320 likes | 414 Views
IP alapú hálózatok tervezése és üzemeltetése II. 15 / 4. Az előző előadás tartalma. Többesküldés alapok Internet Group Management Protocol/Multicast Listener Discovery Protocol Join Leave Source filtering Real Time Protocol (RTP/RTCP) Többesküldés forgalomirányítás
E N D
Az előző előadás tartalma • Többesküldés alapok • Internet Group Management Protocol/Multicast Listener Discovery Protocol • Join • Leave • Source filtering • Real Time Protocol (RTP/RTCP) • Többesküldés forgalomirányítás • Distance Vector Multicast Routing Protocol (DVMRP) • PIM Dense Mode • PIM Sparse Mode • Shared trees • Shortes Path Trees • PIM Renedzvous point • Mag alapú fák (core based trees) • Multicast OSPF
Az előadás tartalma • Hálózati cím transzformáció • NAT • PAT • IPv6-IPv4 áttérés • Dual Stack • Alagutak • Beállított alagút • Alagút bróker • Automatikus alagutak • 6to4 • 6over4 • ISATAP • Teredo • Tunel Setup Protocol • DSTM • OpenVPN alapú megoldások • IPv6 transzlációs megoldások • SIIT, NAT-PT, NAPT-PT • BIS • Transpport Relay,SOCKS,Application Layer Gateway • Útvonal optimalizálás
Források • STUN - Simple Traversal of User Datagram Protocol (UDP)Through Network Address Translators(NATs)http://www.faqs.org/rfcs/rfc3489.html • http://www.faqs.org/rfcs/rfc3027.html • Traditional IP Network Address Translator (Traditional NAT)http://www.faqs.org/rfcs/rfc3022.html • The IP Network Address Translator (NAT)http://www.faqs.org/rfcs/rfc1631.html
NAT • IP címek kimerülőben vannak • Cím újrahasznosítás • DHCP • Network Address Translation • RFC 1631(1994 – rövid távú megoldás!) • A csonk tartományokban a klienseknek csak nagyon kis része folytat kommunikációt a külvilággal (ez ma már nem feltétlenül igaz!) • Belül privát cím tartomány • Kívül publikus cím tartomány • A TCP csomag fejlécében módosítani kell az ellenőrző összeget • Egyes protokolloknál le ki kell cserélni a címeket • A többit majd meglátjuk
Cisco NAT • Külső (Inside) • Belső helyi (Inside local) - IL • Belső globális (Inside global) - IG • Belső (Outside) • Külső helyi (Outside local) -OL • Külső globális (Outside global) – OG • Cím transzlációs tábla • IL-IG • OL-OG • Statikus/Dinamikus
Port Address Translation • IP/port – IP/port • Elnevezések: • Cisco – Port Address Translation • Network Address and Port Translation NAPT • IP masquerading • IP overloading
NAT TCP Terhelés elosztás • Több különböző szerver ugyanazon az IP címen van meghirdetve • A NAT ezek között különböző algoritmus szerint osztja a forgalmat (replikált szerverek) • Hasonlít a DNS megoldáshoz csak jobb mert a host gyorstárazhatja a DNS bejegyzést • Csak az új TCP kapcsolatokra érvényes • Nem robosztus (a NAT nem tudja melyik szerver működk és melyik nem…)
NAT és Virtuális Szerverek • Több különböző szervert/szolgáltatást tud egy címen kiajánlani
NAT • Az Internetet független cím adminisztrációs zónákra osztja • Az Internet sikere egyszerűségében rejlik • Vég-Vég (egyes funkciók csak a végpontokon végezhetőek el) • Nincs kapcsolatonkénti információ (állapotmentes) • Csak a végpontok menedzselnek állapotot (skálázható) • Az új alkalmazások minden további nélkül használhatóak • A NAT ellentmond ezeknek az elveknek • Ha a NAT kiesik miden megszűnik • Ha újraindul, minden elveszik • A tűzfal is ellentmond, de az azért mert ez a feladata
A NAT előnyei • Az IP cím kiosztás független a szolgáltatótól (szolgáltató váltás) • Sokkal nagyobb cím tartományunk van mint amekkorát kaphatnánk • Csak az aktív csomópontoknak kell külső IP cím • A csomagszűrő tűzfalakhoz hasonlóan semmit sem enged be ami nincs megengedve
Problémák a NAT-tal • Nem illik az Internet flexibilis vég-vég modelljébe • Adott protokollokat ellehetetlenít • Egy meghibásodási pont • A Multihoming-ot megnehezíti • A Privát címek használata cég egyesüléseknél ,VPN-nél problémát okozhat • A NATP, RSIP problémákat okozhat a publikus szolgáltatások esetén • A beágyazott IP címet hordozó protokollok problémásak • Hamis biztonság érzetét keltheti
Tipikus NAT variációk • Teljes terelő (Full Cone) • Minden kérésnél a belső cím/port ugyanarra a külső cím/port-ra van kötve • Külső host a külső címre küldve tud a belsővel kommunikálni • Szabályozott terelő (Restricted Cone) • Ugyanaz mint az előző, csak a külső alkalmazás csak akkor tud a belsővel kapcsolatba lépni, ha a belső ezt kezdeményezi • Port szabályozott terelő (Port Restricted Cone) • Ugyanaz mint az előző, csak portokra is vonatkozik • Szimmetrikus • A külső címzettől függő cím hozzárendelés • Csak a csomagot megkapó külső címzett tud UDP választ küldeni
IPv4 – IPv6 áttérés • Három megoldás • Dual stack • A legegyszerűbb megoldás • A host és esetleg a forgalomirányító érti mindkét protokollt (IPv4/IPv6 csomópont) • A nehézséget a forgalomirányító protokollok konfigurálása okozza • IPv6-IPv4 alagút • A meglévő IPv4-es infrastruktúrát nem bántja • Különböző beágyazások segítségével megy át az IPv6 • Beágyazás • Kibontás • Alagút menedzsment • Csak IPv6 infrastruktúra • IPv4 nem közlekedhet kívül • ALG – Application Layer Gateway
Alagút megoldások I. • Konfigurált alagút • A beágyazó tudja a cél címét • Pont-pont • Manuális • Gyakori megoldás hálózatok összekötésénél • Alagút bróker • A duál stack-es kliens egy web szerverről letölt egy szkriptet amely beállítja az alagút paramétereke • Azonosítás is lehet előtte • Könnyű IPv6 hozzáférés • (www.sixxs.com) • Automatikus alagutak • Az elsők között használták • IPv4 kompatibilis IPv6-os cím (host-host, host-router) • Elavult
Alagút megoldások II. • 6to4 • Automatikus forgalomirányító-forgalomirányító alagút • Relay router • 2002::/16, 2002:V4cim::/48
Alagút megoldások III. • 6over4 • Izolált hostokat köt össze • IPv6 IPv4-be ágyazással • IPv4 multicast csoportkra köti az IPv6 multicast csoportokat • Szomszéd felderítés • Nem használják (multicast)
Alagút megoldások IV. • ISATAP Intra-Site Tunnel Adressing Protocol • A helyi hálózatot használja mint virtuális linket • Nem használ multicast-ot • IPv4 cím alapján gyárt interfész azonosítókat • A hostok az ISATAP forgalomirányítónak rendszeresen üzenetet • Így az tudja, hogy ki van a hállózatban
Alagút megoldások V. • Teredo • Legyen elérhető az IPv6 NAT mögül is • UDP csomagok • Host-host automatikus alagút megoldás • Elemei • Teredo szerver • UDP 3544 • IPv6 címet ad vissza • Teredo pefix(32):IPv4 es teredo szerver cím(32):flag-ek(16):elfedő külső port(16): elfedő külső cím(16) • Teredo átjátszó
Alagút megoldások VI. • Tunel Setup Protcol TSP • Általános megoldás az azonosított csatornák (IPv6 IPv4-ben) kiépítésére • Először az alagút brókereknél használták • Dual Stack Transition Mechanism DSTM • IPv6 hálózatokon IPv4-es alkalmazások kommunikációjára
IPv6 – IPv4 • Amikor csak IPv6 képes eszköz csak IPv4 képes eszközzel szeretne kommunikálni • SIIT, NAT-PT, NAPT-PT • Fejléc transzformáló • SIIT – Stateles IP/ICMP Translator • Network Address Translator-Port Translator • Network Address Translator Port Translator + Packet Translation
Transport relay/Socks/ALG • A szállítási rétegben elhelyezkedő fordító • Dual stack node • UDP/TCP csere
Útvonal optimalizálás • Útvonal továbbadás • Útvonal szűrés • Útvonal kapcsolatok
Útvonal továbbadás • A forgalomirányító protokoll információkat ad át más, az adott forgalomirányítón futó forgalomirányító protokollnak • E nélkül SIN ship in the night forgalomirányítás • Paraméterek • Metrikák • Adminisztratív távolságok • Hurkok keletkezhetnek
Útvonal szűrés • Pl.: az útvonalakat csak egy irányba hirdessék meg • Hatása • Távolságvektor alapú • Link állapot alapú • Access list
Útvonal kapcsolatok • Route maps • Nem csak get hanem set is van • Szabály alapú forgalomirányítás • Statikus útvonalak • 14.1 ábra • Figyelni lehet • Interfész • IP • Következő ugrás • Forrás cím • Metrika • Útvonal forrás • TOS • Tag • Be lehet állítani (továbbadás) : • Szintet • Metrikát • Következő ugrás • Tag • Be lehet állítani (forg.ir.) : • Interfész • Next-hop • TOS/Precedencia
Az előadás tartalma • Hálózati cím transzformáció • NAT • PAT • IPv6-IPv4 áttérés • Dual Stack • Alagutak • Beállított alagút • Alagút bróker • Automatikus alagutak • 6to4 • 6over4 • ISATAP • Teredo • Tunel Setup Protocol • DSTM • OpenVPN alapú megoldások • IPv6 transzlációs megoldások • SIIT, NAT-PT, NAPT-PT • BIS • Transpport Relay,SOCKS,Application Layer Gateway • Útvonal optimalizálás
A következő előadás tartalma • MPLS