Ka dy host u ywaj cy stosu protoko w TCP/IP powinien mie prawid owo ustawiony adres sieciowy warstwy 3 IP. Obecnie najcz ciej u ywan implementacj adresu IP jest jej wersja 4 (IPv4). Kiedy dokonuje si konfiguracji karty sieciowej stacji roboczej czy serwera, nale y poda kilka niezb dnych warto ci (rys.): 1. adres IP hosta (IP address), np. 192.168.2.50 2. mask podsieci (subnet mask), np. 255.255.255.0 3. bramk (default gateway), 4. adresy serwerw DNS (Domain Name System): podstawowego i zapasowego.
Kiedy trzeba przedstawi adres IP w postaci binarnej, maj c jego posta dziesi tn nale y rozpocz od najstarszego oktetu: 192.168.2.50 Przy przeliczaniu z postaci dziesi tnej na dwjkow pomocna mo e by tabela obrazuj ca wagi dziesi tne dla poszczeglnych bitw:
nale y
zerami
(wynik
ostatniej
operacji
10
11
Podobnie wykonane obliczenia dla pozosta ych dwch oktetw dadz warto ci : 192.168.2.50
12
Przeliczanie adresu z postaci dwjkowej na dziesi tn odbywa si zgodnie z przedstawionym przyk adem: nale y przedstawi adres: 01011011 . 00011010 . 00100110 . 11101010. w postaci dziesi tnej.
13
14
15
16
17
18
20
21
22
23
Rys. 10. Dwie domeny broadcastowe rozdzielone routerem. Ka da domena wykorzystuje ca klas adresw IP
24
25
26
27
28
29
30
31
Wyznaczy adresy podsieci, adresy rozg oszeniowe i adresy hostw w ka dej podsieci. Jaka maksymalna liczba hostw b dzie mog a pracowa podsieci? w ka dej
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
Obliczony w ten sposb adres podsieci nale y zamieni na posta dziesi tn : 192.168.5.120. Skoro 192.168.5.120 jest adresem klasy C, to maska /29 oznacza, e po yczonych zosta o 5 bitw (trzy pierwsze oktety 24 bity s domy ln maska podsieci klasy C) na zaadresowanie podsieci. Do zaadresowania hostw pozosta y 3 bity, wi c w podsieci mo e by nie wi cej ni EAH=23-2= 6 hostw (SSSSSHHH).
49
50
51
52
53
54
56
57
58
CIDR bezklasowy routing mi dzydomenowy jest kolejn technik stosowan w celu lepszego zarz dzania adresami IP. W CIDR adres sieci jest oznaczany poprzez mask sieci. Adres sieci to ta cz adresu IP, dla ktrej maska sieci ma ustawione bity na 1. Adres hosta to ten obszar adresu IP, dla ktrego maska sieci ma ustawione bity na 0. CIDR umo liwia trasowanie pakietw w zagregowanych (po czonych) kilku kolejnych sieciach. Przyk adowo, kilka kolejnych sieci, np. klasy C, mo e zosta po czonych s w jedn , bezklasow przestrze adresow . Taka przestrze nazwana jest supersieci . W przestrzeni takiej nie obowi zuje podzia na klasy adresw (classless). Je li przedsi biorstwo potrzebuje 1000 adresw, to nale y wyznaczy liczb bitw, ktra umo liwia zaadresowanie 1000 hostw (210=1024). Dziesi bitw b dzie wi c u ywane w cz ci przeznaczonej na adresowanie hostw, a 22 okre la b d adres sieci. 11111111.11111111.11111100.00000000
59
Rysunek 15. Schemat sieci Adresy IP sieci obs ugiwanych przez poszczeglne routery przedstawione s w tabeli 19:
60
61
62
63
64
66
Wyk ad
67
68
za my, e komputer na grze (lewa strona) porozumiewa si z komputerem na grze (prawa strona), itd. w powy szej sytuacji trzy przep ywy danych s poddane multipleksacji na jednym czu fizycznym przez komutator1 a nast pnie poddane demultipleksji przez komutator2 istnieje kilka metod multipleksacji przep yww na jednym czu fizycznym
69
3. dlatego stosuje sie multipleksacj statystyczn multiplexing) dane z pierwszego przep ywu s przesy ane przez dane z drugiego... podobnnie jak w STDM
inaczej jednak ni w STDM, dane z ka dego przep ywu s przesy ane na danie, a nie we wcze niej okre lonej szczelinie czasowej je eli np. tylko jeden przep yw ma dane do przes ania, to zaczyna je przesy a bez czekania na swj kwant nie ma mechanizmu gwarantuj cego, otrzymaj szanse przes ania komunikatw e wszystkie przep ywy
aby zwi kszy tak szanse ogranicza si transmisj konkretnego 71 przep ywu definiuj c grn granice rozmiaru bloku danych
rys.komutator dokonuj cy multipleksacji pakietw od wielu nadawcw w jedno wsp dzielone cze
72
ten ograniczony blok danych nazywany jest pakietem ; komunikat aplikacji musi by podzielony na pakiety nadawane oddzielnie komputer odbiorczy ponownie po czy je w jeden komunikat jak sprawiedliwie przydziela pojemno cza r nym przep ywom? To mo e by mechanizm karuzelowy, a jescze lepiej wg. algorytmu FIFO (first-in-first-out) - pierwszy przyszed -pierwszy poszed konieczno buforowania pakietw ; mo liwo sytuacji przeci enia (congestion) sieci ich utraty w
73
74
75
intuicyjnie mo emy patrze na sie jak na dostawc kana w logicznych, przez ktre procesy z poziomu aplikacji mog si porozumiewa ka dy kana dostarcza zbiory us ug wymaganych przez aplikacj wyzwanie projektanta: jakie funkcje kana powinien dostarcza progrmowi aplikacyjnemu (aplikacji) czy mo na tolerowa komunikatw? czy komunikaty kolejno ci? musz zagubienie niektrych
dociera
tej
samej
przesy anych
76
Identyfikacja wsplnych wzorcw komunikacji rozpatrzmy typowe aplikacje sieciowe, z punktu widzenia wymaga zwi zanych z projektowaniem abstrakcyjnych kana w
77
78
2. najnowsza klasa aplikacji: program biblioteki cyfrowej (digital library) wyszukiwany jest w bibliotece cyfrowej okre lony rodzaj danych: niewielki plik tekstowy, du y obraz cyfrowy, obiekt multimedialny wzorzec komunikacji jest jednak podany w 1
79
potencjalna opcja: ca y plik wideo jest pobierany z komputera zdalnego za pomoc aplikacji dost pu do pliku, a nast pnie odtworzony na komputerze lokalnym; konieczno otrzymania ca ego pliku przed rozpocz ciem odtwarzania (op nienie!) inna opcja: nadawca i odbiorca s odpowiednio rd em i uj ciem ramek wideo, przesy anych jako komunikaty i po odbiorze wy wietlonych generalnie w tej aplikacji nie ma adnych powa nych ogranicze czasowych (np. op nienie 10s jest satysfakcjonuj ce) ramki przesy ane s w jednym tylko kierunku: wideo samo w sobie nie jest aplikacj - to raczej typ danych wykorzystywanych jako cz aplikacji wideo na danie, albo w aplikacji telekonferencyjnej takiej jak NV 80
4. aplikacja telekonferencyjna typu NV (wideo na ywo) ta aplikacja ma cis e ograniczenia czasowe :interakcja mi dzy u ytkownikami musi zachodzi we w a ciwym czasie gdy np. osoba wykonuje po jednej stronie jaki gest, to odpowiadaj cy obraz wideo musi by wy wietlony po drugiej stronie jak najszybciej; op nienie czyni taki system bezu yteczny w wideo na ywo, ramki przep ywaj zwykle w obu kierunkach
81
b dzie gwarantowa , e ka dy komunikat nadany przez jedn stron zostanie odebrany przez drug stron i b dzie to tylko jedna kopia komunikatu by mo e b dzie rwnie danych chroni prywatno i spjno
82
musi by sparametryzowany w celu obs ugi ruchu jednokierunkowego albo dwukierunkowego oraz w celu wspomagania op nie r nych wielko ci nie musi gwarantowa dostarczenia wszystkich komunikatw ramki musz dociera zosta y nadane w tej samej kolejno ci, w ktrej
kana mo e wymaga wspomagania rozg aszania grupowego projektanci d do najmniejszej liczby typw kana w abstrakcyjnych zdolnych obs u y najwi ksz liczb aplikacji
83
Niezawodno niezawodna dostawa komunikatw jest jedn najwa niejszych funkcji, jakie sie powinna zapewni z
sie komputerowa nie dzia a jednak w doskona ym wiecie istniej trzy klasy uszkodze :
84
85
2.utrata ca ego pakietu np. w przypadku nienaprawialnego b du pakiet musi by odrzucony lub z powodu oprogramowania (np. w komutatorze przekazuj cym pakiet z jednego cza do drugiego) z powodu przeci enia sieci- brak miejsca w buforze na zapami tanie pakietw (problem: czy pakiet zosta stracony czy tylko jest op niony)
86
3. uszkodzenie na poziomie w z a i
cza
przeci cie cza lub awaria komputera przy czonego do danego cza uszkodzenia mog by naprawione, ale maj wp yw na sie w d u szym okresie czasu radykalny
mo liwe jest np. obej cie uszkodzonego w z a w sieci z komutacj pakietw problemy: rozr nienie czy komputer jest uszkodzony czy tylko dzia a wolniej; czy cze jest ca kowicie przeci te czy tylko powa nie uszkodzone.
87
Efektywno sie jest wykorzystywana do wymiany danych przez prowadzone na wielu komputerach obliczenia rozproszone skuteczno tych oblicze cz sto zale y bezpo rednio od wydajno ci, z jak sie dostarcza dane
88
Szeroko
efektywno
pasma (bandwith) zwanego rwnie przepustowo ci (throughput), oraz op nienia (latency, delay)
89
okre la si przez liczb bitw, ktre mog przez sie w pewnym czasie ( cza cyfrowe)
np. przepustowo 10 milionw bitw na sekund (Mb/s) oznacza, e jest ona zdolna dostarczy 10 milionw bitw w ci gu ka dej sekundy niekiedy wygodniej wyobra a sobie szeroko pasma za pomoc ilo ci czasu potrzebnego do przes ania ka dego bitu danych dla sieci o szeroko ci pasma 10 Mb/s czas ten wynosi 0.1 mikrosekundy w przypadku kana u analogowego (np. g osowe cze telefoniczne) cze wspomaga sygna y w zakresie od 300 do 3300 Hz, a szeroko pasma wynosi 3300Hz - 300 Hz = 3000Hz
90
rys. mo na przyj e bity przesy ane w danej szeroko ci pasma maj okre lon szeroko (a) bity nadawane w szeroko ci pasma 1 Mb/s (ka dy bit o szeroko ci 1 mikrosekundy); (b) bity nadawane o szeroko ci pasma 2 Mb/s (ka dy bit o szeroko ci 0.5 mikrosekundy)
91
w przypadku pojedynczego cza fizycznego szeroko pasma to liczba bitw przesy anych w 1 sekundzie o pojedynczym bicie mo emy my le pewnej szeroko ci jako o impulsie
im technika nadawania i odbioru jest lepsza, tym ka dy bit mo e by w szy, a szeroko pasma wi ksza
92
2. op nienie jest to czas w ktrym pojedynczy bit przemieszcza si z jednego ko ca sieci na drugi mo e mie czas oczekiwania rwny 24 mikrosekundy (4800 km szeroko ci USA) w wielu sytuacjach wa niejsza jest wiedza o czasie przes ania bitu z jednego ko ca na drugi i z powrotem; takie op nienie to czas podr y w obie strony (round-trip-time, RTT )
93
odleg o - d ugo kabla pr dko wiat a - efektywna pr dko kablu rozmiar- rozmiar pakietu
wiat a w tym
94
szeroko pasma sieci b dzie si stale poprawia , programu jest jednak ograniczone przez pr dko wiat a
op nienie
kombinacja szeroko ci pasma i op nienia definiuje charakterystyk efektywno ci danego cza; ich znaczenie zale y jednak od aplikacji dla pewnych zastosowa op nienie dominuje nad szeroko ci pasma, np. klient nadaj cy jednobajtowy komunikat do serwera i odbieraj cy jednobajtowy komunikat jest ograniczony op nieniem
95
za my, e dla jakiej aplikacji do przygotowania odpowiedzi nie s wymagane adne powa ne obliczenia aplikacja korzystaj ca z kana u przechodz cego przez ca e USA, z czasem RTT rwnym 100 ms , zachowa si odmiennie od aplikacji korzystaj cej z kana u przechodz cego przez jeden pokj z RTT = 1ms czy kana ma szeroko pasma 1Mb/s czy 100 Mb/s jest w tym przypadku ma o istotne (czasy transmisji odpowiednio 8 i 0,08 mikrosekund ; )
96
rozwa my dla porwnania program biblioteki cyfrowej, ktry odbiera danie przys ania obrazu o rozmiarze 25MB (megabajtw) szeroko pasma kana u ma tu dominuj cy wp yw
np. je eli kana ma szeroko pasma 10Mb/s to przes anie obrazu zajmie 20 sekund , co powoduje, e jest nieistotne czy op nienie propagacji kana u wynosi 1ms czy 100ms; b dzie to odpowiada o czasom odpowiedzi 20.001s lub 20.1s
97
98
rysunek pokazuje (skala logarytmiczna) jak op nienie lub szeroko pasma mo e wp ywa (zdominowa ) efektywno w ro nych okoliczno ciach obiekt klawisza) jednobajtowy (naci ni cie
99
pasma
100
o kanale mi dzy par procesw mo emy my le jako o pustej rurze, gdzie op nienie odpowiada d ugo ci rury, a szeroko pasma odpowiada rednicy rury. iloczyn op nienie * szeroko pasma czyli obj to liczb bitw, ktr mo e ona pomie ci rury - okre la
np. transkontynentalny kana z op nieniem w jednym kierunku rwnym 50 ms i szeroko ci pasma rwna 45 Mb/s jest zdolny pomie ci 50 * 10-3s * 45 * 106 bitw/s = 2.25 * 106 bitw czyli oko o 280 kB danych
101
103
1. Co to jest adres IP Adres IP sk ada si z 4 oktetw lub inaczej - 32 bitw. Zazwyczaj jest reprezentowany za pomoc oddzielonych od siebie kropkami 4 liczb decymalnych np.: 131.107.2.205. Ka dy numer reprezentuje oktet. Oktet to grupa 8 bitw. Je eli nasz adres sk ada si z 4 oktetw, to mamy 8*4=32 bity. Komputery nie rozumiej notacji decymalnej, funkcjonuj tylko w oparciu o format binarny, czyli 1 lub 0. Dlatego musimy znale sposb na przej cie z formatu dziesi tnego na binarny. Zrobimy to oktet po oktecie.
104
Subnetting- podsieciowanie
Ka dy bit w oktecie odpowiada liczbie w systemie dziesi tnym:
Nr bitu Warto
1 128
2 64
3 32
4 16
5 8
6 4
7 2
8 1
Przyk ad: Mamy nast puj cy adres IP: 131.107.2.4. Prze my go na system binarny oktet po oktecie: 131:
Warto Binarnie 128 1 64 0 32 0 16 0 8 0 4 0 2 1 1 1
105
Subnetting- podsieciowanie
Warto Binarnie
128 0
64 1
32 1
16 0
8 1
4 0
2 1
1 1
106
Subnetting- podsieciowanie
Warto Binarnie
128 0
64 0
32 0
16 0
8 0
4 0
2 1
1 0
Warto Binarnie
128 0
64 0
32 0
16 0
8 0
4 1
2 0
1 0
107
Subnetting- podsieciowanie
Zapiszemy teraz nasz adres 131.107.2.4 w notacji binarnej:
10000011.01101011.00000010.00000100 Adres IP sk ada si z dwch r nych cz ci: Numeru sieci i Numeru hosta. Kiedy prbujemy zapingowa jaki adres IP, pow oka 3 prbuje sprawdzi czy adres IP jest lokalny czy zdalny dla naszej sieci. Aby to wyt umaczy , pos u si przyk adem z ycia: Dla przyk adu, Ja mieszkam w Poznaniu. Ty mwisz, e te mieszkasz w Poznaniu. Czy jeste my s siadami ? Mo emy by , lub nie. Nie mamy do informacji aby odpowiedzie na to pytanie. Kiedy b dziemy mogli by s siadami ? Je eli mieszkamy w tym samym mie cie i na tej samej ulicy to jeste my s siadami. Je eli nie mieszkamy w tym samym mie cie, to nie wa na jest ju ulica, poniewa na pewno nie jeste my s siadami. To samo odnosi si do adresw IP. Zanim system sprawdzi jaki jest numer hosta (ulica) sprawdza jaki jest numer sieci (miasto) - stad wie, czy jest to ta sama sie czy inna.
108
Subnetting- podsieciowanie
2. Co to jest maska sieci ? Maska sieciowa jest stosowana, aby rozpozna czy adres IP z ktrym prbujemy si skontaktowa nale y do tej samej sieci co nasz, czy do innej. Pomaga sprawdzi ktra cz adresu IP to numer sieci a ktra jest numerem hosta. Jak to si dzieje ? Przyjrzyjmy si przyk adowej masce sieciowej: 255.255.255.0 Jest ona zapisana w formacie decymalnym oddzielonym kropkami. Musimy j przet umaczy komputerowi na format binarny.
109
Subnetting- podsieciowanie
255:
Warto Binarnie 128 1 64 1 32 1 16 1 8 1 4 1 2 1 1 1
Tutaj nie ma co liczy . W wyniku mamy 0. Wiemy ju , e 255 to same jedynki, a 0 to same zera. Binarnie to wygl da nast puj co: 11111111.11111111.11111111.00000000
110
Subnetting- podsieciowanie
131.107.2.4 255.255.255.0
10000011 11111111
01101011 11111111
00000010 11111111
00000100 00000000
Bity numeru sieci zosta y zaznaczone na czerwono, a bity hosta na niebiesko. Wszystkie bity sieciowe w adresie IP maj warto "1" w masce sieciowej, a bity hosta maj "0" w masce sieciowej. Proste, prawda ?? W naszym przyk adzie numer sieci to 131.107.2, a numer hosta to 4. Je eli zmieni mask sieciow na 255.255.0.0, to co si stanie ? Zobaczmy na przyk adzie:
111
Subnetting- podsieciowanie
131.107.2.4 255.255.0.0
10000011 11111111
01101011 11111111
00000010 00000000
00000100 00000000
Okazuje si , e numer sieci to 131.107 a numer hosta 2.4. To jest dowd na to, e adres IP nie mo e istnie bez maski sieciowej Spjrzmy na dwa poni sze adresy: 131.107.2.4 i 131.107.5.6 S to adresy lokalne dla siebie nawzajem, czy nie ?? Nie mo emy odpowiedzie na to pytanie poniewa jest ono niekompletne. Musimy zna mask sieciow , aby udzieli odpowiedzi. Sprbujmy z mask 255.255.255.0.
112
Subnetting- podsieciowanie
0 0
0 0
0 0
0 0
0 0
0 1
1 0
0 1
Je eli numer sieci si nie pokrywa, to 2 numery IP nale na pewno do r nych sieci. Aby komputery z jednej sieci do drugiej mog y si przedosta potrzebujemy router-a. Sprbujmy z inn mask :
113
Subnetting- podsieciowanie
Czy teraz numery sieci pasuj do siebie ?? TAK Je eli 2 numery sieci pasuj nale do tej samej sieci. do siebie, oba adresy IP
114
Subnetting- podsieciowanie
3. Co oznaczaj klasy IP ? Na pewno s yszeli cie o klasach adresw IP nazywanych literkami A, B i C. Jak to dzia a ? Spjrzmy na nast puj c tabelk :
115
Subnetting- podsieciowanie
* adres zaczynaj cy si na 127 to cz
klasy A, ale nie mo na u ywa adresw 127.x.x.x poniewa s one zarejestrowane dla adresu p tli zwrotnej komputera lokalnego. Co to oznacza ? Je eli mwimy o klasie adresu IP, nale y patrze tylko na pierwszy oktet, aby okre li z jakiej klasy jest adres. Dla klasy A, pierwszy oktet na pewno b dzie si zaczyna od 0. Najni szy bit pierwszego oktetu to 00000001, a najwy szy to 01111111 (dziesi tnie to przedzia od 1 do 127). Dla klasy B, pierwszy oktet na pewno b dzie si zaczyna od 10. Najni szy bit pierwszego oktetu to 10000000, a najwy szy to 10111111 (dziesi tnie to przedzia od 128 do 191). Dla klasy C, pierwszy oktet na pewno b dzie si zaczyna od 110. Najni szy bit pierwszego oktetu to 11000000, a najwy szy to 11011111 (dziesi tnie to przedzia od 192 do 223). Istniej odpowiednie maski sieciowe dla odpowiednich klas: Klasa A Klasa B Klasa C 255.0.0.0 255.255.0.0 255.255.255.0
116
Subnetting- podsieciowanie
Oczywi cie mo emy stosowa r ne maski dla adresw z r nych klas w zale no ci co chcemy osi gn . Tak by o w przypadku adresw 131.107.2.3 i 131.107.5.6 przy masce z klasy C 255.255.255.0. 4. Co to jest subnetting ?? Subnetting - po Polsku podsieciowanie, to akcja maj ca na celu podzielenie puli (zakreu) adresw IP z tej samej sieci na kilka podsieci - gdzie adres IP z jednego zakresu b dzie adresem zdalnym z innego zakresu. Je eli chcesz wiedzie ile hostw (komputerw) masz w zakresie IP, najpierw musisz sprawdzi ile masz bitw. Sprbujmy na poprzednim przyk adzie z adresem 131.107.2.4 i mask 255.255.255.0. Z poprzednich przyk adw wiemy, e adres sieci to 131.107.2 a adres hosta to 4. innymi s owy mamy 3 oktety dla numeru sieci i 1 dla numeru hosta. Kiedy ju wiemy ile bitw przypada na numer hosta mo emy skorzysta z nast puj cej regu y:
117
Subnetting- podsieciowanie
((2^N)-2) = ilo numer hosta hostw, gdzie N to ilo bitw przypadaj cych na
To daje nam: ((2^8)-2) = 254 hosty Wnioskujemy, e mamy do czynienia z sieci 131.107.2.x, w ktrej mo emy zaadresowa do 254 lokalnych hostw. Co si stanie, kiedy wybierzemy mask z klasy A ? Zobaczmy: ((2^24)-2) = 16 777 214 poprawnych adresw IP w jednym zakresie ! Co, je eli nie potrzebujemy tylu hostw ?? W a ciwym rozwi zaniem by oby podzielenie tego wielkiego zakresu na kilka(na cie) mniejszych - atwiejszych w zarz dzaniu. Z pomoc przychodzi nam podsieciowanie. Stwrzmy podsieci, Dlaczego we wzorze mamy minus 2 hosty ?? Poniewa tracimy numery z samymi zerami (ktre oznaczaj numer sieci) oraz numery 118 z samymi jedynkami (ktre oznaczaj adres brodcast).
Subnetting- podsieciowanie
Aby odpowiednio podzieli zakres na podsieci mo emy skorzysta z tabelki:
128
64 192 2
32 224 6
16 240 14
8 248 30
4 252 62
2 254 126
1 255 254
To jedyna tabelka, ktr nale y zrozumie , aby poprawnie obliczy podsieci. Pierwsza linia jest oczywista, wi c nie b d jej znw opisywa . Druga linia mwi nam jak mask musimy przyj (chodzi o oktet w ktrym normalnie jest 0). Sk d si wzi y te warto ci ? Je eli dodamy warto z poprzedzaj cej linii 2 do warto ci z linii 1 to otrzymamy: 128+64=192+32=224+16=240+8=248+4=252+2=254+1=255 Proste ?
119
Subnetting- podsieciowanie
Trzecia linia mwi nam ile podsieci otrzymamy przy wykorzystaniu maski podsieci z odpowiedniej drugiej linii. Innymi s owy: je eli u yjesz 192 w twojej masce sieciowej otrzymasz 2 podsieci. Jak otrzyma em te warto ci ? Ile bitw musz ustawi , aby otrzyma 192 ? Hmmm, dodaj 128 i 64, wi c s to 2 bity. Mo emy utworzy wzr: ((2^2)-2)=2
120
Subnetting- podsieciowanie
Przyk ad podsieciowania. Mamy zakres IP o adresie 131.107.0.0 i masce 255.255.0.0. Chcemy mie 6 podsieci. Co robimy ? Spogl damy na tabelk powy ej i widzimy, e aby podzieli zakres na 6 podsieci potrzebujemy maski 224. Nasza maska w tej chwili wygl da tak: 255.255.0.0 11111111.11111111.00000000.00000000
121
Subnetting- podsieciowanie
Nie mo emy "zabra " adnych bitw z numeru sieci poniewa mamy tam same jedynki. Mo emy tylko zrobi to z numerem hosta. Zamieniamy zatem trzeci oktet na nasz podsie . W wyniku otrzymujemy 255.255.224.0. Binarnie to wygl da nast puj co: 255.255.224.0 11111111.11111111.11100000.00000000
Zabrali my zatem 3 bity z numeru hosta. Zamienili my je na "1". Te trzy bity to: 128+64+32=224 Mo emy teraz wyliczy ile hostw mo emy zaadresowa w naszych podsieciach. Zera oznaczaj numery hostw, wi c: ((2^13)-2)=8190 hostw na zakres
122
Subnetting- podsieciowanie
Odpowied na nasze przyk adowe pytanie jest nast puj ca: Nasza nowa maska sieciowa dla sieci 131.107.x.x to 255.255.224.0, przy ktrej mo emy stworzy 6 podsieci z 8190 hostami w ka dej z nich. Postawmy nast pne pytanie: Jakie s te przedzia y ?? Nasze dane zebrane do tej pory to: Oryginalny zakres IP: 131.107.x.x Oryginalna maska sieciowa: 255.255.0.0 Maska podsieciowa: 255.255.224.0 Ilo podsieci: 6 Pierwszy poprawny zakres adresw IP to 131.107.32.1 - 131.107.63.254. Jak go uzyska em ? Ju pisz .
123
Subnetting- podsieciowanie
Po prostu odpowiedzia em sobie na pytanie: Jaki jest najni szy bit potrzebny do uzyskania mojej maski podsieciowej 224 ?? Odpowied to: 32 (pami tacie: 128+64+32=224). Mamy teraz wi cej danych:
Warto Ilo
32 224 6
Obrazowo mo na to przedstawi tak: Aby uzyska 6 podsieci musimy u y maski 224 i rozpocz nasz pierwszy zakres od 32. Kolejne zakresy tworzymy inkrementuj c (zwi kszaj c) nasze bity o 32. Nasz zakresy b d wygl da nast puj co:
124
Subnetting- podsieciowanie
131.107.32.1 - 131.107.63.254 131.107.64.1 - 131.107.95.254 131.107.96.1 - 131.107.127.254 131.107.128.1 - 131.107.159.254 131.107.160.1 - 131.107.191.254 131.107.192.1 - 131.107.223.254 Jak wida , aby uzyska nast pny zakres, po prostu zwi kszam trzeci oktet o 32 (cyfry na czerwono). Z kolei warto ci na niebiesko to nast pne warto ci czerwone pomniejszone o 1.
125
Subnetting- podsieciowanie
OK. Sprbujmy teraz stworzy zakresy dla sieci z klas A i C. Oryginalny zakres IP: 10.x.x.x Oryginalna maska sieciowa: 255.0.0.0 Ilo potrzebnych podsieci: 14
Aby uzyska 14 podsieci nale y u y maski 240, dlatego nasza nowa maska b dzie nast puj ca: 255.240.0.0. Uwaga!!! Najni szy bit jest teraz w oktecie 2 a nie w 3. Warto najni szego bitu w 240 to 16. Dlatego zaczynamy nasze zakresy od 16 i zwi kszamy o 16. Wynik:
126
Subnetting- podsieciowanie
10.16.0.1 - 10.31.255.254 10.32.0.1 - 10.47.255.254 10.48.0.1 - 10.63.255.254 10.64.0.1 - 10.79.255.254 10.80.0.1 - 10.95.255.254 10.96.0.1 - 10.111.255.254 10.112.0.1 - 10.127.255.254
10.128.0.1 - 10.143.255.254 10.144.0.1 - 10.159.255.254 10.160.0.1 - 10.175.255.254 10.176.0.1 - 10.191.255.254 10.192.0.1 - 10.207.255.254 10.208.0.1 - 10.223.255.254 10.224.0.1 - 10.239.255.254
127
Subnetting- podsieciowanie
Teraz zrbmy to samo dla klasy C. Pami tajcie, e klasa C jest najtrudniejsza, wi c b d cie ostro ni !! Oryginalny zakres IP: 192.168.2.x Oryginalna maska sieciowa: 255.255.255.0 Ilo potrzebnych podsieci: 6
Aby uzyska 6 podsieci musimy u y maski 224, dlatego nasza nowa maska podsieniowa b dzie nast puj ca: 255.255.255.224. Nasz bit podsieniowy jest teraz w 4 oktecie, nie w trzecim lub drugim tak jak to by o w poprzednich przyk adach. To b dzie bardzo wa ne przy tworzeniu podsieci. Jaka jest warto najni szego bitu ?? 32. Dlatego nasz pierwszy zakres b dzie si zaczyna od 32 w czwartym oktecie i b dzie zwi kszany o 32. Nasze zakresy powinny wygl da tak:
128
Subnetting- podsieciowanie
192.168.2.33 - 192.168.2.62
192.168.2.129 - 192.168.2.158
192.168.2.65 - 192.168.2.94
192.168.2.161 - 192.168.2.190
192.168.2.97 - 192.168.2.126
192.168.2.193 - 192.168.2.222
129
Subnetting- podsieciowanie
Pami tacie poprzednie przyk ady ? Zawsze startowali my od .1 (w czwartym oktecie). Dlatego przyk ad z klas C jest wyj tkowy. Wi c dlaczego nie mo emy zacz od adresu 192.168.2.32 z mask 255.255.255.224 ? Spjrzmy na tabelk poni ej:
192.168.2.32 255.255.255.254
11000000 11111111
10101000 11111111
00000010 11111111
00100000 11100000
Wychodzi na to, e numer hosta sk ada si z samych zer. Ten adres jest zabroniony !!!
130
Sieci komputerowe
131
132
Ochrona systemw i sieci komputerowych Rozgraniczanie dost pu - na poziomie sieci i systemu operacyjnego; -zapewnienie niekolizyjno ci zada , a nie tylko ochrona danych przed innymi u ytkownikami. Przyk ad: zapory ogniowe, bramkowanie Ochrona kryptograficzna - ochrona poufa o ci - ochrona autentyczno ci Przyk ad: podpis cyfrowy Zazwyczaj w ochronie systemw i sieci nie stosuje si tylko jednego rodzaju zabezpiecze , lecz wielu r nych. Wi cej zabezpiecze to wi ksze prawdopodobie stwo, e nasze dane b d bezpieczne potencjalny intruz mo e nie da rady prze ama wszystkich zabezpiecze , lub mo e si po prostu zniech ci .
133
Ochrona systemw i sieci komputerowych Przyk ad: W drogim samochodzie jest wiele alarmw, ale np. alarm w trabancie mo e przewy szy cen samego auta. Czyli je li mamy system, ktry atwo odtworzy i nie mamy w nim danych, ktre mog yby kogo interesowa to nie warto inwestowa w zaawansowane zabezpieczenia. Narz dzia kryptografii wykorzystywane s do ochrony poufno ci i autentyczno ci. Rozgraniczanie dost pu mo e by funkcj systemu operacyjnego lub samej sieci ( ciany ogniowe zapory).
134
135
Pierwszym elementem w systemie ochrony kryptograficznej jest tekst jawny, najcz ciej generowany przez u ytkownika. W systemie komputerowym zostaje on przetworzony do postaci zero- jedynkowej. Szyfrowanie polega na przetwarzaniu takich w a nie ci gw binarnych. Szyfrowania nie nale y myli z kodowaniem.
136
Ochrona systemw i sieci komputerowych Nast pnym elementem jest szyfrator, na wyj ciu ktrego uzyskujemy tekst tajny (kryptogram). Szyfrowanie mo e nast powa programowo lub sprz towo. Algorytmy szyfrowania s bardzo z o one obliczeniowo, aby przy pieszy ten proces cz sto wykorzystywane jest szyfrowanie sprz towe. Poza tym, gdyby proces mia by wykonywany programowo, wszystkie dane znajdowa yby si w systemie operacyjnym, gdzie mo liwe by by o udost pnienie tekstu jawnego i tajnego niepowo anym osobom. Szyfrator pracuje w oparciu o algorytmy szyfrowania. Na wiecie istnieje oko o 800 takich algorytmw. Wi kszo z nich jest jawna, tylko kilka jest utajnionych, poniewa znajomo dzia ania algorytmu nie pozwala na odszyfrowanie tekstu tajnego. Kryptoanalityk aby odszyfrowa tekst, potrzebuje kawa ek tekstu jawnego i kawa ek tekstu tajnego, a nie interesuje si metod szyfrowania.
137
Algorytmy szyfrowania opieraj si na dwch podstawowych operacjach: podstawiania przestawiania. To, jakie operacje wykorzystujemy w algorytmie zale y od rodzaju szyfrowania. Je li ten sam klucz wykorzystywany jest do deszyfrowania i szyfrowania, to prawie wy cznie stosujemy podstawianie i przestawianie. W przypadku dwch komplementarnych kluczy w ogle nie wykorzystywane s operacje podstawiania i przestawiania, tylko inne z o one operacje obliczeniowe. Klucz to tajna informacja, ktra opisuje sposb przekszta cania tekstu do postaci niezrozumia ej i odwrotnie. Decyduje w znacznym stopniu, jak silne jest szyfrowanie.
138
Ochrona systemw i sieci komputerowych 1.2 Szyfrowanie symetryczne (klasyczne lub z kluczem tajnym) W szyfrowaniu tym operacje szyfrowania i deszyfrowania realizowane s z wykorzystaniem jednego i tego samego klucza.
139
Ochrona systemw i sieci komputerowych W przypadku szyfrowania symetrycznego musi istnie bezpieczny kana przesy ania klucza, gdy klucz musi by taki sam u nadawcy i odbiorcy, a jest to klucz jest tajny. Poza tym ka da para u ytkownikw chc c szyfrowa wiadomo ci do siebie musia aby mie unikalny klucz prywatny. W ten sposb liczba wykorzystywanych kluczy w przypadku korespondencji z wieloma osobami wzrasta nam do olbrzymich rozmiarw. Stosowanie szyfrowania symetrycznego jest wygodne gdy mamy sta e, jedno po czenie, np. transfer filia bank. Do wad kryptografii symetrycznej odnosimy: - konieczno tworzenia bezpiecznego kana u przesy ania kluczy; - znaczna liczba kluczy. Jego zaletami s : - wysoka szybko szyfrowania (operacje proste do wykonania w systemie nie powoduj op nie ); -bardzo wysoki stopie ochrony. Z za o enia ycie kluczy jest na tyle krtkie, e gdyby nawet zaszyfrowany klucz wpad w r ce kryptoanalityka, to nie ma on na tyle czasu eby go z ama .
140
Ochrona systemw i sieci komputerowych Historia Pierwsze szyfry pojawi y si w czasach rzymskich (oko o roku 100 p.n.e.) w czasie panowania Juliusza Cezara. Pocz tkowo by y to szyfry bez klucza. Szyfry z kluczem to lata 20-te XX wieku, wykorzystywane podczas Pierwszej Wojny wiatowej. Pierwszy profesjonalny klucz powsta w 1969 roku Lucifer, za pierwszy akredytowany to DES (1977) .
141
1.3 Szyfrowanie asymetryczne W szyfrowaniu tym operacje szyfrowania i deszyfracji odbywaj si z wykorzystywaniem pary komplementarnych kluczy. Szyfrowanie ma dwa cele: - ochron poufno ci tj. udost pnianie informacji wy cznie tym osobom, ktrzy posiadaj uprawnienia (np. poczta elektroniczna) - ochron autentyczno ci W przypadku szyfrowania symetrycznego, gdy klucz nie jest skompromitowany (czyli nie wpad w r ce niepowo anych osb), wraz z ochron poufno ci otrzymujemy rwnie ochrona autentyczno ci. Inaczej sprawa ma si z szyfrowaniem asymetrycznym. Szyfrowanie asymetryczne mo e chroni jedynie poufno , jedynie autentyczno , lub i poufno i autentyczno . 142
143
145
Ochrona systemw i sieci komputerowych Do ochrony autentyczno ci wykorzystuje si klucz nadawcy. W celu zaszyfrowania wiadomo ci nadawca szyfruje wiadomo swoim kluczem prywatnym. Nikt inny nie zna tego klucza, wi c odbiorca deszyfruj cy kluczem publicznym nadawcy mo e by spokojny, e nadawca jest tym za kogo si podaje. W przypadku gdy chce si aby by a chroniona zarwno autentyczno jak i poufno wiadomo ci, mo na stosowa szyfrowanie wiadomo ci najpierw kluczem prywatnym nadawcy, a nast pnie kluczem publicznym odbiorcy. Istniej rwnie inne metody szyfrowania, np.: losowe, budowane s generatory pseudolosowe synchronizowane, skuteczne, gdy nie uda si zdoby kawa ka tekstu jawnego i tajnego; - stenagografia polega na ukrywaniu w pewnych formatach danych informacje tajne, ujawnienie takiego algorytmu wi e si z jego kompromitacj .
146
Ochrona systemw i sieci komputerowych 1.4 Podpisy cyfrowe Podpis cyfrowy to ochrona autentyczno ci realizowana z wykorzystywaniem funkcji skrtu i kryptografii asymetrycznej. Podpisywany dokument jest skracany z wykorzystaniem funkcji haszuj cej. Otrzymany w ten sposb skrt o sta ej d ugo ci jest szyfrowany metod ochrony autentyczno ci. Nast pnie podpis i tekst jawny s konkatenowane. W takiej postaci s one przesy ane do odbiorcy. Odbiorca oddziela tekst jawny od podpisu. Deszyfruje podpis, a nast pnie porwnuje go z uzyskanym samodzielnie skrtem tekstu jawnego. Identyczno obu skrtw gwarantuje autentyczno tekstu jawnego.
147
Je li chcemy przes a jawny dokument w sposb wiarygodny, mo emy wykorzysta szyfrowanie asymetryczne z ochron autentyczno ci, ale w ten sposb musieliby my szyfrowa ca y dokument, co cz sto jest niewygodne. Dlatego w a nie zastosowano podpis cyfrowy. Najpierw otrzymujemy skrt dokumentu (hash), ktry jest ci giem o okre lonej d ugo ci (128b 4 kb). Niewielkie zmiany w dokumencie powoduj du e zmiany w skrcie (zmiana 1 bitu to zmiana 99% bitw w skrcie). Wida wi c, e skrt jest bardzo wra liwy na manipulacje. Przesy amy do odbiorcy jawny dokument plus zaszyfrowany hash (szyfrowanie asymetryczne z ochron autentyczno ci). Odbiorca sam tworzy jeszcze raz skrt dokumentu i porwnuje go z otrzymanym. Je li uzyskany skrt jest identyczny ze skrtem rozszyfrowanym, to wiadomo jest wiarygodna.
148
W najprostszym przypadku ciana ogniowa jest bram cz c sie prywatn z sieci publiczn .
149
Ochrona systemw i sieci komputerowych Przedstawiona architektura realizowana jest najcz ciej za pomoc routera ekranuj cego, w ktrym ruch jest filtrowany na podstawie specjalnej listy dost powej. Poniewa router jest urz dzeniem funkcjonuj cym na bazie warstwy sieci, realizowanie zaawansowanych us ug filtruj cych (wy szych wartstw) jest niemo liwe. Z tego powodu kolejn architektur jest architektura z routerem ekranuj cym i hostem bastionem.
150
Host bastion to najcz ciej komputer z wielostanowiskowym systemem operacyjnym. Gdy du y ruch jest w sieci HB mo e sta si w skim gard em sieci, poza tym ta struktura nie chroni przed atakami z wewn trz sieci i HB mo na obej .
151
Ochrona systemw i sieci komputerowych 2.2 Polityka administrowania cian ogniow Nic co nie jest jawnie zezwolone jest zabronione. Bardzo bezpieczna strategia. Administrator okre la jakie us ugi b d dost pne w sieci, z zasady niebezpieczne us ugi s eliminowane. Pojawia si problem gdy w sieci jest nowy u ytkownik, albo nowy problem wymagaj cy nowej us ugi. Wszystko trzeba samemu okre li . Bardzo pracoch onne. Nic co nie jest jawnie zabronione jest zezwolone. Metoda efektywana w dzia aniu, ale bezpiecze stwa. Administrator musi niebezpieczne us ugi. pogarsza okre li parametry wszystkie
152
Ochrona systemw i sieci komputerowych 2.3 Polityka bezpiecze stwa Polityka bezpiecze stwa to zestaw zasad organizacyjnych zapewniaj cych bezpiecze stwo systemu informatycznego. W polityce zawarte s m.in.: zagro enia i zakres ochrony; zakres kompetencji i odpowiedzialno ci. Podstawowymi dokumentami bezpiecze stwa s : RFC 1224 PN-I-13335-1 Innymi elementami systemu bezpiecze stwa s : specyfikacja bezpiecze stwa; model bezpiecze stwa.
153
polityk
Ochrona systemw i sieci komputerowych Literatura [1] Vademecum teleinformatyka IDG Poland S.A. 2000 r. [2] L. Petersen, B. Davie Sieci komputerowe podej cie systemowe Nakom 2000 r. [3] Tom Sheldon, Wielka encyklopedia sieci komputerowych Robomatic 1999 r. [4] William Stallings, Ochrona danych w sieci i intersieci Wydawnictwo Naukowo- Techniczne 1997 r. [5] J. Stok osa, T. Bilski, T. Pankowski, Bezpiecze stwo danych w systemach informatycznych, Wydawnictwo Naukowe PWN 2001. [6] Schneier Bruce, Kryptografia dla praktykw. Protoko y, algorytmy i programy rd owe w j zyku C, WNT 2002.
154
155
156
157
158