Adresowanie IP
Transcript of Adresowanie IP
11
ADRESOWANIE IP- zadania
Każdy host używający stosu protokołów TCP/IP powinien mieć prawidłowo ustawiony adres sieciowy warstwy 3 – IP. Obecnie najczęściej używaną implementacją adresu IP jest jej wersja 4 (IPv4).
Kiedy dokonuje się konfiguracji karty sieciowej stacji roboczej czy serwera, należy podać kilka niezbędnych wartości (rys.):
1. adres IP hosta (IP address), np. 192.168.2.502. maskę podsieci (subnet mask), np. 255.255.255.03. bramkę (default gateway),4. adresy serwerów DNS (Domain Name System): podstawowego i zapasowego.
22
ADRESOWANIE IP- zadania
33
ADRESOWANIE IP- zadania
Taka konfiguracja interfejsu umożliwi połączenie się z Internetem. Użytkownik będzie mógł używać nazw domen, np. www.wp.pl zamiast adresów IP (zamiany dokona serwer DNS) – by się połączyć z serwerami Internetu. Jeśli ustawi się wyłącznie adres IP hosta i maskę podsieci, to taka konfiguracja też będzie poprawna, ale umożliwi komunikację tylko w ramach tego samego segmentu sieci (tej samej podsieci).Obecnie funkcjonują dwie wersje adresów IP – starsza, bardzo rozpowszechniona IPv4 oraz nowsza, mniej popularna IPv6.Adres IP w wersji 4 ma zawsze i niezmiennie długość 32 bitów. Należy zwrócić uwagę, że mimo binarnej natury administratorzy najczęściej przedstawiają go postaci dziesiętnej, co znacznie ułatwia posługiwanie się nim. Adres podzielony jest na cztery 8-bitowe bloki zwane oktetami:
44
ADRESOWANIE IP- zadania
11000000. 10101000.00000010. 00110010odpowiada dziesiętnej postaci adresu:
192.168.2.50
Maksymalna wielkość liczby w każdym oktecie nie może przekroczyć wartości 255 (11111111 dwójkowo).
Administrator sieci musi biegle przeliczać liczby z systemu dwójkowego na dziesiętny i odwrotnie.
Kiedy trzeba przedstawić adres IP w postaci binarnej, mając jego postać dziesiętną należy rozpocząć od najstarszego oktetu: 192.168.2.50
Przy przeliczaniu z postaci dziesiętnej na dwójkową pomocna może być tabela obrazująca wagi dziesiętne dla poszczególnych bitów:
55
ADRESOWANIE IP- zadania
66
ADRESOWANIE IP- zadania
Od liczby dziesiętnej należy odjąć wartość 128. Jeżeli wynik tej operacji będzie liczbą dodatnią (lub zerem) w polu najstarszego, ósmego bitu należy ustawić wartość binarną 1.
Od otrzymanej różnicy należy odjąć wartość 64. Jeśli wynik będzie liczbą dodatnią, w polu bitu (26) należy ustawić wartość 1. Jeśli wynik odejmowania będzie liczbą ujemną, dla danej pozycji bitu przypisać należy 0.
Schemat liczenia przedstawiony jest w tabeli 10. NIE – przenieś liczbę do następnego kroku. TAK – do następnego kroku przenieś różnicę.
77
ADRESOWANIE IP- zadania
88
ADRESOWANIE IP- zadania
Przykład:192.168.2.501. Czy różnica 192 – 128 ≥ 0 ?192-128=64 => TAKna pozycji najstarszego bitu należy ustawić wartość 1
99
ADRESOWANIE IP- zadania
2. Czy różnica 64-64 ≥ 0 ?
64-64=0 => TAK
na pozycji kolejnego bitu należy ustawić wartość 1
Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero).
1010
ADRESOWANIE IP- zadania
Podobnie postępuje się dla kolejnych oktetów:192.168.2.50
1. Czy różnica 168-128 ≥ 0 ?168-128=40 => TAKna pozycji najstarszego bitu należy ustawić wartość 1
128 64 32 16 8 4 2 11
2. Czy różnica 40-64 ≥ 0 ?40-64= - 24 => NIE
na pozycji kolejnego bitu należy ustawić wartość 0128 64 32 16 8 4 2 1 1 0
1111
ADRESOWANIE IP- zadania
3. Czy różnica 40-32 ≥ 0 ?40-32=8 => TAKna pozycji kolejnego bitu należy ustawić wartość 1128 64 32 16 8 4 2 1 1 0 1
4. Czy różnica 8-16 ≥ 0 ?8-16= - 8 => NIEna pozycji kolejnego bitu należy ustawić wartość 0128 64 32 16 8 4 2 11 0 1 0
5. Czy różnica 8-8 ≥ 0 ?8-8= 0 => TAKna pozycji kolejnego bitu należy ustawić wartość 1128 64 32 16 8 4 2 11 0 1 0 1
1212
ADRESOWANIE IP- zadania
Pozostałe bity wypełnić należy zerami (wynik ostatniej operacji odejmowania to zero).
128 64 32 16 8 4 2 11 0 1 0 1 0 0 0
Podobnie wykonane obliczenia dla pozostałych dwóch oktetów dadzą wartości :
192.168.2.50
1313
ADRESOWANIE IP- zadania
192.168.2.50
Przeliczanie adresu z postaci dwójkowej na dziesiętną odbywa się zgodnie z przedstawionym przykładem: należy przedstawić adres:
01011011 . 00011010 . 00100110 . 11101010.
w postaci dziesiętnej.
1414
ADRESOWANIE IP- zadania
1515
ADRESOWANIE IP- zadania
Adresowi w postaci binarnej 01011011 . 00011010 . 00100110 . 11101010 odpowiada adres w postaci dziesiętnej 91.26.38.234
Teoretycznie, mając do dyspozycji 32 bity, możliwe jest wygenerowanie 232=4’294’967’296 adresów IP. Adresy IP zostały jednak tak zaprojektowane, aby można było określić, która część jest związana z adresem całej sieci (N), a która z adresem poszczególnych hostów (H) w tejże sieci. Adresy IP zostały podzielone na klasy A, B, C, D i E (tab. 11):
1616
ADRESOWANIE IP- zadania
Tab.11. Klasy adresów IPv4 – zakres i maski domyślne (binarnie i dziesiętnie oraz zapis skrócony).Zapis skrócony wskazuje, ile bitów w masce, licząc od najstarszego, ma wartość 1.
1717
ADRESOWANIE IP- zadania
1818
ADRESOWANIE IP- zadania
Klasa A zaczyna się od 0 do 127 (najstarszy bit ma wartość 0). Dla tej klasy adres sieci jest zdefiniowany przez 8 najstarszych bitów, natomiast pozostałe 24 bity służą do zaadresowania urządzeń w tejże sieci. W każdej sieci klasy A jest dostępnych 224 =16’777’216 (zatem przeszło szesnaście milionów siedemset siedemdziesiąt siedem tysięcy) adresów hostów. Przykład takiego adresu to:
80.17.255.14
W przypadku klasy B, która zawiera się w przedziale od 128 do 191, dwa najstarsze bity będą miały odpowiednio wartość 10. Część identyfikująca sieci to dwa pierwsze oktety. Liczba dostępnych sieci w klasie B to 214 = 16’384, a ilość adresów hostów w każdej z nich przekracza sześćdziesiąt pięć tysięcy (216=65’536). Przykład takiego adresu to:
130.125.44.56
1919
ADRESOWANIE IP- zadaniaW przypadku adresu klasy C, której adresy zawierają się w
przedziale od 192 do 223 trzy najstarsze bity ustawione są odpowiednio na 110. Liczba dostępnych sieci to 221=2’097’152, a każda z nich to obszar 28=256 adresów IP. Przykład takiego adresu to:
195.17.14.33
Adresy klas A-C są używane do transmisji unicastowych, czyli pomiędzy wyłącznie dwoma hostami w sieci (one-to-one communication). Stosowane są również do komunikacji rozgłoszeniowej – broadcastowej (one-to-everyone communication).W przypadku adresu klasy D, o przedziale adresowym od 224 do 239, najstarsze bity mają wartości 1110.
Adresy klasy D używane są do transmisji grupowej (multicast – one-to-many communication), czyli skierowanej do większej ilości hostów (np. wideokonferencja).
Zastosowanie tej klasy adresów zostało dokładnie omówione m.in. w RFC-1020 i -1060.
2020
ADRESOWANIE IP- zadania
Dla adresów klasy E najstarsze bity pierwszego oktetu przyjmują wartość binarną 1111. Adresy te są zarezerwowane do celów testowych i nie wolno ich używać do adresowania hostów.
Nie wszystkie adresy IP mogą być używane w Internecie. IANA (Internet Assigned Numbers Authority www.iana.org) jest odpowiedzialna za przydział adresów IP dla potrzeb komercyjnychi doświadczalnych. Dla Europy adresy IP są przydzielane przez organizację Resaux IP Europeens – www.ripe.net. Na stronach tej organizacji znajdują się wyszukiwarki whois, które umożliwiają zdobycie informacji o właścicielu adresu IP.
Adresy można podzielić na ogólne (publiczne) i do zastosowań specjalnych, w tym prywatne.
Adresy ogólne są stosowane do adresowania hostów w Internecie.
2121
ADRESOWANIE IP- zadania
Adresy prywatne, nieroutowalne w sieci internetowej, są używane tylko w ramach sieci lokalnej. Administrator sieci lokalnej może używać tych adresów bez konieczności ich uzyskania od w/w organizacji. Na ten cel zostały zarezerwowane następujące adresy (tab. 12):
Tab. 12. Prywatne adresy IP
2222
ADRESOWANIE IP- zadania
Adresy te mają głównie zastosowanie do adresowania hostów w Intranecie. Sieć intranetowa używa m.in. operacji NAT (Network Address Translation, RFC 1631) do komunikacji z Internetem (mapowanie adresów prywatnych na adresy publiczne). Zastosowanie tej techniki pozwala zaoszczędzić adresy publiczne i dodatkowo wpływa na bezpieczeństwo sieci intranetowych.Najważniejsze adresy do zastosowań specjalnych zostały zestawione w tabeli 13:
Tab. 13. Przykłady adresów specjalnych
2323
ADRESOWANIE IP- zadania
Adresów prywatnych i specjalnych nie wolno używać w ruchu zewnętrznym, poza siecią lokalną (Intranetem).
Czy aktualnie jest możliwość uzyskania pełnej klasy adresów A lub B? Odpowiedź brzmi NIE.
Uzyskanie pełnej puli adresów klasy C jest w tej chwili bardzo trudne. Kiedy otrzymuje się pulę adresów klasy C (256 adresów) to do zaadresowania hostów pozostają 254 adresy. Każda bowiem sieć musi mieć swój adres sieci i adres rozgłoszeniowy (broadcastowy). Te dwa adresy nie mogą byćużyte do zaadresowania hostów, np. dla sieci klasy C 199.119.99.x (tab. 14, rys.10):
Tab. 14. Zakres adresów klasy C
2424
ADRESOWANIE IP- zadania
Adres broadcastowy 199.119.99.255 będzie użyty wtedy, kiedy host w sieci 199.119.99.x będzie chciał nadać komunikat do wszystkich hostów do niej należących (wspólna domena rozgłoszeniowa). Komunikat broadcastowy nie zostanie przekazany do sieci 200.1.100.0.
Rys. 10. Dwie domeny broadcastowe rozdzielone routerem. Każda domena wykorzystuje całą klasę adresów IP
2525
ADRESOWANIE IP- zadania
2626
ADRESOWANIE IP- zadania
Adres sieci będzie użyty w tablicach routingu jest niezbędny do wyznaczania tras pakietów pomiędzy sieciami. Przykładowa tablica routingu routera CISCO obsługującego złożoną sieć (protokół routingu:
RIP) przedstawiona jest poniżej.R4#sh ip routeCodes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * – candidate default U – per-user static route, o – ODR
2727
ADRESOWANIE IP- zadania
Gateway of last resort is not set
[1] R 192.168.200.0/24 [120/3] via 192.168.6.1, 00:00:12, Serial0[2] R 192.168.201.0/24 [120/3] via 192.168.6.1, 00:00:12, Serial0[3] C 192.168.8.0/24 is directly connected, Ethernet0[4] R 192.168.4.0/24 [120/4] via 192.168.6.1, 00:00:13, Serial0[5] C 192.168.6.0/24 is directly connected, Serial0[6] R 192.168.7.0/24 [120/1] via 192.168.6.1, 00:00:13, Serial0[7] R 192.168.1.0/24 [120/1] via 192.168.6.1, 00:00:13, Serial0[8] R 192.168.2.0/24 [120/3] via 192.168.6.1, 00:00:13, Serial0[9] R 192.168.3.0/24 [120/3] via 192.168.6.1, 00:00:13, Serial0R4#
2828
ADRESOWANIE IP- zadania
W linii [1] zdefiniowana jest trasa do sieci 192.168.200.0 poprzez interfejs routera o adresie 192.168.6.1. Linie [2], [4], [6]-[9] definiują trasę do kolejnych sieci. Linie [3] i [5] definiują sieci bezpośrednio przyłączone do routera.
Okazało się, że podział adresów na klasy spowodował bardzo szybkie wyczerpanie ze względu na ich nieefektywne wykorzystanie. Kiedy przedsiębiorstwo potrzebuje 257 adresów IP, jedna pełna klasa C nie wystarcza, trzeba użyć obszaru adresów dwóch klas C lub jednego obszaru klasy B (strata ponad65 tysięcy adresów IP). Rozwiązaniem problemu okazało się wprowadzenie nowego systemu adresowania, w którym całą pulę adresów danej klasy dzieli się na podsieci. W systemie klasowym routery rozpoznawały adres sieci po najstarszych bitach najstarszego oktetu adresu.
2929
ADRESOWANIE IP- zadania
Można sobie wyobrazić sytuację, kiedy istnieje konieczność podziału sieci na segmenty (np. podzielenie sieci na segment administracyjny i studencki). Co zrobić, kiedy dostaje się pulęadresów klasy C, a trzeba rozdzielić sieć na kilka obszarów? Taką pulę trzeba podzielić na podsieci.
Dokonuje się tej operacji, wykorzystując tę część adresu, dla której domyślna maska sieci ma wartość 0 (obszar adresu hosta). Z adresów hostów „pożycza” się wymaganą ilość bitów (tzw. bitów podsieci – S), która określi ilość utworzonych podsieci. „Pożyczanie” polega na ustawieniu wartości 1 w masce sieci wyłącznie w obszarze adresu hosta, wtedy:
Adres IP = ADRES_SIECI ADRES_PODSIECI ADRES_HOSTA
Proces podziału sieci na podsieci zobrazowany jest w przykładzie 1.
3030
ADRESOWANIE IP- zadania
Przykład 1:Pewne przedsiębiorstwo dostało adres 199.119.99.0 z maską 255.255.255.0 (199.119.99.0/24) Administrator musi podzielić sieć na pięć podsieci zgodnie ze schematem przedstawionym na rys. 11(każda podsieć zaznaczona innym kolorem).
3131
ADRESOWANIE IP- zadania
3232
ADRESOWANIE IP- zadania
Rys. Pięciosegmentowa sieć z zaznaczoną wymaganą ilością hostów w każdym segmencie (podsieci).
Wyznaczyć adresy podsieci, adresy rozgłoszeniowe i adresy hostów w każdej podsieci.
Jaka maksymalna liczba hostów będzie mogła pracować w każdej podsieci?
3333
ADRESOWANIE IP- zadania
1.W pierwszej kolejności należy wyznaczyć maskę podsieci
Należy określić klasę otrzymanego adresu. W przykładzie adres jest klasy C, więc jego struktura ma postaćNNNNNNN.NNNNNNNN.NNNNNNN.HHHHHHHH(maska domyślna: 255.255.255.0 lub /24).Nie można wykorzystać adresu sieci do operacji wydzielenia podsieci (domyślna maska), dostępne są więc TYLKO bity w czwartym oktecie adresu (8 bitów).Ile bitów "S" ( - s ang. subnet–podsieć) z obszaru HHHHHHHH powinno się pożyczyć, by utworzyć wystarczającą Liczbę Efektywnych Podsieci (LEPS)?
3434
ADRESOWANIE IP- zadania
UWAGA: Kiedy dokonuje się podziału sieci na podsieci trzeba pamiętać, że adresy hostów pierwszej (adres całej sieci) i ostatniej podsieci (adres broadcastowy całej sieci) nie powinny być wykorzystywane do adresowania urządzeń sieciowych (RFC890). Stąd pojęcie „efektywnych podsieci” i „całkowita liczba podsieci”. Niektóre routery umożliwiają wykorzystanie tych zakresów adresów. Routery CISCO wymagają w tym celu podania polecenia ip subnet-zero w procesie ich konfiguracji Choć dokument RFC1812 zezwala na użycie przestrzeni adresowej pierwszej i ostatniej podsieci, to nie ma gwarancji, że wszystkie hosty i routery będą w stanie je obsługiwać.
3535
ADRESOWANIE IP- zadaniaChcąc odpowiedzieć na powyższe pytanie, trzeba rozwiązać nierówność względem S.
2S -2 >= LEPSgdzie:LEPS – liczba efektywnych podsieci,S – liczba bitów pobranych z obszaru hostów maski.
Jednocześnie trzeba policzyć Całkowitą Liczbę Podsieci ( CLP) zgodnie z równaniem:
CLP=2S
Jeśli pożyczone zostaną dwa bity: SSHHHHHH, to będzie można stworzyć 4 podsieci (CLP) o adresach:
00, 01, 10, 11
Tylko podsieci 01 i 10 będą mogły być wykorzystanie, a więc nie spełni to warunków zadania.
3636
ADRESOWANIE IP- zadania
Jeśli pożyczyć 3 bity: SSSHHHHH, to można stworzyć ELPS = 23-2=6 efektywnych podsieci(całkowita ilość podsieci CLP=23=8).
Tak wyznaczona maska podsieci przyjmie postać:11111111.11111111.11111111.11100000
co po zamianie na system dziesiętny odpowiada wartości 255.255.255.224 (/27)
Tak skonstruowana maska spełni warunki zadania (potrzebnych jest 5 efektywnych podsieci).
3737
ADRESOWANIE IP- zadania
2. Kolejnym etapem jest określenie zakresu adresów podsieci i zakresu adresów hostów.Skoro z czwartego oktetu adresu pożyczone zostały 3 bity na zaadresowanie podsieci, to pozostałe 5 bitów (SSSHHHHH) wykorzystane zostanie na obliczenie zakresu adresów poszczególnych podsieci.
Z=2H=25=32Ponieważ każda podsieć musi mieć swój adres podsieci i adres rozgłoszeniowy, to na zaadresowanie hostów pozostanie:
EAH=2H-2=25-2=30
Efektywnych adresów hostów – EAH
3838
ADRESOWANIE IP- zadania
3. Zestawiając wyniki można stwierdzić, że maska 255.255.255.224 (/27) podzieli sieć na 8 podsieci (6 efektywnych). Każda podsieć będzie miała zakres 32 adresów, z czego dla hostów przewidzianych jest 30 adresów:
Tab. Podział sieci klasy C na 8 podsieci (6 efektywnych podsieci)
3939
ADRESOWANIE IP- zadania
4040
ADRESOWANIE IP- zadania
Zakres 1 (adres całej sieci) i 8 (adres rozgłoszeniowy całej sieci) nie są do wykorzystania.
Zakres 7 do wykorzystania w późniejszym czasie. Maksymalna liczba hostów dla każdej podsieci: 30 (efektywne adresy IP w każdej podsieci, EAH).
4141
ADRESOWANIE IP- zadaniaRozdział adresów IP został przedstawiony na rysunku 12.
4242
ADRESOWANIE IP- zadania
Jak widać, istnieje pokaźna ilość adresów, które nie mogą być wykorzystane do adresowania hostów.Przy podziale sieci na 8 podsieci dla hostów dostępnych jest tylko 6*30=180 adresów IP z puli 254.Dodatkowo traci się znaczną ilość adresów na połączeniach punkt-punkt pomiędzy routerami (potrzebne są tylko dwa adresy IP, a pula ma ich 30).Kiedy dzieli się sieci na podsieci istnieje czasami konieczność oznaczenia, w której podsieci pracuje urządzenie, któremu nadano już adres IP (przykład 2). Bardzo często okazuje się, że administrator pomylił się i urządzenie ma przyznany nieprawidłowy adres IP (adres podsieci, adres broadcastowy podsieci lub adres z całego pierwszego i ostatniego zakresu adresów podsieci).
4343
ADRESOWANIE IP- zadania
Przykład 2W pewnym przedsiębiorstwie drukarce przydzielono adres 192.168.5.125 /29. Obliczyć, do której podsieci należy drukarka. Podać adres podsieci, zakres adresów hostów podsieci oraz adres rozgłoszeniowy podsieci. Czy adres jest prawidłowy?
4444
ADRESOWANIE IP- zadania
1.W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnej
2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski
4545
ADRESOWANIE IP- zadania
Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: x.x.x.x
Skoro x.x.x.x jest adresem klasy ?, to maska ? oznacza, że pożyczonych zostało ? Bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci.
Do zaadresowania hostów pozostały ? bity, więc w podsieci może być nie więcej niż EAH=?-2= ? hostów (SSSSSHHH).
4646
ADRESOWANIE IP- zadania
Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.
4747
ADRESOWANIE IP- zadania
Zestawiając informacje można zapisać:Adres IP drukarki:Maska podsieci:Adres podsieci:Adres rozgłoszeniowy: (liczone z zakresu Z=23=8 )Zakres adresów hostów podsieci: x.x.x.x- y.y.y.y
4848
ADRESOWANIE IP- zadania
Rozwiązanie:
1. W pierwszej kolejności trzeba zapisać adres hosta i adres maski w postaci binarnejH: 11000000.10101000.00000101.01111101S: 11111111.11111111.11111111.11111000 (29 jedynek)
2. Aby wyznaczyć adres podsieci, do której należy drukarka, należy dokonać operacji logicznego iloczynu (AND) adresu hosta i maski
4949
ADRESOWANIE IP- zadania
Obliczony w ten sposób adres podsieci należy zamienić na postać dziesiętną: 192.168.5.120.
Skoro 192.168.5.120 jest adresem klasy C, to maska /29 oznacza, że pożyczonych zostało 5 bitów (trzy pierwsze oktety – 24 bity są domyślną maska podsieci klasy C) na zaadresowanie podsieci.
Do zaadresowania hostów pozostały 3 bity, więc w podsieci może być nie więcej niż EAH=23-2= 6 hostów (SSSSSHHH).
5050
ADRESOWANIE IP- zadania
Aby łatwo policzyć adres rozgłoszeniowy tej podsieci należy wykonać operację logiczną NOT na masce, a następnie na uzyskanej wartości operację OR z adresem podsieci.
5151
ADRESOWANIE IP- zadania
Zestawiając informacje można zapisać:
Adres IP drukarki: 192.168.5.125
Maska podsieci: 255.255.255.248
Adres podsieci: 192.168.5.120
Adres rozgłoszeniowy: 192.168.5.127 (liczone z zakresu Z=23=8 )
Zakres adresów hostów podsieci: 192.168.5.121-192.168.5.126
Adres prawidłowy (mieści się w zakresie adresów hostów i nie należy ani do pierwszej, ani do ostatniej podsieci).
5252
ADRESOWANIE IP- zadania
6. VLSM (Variable-Length Subnet Masks) − podsieci o zmiennej długości.
Można sobie wyobrazić sytuację, kiedy sieć ulega rozwojowi i konieczne jest dołączenie kolejnego segmentu sieci, tak jak na rysunku 13.
5353
ADRESOWANIE IP- zadania
5454
ADRESOWANIE IP- zadania
Rys. 13. Schemat rozbudowy przykładowej sieci.
Korzystając z tabeli 17, okaże się, że brakuje adresów IP dla hostów podsieci 7. Widać również, że połączenia pomiędzy routerami Lodz i Krakow oraz Lodz i Poznan wykorzystują tylko po dwa adresy IP – traci się 56 adresów IP z podsieci 2 i 6.Gdyby podzielić podsieć na pod-podsieci, może się okazać, że zaoszczędzone zostaną kolejne adresy IP.Wybierając zakres 3 (tab. 17) dostępne są następujące adresy IP:
Tab. 17.
5555
ADRESOWANIE IP- zadania
Kiedy przyjrzeć się masce sieci z przykładu 1:
255.255.255.224 (/27)
11111111.11111111.11111111.11100000
okazuje się, że dostępnych jest 5 bitów (zera w masce), które mogą być użyte do kolejnego podziału podsieci. Jeżeli „pożyczyć” 3 bity, to można będzie utworzyć 23=8 pod-podsieci. Każda pod-podsieć będzie obejmowała cztery adresy (22), z czego dwa będą mogły być wykorzystane do adresowania połączeń miedzy routerami (punkt-punkt). Dla podsieci 3 maska ulegnie więc zmianie: 11111111.11111111.11111111.11111100 (/30)
Wyniki takiego podziału podsieci 3 przedstawione są w tabeli 18 (dla ułatwienia ominięte zostały pierwsze trzy, niezmienne oktety adresu: 199.119.99.x).
5656
ADRESOWANIE IP- zadania
Tab. 18. Pod-podsieci zakresu 199.119.99.64 – 199.119.99.95
5757
ADRESOWANIE IP- zadania
Używając techniki VLSM, można więc podzielić sieć na podsieci o zmiennej długości. Są to podsieci, które nie zawierają jednakowej ilości hostów.
Schemat sieci po rozbudowie przedstawiono na rysunku 14:
Rys. 14. Przydział adresów IP / VLSM dla siedmiu podsieci
5858
ADRESOWANIE IP- zadania
5959
ADRESOWANIE IP- zadania
CIDR (Classless InterDomain Routing)
CIDR – bezklasowy routing międzydomenowy – jest kolejną techniką stosowaną w celu lepszego zarządzania adresami IP. W CIDR adres sieci jest oznaczany poprzez maskę sieci. Adres sieci to ta część adresu IP, dla której maska sieci ma ustawione bity na 1. Adres hosta to ten obszar adresu IP, dla którego maska sieci ma ustawione bity na 0. CIDR umożliwia trasowanie pakietów w zagregowanych (połączonych) kilku kolejnych sieciach. Przykładowo, kilka kolejnych sieci, np. klasy C, może zostać połączonych są w jedną, bezklasową przestrzeń adresową. Taka przestrzeń nazwana jest supersiecią. W przestrzeni takiej nie obowiązuje podział na klasy adresów (classless).
Jeśli przedsiębiorstwo potrzebuje 1000 adresów, to należy wyznaczyć liczbę bitów, która umożliwia zaadresowanie 1000 hostów (210=1024). Dziesięć bitów będzie więc używane w części przeznaczonej na adresowanie hostów, a 22 określać będą adres sieci.
11111111.11111111.11111100.00000000
6060
ADRESOWANIE IP- zadania
Zakładając, że adresem początkowym zakresu jest 193.13.12.0 z maską /22 (255.255.252.0) można wyznaczyć adres końcowy zakresu (broadcast): 193.13.15.255 (razem 1024 adresów). Adresy dostępne dla hostów to zakres od 193.13.13.1 do 193.13.16.254.
Dzięki CIDR oraz VLSM możliwa jest tez agregacja tras. Ma to na celu zmniejszenie ilości wpisów w tablicach routingu routerów.Na rysunku 15 przestawiony jest schemat sieci, gdzie pomiędzy routerami Lodz_main i Poznan_main następuje koncentracja ruchu, a tablice routingu są rozbudowane.
Rysunek 15. Schemat sieciAdresy IP sieci obsługiwanych przez poszczególne routery przedstawione są w tabeli 19:
6161
ADRESOWANIE IP- zadania
6262
ADRESOWANIE IP- zadania
6363
ADRESOWANIE IP- zadania
Każda sieć i podsieć wymaga odpowiedniego wpisu do tablicy routingu routerów Lodz_main i Poznan_main. W omawianym przykładzie spowoduje to wygenerowanie dużej ilości takich wpisów w tych routerach. Zamiast pięciu wpisów, można zredukować ich liczbę do jednego.
W tym celu trzeba wyznaczyć trasę sumaryczną (część wspólną adresów). Dokonuje się tego, używając postaci binarnej adresów. W obszarze, gdzie adres nie ulega zmianie, ustawia się bity maski na 1. Dla lewej gałęzi sieci:
6464
ADRESOWANIE IP- zadania
Tak zagregowana trasa obejmować będzie adresy sieci od 192.168.0.0 do 192.168.7.0.
6565
ADRESOWANIE IP- zadania
Dla prawej gałęzi sieci:
Trasa sumaryczna obejmować będzie sieci od 10.0.0.0 do 10.127.0.0.
6666
ADRESOWANIE IP- zadania
Opracowano wiele kalkulatorów, które ułatwiają przeliczanie adresów IP. Freeware’owe kalkulatory mogą być pobrane ze np. stron Famatechu (www.radmin.com) oraz www.solarwinds.net.
PodsumowanieStosowanie odpowiednich technik administrowania
adresami IP spowodowało, że groźba wyczerpania się adresów IPv4 oddaliła się. Techniki te w pewien sposób zatrzymały rozwój i implementację protokołu IPv6. W chwili obecnej (2004) adresowanie hostów za pomocą adresów tzw. Nowej generacji (IPv6) ma zastosowanie, ale raczej do celów testowych.
6767
Wykład
Wydajny podział zasobów; multipleksacja; funkcjonalność
6868
Wydajny podział zasobów- multipleksacja Wydajny podział zasobów
•jak komputery współdzielą sieć, gdy chcą jednocześnie wymieniać komunikaty?
•multipleksacja (multiplexing)- współdzielenie zasobu systemowego przez wielu użytkowników
•rozważmy prostą sieć jak na rysunku
6969
Wydajny podział zasobów- multipleksacja
•załóżmy, że komputer na górze (lewa strona) porozumiewa się z komputerem na górze (prawa strona), itd.
•w powyższej sytuacji trzy przepływy danych są poddane multipleksacji na jednym łączu fizycznym przez komutator1 a następnie poddane demultipleksji przez komutator2
•istnieje kilka metod multipleksacji przepływów na jednym łączu fizycznym
rys. multipleksacja wielu logicznych przepływów na jednym łączu fizycznym
7070
Wydajny podział zasobów- multipleksacja
1. w sieciach telefonicznych stosowana jest synchroniczna multipleksacja z podziałem czasu (synchronous-time division multiplexing- STDM)
ideą STDM jest podział czasu na kwanty o jednakowym rozmiarze i danie szansy każdemu przepływowi na przesłanie danych przez łącza w trybie karuzelowym (round-robin);
2. multipleksacja z podziałem czestotliwosci (frequency-division multiplexing- FDM)
nadawanie każdego przepływu na łączu fizycznym z różną częstotliwością (np. w telewizji kablowej)
istotne wady STDM i FDM
jeżeli jeden z przepływów nie ma już danych, to współdzielone łącze fizyczne (kwant czasu, częstotliwość)
pozostaje niewykorzystane
7171
Wydajny podział zasobów- multipleksacja
3. dlatego stosuje sie multipleksację statystyczną (statistical multiplexing)
•dane z pierwszego przepływu są przesyłane przez łącze, potem dane z drugiego...
•podobnnie jak w STDM łącze fizyczne jest współdzielone w czasie
•inaczej jednak niż w STDM, dane z każdego przepływu są przesyłane na żądanie, a nie we wcześniej określonej szczelinie czasowej
•jeżeli np. tylko jeden przepływ ma dane do przesłania, to zaczyna je przesyłać bez czekania na swój kwant
•nie ma mechanizmu gwarantującego, że wszystkie przepływy otrzymają szanse przesłania komunikatów
•aby zwiększyć taką szanse ogranicza się transmisję konkretnego przepływu definiując górną granice rozmiaru bloku danych
7272
Wydajny podział zasobów- multipleksacja
rys.komutator dokonujący multipleksacji pakietów od wielu nadawców w jedno współdzielone łącze
7373
Wydajny podział zasobów- multipleksacja
•ten ograniczony blok danych nazywany jest pakietem ; komunikat aplikacji musi być podzielony na pakiety nadawane oddzielnie
•komputer odbiorczy ponownie połączy je w jeden komunikat
jak sprawiedliwie przydzielać pojemność łącza różnym przepływom? To może być mechanizm karuzelowy, a jescze lepiej wg. algorytmu FIFO (first-in-first-out) - pierwszy przyszedł-pierwszy poszedł
konieczność buforowania pakietów ; możliwość ich utraty w sytuacji przeciążenia (congestion) sieci
7474
Wydajny podział zasobów- funkcjonalność
Funkcjonalność
•celem sieci komputerowej jest nie tylko dostawa pakietów, ale przede wszystkim dostarczanie środków komunikacji między procesami aplikacji rozproszonych na komputerach
•aby dwa programy aplikacyjne mogły sie porozumiewać, musi zaistnieć wiele skomplikowanych zdarzeń, wykraczających poza proste nadanie komunikatów
•zdarzenia te odpowiadają określonym funkcjom, które musi zrealizować projektant sieci
•szereg aplikacji wymaga tych samych usług; jak więc wydzielić ten właściwy zbiór usług?
7575
Wydajny podział zasobów- funkcjonalność
rys. procesy porozumiewające się przez abstrakcyjny kanał
7676
Wydajny podział zasobów- funkcjonalność
• intuicyjnie możemy patrzeć na sieć jak na dostawcę kanałów logicznych, przez które procesy z poziomu aplikacji mogą się porozumiewać
• każdy kanał dostarcza zbiory usług wymaganych przez aplikację
• wyzwanie projektanta: jakie funkcje kanał powinien dostarczać progrmowi aplikacyjnemu (aplikacji)
czy można tolerować zagubienie niektórych komunikatów?
czy komunikaty muszą docierać w tej samej kolejności?
czy musi być zapewniona prywatność przesyłanych komunikatów?
7777
Wydajny podział zasobów- funkcjonalność
Identyfikacja wspólnych wzorców komunikacji
rozpatrzmy typowe aplikacje sieciowe, z punktu widzenia wymagań związanych z projektowaniem abstrakcyjnych kanałów
7878
Wydajny podział zasobów- funkcjonalność
1. FTP- jedna z najwcześniejszych aplikacji
• można tu wyróżnić składnik komunikacyjnego zdalnego dostępu do pliku: para procesów, z których jeden żąda odczytu pliku albo zapisu do pliku (klient), a drugi to notuje (serwer)
• czytanie z pliku pociąga za sobą nadanie przez klienta małego komunikatu do serwera i nadanie przez serwer dużego komunikatu zawierającego dane z pliku
• zapis działa również w odwrotny sposób: klient nadaje duży komunikat (dane do zapisu w serwerze), a serwer odpowiada małym komunikatem potwierdzającym zapis na dysku
7979
Wydajny podział zasobów- funkcjonalność
2. najnowsza klasa aplikacji: program biblioteki cyfrowej (digital library)
•wyszukiwany jest w bibliotece cyfrowej określony rodzaj danych: niewielki plik tekstowy, duży obraz cyfrowy, obiekt multimedialny
•wzorzec komunikacji jest jednak podany w 1
8080
Wydajny podział zasobów- funkcjonalność
3. następna klasa aplikacji: odtwarzanie zapisu wideo przez sieć w aplikacji wideo na żądanie
•potencjalna opcja: cały plik wideo jest pobierany z komputera zdalnego za pomocą aplikacji dostępu do pliku, a następnie odtworzony na komputerze lokalnym; konieczność otrzymania całego pliku przed rozpoczęciem odtwarzania (opóźnienie!)
•inna opcja: nadawca i odbiorca są odpowiednio źródłem i ujściem ramek wideo, przesyłanych jako komunikaty i po odbiorze wyświetlonych
•generalnie w tej aplikacji nie ma żadnych poważnych ograniczeń czasowych (np. opóźnienie 10s jest satysfakcjonujące)
•ramki przesyłane są w jednym tylko kierunku:
wideo samo w sobie nie jest aplikacją- to raczej typ danych wykorzystywanych jako część aplikacji wideo na żądanie, albo w aplikacji telekonferencyjnej takiej jak NV
8181
Wydajny podział zasobów- funkcjonalność
4. aplikacja telekonferencyjna typu NV (wideo na żywo)
•ta aplikacja ma ścisłe ograniczenia czasowe :interakcja między użytkownikami musi zachodzić we właściwym czasie
•gdy np. osoba wykonuje po jednej stronie jakiś gest, to odpowiadający obraz wideo musi być wyświetlony po drugiej stronie jak najszybciej; opóźnienie czyni taki system bezużyteczny
•w wideo na żywo, ramki przepływają zwykle w obu kierunkach
8282
Wydajny podział zasobów- podsumowanie
Podsumowanie
•na podstawie tych reprezentatywnych aplikacji można mówić o potrzebie dwóch typów kanałów: żądanie/odpowiedź oraz strumień komunikatów
•kanał typu żądanie/odpowiedż (przesyłanie plików, cyfrowa biblioteka):
będzie gwarantował, że każdy komunikat nadany przez jedną stronę zostanie odebrany przez drugą stronę i
będzie to tylko jedna kopia komunikatu
być może będzie również chronił prywatność i spójność danych
8383
Wydajny podział zasobów- podsumowanie
•kanał typu strumień komunikatów (wideo na żądanie, telekonferencje):
musi być sparametryzowany w celu obsługi ruchu jednokierunkowego albo dwukierunkowego oraz w celu wspomagania opóźnień różnych wielkości
nie musi gwarantować dostarczenia wszystkich komunikatów
ramki muszą docierać w tej samej kolejności, w której zostały nadane
kanał może wymagać wspomagania rozgłaszania grupowego
•projektanci dążą do najmniejszej liczby typów kanałów abstrakcyjnych zdolnych obsłużyć największą liczbę aplikacji
8484
Wydajny podział zasobów- niezawodność
Niezawodność
•niezawodna dostawa komunikatów jest jedną z najważniejszych funkcji, jakie sieć powinna zapewnić
•sieć komputerowa nie działa jednak w doskonałym świecie •istnieją trzy klasy uszkodzeń:
8585
Wydajny podział zasobów- niezawodność
1. błędy bitów (bit errors) mogą się pojawić gdy pakiet jest przesyłany przez łącze fizyczne (1 - 0 lub (0 - 1)
• częściej niż uszkodzenia pojedynczych bitów następuje
błąd seryjny (burst error) uszkodzenie kilku kolejnych bitów
• powody: uderzenie pioruna, skoki napięcia
• błędy bitów są rzadkie: jeden bit z 108 lub 107 w kablu miedzianym, lub jeden z 1012 lub 1014 bitów w światłowodzie
• istnieją techniki wykrywania i poprawiania błędów; w poważnych wypadkach pakiet trzeba przesłać powtórnie
8686
Wydajny podział zasobów- niezawodność
2.utrata całego pakietu
•np. w przypadku nienaprawialnego błędu pakiet musi być odrzucony
•lub z powodu oprogramowania (np. w komutatorze przekazującym pakiet z jednego łącza do drugiego)
•z powodu przeciążenia sieci- brak miejsca w buforze na zapamiętanie pakietów (problem: czy pakiet został stracony czy tylko jest opóźniony)
8787
Wydajny podział zasobów- niezawodność
3. uszkodzenie na poziomie węzła i łącza
•przecięcie łącza lub awaria komputera przyłączonego do danego łącza
•uszkodzenia mogą być naprawione, ale mają radykalny wpływ na sieć w dłuższym okresie czasu
•możliwe jest np. obejście uszkodzonego węzła w sieci z komutacją pakietów
•problemy: rozróżnienie czy komputer jest uszkodzony czy tylko działa wolniej; czy łącze jest całkowicie przecięte czy tylko poważnie uszkodzone.
8888
Wydajny podział zasobów- efektywność
Efektywność
•sieć jest wykorzystywana do wymiany danych przez prowadzone na wielu komputerach obliczenia rozproszone
•skuteczność tych obliczeń często zależy bezpośrednio od wydajności, z jaką sieć dostarcza dane
8989
Wydajny podział zasobów- efektywność
Szerokość pasma i opóżnienie
• efektywność sieci mierzymy na podstawie dwóch wielkości:
• pasma (bandwith) zwanego również przepustowością (throughput), oraz
• opóżnienia (latency, delay)
9090
Wydajny podział zasobów- efektywność 1. szerokość pasma sieci
• określa się przez liczbę bitów, które mogą być przesłane przez sieć w pewnym czasie (łącza cyfrowe)
• np. przepustowość 10 milionów bitów na sekundę (Mb/s) oznacza, że jest ona zdolna dostarczyć 10 milionów bitów w ciągu każdej sekundy
• niekiedy wygodniej wyobrażać sobie szerokość pasma za pomocą ilości czasu potrzebnego do przesłania każdego bitu danych
• dla sieci o szerokości pasma 10 Mb/s czas ten wynosi 0.1 mikrosekundy
• w przypadku kanału analogowego (np. głosowe łącze telefoniczne) łącze wspomaga sygnały w zakresie od 300 do 3300 Hz, a szerokość pasma wynosi 3300Hz - 300 Hz = 3000Hz
9191
Wydajny podział zasobów- efektywność
rys. można przyjąć że bity przesyłane w danej szerokości pasma mają określoną szerokość (a) bity nadawane w szerokości pasma 1 Mb/s (każdy bit o szerokości 1 mikrosekundy); (b) bity nadawane o szerokości pasma 2 Mb/s (każdy bit o szerokości 0.5 mikrosekundy)
9292
Wydajny podział zasobów- efektywność
•w przypadku pojedynczego łącza fizycznego szerokość pasma to liczba bitów przesyłanych w 1 sekundzie
•o pojedynczym bicie możemy myśleć jako o impulsie pewnej szerokości
•im technika nadawania i odbioru jest lepsza, tym każdy bit może być węższy, a szerokość pasma większa
9393
Wydajny podział zasobów- efektywność
2. opóżnienie
•jest to czas w którym pojedynczy bit przemieszcza się z jednego końca sieci na drugi może mieć czas oczekiwania równy 24 mikrosekundy (4800 km szerokości USA)
•w wielu sytuacjach ważniejsza jest wiedza o czasie przesłania bitu z jednego końca na drugi i z powrotem; takie opóżnienie to czas podróży w obie strony (round-trip-time, RTT )
9494
Wydajny podział zasobów- efektywność
•całkowite opóźnienie w łączu można zdefiniować: opóźnienie = opóźnienie propagacji + czas transmisji + czas kolejkowania
opóźnienie propagacji = odległość / prędkość światła
prędkość światła w:
próżni: 3.0*108 m/s
kablu miedzianym: 2.3*108 m/s
Swiatłowodzie:2.0*108 m/s
•czas transmisji = rozmiar / szerokość pasma
odległość - długość kabla prędkość światła - efektywna prędkość światła w tym
kablu rozmiar- rozmiar pakietu
9595
Wydajny podział zasobów- efektywność
•szerokość pasma sieci będzie się stale poprawiać, opóźnienie programu jest jednak ograniczone przez prędkość światła
•kombinacja szerokości pasma i opóźnienia definiuje charakterystykę efektywności danego łącza; ich znaczenie zależy jednak od aplikacji
•dla pewnych zastosowań opóźnienie dominuje nad szerokością pasma, np. klient nadający jednobajtowy komunikat do serwera i odbierający jednobajtowy komunikat jest ograniczony opóźnieniem
9696
Wydajny podział zasobów- efektywność
• załóżmy, że dla jakiejś aplikacji do przygotowania odpowiedzi nie są wymagane żadne poważne obliczenia
aplikacja korzystająca z kanału przechodzącego przez całe USA, z czasem RTT równym 100 ms , zachowa się odmiennie od aplikacji korzystającej z kanału
przechodzącego przez jeden pokój z RTT = 1ms
czy kanał ma szerokość pasma 1Mb/s czy 100 Mb/s jest w tym przypadku mało istotne (czasy transmisji
odpowiednio 8 i 0,08 mikrosekund ; )
9797
Wydajny podział zasobów- efektywność
•rozważmy dla porównania program biblioteki cyfrowej, który odbiera żądanie przysłania obrazu o rozmiarze 25MB (megabajtów)
szerokość pasma kanału ma tu dominujący wpływ
np. jeżeli kanał ma szerokość pasma 10Mb/s to przesłanie obrazu zajmie 20 sekund , co powoduje, że jest nieistotne czy opóżnienie propagacji kanału wynosi 1ms czy 100ms; będzie to odpowiadało czasom odpowiedzi 20.001s lub
20.1s
9898
Wydajny podział zasobów- efektywność
9999
Wydajny podział zasobów- efektywność
•rysunek pokazuje (skala logarytmiczna) jak opóźnienie lub szerokość pasma może wpływać (zdominować) efektywność w rożnych okolicznościach
obiekt jednobajtowy (naciśnięcie klawisza)
obiekt o rozmiarze 2 kB (e-mail)
obiekt o rozmiarze 1 MB (obraz cyfrowy)
100100
Wydajny podział zasobów- efektywność
Iloczyn: opóźnienie * szerokość pasma
101101
Wydajny podział zasobów- efektywność
•o kanale między parą procesów możemy myśleć jako o pustej rurze, gdzie opóźnienie odpowiada długości rury, a szerokość pasma odpowiada średnicy rury.
•iloczyn opóźnienie * szerokość pasma czyli objętość rury - określa liczbę bitów, którą może ona pomieścić
•np. transkontynentalny kanał z opóźnieniem w jednym kierunku równym 50 ms i szerokością pasma równa 45 Mb/s jest zdolny pomieścić
50 * 10-3s * 45 * 106 bitów/s = 2.25 * 106 bitów czyli około 280 kB danych
102102
Wydajny podział zasobów- efektywność
•znajomość tego iloczynu jest ważna podczas konstruowania sieci o wysokiej efektywności:
określa on liczbę bitów, które nadajnik musi wysłać, zanim pierwszy bit dotrze do odbiornika
jeżeli nadajnik oczekuje na jakikolwiek sygnał od odbiornika, że bity zaczęły napływać, a kolejne opóźnienie zajmuje
propagacja sygnału z powrotem do nadajnika (myślimy o RTT), wtedy nadajnik może wysłać dane aż do podwojonej wartości tego iloczynu, zanim usłyszy od odbiornika, że wszystko jest w porządku
•w większości przypadków interesujemy się czasem podróży w obie strony (RTT), który odnosimy do iloczynu opóźnienie * szerokość pasma , bez wyraźnego określenia, czy iloczyn jest mnożony przez dwa ( czy to opóźnienie w jedną czy w dwie strony - będzie wynikało z kontekstu)
103103
Subnetting- czyli podsieciowanie
Wykład przedostatni
Przykłady, pytania, odpowiedzi
104104
Subnetting- czyli podsieciowanie
1. Co to jest adres IP
Adres IP składa się z 4 oktetów lub inaczej - 32 bitów. Zazwyczaj jest reprezentowany za pomocą oddzielonych od siebie kropkami 4 liczb decymalnych np.: 131.107.2.205. Każdy numer reprezentuje oktet. Oktet to grupa 8 bitów. Jeżeli nasz adres składa się z 4 oktetów, to mamy 8*4=32 bity.
Komputery nie rozumieją notacji decymalnej, funkcjonują tylko w oparciu o format binarny, czyli 1 lub 0. Dlatego musimy znaleźć sposób na przejście z formatu dziesiętnego na binarny. Zrobimy to oktet po oktecie.
105105
Subnetting- podsieciowanie
Każdy bit w oktecie odpowiada liczbie w systemie dziesiętnym:
Nr bitu 1 2 3 4 5 6 7 8
Wartość 128 64 32 16 8 4 2 1
Przykład:
Mamy następujący adres IP: 131.107.2.4. Przełóżmy go na system binarny oktet po oktecie:
131:
Wartość 128 64 32 16 8 4 2 1
Binarnie 1 0 0 0 0 0 1 1
106106
Subnetting- podsieciowanie
Kolumnie z jedynką zliczamy odpowiednie wartości:
128+2+1=131
107:
Wartość 128 64 32 16 8 4 2 1
Binarnie 0 1 1 0 1 0 1 1
Stosując powyższą metodę mamy: 64+32+8+2+1=107
107107
Subnetting- podsieciowanie
Wartość 128 64 32 16 8 4 2 1
Binarnie 0 0 0 0 0 0 1 0
Tutaj mamy prostą sytuację. Wynik 2.
Wartość 128 64 32 16 8 4 2 1
Binarnie 0 0 0 0 0 1 0 0
Sytuacja jak wyżej. Wynik 4.
108108
Subnetting- podsieciowanie
Zapiszemy teraz nasz adres 131.107.2.4 w notacji binarnej:
10000011.01101011.00000010.00000100
Adres IP składa się z dwóch różnych części: Numeru sieci i Numeru hosta. Kiedy próbujemy zapingować jakiś adres IP, powłoka 3 próbuje sprawdzić czy adres IP jest lokalny czy zdalny dla naszej sieci. Aby to wytłumaczyć, posłużę się przykładem z życia:
Dla przykładu, Ja mieszkam w Poznaniu. Ty mówisz, że też mieszkasz w Poznaniu. Czy jesteśmy sąsiadami ? Możemy być, lub nie. Nie mamy dość informacji aby odpowiedzieć na to pytanie. Kiedy będziemy mogli być sąsiadami ?Jeżeli mieszkamy w tym samym mieście i na tej samej ulicy to jesteśmy sąsiadami. Jeżeli nie mieszkamy w tym samym mieście, to nie ważna jest już ulica, ponieważ na pewno nie jesteśmy sąsiadami.
To samo odnosi się do adresów IP. Zanim system sprawdzi jaki jest numer hosta (ulica) sprawdza jaki jest numer sieci (miasto) - stad wie, czy jest to ta sama sieć czy inna.
109109
Subnetting- podsieciowanie
2. Co to jest maska sieci ?
Maska sieciowa jest stosowana, aby rozpoznać czy adres IP z którym próbujemy się skontaktować należy do tej samej sieci co nasz, czy do innej. Pomaga sprawdzić która część adresu IP to numer sieci a która jest numerem hosta. Jak to się dzieje ?
Przyjrzyjmy się przykładowej masce sieciowej: 255.255.255.0Jest ona zapisana w formacie decymalnym oddzielonym kropkami. Musimy ją przetłumaczyć komputerowi na format binarny.
110110
Subnetting- podsieciowanie
255:Wartość 128 64 32 16 8 4 2 1
Binarnie 1 1 1 1 1 1 1 1
Zliczamy odpowiednie cyfry przy jedynkach:128+64+32+16+8+4+2+1=255
0:
Wartość 128 64 32 16 8 4 2 1
Binarnie 0 0 0 0 0 0 0 0
Tutaj nie ma co liczyć. W wyniku mamy 0.
Wiemy już, że 255 to same jedynki, a 0 to same zera.Binarnie to wygląda następująco:
11111111.11111111.11111111.00000000
111111
Subnetting- podsieciowanie
Jeżeli połączymy nasz adres IP i maskę sieciową otrzymamy:
131.107.2.4 10000011 01101011 00000010 00000100
255.255.255.0 11111111 11111111 11111111 00000000
Bity numeru sieci zostały zaznaczone na czerwono, a bity hosta na niebiesko. Wszystkie bity sieciowe w adresie IP mają wartość "1" w masce sieciowej, a bity hosta mają "0" w masce sieciowej. Proste, prawda ??W naszym przykładzie numer sieci to 131.107.2, a numer hosta to 4.Jeżeli zmienię maskę sieciową na 255.255.0.0, to co się stanie ? Zobaczmy na przykładzie:
112112
Subnetting- podsieciowanie
131.107.2.4 10000011 01101011 00000010 00000100
255.255.0.0 11111111 11111111 00000000 00000000
Okazuje się, że numer sieci to 131.107 a numer hosta 2.4.To jest dowód na to, że adres IP nie może istnieć bez maski sieciowej
Spójrzmy na dwa poniższe adresy:
131.107.2.4 i 131.107.5.6
Są to adresy lokalne dla siebie nawzajem, czy nie ??Nie możemy odpowiedzieć na to pytanie ponieważ jest ono niekompletne. Musimy znać maskę sieciową, aby udzielić odpowiedzi. Spróbujmy z maską 255.255.255.0.
113113
Subnetting- podsieciowanie
131.107.2.4 10000011 01101011 00000010 00000100
131.107.5.6 10000011 01101011 00000101 00000110
255.255.255.0 11111111 11111111 11111111 00000000
Czy numer sieci się zgadza ?? Spójrzmy na 3 oktet:
0 0 0 0 0 0 1 0
0 0 0 0 0 1 0 1
Jeżeli numer sieci się nie pokrywa, to 2 numery IP należą na pewno do różnych sieci. Aby komputery z jednej sieci do drugiej mogły się przedostać potrzebujemy router-a.
Spróbujmy z inną maską:
114114
Subnetting- podsieciowanie
131.107.2.4 10000011 01101011 00000010 00000100
131.107.5.6 10000011 01101011 00000101 00000110
255.255.0.0 11111111 11111111 00000000 00000000
Czy teraz numery sieci pasują do siebie ?? TAK
Jeżeli 2 numery sieci pasują do siebie, oba adresy IP należą do tej samej sieci.
115115
Subnetting- podsieciowanie
3. Co oznaczają klasy IP ?
Na pewno słyszeliście o klasach adresów IP nazywanych literkami A, B i C. Jak to działa ?Spójrzmy na następującą tabelkę:
Klasa A 1 - 127* 0xxxxxxx
Klasa B 128 - 191 10xxxxxx
Klasa C 191 - 223 110xxxxx
116116
Subnetting- podsieciowanie * adres zaczynający się na 127 to część klasy A, ale nie można używać adresów 127.x.x.x ponieważ są one zarejestrowane dla adresu pętli zwrotnej komputera lokalnego.
Co to oznacza ? Jeżeli mówimy o klasie adresu IP, należy patrzeć tylko na pierwszy oktet, aby określić z jakiej klasy jest adres.
Dla klasy A, pierwszy oktet na pewno będzie się zaczynał od 0. Najniższy bit pierwszego oktetu to 00000001, a najwyższy to 01111111 (dziesiętnie to przedział od 1 do 127).
Dla klasy B, pierwszy oktet na pewno będzie się zaczynał od 10. Najniższy bit pierwszego oktetu to 10000000, a najwyższy to 10111111 (dziesiętnie to przedział od 128 do 191).
Dla klasy C, pierwszy oktet na pewno będzie się zaczynał od 110. Najniższy bit pierwszego oktetu to 11000000, a najwyższy to 11011111 (dziesiętnie to przedział od 192 do 223).
Istnieją odpowiednie maski sieciowe dla odpowiednich klas:
Klasa A 255.0.0.0
Klasa B 255.255.0.0
Klasa C 255.255.255.0
117117
Subnetting- podsieciowanie
Oczywiście możemy stosować różne maski dla adresów z różnych klas w zależności co chcemy osiągnąć. Tak było w przypadku adresów 131.107.2.3 i 131.107.5.6 przy masce z klasy C 255.255.255.0.
4. Co to jest subnetting ??
Subnetting - po Polsku podsieciowanie, to akcja mająca na celu podzielenie puli (zakreu) adresów IP z tej samej sieci na kilka podsieci - gdzie adres IP z jednego zakresu będzie adresem zdalnym z innego zakresu.
Jeżeli chcesz wiedzieć ile hostów (komputerów) masz w zakresie IP, najpierw musisz sprawdzić ile masz bitów. Spróbujmy na poprzednim przykładzie z adresem 131.107.2.4 i maską 255.255.255.0. Z poprzednich przykładów wiemy, że adres sieci to 131.107.2 a adres hosta to 4. innymi słowy mamy 3 oktety dla numeru sieci i 1 dla numeru hosta. Kiedy już wiemy ile bitów przypada na numer hosta możemy skorzystać z następującej reguły:
118118
Subnetting- podsieciowanie ((2^N)-2) = ilość hostów, gdzie N to ilość bitów przypadających na numer hosta
To daje nam: ((2^8)-2) = 254 hosty
Wnioskujemy, że mamy do czynienia z siecią 131.107.2.x, w której możemy zaadresować do 254 lokalnych hostów.
Co się stanie, kiedy wybierzemy maskę z klasy A ? Zobaczmy:
((2^24)-2) = 16 777 214 poprawnych adresów IP w jednym zakresie !
Co, jeżeli nie potrzebujemy tylu hostów ?? Właściwym rozwiązaniem byłoby podzielenie tego wielkiego zakresu na kilka(naście) mniejszych - łatwiejszych w zarządzaniu. Z pomocą przychodzi nam podsieciowanie. Stwórzmy podsieci,
Dlaczego we wzorze mamy minus 2 hosty ?? Ponieważ tracimy numery z samymi zerami (które oznaczają numer sieci) oraz numery z samymi jedynkami (które oznaczają adres brodcast).
119119
Subnetting- podsieciowanie
Aby odpowiednio podzielić zakres na podsieci możemy skorzystać z tabelki:
Wartość 128 64 32 16 8 4 2 1
Maska podsieci
192 224 240 248 252 254 255
Ilość podsieci
2 6 14 30 62 126 254
To jedyna tabelka, którą należy zrozumieć, aby poprawnie obliczyć podsieci.Pierwsza linia jest oczywista, więc nie będę jej znów opisywał. Druga linia mówi nam jaką maskę musimy przyjąć (chodzi o oktet w którym normalnie jest 0). Skąd się wzięły te wartości ? Jeżeli dodamy wartość z poprzedzającej linii 2 do wartości z linii 1 to otrzymamy:
128+64=192+32=224+16=240+8=248+4=252+2=254+1=255
Proste ?
120120
Subnetting- podsieciowanie
Trzecia linia mówi nam ile podsieci otrzymamy przy wykorzystaniu maski podsieci z odpowiedniej drugiej linii. Innymi słowy: jeżeli użyjesz 192 w twojej masce sieciowej otrzymasz 2 podsieci.
Jak otrzymałem te wartości ?Ile bitów muszę ustawić, aby otrzymać 192 ? Hmmm, dodaję 128 i 64, więc są to 2 bity.Możemy utworzyć wzór: ((2^2)-2)=2
121121
Subnetting- podsieciowanie
Przykład podsieciowania.
Mamy zakres IP o adresie 131.107.0.0 i masce 255.255.0.0. Chcemy mieć 6 podsieci. Co robimy ?
Spoglądamy na tabelkę powyżej i widzimy, że aby podzielić zakres na 6 podsieci potrzebujemy maski 224. Nasza maska w tej chwili wygląda tak:
255.255.0.0 11111111.11111111.00000000.00000000
122122
Subnetting- podsieciowanie
Nie możemy "zabrać" żadnych bitów z numeru sieci ponieważ mamy tam same jedynki. Możemy tylko zrobić to z numerem hosta. Zamieniamy zatem trzeci oktet na naszą podsieć. W wyniku otrzymujemy 255.255.224.0. Binarnie to wygląda następująco:
255.255.224.0 11111111.11111111.11100000.00000000
Zabraliśmy zatem 3 bity z numeru hosta. Zamieniliśmy je na "1". Te trzy bity to: 128+64+32=224
Możemy teraz wyliczyć ile hostów możemy zaadresować w naszych podsieciach.Zera oznaczają numery hostów, więc:
((2^13)-2)=8190 hostów na zakres
123123
Subnetting- podsieciowanie
Odpowiedź na nasze przykładowe pytanie jest następująca:Nasza nowa maska sieciowa dla sieci 131.107.x.x to 255.255.224.0, przy której możemy stworzyć 6 podsieci z 8190 hostami w każdej z nich.
Postawmy następne pytanie: Jakie są te przedziały ??
Nasze dane zebrane do tej pory to:
Oryginalny zakres IP: 131.107.x.xOryginalna maska sieciowa: 255.255.0.0
Maska podsieciowa: 255.255.224.0Ilość podsieci: 6
Pierwszy poprawny zakres adresów IP to 131.107.32.1 - 131.107.63.254.Jak go uzyskałem ? Już piszę ….
124124
Subnetting- podsieciowanie
Po prostu odpowiedziałem sobie na pytanie: Jaki jest najniższy bit potrzebny do uzyskania mojej maski podsieciowej 224 ?? Odpowiedź to: 32 (pamiętacie: 128+64+32=224). Mamy teraz więcej danych:
Wartość dziesiętna najniższego bitu 32
Maska podsieciowa 224
Ilość podsieci 6
Obrazowo można to przedstawić tak:
Aby uzyskać 6 podsieci musimy użyć maski 224 i rozpocząć nasz pierwszy zakres od 32. Kolejne zakresy tworzymy inkrementując (zwiększając) nasze bity o 32.
Nasz zakresy będą wyglądać następująco:
125125
Subnetting- podsieciowanie
131.107.32.1 - 131.107.63.254131.107.64.1 - 131.107.95.254131.107.96.1 - 131.107.127.254131.107.128.1 - 131.107.159.254131.107.160.1 - 131.107.191.254131.107.192.1 - 131.107.223.254
Jak widać, aby uzyskać następny zakres, po prostu zwiększam trzeci oktet o 32 (cyfry na czerwono). Z kolei wartości na niebiesko to następne wartości czerwone pomniejszone o 1.
126126
Subnetting- podsieciowanie
OK. Spróbujmy teraz stworzyć zakresy dla sieci z klas A i C.
Oryginalny zakres IP: 10.x.x.xOryginalna maska sieciowa: 255.0.0.0
Ilość potrzebnych podsieci: 14
Aby uzyskać 14 podsieci należy użyć maski 240, dlatego nasza nowa maska będzie następująca: 255.240.0.0.
Uwaga!!! Najniższy bit jest teraz w oktecie 2 a nie w 3.
Wartość najniższego bitu w 240 to 16. Dlatego zaczynamy nasze zakresy od 16 i zwiększamy o 16.
Wynik:
127127
Subnetting- podsieciowanie
10.16.0.1 - 10.31.255.254 10.128.0.1 - 10.143.255.254
10.32.0.1 - 10.47.255.254 10.144.0.1 - 10.159.255.254
10.48.0.1 - 10.63.255.254 10.160.0.1 - 10.175.255.254
10.64.0.1 - 10.79.255.254 10.176.0.1 - 10.191.255.254
10.80.0.1 - 10.95.255.254 10.192.0.1 - 10.207.255.254
10.96.0.1 - 10.111.255.254 10.208.0.1 - 10.223.255.254
10.112.0.1 - 10.127.255.254 10.224.0.1 - 10.239.255.254
128128
Subnetting- podsieciowanie
Teraz zróbmy to samo dla klasy C. Pamiętajcie, że klasa C jest najtrudniejsza, więc bądźcie ostrożni !!
Oryginalny zakres IP: 192.168.2.xOryginalna maska sieciowa: 255.255.255.0
Ilość potrzebnych podsieci: 6
Aby uzyskać 6 podsieci musimy użyć maski 224, dlatego nasza nowa maska podsieniowa będzie następująca: 255.255.255.224. Nasz bit podsieniowy jest teraz w 4 oktecie, nie w trzecim lub drugim tak jak to było w poprzednich przykładach. To będzie bardzo ważne przy tworzeniu podsieci.
Jaka jest wartość najniższego bitu ?? 32. Dlatego nasz pierwszy zakres będzie się zaczynał od 32 w czwartym oktecie i będzie zwiększany o 32.
Nasze zakresy powinny wyglądać tak:
129129
Subnetting- podsieciowanie
192.168.2.33 - 192.168.2.62 192.168.2.129 - 192.168.2.158
192.168.2.65 - 192.168.2.94 192.168.2.161 - 192.168.2.190
192.168.2.97 - 192.168.2.126 192.168.2.193 - 192.168.2.222
Zaraz, zaraz. Miało się zaczynać od 32. O co chodzi ??
130130
Subnetting- podsieciowanie
Pamiętacie poprzednie przykłady ? Zawsze startowaliśmy od .1 (w czwartym oktecie). Dlatego przykład z klasą C jest wyjątkowy. Więc dlaczego nie możemy zacząć od adresu 192.168.2.32 z maską 255.255.255.224 ? Spójrzmy na tabelkę poniżej:
192.168.2.32 11000000 10101000 00000010 00100000
255.255.255.254 11111111 11111111 11111111 11100000
Wychodzi na to, że numer hosta składa się z samych zer. Ten adres jest zabroniony !!!
131131
Wykład- jeden z ostatnich Wykład- jeden z ostatnich
Sieci komputerowe
Wykład: Ochrona systemów i sieci komputerowych
132132
Ochrona systemów i sieci komputerowych
Rozróżniamy dwa podstawowe sposoby ochrony:• ochrona kryptograficzna;• rozgraniczenie dostępu;
Problem bezpieczeństwa nie został definitywnie rozwiązany, choć wydawałoby się, że jest to problem o małej złożoności. Błąd w podejściu do bezpieczeństwa sieci i systemów został popełniony w przeszłości. Nikt nie przypuszczał, że nastąpi taki rozwój sieci, że problemy bezpieczeństwa będą miały aż taką wagę.Niestety zakres zagrożeń przerósł wyobrażenia ludzi, którzy tworzyli podstawy protokołów, sieci. Podstawowy protokół IP liczy 30 lat. Dane przesyłane w nim są otwartymtekstem, więc nie trzeba wiele wysiłku aby przejąć np. hasło wysyłane tym protokołem. Nie warto jednak zmieniać i modyfikować protokołu, ponieważ wiele programów po zmianie nie współpracowałoby z IP. Modyfikacja programów wymagała by ogromnych nakładów finansowych. Z tego powodu bezpieczeństwo w samej sieci nie jest zapewnione.
133133
Ochrona systemów i sieci komputerowych
Rozgraniczanie dostępu- na poziomie sieci i systemu operacyjnego;-zapewnienie niekolizyjności zadań, a nie tylko ochrona danych przed innymi użytkownikami.
Przykład: zapory ogniowe, bramkowanie
Ochrona kryptograficzna
- ochrona poufałości- ochrona autentyczności
Przykład: podpis cyfrowy
Zazwyczaj w ochronie systemów i sieci nie stosuje się tylko jednego rodzaju zabezpieczeń, lecz wielu różnych. Więcej zabezpieczeń to większe prawdopodobieństwo, że nasze dane będą bezpieczne – potencjalny intruz może nie dać rady przełamać wszystkich zabezpieczeń, lub może się po prostu zniechęcić.
134134
Ochrona systemów i sieci komputerowych
Przykład: W drogim samochodzie jest wiele alarmów, ale np. alarm w trabancie może przewyższyć cenę samego auta.Czyli jeśli mamy system, który łatwo odtworzyć i nie mamy w nim danych, które mogłyby kogoś interesować to nie warto inwestować w zaawansowane zabezpieczenia.
Narzędzia kryptografii wykorzystywane są do ochrony poufności i autentyczności. Rozgraniczanie dostępu może być funkcją systemu operacyjnego lub samej sieci (ściany ogniowe – zapory).
135135
Ochrona systemów i sieci komputerowych
1. OCHRONA KRYPTOGRAFICZNA
1.1 Model systemu kryptograficznego
136136
Ochrona systemów i sieci komputerowych
Pierwszym elementem w systemie ochrony kryptograficznej jest tekst jawny, najczęściej generowany przez użytkownika. W systemie komputerowym zostaje on przetworzony do postaci zero- jedynkowej.
Szyfrowanie polega na przetwarzaniu takich właśnie ciągów binarnych.
Szyfrowania nie należy mylić z kodowaniem.
137137
Ochrona systemów i sieci komputerowych
Następnym elementem jest szyfrator, na wyjściu którego uzyskujemy tekst tajny (kryptogram).Szyfrowanie może następować programowo lub sprzętowo. Algorytmy szyfrowania są bardzo złożone obliczeniowo, aby przyśpieszyć ten proces często wykorzystywane jest szyfrowanie sprzętowe. Poza tym, gdyby proces miał być wykonywany programowo, wszystkie dane znajdowałyby się w systemie operacyjnym, gdzie możliwe by było udostępnienie tekstu jawnego i tajnego niepowołanym osobom.
Szyfrator pracuje w oparciu o algorytmy szyfrowania. Na świecie istnieje około 800 takich algorytmów. Większość z nich jest jawna, tylko kilka jest utajnionych, ponieważ znajomość działania algorytmu nie pozwala na odszyfrowanie tekstu tajnego.
Kryptoanalityk aby odszyfrować tekst, potrzebuje kawałek tekstu jawnego i kawałek tekstu tajnego, a nie interesuje się metodą szyfrowania.
138138
Ochrona systemów i sieci komputerowych
Algorytmy szyfrowania opierają się na dwóch podstawowych operacjach:• podstawiania• przestawiania.
To, jakie operacje wykorzystujemy w algorytmie zależy od rodzaju szyfrowania. Jeśli ten sam klucz wykorzystywany jest do deszyfrowania i szyfrowania, to prawie wyłącznie stosujemy podstawianie i przestawianie.
W przypadku dwóch komplementarnych kluczy w ogóle nie wykorzystywane są operacje podstawiania i przestawiania, tylko inne złożone operacje obliczeniowe.
Klucz to tajna informacja, która opisuje sposób przekształcania tekstu do postaci niezrozumiałej i odwrotnie. Decyduje w znacznym stopniu, jak silne jest szyfrowanie.
139139
Ochrona systemów i sieci komputerowych
1.2 Szyfrowanie symetryczne (klasyczne lub z kluczem tajnym)
W szyfrowaniu tym operacje szyfrowania i deszyfrowania realizowane są z wykorzystaniem jednego i tego samego klucza.
140140
Ochrona systemów i sieci komputerowych
W przypadku szyfrowania symetrycznego musi istnieć bezpieczny kanał przesyłania klucza, gdyż klucz musi być taki sam u nadawcy i odbiorcy, a jest to klucz jest tajny. Poza tym każda para użytkowników chcąc szyfrować wiadomości do siebie musiałaby mieć unikalny klucz prywatny. W ten sposób liczba wykorzystywanych kluczy w przypadku korespondencji z wieloma osobami wzrasta nam do olbrzymich rozmiarów.Stosowanie szyfrowania symetrycznego jest wygodne gdy mamy stałe, jedno połączenie, np. transfer filia – bank.
Do wad kryptografii symetrycznej odnosimy:- konieczność tworzenia bezpiecznego kanału przesyłania kluczy;- znaczna liczba kluczy.Jego zaletami są:- wysoka szybkość szyfrowania (operacje proste do wykonania w systemie nie powodują opóźnień);-bardzo wysoki stopień ochrony.
Z założenia życie kluczy jest na tyle krótkie, że gdyby nawet zaszyfrowany klucz wpadł w ręce kryptoanalityka, to nie ma on na tyle czasu żeby go złamać.
141141
Ochrona systemów i sieci komputerowych
HistoriaPierwsze szyfry pojawiły się w czasach rzymskich (około roku 100 p.n.e.) w czasie panowania Juliusza Cezara. Początkowo były to szyfry bez klucza.
Szyfry z kluczem to lata 20-te XX wieku, wykorzystywane podczas Pierwszej Wojny Światowej. Pierwszy profesjonalny klucz powstał w 1969 roku – “Lucifer”, zaś pierwszy akredytowany to DES (1977) .
142142
Ochrona systemów i sieci komputerowych
1.3 Szyfrowanie asymetryczne
W szyfrowaniu tym operacje szyfrowania i deszyfracji odbywają się z wykorzystywaniem pary komplementarnych kluczy.
Szyfrowanie ma dwa cele:- ochronę poufności – tj. udostępnianie informacji wyłącznie tym osobom, którzy posiadająuprawnienia (np. poczta elektroniczna)- ochronę autentyczności
W przypadku szyfrowania symetrycznego, gdy klucz nie jest skompromitowany (czyli nie wpadł w ręce niepowołanych osób), wraz z ochroną poufności otrzymujemy również ochrona autentyczności.
Inaczej sprawa ma się z szyfrowaniem asymetrycznym. Szyfrowanie asymetryczne może chronić jedynie poufność, jedynie autentyczność, lub i poufność i autentyczność.
143143
Ochrona systemów i sieci komputerowych
144144
Ochrona systemów i sieci komputerowych
W celu ochrony poufności nadawca szyfruje wiadomość kluczem publicznym odbiorcy. Tylko klucz prywatny, który znajduje się w rękach odbiorcy, może rozszyfrować kryptogram.Nadawca może więc być pewien, że nikt inny nie przeczyta wiadomości.Klucz publiczny jest dostępny, jawny, może być rozpowszechniany przez strony www, przez centralne bazy danych kluczy itd. Natomiast klucz prywatny jest tajny, powinien być chroniony.
W przypadku szyfrowania asymetrycznego pojawia się problem stworzenia kluczy komplementarnych, tak aby posiadanie klucza publicznego nie pomagało w deszyfracji. Aktualnie do tworzenia klucza wykorzystuje się duże liczby pierwsze od 2250.
Wady:- duża złożoność obliczeniowa (1000 – 10000 razy większa niż szyfrowania symetrycznego);- moc szyfrowania jest mniejsza.
Standardowo szyfrowanie symetryczne to klucz 56-bitowy, aby uzyskać taką samą moc w szyfrowaniu asymetrycznym należałoby posłużyć się kluczem 512-bitowym.
145145
Ochrona systemów i sieci komputerowych
146146
Ochrona systemów i sieci komputerowych
Do ochrony autentyczności wykorzystuje się klucz nadawcy. W celu zaszyfrowania wiadomości nadawca szyfruje wiadomość swoim kluczem prywatnym. Nikt inny nie zna tego klucza, więc odbiorca deszyfrujący kluczem publicznym nadawcy może być spokojny, że nadawca jest tym za kogo się podaje.
W przypadku gdy chce się aby była chroniona zarówno autentyczność jak i poufność wiadomości, można stosować szyfrowanie wiadomości najpierw kluczem prywatnym nadawcy, a następnie kluczem publicznym odbiorcy.
Istnieją również inne metody szyfrowania, np.:
- losowe, budowane są generatory pseudolosowe synchronizowane, skuteczne, gdy nie uda się zdobyć kawałka tekstu jawnego i tajnego;
- stenagografia – polega na ukrywaniu w pewnych formatach danych informacje tajne, ujawnienie takiego algorytmu wiąże się z jego kompromitacją.
147147
Ochrona systemów i sieci komputerowych
1.4 Podpisy cyfrowe
Podpis cyfrowy to ochrona autentyczności realizowana z wykorzystywaniem funkcji skrótu i kryptografii asymetrycznej. Podpisywany dokument jest skracany z wykorzystaniem funkcji haszującej.
Otrzymany w ten sposób skrót o stałej długości jest szyfrowany metodą ochrony autentyczności. Następnie podpis i tekst jawny są konkatenowane. W takiej postaci są one przesyłane do odbiorcy. Odbiorca oddziela tekst jawny od podpisu. Deszyfruje podpis, a następnie porównuje go z uzyskanym samodzielnie skrótem tekstu jawnego. Identyczność obu skrótów gwarantuje autentyczność tekstu jawnego.
148148
Ochrona systemów i sieci komputerowych
Jeśli chcemy przesłać jawny dokument w sposób wiarygodny, możemy wykorzystać szyfrowanie asymetryczne z ochroną autentyczności, ale w ten sposób musielibyśmy szyfrować cały dokument, co często jest niewygodne. Dlatego właśnie zastosowano podpis cyfrowy.
Najpierw otrzymujemy skrót dokumentu (hash), który jest ciągiem o określonej długości (128b – 4 kb). Niewielkie zmiany w dokumencie powodują duże zmiany w skrócie (zmiana 1 bitu to zmiana 99% bitów w skrócie). Widać więc, że skrót jest bardzo wrażliwy na manipulacje. Przesyłamy do odbiorcy jawny dokument plus zaszyfrowany hash (szyfrowanie asymetryczne z ochroną autentyczności). Odbiorca sam tworzy jeszcze raz skrót dokumentu i porównuje go z otrzymanym. Jeśli uzyskany skrót jest identyczny ze skrótem rozszyfrowanym, to wiadomość jest wiarygodna.
149149
Ochrona systemów i sieci komputerowych
2. ROZGRANICZANIE DOSTĘPU
2.1 Ściany ogniowe
W najprostszym przypadku ściana ogniowa jest bramą łączącą sieć prywatną z siecią publiczną.
150150
Ochrona systemów i sieci komputerowych
Przedstawiona architektura realizowana jest najczęściej za pomocą routera ekranującego, w którym ruch jest filtrowany na podstawie specjalnej listy dostępowej. Ponieważ router jest urządzeniem funkcjonującym na bazie warstwy sieci, realizowanie zaawansowanych usług filtrujących (wyższych wartstw) jest niemożliwe. Z tego powodu kolejną architekturą jest architektura z routerem ekranującym i hostem bastionem.
151151
Ochrona systemów i sieci komputerowych
Host bastion to najczęściej komputer z wielostanowiskowym systemem operacyjnym. Gdy duży ruch jest w sieci HB może stać się wąskim gardłem sieci, poza tym ta struktura nie chroni przed atakami z wewnątrz sieci i HB można obejść.
152152
Ochrona systemów i sieci komputerowych
2.2 Polityka administrowania ścianą ogniową
• Nic co nie jest jawnie zezwolone jest zabronione.
Bardzo bezpieczna strategia. Administrator określa jakie usługi będą dostępne w sieci, z zasady niebezpieczne usługi są eliminowane. Pojawia się problem gdy w sieci jest nowy użytkownik, albo nowy problem wymagający nowej usługi. Wszystko trzeba samemu określić. Bardzo pracochłonne.
• Nic co nie jest jawnie zabronione jest zezwolone.
Metoda efektywana w działaniu, ale pogarsza parametry bezpieczeństwa. Administrator musi określić wszystkie niebezpieczne usługi.
153153
Ochrona systemów i sieci komputerowych
2.3 Polityka bezpieczeństwa
Polityka bezpieczeństwa to zestaw zasad organizacyjnych zapewniających bezpieczeństwo systemu informatycznego. W polityce zawarte są m.in.:
• zagrożenia i zakres ochrony;• zakres kompetencji i odpowiedzialności.
Podstawowymi dokumentami określającymi politykę bezpieczeństwa są:
• RFC 1224• PN-I-13335-1
Innymi elementami systemu bezpieczeństwa są:
• specyfikacja bezpieczeństwa;• model bezpieczeństwa.
154154
Ochrona systemów i sieci komputerowych
Literatura[1] “Vademecum teleinformatyka” IDG Poland S.A. 2000 r.
[2] L. Petersen, B. Davie “Sieci komputerowe – podejście systemowe” Nakom 2000 r.
[3] Tom Sheldon, “Wielka encyklopedia sieci komputerowych” Robomatic 1999 r.
[4] William Stallings, “Ochrona danych w sieci i intersieci” Wydawnictwo Naukowo- Techniczne 1997 r.
[5] J. Stokłosa, T. Bilski, T. Pankowski, „Bezpieczeństwo danych w systemach informatycznych”,Wydawnictwo Naukowe PWN 2001.
[6] Schneier Bruce, “Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowew języku C”, WNT 2002.
155155
Ochrona systemów i sieci komputerowych
156156
Ochrona systemów i sieci komputerowych
157157
Ochrona systemów i sieci komputerowych
158158
Ochrona systemów i sieci komputerowych