TIETOKONEVERKOT

TIETOKONEVERKOT2 päivää / 12 h

28.01.2004

Janne Hapuoja, TAMK / TietokonekeskusTAMKin tietoverkon ylläpitäjä

puh. [email protected]

Kurssin toteutus

- luennot

- laitteistodemot

- ohjelmistodemot

Materiaali

- luentomonisteet

- luentomuistiinpanot

- Helkamakaapeli: Flashcord 2001

SISÄLTÖ- yleistä

- standardeja

- osi-malli

- vuoronvaraus

- kaapelointi

- ethernet-kehys

- verkkojen yhdistäminen

- langattomat verkot

- internet protokolla

- DNS

- WINS

- NAT

- Palomuuri

YleistäKehitys kohti verkottumista

1. isokoneaika

+yhteiset sovelluksetsovellusten ylläpitoreaaliaikainen

-jaettu suorituskyky

2. pc-aika

+jakamaton suorituskyky

-ei yhteisiä sovelluksiasovellusten ylläpitoei reaaliaikainen

Tampereen ammattikorkeakoulu 2003

3. verkkojen aika

+yhteiset sovelluksetsovellusten ylläpitoreaaliaikainenjakamaton suorituskyky

-viruksettietoturva


Termejä

Lähiverkko, LAN, Local Area NetworkKaupunkiverkko, MAN, Metropolitan Area NetvorkLaajaverkko, WAN, Wide Area Network

Topologia:- kertoo kuinka koneet liittyvät verkkon suhteessa toisiinsa- saman verkon fyysinen ja looginen topilogia voivat poiketa toisistaan


Yhteys

Yhteydellinen, esim. puhelinyhteys- kuluttaa kaistaa koko yhteyden ajan riippumatta siitäsiirretäänkö tietoa vai ei

Yhteydetön, esim. tavallinen kirje ja tekstiviesti- kuluttaa kaistaa vain silloin kun tietoa oikeasti siirretään

Tietokoneverkoissa yhteydettömän yhteyden päällä onusein loogisesti yhteydellinen yhteys


Bitti ja Byte

Tiedonsiirtonopeuden yksikkö on BITTIÄ/SEKUNTITietokoneen levystä ja rammista puhuttaessa yksikkö on BYTEeli tavu joka on kahdeksan bittiä

Tehtävä:

Kauanko kestää 100 Megan tiedoston siirtäminen kahdenkoneen välillä jos tiedonsiirtonpeus on 10 Megaa?


Ratkaisu:

Siirrettävä data on 100 Mtavua x 8 bittiä = 800 MbittiäTiedonsiirtonopeus on 10 Mbit/s

Siirtoon kuluva aika on 800Mbit / 10 Mbit/s = 80 s

Todellisuudessa aika olisi noin 90 s, koska kehysrakenteissaliikkuu aina myös osoite ym. ohjaustietoa ja siten siirrettäväätietoa on enemmän kuin pelkkä data.


LÄHIVERKKOJEN STANDARDEJA, IEEE 802-sarja

802.1 Osoitteisto, yhdysliikenne ja arkkitehtuuri802.2 Siirtoyhteyden ohjaus802.3 Kuulostelu- ja törmäyksentunnistusväylä

(CSMA/CD)802.4 Vuoroväylä (Token Bus)802.5 Vuororengas (Token Ring)802.6 Alueverkko (MAN)802.7 Laajakaistaverkko802.8 Valokuidun käyttö lähiverkoissa802.9 Puheen ja kuvan integrointi lähiverkoissa802.10 Lähiverkkojen tietoturva802.11 Langattomat lähiverkot


Kerrosrakenne / rajapinta-periaate

protokolla 1 protokolla 2 protokolla 3

Kerros N+1

Kerros N

Kerros N-1


OSI-MALLI

SOVELLUS

ESITYSTAPA

YHTEYSJAKSO

KULJETUS

VERKKO

SIIRTOYHTEYS

FYYSINEN

APPLICATION

PRESENTATION

SESSION

TRANSPORT

NETWORK

DATALINK

PHYSICAL


SOVELLUS

ESITYSTAPA

YHTEYSJAKSO

KULJETUS

VERKKO

SIIRTOYHTEYS

FYYSINEN

APPLICATION

PRESENTATION

SESSION

TRANSPORT

NETWORK

DATALINK

PHYSICAL

VERKKO

SIIRTOYHTEYS

FYYSINEN

Kaksi välittävän järjestelmän kautta kommunikoivaa järjestelmää


ETHERNET, IEEE802.3

Ethernet OSI-mallissa:

VERKKO

SIIRTOYHTEYS

FYYSINEN

LLC

MAC

PLS

MAU

AUI(TRANSCEIVER KAAPELI)

(TRANSCEIVER)

MEDIUM


CSMA/CD-vuoronvarausmenettely

(Carrier Sense Multiple Access / Collision Detection)(kuulostelu ja törmäyksen tunnistus)LÄHETÄ DATAA

KOKOA KEHYS

SIIRTOTIEVARATTU?

ALOITA LÄHETYS

TÖRMÄYS?

LÄHETYSTEHTY?

LÄHETÄ SOTKUA

LISÄÄ YRITYSKERTA-LASKURIA

LIIKAAYRITYKSIÄ?

LASKE- JA ODOTAODOTUSAIKAOK EI ONNISTU

EI

ON

EI

EIEI

ON

ON

ON


VASTAANOTA DATAA

SIIRTOTIEAKTIIVINEN?

ALOITA VASTAANOTTO

KEHYS LIIAN LYHYT?

TARKISTUS-SUMMA OIKEIN?

LIIKAABITTEJÄ?

OK KEHYS LIIANPITKÄ

ON

EI

EI

ON

ON

SIIRTOTIEAKTIIVINEN?

EI

ON

MAC-OSOITETUNNISTETTU?

EI

EI

ONTARKISTUS-SUMMAVIRHE

ON

EI


ETHERNET-KEHYS

KOHDEOSOITE LÄHDEOSOITE TYYPPI /PITUUS

DATA FCS

6 TAVUA 6 TAVUA 2 TAVUA

DATA DATA DATA DATA DATA

46 - 1500 TAVUA 4 TAVUA

64 - 1518 TAVUA

VASTAANOTOSSA KEHYS HYLÄTÄÄN JOS:

- FCS (Frame Check Sequense)EI OLE OIKEIN- KEHYS EI OLE JAOLLINEN KAHDEKSALLA- KEHYKSEN PITUUS ON ALLE 64 TAVUA- KEHYKSEN PITUUS ON YLI 1518 TAVUA


ETHERNET KAAPELOINTI

Koaksiaalikaapeli:

- väyläkaapelointi- vanhin- paksu- ohut- 10 Mb/s- half duplex

Parikaapeli:

- tähtikaapelointi- yleisin- kierretty 4-parinen- suojattu- suojaamaton- 10 Mb/s- 100 Mb/s- 1 Gb/s- half duplex- full duplex

Valokaapeli:

- tähtikaapelointi- pisimmät yhteydet- 1-parinen- 10 Mb/s- 100 Mb/s- 1 Gb/s- half duplex- full duplex


(paksu) Ethernet, 10Base5

- datansiirtonopeus 10 Mb/s- koaksiaali (väylätopologia)- ulkohalkaisija 9,5 - 10,3 mm- keskijohtimen paksuus 2,17 mm- minimi taivutussäde 20 cm- impedanssi 50 ohmia- kaapeli päätetään molemmista päistä 50 ohmin vastuksilla (terminaattoreilla)- max pituus 500 m- liityntöjä max 100 kpl- liitynnät 2,5 m:n välein (paikat merkitty kaapeliin)- littyminen erillisillä transceivereillä + transceiver-kaapeleilla- transceiver-kaapeli suojattu 4-parinen parikaapeli, kaksiriviset D-15-liittimet- transceiver-kaapelin max pituus 50 m- käytössä enää harvoin


R=50 ohm R=50 ohm

transceiver transceiver

2,5 m

Max. 500 m

host host

transceiver-kaapeli max 50 m


Ohut Ethernet, 10Base2

- datansiirtonopeus 10 Mb/s- koaksiaali (väylätopologia)- ulkohalkaisija 5-6 mm- minimi taivutussäde 5 cm- impedanssi 50 ohmia- kaapeli päätetään molemmista päistä 50 ohmin vastuksilla (terminaattoreilla)- max pituus 200 (185) m- liityntöjä max 30 kpl- liitynnät min. 0,5 m:n välein - littyminen suoraan verkkokortin BNC-liittimeen t- tai y-haaralla tai erillisillä transceivereillä + transceiver-kaapeleilla- transceiver-kaapeli suojattu 4-parinen parikaapeli, kaksiriviset D-15-liittimet- transceiver-kaapelin max pituus 50 m- käytössä hiukan enemmän kuin paksukoksi mutta koko ajan harvenemaan päin


R=50 ohm R=50 ohm

transceiver

min. 0,5 m

Max. 200 m

host

host

transceiver-kaapeli max 50 m

host


Parikaapeli Ethernet, 10BaseT, 100BaseT, 1000BaseT

- datansiirtonopeus 10 Mb/s, 100 Mb/s, 1 Gb/s- 4-parinen parikaapeli (tähtitopologia)- suojattu tai suojaamaton- ulkohalkaisija 5-6 mm- impedanssi 100 ohmia- yhteys on aina point to point, jolloin erillistä terminointia ei tarvita- max pituus 100 m (5 + 90 +5)- liittyminen suoraan verkkokortin RJ-45-liittimeen - yleisin


Max. 100 m (channel)

hostaktiivilaite

Max. 90 m (basic link, permanent link)

ristikytkentä-paneli

seinärasia


Parikaapelin kytkentä

Kytkentä A:

nasta väri

1 vihreä-valkoinen2 vihreä3 oranssi-valkoinen4 sininen5 sini-valkoinen6 oranssi7 ruskea-valkonen8 ruskea

Kytkentä B:

nasta väri

1 oranssi-valkoinen2 oranssi3 vihreä-valkoinen4 sininen5 sini-valkoinen6 vihreä7 ruskea-valkonen8 ruskea


Parikaapelin kytkentä jatkuu

RJ-45-liittimen kytkentä:

A:

vivaviorvasisivaorruvaru

B:

orvaorvivasisivaviruvaru

LIITIN KONTAKTIPUOLELTA

1

8


MDI-liityntä:

1 TD+2 TD-3 RD+4 N/A5 N/A6 RD-7 N/A8 N/A

MDIX-liityntä:

1 RD+2 RD-3 TD+4 N/A5 N/A6 TD-7 N/A8 N/A

Parikaapeliliityntä


Ristikytkentä- ja laitevälikaapelit

RJ-45-liitin RJ-45-liitin

Suora kaapeli:

Kytkentä A Kytkentä A

RJ-45-liitin RJ-45-liitinKytkentä B Kytkentä B


RJ-45-liitin RJ-45-liitin

Kääntävä kaapeli, Ristikaapeli, X-kaapeli, Crossover-kaapeli:

Kytkentä A Kytkentä B

RJ-45-liitin RJ-45-liitinKytkentä B Kytkentä A

Kiinteä kaapeli (basic link, permanent link) kytketään aina suoraan elimolempiin päihin samanlainen kytkentä!


Milloin mitäkin kaapelia käytetään?

Suoraa kaapelia käytetään keskenään erilaisten laitteen välillä :

keskitin - kone (hub - host)

kytkin - kone (switch - host)

reititin - keskitin (router - hub)

reititin - kytkin (router - switch)


X-kaapelia käytetään keskenään samanlaisten laitteiden välillä :

kone - kone (host - host)

keskitin - keskitin (hub - hub)

kytkin - kytkin (switch- switch)

keskitin - kytkin (hub - switch)

reititin - reititin (router - router)

Milloin mitäkin kaapelia käytetään?


Valokuitu Ethernet, 10BaseF, 100BaseF, 1000Base-LX/SX

- datansiirtonopeus 10 Mb/s, 100 Mb/s, 1 Gb/s- 1-parinen valokuitu (tähtitopologia)- yhteys on aina point to point - monimuotokuitu 50/125 um ja 62,5/125 um (askelkuitu, asteittaiskuitu)- yksimuotokuitu 9/125 um- yleisimmin käyttettyjä aallonpituusalueita ovat 850 nm, 1310 nm ja 1550 nm- yhteysväli aallonpituudesta, kuidusta, lähettimestä ja kaistanleveydestä riippuen 250 m - 100 km- useita erilaisia liittimiä, yleisin lienee SC (ST, FC, MTRJ…)- jotkut valmistajat ilmoittavat kuitukaapeleilleen ”kaistanleveysetäisyyden” (MHz * km), esim. 500 MHzkm, 100 Mb/s => 5 km, 1000 Mb/s => 0,5 km- hyvin yleinen niin rakennusten sisällä kuin rakennusten välilläkin


Vastaanotinlähetin

kuitupääte kuitupääte

Valosignaalin vaimentuminen siirtotiellä

liitin liitinjatkos (hitsaus)

tehotaso

etäisyys

vastaanottimen herkkyys


VERKKOJEN YHDISTÄMINEN

Verkkojen yhdistäminen voidaan toteuttaa OSI-mallin tasoilla 1, 2 ja 3:

- OSI-mallin tasolla 1 yhdistämisen tekevä laite on toistin (repeater, keskitin, hub)

- OSI-mallin tasolla 2 yhdistämisen tekevä laite on silta (bridge, kytkin, switch)

- OSI-mallin tasolla 3 yhdistämisen tekevä laite on reititin (router)


TOISTIN (repeater, keskitin, hub), OSI-mallin tasolla 1

- yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan bittivirran kaikkiin muihin portteihin- ei tarkkaile kehyksen muotoa (oikeellisuutta)- ei tarkkaile kehyksen sisältöä- portteja vähintään 2 kpl, mutta voi olla paljonkin (ainakin kymmeniä)- porttien mediat voivat poiketa toisistaan (median vaihto)- tietoturva erittäin huono- suorituskyky voi ruuhkautuneena romahtaa- toiminta yleensä sellainen, että yhden segmentin toimimattomuus ei vaikuta muihin segmentteihin (ns. patitiointi)

TOISTINR

R

R

RHOST

HOST

HOSTHOSTHOST

HOST HOST

HOST

Kaksiporttinen toistin


TOISTINR

R

HOST

HOSTHOSTHOST

HOST

Moniporttinen toistin

R

RHOST

HOSTHOSTHOST R

R

RHOST HOSTR HOST


TOISTIN 1

R

R

R

R

HOST

HOST

HOSTHOST

HOST HOST

HOST

5-4-3-Sääntö

TOISTIN 2

TOISTIN 4

R

R

TOISTIN 3

RR

R

R

HOST

HOST

HOST

HOST

HOST

Verkko toteutetaan niin, että kahden toisistaan kauimpana olevien koneiden välillä saa olla enintäänviisi segmenttiä, neljä toistinta ja enintään kolmessa segmentissä saa olla koneita.

segmentti 1

segmentti 3

segmentti 4

segmentti 5

segmentti 2


TOISTIN

R

R

HOST

HOSTHOST

HOST

R

RHOST

HOSTHOSTR

R

R

HOST HOSTR HOST

TOISTIN

RHOSTHOSTHOST

R

TOISTIN

HOSTHOSTHOST

RR

ONKO SALLITTU VERKKORATKAISU?


TOISTIN

R

R

HOST HOST

R

RHOST

HOSTHOSTR

R

R

HOST HOSTR HOST

TOISTIN

RHOSTHOSTHOST

R

TOISTIN

HOSTHOSTHOST

RR

KORJATTU VERSIO EDELLISESTÄ


TOISTIN

R

R

HOST HOST

R

RHOST

R

R

R

HOST HOSTR HOST

TOISTIN TOISTIN

ONKO SALLITTU VERKKORATKAISU?

RR

R

HOST

HOST

HOST

R

R

HOST

HOST

HOST

R

R

HOST

HOST

HOST

R

R

HOST

HOST

HOST

R

R

TOISTIN

R

HOST

HOST

HOST

R

R

HOST

HOST

HOST

R

TOISTIN

R

R

HOST

HOST

HOST

R

R

HOST

HOST

HOST

R


KYLLÄ ON

5-4-3-sääntö ei rajoita:

- segmenttien kokonaismäärää

- toistinten kokonaismäärää

- ”kalustettujen” segmenttien kokonaismäärää

SIIS: VERKKO ON OK KUN MINKÄ TAHANSA KONEPARINVÄLILLÄ TOTEUTUU 5-4-3-SÄÄNTÖ!


PARIKAAPELITOISTIN (keskitin, HUB)- toistin, jonka portit ovat RJ-45-liittimillä varustettuja parikaapeliliityntöjä- porttimäärä vaihtelee neljästä useisiin kymmeniin- 5-4-3-sääntö pätee, mutta voitaisiin puhua myös 5-säännöstä, koska kaikki segmentit ovat point-to-point-segmenttejä

TOISTIN

HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST

TOISTIN



TOISTINOnko tämä toistimien välinensegmentti muita ruuhkaisempi?


Verkkoratkaisuja 1:

TOISTIN

HOST HOST HOST HOST HOST

TOISTIN


TOISTIN


TOISTIN



Verkkoratkaisuja 2:

TOISTIN


TOISTIN


TOISTIN


TOISTIN



Verkkoratkaisuja 3:

TOISTIN


TOISTIN


TOISTIN


TOISTIN


TOISTIN


TOISTIN


TOISTIN


TOISTIN


TOISTIN


Silmukat eivät ole sallittuja- toistinverkoissa ei voi käyttää ”varareittejä”


TOISTIN



TOISTIN

Taustaväylä

- jotkut toistimet on mahdollista yhdistää toisiinsa ns. taustaväylän kautta

- taustaväylää ei lasketa segmentiksi, koska taustäväylän avulla yhdistetty toistinryhmä on toiminnallisesti yksi toistin

- etäisyys laitteiden välillä vaihtelee muutamasta sentistä pariin metriin

Onko taustaväylässä enemmän vai vähemmänliikennettä kuin konesegmenteissä?


Tietoturva toistin

- toiminta on kehyksen alussa (kohde- ja lähdeosoitteiden aikana) sama kuin tavallisella toistimella

- lähdeosoitteen jälkeinen osa kehyksestä välitetään vain siihen porttiin josta oikea kohdeosoite löytyy

- muihin portteihin kehyksen loppuosa korvataan pupulla


Toistin ja 100 Mb/s

CLASS 1-laite:

TOISTIN


- 100 Mb/s nopeudella kehyksen pituus yksi kymmenesosa 10 Mb/s nopeuden kehyksestä- kaapelit ja toistin aiheuttavat niin paljon viivettä, ettei minimikehyksen törmäystä huomattaisi jos toistimia liikennöivien koneiden välillä olisi enemmän kuin yksi

100 Mb/s

max. 100 mmax. 100 m


TOISTIN



TOISTIN

CLASS 2-laite:

- toistimen viive verrattuna CLASS 1-laitteeseen on sen verran pienempi, että kaksi toistinta voidaan kytkeä yhteen

- sillä oletuksella, että toistimen ja koneen välille sallitaan sata metriä pitkä kaapeli rajoittuu toistinten välinen kaapeli noin kahdenkymmenen metrin pituiseksi

max. 100 m

max. 20 m

max. 100 m

100 Mb/s


DUAL-SPEED-toistin

- laite koostuu kahdesta toistimesta ja sillasta- kumpikin toistin toimii itsenäisenä toistimena- silta välittää toistinten välisen liikenteen- kehysten puskuroinnin ansiosta silta voi sovittaa nopeudet

TOISTIN100 Mb/s

TOISTIN10 Mb/s

SILTA

HOST HOST HOST HOST HOSTHOST HOST HOST HOST HOST

DUAL-SPEED-HUB


Automaattinen nopeuden tunnistus, auto negotation

- auto negotation on järjestelmä, jolla laittet pystyvät ”sopimaan” välillään olevan linkin nopeuden

- neuvottelu aloitetaan 100 Mb/s-fullduplex-liikenteestä

- seuraavaksi koetetaan 100 Mb/s-halfduplex-liikennettä

- jos kumpikaan edellisistä ei onnistu, niin käytetään 10 Mb/s-halfduplex-liikennettä

- aina neuvottelu ei johda yhteisymmärrykseen ja silloin ko. linkin nopeudet joudutaan asettamaan käsin


Toistin ja 1 Gb/s

- 1 Gb/s-yhteyksiä ei toteuteta toistimilla


POHDITTAVAKSI:

Miksi tavallisen toistimen tietoturva on heikko?

Voidaanko toistimilla toteutetussa verkossa käyttää fullduplex-liikennöintiä?


SILTA (bridge, kytkin, switch), OSI-mallin tasolla 2

- yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan kehyksen vain siihen porttiin, josta kohdeosoite (ethernet-osoite) löytyy- tarkkailee kehyksen muotoa (oikeellisuutta)- tarkkaile kehyksen sisältöä (ensisijaisesti kohdeosoitetta)- kehyksen välityksessä kolme vaihtoehtoa (kolmen f:n periaate) * välitys (forwarding), tulva (flooding) ja suodatus (filtering)- portteja vähintään 2 kpl, mutta voi olla paljonkin (ainakin kymmeniä)- porttien mediat voivat poiketa toisistaan (median vaihto)- tietoturva hyvä- suorituskyky hyvä

SILTA

R

R

R

R

HOST

HOST

HOSTHOSTHOST

HOST HOST

HOST

Kaksiporttinen silta


SILTA

R

R

HOST

HOSTHOSTHOST

HOST

Moniporttinen silta

R

RHOST

HOSTHOSTHOSTR

R

R

HOST HOSTR HOST

- broadcast kehykset välitetään kaikkiin portteihin- tuntemattomaan ethernet-osoitteeseen menevät kehykset välitetään kaikkiin portteihin- silta ”opettelee” ethernet-osoitteet liikenteen perusteella, osoitteita ei tarvitse konfiguroida- silta pystyy muistamaan tuhansia ethernet-osoitteita- osoitemuisti on dynaaminen- osoitteita voidaan asettaa myös käsin (tietoturva paranee edelleen)- perustoimintamuoto on store-and-foreward, joka sallii nopeuden muutoksen porttien välillä- toiminta voi olla myös cut throught- tai minimikehys-tyyppistä on the fly switching-toimintaa- on the fly switching ei mahdollista nopeuden muutosta porttien välillä- 5-4-3-sääntö ei ole voimassa koska liikennettä puskuroidaan- pitkiä segmenttiketjuja kannattaa kuitenkin välttää latenssin takia- törmäysalue ulottuu sillan portista kauimmaiseen koneeseen, ei sillan yli toisiin portteihin- laitevalmistaja voi ilmoittaa suorituskyvyn pakettia/s eikä bittiä/s


PARIKAAPELISILTA (kytkin, switch)

- silta, jonka portit ovat RJ-45-liittimillä varustettuja parikaapeliliityntöjä- porttimäärä vaihtelee neljästä useisiin kymmeniin

KYTKIN


KYTKIN



KYTKINOnko tämä kytkinten välinensegmentti muita ruuhkaisempi?


KYTKIN

HOST HOST HOST

Verkkorakenteita

KYTKIN

HOST HOST HOST

KYTKIN

HOST HOST HOST

KYTKIN

HOST HOST HOST

KYTKIN

HOST HOST HOST

KYTKIN

HOST HOST HOST

- ketjutus vain silloin kun etäisyys tai kaapeloinnin rakenne sen vaatii

- kerrattu tähti suositeltavampi sekä suorituskyvyn että varmuuden suhteen


KYTKIN



KYTKIN

MULTI-TRUNK-yhteys- kytkinten välinen ”monilinkki-yhteys”- yhteyden nopeus = n * yksittäisen linkin nopeus (esim. 4 * 100 Mb/s fullduplex => summanopeus 800 Mb/s)- hyvä välimuoto kun esim 100 Mb/s ei riitä ja 1Gb/s liityntä on liian kallis- vaatii konfiguroinnin, joka on useimmiten helppo tehdä

Yhteyden nopeus = n * linkin nopeus


KYTKIN


KYTKIN


KYTKIN


KYTKIN


Silmukat ovat sallittuja, kun käytetäänSPANNING TREE PROTOKOLLAA

- kytkinverkoissa voi käyttää varareittejä- ei kuorman jakoa- vikatilanteessa yhteyden vaihto toimivalle linkille kestää noin 30 s, joka on useimmille sovelluksille liikaa- uusimmilla kytkimillä yhteyden vaihto jopa muutamassa sekunnissa


KYTKIN



KYTKIN

Taustaväylä- monet kykimet on mahdollista yhdistää toisiinsa ns. taustaväylän kautta

- taustaväylällä yhdistetyt kykimet ovat toiminnallisesti yksi kytkin

- etäisyys laitteiden välillä vaihtelee muutamasta sentistä pariin metriin

- taustaväylän kapasiteetti useita gigabittejä jopa kymmeniä gigabittejä


Virtuaaliverkko VLAN

- koneet ovat fyysisesti samassa verkossa, mutta muodostavat loogisesti erillisiä verkkoja- luokkitelevana tekijänävoi olla esim. kytkimen portti, hostin ethernet-osoite tai protokolla- koneet pystyvät kommunikoimaan vain oman vlaninsa koneiden kanssa

KYTKIN


VLAN 1 VLAN 2 VLAN 3

Esimerkki 1.

VLAN1: portit 1-4VLAN2: portit 5-10VLAN3: portit 11-16

Esimerkki 2.

VLAN1: mac#1, mac#2 mac#3, mac#4VLAN2: mac#5, mac#6 mac#7, mac#8 mac#9, mac#10VLAN3: mac#11, mac#12 mac#13, mac#14 mac#15, mac#16

Esimerkki 3.

VLAN1: ipVLAN2: ipxVLAN3: appletalk


VLAN useamman kytkimen alueella

KYTKIN



KYTKIN



KYTKIN

HOST

HOST

HOST

HOST

HOST

HOST

KYTKIN

Tapaus 1: kytkinten välillä oma kaapeliyhteys jokaista VLANia varten

- vie paljon portteja- hyvä suorituskyky- voidaan toteuttaa myös laitteilla, jotka eivät tue IEEE 802.1Q-standardia


KYTKIN



KYTKIN



KYTKIN

HOST

HOST

HOST

HOST

HOST

HOST

KYTKIN

Tapaus 2: kytkinten välillä yhteinen kaapeliyhteys jokaista VLANia varten

- vie vähän portteja- voi aiheuttaa pullonkauloja suorituskykyyn- voidaan toteuttaa vain laitteilla, jotka tukevat IEEE 802.1Q-standardia


IEEE 802.1-standardi, yhdysliikenne

802.1Q: määrittelee tavan, jolla tieto VLANista kuljetetaan kehyksen mukana

802.1p: määrittelee tavan, jolla tieto kehyksen prioriteetista kuljetetaan kehyksen mukana

IEE802.1Q-KEHYS

KOHDEOSOITE LÄHDEOSOITE TYYPPI /PITUUS

DATA FCS

6 TAVUA 6 TAVUA 2 TAVUA

DATA DATA DATA DATA

46 - 1500 TAVUA4 TAVUA

68 - 1522 TAVUA

IEEE802.1Q(VLAN tag)

4 TAVUA

Tag-protokolla-tunniste

2 TAVUA 2 TAVUA

Tag-ohjaustieto

1 123

Käyttäjän- CFI VLAN IDprioriteetti


Langattomat lähiverkot (WLAN, wireless local area network)

IEEE 802.11

INFRAPUNA HAJASPEKTRI KAPEAKAISTA

TAAJUUSHYPPELY SUORASEKVENSSI

- määritelty IEEE:n standardissa 802.11- käytännön toteutukset lähinnä hajaspektri-tekniikalla- aiemmin käytettiin taajuushyppelyä, mutta viime vuosina on siirrytty suorasekvessiin- taajuusalueista yleisin on 2,4 GHz, 5,8 GHz tulossa ja 915 MHz jäämässä pois- lähetysteho 100 mW max- nimellisiä tiedonsiirtonopeuksia kolme kappaletta 1 Mbps, 2 Mbps (802.11) ja 11 Mbps (802.11b)- todelliset tiedonsiirtonopeudet 0,5 - 5 Mbps- liikenne tyypillisesti halfduplex, mutta kahden tukiaseman välillä on mahdollista käyttää myös fullduplexia- vuoronvarauksena CSMA/CA (carrier sence multiple access, collision avoidance)- langattoman paikallisverkon tukiasema toimii OSI-mallintasolla 2, eli on silta


Verkkoratkaisuja:

KYTKIN


WLAN-tukias.

HOST

HOST

HOST

HOST

HOST

WLAN-tukias.

HOST

HOST

HOST

HOSTHOST

Etäisyys ilman suunta-antenneja max.kymmeniä metrejä


KYTKIN

HOST HOST HOST HOST HOST HOST HOST HOST HOST

HOST HOST HOST HOST HOST HOST HOST HOST HOST

KYTKIN

WLAN-tukias.WLAN-tukias.

Etäisyys antenneista riippuen 100 m - 10 km


REITITIN (router), OSI-mallin tasolla 3

- yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan ip-datagrammin siihen porttiin, josta kohdeosoite (ip-osoite) löytyy- ei ”kaappaa” kehyksiä, vaan hostit lähettävät toiseen verkkoon menevät kehykset reitittimelle (= reitittimen ethernet-osoitteeseen) - portteja vähintään 1 kpl, mutta voi olla paljonkin (ainakin kymmeniä)- porttien mediat ja nopeudet voivat poiketa toisistaan (median vaihto)- portit voivat poiketa toisistaan myös toiminnallisesti (esim. ATM, FDDI, TOKEN-RING, ADSL..)- tietoturva hyvä- suorituskyky vanhoilla reitittimillä voi olla huono, mutta uusilla hyvä

REITITIN

R

R

R

R

HOST

HOST

HOSTHOSTHOST

HOST HOST

HOST

Kaksiporttinen reititin

IP-verkko #1IP-verkko #2


KYTKIN

HOST HOST HOST HOST HOST HOST

KYTKIN


KYTKIN

REITITIN

IP-verkko #1 IP-verkko #2

Yksiporttinen reititin


KYTKIN


KYTKIN


REITITIN

IP-verkko #1 IP-verkko #2

INTERNETTyypillinen reititintapaus

REITITIN

REITITIN

REITITIN

REITITIN

REITITIN

KYTKIN


IP-verkko #3

KYTKIN


IP-verkko #4

HOST


Taustaa reitittimen toiminnalle

Internet Protocol versio 4 (IPv4)

- nykyisin käytetään edelleen lähes 100%:sti IP:n versiota 4

- osoitteet ovat 4-tavuisia, 32-bittisiä, esim 192.168.130.1

- osoitteet jaettu 5-luokkaan, A, B, C, D ja E

- ip-osoite sisältää netid ja hostid osuuden

- samaan ip-aliverkkoon kuuluvat kaikki ne osoitteet, joiden netid on sama

- luokkajako määrittelee ”perus” netid:n pituuden

- aliverkkopeitteellä (aliverkkomaski, subnetmask, maski) netid:n pituutta voidaan kasvattaa


IP-verkot

Luokka

• A 1.0.0.0 – 127.0.0.0

• B 128.1.0.0 – 191.254.0.0

• C 192.0.1.0 – 224.255.254.0

• D 224.0.0.0 – 239.0.0.0 (multicast)

• E 240.0.0.0 – 254.0.0.0 (experiments)


Private-verkot

• RFC 1918• ftp://ftp.nordu.net/rfc/• seuraavat osoitteet on varattu organisaatioiden sisäiseen käyttöön sekä erilaisiin

kokeiluihin

Luokka• A 10.0.0.0 – 10.255.255.255• B 172.16.0.0 – 172.31.255.255• C 192.168.0.0 – 192.168.255.255


A-luokka

NETID HOSTID

- netid:n ensimmäinen bitti on aina nolla => A-luokan osoitteet välillä 0 - 127- aliverkkopeite 255.0.0.0

0

8 16 24 32

Erikoistapauksia:0.0.0.0 = ei pätevä osoite, usein oletusarvo ennen oikean arvon asetusta (sallii koneen käynnistyksen)10.X.X.X = yleisesti käytetty harmaa A-luokka127.X.X.X = Loopback, voidaan testata oman koneen protokollapinon toiminta


B-luokka

1 0

NETID HOSTID

- netid:n ensimmäinen bitti on aina ykkönen ja toinen nolla => B-luokan osoitteet välillä 128 - 191- aliverkkopeite 255.255.0.0

8 16 24 32


C-luokka

1 1 0

NETID HOSTID

- netid:n ensimmäinen ja toinen bitti on aina ykkösiä ja kolmas nolla => C-luokan osoitteet välillä 192 - 223- aliverkkopeite 255.255.255.0

8 16 24 32

Erikoistapauksia:

192.168.X.X = yleisesti käytetty harmaa C-luokka


D-luokka

1 1 1 0 Multicast address

E-luokka

1 1 1 1 0 Varattu tulevaisuuden käyttöön


Aliverkkopeite- aliverkkopeite kertoo kuinka monta bittiä ip-osoitteesta on netid:n osuus- netid:n bitit lasketaan aina vasemmalta oikealle keskeytyksettä, välejä jättämättä- jäljelle jääneet bitit muodostavat hostid:n- aliverkkopeite voidaan esittää kahdella eri tavalla

Esitystapa 1.

Esim.1 255.255.255.0Netid:n pituus saadaan selville kun eo. aliverkkopeite muutetaan binääriseksi jalasketaan ykkösten määrä

11111111.11111111.11111111.00000000 ykkösiä on 24 kpl => netid:n osuus on 24 bittiä ja hostid:lle jää 8 bittiä

Esim. 255.255.192.0 => 11111111.11111111.11000000.00000000 => netid 18 bittiä / hostid 14 bittiä

Esitystapa 2.

Esim.1 /24

Tämä esitystapa kertoo suoraan montako bittiä kuuluu netid:lle, netid 24 ja hostid:lle jää 8 bittiä

Esim.2 /18 => netid 18 bittiä / hostid 14bittiä


Subnet maskit

Desimaali Heksa Binääri

255 FF 11111111

254 FE 11111110

252 FC 11111100

248 F8 11111000

240 F0 11110000

224 E0 11100000

192 C0 11000000

128 80 10000000

0 0 00000000


Harjoitustehtäviä:

1. Kuuluvatko asemat X ja Y samaan IP-aliverkkoon, kun niiden osoitteet ovat seuraavat? Mihin luokkaan osoitteet kuuluvat?

X Y

a) 65.245.17.128 65.83.128.17b) 190.12.15.10 190.12.122.224c) 194.128.14.129 194.128.100.178d) 220.13.15.53. 220.13.15.72e) 228.134.56.19 228.134.56.24

2. Esitä seuraavat ip-osoite/aliverkkopeiteparit toisella esitystavalla Mihin luokkaan osoitteet kuuluvat?

a) 65.245.17.128 255.255.224.0b) 190.12.15.10 255.255.255.0c) 194.128.14.129 255.255.255.128d) 120.13.15.53. /16e) 128.134.56.19 /19f) 157.112.34.55 /24


3. Kuuluvatko asemat X ja Y samaan IP-aliverkkoon, kun niiden osoitteet ovat seuraavat? Mihin luokkaan osoitteet kuuluvat? Esitä maskit myös toisella esitystavalla?

X Y

a) 65.245.17.128/16 65.83.128.17/16b) 190.12.15.10/17 190.12.122.224/17c) 194.128.14.129/26 194.128.14.178/26d) 220.13.15.53/26 220.13.15.72/26e) 223.134.56.19/28 223.134.56.24/28


Vastauksia:

1. a) kyllä, a-luokkab) kyllä, b-luokkac) ei, c-luokkad) kyllä, c-luokkae) d-luokan osoite, samaan verkkon kuuluminen ei ole relevantti kysymys

2. a) 65.245.17.128 /19 a-luokkab) 190.12.15.10 /24 b-luokkac) 194.128.14.129 /25 c-luokkad) 120.13.15.53. 255.255.0.0 a-luokkae) 128.134.56.19 255.255.224.0 b-luokkaf) 157.112.34.55 255.255.255.0 b-luokka

3. a) kyllä a-luokka 255.255.0.0b) kyllä, b-luokka 255.255.128c) kyllä c-luokka 255.255.255.192d) ei c-luokka 255.255.255.192e) kyllä c-luokka 255.255.255.240


IP-verkon jakaminen- ip-verkko voidaan jakaa aliverkkoihin suurentamalla aliverkkopeitettä eli net-id bittien osuutta ip-osoitteesta- net-id:n kasvattaminen yhdellä bitillä jakaa verkon kahteen yhtäsuureen osaan- jokaisen verkon ensimmäinen osoite on verkko-osoite, eikä sitä saa käyttää koneosoitteena- jokaisen verkon viimeinen osoite on broadcast-osoite, eikä sitä sa käyttää koneosoitteena- mikä tahansa verkkoja broadcast-osoitteiden välillä oleva osoite voidaan antaa reitittimen portille, mutta yleisimmin se on ensimmäinen verkko-osoitteen jälkeinen osoite.

ESIM 1. Jaa verkko 192.168.130.0/24 kahteen osaan?

Aliverkkopeite on tässä verkossa 24 bittiä, eli verkkotunnisteen osuus on 192.168.130. Bitit 25-32muodostavat host-osuuden.

Kasvatetaan verkkotunnistetta yhdellä bitillä, jolloin saadaan kaksi uutta verkkoa192.168.130.0/25 ja 192.168.130.128/25. Ensimmäisessä uudessa verkossa 25. bitti on nolla ja toisessa uudessa verkossa 25. bitti on ykkönen. Bitit 26-32 muodostavat molemmissa uusissa verkoissa host-osuuden

Alkuperäisen verkon verkko-osoite on 192.168.130.0 ja broadcast-osoite 192.168.130.255.

Ensimmäisen uuden verkon verkko-osoite on 192.168.130.0 ja broadcast-osoite 192.168.130.127.* reitittimen portti: 192.168.130.1/25 ja koneet 192.168.130.2-126/25

Toisen uuden verkon verkko-osoite on 192.168.130.128 ja broadcast-osoite 192.168.130.255.* reitittimen portti: 192.168.130.129/25 ja koneet 192.168.130.130-254/25


Verkko192.168.130.0/24

OSOITTEET 255 0

Verkko192.168.130.0/25

Verkko192.168.130.128/25

128 127

OSOITTEET 255 0

ESIM.1-jatkuu


Verkkojen sijoittuminen reitittimeen

ESIM.1-jatkuu

internet

reititin

192.168.130.0/25 192.168.130.128/25


ESIM.2. Jaa verkko 130.157.123.0/24 kolmeen osaan?

Ratkaisu 1. Verkko 1 130.157.123.0/25Reitittimen portti 130.157.123.1/25Koneet 130.157.123.2-126/25

Verkko 2 130.157.123.128/26Reitittimen portti 130.157.123.129/26Koneet 130.157.123.130-190/26


Ratkaisu 2. Verkko 1 130.157.123.0/26Reitittimen portti 130.157.123.1/26Koneet 130.157.123.2-62/26



255 0

128 127

130.157.123.0/25192191

130.157.123.128/26

130.157.123.192/26

255 0

128 127

130.157.123.0/26

130.157.123.128/25

130.157.123.64/26

6364


ESIM.2.-jatkuuINTERNET

REITITIN

130.157.123.0/25 130.157.123.128/26 130.157.123.192/26

INTERNET

REITITIN

130.157.123.0/26 130.157.123.64/26 130.157.123.128/25

Ratkaisu 1.

Ratkaisu 2.


Reitityksen toiminta:

- ip-protokollaa käyttävälle laitteelle täytyy asettaa vähintään ip-osoite, aliverkkopeite ja oletusyhdyskäytävä (=reititin)- reitittimelle konfiguroidaan porttikohtaiset ip-numerot, jolloin ko. reititin tuntee ”omat” verkkonsa, lisäksi reitittimelle kerrotaan muiden reitittimien takaa löytyvät verkot (tämä voi olla staattinen, eli käsin asetettu tai dynaaminen, eli reititysprotokollien avulla reitittimien toisilleen kertoma tieto). Tämä reititystieto sijaitsee reititystaulussa.- laite, joka haluaa lähettää tietoa toiseen ip-numeroon tarkastaa kohde-ip-osoitteen, oman ip-osoitteen ja aliverkkopeitteen avulla kuuluvatko kohde-ip ja oma ip samaan verkkon. Jos ip-osoitteet ovat samassa verkossa, niin sanoma lähetetään suoraan kohteeseen, mutta jos ip-osoitteet ovat eri verkoissa, niin asema lähettää sanoman omalle oletusyhdyskäytävälleen, eli reitittimen porttiin.- kun sanoma saapuu reitittimelle, niin reititin lähettää sanoman edelleen sinne, minne se kohde-ip-osoitteen ja reititystaulussa olevan tiedon perusteella kuuluu- ethernet-osoitteet vaihtuvat jokaisessa reityksessä, mutta ip-osoitteet pysyvät samoina päästä päähän- reitittimiin voidaan konfiguroida erilaisia tietoturvaa lisääviä ominaisuuksia, esim. access-listat tai palomuuri

Layer 3:n kytkentä:

- joissakin uusissa ethernet-kytkimissä on toimintaa laajennettu OSI-mallin tasolta 2 tasolle 3, eli normaalin ethernet-osoitteisiin perustuvan kytkentätoiminnan lisäksi tällainen laite kykenee reitittämään- edellä kuvatun reititystauluun perustuvan reitityksen lisäksi tällainen L3:n-kytkin pitää yllä taulukkoa ip-osoitteista, joista tietoa on tullut tai jonne tietoa on mennyt. Reititettävän sanoman kohde-ip-osoitteen osuminen tähän ”ip-taulukkoon” tarkastetaan ensin ja jos osoite löytyy niin reititys suoritetaan välittömästi. Jos osumaa ei tule, niin reititys tehdään perinteisesti reititystaulun tietojen perusteella.- ulospäin L3:n kytkentä näyttää täysin samalta kuin reititys- konfiguroimattomana L3:n toimii vain OSI-mallin tasolla 2


Lisää tehtäviä:

1. Käytössäsi on ip-verkot 193.167.70.0/24 ja 193.167.71.0/24. Toteuta kuvan mukainen verkkoratkaisu? Mitkä ovat ip-verkot/maskit? Mitkä ovat reitittimen porttien ip-osoitteet/maskit? Mitkä ovat koneiden ip-osoitteet/maskit?

internet

reititinp1 p2 p3

LAN 1, 200 konetta LAN 2, 100 konetta LAN 3, 100 konetta


Ratkaisu:

LAN1: Verkko-os: 193.167.70.0/24Reititin,p1: 193.167.70.1/24Koneet: 193.167.70.2-254/24




Lisää tehtäviä:


internet

reititinp1 p2 p3



Ratkaisu:



Verkko-os: 193.167.71.128/26Reititin,p2: 193.167.71.129/26Koneet: 193.167.71.130-190/26



Lisää tehtäviä:


internet

reititin 1p1 p2 p3


reititin 2p1 p2


Ratkaisu:

LAN1: Verkko-os: 193.167.70.0/24Reititin1,p1:193.167.70.1/24Koneet: 193.167.70.2-254/24



Reititin1,p3 - Reititin2,p1 = LAN4

LAN4: Verkko-os: 193.167.71.192/26Reititin1,p3:193.167.71.193/26Reititin2,p1:193.167.71.194/26

- tämä ratkaisu tuhlaa tarpeettomasti osoitteita LAN4:een, koska tässä lanissa ei ole koneita

Toinen ratkaisu LAN4:een:

Verkko-os: 193.167.71.252/30Reititin1,p3:193.167.71.253/30Reititin2,p1:193.167.71.254/30


Yrityksen verkkopalvelut

• DNS = Domain Name Service

• WINS = Windows Name Service

• NAT = Network Address Translation

• Firewall = Palomuuri


Internetin nimipalvelut eli DNS

• DNS = Domain Name Service

• Kehitetty helpottamaan ihmisten oloa (konekieli vs ihmisten kieli)

• Joustavuus ja skaalautuvuus

• Hajautettu ylläpito ja vastuu (ja tallennus)


Päätason domain-nimet

• gTLD = generic Top Level Domain: com, net, org, edu, mil, gov, int

• ccTLD = country code Top Level Domain: fi, se, no, ...

• muut: arpa

• IANA vastaa, mutta on delegoinut ylläpidon

• Dokumentointi RFC 1519


DNS – periaate

• Oikea paikka puusta

• Nimi osoitteeksi

• Osoite nimeksi

Nimipalvelun päätehtävänä on muuntaa aluenimet IP-osoitteiksi (Forward DNS) ja IP-osoitteet nimiksi (Reverse DNS).


Mitä tarvitaan yrityksessä?

Pienessä yrityksessä tarvitaan yleensä nimipalvelua vain silloin kun surfataan Internetissä. Useimmissa tapauksissa nimipalvelu ostetaan/vuokrataan Internet yhteyden tarjoajalta.

Isommassa yrityksessä (tai organisaatiossa, oppilaitoksessa) saatta olla tarvetta omaan nimipalvelimeen sekä sisäiseen käyttöön että ulospäin.

Esim. yrityksessä voisi olla:

• 1 kpl DNS palvelin joka hoitelee liikennettä ulospäin, Unix tai Windows server 2000 tai 2003

• 1 kpl mahdollisesti pelkästään hoitamaan Windows Aktiivi hakemiston työasemia


WINS

• WINS = Windows Name Service

• Käytetään Windows domaineissa työasemien nimipalveluun

• Nykyään natiivissa aktiivihakemistossa tätä palvelua ei tarvita

• Windows 9x ja NT 4.0 vaativat, Windows 2000 ja XP Pro eivät vaadi mutta kykenevät käyttämään.


NAT

• NAT = Network Address Translation

• Monesti yrityksessä on ns. ”harmaita” ip-osoitteita, säästetään rahaa kun ei tarvitse vuokrata ip-avaruuksia telehallintokeskukselta (tai oikeammin RIPE jolta telehallintokeskus on saanut käyttöoikeuden)

• Käytetään yrityksen työasemien ip-osoitteiden suojaamiseen/piilottamiseen ulkoverkolta


Tietoturva

• Yrityksen verkon tietoturva on tänä päivän yksi suurimmista ja vaikemmista haasteista. Täytyy tasapainotella käytettävyyden ja turvallisuuden rajamailla.

• Palomuuri

• Viruksentorjunta työasemissa ja palvelimissa ei riitä – virusskanneri jo gatewayssa

• Extranet / Intranet

• Uhat sisäverkosta


Palomuuri

• Palomuurin tehtäviin voi kuulua mm. – parantaa verkon tietoturvaa

– parantaa verkon suorituskykyä

– estää ulkoa tulevat hyökkäykset

– estää sisäverkosta tulevat hyökkäykset

– reitittää eri verkkojen välillä (johtajat, duunarit, palkanlaskenta)


Palomuuri, jatkuu II

• Palomuurit jaetaa kolmeen eri kategoriaan toimintaperiatteensa mukaan:– pakettisuodatin

– yhteyssuodatin

– sovellustason yhdyskäytävä ratkaisu (proxy)

• pakettisuodatin:– sallii kahden reitittimen välisen liikenteen mennä läpi jos määrätyt kriteerit täyttyvät paketissa

– sovelletaan kaikkiin paketteihin

– salliva palomuuri

• yhteyssuodatin:– valvoo liikennettä koko sen istunnon ajan rekuntsroimalla liikenteeseen liittyvän datavuon

– paketti ei pääse läpi mikäli se ei kuulu hyväksyttävään istuntoon

– rajoittava palomuuri

• sovellutason palomuuri eli proxy:– valvotaan verkkoyhteyksien lisäksi myös sovellustason protokollia

– paketteja ei päästetä suoraan kulkemaan sellaisenaan verkosta toiseen, yhteys muodostetaan erityiseen sovellukseen, proxyyn joka päättää otetaanko yhteys lopulliseen pyydettyyn kohteeseen vai ei

– sovellustason protokolla hyökkäyksien esto


Kysymyksiä?

• ...

• kiitos ajanvietosta mukavan asian parissa ja iloista kevättä.

TIETOKONEVERKOT

Documents

Transcript of TIETOKONEVERKOT