna napomena, za razliku od IPv4
• Vrste adresa• Unicast
• Paket poslan na neku adresu iz ovog skupa isporučit će se sučelju s navedenom odredišnom adresom
• Multicast
• Paket poslan na neku adresu iz ovog skupa isporučit će sučelju svim sučeljima koji pripadaju adresiranoj grupi
• Anycast
• Paket poslan na neku adresu iz ovog skupa isporučit će se samo jednom sučelju u grupi sučelja
555Mreže računala
IPv6
• Novi način raspodjele IPv6 adresa• RFC4291, veljača 2006.
• Podjela navedena na slajdovima 6/108 i 6/109 više ne vrijedi!
• Podjela adresnog prostora• Nespecificirana adresa ::/128
• Loopback adresa ::1/128
• Difuzija u grupi FF00::/8
• Link lokalne adrese FE80::/10
• Globalne unicast adrese Sve ostalo
666Mreže računala
IPv6
• Kreiranje identifikatora sučelja• Za svaku lokalnu mrežu definirano zasebno
• U dokumentima IP over XYZ
• Primjer za IEEE802.3 adrese [RFC2464]Uzmemo MAC adresu sučelja
00:50:56:c0:00:01
U sredini se ubaci FF FE (između IEEE globalnog i lokalnog dijela)
00:50:56:ff:fe:c0:00:01 (EUI-64)
Invertira se globalni bit
02:50:56:ff:fe:c0:00:01 (Modificirani EUI-64)
To se prepiše u grupe po 16 bitova (dobijamo ID sučelja)
0250:56ff:fec0:1
Ubacujemo ga u link local mrežu
fe80::250:56ff:fec0:1
777Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
888Mreže računala
Temeljni koncepti
• Pravila za izradu novih protokola• Liberalan kod primanja i konzervativan kod slanja
• Koristiti verzije protokola u PDU-ovima
• Rezervirana polja kod primanja ignorirati, a kod slanja postaviti na neku predefiniranu vrijednost
• “End-to-end design principle”• Funkcionalnost smjestiti izvan mreže
• Mreža je jednostavnija te jeftinija i lakša za nadograditi
• Općenitost mreže omogućava uvođenje novih aplikacija
• Aplikacije ne ovise o ispravnosti nečega u mreži što efektivno povećava njihovu pouzdanost
• Iznimka su optimizacije
999Mreže računala
“Middleboxes” (1)
• Bilo koji uređaj koji obavlja nekakve funkcije nad paketima mimo standardnog usmjeravanja prilikom njihova putovanja od izvorišta do odredišta [RFC3234]
• Ukratko: nikada nije konačno odredište paketa!
• Problemi uređaja• mogu uzrokovati probleme s postojećim protokolima
• uvode nove kritične točke
• konfiguracija više nije samo na krajnjim točkama
• pri pojavi problema teže je dijagnosticirati uzroke
101010Mreže računala
“Middleboxes” (2)
• Primjeri uređaja• NAT, NAT-PT, SOCKS
• Tuneli• Problemi s TTL-om, MTU-om, imaju “krivo odredište”
• IP vatrozid
• Aplikacijski vatrozid• Transparentni i netransparentni
• Web posrednik (proxy), SMTP posrednik (proxy)
• Priručne memorije (caches)
• Modificirani DNS poslužitelji
111111Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
121212Mreže računala
Arhitektura Interneta
• Autonomni sustavi (AS)• Ponekad se nazivaju i domene
• Administrativno jedinstveni
• Mogu biti tranzitni, ili krajnji (stub)
• Koriste različite protokole usmjeravanja
• Internet je skup autonomnih sustava• Izrazito nepravilna povezanost
• BGP algoritam se koristi za razmjenu ruta između AS-ova
131313Mreže računala
Protokoli usmjeravanja na Internetu
• Podjela protokola za usmjeravanje• usmjeravanje unutar domene (intradomain)
• usmjeravanje između domena (interdomain)
• Protokoli usmjeravanja unutar domena• RIP (jako rijetko)
• Open Shortest Path First (OSPF)
• Intermediate Sysem to Intermediate System (IS-IS)
• Protokol usmjeravanja između domena• Border Gateway Protocol (BGP), verzija 4
141414Mreže računala
Open Shortest Path First (1)
• Internet standard! (RFC2328)• Trenutno aktualna verzija 2
• Za IPv6 koristi se posebna verzija (OSPFv3)
• Dinamički algoritam stanja veze• Razvijen kao zamjena za RIP
• Koristi direktno IP za prijenos podataka
• Dominantan protokol za usmjeravanje unutar domena
• IS-IS vrlo jaka konkurencija
151515Mreže računala
Open Shortest Path First (2)
• Prednosti• Nema ograničenja na broj skokova u mreži
• Vrlo brza propagacija promjena u mreži
• Omogućava podjelu mreža u područja• Mogućnost ostvarivanja hijerarhijske organizacije mreže
• U stacionarnom stanju troši izuzetno malo resursa
• Otvoren standard bez patentnih i sličnih problema
161616Mreže računala
Open Shortest Path First (3)
• Nedostaci• Relativno složen protokol
• Računski zahtjevan
• Korištenje područja može biti problematično• To je i prednost i mana
• Ako je određeni link nestabilan OSPF promet može zagušiti mrežu svojim prometom
171717Mreže računala
Open Shortest Path First (4)
• Osnovni pojmovi• Veza (Link) – sučelje na usmjerniku
• Stanje veze (Link state) – opis sučelja i susjednih usmjernika
• Baza stanja veza (Link state database) – skup svih stanja veza u mreži
• Način rada• Svaki usmjernik generira stanja svih svojih veza
• Algoritmom preplavljivanja šalje te podatke svim ostalim usmjernicima
• Svi usmjernici računaju najkraće staze na osnovu tih podataka
181818Mreže računala
Open Shortest Path First (5)
• Tipovi paketa koje šalju OSPF usmjernici• HELLO poruke
• Sadrže popis susjeda usmjernika koji šalje paket
• LSA poruke• Svaki LSA ima slijedni broj i starost kako bi se lakše odredile
novije verzije
• Router LSA, Network LSA, ...
• Poseban problem višepristupne mreže• Potencijalno velik broj LSA-ova
• Na višepristupnim mrežama biraju se odabrani usmjernik (Designated Router) i pomoćni odabrani usmjernik (Backup Designated Router)
191919Mreže računala
Border Gateway Protocol – BGP (1)
• Vrlo bitan protokol Interneta• Razmjena informacija između autonomnih sustava
• Trenutno u verziji 4
• Klasa Path Vector protokola usmjeravanja• Sličan protokolima usmjeravanja vektorom udaljenosti,
ali sa sobom nosi kompletan put
• Glavna metrika za rad protokola: POLITIKA• Iz toga proizlazi dobar dio problema Interneta
• Prijenos podataka upotrebom protokola TCP• Pristup 179 je rezerviran za BGP
202020Mreže računala
Border Gateway Protocol – BGP (2)
• Po uspostavi veze razmjena informacija• Četiri vrste poruka: OPEN, UPDATE, KEEPALIVE,
NOTIFICATION
• Razmjena kompletnih tablica usmjeravanja
• Potom razmjena samo razlika
• Osnovna jedinica usmjeravanja put (path)• Svi putevi sadrže dodatne atribute
• Dva najbitnija atributa su AS_PATH i NEXT_HOP
• AS_PATH sadrži popis autonomnih sustava kroz koji s prolazi od odredišta
• Služi za detekciju petlji!
212121Mreže računala
Border Gateway Protocol – BGP (3)
• Podjela veza između usmjernika po funkciji• Interni BGP (iBGP)
• Veza dva BGP usmjernika unutar istog autonomnog sustava
• Eksterni BGP (eBGP)
• Veza dva BGP usmjernika koji pripadaju različitim autonomnim sustavima
222222Mreže računala
Primjer razmjene dostižnosti
• Primjer razmjene informacije o dostižnosti puta i detekcija petlje
232323Mreže računala
Pregled stanja usmjernika na Internetu
• Pristup “pravom” usmjerniku• Usluga pod imenom “route-view”, “looking glass”, ...
• Omogućen pristup usmjerniku i pregled njegovog statusa
• Primjer: route-views.oregon-ix.net• Pristupa se telnet protokolom!
• Usmjernik serije Cisco 7200
• Korisničko ime: rviews
• Ispis BGP staza
sh ip bgp all
242424Mreže računala
Rast Interneta (1)
• Primjer poblema: rast Interneta• Izvor: http://bgp.potaroo.net/
252525Mreže računala
Rast Interneta (2)
• Bitni parametri za usmjernike• Broj staza u tablicama usmjeravanja
• Prosječna duljina prefiksa
• Broj autonomnih sustava
• Optimiranje usmjernika vrši se na osnovu tih parametara
• Primjerice, na osnovu očekivane duljine prefiksa izrađuju se algoritmi za pretraživanje tablica
• Usmjernici u DFZ-u su vrlo skupi• Kod nabavke planira se nekoliko godina unaprijed
262626Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
272727Mreže računala
Multi Protocol Label Switching (1)
• Problemi mrežnog sloja Interneta• Neefikasno proslijeđivanje
• Izrazit problem jezgra Interneta (Tier-1 NSP-ovi)
• Teško ostvariti kvalitetu usluge
• Potreba za boljim upravljanjem prometom
• Traffic Engineering
• ATM i mreže bazirane na virtualnim vezama nemaju navedene probleme
• Ali imaju svoj skup problema!
• Pokušaj rješavanja problema upotrebom hibrida
282828Mreže računala
Multi Protocol Label Switching (2)
• Ideja• Svakom IP paketu dodati nekakvu oznaku i obavljati
proslijeđivanje temeljeno na toj oznaci
• Vrlo slično načinu na koji radi ATM
• Oznaka se još naziva labela
• Osim labele još neke informacije => MPLS Zaglavlje
• Smještaj MPLS zaglavlja
Zaglavljepodatkovnog sloja
MPLSSHIM
Zaglavljemrežnog sloja Podaci mrežnog sloja
• MPLS je efektivno 2.5 sloj
292929Mreže računala
Multi Protocol Label Switching (3)
• Struktura MPLS zaglavlja
Labela Exp.
0 19
BS
22 23
TTL
31
• MPLS zaglavlja, odnosno labele mogu se ulančavati
• Polje BS, kada je postavljeno na 1 označava zadnju labelu
313131Mreže računala
Osnovni elementi MPLS arhitekture (1)
• LER (Label Edge Router)• Usmjernik na granici MPLS mreže
• dodaje (ingress) ili uklanja (egress) labelu
• LSR (Label Switching Router)• Usmjernik unutar MPLS mreže
• Preklapa isključivo na osnovu labele
• LSP (Label Switched Path)• Put koji prolazi paket kroz MPLS mrežu
323232Mreže računala
Osnovni elementi MPLS arhitekture (2)
• LIB (Label Information Base)• Tablica koju svaki LSR koristi za proslijeđivanje paketa
• LDP (Label Distribution Protocol)• Protokol za razmjenu labela
• Definirane su i modifikacije “standardnih” protokola usmjeravanja koje omogućavaju razmjenu labela
• FEC (Forward Equivalence Class)• Grupe kojima pripadaju svi paketi
• Svaka grupa ima svoju labelu
333333Mreže računala
Generalized Multi Protocol Label Switching
• MPLS je ograničen• Paketne mreže (Internet)
• Prospajanje okvira (Frame Relay)
• Prospajanje ćelija (ATM)
• GMPLS je proširenje na• TDM mreže
• Mreže s prospajanjem krugova
• Mreže s prospajanjem valnih duljina (WDM)
• Osnovni problem je kako napraviti upravljanje od kraja do kraja
343434Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
353535Mreže računala
Mobilnost (1)
• Sve veća zastupljenost mobilnih uređaja• Velike mogućnosti (bežičnog) spajanja na Internet
• Želimo biti uvijek spojeni na Internet
• Ne želimo da nam veze “pucaju” kad prelazimo iz jedne mreže u neku drugu mrežu
• Problem: višestruka funkcija IP adresa• Identifikator pojedinog uređaja (sučelja)
• Položaj (mreža) u kojoj se uređaj trenutno nalazi!
• Znanje o IP adresama je ugrađeno u sve više slojeve
• Posebno je problematičan prijenosni sloj
363636Mreže računala
Mobilnost (2)
• Vrste mobilnosti• Mikro mobilnost
• Malo područje, česti prijelazi (handoff)
• Makro mobilnost
• Veliko područje, rjeđi prijelazi
• Nomadičnost• Neaktivan tijekom kretanja
• Celularna mobilnost• Aktivan tijekom kretanja
• Pojam “Road warrior”
373737Mreže računala
Mobilnost (3)
• Načini postizanja mobilnosti• Promijenimo IP adresu
• Promjena identiteta!
• Veze pucaju, moramo se ponovo spajati!
• Zadržimo IP adresu
• Moramo reći usmjernicima gdje se nalazimo
• Problem: usmjernici ionako preopterećeni(Internet nije najstabilnije mjesto na svijetu)
• Moguća rješenja• Razdvajanje funkcionalnosti IP adresa (radikalno)
• Uvođenje posebnih protokola za postizanje mobilnosti
383838Mreže računala
Mobilni IP (1)
• Zadržavanje stare IP adrese na novoj mreži• MIPv4 je protokol koji to omogućava za IPv4
• MIPv6 je protokol koji to omogućava za IPv6
• Temeljni pojmovi• MN (Mobile Node)
• CoA (Care of Address)
• HoA (Home Address)
• CN (Correspondent Note)
• HA (Home Agent)
• FA (Foreign Agent)
434343Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
444444Mreže računala
Višepristupnost (1)
• Višestruko “priključivanje” na Internet
• Multihoming
• Primjer ograničene višepristupnosti
• Priključenje na jednog ISP-a
• Nije problematično
• Nije najpouzdanije
464646Mreže računala
Višepristupnost (3)
• Prednosti• Sigurniji od ispada pojedinog ISP-a
• Jako bitno za poslovanje
• Moguć prelazak na novi ISP bilo kada• Cijene i mogućnosti variraju
• Istovremeno korištenje svih linija prema Internetu• Veći kapacitet
474747Mreže računala
Višepristupnost (4)
• Problemi• ISP-ovi dodjeljuju IP adrese i NSP-ovima šalju
agregirane adrese
• Problematično je blok adresa jednog ISP-a slati drugome
• Radi se o vrlo verlikim mrežnim maskama (/28, /29)
• Moguće je koristiti NAT, opet nije dobro...
• Jedino kompletno rješenje• Alocirati AS broj i staviti BGP usmjernike
• Ali, u jezgru Interneta se ubacuju preveliki prefiksi• U IPv6 je to zabranjeno
484848Mreže računala
Višepristupnost (5)
• Trenutna rješenja• Više IP adresa po računalu
• Manipulacija DNS poslužiteljima
• Rješenja trenutno u razvoju• Sva rješenja pokušavaju razdvojiti uloge IP adrese
• Primjeri: SHIM6, HIP, ...
494949Mreže računala
Sadržaj
• IPv6
• Neki temeljni koncepti i “Middleboxes”
• Arhitektura Interneta i protokoli usmjeravanja
• (G)MPLS
• Mobilnost
• Višepristupnost
• Virtualne privatne mreže
505050Mreže računala
Virtualne privatne mreže (1)
• Ostvariti privatnu mrežu nad nekom postojećom mrežom.
• Virtualna budući da ne postoji kao zasebna mreža
• Privatna jer se isključivo koristi za vlastite potrebe
• Mnoštvo mogućih rješenja• Velika većina uključuje kriptiranje, ali ne sva
• Moguće ih je ostvariti na različitim slojevima, primjerice
• Aplikacijski sloj (SSL, SSH)
• Mrežni sloj (MPLS, IPsec)
515151Mreže računala
Virtualne privatne mreže (2)
• MPLS virtualne privatne mreže• Nema kriptiranja
• Upotrebljavaju stog labela
• IPsec virtualne privatne mreže• Arhitektura za ostvarivanje sigurnosti na Internetu
• Definira ponašanje čvorova i protokole koje čvorovi koriste
• Opcionalni protokoli u IPv4, obavezni u IPv6
• Trenutno aktualna druga verzija
• 12. mjesec 2005.
525252Mreže računala
IPsec arhitektura (1)
• Definira ponašanje čvorova i način na koji obrađuju IP pakete [RFC4301]
• Ponašanje definirano preko sljedećih baza
• SPD (Security Policy Database)• Definira što se štiti
• Sastoji se od zapisa
• (traffic selector, akcija)
• Selektori prometa biraju pakete na osnovu IP adresa, protokola prijenosnog sloja, pristupa, ...
• Akcija je BYPASS, DISCARD, DROP
535353Mreže računala
IPsec arhitektura (2)
• SAD (Security Association Database)• Definira kako se štiti
• Kripto algoritmi i ključevi
• PAD (Peer Authorization Database)• Definira tko smije čemu pristupati
545454Mreže računala
IPsec protokoli (1)
• Dva protokola mrežnog sloja• ESP (Encaspulated Security Policy)
• Obavezan protokol, služi za enkripciju
• AH (Authenticated Header)
• Neobavezan protokol, pruža dokaz autentičnosti
• Dva načina rada• Prijenosni način rada: Ne mjenjaju se IP adrese iz zaglavlja
• Tunel način rada: Vrši se pakiranje jednog IP paketa u drugi
• IKEv2 (Internet Key Exchange v2)• Protokol za razmjenu ključeva
555555Mreže računala
Primjer upotrebe IPsec-a
• Komunikacija klijenta i poslužitelja
• Baza SAD prazna, SPD zahtijeva zaštićenu komunikaciju
IKEv2
Linux Kernel Linux Kernel
Client IKEv2 Server
1 2
3
4 4
5
6
Initiator Responder
Recommended