Adrese Ip
ADRESE IP
Adresa IP reprezinta un identificator al unui calculator sau dispozitiv dintr-o retea TCP/IP. Retelele care utilizeaza suita de protocoale TCP/IP routeaza mesajele (pachetele) pe baza adresei IP de destinatie.
La ora actuala se utilizeaza concomitent 2 tipuri de adrese IP (Internet Protocol): IP ver. 4 (IPv4) si IP ver. 6 (IPv6). IPv4 a fost lansat initial la data de 1 ianuarie 1983 si este inca versiunea cea mai utilizata. Adresele IPv4 reprezinta numere de 32-biti exprimate sub forma a 4 octeti in notatia zecimala cu punct ("dotted decimal" notation) (de exemplu, 192.0.32.67). Lansarea protocolului IPv6 a inceput in 1999. Adresele IPv6 sunt numere de 128-biti si sunt in mod conventional exprimate cu ajutorul unor numere hexazecimale (de exemplu, 1080:0:0:0:8:800:200C:417A).
In cele ce urmeaza, vom discuta despre adrese IPv4:
X.X.X.X
Fiecare dintre cele 4 campuri este de 8 biti (1 octet), deci poate lua valori cuprinse intre 0 si 255.
Valoarea 0 corespunde tuturor biților 0
00000000
iar valoarea 255 tuturor biților 1
11111111
fiecare bit corespunzând unei puteri ale lui 2
27 26 25 24 23 22 21 20
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
Exemplu de adresa IP:
Notatia zecimala cu punct: 1.2.3.4
Notatia binara cu punct: 00000001.00000010.00000011.00000100
Alt exemplu:
Zecimal cu punct: 128.213.1.1 (cs.rpi.edu)
Binar: 10000000.11010101.00000001.00000001
Fiecare adresa IP este formata din doua (2) parti:
ID – ul de Retea
ID – ul de Gazda
Separarea intre cele doua parti se face cu ajutorul mastii de subretea (Subnet Mask), care este tot o adresa pe 32 biti si:
portiunea care cuprinde valorile de 1 ale bitilor din masca de subretea, corespunde ID-ului de Retea
portiunea care cuprinde valorile de 0 ale bitilor din masca de subretea, corespunde ID-ului de Gazda
Astfel, o adresa IP: 68.130.15.113
cu masca de subretea : 255. 0. 0. 0
ID Retea ID Gazda
Alocarea domeniilor de adrese (ID-uri de Retea) se face de catre o autoritate globala – The Internet Assigned Numbers Authority (IANA)
http://www.iana.org/assignments/ipv4-address-space
Alocarea adreselor de Gazda (ID-uri de Gazda) se face de catre administratorul retelei respectivei organizatii
Ambele tipuri de adrese IPv4 si IPv6 sunt alocate prin delegare. Utilizatorilor le sunt alocate adrese IP de catre furnizorii de servicii Internet (ISPInternet service provider). ISP-urile la randul lor obtin adrese IP alocate de la Registrul Local Internet (LIR) sau de la National Internet registry (NIR). Pentru Romania acesta este:
Rolul IANA consta in alocarea de adrese IP catre RIR, din domeniile de adrese nealocate, in functie de necesitatile acestora.
In functie de dimensiunea retelelor, adresele IP s-au impartit in 5 clase, dupa cum urmeaza:
Numai adresele din clasele A, B si C pot fi folosite ca adrese IP ce se aloca gazdelor, respectiv retelelor !
Clasa A – 0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh
Primul bit 0; 7 biti pt. ID-ul de retea; 24 biti pt. ID-ul de gazda
Primul octet: 0 – 127
Clasa B – 10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh
Primii doi biti 10; 14 biti pt. ID-ul de retea; 16 biti pt. ID-ul de gazda
Primul octet: 128 – 191
Clasa C – 110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh
Primii trei biti 110; 21 biti pt. ID-ul de retea; 8 biti pt. ID-ul de gazda
Primul octet: 192 – 223
Clasa D – 1110mmmm mmmmmmmm mmmmmmmm mmmmmmmm – RFC 1112
Primii patru biti 1110; 28 biti pt. adresa multicast
Primul octet: 224 – 247
Clasa E – 1111rrrr rrrrrrrr rrrrrrrr rrrrrrrr
Primii patru biti 1111; 28 biti rezervati pentru adrese
Primul octet: 248 – 255
Numarul de retele si, respectiv gazde intr-o retea, posibil sa existe (in lume):
Adrese IP locale (Internal IP addresses)
In interiorul unei retele izolate, alocarea adreselor IP se poate face aleator, cu conditia ca fiecare sa fie unica in cadrul respectivei retele. Dar conectarea acestei retele locale la Internet va necesita utilizarea de adrese IP inregistrate (denumite adrese de Internet) pentru a evita adrese duplicate.
Poate fi utilizata o categorie speciala de adrese IP – adrese IP locale (RFC 1918) care permit functionarea suitei de protocoale TCP/IP in retelele locale (private network).
Caracteristicile acestor adrese:
NU pot fi folosite niciunde pe Internet, NU pot fi folosite pentru comunicarea intre diferite gazde de pe Internet (NU pot fi inregistrate ca adrese IP de Internet)
Pot exista oricate astfel de adrese IP locale pe diferite retele locale din lume
Sunt gratuite !
Spatiul de adrese locale este format din 3 blocuri de adrese rezervate de catre IANA special in acest scop (ce pot fi utilizate in retele izolate):
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
Uzual se foloseste reteaua 192.168.0.0 cu masca de subretea de clasa C: 255.255.255.0 . Oricare dintre retelele locale de mai sus este insa valida, cu conditia asocierii mastii de subretea corecte.
Deci, daca se utilizeaza o retea clasa C, pentru calculatoarele retelei TCP/IP trebuie utilizate adresele IP: 192.168.0.2, 192.168.0.3, .., 192.168.0.x
192.168.0.1 este , de regula utilizat pentru (default) gateway – interfata routerului legata la respectiva retea locala.
Adresele IP 192.168.0.0 si 192.168.0.255 sunt REZERVATE pentru adresa pe 32 biti a rețelei, respectiv pentru broadcast. Trebuie evitată utilizarea acestor adrese rezervate, în caz contrar rețeua nu va funcționa corect.
Exemplu:
Adresele IP ale gazdelor trebuie sa fie unice pe Internet !!!
Totusi, daca se doreste comunicarea de la aceste adrese cu gazde din Internet, trebuie folosit un serviciu oferit de un server (Windows 2000 sau Windows 2003 sau un proxy Server), serviciu ce poarta numele de NAT (Network Address Translation). Acesta va ’transla’adresele IP locale la adrese IP valide pe Internet.
Dacă procesezi mai multe calculatoare și o imprimantă – procesezi de fapt interfețele (plăcile) de rețea ale tuturor calculatoarelor și imprimantei și dorești să le conectezi la un hub de rețea sau un switch, astfel încât să poți partaja resursele între acestea și să ai o conexiune automată la Internet. Pentru a avea o conexiune automată la Internet se folosește suita TCP/IP, care trebuie instalată pe fiecare dispozitiv al rețelei.
Pentru a înțelege cum funcționează TCP/IP, trebuie înțeles modul cum se alocă adresele TCP/IP, regulile legate de această alocare.
Prima regulă: fiecare dispozitiv de pe rețea trebuie să aibă o adresă unica.
Se alocă o adresă IP fiecărei interfețe de rețea: serverului, stației Win2000 Pro, etc.
Pentru router se alocă 5 (cinci) adrese IP, deoarece separă diferite grupuri de calculatoare și Internet – el are 5 interfețe de retea.
Pentru a putea comunica în cadrul rețelei, fiecare interfață are propria (unică) adresă IP.
Reprezentarea unei adrese IP se face sub forma a 4 nr. zecimale, separate prin puncte:
X.X.X.X.
Fiecare dintre acestea poate avea valori între 0 și 255.
Dar calculatorul lucrează în binar.
Fiecare număr are 8 digiți, care pot fi 0 (zero) sau 1 (unu) = 1 octet.
Convertind in zecimal, valoarea 0 corespunde tuturor biților 0
00000000
iar valoarea 255 tuturor biților 1
11111111
fiecare bit corespunzând unei puteri ale lui 2
2726252423222120
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
Gândind în binar:
Adresele IP se pot termina în 0;
Adresele IP se pot termina în 255.
Deci fiecare dispozitiv trebuie să aibă o astfel de adresă IP unică, pentru a se putea conecta la Internet.
Adrese IP LOCALE
Adresele IP locale (Internal IP Address), pot fi garantate ca fiind unice, deoarece garantat nu sunt utilizate în altă parte în Internet
Adresele IP locale sunt gratuite !!!
Unele dintre cele mai uzuale domenii de adrese interne:
Să alocăm acum adrese TCP/IP dispozitivelor din schema prezentată. Ce adrese alocăm? Pentru că am spus că fiecare dispozitiv trebuie să aibă o adresă unică între toate calculatoarele din lume.
Putem cere de la furnizorul de servicii Internet (ISP) alocarea unui domeniu de adrese sau puteam utiliza adrese IP locale.
Acestea vor fi garantat unice, deoarece ele nu sunt înregistrate nicăieri pe Internet. Nimeni nu are voie să aibă o adresa IP: 10.X.X.X și să fie conectat la Internet. Acesta este avantajul (șmecheria) utilizării adreselor IP locale (interne).
Problema cu adresele Internet constă în aceea că trebuie găsită o altă metodă de conectare la Internet, deoarece utilizând aceste adrese locale nu avem conectivitate la Internet.
Nu este posibil să existe un segment de rețea cu adresa, de exemplu, 10.1.1.0, conectat direct la Internet.
Am putea introduce un Microsoft proxy server, care să aibă o adresă IP validă și tot traficul din rețea către Internet sa treaca prin acest proxy server.
Sau puteam avea un router sau un server W2000 ca translator de adrese IP (serviciul NAT – Network Adress Translation). Atat routerul cât și serverul W2000 ca și în cazul proxy-ului au disponibile adrese IP pentru Internet și tot traficul către Internet trece prin router sau prin translatorul de adrese IP al serverului W2000.
Translarea se face de la adresa 10.X.X.X la o adresă validă Internet.
Este o idee bună de a utiliza adrese locale, deoarece sunt gratuite și prin introducerea unui server proxy sau a unui translator de adrese IP, traficul este contorizat și autorizat mai ușor, se poate controla mai ușor unde navighează utilizatorii, acestia pot fi mai ușor învățați cum să navigheze și întreținerea este, de asemenea, mai ușoară.
În această lecție vom aloca adrese internet din domeniul 192.168.0.0 și vom aloca apoi niște adrese IP astfel încât să putem comunica cu routerul de Internet.
fig. 2
În această schemă, alocarea adreselor IP va permite ca fiecare calculator să comunice cu toate celelate.
Routerul separă cele 2 segmente de rețea (A,B) de (C,D).
Să analizăm acum proprietățile la TCP/IP:
My Network Places Properties Local Area Connection click dreapta Properties. Se deschide fereastra:
fig. 3
Se selectează TCP/IP și se afișează Proprietățile:
fig. 4
Setarea implicită pentru Windows 2000, XP este „Obtain an IP Address automatically” și „Abtain DNS server address automatically”.
Pentru a înțelege mai bine cum se face alocarea adresei IP, în cele ce urmează se va prezenta modul de alocare statică a adreselor IP, urmând ca alocarea automată să fie prezentată în altă lecție.
Selectăm opțiunea „Use the following IP address” si introducem valorile adreselor interne din schema. (fig 2).
fig. 5
Subnet mask: – identifică ce parte a adresei IP reprezintă ID-ul de rețea și ce parte reprezintă ID-ul de gazda de pe rețea.
Comparație între adresa IP și adresa postala uzuală:
De exemplu, URA are adresa Bd. Expoziției nr. 1. În această adresă există identificarea rețelei (strada) și identificarea gazdei de pe rețea (nr.).
Pe schema din fig. 2, calculatorul A are adresa 192.168.1.14 și avem nevoie de cheia de identificare a rețelei:
192.168.1 (rețeaua).14 (gazda pe rețea).
Masca de subrețea permite această identificare. O mască de subrețea 255.255.255.0 semnifică faptul că biții primelor 3 numere sunt toți 1. Aceasta permite o separare a adresei de rețea și a adresei de gazdă.
Se observă că există aceeași mască de subrețea pe fiecare calculator, deci se poate face o separare similară.
Se observă că pentru A și B ID-ul de rețea este 192.168.1, iar pentru C și D 192.168.2. Deci în mod clar avem 2 rețele diferite.
ID-urile de gazda pe rețea sunt 14, 27, respectiv 29, 100.
Concluzia: Masca de subrețea permite separarea ID-ului de rețea, de ID-ul de gazdă în rețea, din adresa IP.
Revenind la fereastra cu proprietățile TCP/IP (fig. 4), după introducerea adresei IP, masca de subrețea se completează automat cu 255.255.255.0.
Următorul element în această listă de proprietăți este „(Default) gateway”.
Aceasta poate sau nu să fie completata, dar pentru a stabili acest lucru trebuie văzut care este rolul lui: dacă nu se completeaza acest camp, nu vei părăsi niciodată reteaua.
În schema din fig. 2, routerul are o interfață legată la prima rețea, care îi permite acesteia să se conecteze în afară. Această interfață poartă denumirea de „default gateway” = poartă implicită.
Adresa IP a porții implicite trebuie să fie pe rețeaua 1, deci 192.168.1.1, cu masca de subrețea 255.255.255.0.
Numele de gazdă pentru router este 1 (valoarea standard), deci poarta implicita va avea adresa IP
Acum este posibil să părăsim această rețea prin poarta implicită.
Calculatorul A poate comunica cu B (gazda).
Când ping-uim adresa lui B se observa că rețeaua este aceeași
și nu trebuie accesată poarta implicită – Mesajul poate fi transmis direct.
Deci pentru această situație nu am nevoie să setez poarta implicită (default gateway).
Daca (A) dorește să comunice cu gazda (C) și dăm comanda
Ping 192.168.2.29
(255.255.255.0).
Primul lucru pe care-l fac este să mă uit la propria mască de subrețea și să determin de ce rețea aparțin – sunt pe rețeaua 192.168.1.0
Acum mă uit la adresa IP pe care o ping-uiesc, sa vad daca e pe aceeasi rețea: 192.168.2.0.
Nici nu încerc să trimit mesajul propriei rețele, ci routerului. Acesta va citi tabela de rutare și va stabili unde se găsește cea de a doua rețea și va trimite mesajul.
Deci traficul nu traversează propria rețea, ci se duce direct la router și orice adresă de poartă implicită aș fi configurat, aceasta este adresa la care este dirijat traficul.
192.168.1.1 router
care citește tabela de rutare și astfel cunoaște toate adresele la care este legat direct, deci si adresa rețelei 2 pentru care este configurată interfața cu adresa 192.168.2.1.
Astfel poate transfera mesajul rețelei 2 și comunica cu calc. (C).
(C) îi va răspunde lui A pe aceeași cale.
Concluzie: Dacă nu părăsesc niciodată propriul segment de rețea, nu trebuie să configurez poarta implicită. Dacă doresc că comunic cu gazda aflată de cealaltă parte a routerului, atunci trebuie configurată poarta implicită.
Poarta implicită poate fi privită ca ușa care permite circulația dintr-o cameră in alta. Dacă nu părăsesc niciodată camera, nu am nevoie de ușă.
Să revenim la fereastra de proprietăți ale TCP/IP și să introducem adresa IP a porții implicite (default gateway).
192.168.1.1
Următorul element de configurare este adresa serverului DNS.
Nici această setare nu este obligatorie, dar e bine să o avem. Pentru a explica modul de setare a acestei adrese, să revenim la schema rețelei (fig. 6).
Să presupunem că A dorește să navigheze pe net la o adresa sau să trimită un email.
Deschid browserul și dacă cunosc adresa IP a serverului pe care doresc să-l accesez (la această adresă), și voi ajunge la pagina dorită.
În această situație nu am nevoie de adresa serverului DNS.
Dar, evident, nu o să pot ține minte toate milioanele de adrese IP de care aș putea avea nevoie.
Pentru aceasta există sistemul de nume de domenii (Domain Name System) care utilizează nume prietenoase pentru adresele IP (de exemplu: www.yahoo.com) și sistemul DNS rezolva automat acest nume la adresa IP, astfel încât să poată fi posibilă comunicația între A și serverul de destinație al mesajului.
Să vedem un exemplu al modului cum rezolvă sistemul DNS o adresă prietenoasă la o adresă IP, pentru a face posibilă stabilirea comunicației.
Eu, A, utilizez calculatorul și am propria adresă DNS setată pentru subdomeniul românesc .ro. Deschid browser-ul și o tastez www.yahoo.com (nume prietenos).
Prima întrebare care e pusă serverului DNS „rau.ro” este dacă cunoaște adresa IP a numelui tastat – Răspunde „NU”, dar trimite o interogare (query) la root-ul Internetului și întreabă dacă știe adresa IP a numelui tastat. Răspunde „NU”, dar pot să-ți spun adresa IP a serverului DNS pentru .com.
Serverul meu DNS transmite acum o interogare direct serverului DNS .com.
Răspunsul e similar, nu știe adresa IP pentru www.yahoo.com, dar știe adresa IP a serverului DNS a lui yahoo.com
Serverul DNS rau.ro face acum o nouă interogare direct la serverul DNS al yahoo.com. Serverul DNS yahoo.com trebuie să cunoască toate adresele IP ale dispozitivelor domeniului yahoo.com, și există o înregistrare a adresei căutate www.yahoo.com, care reprezintă un anumit dispozitiv (calculator) cu o anumită adresă IP, care este comunicată serverului meu DNS. Acum, această adresă îmi este comunicată mie și eu pot stabili o legătură directă cu adresa IP furnizată .
Revenim la ecranul de configurare. Să presupunem că serverul DNS are adresa IP 192.168.1.5 – iarăși valoare standard pentru serverul DNS.
Deci, ori de câte ori doresc să navighez sau să trimit e-mail, DNS-ul meu rezolvă numele prietenos la adresa IP, direct (dacă o cunoaște) sau prin interogări succesive și mi-o comunică.
După aceea procesul de comunicare se desfășoară ca în exemplul prezentat mai sus.
Se analizează propria adresă IP – se determină adresa de rețea.
Se analizează adresa IP a destinației și dacă este vorba de altă rețea, mesajul e trimis routerului. Acesta își consultă tabela de rutare și transmite mesajul următorului router prin care trebuie să circule mesajul.
Analizând acum proprietățile interfeței de rețea, există:
adresa IP
masca de subrețea
poarta implicită
adresa serverului DNS
Ceea ce lipsește acestui scenariu de comunicare este adresa WINS. Pentru a o seta și pe aceasta, se execută click pe „Advanced” – Complex, se deschide fereastra „Advanced TCP/IP Settings” și se alege opțiunea WINS. Trebuie alocat un server WINS.
Serverul WINS este similar serverului DNS și reprezintă: Windows Internet Naming Server.
fig. 8 – Advanced TCP/IP Setting
WINS rezolvă numele NetBIOS la adrese IP.
In versiunile de Windows apărute înaintea lui W2000, pentru a face partajarea unui fișier sau a unei imprimante, era necesară o interfață NetBIOS (NetBios naming interface).
NetBIOS name este denumirea calculatorului, al domeniului, al utilizatorului. Este numele înregistrat în rețea pentru anumite servicii pe care le oferă rețeaua.
Deci sarcina serverului WINS este de a rezolva un nume de calculator (de exemplu) la o adresă IP, astfel încât să fie posibilă comunicația.
Revenim la schema rețelei:
Calculatorul A trebuie să comunice cu C.
Deci calculatorul A execută click pe Start Run:
și tastează \\C, deoarece C este numele calculatorului.
Se va stabili comunicația prin interfața NetBios la acel calculator.
Pentru aceasta are nevoie de o listă a resurselor partajate pe celălalt calculator.
În loc de \\C, putem pune \\server 1, dacă dorim să comunicăm cu acesta.
Începând cu Windows 2000, nu mai este necesară interfața NetBios, decât pentru menținerea compatibilitatii cu sistemele de operare Windows anterioare, la accesarea resurselor partajate. Deci, dacă se dorește accesarea unor resurse Windows 98 / NT 4.0, se foloseste NetBios.
Începând cu Windows 2000 nu mai trebuie utilizat NetBios. De aceea, probabil WINS nu mai apare ca opțiune explicită (ci numai la Advanced).
Presupunând că C este un server Windows NT, să vedem cum accesăm resursele partajate ale acestuia.
O să tastez \\C și o să încerc un NetBios broadcast pe un anumit segment. Adresa de broadcast se termină în 255, deci nu poate fi utilizată ca nume de gazdă. Deci, dacă se trimite un mesaj la adresa … . 255, el nu se va adresa unul dispozitiv anume, ci tuturor dispozitivelor de pe segmentul respectiv.
Trebuie precizat, de asemeni, ca nu putem utiliza o adresa IP terminata in 0 (X.X .X . 0 ) deoarece această adresă identifică rețeaua.
Deci când vorbim despre o rețea, de exemplu cea care conține calculatorul A, vom spune: 192.168.1. 0 pentru a o identifica.
Repet – nu se poate utiliza ca adresă IP de gazdă o adresa IP terminata in 255 (X.X .X . 255), care este utilizata pentru broadcast și, respectiv terminata in 0, care e identifică rețeaua.
Revenim
Pentru ca A să comunice cu C, trimit un mesaj de broadcast în momentul când tastez \\C + Enter, și solicit ca oricare este C să-mi răspundă, pentru a-mi specifica adresa IP a lui și implicit adresa MAC, pentru a putea comunica.
Dar broadcast este numai pentru calculatorulul de pe aceeași segment de rețea.
În continuare trebuie să mă uit (lookup) la fișierul LMHOSTS (look up), care este înregistrat pe hard discul meu și conține mai multe mapări nume calculator – adresă IP. Deci dacă găsesc adresa IP, voi putea stabili comunicația.
Altă variantă de lucru este folosirea serverului WINS, care permite rezolvarea simplă a numelor NetBios la adresa IP, fără a fi necesară întreținerea fișierelor LMHosts și trimiterea de broadcast-uri.
Cu ajutorul serverului WINS dispunem de o bază de date dinamică, care rezolvă numele NetBios la adresa IP.
Instalez WINS server, rebootez calculatorul și acum am instalat pe calculator serverul care rezolvă numele NetBios la adrese IP.
Acum, pentru fiecare calculator din rețea, care dorește să participe la această rezoluție NetBios, trebuie configurat serverul WINS:
Click pe Add.. și de deschide fereastra:
Introduc: 192.168.1.6, adresa IP a serverului WINS, pe care il voi utiliza pe rezoluția WINS. Acum, dacă am configurat serverul .6 pe A, B, C și D trebuie, la inițializare, să înregistrez numele NetBios ale acestor calculatoare pe serverul WINS. Deci:
A se înregistrează pe WINS,
B se înregistrează pe WINS,
C se înregistrează pe WINS,
D se înregistrează pe WINS.
Acum A poate comunica cu C. Se tastează \\C + Enter.
Deoarece am configurat acest calculator să utilizeze serverul WINS, trimit o datagramă direct serverului WINS, interogându-l asupra adresei IP a calculatorului C. Serverul WINS îmi comunică adresa IP și acum pot comunica cu C direct la adresa IP.
Deci:
Serverul WINS permite rezolvarea numelor NetBios la adrese IP;
Serverul DNS rezolvă adresele prietenoase ale gazdelor din Internet la adrese IP.
Să punem acum totul cap la cap într-un alt exemplu.
Dorim să comunicăm de pe calculatorul A cu serverul nr. 2, cunoscut sub numele „WWW”.
Presupunem că acesta este serverul de web găsit de serverul DNS pentru adresa prietenoasă www.yahoo.com
www – nume prietenos de gazdă pe internet;
192.168.5.10 – adresa IP;
serverul 2 – nume NetBios.
Interfata de pe routerul corespunzător rețelei 192.168.5.0 va avea adresa IP: 192.168.5.1.
Rețeaua între primul router și al doilea va fi 192.168.3.0., iar interfetele routerelor vor fi configurate pentru următoarele adrese IP:
pentru că sunt pe aceeași rețea.
Vom vedea cum comunică A cu Server 2 și de asemenea cum comunică routerele între ele, cum știe routerul 1 să trimită mesajul routerului 2.
Se tastează:
Ping www.yahoo.com + Enter
folosesc serverul DNS pe care l-am configurat
sau:
\\server 2 + Enter
Ambele exemple de rezolvare a comunicării pot fi folosite;
ping – automat se trimite o interogare serverului DNS și se primește adresa IP;
\\server 2 – automat trimit interogarea serverului WINS utilizând numele NetBios și automat obțin adresa IP.
Deci indiferent de metodă, acum știu că trebuie să comunic cu adresa IP: 192.168.5.10.
Analizez propria adresă IP și masca de subrețea 255.255.255.0 și știu că rețeaua mea este 192.168.1.0.
Analizez adresa de rețea cu care vreau să comunic și constat că este 192.168.5.0, deci diferită traficul va fi trimis routerului.
Modul în care comunic efectiv cu routerul, deoarece adresa IP nu este garantată, trebuie să fie alocată unic și s-ar putea să existe erori, adrese duplicate. Singura care este garantat unică este adresa MAC (arsă pe placa de rețea).
Fiecărui producător de plăci de rețea i se alocă o primă parte unică (24 biți) din adresa plăcii de rețea, iar cea de a doua parte trebuie să fie unică pentru respectivul producător.
toate adresele MAC sunt unice
Pentru a comunica cu routerul trebuie să cunosc adresele MAC – pentru aceasta trimit un MAC broadcast, interogând toate calculatoarele de pe rețeaua mea care au adresa IP 192.168.5.10 să-mi trimită adresa sa MAC. Deci routerul îmi trimite adresa sa MAC și acum se poate comunica între adrese MAC, și pot trimite pachetul routerului, routerul analizând tabela sa de rutare pentru a vedea unde trebuie să trimită traficul. El cunoaște totul despre rețelele care sunt conectate direct la el:
rețeaua:
192.168.1.0 – de la care primește traficul;
192.168.2.0;
192.168.3.0
– – – – – – – – –
dar nu are informații despre rețeaua
192.168.5.0
Deci, dacă routerul 1 nu ar putea comunica cu alte routere din rețea, el n-ar putea trimite pachete lui 192.168.5.10.
În continuare are loc comunicația între routere. – Această comunicație se face pe baza unor protocoale de comunicație între routere, denumite:
RIP – Routing Information Protocol;
OSPF – Open Shart Path First.
Ambele routere trebuie să fie configurate cu același protocol. În acest caz ele pot comunica și partaja informații.
Routerul 2 comunică că este legat la rețeaua 192.168.5.0 și la celelalte. Acum, routerul 1 are informații atât despre rețelele legate direct la el, cât și despre rețelele legate la routerul 2.
În tabela de rutare a routerului vor exista 3 categorii de informații:
informații proprii despre rețelele la care este conectat direct;
informații obținute de la alte routere cu care comunică pe baza unui protocol comun;
informații introduse manual, prin configurare statică.
El trimite acum pachetul routerului 2, care are propria tabelă de rutare, în care este rețeaua 192.168.5.0 conectată direct. Routerul va putea trimite pachetul la destinație.
Transportul pachetului între routerul 1 și routerul 2 se face printr-un broadcast ARP (Address Resolution Protocol).
Protocolul ARP este utilizat pentru a obține adresa MAC din adresa IP. Routerul 1 cunoaște adresa IP a routerului 2, dar are nevoie de adresa MAC a acestuia (a interfeței respective).
El trimite un ARP broadcast și interoghează despre adrese MAC a oricui din rețea care are adresa IP 192.168.3.2.
Primește adresa MAC a interfeței routerului 2 și trimite pachetul routerului 2.
Routerul 2, analizează tabela sa de rutare și vede că poate trimite direct pachetul la rețeaua la care e legat 192.168.5.0.
Pentru aceasta trimite un nou ARP broadcast solicitând adresa MAC a oricui de pe segmentul respectiv care are adresa IP 192.168.5.10. WWW răspunde trimițându-i adresa sa MAC, routerul 2 comunică cu WWW, îi trimite pachetul.
Acum avem o cale completă de la A la R1 la R2 și la WWW. Aceeași cale este folosită și pentru răspuns. Nu mai este necesar să se facă MAC broascast dacă această adresă este în cache.
S U B N E T A R E A
SCHEME DE ADRESARE IP
Adresa IP (IPv4) aparține unui spațiu de 32 biți și este formată din două componente:
ID de rețea
ID gazdă
În funcție de modul cum sunt calculate aceste componente, există trei scheme de adresare IP:
Adresarea convențională pe clase
Adresarea subnetată bazată pe clase
Adresarea fără clase (CIDR)
Adresarea convențională pe clase
Este schema inițială de adresare IP, care corespunde unei poziții a liniei de demarcație între cele două ID-uri numai într-unul din câteva locații: limitele octeților 3 clase mari de adrese IP de gazdă (pentru comunicația unicast). Clasele sunt diferențiate prin numărul de octeți utilizați pentru ID-ul de rețea, respective pentru ID-ul de gazdă.
Aceasta reprezintă metoda cea mai simplă de a separa ID-ul de rețea de ID-ul de gazdă: clasa punctual de separare este “codificat” în primii biți ai fiecărei adrese IP. Router-ele pot identifica imediat (din acești biți) care octeți aparțin ID-ului de rețea și care ID-ului de gazdă.
Adresarea subnetată bazată pe clase
În sistemul de adresare subnetat, adresa IP este împărțită în 3 componente:
ID de rețea
ID subrețea
ID gazdă
prin preluarea unui număr de biți din ID-ul de gazdă al clasei A, B sau C pentru identificatorul de subrețea. ID-ul de rețea rămâne neschimbat !
ID-ul de subrețea este utilizat pentru rutarea între diferitele subrețele care constituie o rețea completă (pentru care a fost alocat un domeniu de adrese IP de o anumită clasă). Este furnizată astfel o flexibilitate mai mare administratorilor de rețea, în concordanță mai mare cu structura organizatorică a organizației.
Exemplu: Pentru o adresă IP de clasă C: 212.64.10.25
împărțirea pe cele trei componente ar putea fi următoarea:
Sistemul se bazează pe schema inițială de adresare cu clase de adrese IP, astfel încât, determinarea liniei de separație între ID-ul de rețea și ID-ul ”complet” de gazdă se determină la fel (din primii biți ai adresei).
Linia de separație între ID-ul de subrețearețea și ID-ul de gazdă (a subrețelei) se determină pe baza unui număr de 32 de biți, denumit masca de subrețea.
În exemplul de mai sus, masca de subrețea conține 27 de 1 și 5 de 0, ultimii corespunzând ID-ului de gazdă (în subrețea). În notația zecimală cu punct masca de subrețea va fi:
255.255.255.224
Adresarea fără clase (CIDR – Classless InterDomain Routing)
În sistemul de adresare fără clase (CIDR), nu se mai face deosebire între rețele și subrețele, separarea între ID-ul de rețea (subrețea) și cel de gazdă putând să se facă în orice punct arbitrar al adresei IP, nu numai la limitele dintre octeți (cum este în sistemul bazat pe clase).
Punctul de separare este indicat de numărul de biți utilizați pentru ID-ul de rețea, denumit prefix (sau prefix de rețea), care se adaugă la sfârșitul adresei IP sub forma /N.
De exemplu, adresa de mai sus poate fi scrisă în notație CIDR:
212.64.10.25 /27
”/27” este echivalent cu masca de subrețea 255.255.255.224 .
După cum rezultă, în schema de adresare pe clase, separarea între ID-ul de rețea și cel de gazdă este implicită. Când însă se utilizează subnetarea sau CIDR, masca de subrețea sau prefixul de rețea este obligatoriu pentru definirea completă a adresei IP.
Trebuie reținut faptul că toate protocoalele și dispozitivele de rețea au fost reproiectate astfel încât să suporte subnetarea utilizarea măștii de subrețea sau a prefixului de rețea este obligatorie chiar în cazul utilizării adreselor convenționale, bazate pe clase.
Avantajele ale adresării convenționale pe clase de adrese IP
Simplitate și claritate (divizare în clase pe bază de octeți).
Flexibilitate rezonabilă.
Ușurința rutării – clasa adresei (deci implicit masca de subrețea) este codificată în interiorul adresei IP (primul octet).
Adrese rezervate:
127.x.x.x – loopback.
Clasa D – multicast.
Clasa E – dezvoltări viitoare
Adrese private (locale) – conectarea la Internet utilizând NAT.
Dezavantaje ale adresării pe clase de adrese IP
Lipsa flexibilității adresării interne. Organizațiilor mari li se alocă blocuri continue de adrese, ce nu corespund structurii interne a rețelei lor.
Utilizarea ineficientă a spațiului de adrese IP cauzează de risipa de adrese.
Proliferarea numărului de intrări în tabelele de rutare. Cu cât Internetul se mărește, cu atât numărul de intrări în tabelele de rutare crește și astfel se ajunge la situația manipulării unor tabele de rutare din ce în ce mai mari, scăzând performanța ruterelor. Încercările de reducere a ineficienței spațiului de adrese alocat prin subnetare, au condus la și mai multe intrări în tabelele de rutare, ceea ce este inacceptabil.
Inflexibilitatea adreselor. Un bloc de adrese de clasă B sau chiar A alocat unei organizații este considerat de rutere ca aparținând unei singure rețele, cu un singur ID de rețea.
Considerăm o organizație cu 5.000 de gazde. Ce clasă de IP-uri ar trebui să alegem?
Mult mai eficient ar fi să se aloce organizației un bloc de 20 adrese de clasă C (20 de intrări in tabelele de rutare), ceea ce este mult mai eficient din punct de vedere al numărului de adrese allocate, dar NU și din punctual de vedere al numărului de intrări în tabelele de rutare, acest număr crescând de la 1 la 20.
Considerând un număr de ceva mii de astfel de organizații de dimensiuni medii (~5.000 gazde) vom observa creșterea dimensiunii tabelelor de rutare la :
20 x 5.000 = 100.000
și astfel o creștere considerabilă a timpului necesar ruterelor să ia o decizii de rutare.
Soluții
Subnetarea.
Utilizarea adreselor private în combinație cu NAT (Network Address Translation), ceea ce prelungește viața protocolului IPv4.
SUBNETAREA
1. Concepte
Pentru a elimina dezavantajele schemei de adresare clasice, s-a adăugat o nouă procedură de adresare, subnetarea.
1985 – RFC 950
Ideea de bază este adăugarea unui nivel ierarhic suplimentar (în schema de adresare pe clase) ceea ce a condus la crearea unei noi ierarhii pe 3 nivele:
Rețele.
Subrețele (funcționează ca o rețea în spațiul de adrese pe clase)
Gazde.
Avantajele subnetării
Adresarea pe subrețele permite fiecărei organizații să aibă propriul Internet în interiorul Internetului.
rețele
Internetul gazde (ierarhie pe 2 nivele)
Oganizațiile subrețele
gazde (ierarhie pe 2 nivele)
corespondență mai bună cu structura internă a organizației.
flexibilitate: numărul de subrețele și numărul de gazde poate fi particularizat pentru fiecare organizație.
Subrețelele sunt transparente (invizibile) pentru publicul de pe Internet, care adresează o singură mare organizație.
nu necesită adrese IP suplimentare.
nu crește numărul de intrări în tabelele de rutare. Numai ruterele interne vor ruta pachetele interne.
Impactul subnetării
Afectează atât adresarea cât și rutarea în rețelele IP.
Masca de subrețea va permite ruterelor să calculeze adresa de subrețea și adresa de gazdă.
Ruterul va avea de luat următoarele decizii:
– În cazul adresării clasice pe clase, ruterul analizează ID-ul de rețea sursă și destinație având 2 decizii posibile:
Trimite pachetele în aceeași rețea.
Trimite pachetele în altă rețea.
– În cazul subnetării, ruterul analizează un număr format din ID-ul de rețea și ID-ul de subrețea pentru a lua una din următoarele 3 decizii:
Trimite pachetele în aceeași subrețea.
Trimite pachetele în altă subrețea de pe aceeași rețea.
Trimite pachetele în altă rețea.
Protocoalele de rutare (ex: RIP) trebuie să știe să lucreze cu subrețele și măști de subrețea.
Deci, în adresarea IP pe subrețele, există 3 nivele ierarhice:
ID-ul de subrețea se obține luând un număr de biți din ID-ul de gazdă :
ID subrețea.
ID gazdă scade numărul de biți din ID-ul de gazdă
Ca urmare, rețeaua poate dispune între cele 2 ID-uri (subrețea și gazdă) de un număr de biți:
Clasa A → 24 biți
Clasa B → 16 biți
Clasa C → 8 biți
Numărul de subrețele și respectiv de gazde este influențat de numărul de biți alocați fiecărui ID:
Nr.subrețelelor = 2nr.biți ID subrețea
Nr.gazdelor/subrețea = 2 nr.biți ID gazdă – 2
Subnetarea împarte rețeaua organizației într-o structură pe 2 nivele: subrețele și gazde (invizibilă celorlalte organizații de pe Internet). Spre deosebire de spațiul concențional de adresare pe clase, unde ruterele utilizau primul octet pentru a determina clasa de adrese (adică ID-ul de rețea), în cazul subnetării, ruterele trebuie să știe cum este împărțit ID-ul subrețea-gazdă. Simpla adresă IP nu poate furniza această informație, astfel încât se utilizează masca de subrețea.
Masca de subrețea însoțește adresa IP. Masca de subrețea este scrisă în zecimal pentru ușurință, dar este utilizată de ruter în binar.
Calculul se face în binar, utilizând operația logică denumită “AND-ing”, cu tabela de adevăr:
Deoarece router-ul determină ușor (după primul octet) care este clasa căreia îi aparține, poate determina ușor ID-ul de subrețea.
Pentru exemplul de mai sus (unde am alocat 5 biți ID-ului de subrețea), masca de subrețea :
11111111.11111111.11111000.000
ID rețea ID subrețea ID gazdă
Convertind în zecimal masca de subrețea: 255.255.248.0
Se consideră o gazdă în rețeaua inițială (154.71.0.0/255.255.0.0), cu adresa IP 154.71.150.42
Ruterul trebuie să afle pe ce subrețea se găsește această gazdă.
Deci adresa IP a subrețelei este: 154.71.144.0
Adresa IP 154.71.144.0 este adresa IP (32 biți) a subrețelei, care conține gazda cu adresa IP 154.71.150.42.
Practic masca de subrețea delimitează ID-ul de subrețea de ID-ul de gazdă.
Întrebare: Decât să “cari” o mască de 32 biți, n-ar fi mai ușor să-i spui numărul bitului de separare?
Raspuns: Nu, din 2 motive istorice:
Considerații de eficiență – expresia măștii de subrețea permite ruterelor determinarea rapidă a ID-ului subrețea.
Suport pentru măști discontinue. În exemplul de mai sus împărțirea s-ar fi putut face și așa:
11000011.10000000
5 biți pentru ID-ul de subrețea
Utilizarea măștilor discontinue face însă alocarea adreselor IP foarte confuză, astfel încât, deși tehnic este legal, nu se recomandă.
Observație: Odată cu introducerea schemei de adresare CIDR utilizarea măștilor discontinue NU mai este legală
Modul de calcul al subnetării
Subnetarea este procesul prin care rețele de clasă A, B, C sunt divizate în subrețele. Chiar dacă nu se face subnetare, dispozitivele de rețea au fost concepute să suporte subnetarea.
Rețele nesubnetate:
Notația CIDR Masca de subrețea (implicită)
Clasa A 8/24 255.0.0.0
Clasa B 16/16 255.255.0.0
Clasa C 24/8 255.255.255.0
La subnetare se utilizează măști de subrețea personalizate (custom).
Nu putem utiliza mai mult de 6 biți pentru ID-ul de subrețea pentru ca acesta este cel mai mare număr care încă asigură 2 ID-uri de gazdă (2N-2=2).
Similar rețelelor, și în cazul subrețelelor erau excluse toate valorile cu toți biții 0 și, respectiv toți biții 1 în ID-ul de subrețea (conform RFC950) pentru a nu provoca confuzii ruterelor. Un standard ulterior însă (RFC1812) a eliminat această restricție în 1985.
Decizia privind câți biți se folosesc pentru fiecare ID (subrețea/gazdă) poate fi luată rapid, cunoscând următoarele:
Fiecare bit luat de la ID-ul de gazdă dublează numărul de subrețele.
Fiecare bit luat de la ID-ul de gazdă ~ înjumătățește numărul de gazde.
Exemplu:
Considerăm rețeaua convențională de clasă B: 154.71.0.0
ID de rețea (16 biți): 154.71 65.000 de gazde/rețea.
ID de gazdă: 16 biți
Pentru subnetare există mai multe variante:
Alocarea a 1 bit pentru ID-ul de subrețea și restul de 15 pentru ID-ul de gazdă.
Nr. Subrețelelor = 2nr.biți ID subrețea = 21 = 2
I subrețea: #0 (numerotarea începe de la 0)
II subrețea: #1
Nr. Gazde/subrețea = 2ID gazdă-2 = 215-2 = 32.766 gazde.
Alocarea a 2 biți pentru ID-ul de subrețea și 14 biți pentru ID-ul de gazdă.
Nr. Subrețelelor = 22 = 4
#0 00
#1 01
#2 10
#3 11
Nr. Gazde/subrețea = 214-2 = 16.382 gazde
Orice altă combinație de biți care permite cel puțin 2 gazde pentru fiecare subrețea.
Subnetarea se face pe baza următoarelor considerente:
Câte subrețele sunt necesare, rezultând numărul de gazde sau
Câte gazde în fiecare subrețea sunt necesare, rezultând astfel numărul de subrețele.
Exemplu:
Rețeaua convențională de clasă B: 154.70.0.0 se subnetează:
Se cer 10 de subrețele sunt necesari 4 biți pentru ID-ul de subrețea (24>10 adică numărul de subrețele necesar), deci rămân 12 biți pentru ID-ul de gazdă, rezultând 212- 2 = 4.094 gazde în fiecare subrețea.
Se cer 20 de subrețele pentru rețeaua de clasă B: 24=16, 16<20; 25=32, 32<20. Deci rămân 11 biți pentru ID-ul de gazdă: 211-2=2.046 gazde în fiecare subrețea.
Dar dacă avem nevoie de 20 de subrețele cu câte 3.000 de gazde fiecare? Am avea nevoie de 5+12 biți, adică 17 biți ceea ce depășește limita disponibilă de 16 biți . Soluția ar putea fi scăderea numărului de subrețele sau închirierea a încă unui domeniu de clasă B.
ADRESE IP
CIDR – CLASALESS INTER-DOMAIN ROUTING
RFC 1518 – An Architecture for IP Address Allocation with CIDR
Deoarece, la ora actuală, se conectează la Internet câte o nouă rețea la fiecare 30 de minute, Internetul se confruntă cu două probleme critice:
Depășirea numărului de adrese IP disponibile
Depășirea capacității tabelelor de rutare globale
Depășirea numărului de adrese IP
Există un număr maxim de rețele și gazde cărora le pot fi alocate adrese IP unice de 32 biți. Inițial s-au utilizat clasele de adrese A, B ,C. Pentru identificarea acestora s-a utilizat primul octet (convertit în zecimal):
Utilizând clasele, schema de adresare în Internet poate suporta:
126 rețele de clasă A (cu maximum 16,777,214 gazde/rețea fiecare) +
65,000 rețele de clasă B (cu maximum 65,534 gazde/rețea fiecare) +
peste 2 milioane rețele clasă C (cu maximum 254 gazde/rețea fiecare)
Deoarece adresele de pe Internet au fost alocate conform schemei de adresare pe clase, au rezultat o mulțime de adrese neutilizate (risipă). De exemplu, dacă sunt necesare 100 de gazde, va fi alocat un domeniu de clasă C și tot rămân neutilizate 154 de adrese. Ca rezultat, numai 3% din adresele alocate sunt utilizate !!! CIDR a fost creat pentru a permite o alocare mult mai eficientă a adreselor IP.
Depășirea capacității tabelelor de rutare globale
Odată cu creșterea numărului de rețele conectate la Internet a crescut și numărul de rute. S-a estimat că, în câțiva ani, routerele de pe backbone-urile Internetului vor atinge limita numărului de rute pe care le pot suporta.
Chiar utilizând cele mai noi tehnologii în domeniul routerelor, valoarea teoretică maximă a numărului de intrări intr-o tabelă de rutare este de approximativ 60,000. Dacă nu s-ar fi făcut nimic, capacitatea maximă a tabelelor de rutare ar fi fost atinsă în 1994 și Internetul și-ar fi oprit creșterea.
Cum a fost rezolvată problema?
Comunitatea Internetului a dezvoltat două soluții:
Restructurarea alocării adreselor IP în scopul creșterii eficienței
Agregarea ierarhică a rutării în scopul minimizării numărului de intrări în tabelele de rutare
Restructurarea alocării adreselor IP
CIDR (Clasaless Inter-Domain Routing) înlocuiește sistemul clasic de alocare al adreselor IP pe baza claselor, prin utilizarea unui ”prefix” generalizat de rețea. În locul limitării ID-urilor de rețea (sau "prefixelor") la 8, 16 sau 24 biți, CIDR utilizează în mod curent prefixe cuprinse între 13 și 27 biți. Astfel, pot fi alocate blocuri de adrese de gazdă cuprinse între 32 și peste 500,000 . Aceasta permite alocarea de domenii de adrese mult mai apropiate ca număr de necesitățile unei organizații.
In cadrul CIDR nu mai există o delimitare rigidă între ID-ul de rețea și cel de gazdă (pe bază de octeți) separarea între ID-ul de rețea și cel de gazdă se poate face oriunde în interiorul unui octet.
Adresa CIDR arată ca o adresă IP standard de 32-biți, dar se termină cu prefixul IP de rețea (IP network prefix). De exemplu, în adresa CIDR
206.13.01.48/25
"/25" indică faptul că primii 25 biți sunt utilizați pentru identificarea rețelei, iar restul biților sunt pentru identificarea gazdei.
Altă interpretare: cu CIDR, o singură adresă IP poate fi utilizată pentru a desemna mai multe adrese IP unice. De exemplu:
172.200.0.0/16
Prefixul de rețea dă informații despre câte adrese IP sunt reprezentate de către adresa CIDR. Cu cât prefixul este mai mic, cu atât numărul de adrese agregate este mai mare. De exemplu, un prefix IP de rețea "/12", poate fi utilizat pentru a agrega 1,048,576 adrese de Clasa C.
Agregarea ierarhică a rutării în scopul minimizării numărului de intrări în tabelele de rutare
Schema de adresare CIDR permite , de asemeni, agregarea rutelor ("route aggregation") în care o singură intrare de nivel înalt în tabela de rutare (high-level route) poate reprezenta mai multe rute de nivel inferior în tabelele globale de rutare.
Schema este similară rețelei de telefonie, rețea care este structurată ierarhic. Un nivel înalt, nod de rețea pe backbone analizează numai informația referitoare la codul zonei și apoi rutează apelul nodului de pe backbone responsabil cu respectiva zonă. Nodul receptor citește prefixul numărului și rutează apelul rețelei componente care răspunde de acest prefix, ș.a.m.d. Nodurile rețelei backbone au nevoie numai de intrarile în tabela de rutare corespunzătoare codurilor zonelor, fiecare dintre acestea reprezentând blocuri mari de numere de telefon individuale și nu fiecare număr de telefon unic.
Uzual, blocuri mari de adrese IP sunt alocate unor furnizori de servicii Internet mari (ISP-uri), care , la rândul lor re-alocă clienților lor porțiuni ale blocurilor lor de adrese. De exemplu, lui Pacific Bell Internet i-a fost alocat blocul de adrese CIDR cu prefixul /15 (echivalent 512 adrese de Clasa C sau 131,072 adrese de gazdă) și alocă uzual clienților săi adrese CIDR cu prefixe în domeniul /27 la /19. Acești clienți, care pot fi ISP-uri mai mici, la rândul lor, re-alocă porțiuni ale blocurilor lor de adrese clienților lor. Totuși, în tabelele de rutare globale toate aceste rețele diferite și gazde pot fi reprezentate printr-o singură intrare în tabela de rutare a Pacific Bell Internet. Astfel, creșterea numărului de intrări în tabelele de rutare la diferite nivele în ierarhia rețelelor poate fi redusă semnificativ. Uzual, tabelele de rutare globale au aproximativ 35,000 intrări.
Impactul asupra utilizatorilor
La ora actuală Internetul este un amestec de adrese "CIDR-izate" și adrese vechi, bazate pe clase. Aproape toate routerele noi suportă CIDR și autoritățile Internet ului încurajează (strongly) utilizatorii să implementeze schema de adresare CIDR: orice router nou cumpărat trebuie să suporte CIDR !
Conversia la schema de adresare CIDR și agregarea rutelor are două impacturi majore asupra utilizatorilor:
Justificarea alocării adreselor IP
Unde pot fi obținute adrese IP
Justificarea alocării adreselor IP
Chiar cu introducerea CIDR, creșterea Internetului este atât de rapidă încât alocarea adreselor IP trebuie tratată ca o resursă săracă clienților li se va cere din timp în timp, documentarea în detaliu a necesităților lor estimate de adrese IP, mai ales când aceștia solicită noi domenii de adrese. Actualmente, politica Internet este de a aloca domenii de adrese IP pe baza estimărilor organizației pentru următoarele 3 luni, și alocarea de noi domenii în funcție de necesități.
Unde pot fi obținute adrese IP
In trecut, puteau fi obținute adrese IP de Clasa A, B sau C direct de la Internet Registry (de exemplu, the InterNIC). În acest scenariu, adresa era „proprietatea ta ”și putea fi transferată chiar la schimbarea ISP-ului. Odată însă cu introducerea schemei de adresare CIDR și agregării rutelor, cu puține excepții, sursa recomandată pentru alocarea de adrese este ISP-ul local. În acest scenariu, adresa este numai "închiriată" și, la schimbarea ISP-ului este recomandat (strongly) să se obțină o nouă adresă de la noul ISP și să fie re-numerotate toate dispozitivele de rețea.
Aceasta poate conduce la un consum mare de timp, dar este critică pentru ca adresa respectivă să fie agregată în blocul mai mare de adrese al ISP-ului și rutat sub adresa lor de rețea. Există încă multe intrări în tabelele globale de rutare care sunt șterse și cu cât mai mică este rețeaua, cu atât mai mare este riscul de a fi scos din tabelele de rutare globale. In fapt, rețelele cu mai puțin de 8,192 dispozitive, de regulă, sunt șterse. Nici InterNIC nici alte ISP-uri nu au control asupra deciziilor ISP-urilor individuale, referitor la modul cum își gestionează tabelele de rutare.
Ca o alternativă la re-numerotarea fizică a fiecărui dispozitiv din rețea, unele organizații utilizează servere proxy pentru a face translarea între vechile adrese și cele noi. Utilizatorii trebuie să fie atenți asupra posibilului impact pe care l-ar avea această soluție asupra lor.
Notația CIDR
CIDR specifica un domeniu de adrese IP prin combinarea adresei IP cu masca sa de subrețea asociata, în următorul format :
xxx.xxx.xxx.xxx/n
unde n este numărul de (cei mai la stanga) biti '1' din masca de subrețea, adică cei care reprezinta ID-ul de rețea.
Exemplu: Se considera adresa IP în notație CIDR:
192.168.2.15/27 și 192.168.2.15/18
Adresa IP (binar): 11000000 . 10101000 .00000010. 00001111
a)Masca de subrețea: 11111111 . 11111111 . 11111111.11110000
ID rețea ID gazda
CIDR: 192.168.2.15/27
Unde 27 reprezinta numarul de biti aferenti ID-ului de rețea
Masca de subrețea in zecimal va fi: 255.255.255.224
b)Masca de subrețea: 11111111 . 11111111 . 11000000 . 00000000
ID rețea ID gazda
CIDR: 192.168.2.15/18
Unde 18 reprezinta numarul de biti aferenti ID-ului de rețea
Masca de subrețea in zecimal va fi: 255.255.192.0
Alt exemplu:
198.100.12.0/23
reprezintă rețeaua cu masca de subrețea 255.255.254.0 (s-a scăzut bitul cel mai puțin semnificativ).
În binar, aceasta înseamnă:
Adresa IP (binar): 11000000. 10101000 .01100100. 00000000
Masca de subrețea: 11111111 . 11111111 . 1111110 . 00000000
ID rețea ID gazda
CIDR: 192.168.100.0/23
Unde 23 reprezinta numarul de biti aferenti ID-ului de rețea
Masca de subrețea in zecimal va fi: 255.255.254.0
Această notație reprezintă domeniul de adrese
190.100.12.0 – 199.100.13.255
În comparație adresarea tradițională bazată pe clase, 198.100.12.0/23 reprezinta o agregare a doua retele de clasa C 198.100.12.0 și 198.100.13.0, fiecare dintre acestea utilizând masca implicita de subrețea 255.255.255.0 – de aici și denumirea de ’supernetting’.
CIDR suportă alocarea de adrese de Internet și rutarea mesajelor pentru un domeniu dat de adrese IP, independent de adresarea tradițională bazată pe clase. De exemplu,
10.4.12.0/22
Adresa IP (binar): 00001010. 00000100 .00001100. 00000000
Masca de subrețea: 11111111 . 11111111 . 1111100 . 00000000
ID rețea ID gazda
CIDR: 10.4.12.0/22
Unde 22 reprezinta numarul de biti aferenti ID-ului de rețea
Masca de subrețea in zecimal va fi: 255.255.252.0
reprezinta domeniul de adrese 10.4.12.0 – 10.4.15.255 , prin utilizarea măștii de subrețea 255.255.252.0. Aceasta înseamna efectiv reunirea a patru adrese de rețea de clasa C într-un spațiu mult mai mare de adrese.
Notatia CIDR este uneori adoptată chiar și pentru rețele non-CIDR – valoarea lui n rămânând restricționată la 8 (Clasa A), 16 (Clasa B) sau 24 (Clasa C) din punctul de vedere al alocării adreselor IP de Internet și al rutării.
Cum lucrează CIDR
Flexibilitatea adresării CIDR provine din capacitatea routerelor de a lucra cu măști de subrețea și altele decât cele clasice pentru clasa A, B sau C (adică valori n altele decât 8, 16 sau 24). Pentru ca adresarea CIDR să funcționeze, trebuie ca protocoalele de rutare să fie astfel implementate încât să suporte adresarea CIDR. Protocoalele de rutare uzuale, cum ar fi BGP (Border Gateway Protocol) și OSPF (Open Shortest Path First) au fost modificate cu ani în urmă, astfel încât să suporte CIDR, dar există încă și protocoale care nu suportă CIDR (de exemplu RIP).
Routerele de pe backbone-ul Internet (rețelele WAN dintre ISP-uri) – toate suportă CIDR, aceasta fiind esențial pentru asigurarea spațiului de adrese IP. Rețelele LAN private și mici (publice) au mai puțină nevoie să conserve spațiul de adrese IP pot să nu utilizeze CIDR.
Pentru ca agregarea rețelelor clasice în rețele CIDR să funcționeze, trebuie respectate anumite reguli:
(sub)rețelele implicate să aibă adresele IP într-un spațiu continuu de adrese (adiacente numeric. CIDR nu poate, de exemplu, să combine rețelele 192.168.12.0 și 192.168.15.0 intr-o a singură rută, cu excepția cazului când și domeniile intermediare de adrese: .13 and .14 sunt incluse. Ruta 192.168.12.0/24 exact asta face.
CIDR și IPv6
IPv6 utilizează tehnologia de rutare CIDR și notația CIDR identic cu IPv4. IPv6 este proiectat pentru a utiliza adresarea ne-bazată pe clase (CIDR).
Subnetarea (Subnetting)
CIDR se utilizeaza și pentru alocarea adreselor IP în LAN-uri împărțite în mai multe rețele (subrețele), process ce poartă denumirea de subnetting.
Să presupunem că alocăm domeniul de adrese (adresa de rețea):
200.15.100.0
cu masca de subrețea: 255.255.255.0
Dacă avem nevoie numai de 254 de gazde, se poate utiliza metoda clasică, adică se poate crea o rețea de clasă C.
Să presupunem însă că rețeaua trebuie segmentată (pe criterii logice) în grupuri mai mici – de exmplu 30 gazde/rețea (segment).
Utilizând CIDR, putem determina care este punctual de separare între ID-ul de rețea și cel de gazdă, în funcție de numărul de gazde necesar de câți biți avem nevoie în porțiunea de ID de gazdă câți biți rezultă pentru ID-ul de rețea.
Pentru aceasta calculăm:
2N -2 = X (în cazul de față X=30 gazde)
Avem nevoie de 5 biți pentru 32-2 adrese de gazdă (se scad adresele de rețea și de broadcast)
Pentru determinarea măștii de subrețea, se calculează de la dreapta la stânga (de la bitul cel mai semnificativ):
Rezultă masca de subrețea:
255.255.255.224
numărul de biți rămas disponibil pentru ID-ul de rețea: 19
notația CIDR:
200.15.100.0/19
Întrebări esențiale la proiectarea unei rețele TCP/IP:
De câte rețele este nevoie ?
De câte gazde/rețea este nevoie ?
Care este masca de subrețea ?
De câte gazde este nevoie ?
Câte rețele vor furniza acest număr de gazde ?
Ce domenii de adrese vor fi utilizate ?
Revenind la exemplul anterior:
Numărul de gazed/rețea = 30
Masca de subrețea = 255.255.255.224
Câte astfel de rețele pot exista și care va fi domeniul de adrese IP ?
Pentru aceasta, vom analiza pentru adresa: 200.15.100.0
ce înseamnă mărirea ID-ului de rețea cu 3 biți citim din tabela de mai sus 23 = 8 Nr. de rețele posibile: 8 / 30 gazde pe rețea
De fapt, primul și ultimul domeniu de adrese nu poate fi folosit, deoarece primul cuprinde rețeaua mare din care au provenit subrețelele: 200.15.100.0, iar domeniul 200.15.100.255 cuprinde adresa de broadcast pentru aceeași rețea. Astfel rămân pentru subrețele 6 domenii de adrese IP ce vor corespunde unui increment de 32 (conf. măștii de subrețea):
Rețeaua #1: 200.15.100.32/19
Domeniul de adrese de gazdă:
200.15.100.33/19 – 200.15.100.62/19
Adresa de broadcast:
200.15.100.63/19
Rețeaua #2: 200.15.100.64/19
Domeniul de adrese de gazdă:
200.15.100.65/19 – 200.15.100.94/19
Adresa de broadcast:
200.15.100.95/19
Rețeaua #3: 200.15.100.96/19
Domeniul de adrese de gazdă:
200.15.100.97/19 – 200.15.100.126/19
Adresa de broadcast:
200.15.100.127/19
Rețeaua #4: 200.15.100.128/19
Domeniul de adrese de gazdă:
200.15.100.129/19 – 200.15.100.158/19
Adresa de broadcast:
200.15.100.159/19
Rețeaua #5: 200.15.100.16/19
Domeniul de adrese de gazdă:
200.15.100.1/19 – 200.15.100.30/19
Adresa de broadcast:
200.15.100.31/19
Rețeaua #1: 200.15.100.0/19
Domeniul de adrese de gazdă:
200.15.100.161/19 – 200.15.100.190/19
Adresa de broadcast:
200.15.100.191/19
Rețeaua #6: 200.15.100.192/19
Domeniul de adrese de gazdă:
200.15.100.193/19 – 200.15.100.222/19
Adresa de broadcast:
200.15.100.223/19
Alt exemplu:
Adresa IP pentru rețeaua: 131.150.0.0
Cu masca de subrețea : 255.255.0.0 conf. împărțirii pe clase (clasa B) vor exista > 65 000 adrese IP disponibile pentru gazde risipă de adrese.
Utilizând însă CIDR, se poate face o subnetare.
Prima întrebare: de câte rețele avem nevoie ? Câte gazde/rețea ? Sau invers: De câte gazde avem nevoie în cea mai mare subrețea ? rezultă numărul de (sub)rețele.
Presupunem că sunt necesare 2000 gazde/rețea:
2N – 2 = X (unde X = 2000)
De fapt, întrebarea este: câți biți sunt necesari pentru a avea disponibile 2000 adrese IP de gazdă ?
2N – 2 > = 2000 N = 11 (211 = 2048)
Sunt necesari 11 biți în porțiunea de ID de gazdă
Numărul de subrețele va fid at de cei 5 biți suplimentari care au trecut de la ID-ul de gazdă la ID-ul de rețea (față de situația inițială – rețea clasică clasa B):
25 – 2 = 30 subrețele
cu câte 2048 – 2 gazde fiecare
Incrementul pentru fiecare domeniu va fi 23 = 8 (bitul cel mai nesemnificativ din ID-ul de rețea)
7 6 5 4 3 2 1 0
128 64 32 16 8 4 2 1
ID rețea
Domeniile de adrese IP vor fi:
Rețeaua #1: 131.150.8.0/21
131.150.8.1/21 – 131.150.15.254/21
Adresa de broadcast: 131.150.15.255
Rețeaua #2: 131.150.16.0/21
131.150.16.1/21 – 131.150.23.254/21
Adresa de broadcast: 131.150.23.255/21
Rețeaua #3: 131.150.24.0/21
131.150.24.1/21 – 131.150.32.254/21
Adresa de broadcast: 131.150.32.255/21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rețeaua #30: 131.150.240.0/21
131.150.240.1/21 – 131.150.254.254/21
Adresa de broadcast: 131.150.240.255/21
Utilitare pentru subnetare
Există și instrumente (utilitare) care permit efectuarea subnetării mult mai rapid: generează harta de biți pentru adresa IP introdusă, împarte adresa în ID de rețea și ID de gazdă, arată domeniile de adrese pentru subrețele și adresa de broadcast pentru fiecare. Câteva exemple și adresele de download:
Advanced IP Calculator
http://www.famatech.com/download/ipcalc11.exe
IP Calculator
http://jodies.de/ipcalc-archive/
IP Workshop Professional Version 1.2.2
http://www.pkostov.de/ipcalc/ipcinst.exe
IP Subnet Calculator
http://www.snapfiles.com/php/download.php?id=104403
Deci proprietățile TCP/IP care trebuie determinate la subnetare sunt următoarele:
Numărul de gazde/(sub)rețea
Numărul de (sub)rețele
Masca de subrețea (dotted decimal)
Domeniul de adrese
Exemplu:
Verificare:
Run cmd ipconfig
IP address . . . . . . . . . . . . . . . . . . . 131.150.16.20
Subnet Mask . . . . . . . . . . . . . . . . . 255.255.248.0
Default Gateway . . . . . . . . . . . . . . 131.150.16.1
Aceasta va permite comunicarea în cadrul acestei rețele (131.150.16.0/21)
Supernetarea
Supernetarea reprezintă termenul care definește agregarea mai multor adrese IP de rețea din aceeași clasă în blocuri. În cazul când adresele IP de rețea nu sunt consecutive, trebuie utilizate sub-interfețe – acestea sunt suportate numai de Cisco Systems.
Pentru a combina două rețele de clasă C, cel de al trei-lea octet trebuie să fie divizibil cu 2. Dacă se supernetează 8 rețele, masca de subrețea va fi 255.255.248.0 și cel de al trei-lea octet din prima adresă IP de rețea trebuie să fie divizibilă cu 8 , ș.a.m.d. De exemplu, 198.41.15.0 și 198.41.16.0 NU vor putea fi agregate într-o super-rețea, dar vor putea fi agregate 198.41.18.0 și 198.41.19.0 .
Cel mai des se utilizează agregarea adreselor de Clasa C. Masca de subrețea clasică pentru Clasa C de adrese IP este 255.255.255.0 , cu ID-ul de rețea de 24 biți. Pentru a crea o super-rețea, numărul de biți utilizați pentru ID-ul de rețea se REDUCE. De exemplu, prin utilizarea unei măști cu 23 biți (255.255.254.0 – 23 biți pentru ID-ul de rețea și 9 biți pentru ID-ul de gazdă), se crează efectiv o singură rețea IP cu 512 adrese de rețea. Super-netarea sau agregarea blocurilor de rețele IP reprezintă baza pentru majoritatea protocoalelor de rutare utilizate pe Internet.
De exemplu: 2 rețele Clasă "C" cu adresele IP 198.41.78.0 și 198.41.79.0
Adresele sunt consecutive și respectă condiția de divizibilitate cu 2 a celui de al trei-lea octet din prima adresă (78 Mod 2 = 0). Să analizăm acum adresele în binar. Cel de al trei-lea octet din prima adresă (78) este 01001110. Al doilea (79) este 01001111. Rețeaua 78 este supernet 0 și rețeaua 79 este supernet 1.
Masca de subrețea pentru acest exemplu de super-rețea este de 23 bits pentru ID-ul de rețea, adică 255.255.254.0. TOATE dispozitivele de pe acestă rețea TREBUIE să utilizeze această mască de subrețea. Orice dispozitiv care nu utilizează această mască de subrețea nu va putea comunica în rețea.
Adresa de broadcast pentru toate dispozitivele din acest exemplu este 198.41.79.255. Multe dispozitive mai noi nu mai cer și completarea adresei de broadcast, deoarece ea poate fi dedusă din adresa IP și masca de subrețea.
Ca în orice rețea IP, primul număr din domeniu (.0 într-o clasă "C") are semnificație specială și nu poate fi alocată gazdelor – reprezintă "numărul rețelei”, iar ultimul, 255, este adresa de broadcast și, de asemeni, nu poate fi alocată gazdelor NU vor fi utilizate adresele IP 198.41.78.255 și 198.41.79.0 (din exemplul de mai sus), chiar dacă aceste adrese SUNT perfect legale pentru gazde din cadrul super-rețelei.
Mai există o condiție suplimentară care trebuie îndeplinită pentru super-netare: trebuie executată rutare statică PESTE TOT sau trebuie utilizat un protocol de rutare fără clase, cum ar fi RIP2 (sau OSPF) care include masca de subrețea și poate transmite informațiile de super-netare pentru ca acestea să funcționeze. RIP Standard nu transmite informația referitoare la masca de subrețea.
Dacă se utilizează routere compatibile (Compatible Systems Routers) , atunci trebuie verificat ca versiunea ROM-ului a router-ului să nu fie anterioară versiunii 3.0.7 , pentru a avea implementate facilități de supernetare.
Exemplu:
Presupunem o rețea care comunică cu exteriorul prin intermediul unui router ®
Tabela de rutare a acestui router va cuprinde un număr de intrări, corespunzător rețelelor direct conectate la el:
200.10.200.0
255.255.255.0
200.10.201.0
255.255.255.0
200.10.202.0
255.255.255.0
200.10.203.0
255.255.255.0
o singură intrare în router !
Se ia adresa cea mai mică și se calculează masca de subrețea care să asigure numărul de biți necesari pentru gazdele celor patru subrețele.
Comunicația pe o rețea TCP/IP
Traficul Unicast (de exemplu A B)
Broadcast (întregului segment)
În cazul comunicației peste router:
Pentru ca A să poată comunica cu C este necesar să se folosească unul dintre serviciile de “Name Rezolution” (DNS sau WINS).
Dacă A cunoaște adresa IP a lui C (adresă de destinație), routerul va putea determina dacă aceasta aparține aceleiași rețele sau se găsește pe altă rețea. Operația poartă denumirea de ”LOGICAL AND-ing”
SURSA
192.168.5 . 132 11000000.10101000.00000101.100000100
255.255.255.0 11111111. 11111111. 11111111.00000000
11000000.10101000.00000101.000000000
DESTINAȚIA
192.168.6 . 132 11000000.10101000.00000110.100100110
255.255.255.0 11111111. 11111111. 11111111.00000000
11000000.10101000.00000100.000000000
Deci ID-urile de rețea sunt diferite (al trei-lea octet este 00000101, respectiv 00000100) pachetul este trimis de router celeilalte rețele (dacă aceasta este conectată la altă interfață a routerului) sau este trimis mai departe în rețea.
Adresarea IP fara clase:
Classless Inter Domain Routing (CIDR) / Supernetarea
Odatã cu creșterea exponențialã a Internetului, au apãrut 3 probleme principale.
Una dintre metodele utilizate pentru rezolvarea problemelor a fost schema de adresare pentru subnetare și ulterior VLSM, care asigurã administratorilor de rețea mai multã flexibilitate pe rețele individuale de pe Internet.
Odatã cu dezvoltarea IPV6 si a sistemului sãu de adresare pa 128 biți (1995) s-a acceptat cã vor trece mulți ani pânã când acesta va fi folosit pe scara largã, rezultã necesitatea prelungirii vieții lui IPVY, rezultã un nou sistem de adresare a dispozitivelor IPVY, care sã elimine în întregime adresarea bazatã pe clase: sistemul de adresare fãrã clase, numit și Classless Inter Domain Routing (CIDR).
CIDR – Avantaje si dezavantaje
Adresarea bazatã pe subrețele (Subnet adressing) a fost un pas important în evoluția adresãrii IP, deorece rezolva unele probleme importante ale adresãrii convenționale pe clase bazatã pe 2 (douã) nivele si anume ID-ul de rețea si ID-ul de gazdã.
Contribuția subnetãrii și apoi a VLSM, consta în aceea cã a permis fiecãrei rețele sã aibã propria ierarhie a adresãrii IP. Dintre avantajele subnetãrii – este localã, în interiorul fiecãrei organizații și transparentã (invizibilã) celorlalte. Prin aceasta rezultã cã organizația își va stabili propria structurã de subnetare. Din pãcate aceastã transparențã reprezintã principalul dezavantaj al subnetãrii în adresarea pe clase: nu poate corecta neeficiența fundamentalã asociatã cu acest tip de adresare, deoarece organizațiile, în continuare, vor avea alocate blocuri de adrese bazate pe clase.
Problema principalã a subnetãrii convenționale, bazate pe clase, este lipsa unei clase corespunzãtoare organizației de dimensiune medie (aproximativ 5.000 gazde)
Reamintim cã existã 16.384 blocuri de adresare de clasã B 65.000 gazde și mai mult de 2.000.000 blocuri de adresare de clasã C 254 gazde.
Existã în lume milioane de organizații de dimensiune medie astfel încât clasa C este puțin utilizatã, de regulã organizațiile solicitând blocuri de adresare de clasã B, ceea ce face ca aceste blocuri de adresare de clasa B sã se consume foarte rapid.
Rezultã cã este necesarã o modalitate mai eficientã de utilizare a spațiului de adrese, _______ de epuizarea acestora, ________ de tranziția la IPV6.
Subnetarea și VLSM nu au rezolvat deloc problema deoarece ele lucreazã în interiorul unui bloc de adrese corespunzãtoare unei clase.
O soluție ar fi aceea de a obliga organizația sã cumpere mai multe domenii de clasã C în loc sã „risipeascã” un bloc mai mare de adresare de clasã B. Dar aceasta conduce la un alt dezavantaj major: înlocuirea unei clase B cu 10 clase C multiplicã cu 10 numãrul intrãrilor în tabelele de rutare.
Rezultã o soluție mai bunã ar fi eliminarea adresãrilor pe clase printr-o schemã de adresare fãrã clase, care va rezolva ambele probleme:
Utilizarea ineficientã a spațiului de adresare IP
Creșterea exponențiala a dimensiunilor tabelelor de rutare
Sistemul , dezvoltat la începutul anilor `90, și acceptat în 1993 prin RFC 1517,1518,1519,1520 a primit denumirea CIDR care, în ciuda numelui sãu, gestioneazã atât adresarea IP c6at și rutarea, aceste 2 funcțiuni fiind legate intrinsec.
CIDR reprezintã aplicarea conceptului VLSM la întregul Internet.
Concluzie: CIDR este un sistem de adresare și rutare care rezolva multe probleme ale adresãrii pe clase, prin trecerea de la o structurã flexibilã de rețele, pe mai multe nivele ierarhice, de dimensuni variabile.
Avantaje CIDR:
Alocarea eficientã a spațiului de adresare
Eliminarea dezechilibrului dintre clase
Tabele de rutare eficiente – CIDR perminte unui numãr ________ de intrãri în tabelele de rutare sã reprezinte un numãr mare de rețele. Rețelele pot fi „agregate” și reprezentate printr-o singurã _________. Deoarece CIDR este ierarhic, detaliile de la nivelele coborâte (nivelele mai mici) pot fi ascunse routerelor care transferã traficul între rețele de dimensiune mare.
Nu existã o metodã separatã pentru subnetare – CIDR implementeazã conceptele subnetãrii la nivelul Internetului. O organizație poate utiliza aceeași metodã pentru a crea o structurã proprie a rețelei sale de complexitate arbitrarã fãrã a folosi alt mecanism de subnetare.
Principalul dezavantaj CIDR – complexitatea
Nu mai este ______ analiza primilor biți din adresa IP pentru a determina lungimea ID-ului de rețea , respectiv a ID-ului de gazdã. Și pentru routere procesul este mai complicat.
Adresarea ierarhicã și notația
La început, adresa IP era formatã de ID-ul de rețea și ID-ul de gazdã. Cu subnetarea, se prelucrau biții din ID-ul de gazdã pentru a crea ID-ul de subrețea. Acum adresa IP are 3 nivele ierarhice.
Cu VLSM au fost în continuare subnetate subrețelele în sub-subrețele, preluând și mai mulți biți din ID-ul de gazdã, ceea ce a condus la o ierarhie pe mai multe nivele al adresei IP.
În spațiul de adesare fãrã clase, se plica conceptul VLSM nu numai unei singure rețele, ci întregului Internet.
Deci, Internetul devine o rețea giganticã, care este subnetatã într-un numãr mare de blocuri de adresare. Unele din aceste blocuri sunt „sparte” în blocuri mai mici, care pot fi „sparte” în continuare. Aceastã subnetare poate avea loc de mai multe ori, permițând împãrțirea spațiului de adrese Internet în segmente de diferite dimensiuni, în concordanțã cu necesitãțile organizațiilor. Orice bloc de adrese poate fi de orice dimensiuni. În continuare însã, dimensiunea unei rețele se determinã pe baza puterii lui 2 la numãrul de biți ai ID-ului de gazdã.
În CIDR, deoarece punctul de separare între ID-ul de rețea și cel de gazdã poate fi oriunde în adresa IP, este necesarã o informație suplimentarã care este datã de prefixul de rețea.
Aceasta se manifestã atât în interiorul rețelei unei organizații, cât și în întregul Internet, deoarece nu existã clase și fiecare rețea poate fi de orice dimensiune.
Notația CIDR utilizeazã mai simplul prefix de rețea similar mãștii de subrețea, un întreg care spune câți biți sunt utilizați pentru ID-ul de rețea – notația cu slash sau notația CIDR.
De exemplu, în adresa de rețea 168.130.214.0 / 21, „21” înseamnã faptul cã ID-ul re rețea are 21 biți, ceea ce este echivalent cu o masc~a de subrețea 255.255.248.0 și care reprezintã o rețea cu : 211 – 2 = 2.046 gazde.
168 . 130 . 64 . 0 / 21
10101000.10000010.00000100.00000000
Masca
de
subrețea
Binar: 11111111.11111111.11111000.00000000
Zecimal: 255 . 255 . 248 . 0
SUPERNETAREA
– subnetarea (VLSM) Internetului –
CIDR asigurã unei autoritãți centrale de alocare a adreselor flexibilitate în manipularea blocurilor de adrese de diferite dimensiuni, ce sunt alocate organizațiilor în conformitate cu necesitatea acestora. Când s-a dezvoltat CIDR s-a modificat modul de alocare al adreselor IP.
Sub CIDR existã multe nivele ierarhice: blocurile mari de adrese sunt împãrțite în blocuri mai mici, și apoi acestea sunt împãrțite la rândul lor, ș.a.m.d.
Similar IANA/ICAANN împarte adresele IP în blocuri mari, pe care le distribuie Registrelor Regionale ale Internetului (RIR – Regional Internet Registries): APNIC, ARIN, LACNIC, RIPE NCC
Acestea, la rândul lor, împart blocurile de adrese și le distribuie Registrelor Naționale ale Internetului (NIR – National Internet Registries), Registrelor Locale ale Internetului (LIR – Local Internet Registries) și / sau organizațiilor individuale cum ar fi ISP-urile (furnizorii de servicii Internet).
ISP-urile împart la rândul lor aceste blocuri într-unele mai mici pe care la alocã clienților – ISP- uri mai mici care repetã procesul, ș.a.m.d. pânã se ajunge la utilizatorul final.
Numãrul de împãrțiri ale blocurilor de adrese este limitat numai de numãrul adreselor disponibile în blocul inițial de adrese IP.
Deși CIDR are la bazã conceptele subnetãrii (și VLSM), sub CIDR nu se utilizeazã explicit ID- ul de subrețea: toate adresele IP sunt interpretate ca având numai 2 componente: ID de rețea și ID de gazdã.
Atunci când o organizație face subnetare sub CIDR, ea urmeazã aceeași procedura ca și un ISP.
Caracteristici ale adresãrii convenționale (bazate pe clase), care nu se modificã sub CIDR
Blocuri locale (private) de adrese rezervate – rutarea pe Internet a acestor adrese se face prin intermediul serviciilor NAT (Network Address Translator)
Adrese cu semnificații speciale :
Ex: Numãr Gazde = 2 numãr biți ID gazdã – 2
Adresa de loopback – rețeaua 127.0.0.0 este în continuare rezervat~a testãrii funcționalitãții rețelei: sub CIDR 127.0.0.0 / 8
Utilizarea CIDR necesitã hardware și software special proiectat.
Deoarece CIDR permite separarea adreselor IP în ID rețea și ID gazdã în orice punct al rețelei, rezultã creearea unui numãr mare de rețele de dimensiuni diferite. Dimensiunea rețelei este datã de numãrul de biți utilizați pentru ID-ul de gazdã.
Spre deosebire de subnetarea convenționalã, unde toate subrețelele au aceeași dimensiune (același numãr de gazde), CIDR permite multe nivele de divizare ierarhicã a Internetului astfel încât pot exista simultan multe dimensiuni de rețele, se creeazã rețele mai mari care se împart în (sub)rețele mai mici.
Deoarece existã încã obișnuința de a analiza blocurile de adrese IP prin prisma sistemului bazat pe clase, blocurile de adrese se exprimã în termeni de clase echivalente.
De exemplu:
Aceasta însã cu observația cã echivalentul nu trebuie sã aibã numite valori pentru primii biți ai adresei.
Regulã: scaderea prefixului cu 1 unitate definește o rețea cu numãr dublu de gazde (rețeaua /15 = 2 rețele /16)
În tabela de mai sus se prezintã (teoretic) modul cum poate fi împãrțitã o adresã de 32 biți în ID-rețea și ID-gazdã sub CIDR.
Observații:
Unele împãrțiri sunt numai teoretice – este puțin probabil sã existe rețele /1 sau /2. Ar însemna numai 2 rețele /1 și 4 rețele /2 care ar consuma întreg spațiul de adrese IP. Valoarea uzualã este în jurul lui /16.
/31 și /32 ar avea 0 gazde valide, deci în mod normal nu se folosesc. Totuși se acceptã și cazul special /31 pentru rețele ce formeazã o legãturã punct-la-punct, unde este evident cui se transmite, iar broadcast ne este necesar (RFC 3021).
Exemplu de adresare IP – CIDR
Așa cum s-a mai spus, CIDR funcționeazã similar cu VLSM, diferența constând în modul cum se face diviziunea ierarhicã și terminologia utilizatã.
Sã presupunem c~a un nou ISP a apãrut pe piațã (nu unul major!), care are puțini clienți. Înseamnã cã necesitã un numãr mic de adrese alocate. Va începe cu blocul: 68 . 74 . 0 . 0 / 15 (primii 15 biți reprezintã ID-ul de rețea și 17 biți ID-ul de gazdã (131.070 gazde).
Acest bloc de adrese a fost obtinut de la un ISP de nivel superior, care are alocat un bloc mai mare de adrese. De exemplu 68 . 74 . 0 . 0 / 15 va fi egal cu ½ din blocul 68 . 72 . 0 . 0 / 14 și cu ¼ din 68 . 68 . 0 . 0 / 13, ș.a.m.d
Exemplu de împãrțire ierarhicã posibilã a unui bloc de adrese /15 CIDR.
Rețeaua 68.74.0.0 / 15 se împarte în 2 subrețele :
# 0: 68.74.0.0 / 16 și
# 1: 68.75.0.0 / 16 adicã echivalentul a 2 rețele de clasã B
Subrețeaua #0: 68.74.0.0 / 16 – 65.534 gazde va fi rezervatã pt viitori clienți
Subrețeaua #1: 68.75.0.0 / 16 – 65.534 gazde va fi împãrțitã în 4 subrețele
Subrețeaua #1-0: 68.75.0.0 / 18 – 16.382 gazde împãrțitã în 32 blocuri /23 – 510 gazde fiecare
Subrețeaua #1-1: 68.75.64.0 / 18 împãrțitã în 64 blocuri /24 – 254 gazde fiecare
Subrețeaua #1-2: 68.75.128.0 / 18 împãrțitã în 128 blocuri /25 – 126 gazde fiecare
Subrețeaua #1-3: 68.75.192.0 / 18 împãrțitã în 256 blocuri /26 – 62 gazde fiecare
ISP
Rețeua inițialã 68.74.0.0/15
prima diviziune ierarhicã #0 68.74.0.0/16
#1 68.75.0.0/16
În binar:
01000100 . 01001010 . 0000000 . 00000000
68 74
74
# 0: 01000100.01001010.0000000.0000000
# 1: 01000100.01001011.0000000.0000000
68 75
a doua diviziune ierarhicã a subrețelei #1
(în 4 subrețele 2N=4 2 biți /18)
#1: 68.75.0.0 /16 : #1-0: 68.75.0.0/18
#1-1: 68.75.64.0/18
#1-2: 68.75.128.0/18
#1-3: 68.75.192.0/18
În binar:
#1-0: 01000100.01001011.00000000.00000000
68 75 0 0
#1-1: 01000100.01001011.01000000.00000000
68 75 64 0
#1-2: 01000100.01001011.10000000.00000000
68 75 128 0
#1-3: 01000100.01001011.11000000.00000000
68 75 192 0
a treia diviziune ierarhicã a subrețelei #1-0 : 68.75.0.0/18
(în 32 subrețele 2N=32 N=5 biți suplimentari 18+5=23)
#1-0-0: 68.75.0.0 / 23
#1-0-1: 68.75.2.0 / 23
#1-0-2: 68.75.4.0 / 23
……………………………..
#1-0-31: 68.75.62.0 / 23
În binar:
#1-0-0: 01000100.01001011.00000000.00000000
68 75 0 0
#1-0-1: 01000100.01001011.00000010.00000000
68 75 2 0
#1-0-2: 01000100.01001011.00000100.00000000
68 75 4 0
…………………………………………………………………………….
#1-0-31: 01000100.01001011.00111110.00000000
68 75 62 0
a treia diviziune ierarhicã a subrețelei #1-1 : 68.75.64.0/18
(în 64 subrețele 2N=64 N=6 biți suplimentari 18+6=24)
#1-1-0: 68.75.64.0 / 24
#1-1-1: 68.75.65.0 / 24
#1-1-2:
……………………………..
#1-1-63: 68.75.127.0 / 24
În binar:
#1-1-0: 01000100.01001011.01000000.00000000
68 75 64 0
#1-1-1: 01000100.01001011.01000001.00000000
68 75 65 0
#1-1-2: 01000100.01001011.01000010.00000000
68 75 66 0
…………………………………………………………………………….
#1-1-63: 01000100.01001011.01111111.00000000
68 75 127 0
a treia diviziune ierarhicã a subrețelei #1-2 : 68.75.128.0/18
(în 128 subrețele 2N=128 N=7 biți suplimentari 18+7=25)
#1-2-0: 68.75.128.0 / 25
#1-2-1: 68.75.128.128 / 25
#1-2-2: 68.75.129.0 / 25
#1-2-3: 68.75.129.128 / 25
……………………………..
#1-2-127: 68.75.191.128 / 25
În binar:
#1-2-0: 01000100.01001011.10000000.00000000
68 75 128 0
#1-2-1: 01000100.01001011.10000000.10000000
68 75 128 128
#1-2-2: 01000100.01001011.10000001.00000000
68 75 129 0
#1-2-3: 01000100.01001011.10000001.10000000
68 75 129 128
……………………………………………………………………………
#1-2-127: 01000100.01001011.10111111.10000000
68 75 191 128
a treia diviziune ierarhicã a subrețelei #1-3 : 68.75.192.0/18
(în 256 subrețele 2N=256 N=8 biți suplimentari 18+8=26)
#1-3-0: 68.75.192.0 / 26
#1-3-1: 68.75.192.64 / 26
#1-3-2: 68.75.192.128 / 26
#1-3-3: 68.75.192.192 / 26
#1-3-4: 68.75.193.0 / 26
……………………………..
#1-3-255: 68.75.255.192 / 26
În binar:
#1-3-0: 01000100.01001011.11000000.00000000
68 75 192 0
#1-3-1: 01000100.01001011.11000000.01000000
68 75 192 64
#1-3-2: 01000100.01001011.11000000.10000000
68 75 192 128
#1-3-3: 01000100.01001011.11000000.11000000
68 75 192 192
#1-3-4: 01000100.01001011.11000001.00000000
68 75 193 0
……………………………………………………………………………
#1-3-255: 01000100.01001011.11111111.11000000
68 75 255 192
PROTOCOALE DE RUTARE
Introducere
Fiecare calculator aparține unei rețele, cu ale cărei componente poate comunica oricînd direct, fără alte intervenții.
Pe de altă parte există dispozitive de rețea care au conexiuni la mai multe rețele simultan. Acestea se mai numesc: "gateways". Un pachet care este primit de o "gateway" pe interfața dinspre o rețea poate fi transmis pe cealaltă rețea. Acest proces se numește "forwarding" ("înaintare").
Drumul ales de un pachet de la sursă la destinație poartă denumirea de "rută" (route).
Operația de alegerea a unei căi pentru un pachet se numește "rutare" (routing).
Un ruter este, în general, un calculator conectat simultan la mai multe rețele.
Pentru că există peste 30 de milioane de calculatoare, este clar că nu se poate introduce manual informația despre unde se află fiecare dintre ele, în toate ruterele (de altfel această informație este foarte volatilă: în fiecare secundă mii de calculatoare se conectează și se deconectează) sarcina calculării rutelor le cade în sarcină.
Inițial fiecare router are oarecari cunoștințe despre vecinătatea lui, mai mult sau mai puțin imediată; aceste cunoștințe sînt introduse de administratorul de sistem.
Problema rutării se enunță astfel:
Atunci când un ruter primește un pachet pentru o anumită destinație trebuie să decidă pe care dintre interfețele sale să-l trimită.
Una dintre interfețe trebuie să fie întotdeauna mai aproape de destinație; dacă fiecare ruter care primește un pachet îl trimite apoi pe o interfață mai apropiată de destinația finală, eventual pachetul va ajunge la destinație.
Problema rutării este simplă pentru calculatoarele care au o singură interfață. Este clar că oricare ar fi destinația, dacă ea nu este chiar calculatorul local atunci există o singură interfață pe care pachetele pot fi scoase.
Problema rutării este mai complicată pentru calculatoarele care au de-a face două sau mai multe alegeri (interfețe).
Tabelele de rutare
Când se dorește comunicarea cu un calculator care nu este conectat în aceeași rețea locală , pachetul va trebui să treacă prin mai multe gateway-uri pînă la destinație. Problema care se pune este: "care este primul gateway"?
Informația de acest gen este menținută de nivelul IP într-o tabelă de rutare. Această tabelă descrie pentru fiecare grup de adrese interfața care trebuie folosită pentru a ajunge la ele și primul router căruia datele trebuie să-i fie trimise (next hop).
Cum arată tabela de rutare și de unde vin informațiile din ea depinde de importanța routerului.
Se pot distinge trei feluri de routere conectate în Internet:
– Frunze (A): orice calculator care are o singură interfață este o "frunză" (termen împrumutat din teoria grafurilor);
– Rutere "mici" (B): un astfel de calculator separă o rețea relativ mică (locală) de restul Internet-ului; toate pachetele care trec dintr-o parte într-alta trebuie să treacă prin el
– Rutere din backbone (C): "miezul" Internet-ului arată ca o mare pînză de păianjen; aceasta este "coloana vertebrală" a Internet-ului, formată din trunchiuri de mare viteză care se încrucișează în rutere
Modul în care funcționează cele trei feluri de calculatoare din punct de vedere al rutării este complet diferit.
(A) Rutele implicite
Frunzele trebuie să știe care este router-ul care leagă propria lor rețea de Internet: calculatorul A trebuie să știe că rețeaua sa locală are ca legătură, de exemplu, interfața e1 a router-ului. Acest lucru este de obicei configurat de administratorul rețelei.
Ruterele și coloana vertebrală
Pentru celelalte tipuri de calculatoare situația este diferită. Un ruter din a doua categorie (routere mici) poate fi încă configurat manual: el trebuie să știe care sînt toate frunzele pentru care el este "responsabil". Un astfel de router va schimba permanent informații despre topologia rețelei cu vecinii săi. Protocolul prin care ruterele schimba informații se numește protocol de rutare.
Actualmente sînt standardizate aproape o duzină de astfel de protocoale pentru Internet. Routerele vor schimba informații: fiecare îi va spune celuilalt cu ce calculatoare "frunză" este direct conectat, și vor raporta routere-lor de backbone acest lucru.
Caracteristica centrală a unui astfel de ruter (B) este că trebuie să memoreze relativ puține informații în tabela de rutare (zeci sau sute de înregistrări), putându-se baza în continuare pe rute implicite, care trec prin cel mai apropiat router de tip C.
Astfel de rutere pot fi tot stații de lucru, calculatoare personale rulînd Unix, sau calculatoare specializate (cum sunt întotdeauna ruterele de tip C).
Protocoale de rutare
Ruterele de tip C nu pot fi configurate manual; cel mai important motiv este că o rețea mai mare suferă în mod frecvent schimbări, care sînt greu de centralizat și administrat. Din această cauză, astfel de routere calculează singure topologia rețelei.
Ruterele de tip C sînt întotdeauna calculatoare special construite pentru acest scop; au sisteme de operare speciale, nu au discuri (folosesc memorii nevolatile flash pentru a ține sistemul de operare), pot suporta foarte multe plăci de rețea (zeci simultan) și nu fac tot timpul altceva decît să permită administrarea rețelei și calculul de tabele de rutare. Cam 80% din ruterele din Internet sînt fabricate de firma Cisco Systems (http://www.cisco.com) din Statele Unite. Un router de mare performanță poate transfera date de ordinul a 10Gbps (giga biți pe secundă).
Sarcina unui ruter de tip C este de cu totul altă natură decît cea a ruterelor de tip A sau B. Spre deosebire de acelea, un ruter de tip C trebuie să știe întreaga topologie a Internet-ului, și nu numai rețelele care se învecinează direct cu el.
Inițial, la boot-are, un ruter C va ști numai vecinii săi (introduși tot de administrator). După prima rundă de comunicații va afla însă și vecinii vecinilor săi, după care vecinii vecinilor vecinilor săi, și așa mai departe. Cum Internet-ul la ora actuală are un diametru în jur de 30 (adică distanța dintre oricare două calculatoare trece prin mai puțin de 30 de rutere), după 30 de runde de comunicație între vecini orice ruter C cunoaște întreaga topologie a rețelei! Asta înseamnă zeci de megaocteți de informație. Dar fără această informație calculatoare îndepărtate n-ar avea nici o posibilitate să ajungă unul la altul.
ARHITECTURA PROTOCOALELOR DE RUTARE
Arhitectura protocoalelor de rutare se referă la modul cum este structurată “inter-rețeaua”.
Odată cu existența unui număr de rețele și rutere care trebuie conectate, există mai multe feluri de a realiza aceasta. Arhitectura aleasă se bazează pe modul de legare a ruterelor între ele și aceasta are impact asupra modului cum se desfășoară rutarea, și cum lucrează protocoalele.
ARHITECTURA DE BAZĂ (CORE ARCHITECTURE)
TCP/IP și Internetul s-au dezvoltat simultan, astfel încât și protocoalele de rutare au evoluat odată cu Internetul. Arhitectura de la începutul Internetului consta dintr-un număr mic de rutere de bază (core routers) care dețineau suficiente informații despre inter-rețea. Extinderea Internetului s-a făcut prin adăugarea de noi rutere acestui “miez”. Astfel, la fiecare extindere a “miezului”, volumul de informații de rutare ce trebuiau întreținute creștea.
Când “miezul” a devenit prea mare, s-a format o ierarhie pe două nivele pentru a permite o expansiune suplimentară. Ruterele care nu aparțineau “miezului” au fost amplasate la periferia “miezului” și conțineau numai informații de rutare parțială. Ele se bazeau pe ruterele “miezului” pentru transmisii peste inter-rețea. Un protocol pentru rutare special Gateway-to-Gateway Protocol (GGP) era utilizat în interiorul “miezului” inter-rețelei, iar alt protocol denumit Exterior Gateway Protocol (EGP) era utilizat între ruterele aparținând “miezului” și cele care nu aparțineau. Acestea din urmă erau adesea rutere singulare, de sine stătătoare, ce conectau o singură rețea la miez sau puteau fi un set de rutere ale unei organizații.
Această arhitectură a funcționat un anumit timp, dar ea nu se adapta foarte bine modului de expansiune a Internetului. Principala problemă era dată de faptul că exista un singur nivel al arhitecturii: fiecare ruter din “miez” trebuia să comunice cu fiecare dintre celelalte. Chiar dacă ruterele periferice erau ținute în afara miezului, volumul traficului în miez creștea în continuare.
ARHITECTURA SISTEMELOR AUTONOME (AS)
Pentru a rezolva aceste probleme, a fost creată o nouă arhitectură ce corespundea mai bine unei inter-rețele mai mari și în creștere. Această arhitectură, descentralizată, tratează Internetul ca fiind un set de grupuri independente fiecare denumit sistem autonom (AS). constă dintr-un set de rutere și rețele controlate de o organizație particulară sau o entitate administrativă, care utilizează o singură politică consistentă pentru rutarea internă.
Puterea acestui sistem constă în faptul că rutarea în inter-rețea se face la nivelul AS și nu între rutere individuale. Informația de rutare este partajată între unul sau două rutere din fiecare AS, nu cu fiecare ruter din fiecare AS. Rutarea în interiorul AS este transparentă (ascunsă) pentru restul inter-rețelei. Aceasta asigură atât flexibilitate pentru fiecare As, care poate să facă rutarea cum i se potrivește mai bine (de aici denumirea “autonomie”) cât și eficiența întregii inter-rețele.
Fiecărui sistem autonom îi este alocat un număr (AS number) pentru utilizare cu protocolul BGP. Aceste numere (întregi de 16 biți) sunt gestionate global ) pentru a asigura unicitatea lor în Internet) și alocate de către aceleași autorități care alocă adresele IP, în domeniul 1 – 64511 pentru utilizare pe Internet și în domeniul 64512 – 65535, care pot fi utilizate în interiorul unei organizații.
Concluzie: Inter-rețelele TCP/IP moderne, mari, pot conține mii de rutere. Pentru a gestiona mai bine rutarea într-un astfel de mediu, ruterele sunt grupate în sisteme autonome. constă dintr-un grup de rutere gestionat independent de o entitate sau o organizație particulară.
TIPURILE MODERNE DE PROTOCOALE: PROTOCOALE INTERIOARE ȘI EXTERIOARE DE RUTARE
Modul diferit cum se face rutarea în interiorul unui AS și între AS-uri se vede în primul rând din protocoalele de rutare utilizate:
– protocoale de rutare interioare (Interior Routing Protocol) – utilizate pentru schimbul de informații de rutare între ruterele unui sistem autonom – NU sunt utilizate între AS-uri;
– protocoale de rutare exterioare – utilizat pentru schimbul de informații între sistemele autonome. Pot fi utilizate și în interiorul unui AS, dar în principal fac schimb de informații între sistemele autonome.
Concluzie: Protocoalele de rutare interioare sunt utilizate pentru a partaja informații de rutare în interiorul unui AS. poate utiliza protocoale de rutare interioare diferite deoarece sunt autonome. Protocoalele de rutare exterioare partajează informații între AS-uri. trebuie să utilizeze același protocol de rutare exterior pentru a asigura comunicarea.
Deoarece sistemele autonome sunt numai un set de rutere, aceasta înseamnă că AS-urile sunt conectate prin legarea unui ruter dintr-un As cu un ruter din alt AS. Din punct de vedere arhitectural, un AS constă dintr-un set de rutere cu două tipuri diferite de conectivitate:
– rutere interne, care conectează alte rutere din același AS, rulând protocoalele de rutare interioare
– rutere de graniță (border routers) care conectează atât rutere din același AS, cât și rutere din unul sau mai multe AS-uri. Aceste dispozitive răspund de asigurarea traficului între AS-uri și restul inter-rețelei. Ele rulează atât protocoale de rutare interioare, cât și exterioare.
Datorită avantajelor sale, arhitectura bazată pe sisteme autonome a devenit standard pentru rețelele TCP/IP, în speță Internetul. Împărțirea în protocoale de rutare interioare și exterioare a devenit, de asemeni, standard și astăzi prima clasificare a protocoalelor de rutare se face în interioare și exterioare.
Schema ilustrează o reprezentare simplificată a Internetului, organizat în trei sisteme autonome, fiecare gestionat independent. Comunicația în interiorul AS-ului se face prin protocoalele interioare de rutare, alese de administratorul AS-ului. Comunicația dintre AS-uri se face utilizând același protocol exterior de rutare.
ALGORITMI ȘI METRICA PROTOCOALELOR
Altă clasificare a protocoalelor de rutare este făcută pe baza algoritmului și a metricii utilizate.
Algoritmul se referă la metoda utilizată de protocol pentru determinarea celei mai bune căi între oricare pereche de rețele și pentru partajarea informațiilor de rutare între rutere.
Metrica este măsura “costului” utilizat pentru a accesa cu o anumită eficiență o anumită rută.
Deoarece inter-rețelele sunt foarte complexe, algoritmii și metrica unui protocol sunt foarte importante și pot reprezenta un factor decisiv în alegerea unui protocol.
Există doi algoritmi utilizați de protocoalele de rutare:
vectorul de distanță (distance vector)
starea conexiunii (link state)
Există protocoale care le utilizează pe amândouă sau alți algoritmi.
Algoritmul Bellman-Ford pentru protocoalele de rutare bazate pe vectorul de distanță
Algoritmul de rutare bazat pe vectorul de distanță, denumit și Bellman-Ford după cei doi inventatori ai săi, utilizează ca și criterii de selectare a rutei optime distanța dintre rețele.
Metrica distanței este adesea simplă, uzual numărul de “hop-uri” sau rutere între cele două rețele.
Ruterele care utilizează acest tip de protocol gestionează informațiile despre distanța la fiecare dintre rețelele cunoscute într-o tabelă. Ele trimit, în mod regulat, această tabelă fiecărui ruter cu care este conectat direct.
Aceste rutere își actualizează propriile tabele și le trimit vecinilor lor. Aceasta face ca informațiile despre distanțe să se propage peste inter-rețea, astfel încât, în final, fiecare ruter să dispună de informații despre toate ruterele din inter-rețea.
Protocoalele de rutare bazate pe vectorul de distanță sunt oarecum limitate în capacitatea de alegere a celei mai bune rute. Mai au și probleme în modul de funcționare.
Principalul lor avantaj constă în simplitate și îndelungata lor folosire (acumularea experienței de exploatare).
Algoritmul de rutare bazat pe starea conexiunii (Shortest Path First)
Algoritmul bazat pe starea conexiunii selectează rutele pe baza utilizării dinamice a metodei “Shortest Path First”. Fiecare ruter gestionează o “hartă” ce descrie topologia curentă a inter-rețelei. Această hartă este actualizată regulat prin testarea posibilității de a accesa diferite părți ale inter-rețelei și prin schimbul de informații cu alte rutere. Determinarea celei mai bune căi (shortest path) poate fi făcută pe baza unor metrici diferite care indică adevăratul cost al trimiterii unei datagrame pe o anumită rută.
Algoritmii bazați pe starea conexiunii sunt mult mai puternici decât cei bazați pe vectorul de distanță. Ei se adaptează dinamic la condițiile în modificare ale inter-rețelei și, de asemeni, permit selectarea rutelor pe baza unor metrici mult mai reale decât numărul de hop-uri, dar sunt mult mai complicat de instalat și utilizează mai multe resurse pentru procesare decât cele bazate pe vectorul de distanță, care au și avantajul de a fi fost experimentate foarte mult timp.
Algoritmi hibrizi de rutare
Există și protocoale care combină cele două tipuri de algoritmi și altele care utilizează algoritmi complet diferiți.
De exemplu, BGP (Border Gateway Protocol) utilizează un algoritm “path-vector”, similar algoritmului bazat pe vector de distanță, dar comunică informații de rutare mult mai detaliate, ce includ unele atribute ale protocoalelor bazate pe vectorul de distanță și starea conexiunii, dar este mai mult decât o combinație a celor două.
Protocoale de rutare statice și dinamice
Altă clasificare a protocoalelor de rutare este pe baza tipului acestora:
statice – tabelele de rutare sunt completate manual (rămân statice). Se utilizează la configurarea ruterelor.
dinamice – actualizarea tabelelor de rutare se face dinamic cu ajutorul protocoalelor de rutare → de fapt, toate protocoalele sunt dinamice. Nu există “static routing protocol”.
4. PROTOCOALE DE RUTARE UZUALE
protocoale interioare (fac schimb de informații între ruterele din același sistem autonom):
IGRP (Interior Gateway Routing Protocol)– este un protocol de rutare bazat pe vectorul de distanță, proprietate CISCO. A fost creat pentru a elimina limitările RIP în rețelele mari. Metrica include: lărgimea de bandă, încărcarea, întârzierile, fiabilitatea. Numărul maxim de hop-uri: 255
EIGRP (Enhanced Interior Gateway Routing Protocol ) – tot proprietate CISCO, utilizează ‚link state’. Datele colectate sunt memorate în trei tabele:
Tabela vecinilor – stochează informații despre interfețele dispozitivelor direct conectate
Tabela topologiilor – memorează graful aferent topologiei rețelei (este componenta ‚link state’
Tabela de rutare – morează ‚shortest path’ la toate rețelelede destinație (componenta ‚distance vector’)
OSPF (Open Shortest Path First) – este ‚link state’ și utilizează un cunoscutul algoritm (pentru rutare) Dijkstra pentru calculul arborelui căilor cele mai scurte.
Utilizează ca metrică costul.
Baza de date ‚Link state’este construită pentru topologia rețelei, care este identică pentru toate destinațiile.
Este succesorul lui RIP pe Internet
OSPFv3 suportă Ipv6
RIP (Routing Internet Protocol) – este unul dintre cele mai răspândite protocoale IGP în rețele interne și mai puțin pe Internet.
Asigură schimbul de informații de rutare, astfel încât routerele să-și poată modifica dinamic informațiile despre conexiunile la rețele – care rețea poate fi accesată, de care router și cât de departe este (numărul de hop-uri)
Deși este încă activ, este considerat ‚obsolete’ de către protocoalele ’link state’ OSPF și EIGRP.
RIP, dezvoltat în 1969, ca parte a ARPANET, utilizează algoritmul bazat pe ‚distance vector’
Metrica utilizată: numărul de hop-uri (numărul maxim permis: 15)
Fiecare router RIP transmite la fiecatre 30 sec (valoare implicită) toate informațiile de actualizare generează un volum mare de trafic !
Rulează deasupra nivelului de rețea și utilizează UDP portul 520 pentru a-și transmite datele
Există RIPv1 și RIPv2 (1994) – ambele utilizează rutarea pe baza adreselor IP, dar RIPv2 proiectat pentru CIDR, dar își menține compatibilitatea cu RIPv1.
protocoale exterioare (lucrează între ruterele din diferite sisteme autonome):
EGP (External Gateway Protocol), care era utilizat pentru conectarea backbone-ului Internetului, declarat acum ‚obsolete’ și treptat înlocuit cu :
BGP (Border Gateway Protocol) –BGPv4 (2002). El menține tabelele de adrese de rețele IP sau „prefixe”, care definesc rețelele ce pot fi accesate între sistemele autonome.Este un protocol ce utilizează algoritmul bazat pe „vector de distanță”. Suportă CIDR și utilizează agregarea rutelor pentru scăderea dimensiunii tabelelor de rutare. BGP asigură rutarea descentralizată Internetul = sistem descentralizat.
SECURITATEA REȚELELOR
Vom discută despre diferitele metode de a asigură securitatea rețelelor.
Prezentare generală a securitatii rețelelor:
securitate fizica
acces fizic la rețele
VPN(Virtual Private Network): cum pot fii utilizate pentru a asigură securitatea comunicatiei.
Firewall
Diferitele tipuri de Firewall
Criptare – sub diferite forme, cum ar fii:
EFS – Encrypted File System care este nou în Windows2000, WindowsXP.
CERTIFICATE – pe care probabil le-ati utilizat pentru a accesă diferite site-uri WEB.
IP Security – protocol utilizat pentru criptare end-to-end
L2TP – Layer 2 Telnet Protocol
SSL – Secure Socket Layer
KERBEROS – preluat din lumea UNIX și care este acum metodă implicită de autentificare în Windows2000 și WindowsXP
1.) Prezentare generală a problemelor de securitate a rețelelor
Inainte de a abordă securitatea rețelei în general, trebuie discutat despre securitatea fizica. Această trebuie deasemeni, acoperita. Rețeauă trebuie protejată atat impotrivă atacurilor din exterior, cat și din interior.
Este foarte usor pentru cinevă care intră în firma, instalează un sistem de monitorizare pentru a obtine parole de acces în rețea, sau alte metode de a penetră sistemul, dacă se cheltuiesc mii de dolari pentru Firewall-uri scumpe pentru a protejă rețeauă impotrivă atacurilor din afara, dar nu se face nimic pentru securitatea internă securitatea fizică este la fel de importantă ca și cea virtuala.
I.) Trebuie efectuate regulat audit-uri de securitate,cu alte cuvinte:
stabileste physical enviroment
stabileste nivelul amenintarilor care poate să apara
ce probleme pot să apară și de ce
Auditul securitatii trebuie facut regulat. Dacă se face o dată pe an nu inseamnă nimic, deoarece amenintarile de securitate se modifica, dinamică industriei se modifică și apar mereu noi amenintari și posibilitati de penetrare a sistemului.
ÎI.) Trebuie stabilite și realizate elemente de securitate fizica:
accesul în cladire: cand se face auditul de securitate trebuie în fapt determinat unde există slabiciuni în sistem și trebuie luate masuri în consecinta.
accesul la calculatoare, în cameră serverelor, etc utilizare de : smart-card, sisteme biometice: exemplu scanarea retinei.
Primă metodă de prevenire a intruziunii în sistem il reprezintă restrictiile prin parole.
Restrictii prin parole:
parole complexe
istoricul parolelor
redenumirea contului de administrator
Asigurati-va de complexitatea parolelor: nu numele sotului, copiilor, cainelui, masină preferată asă cum se utilizează uzual.
Un hacker care stă de vorbă cu un astfel de utilizator poate află foarte repede toate informațiile necesare pentru a penetră sistemul.
Parolă = combinatie de caractere alfa-numerice.
De asemeni trebuie pastrat istoricul parolelor, astfel incat un utilizator să nu isi poate schimbă parolă intr-ună care a mai fost utilizata, dacă nu a trecut cel putin sase luni. Utilizatorii nu au voie să comute de pe parolă test1 pe test2 și inapoi, asă cum se intamplă cand utilizatorii comută de pe o parolă pe altă din timp în timp.
Redenumeste contul de administrator: în diferite sisteme de operare există diferite nume pentru contul de administrator.
NOVELL: Supervisor
WINDOWS: Administrator
Oamenii care lucrează în domeniul rețelelor cunosc denumirea contului “Administrator” și pot incepe hacking cu acest cont dacă au toate informațiile necesare. Deci redenumeste contul astfel incat să nu-l sugereze pe cel de administrator sau creează un cont separat de administrator și setează pentru contul de administrator drepturi uzuale – nu drepturi de administrator.
INFRASTRUCTURA
inlocuirea Huburilor cu Switchuri: se creează domenii de coliziune diferite astfel incat dacă cinevă instalează un sniffer, el va acces numai la informații din respectivul domeniu de coliziune – numai pentru un singur port al switchului.
Instalarea de software pentru Intrusion Detection sau Sistem. În acest caz sistemul va putea recunoaste orice intruziune din afară sau prezentă în sistem.
2.) VPN – Virtual Private Network
Utilizate pentru a furniză access sigur la rețea viă Internet:
PPTP
L2TP ( cu IPSEC)
VPN furnizează comunicatie sigură printr-un mediu nesigur(Internetul). Deci permite ca două gazde sau două rețele să comunice sigur viă Internet. Pentru această utilizează două mecanisme:
PPTP – Point To Point Tunneling Protocol
L2TP(cu IPSEC) – Layer 2 Tunelling Protocol
L2TP nu furnizează criptare, de aceea este utilizat impreună cu protocolul IPSecurity.
1 Home user sau INTERNET
mobile computer
192.168.2.100
2
TUNEL
63.10.150.105
63.10.150.100
VPN creează o sesiune criptată (un tunel particular) între două stații conectate prin INTERNET. Să presupuem ca 1 este o gazdă de pe INTERNET, iar 2 intrarea intr-o rețea mare.
1 se conectează de două ori la rețeauă 63.10.x.x
o dată, să spunem, prin dial-up la internet și
a două oară prin tunelul sigur creat de VPN.
2 îi alocă lui 1 o adresă IP suplimentară de pe propriă rețea, de exemplu 63.10.150.105, ceea ce îi va permite să comunice în cadrul rețelei 63.10…….
Dar orice informație circulă de la 1 rețea este criptată (circulă prin tunel)
fig.2
Vom avea și un PPP adapter (Point-to-Point Protocol)– Interfață pentru serverul RAS (Remote Acces Server). Această stație va funcționa ca server VPN.
63.10.150.105 este adresă IP a interfetei PPP.
Procesul de creare a conexiunii VPN pentru conectarea la serverul VPN la distanță. Procesul este similar conectării la un server la distanță.
cmd Ipconfig (vezi fig.2).
My Network Places Properties Make New Connection
Network Connection Wizard
Dial-Up to Private Network (implicit)
Dial-Up to Internet
Connect to a Private Network through the Internet.
( Create VPN)
NEXT Destination Address
Host name or IP address
Aici poate fi introdusă 63.10.150.105
și 192.168.2.100
NEXT For all users VPN (name of this connection) Finish se solicită user name: Administrator password connect Registering your computer on the network VPN is now connected.
În task bar va aparea simbolul
Dublu – click se afisează fereastră de stare
VPN STATUS
Connection
Status: Connected
Duration:
Activity
Sent –– –– Received
Properties Disconnect
Close
CMD IpConfig acum avem 3 adrese IP.
Fig.5
Propriă adresă IP: 192.168.2.100
Adresă IP a serverului VPN: 63.10.150.100
Adresă IP care a fost alocată de VPN: 63.10.150.105
Aceasta se alocă dinamic pentru a putea accesa resursele serverului VPN și în final resursele rețelei VPN.
Ceea ce trebuie reținut este faptul că conexiunea intre gazdă 1 și serverul VPN este criptata. Discutand despre criptare există 2 opțiuni:
PPTP – Point to Point Tunnelling Protocol:
– utilizat pentru criptare și trimiterea prin tunel a pachetelor IP.
L2TP – Layer 2 Tunneling Protocol:
utilizat pentru trimiterea prin tunel a pachetului IP.
utilizarea IP SEC pentru criptare
mai multe nivele de securitate
PPTP – este mult mai larg implementata, în primul rând datorită faptului că este sustinută de clientii Windows VPN: Windows9x, Windows 2000, Windows ME, Windows XP.
L2TP – este suportat numai de Windows 2000 și Windows XP
Lă creearea unei rețele VPN trebuie avut grijă ca ambele capete ale conexiunii să suporte aceleasi mecanisme de criptare implementate.
PPTP utilizează MPPE = Microsoft Point to Point Encryption – mecanismul de criptare peste VPN.
PPTP suportă numai nivelul utilizator pentru autentificare.
P2TP suportă autentificarea la nivel de stații prin utilizarea certificatelor și apoi autentificare la nivel de utilizator
CERT
Autentificarea utilizatorilor are loc la nivelul protocolului PPP dar autentificarea la nivel de stație se face cu
CHAP – Challenge Handshake Authentification Protocol sau
versiunea Microsoft a acestuiă MS-CHAP sau
noua versiune (tot Microsoft) MS-CHAP V2 –ceea ce face diferite cele 2 versiuni este ‘mutual authentification’
Clientul se autentifică serverului.
Serverul se autentifică clientului
CLIENT
Server
Ambele părți se asigură că cel cu care comunică este cine spune că este.
IPSec (IP Security Protocol)
Suportă criptare end-to-end.
legătură directă
sau
infrastructură
nesigură
Criptarea Nu interesează Decriptarea
informațiilor faptul că pachetele sunt sau informațiilor
nu criptate
IPsec lucrează la nivelul 3 al modelului OSI (rețea) orice aplicație care lucrează la nivelul 3 poate utiliza avantajele IPSec.
TELNET FTP HTTP
IPSec suportă criptarea end – to – end (implementează criptarea)
Pentru Windows2000 și WindowsXP este important pentru ceea ce inseamnă politici:
IPSec Policies
Pot fii implementate pe:
stații locale
grupuri
Două PC-uri care comunică sigur prin IPSec trebuie obligatoriu să folosească o metodă de autentificare și să stabilească ceea ce se numeste SA (Security Association) – mai ales pentru Windows 2000.
Se utilizează certificate pe ambele stații cu protocoale KERBEROS.
Stațiile care comunică în cadrul aceluiași domeniu sau între domenii de încredere.
Fie se utilizează protocoale KERBEROS pt autentificarea ambelor stații, fie se utilizează PRE-SHARED KEY(secretă), cel mai putin sigur dintre cele 3 mecanisme (Certificate, Kerberos, Preshared-Key) dar incă valid.
Pre-shared Key semnifică faptul ca ambele stații care comunică (de exemplu își trimit mesaje email) au implementată aceeasi pass-phrase pe ambele stații.
Cel mai sigur – utilizarea certificatelor Kerberos – este o solutie foarte bună pentru comunicarea inter-domenii sau între domenii de încredere.
3.) FIREWALL
LAN
FIREWALL FIREWALL
Firewall-ul este un dispozitiv software/hardware destinat aparării LAN-ului împotrivă intruziunii din Internet, din lumea “de afara”. Dar firewall-ul poate, de asemeni, blocă o parte a LAN-ului de alta sau accesul la anumite servicii din Internet.
FIREWALL separă portiuni ale rețelei interne
a.) Firewall – software
Firewall poate realiza mai multe funcțiuni și poate proteja în mai multe feluri.
cea mai cunoscută funcție: permite traficul prin anumite porturi și blochează traficul prin altele.
poate permite traficul SMTP prin portul 25 sau POP3 prin portul 110
poate permite accesul la portul 80 – HTTP
poate blocă accesul din interior la un server FTP
dacă o gazdă din exterior doreste să acceseze o aplicatie din LAN, accesul poate fii respins
Firewall-ul poate realiză aceste funcțiuni prin 3 mecanisme diferite, care dau 3 tipuri diferite de firewall-uri:
Packet filters – este cel mai simplu și foarte rapid
Port TCP / UDP
Adresă sursă sau destinatie
Toate pachetele ajung la firewall și în funcție de adresă IP, de portul TCP sau portul UDP de adresă sursei sau destinatiei și funcție de regulile care au fost implementate pachetele sunt lasate să treacă sau sunt respinse( aruncate ) mecanism foarte simplu, rapid. Lucrează la niv. Superioare ale modelului OSI – acceptă / respinge traficul foarte rapid. Acest tip de firewall NU contine inspectiă pachetului, nu se uită în interiorul acestuiă ci numai la headerul acestuia, citeste adresele, portul și pachetul este acceptat sau respins
Stateful Packet Inspection: pe langă funcțiunile anterioare este analizat și continutul pachetului și sunt cautate anumite cuvinte cheie în interiorul pachetului sau elemente cheie. Este analizat fiecare tip de date, pentru a gasi componente cheie care să permită sau să respingă pachetul respectiv.
Application gateway(Proxy Server): Proxy server este probabil cel mai robust dintre toate cele trei tipuri de firewall, acestă avand funcțiuni suplimentare fată de tipurile prezentate anterior.
Consideram o stație care funcționează ca Proxy – poate funcționă ca un gateway pentru o rețea.
PROXY
Aplicatie
Autentificare utilizator
Apartenentă la un grup
etc
Proxy serverul poate face inspectiă pachetelor, poate acceptă sau respinge traficul, poate blocă porturi de ex: TCP sau UDP, dar mai poate avea și alte funcțiuni – blocarea traficului pe bază aplicatiei sau pe bază autentificarii utilizatorului apartenentei la un grupt etc. De exemplu există grupul vanzari care trebuie să aibă acces la FTP. Utilizatorii grupului “Vanzari” vor trimite pachetele dar altii nu.
Alt beneficiu al serverelor proxy este acelă ca maresc viteză de navigare. Consideram catevă stații legate la rețea:
INTERNET
Proxy
WEB SERVER
WWW…….
O stație accesează serverul WEB și informațiă se intoarce la client. Dar informațiă este de asemeni memorată în cache-ul proxy-ului acum, dacă un alt utilizator doreste accesarea aceleiasi pagini web nu mai trebuie să traverseze Internetul ci o iă direct din cache-ul proxy-ului.
Alte solutii firewall permit conexiuni end-to-end
A B
Proxy server-ul nu permite comunicatiă punct – la – punct – totul trece prin serverul Proxy. Proxy poate realiză NAT( Network Address Translation) deci va avea 2 interfete: locală (privata) și cea legată la Internet tot ceea ce vine din lumea exterioară trece prin adresă IP a Proxy-ului. Acestă este un mare beneficiu pentru securitate deoarce comunicatiă este controlata.
Ceea ce s-a discutat pană acum despre Firewall se referea la componente software.
Firewallu-ul poate insă fii realizat și ca un dispozitiv hardware. EX: CISCO PIX(Proxy serie IX)
Acestă este un dispozitiv hardware foarte robust, mult mai ieficient decat solutiă software, deoarece este conceput special pentru a realiză anumite funcții, nu este asociat unui software care mai indeplineste și alte funcțiuni.
CISCO PIX suportă pană la 500.000 conexiuni simultan multe stații se pot conectă simultan, unele pentru a realiză VPN, Firewall.
În funcție de nivelul de funcționalitate dorit: costul CISCO PIX 15000-20000 $ la nivel inferior. Dacă există utilizatori care se leagă la dial-în sau clienti VPN sau site – to – site prin VPN.
REȚEA Internet REȚEA la DISTANȚĂ
VPN
4.) CRIPTAREA CU CHEI PUBLICE/PRIVATE
Criptare
Semnatură digitala
Cripatarea cu chei publice/private este un proces în 2 pasi. Dacă se criptează de exemplu E-mail sau se semnează digital emailul pentru a dovedi ca esti cine spui ca esti.
Cheie publică J
J Cheie publică S
J doreste să comunice singur cu S
J trimite lui S cheiă publica
S îi trimite lui J cheiă să publica
Cheile publice sunt acum folosite pentru criptarea informației ce se transmite(mesaj). Dacă se transmite un email care este semnat digital, această inseamna
J
S
ca se ataseajă cheiă publică J mesajului trimis lui S, iar S memorează în listă de adrese(address book) această cheie publică J.
S utilizand această cheie publică J poate criptă propriul mesaj pe care-l trimite lui J. J decriptează mesajul utilizand cheiă să privata.
Deci se utilizeaza:
Cheie publică pt criptare
Cheie privată pentru decriptare deoarece se utilizează criptare asimetrica
De fapt se utilizează criptare hibridă = clasică + cu chei publice.
Cheiă publică este folosită pentru criptarea unei chei de sesiune cu care se face criptarea conventională a mesajului – de 10.000 ori mai rapid decat criptarea cu cheie publica. EX: PGP.
Decriptarea cheii de sesiune se face cu ajutorul cheii private, care apoi este folosită la decriptarea mesajului. Cheile publice utilizează algoritmi complecsi și valori foarte mari pentru criptare 40 biti sau chiar 128 biti(2128 combinatii posibile).
În cazul în care se doreste semnarea digitală a mesajului = metodă de a asigură ca un document este autentic se utilizează standardul DSS (Digital Signature Standard), care este bazat pe o metodă de criptare cu cheie publica.
Semnatură digitala(poate fi text, sunet sau nimic) criptată cu cheiă privată asigură receptorul ca a fost semnată de cinevă care are o anumită cheie privată și ca mesajul nu a fost alterat pe drum. Semnatură digitală se atasează la sfarsitul mesajului clar sau acestea pot fii criptate cu cheiă publică a receptorului.
Algoritm pentru
semnaturi centraliz Cheie privată Cheie Publica
Text Text Text
Initial semnat verificat
Semnatură Verificare
Dacă semnatură poate fii decriptată cu cheiă tă publică tu ai initiat-o. Semnaturile digitale sunt utilizate mai mult decat criptarea. Nu contează dacă toti află ca ai depus $1000 în cont,dar vrei să fii sigur ca tranzationezi cu angajatul bancii !!!!
Certificate digitale
Problemă cu sistemele de criptare cu chei publice constă în faptul ca utilizatorii trebuie să fie permanent atenti să cripteze cheiă publică corectă a destinatarului.
În caz contrar este posibilă “furnizarea” unei chei publice cu numele utilizatorului destinatar – datele criptate – și interceptate – adresate desinatarului ajung în altă parte. Certificatele digitale(cert) simplifică sarcină de a stabili dacă cheiă publică respectivă apartine posesorului anuntat.
Un certificat digital este o informație inclusă cu cheiă publică care permite verificarea ca cheiă este validă și apartine cui spune.
Certificatul digital constă din 3 elemente:
cheiă publica
informațiă de certificat (de regulă identitatea utilizatorului). Certificatul poate contine și informații suplimentare EX: grad de creditare, permisului de acces la fisiere
ună sau mai multe semnaturi digitale
Scopul semnaturii digitale pe certificatul digital este să confirme ca informațiă de pe certificat este atestată de o persoană sau o entitate de incredere
Această tertă parte de incredere poate fii
VERISIGN
THAWTE
Certificat
X509
J S
S nu are incredere în J, dar J îi furnizează certificat semnat de Verisign sau THAWTE în care are incredere.
Internet Explorer Properties Content Certificates Listă Trusted Root.
Certification Authorities: Versign,Thawte etc.
Tranzitivitatea increderii:
A are incredere în B
B are incredere în C A are incredere în C
S are incredere în Versign.
Verisign i-a eliberat Certificat lui J.
S are incredere în J
EFS = Encripted File System
Mecanism care permite criptarea informației pe hard disk Windows2000 și WindowsXP, fiind o caracteristică al sistemului de fisiere NTFS.
Se genereaza
FEK – file encription key(o cheie simetrica)
Secrețele_firmei.doc
FEK( în headerul documentului)
Document criptat cu FEK se criptează cu Public Key.
Este de asemeni criptat documentul cu altă cheie publică a lui Recovery Agent pe cazul cand persoană respectivă pleaca, de exemplu, să fie posibilă recuperarea continutului documentului: se utilizează cheiă privată pentru a decriptă documentul, se deschide documentul respectiv, se extrage FEK, care se utilizează pentru decriptarea documentului propriu-zis.
Deci există 2 chei publice cu care este criptat respectivul document.
Criptarea este mai bine să se facă pentru director, pentru ca se criptează și fisierele temporare.
SSL – Secure Sockets Layer
http = port 443
Pagină Web VERISIGN
Web server
3.)Criptarea inf. Catre Server
1.)Stabilirea Conexiunii SSL
CERT 2.) Download CERT O dată downloadat
Este valabil și pt conectarile ulterioare
Se instaleaza
Odată instalat certificatul informațiă poate fii criptată catre server – one way encryption. Serverul nu are cheiă publică a utilizatorului. Se completează datele cerute de pe pagină Web: nume, adresa, credit card number etc. și este transmisă serverului, dar criptat, deoarece a fost downlodat certificatul(în coltul browserului va aparea o mică cheiă sau lacat care arată ca este vorbă de o conexiune sigura).
Chiar dacă cinevă interceptează informațiă transmisa(criptată cu cheiă publică a serverului) ea nu poate fii decriptată pentru ca nu are cheiă privata.
METODĂ DE AUTENTIFICARE
KERBEROS
Este metodă de autentificare implicită în Windows2000 și WindowsXP. Provine din lumea UNIX. Limitele de securitate poartă denumirea de REALM (sub KERBEROS) spre deosebire de WindowsNT și Windows2000 unde se numesc domenii.
KERBEROS are 3 componente principale:
KDC –
AS – Authentication Service
TGS – Ticket Granting Service
domain controller
AS
KDC TGS
TGT
Logon
Session Server
Key
NUGET.COM
Consideram un domeniu Windows2000.
Logon validare pe server se prezintă autentificarea serviciului de autentificare AS de pe KDC. Dacă se validează îi este furnizat un TGT, valid numai pe domeniu. Dacă vreau să accesez serverul, prezint lui K tichetul TGT serviciul TGS imi furnizează un tichet de sesiune sau o cheie de sesiune(Session Key) pt server. Toate reprezintă comunicatii criptate și imi permite conectarea numai la server – serverul stie ca sunt cine spun, eu stiu ca serverul este cine spune ca este.
M-am prezentat cu un tichet pe care numai acest server il poate decripta.
Deci este o autentificare mutuala.
Acum pot accesa resursele serverului.
Dacă se extinde scenariul cu mai multe domenii, fiecare are KDC propriu.
KDC
TGT KDC
KDC
Session Key
Refferal Ticket Serverul pe care vreau
Pt KDC din radacină să il accesez
Contactez KDC din radacina
Reply refferal ticket pt KDC
din cealaltă ramura
Contactez KDC primesc ticket de sesiune, contactez serverul
Aceste comunicatii nu sunt criptate, ele furnizează numai metode pentru validarea sau autentificarea utilizatorului catre server. Este necesară deci utilizarea IPSec.
MODEL PRACTIC DE SUBNETARE
Pasul I – Analiza cerințelor organizației
Cărei clase de adrese îi aparține blocul de adrese IP alocat ?
Câte subrețele fizice sunt necesare azi ?
Câte subrețele fizice se estimează a fi necesare în viitorul apropiat ?
Câte gazde trebuie să aibă cea mai mare subrețea azi?
Câte gazde trebuie să aibă cea mai mare subrețea în viitorul apropiat?
Numărul de subrețele necesar și numărul de gazde / subrețea
Pasul II – Partiționarea biților din ID-ul de gazdă
Reamintim: fiecare bit luat pentru ID-ul de subrețea:
Dublează numărul subrețelelor
~ înjumătățește numărul gazdelor de pe fiecare subrețea
Exemplul 1:
Rețeaua clasă C: 212.82.24.0
Sunt necesare 7 subrețele cu câte 25 gazde / subrețea
Există o singură soluție posibilă:
Nr.subrețele: 2N >= 7 N=3 (23 = 8)
Nr.gazde: 2N – 2 >= 25 N=5 (25 – 2 = 30)
8 subrețele, cu 30 gazde / subrețea
Exemplul 2:
Rețeaua clasă B: 168.177.0.0
Sunt necesare 15 subrețele, cu 465 gazde / subrețeaua cea mai mare
Există patru soluții posibile:
Nr.biți subrețea:
4 biți 16 subrețele / 4094 gazde
5 biți 32 subrețele / 2046 gazde
6 biți 64 subrețele / 1022 gazde
7 biți 128 subrețele / 510 gazde
Toate soluțiile satisfac condițiile:
Nr.subrețele: 2N > 15
Nr.gazde: 2N – 2 > 465
Luând în considerare ți dezvoltarea în viitor, 16 subrețele limitează dezvoltarea, ca și soluția cu 510 gazde.
În funcție de estimările viitorului, se va alege soluția cu 5 sau 6 biți pentru ID-ul de subrețea. Dacă nu se pot face estimări referitoare la viitor, se alege soluția cu 5 biți pentru ID-ul de subrețea, deoarece numărul gazdelor crește mult mai repede decât cel al subrețelelor.
32 subrețele, cu 2046 gazde / subrețea
Observație:
În cazul când nu există nici o soluție posibilă, de exemplu dacă ar fi fost necesare 50 subrețele, cu 2465 gazde / subrețeaua cea mai mare, fie se divide o subrețea mai mare în mai multe subrețele mai mici, fie se utilizează mai multe blocuri de adrese IP.
Pasul III – Determinarea măștii de subrețea personalizate
Pentru calculul mășii de subrețea personalizate:
se scrie masca de subrețea în binar (cu valorile 0 înlocuite cu 1 în ID-ul de subrețea)
se calculează masca de subrețea în formatul zecimal cu punct.
Exemplul 3:
Rețea clasă C: 212.123.30.0
3 biți pentru ID-ul de subrețea
Masca de subrețea:
binar: 11111111 . 11111111 . 11111111 . 111 00000
zecimal: 255 . 255 . 255 . 224
În notația CIDR: /27
Exemplul 4:
Rețea clasă B: 168.177.0.0
5 biți pentru ID-ul de subrețea
Masca de subrețea:
binar: 11111111 . 1111111 . 11111111 . 11111 000
zecimal: 255 . 255 . 255 . 248
În notația CIDR: /21
Pasul IV – Determinarea identificatorului de subrețea și a adresei IP a subrețelelor
Se lucrează în binar
Reamintim:
numerotarea subrețelelor începe de la #0 !
ID-ul de subrețea = nr. subrețelei
Adresa IP a subrețelei se determină înlocuind (în binar) a număeului subrețelei în porțiunea ID-ului de subrețea în adresa IP a rețelei:
Clasa A: x . ID-subrețea 0
Clasa B: x . y . ID-subrețea 0
Clasa C: x . y . z . ID-subrețea 0
Exemplul 5:
Rețea clasă C: 207.17.20.0
3 biți pentru ID-ul de subrețea
8 subrețele: #0 – #7
Adresa IP a rețelei (în binar): 11001111 . 00010001 . 00010100 . 000 00000
acești biți vor fi înlocuiți
pentru fiecare subrețea
a.) Pentru subnetare cu număr de biți <8 pentru ID-ul de subrețea:
Incrementul = reprezintă valoarea ultimului bit din ID-ul de subrețea – în exemplul de mai sus: 32
Biții din ID-ul de subrețea
ID-ul de subrețea al subrețelei #N:
Incrementul * N
Exemplul 6
Rețea clasă B: 136.117.0.0
5 biți pentru ID-ul de subrețea
32 subrețele: #0 – #31
211 – 2 = 2046 gazde / subrețea
Adresa IP a rețelei (în binar): 10001000 . 01110101 . 00000 000 . 00000000
acești biți vor fi înlocuiți
pentru fiecare subrețea
Incrementul = valoarea ultimului bit din ID-ul de subrețea: 8
Biții din ID-ul de subrețea
b.) Pentru subnetare cu număr de biți >8 pentru ID-ul de subrețea
Exemplul 7
Rețea clasă B: 136.117.0.0
10 biți pentru ID-ul de subrețea
210 = 1024 subrețele: #0 – #1023
26 – 2 = 62 gazde / subrețea
Adresa IP a rețelei (în binar): 10001000 . 01110101 . 00000000 . 00 000000
acești biți vor fi înlocuiți
pentru fiecare subrețea
c.) Pentru subnetare cu număr de biți >16 pentru ID-ul de subrețea
Exemplul 8
Rețea clasă A: 21.0.0.0
21 biți pentru ID-ul de subrețea
221 = 2 097 152 subrețele: #0 – #2097151
23 – 2 = 6 gazde / subrețea
Adresa IP a rețelei (în binar): 00010101 . 00000000 . 00000000 . 00000000
acești biți vor fi înlocuiți
pentru fiecare subrețea
Pasul V – Determinarea adreselor de gazdă pentru fiecare subrețea
Odată cunoscute adresele IP ale fiecărei subrețele, se poate face ușor:
alocarea adreselor IP pentru gazde, prin substituirea numerelor 1, 2, 3, . . .
Ultima adresă de gazdă dintr-o subrețea se calculează ca adresa următoarei subrețele – 2
Adresa de broadcast se calculează ca adresa următoarei subrețele – 1
Exemplul 9
Rețeaua 136.117.0.0 subnetată /21 (din exemplul 6)
11 biți pentru ID-ul de gazdă (32 – 21 = 11)
211 – 2 = 2046 gazde / subrețea
Adresa IP a rețelei (în binar): 10001000 . 01110101 . 00000 000 . 00000000
Exemplul 10
Rețeaua 136.117.0.0 subnetată /26 (din exemplul 7)
6 biți pentru ID-ul de gazdă (32 – 26 = 6)
26 – 2 = 62 gazde / subrețea
Adresa IP a rețelei (în binar): 10001000 . 01110101 . 00000000 . 00 000000
Pasul VI – Alocarea adreselor de gazdă în fiecare subrețea – crearea structurii rețelei subnetate
Întocmirea schemei de structură fizică a rețelei subnetate
Alegerea router-elor necesare realizării conexiunii subrețelelor (tip, număr de interfețe ethernet și seriale, etc)
Asocierea interfețelor router-elor cu subrețelele (default gateway) la care sunt legate – alocarea adreselor IP
Alocarea adreselor IP tuturor dispozitivelor de rețea
Exemplul 11
Se consideră rețeaua din exemplul 5 – Rețea clasă C: 207.17.20.0
subnetată în 8 subrețele (ID-ul de subrețea – 3 biți)
Nivelul 3 – REȚEA, al modelului OSI
Conține protocoale care utilizează rutarea și adresarea:
IP – Internet Protocol
IPXNovell Internetwork Packet eXchange
DDR – Apple Talk Dynamic Data Routing
1. Funcții uzuale nivel 3
Un protocol care definește rutarea și adresarea este considerat ca aparținând nivelului 3 OSI. OSI definește un protocol unic de nivel 3 denumit „ConnectionLess Network Service” (CLNS), dar rareori este găsit ca atare în rețele.
2. Rutarea – alegerea căii (Path Selection)
Trasmiterea datelor end-to-end logic PC1 R1 R2 R3 PC2.
Logica utilizării de către fiecare dispozitiv diferă puțin. Deoarece PC2 nu este pe aceeași rețea Ethernet cu PC1, PC1 trebuie să trimită pachetul ruterului legat la rețeaua lui PC1. Stația emițătoare trimite un cadru (nivelul data link), peste mediu, ruterului. Acest cadru conține pachetul în porțiunea lui de DATE.
Acest cadru utilizează adresarea corespunzătoare nivelului 2 (data link) în headerul cadrului pentru a se asigura că ruterul (nearby – poarta implicită) primește cadrul. Ideea principală este că inițiatorul datelor nu cunoaște structura rețelei. El știe numai cum să trimită datele celui mai apropiat ruter (default router):
PC1 – trimite pachetul lui R1
Logica R1 – R2 – rutarea datelor peste rețea
R1 și R2 utilizează același proces pentru a ruta pachetul – Tabela de rutare pentru fiecare anume protocol al nivelului de rețea conține o listă a adreselor universale de rețea ale grupurilor (groupings). În locul unei intrări în tabela de rutare pentru fiecare adresă individuală de destinație, există o singură intrare / grup. Ruterul compară adresa de rețea de destinație din pachet cu înregistrarea din tabela de rutare și face alegerea unde să trimită pachetul în continuare. Sistemul este similar sistemului de cod poștal.
Orice ruter intermediar repetă procesul. Adresa rețelei de destinație din pachet identifică grupul căruia îi aparține destinația. Tabla de rutare este analizată pentru a găsi înregistrarea corespunzătoare, ceea ce-i va permite ruterului (R3) conectat la respectiva rețea sau subrețea (a gazdei de destinație) să trimită pachetul.
Logica la R3. Livrarea datelor la capătul de destinație
Ultimul ruter de pe cale, R3, utilizează aceeași logică cu R1 și R2 cu o mică diferență: R3 trebuie să trimită pachetul direct lui PC2, nu altui ruter !!!
Interacțiunea între nivelul de rețea și nivelul Data Link
În figura de mai sus, au fost utilizate 4 feluri de legături de date pentru a transmite datele. Când protocolul nivelului de rețea procesează pachetul, el decide cărei interfețe a ruterului trebuie trimis pachetul. Înainte ca biții să ajungă efectiv pe respectiva interfață fizică, nivelul de rețea trebuie să transmită pachetul protocoalelor nivelului Data Link, care, la rândul lor, cer nivelului fizic să transmită efectiv datele. Nivelul Data Link adaugă headerul și trailerul corespunzător pachetului, creând un cadru, înainte ca aceste cadre să fie trimise pe fiecare rețea fizică.
Procesul de rutare transmite pachetul și numai pachetul de la un capăt la altul prin rețea, descărcând headerele și trailerele nivelului Data Link pe parcurs.
Nivelul de rețea procesează livrarea pachetului end-to-end, utilizând headere și trailere succesive numai pentru a face ca pachetul să ajungă la ruterul sau gazda următoare de pe cale.
Figura următoare figurează procesul evidențiând și încapsularea.
Deoarece ruterele construiesc noi headere și trailere ale nivelului Data Link și deoarece noile headere conțin adrese MAC (Data Link), PC-urile și ruterele trebuie să aibă o modalitate de a decida ce adrese MAC trebuie să utilizeze. Un exemplu este protocolul ARP (Adress Resolution Protocol), care asigură învățarea dinamică a adreselor MAC ale gazdelor IP conectate la un LAN.
Pe scurt, procesul de rutare = trimiterea pachetelor de nivel 3 (rețea), denumite și ’Layer 3 Protocol Data Units’ (L3 PDU), pe baza adresei destinației de nivel 3 din pachet. Procesul utilizează nivelul Data Link pentru încapsularea pachetelor de nivel 3 (rețea) în cadre de nivel 2 (Data Link) pentru transmiterea peste fiecare legătură Data Link succesivă.
Adresarea la nivelul 3 (Rețea)
Una din funcțiile principale ale adresării de nivel 3 constă în aceea că adresele au fost proiectate astfel încât să permită gruparea logică a adreselor – formarea de grupuri sau seturi de adrese – pe baza unor valori numerice din adresă.
În TCP/IP acest grup se numește rețea sau subrețea
În IPX/SPX se numește rețea
În Apple Talk se numește cable range
Adresele nivelului de rețea sunt grupate pe baza dispunerii fizice în rețea. Regulile de grupare diferă, dar conceptele sunt identice.
În fiecare din cele trei protocoale ale nivelului rețea, toate dispozitivele amplasate pe părți opuse ale ruterului trebuie să aparțină unor grupuri diferite de nivel 3 (rețea).
Rutarea se bazează pe faptul că adresele nivel 3 sunt grupate. Tabelele de rutare pentru fiecare protocol al nivelului de rețea are 1 înregistrare pentru fiecare grup (și nu pentru fiecare adresă individuală).
Ex. Ethernet cu 100 gazde TCP/IP
Ruterul ce trebuie să trimită pachete tuturor acestor gazde, trebuie să aibă o singură înregistrare în tabela de rutare – acesta este motivul pentru care ruterele pot trimite pachete către sute de mii de destinații ceea ce este foarte eficient.
Cu considerentele de mai sus, majoritatea schemelor de adresare de nivel 3 au fost create având următoarele obiective:
Spațiul de adrese trebuie să fie suficient de mare pentru a permite adresarea celei mai mari rețele posibil de proiectat în care să fi utilizat protocolul
Adresele tehnice trebuie să permită alocarea unică
Structura adreselor trebuie să permită o anumită grupare a lor, astfel încât mai multe adrese să poată aparține aceluiași grup
Este de dorit o alocare dinamică a adreselor
Adresele nivelului 3 trebuie să fie unice prin comparație cu altele aparținând tot nivelului 3.
Exemplu de structură de adrese
Fiecare adresă de nivel 3 conține numai 2 părți: prima identifică grupul toate instanțele adreselor cu aceeași valoare a primei părți sunt toate gazde aparținând aceleiași rețele cu același ID de rețea.
Protocoalele de rutare
De regulă, tabele de rutare conțin toate infomațiile de rutare corecte necesare rutării. Înregistrările sunt construite dinamic prin utilizarea protocoalelor de rutare. Protocolul de rutare învață despre toate locațiile grupurilor (nivelului de rețea) dintr-o rețea și informează (avertizează) celelalte rutere despre aceste locații ale grupurilor. Ca rezultat, fiecare ruter poate să-și construiască dinamic o tabelă de rutare bună. Protocoalele de rutare definesc formatul mesajelor și procedurile, ca orice alt protocol. Scopul fiecărui protocol de rutare este de a-și completa tabela de rutare cu toate grupurile de destinație cunoscute și cu cea mai bună cale de a ajunge la fiecare grup.
Terminologia:
Protocolul de rutare învață rutele și le înregistrează în tabela de rutare. Dacă ruterele utilizează, de exemplu, RIP (Routing Information Protocol) pentru a învăța rutele, rezultă că RIP este un protocol de rutare.
Un protocol rutabil (routed protocol) este tipul de protocol care asigură transmiterea sau rutarea peste rețea a pachetului. De exemplu, NetBIOS nu este un protocol rutabil, deoarece el nu poate ruta pachetele peste rețea (peste ruter).
GRUPAREA ADRESELOR
Prima versiune de grupare în ceea ce numim azi Internet a fost pentru conectarea siturilor de cercetare. Convențiile referitoare la adresa IP și gruparea adreselor face ca rutarea să fie ușoară: de exemplu, toate adresele care încep cu 8 se găsesc în rețeaua Token Ring din stânga; toate adresele care încep cu 130.4 sunt pe rețeaua Ethernet din dreapta; 199.1.1 este prefixul liniei seriale. Conform acestor convenții, ruterele își construiesc tabele de rutare cu 3 intrări (pentru exemplul din figură), câte una pentru fiecare prefix sau identificator de rețea.
În concluzie:
Toate adresele IP din același grup nu trebuie să fie separate de un ruter;
Adresele IP separate de ruter trebuie să se găsească în grupuri diferite.
Clase de adrese IP
RFC 790 definește protocolul IP, inclusiv clasele de rețele.
IP definește 3 clase de rețele: A, B și C din care sunt alocate adrese IP gazdelor individuale.
TCP/IP definește 2 clase suplimentare de adrese – clasa D (multicast) și clasa E (experimental).
Pentru a defini o rețea (adresa IP a rețelei), în adresa IP biții corepunzători ID-ului de gazdă sunt înlocuiți cu zero. În exemplul de mai sus:
Rețeaua de clasă A 8.0.0.0
Rețeaua de clasă B 130.4.0.0
Rețeaua de clasă C 199.1.1.0
Atenție ! Adresele IP ce au valorile 0 pentru ID-ul de gazdă, reprezintă adresa IP a rețelei și nu poate fi utilizată ca adresă IP validă pentru o gazdă.
Împărțierea rutelor (adreselor IP) pe clase s-a făcut în funcție de dimensiunea rețelelor în tabel sunt prezentate numărul disponibil de adrese IP gazdă pentru fiecare clasă de rețea.
Conceptual, adresa IP a rețelei reprezintă grupul tuturor adreselor IP din rețeaua respectivă.
Obs. În fiecare rețea există 2 adrese rezervate:
adresa rețelei
adresa de broadcast de rețeaua respectivă
Există o multitudine de rețele in clasa A, B, C.
Dacă o firmă dorește conectarea la Internet, atunci trebuie să utilizeze adrese de rețea unice, înregistrate – Network Information Center (NIC) gestionează alocarea adreselor IP.
Există o serie de blocuri de adrese de rețea rezervate (conf. RFC 3330 – Special-Use IPv4 Addresses):
Address Block Present Use Reference
–––––––––––––––––––––––
0.0.0.0/8 "This" Network [RFC1700, page 4]
10.0.0.0/8 Private-Use Networks [RFC1918]
14.0.0.0/8 Public-Data Networks [RFC1700, page 181]
24.0.0.0/8 Cable Television Networks –
39.0.0.0/8 Reserved but subject
to allocation [RFC1797]
127.0.0.0/8 Loopback [RFC1700, page 5]
128.0.0.0/16 Reserved but subject
to allocation –
169.254.0.0/16 Link Local –
172.16.0.0/12 Private-Use Networks [RFC1918]
191.255.0.0/16 Reserved but subject
to allocation –
192.0.0.0/24 Reserved but subject
to allocation –
192.0.2.0/24 Test-Net
192.88.99.0/24 6to4 Relay Anycast [RFC3068]
192.168.0.0/16 Private-Use Networks [RFC1918]
198.18.0.0/15 Network Interconnect
Device Benchmark Testing [RFC2544]
223.255.255.0/24 Reserved but subject
to allocation –
224.0.0.0/4 Multicast [RFC3171]
240.0.0.0/4 Reserved for Future Use [RFC1700, page 4]
Simplitatea schemei de adresare pe clase constă în faptul că apartenența la o clasă este încorporată în adresa IP prin valoarea primului octet cunoașterea clasei permite imediat identificarea ID-ului de rețea și a celui de gazdă.
Dacă un dispozitiv dorește să comunice utilizând TCP/IP, are nevoie de o adresă IP. Adăugând soft-ul și hard-ul corespunzător, va putea trimite și recepționa pachete IP. Orice dispozitiv care trimite și recepționează pachete IP se numește gazdă IP (IP host). Adresa IP constă dintr-un număr de 32 biți, scris, de regulă, în notația „dotted (punct) decimal (fiecare din cei 4 octeți este convertit în valoarea sa zecimală fiecare octet având valori în domeniul 0-255)”.
Fiecare interfață de rețea utilizează o adresă IP unică, deci un calculator cu 2 interfețe de rețea va avea 2 adrese IP unice. Același lucru se întâmplă și cu ruterul, care, de regulă, are mai multe interfețe și va avea câte o adresă IP pentru fiecare interfață.
Gruparea adreselor IP
Prima versiune de grupare în ceea ce numim azi Internet a fost pentru conectarea siturilor de cercetare. Convențiile referitoare la adresa IP și gruparea adreselor face ca rutarea să fie ușoară: de exemplu, toate adresele care încep cu 8 se găsesc în rețeaua Token Ring din stânga; toate adresele care încep cu 130.4 sunt pe rețeaua Ethernet din dreapta; 199.1.1 este prefixul liniei seriale. Conform acestor convenții, ruterele își construiesc tabele de rutare cu 3 intrări (pentru exemplul din figură), câte una pentru fiecare prefix sau identificator de rețea.
Subnetarea IP
Crează un număr foarte mare de grupuri de adrese IP mai mici în raport cu clasele A, B, C convenționale.
Clasele A, B și C continuă să existe, dar o singură rețea poate fi împărțiță în mai multe grupuri mai mici. Subnetarea tratează subdiviziunea unei singure rețele de clasă A, B sau C ca și cum ar fi o rețea de sine stătătoare o singură rețea poate fi împărțită în mai multe (sub)rețele care nu se acoperă.
În această rețeaua din exemplul prezentat există 6 grupuri, fiecare reprezentând o rețea de clasă B. Fiecare dintre rețelele (LAN-urile) legate la ruterele A, B, C, D reprezintă rețele separate. În plus, există 2 interfețe seriale ce compun legătura serială punct – la – punct între ruterele C și D, ce utilizează aceeași rețea, deoarece ele nu sunt separate de un ruter. În final, cele 3 interfețe care compun rețeaua Frame Relay, ale ruterelor A, B și C nu sunt separate de un ruter și vor forma cea de 6 –a rețea.
Fiecare dintre rețelele de clasă B are mai mult de 65000 de adrese de gazdă disponibile – mult mai multe decât ar avea vreodată nevoie o rețea sau LAN sau legătură WAN. De fapt, această structură nici nu ar fi acceptată dacă s-ar dori conectarea la Internet: autoritatea de alocare a adreselor IP nu va aloca 6 numere separate de adrese IP de clasă B. Probabil nu va aloca niciuna, deoarece majoritatea adreselor de clasă B sunt alocate. Probabil, firma respectivă va primi câteva numere de rețea de clasă C și NIC (autoritatea de alocare) va aștepta ca acestea să fie utilizate în cadrul subnetării. Iată cum ar arăta schema de mai sus, mult mai real, utilizând subnetarea:
Și în cazul subnetăriii sunt necesare 6 grupuri, dar aici se utilizează 6 subrețele, fiecare reprezentând o subrețea a unei singure rețele de clasă B: 150.150.0.0, domeniu care se presupune că a fost alocat de către NIC. Pentru a face subnetarea, cel de-al treilea octet (în acest caz) se utilizează pentru identificarea unică a subrețelelor rețelei 150.150.0.0 – se observă că fiecare număr asociat unei subrețele este diferit.
Când se face subnetare, adresa IP este formată din 3 părți: ID rețea, ID subrețea și ID-ul de gazdă:
În cazul subnetării, în loc de a face rutarea pe baza ID-ului de rețea, ruterele pot ruta pe baza unui număr combinat format din ID-ul de rețea și numărul subrețelei – denumite ID-ul de subrețea al adresei.
Adresarea IP cu subnetare utilizează conceptul măștii de subrețea pentru a defini structura adresei IP. Masca de subrețea este tot o adresă pe 32 biți, în care ID-ului de subrețea (respectiv de rețea dacă nu se utilizează subnetare) îi corespund valori de 1 , iar ID-ului de gazdă îi corespund valori de 0 (zero) în binar. Măștile de subrețea în formatul uzual – ’dotted decimal’ pentru cele trei clase de adrese IP convenționale sunt:
În cazul subnetării, împărțirea între ID-subrețea și ID-gazdă nu se mai face rigid (în dreptul punctului de separație între octeții adreselor), ci în oricare punct al adresei. Exemple de adrese valide: 14.32.100.26 – 14.32.100.255.
UTILITARELE NIVELULUI DE REȚEA
ARP și DNS
Proiectanții rețelelor trebuie să facă astfel încât utilizarea rețelelor să fie cât mai simplă: să nu fie necesară memorarea adreselor IP sau adreselor MAC TCP/IP trebuie să cuprindă protocolul care să descopere dinamic informația necesară comunicării, fără ca utilizatorii să cunoască decât un nume. Ar trebui să nu fie necesară nici cunoașterea acestui nume. De exemplu, la deschiderea browser se încarcă automat pagina implicită. Acest nume n-ar trebui privit ca un șir de caractere, ci ca un URL (Universal Resource Locator) ce are încorporat numele paginii web respective.
TCP/IP trebuie să permită calculatorului să găsească o adresă IP pe baza unui nume asociat ei.
TCP/IP trebuie, de asemeni, să ofere o cale de a găsi adresa MAC asociată celorlalte calculatoare din aceeași subrețea.
Pentru a rezolva problema se utilizează 2 protocoale:
DNS – Domain Name System
ARP – Address Resolution Protocol
Stația H cunoaște adresa IP a serverului DNS, deoarece această adresă a fost preconfigurată la setarea protocolului TCP/IP.
Stația H trimite o cerere (request) DNS, solicitând adresă IP pentru numele J; DNS răspunde cu 10.1.1.2.
Adresa DNS poate fi preconfigurată sau învățată prin utilizarea DHCP – Dynamic Host Configuration Protocol.
În continuare stația H are nevoie de adresa MAC a lui J pentru a trimite cadre Ethernet. Protocolul ARP trimite un broadcast în LAN J răspunde cu propria adresă MAC.
ICMP (Internet Control Message Protocol) și
comanda
IP trebuie să aibă posibilitatea verificării conectivității IP utilizarea comenzii PING (Packet Internet Groper).
PING utilizează ICMP – Internet Control Message Protocol pentru a trimite un mesaj denumit ICMP echo request altei adrese IP. Aceasta trebuie să răspundă cu un mesaj denumit ICMP echo reply. Dacă funcționează a fost testată cu succes rețeaua IP.
ICMP nu se bazează pe nici o aplicație, astfel încât el testează efectiv conexiunea IP de bază – nivelele 1, 2 și 3 ale modelului OSI.
ICMP Echo
RARP, BOOTP și DHCP
RARP – Reverse ARP
BOOTP – Boot Protocol
DHCP – Dynamic Host Configuration Protocol
În decursul timpului, 3 protocoale au devenit uzuale unui calculator gazdă pentru a descoperi adresa IP pe care trebuie s-o utilizeze:
Reverse ARP (RARP)
Boot Protocol (BOOTP)
Dynamic Host Configuration Protocol (DHCP)
RARP și BOOTP funcționează similar. Pentru a utiliza unul din aceste protocoale, PC-ul are nevoie de o interfață de rețea. Calculatorul trimite un broadcast LAN cu propria adresă MAC și solicită ca cineva să-i aloce o adresă IP.
RARP nu poate furniza decât adresa IP – nici măcar masca de subrețea (RFC-903)
BOOTP – RFC 1542 – îmbunătățiri față de RARP: poate furniza adresa IP a default gateway si alocare dinamica, subnet mask și alte adrese ale serverelor IP, precum și numele fișierului pe care calculatorul trebuie să-l download-eze.
RARP și BOOTP au fost create pentru stațiile fără hard disc, pentru a furniza în memoria RAM informația necesară comunicării în rețea.
BOOTP furnizează numele unui fișier clientului BOOTP –stație de lucru fără disc, dar are suficientă memorie ROM pentru a boota cu un sistem de operare foarte simplu și a utiliza un protocol foarte simplu Triavial FTP (TFTP), pentru a transfera un fișier ce conține un sistem de operare mai sofisticat în RAM.
RARP și BOOTP nu se mai utilizează azi, una din probleme constând în aceea că un calculator trebuie să opereze ca server, iar serverul trebuie să cunoască adresele MAC ale fiecărui calculator și parametrii de configurare administrare dificilă.
DHCP – care este foarte răspândit în rețelele de azi, rezolvă aceleași probleme ca și RARP și BOOTP, dar oferă mai multe funcții – RFC 2131. DHCP utilizează structura client/server: clientul face o cerere serverului, iar acesta furnizează adresa IP clientului și alte informații de adrese IP a default gateway, masca de subrețea, adresa IP a serverului DNS ș.a. Cel mai mare avantaj al DHCP constă în faptul că serverul DHCP nu trebuie să cunoască toate adresele MAC ale tuturor clienților; DHCP definește un proces prin care serverul cunoaște adresa IP a subrețelei în care se găsește clientul și poate aloca o adresă IP dintr-o multime de adrese IP valide și respectiva subrețea DHCP nu trebuie să cunoască adresa MAC în prealabil. De asemenea, majoritatea informației pe care DHCP o poate furniza, cum ar fi adresa IP a ruterului, implicit este aceeași pentru toate gazdele subrețelei servărul DHCP poate pur și simplu configura informația pe fiecare subrețea și nu pe fiecare gazdă memoreaza timpul de administrare.
DHCP a devenit un protocol foarte prolific, cu majoritatea gazdelor end-user pe LAN-uri în rețelele firmelor, pentru alocarea adresei IP și alte configurații de bază din DHCP.
Rutarea IP și protocoale de rutare
Figura următoare repetă figura 1, cu utilizarea subrețelelor rețelei 150.150.0.0
Logica rutării:
Pasul 1: PC1 trimite pachetul lui R1 – PC1 construiește pachetul IP cu adresa destinație a lui PC2 (150.150.4.10). PC1 trimite pachetul routerului R1, deoarece știe că default router (gateway) al său este 150.150.1.4.
PC1 verifică în cache-ul ARP dacă este înregistrată adresa Ethernet. MAC a lui R1. Dacă nu există o învață cu ajutorul ARP a lui PC1. PC1 plasează pachetul IP în cadrul Etherneternet cu destinația adresei MAC a interfeței Ethernet. R1 și trimite cadrul pe Ethernet.
Pasul 2: R1 procesează cadrul primit și trimite pachetul lui R2. Deoarece cadrul Ethernet. are destinația adresei MAC Ethernet. a lui R1, R1 recepționează cadrul și-l copiază pentru procesare. Dacă trece testul FCS, ceea ce înseamnă că nu au fost depistate erori în cadru, R1 se uită in câmpul Protocol Type pentru a descopei că pachetul din interfața cadrului este un pachet IP. R1 descarcă headerul si trailerul cadrului. Mai departe R1 analizează tabela sa de rutare pentru a găsi adresa de destinație din pachet, 150.150.4.10.
________________________________________________________________
HDLC
High-Level Data Link Control = grup de protocoale pentru transmiterea datelor între nodurile rețelei.
În HDLC datele sunt organizate în unități denumite cadre (frame) și trimise pe rețea, la destinație, unde se verifică primirea cu succes. Protocolul HDLC gestionează, de asemenea, volumul de date transmise (fluxul).
HDLC este unul dintre cele mai folosite protocoale de nivel 2 în industria comunicațiilor.
HDLC încapsulează pachetul nivelului 3 adăugând informația de control aferentă nivelului Data Link (2) într-un cadru (frame) mai mare.
________________________________________________________________
Înregistrarea se regăsește în tabela de rutare – ruta către subrețeaua 150.150.4.0 cu interfața de ieșire Serial 0 și routerul „next hop” R2 (150.150.2.7). Acum routerul R1 trebuie să construiască un cadru HDLC și să-l trimită prin interfața Serial 0 la ruterul R2. Pentru o conexiune point – to – point HDLC WAN nu este necesar ARP, R1 cunoaște toate infomațiile necesare pentru construirea și trimiterea cadrului HDLC.
Pasul 3: R2 procesează cadrul primit și trimite pachetul lui R3 – R2 repetă același proces ca și R1 când primește cadrul HDLC. După descărcarea headerului și trailerului HDLC, R2 trebuie de asemeni, să găsească în tabela sa de rutare o înregistrare care să corespundă destinației 150.150.4.10. Tabela R2 are o înregistrare pentru 150.150.4.0, cu ieșire pe interfața Serial 4 către routerul R3 (next hop) 150.150.3.1.
Înainte ca R2 să finalizeze această acțiune trebuie decisă DLCI corectă pentru VC către R3. Cu informația de mapare corectă R2 poate construi headerul Frame Relay și să trimită cadrul către R3.
Pasul 4: R3 procesează cadrul și trimite pachetul lui PC2.
Ca și în R1 și R2, R3 verifică FCS în trailerul cadrului, caută câmpul cu tipul pachetului din interfața cadrului și dacă este pachet IP, descarcă headerul și trailer-ul Frame Relay. Tabelele de rutare a lui R3 au o înregistrare 150.150.4.0 pe interfața Ethernet , dar nu există un router next hop, deoarcee R3 este conectat direct la subrețeaua 150.150.4.0. Înainte ca R3 să termine de construit headerul Ethernet trebuie să fie utilizat un broadcast IP ARP pentru a găsi adresa MAC a lui PC2 (presupunând că R3 nu are această informație în cache-ul ARP).
Procesul de rutare se bazează pe regulile referitoare la adresele IP. De exemplu, de ce PC1 (150.150.1.10) presupune că PC2 (150.150.4.10) nu este pe aceeași rețea Ethernet? pentru că sunt separate de unul sau mai multe rutere.
PC1 trebuie să trimită pachetul unui router. Similar, toate 3 routerele testează în tabela lor de rutare o rută la rețeaua 150.150.4.0, care poate include orice adresă din dom. 150.150.4.1 – 150.150.4.254
Protocolul de rutare IP
Protocolul de rutare IP completează propria tabelă de rutare cu rute fără bucle. Fiecare rută include un număr de subrețea, interfața de ieșire pe care trimite pachetele, astfel încât ele sunt livrate respectivei subrețele și adresei IP ale următorului router care trebuie să primească pachetul destinat respectivei rețele (dacă e cazul).
Scopurile unui protocol de rutare:
să învețe dinamic și să-și completeze tabela de rutare cu rute la toate subrețelele din rețea;
dacă există disponibilă mai mult de o rută către o anumită subrețea, să introducă în tabela de rutare cea mai bună rută;
să observe când rutele din tabelă nu mai sunt valide și să scoată respectivele înregistrări din tabela de rutare;
dacă o rută este scoasă din tabela de rutare și este disponibilă altă rută printr-un router vecin, să adauge noua rută în tabelă;
să adauge noi rute sau să înlocuiască rutele pierdute cu cea mai bună rută disponibilă, cât mai repede posibil;
să evite bucle de rutare.
Protocoalele de rutare pot fi destul de complicate, dar logica de bază pe care o utilizează este relativ simplă.
Protocoalele de rutare iau rutele din tabela de rutare și trimit un mesaj vecinilor lor, comunicându-le rutele. După un timp, toate ruterele cunosc toate rutele.
Ruterul B adaugă în tabela de rutare rutele pentru subrețelele direct conectate la el când se face inițializarea interfețelor – deci cunoaște numai 2 rute.
După primirea informației de actualizare de la ruterul A, ruterul B a mai învățat 3 rute. Deoarece le-a învățat de la A, toate au ca „next hop ruter” ruterul A este evident, deoarece toate rutele către celelalte subrețele trec prin ruterul A.
Ruterul A are 2 subrețele conectate direct la el (162.11.5.0 și 162.11.9.0), dar a învățat o rută suplimentară (162.11.10.0 – rețeaua Ethernet.) cu ocazia primirii informației de actualizare de la ruterul C.
Subnetarea (Subnetting)
CIDR se utilizeaza și pentru alocarea adreselor IP în LAN-uri împărțite în mai multe rețele (subrețele), process ce poartă denumirea de subnetting.
Să presupunem că alocăm domeniul de adrese (adresa de rețea):
200.15.100.0
cu masca de subrețea: 255.255.255.0
Dacă avem nevoie numai de 254 de gazde, se poate utiliza metoda clasică, adică se poate crea o rețea de clasă C.
Să presupunem însă că rețeaua trebuie segmentată (pe criterii logice) în grupuri mai mici – de exmplu 30 gazde/rețea (segment).
Utilizând CIDR, putem determina care este punctual de separare între ID-ul de rețea și cel de gazdă, în funcție de numărul de gazde necesar de câți biți avem nevoie în porțiunea de ID de gazdă câți biți rezultă pentru ID-ul de rețea.
Pentru aceasta calculăm:
2N -2 = X (în cazul de față X=30 gazde)
Avem nevoie de 5 biți pentru 32-2 adrese de gazdă (se scad adresele de rețea și de broadcast)
Pentru determinarea măștii de subrețea, se calculează de la dreapta la stânga (de la bitul cel mai semnificativ):
Rezultă masca de subrețea:
255.255.255.224
numărul de biți rămas disponibil pentru ID-ul de rețea: 27
notația CIDR:
200.15.100.0/27
Întrebări esențiale la proiectarea unei rețele TCP/IP:
De câte rețele este nevoie ?
De câte gazde/rețea este nevoie ?
Care este masca de subrețea ?
De câte gazde este nevoie ?
Câte rețele vor furniza acest număr de gazde ?
Ce domenii de adrese vor fi utilizate ?
Revenind la exemplul anterior:
Numărul de gazde/rețea = 30
Masca de subrețea = 255.255.255.224
Câte astfel de rețele pot exista și care va fi domeniul de adrese IP ?
Pentru aceasta, vom analiza pentru adresa: 200.15.100.0
ce înseamnă mărirea ID-ului de rețea cu 3 biți citim din tabela de mai sus 23 = 8 Nr. de rețele posibile: 8 / 30 gazde pe rețea
De fapt, primul și ultimul domeniu de adrese nu poate fi folosit, deoarece primul cuprinde rețeaua mare din care au provenit subrețelele: 200.15.100.0, iar domeniul 200.15.100.255 cuprinde adresa de broadcast pentru aceeași rețea. Astfel rămân pentru subrețele 6 domenii de adrese IP ce vor corespunde unui increment de 32 (conf. măștii de subrețea):
Rețeaua #1: 200.15.100.32/27
Domeniul de adrese de gazdă:
200.15.100.33/27 – 200.15.100.62/27
Adresa de broadcast:
200.15.100.63/27
Rețeaua #2: 200.15.100.64/27
Domeniul de adrese de gazdă:
200.15.100.65/27 – 200.15.100.94/27
Adresa de broadcast:
200.15.100.95/27
Rețeaua #3: 200.15.100.96/27
Domeniul de adrese de gazdă:
200.15.100.97/27 – 200.15.100.126/27
Adresa de broadcast:
200.15.100.127/27
Rețeaua #4: 200.15.100.128/27
Domeniul de adrese de gazdă:
200.15.100.129/27 – 200.15.100.158/27
Adresa de broadcast:
200.15.100.159/27
Rețeaua #5: 200.15.100.16/27
Domeniul de adrese de gazdă:
200.15.100.1/27 – 200.15.100.30/27
Adresa de broadcast:
200.15.100.31/27
Rețeaua #1: 200.15.100.0/27
Domeniul de adrese de gazdă:
200.15.100.161/27 – 200.15.100.190/27
Adresa de broadcast:
200.15.100.191/27
Rețeaua #6: 200.15.100.192/27
Domeniul de adrese de gazdă:
200.15.100.193/27 – 200.15.100.222/27
Adresa de broadcast:
200.15.100.223/27
Alt exemplu:
Adresa IP pentru rețeaua: 131.150.0.0
Cu masca de subrețea : 255.255.0.0 conf. împărțirii pe clase (clasa B) vor exista > 65 000 adrese IP disponibile pentru gazde risipă de adrese.
Utilizând însă CIDR, se poate face o subnetare.
Prima întrebare: de câte rețele avem nevoie ? Câte gazde/rețea ? Sau invers: De câte gazde avem nevoie în cea mai mare subrețea ? rezultă numărul de (sub)rețele.
Presupunem că sunt necesare 2000 gazde/rețea:
2N – 2 = X (unde X = 2000)
De fapt, întrebarea este: câți biți sunt necesari pentru a avea disponibile 2000 adrese IP de gazdă ?
2N – 2 > = 2000 N = 11 (211 = 2048)
Sunt necesari 11 biți în porțiunea de ID de gazdă
Numărul de subrețele va fid at de cei 5 biți suplimentari care au trecut de la ID-ul de gazdă la ID-ul de rețea (față de situația inițială – rețea clasică clasa B):
25 – 2 = 30 subrețele
cu câte 2048 – 2 gazde fiecare
Incrementul pentru fiecare domeniu va fi 23 = 8 (bitul cel mai nesemnificativ din ID-ul de rețea)
7 6 5 4 3 2 1 0
128 64 32 16 8 4 2 1
ID rețea
Domeniile de adrese IP vor fi:
Rețeaua #1: 131.150.8.0/21
131.150.8.1/21 – 131.150.15.254/21
Adresa de broadcast: 131.150.15.255
Rețeaua #2: 131.150.16.0/21
131.150.16.1/21 – 131.150.23.254/21
Adresa de broadcast: 131.150.23.255/21
Rețeaua #3: 131.150.24.0/21
131.150.24.1/21 – 131.150.32.254/21
Adresa de broadcast: 131.150.32.255/21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rețeaua #30: 131.150.240.0/21
131.150.240.1/21 – 131.150.254.254/21
Adresa de broadcast: 131.150.240.255/21
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Adrese Ip (ID: 149359)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.