IP address management

Transkript

1 Bankovní institut vysoká škola Praha Katedra Informatiky a kvantitativních metod IP address management Bakalářská práce Autor: Pavel Žák Informační technologie, Správce IS Vedoucí práce: Ing. Jan Háněl Praha Červen, 2014

2 Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze dne 30.června 2014 Pavel Ţák

3 Poděkování: Chtěl bych poděkovat panu Ing. Janu Hánělovi, vedoucímu bakalářské práce, za odborné vedení práce a cenné rady, které mi pomohly tuto práci zpracovat.

4 Anotace Tématem bakalářské práce je analýza datových sítí z hlediska IP adresace, tvorby IP adres a systémů na správu IP adres doplněný o praktickou ukázku zapůjčení IP adresy. V první části práce jsem se věnoval referenčnímu ISO/OSI modelu. Další části práce pojednávají o IP adrese a moţnosti jejího automatického přidělení. Téţ jsem se zmínil i o nástrojích automatické správy adresního prostoru. Práce končí praktickou ukázkou konfigurace síťového zařízení a analýzy síťového provozu zapůjčení IP adresy. Klíčová slova: internet protokol, paket, IP adresa, datový provoz, DHCP Annotation The topic of this bachelor thesis is data networks analysis from IP addressing point of view, IP address creation and IP address managing systems, with additional practical illustration of IP address renting. The first part of thesis is dedicated to referential ISO/OSI model. Other parts of thesis are dedicated to IP address and possibilities of its automatic allocation. The tools of automatic maintenance of address space are also mentioned. The thesis is completed by practical illustrations of network device configuration and network traffic of IP address renting. Key words: internet protocol, packet, IP address, network traffic, DHCP

5 Obsah Úvod... 8 Zvolené metody zpracování Síťový model ISO/OSI Fyzická vrstva (physical layer) Přenosová rychlost Přenosová média Přístup k sdílenému přenosovému médiu Kolizní doména CSMD/CD Collision Detection (detekce kolizí) CSMD/CA Collision Avoidence (předcházení kolizí) Rozbočovač (hub) Opakovač (repeater) Linková vrstva (data link layer) MAC adresa Datový rámec (frame) ARP (Address Resolution Protocol) Přepínač (switch) Most (bridge) VLAN Síťová vrstva (network layer) IP adresa Paket IPv4 (packet) a jeho struktura Paket IPv Protokoly IP (Internet Protokol) ICMP (Internet Control Message Protocol) Směrovač (router) Transportní vrstva (transport layer) Porty (ports) Protokoly TCP (Transmission Control Protocol) UDP (User Datagram Protocol)

6 1.5. Relační vrstva (session layer) Prezentační vrstva (presentation layer) Aplikační vrstva (application layer) Encapsulace a Deencapsulace Protokol stack Síťový model TCP/IP IP adresa a IP adresování IPv4 adresa Veřejné a privátní adresy Maska sítě Třídy adres IPv Speciální IP adresy Adresování s maskou podsítě proměnné délky DNS (Domain Name System) Překlad adres NAT IPv Výchozí brána (gateway) Síťové tunelování Moţnosti přidělení a správy IP adres Autorita pro přidělování čísel na Internetu (IANA) Přidělování IP adres Přidělování názvů domén Správa protokolů RFC (request for comments) DHCP (Dynamic Host Configuration Protocol) Metody alokace IP adresy DHCP Relay Agent Komunikace DHCP klient-server Stavy DHCP klienta Restart DHCP klienta Prodlouţení zápůjčky IP konfigurace DHCP klienta Přesun DHCP klienta do jiné sítě Více DHCP serverů v síti Formát zpráv DHCP

7 Sekce moţností (options) DHCP Snooping Automatická konfigurace v IPv DHCPv DUID (DHCP Unique Identifier) Mobile IP Software IPAM IPAM Windows Server Cisco Prime Network Registrar IPAM Praktická ukázka Konfigurace počítače jako DHCP klienta Konfigurace směrovače pro domácí pouţití Konfigurace Cisco směrovače Konfigurace DHCP ve směrovači Ověření síťové komunikace Závěr Pouţité zdroje Seznam obrázků Seznam tabulek Pouţité SW nástroje Seznam pouţitých zkratek

8 Úvod V současnosti registrujeme velký rozmach komunikačních technologií. Některé technologie upadnou v zapomnění, jiné se prosadí. Téměř vţdy je základ úspěchu komerční vyuţití. Ne vţdy se prosadí optimální řešení. V následující práci jsem se rozhodl analyzovat princip, jak datové sítě pracují z pohledu IP adresace, neboť velmi mnoho komunikačních prvků vyuţívá právě IP adresy. V úvodu práce jsem se snaţil nastínit, jak teoreticky datové sítě pracují na principu referenčního modelu ISO/OSI, popřípadě jemu příbuznému modelu TCP/IP, podle kterého se řídí Internet. Aby datové sítě pracovaly a jednotlivá zařízení, ať uţ počítače, mobilní telefony, tablety a jiné zařízení mohly se sebou komunikovat, je potřeba proces komunikace nějakým způsobem formalizovat. K tomuto účelu nám mimo jiné slouţí právě IP adresa. Komunikace v datové síti je v mnohé literatuře přirovnávána k doručování poštovních zásilek. Aby poštovní komunikace doručování zásilek pracovala správně, je nutné vědět přesnou adresu odesílatele a adresáta. V tomto příkladu je moţné spatřovat analogii s doručováním zpráv po datové síti za vyuţití IP adres. Cílem této práce bylo poukázat na to, jaký je systém tvorby IP adresy a jakým způsobem ji lze automaticky generovat, aniţ by si ji uţivatel musel nastavovat či jinak konfigurovat. Závěr práce je věnován praktické ukázce nastavení aktivních prvků sítě z hlediska přidělování IP adres a ověření teoretických poznatků z odchyceného síťového provozu. Zvolené metody zpracování Zpracování této práce předcházelo studium odborné literatury a internetových zdrojů. Jelikoţ zvolené téma je základním kamenem pro síťové specialisty, je toto téma popisováno více autory. Ne vţdy jsem se setkal se stejnou interpretací dané problematiky u všech zdrojů. Proto jsem se snaţil vybrat zdroje a fakta, které jsem si mohl ověřit z více zdrojů, dosavadní praxe, tak i z konzultací s různými specialisty. Poznatky získané tvorbou této práce jsem se snaţil ověřit v praktické části, především zachycením síťového provozu mezi zařízeními. 8

9 1. Síťový model ISO/OSI Referenční model ISO/OSI je teoretický model znázorňující komunikaci v počítačové síti. Byl vytvořen Mezinárodní organizací pro normalizaci (ISO - International Organization for Standardization) jiţ v roce Model OSI (Open System Interconnection - propojení otevřených systémů) je normalizovaná sada protokolů popisující komunikaci v počítačové síti. Hlavní myšlenkou tohoto teoretického modelu je zabezpečit standardy pro účely propojování počítačových sítí. Tento teoretický model ISO/OSI je sedmivrstvý. Model nespecifikuje realizaci systémů, je to spíše soubor zásad. Je zaměřen na obecné principy sedmivrstvé síťové struktury, jenţ popisuje jednotlivé vrstvy, funkce a sluţby, které jednotlivé vrstvy zabezpečují. Podle modelu probíhá komunikace mezi jednotlivými vrstvami na vertikální úrovni, spolupracují vţdy sousední vrstvy nad sebou. Komunikace nikdy nemůţe přímo proběhnout mezi vrstvami, které spolu přímo nesousedí. Vrstva na vyšší úrovni můţe ţádat niţší vrstvu o sluţbu a tudíţ niţší vrstva poskytuje sluţbu vrstvě přímo nad ní. Pro zajištění komunikace mezi vrstvami na stejné úrovni v horizontálním směru jsou ve skutečnosti vyuţívány niţší vrstvy. Obrázek 1 - Vrstvy ISO/OSI modelu Zdroj: [1] 1.1. Fyzická vrstva (physical layer) Vrstva zajišťující komunikaci na úrovni elektrického, elektromagnetického, optického signálu v podobě bitového přenosu, coţ představuje především příjem a odesílání jednotlivých bitů, jejich synchronizaci a časování při odesílání na síť. 9

10 Přenosová rychlost Přenosová rychlost udává mnoţství informací, které je moţno přenést za jednotku času. Jako základní jednotka, a nejčastěji pouţívaná, se uvaţuje jeden bit za jednu sekundu (b/s, nebo anglicky bps bits per second). Bit za sekundu je nízká hodnota, z tohoto důvodu se pouţívají násobky viz tabulka. Tabulka 1 - Násobky jednotky bit/sekundu Jednotka Zktatka Převod 1 kilobit/sekundu 1 kb/s 1 kb/s = b/s 1 megabit za sekundu 1 Mb/s 1 Mb/s = b/s 1 gigabit za sekundu 1 Gb/s 1 Gb/s = b/s 1 terabit za sekundu 1 Tb/s 1 Gb/s = b/s Zdroj: autor Přenosová média Součástí této vrstvy jsou také přenosová média. Mimo jiné se liší i hodnotou přenosové rychlosti. V dnešní době nejrozšířenější jsou: Metalické kabely - Koaxiální kabely, STP kabely, UTP kabely. Optická média - Mnohovidová (mutlimode), jednovidová (single mode). Bezdrátový přenos Wi-Fi, Bluetoot. Tato vrstva síťového modelu je závislá na pouţité technologii (např. Ethernet, Token Ring...) Přístup k sdílenému přenosovému médiu Sdíleným přenosovým médiem rozumíme komunikační kanál pouţívaný více zařízeními. Pro přístup k sdílenému médiu se pouţívají dvě základní metody deterministická a nedeterministická. Deterministická - kaţdému zařízení připojeném na sdílené médium je vyhrazen časový okamţik pro komunikaci. Jestliţe ukončí komunikaci nebo nemá v úmyslu komunikovat, je na řadě další zařízení. Tato metoda je vyuţívána technologií Token Ring. 10

11 Nedeterministická - oproti předchozí metodě, nemusí zařízení vyčkávat, aţ na něj přijde řada, ale sleduje provoz na médiu a jestliţe je volné, můţe se pokusit o komunikaci. Aby nedocházelo ke kolizím, je nasazen mechanizmus CSMA (Carrier Sense Multiple Access), jehoţ úkolem je detekovat provoz na médiu. Tato metoda je vyuţívána technologií Ethernet a bezdrátovou komunikací Kolizní doména Je část segmentu přenosového média datové sítě, která je sdílena několika hardwarovými prvky. Neţádoucí efekt kolizní domény spočívá v situaci, kdy se dvě nebo více zařízení snaţí komunikovat v jeden časový okamţik. Na přenosovém médiu se objeví současně několik signálů z různých zdrojů. Výsledkem je znehodnocení signálu a přerušení komunikace CSMD/CD Collision Detection (detekce kolizí) Technologií vyuţívající tuto metodu je Ethernet. Zařízení kontroluje sdílené médium, a pokud na něm není provoz, zahájí vlastní komunikaci. Toto můţe být příčinou kolizí a tudíţ znehodnocení signálu CSMD/CA Collision Avoidence (předcházení kolizí) Tato metoda se vyuţívá u bezdrátového vysílání. Zařízení, jenţ má v úmyslu vysílat, opět kontroluje médium, a pokud je nevyuţíváno, pošle na médium informaci pro ostatní zařízení, ţe bude komunikovat, tím se předchází kolizím při vysílání dat. Kolize můţe nastat při vysílání informace o úmyslu vysílat, coţ nevede ke ztrátě dat Rozbočovač (hub) Představitel hardwarového vybavení datové sítě na této vrstvě je rozbočovač (hub). Rozbočovač je aktivní prvek v síti, který přeposílá provoz z jednoho portu na všechny ostatní bez stanovených pravidel. Nevýhoda tohoto prvku je, ţe zahlcuje datovým provozem ostatní segmenty sítě, pro které provoz není určen a zvětšuje kolizní doménu. Rozbočovač se v dnešní době nahrazuje přepínačem (switch). 11

12 Opakovač (repeater) Opakovač (repeater) můţeme chápat jako zvláštní případ rozbočovače. Opakovač se pouţívá pro prodlouţení přenosové trasy. Při přenosech elektrického signálu na větší vzdálenosti dochází k jeho zkreslení a mohlo by dojít k chybné interpretaci u cílového prvku sítě. Opakovač příjme el. signál, obnoví jeho původní parametry a opět ho odešle k cílovému zařízení Linková vrstva (data link layer) Někdy také označována jako spojová nebo vrstva datových spojů zajišťuje datový provoz v lokální síti (LAN Local Area Network). Tato vrstva vyuţívá sluţeb niţší vrstvy, tedy vrstvy fyzické. Aby zařízení mohlo být připojeno k datové síti, je nutné, aby bylo vybaveno tzv. síťovou kartou (NIC Network Interface Card) MAC adresa Kaţdá síťová karta je opatřena tzv. MAC adresou (Media Access Control), coţ je jednoznačný identifikátor kaţdé síťové karty zařízení, které je v datové síti připojeno nastálo (stolní počítače, switche, routery, servery a jiné) nebo se k síti připojuje na omezenou dobu např. pomocí Wi-Fi (notebooky, mobilní telefony, tablety a jiná především přenosná zařízení). MAC adresa je reprezentována 48bitovým (6bajtovým) číslem. Pro zjednodušení se obvykle zapisuje jako šest hexadecimálních dvouciferných čísel (např B ). První 3 bajty jsou vyhrazeny pro specifický kód (vendor code) výrobce, jenţ mu je přidělen. V praxi to znamená, ţe lze jednoduše identifikovat výrobce dané síťové karty. Poslední 3 byty MAC adresy jsou v reţii výrobce. Při datovém provozu na lokální síti (LAN) se vyuţívá právě MAC adresy. V praxi se můţeme setkat se zařízením, které má dvě, či více síťových karet (switch, router, server) Datový rámec (frame) Datový rámec je základní útvar dat pro přenos na linkové vrstvě, jeho sloţení je závislé na pouţité technologii (např. Ethernet), skládá se ze záhlaví (header), přenášených dat (payload) a zápatí (trailer). Rámec přenáší v záhlaví MAC adresu příjemce, MAC adresu odesílatele a další řídící informace. Zápatí obsahuje kontrolní součet z přenášených dat z důvodu zpětné kontroly přenesených dat. 12

13 Tabulka 2 - Datový rámec 7 B 1B 6B 6B 2B B 4B Preambule SFD MAC cílová MAC zdrojová Typ/délka Data a výplň Zdroj: autor podle [2] FCS Preambule 7 bajtů, střídá se logická 0 a 1, synchronizace hodin příjemce. SFD (Start of Frame Delimiter) značka začátku rámce (bajt ve tvaru ). MAC cílová MAC adresa cílového zařízení. MAC zdrojová MAC adresa zdrojového zařízení. Typ/délka pole určuje pro Ethernet II typ protokolu na vyšší vrstvě a pro Ethernet (IEEE 802.3) udává délku dat. Data pole vyhrazené pro přenášená data, minimálně 46 bajtů a maximálně 1500 bajtů. Výplň v případě přenosu menšího počtu dat neţ je 46 bajtů je nutné vyplnit zbývající datové části rámce. FCS (Frame Check Sequence) 32bitový kontrolní součet, příjemce ověřuje správnost přenesených dat, v případě chyby se rámec zahazuje ARP (Address Resolution Protocol) Tento typ protokolu se uţívá na lokálním segmentu sítě (subnetu), kdy známe cílovou IP adresu, ale neznáme MAC adresu (nutná pro sestavení rámce na linkové vrstvě). Zařízení, jenţ chce komunikovat, musí sestavit tzv. ARP ţádost (request), jenţ obsahuje mimo jiné vlastní IP a MAC adresu a IP adresu příjemce, u něhoţ nezná MAC adresu. Tato ţádost je odeslána broadcastem (FF: FF: FF: FF: FF: FF) na linkové vrstvě. Zařízení, jemuţ patří IP adresa, odpoví jiţ s platnou MAC adresou Přepínač (switch) Přepínač dokáţe z datového rámce rozpoznat MAC adresu a daný rámec přeposlat na patřičný port, kde se nachází zařízení se síťovou kartou s danou MAC adresou. Dalo by se říct, ţe přepínač je chytrý opakovač. Tím, ţe přepínač přepošle datový rámec jen na port, kde se nachází daná MAC adresa, zmenšuje kolizní doménu. 13

14 Most (bridge) Rozdíl mezi switchem a bridgem je ten, ţe switch přepíná datové rámce hardwarově a bridge softwarově VLAN Virtual Local Area Network nebo také virtuální LAN představují moţnost logicky rozčlenit rozsáhlou síť, aniţ by se zasahovalo do fyzické struktury. Důvody rozčlenění sítě do VLAN jsou podle [3] : Seskupování zařízení například můţeme od sebe logicky oddělit síť zabezpečující distribuci Internetu (koncová zařízení můţou být stolní počítače, notebooky, tablety, mobilní telefony ) od kamerového dohledu (koncová zařízení můţou být IP kamery) či síť vyuţívaná pro IP telefonii. Sníţení broadcastů v síti. Zmenšení kolizních domén v době, kdy se nepouţívaly přepínače, ale třeba huby. Zjednodušená správa potřebujeme-li přesunout zařízení do jiné sítě, není nutné ho fyzicky přepojit, stačí ho nakonfigurovat do patřičné VLANy. Zvýšení zabezpečení oddělení komunikace. Oddělení speciálního provozu oddělí sítový provoz, který není nutné distribuovat do celé sítě. Sníţení HW v síti. Rozčlenění rozsáhlé sítě do VLAN se provádí právě na 2., tedy linkové vrstvě. Zařízení, na němţ se VLANy konfigurují, je přepínač. Rozdělení komunikace do VLAN se provádí pomocí několika metod: Podle portu porty na přepínači jsou nakonfigurovány do jednotlivých VLAN. Podle MAC adresy rámce jsou identifikovány podle zdrojové MAC adresy, přepínač musí mít tabulky se seznamem MAC adres a jejich příslušnosti k VLAN. Podle protokolu - podle informace ze síťové vrstvy o protokolu paketu. Podle autentizace například pomocí RADIUS serveru se ověří totoţnost klienta o zařazení do správné VLANy. Procházející rámc sítí je označen (rámec je doplněn o tzv. tag), podle tohoto označení se určuje jeho příslušnost k dané VLAN. 14

15 1.3. Síťová vrstva (network layer) Vrstva řídí proces směrování v sítích LAN (Local Area Network) i WAN (Wide Area Network), mapuje umístění zařízení v síti a rozhoduje o nejvhodnějším způsobu dopravy dat k cílovému zařízení. Síťová vrstva přenáší provoz mezi zařízeními, jenţ neleţí na lokálním segmentu sítě. K tomuto účelu se vyuţívá IP adresa IP adresa IP adresa je logická adresa zařízení v síti slouţící ke směrování dat v síti. V dnešní době se pouţívají dvě verze IP adres. Nejčastěji se setkáme s verzí čtyři (IPv4), ale do budoucna se předpokládá přechod na verzi šest (IPv6) z důvodu vyčerpání adresního prostoru IPv Paket IPv4 (packet) a jeho struktura Data na 3., tedy síťové vrstvě se označují jako paket nebo také datagram. Paket IP protokolu obsahuje IP adresu zdrojového a cílového zařízení a další řídící informace např. verzi protokolu, délku dat atd. Tabulka 3 - Paket IPv4 1.Byte 2.Byte 3.Byte 4.Byte Verze IP IHL Typ sluţby Délka paketu Identifikace Příznaky Umístnění fragmentu TTL Protokol Kontrolní součet hlavičky Zdrojová IP adresa Cílová IP adresa Volitelné poloţky záhlaví Přenášená data Zdroj: autor podle [4] Verze IP - určuje verzi protokolu IP, zda se jedná o IPv4 nebo IPv6. IHL (Internet Header Lenght) - délka záhlaví IP paketu. Typ sluţby tato poloţka určuje kvalitu přenosu, např. spojitý přenos videa nebo hlasu. 15

16 Délka paketu celková délka IP paketu včetně z hlavičky i dat uvnitř. Identifikace označení fragmentu při vyuţívání procesu fragmentace. Příznak (Flags) povolení nebo zakázání fragmentace. Umístnění fragmentu (Fragment offset) vyuţívá se při opětovné rekonstrukci fragmentovaného paketu. TTL (Time to Live) maximální doba ţivotnosti paketu slouţí k zamezení výskytu zatoulaných paketů v síti, mění se při průchodu směrovačem. Protokol nese informaci o protokolu vyšší vrstvy (např. TCP, UDP). Kontrolní součet hlavičky (Header checksum) při změně některé z hodnot v hlavičce IP paketu (např. TTL) se musí přepočítat i tato poloţka. Zdrojová IP adresa (Source address) IP adresa odesílatele. Cílová IP adresa (Destination address) IP adresa příjemce. Volitelné poloţky záhlaví volitelné hodnoty Paket IPv6 Formát paketu verze 6 má standardní podobu jak u verze 4 (záhlaví + přenášená data). Hlavní rozdíl je ve sloţení záhlaví, neboť adresa se prodlouţila z 32 bitů na 128 bitů. Záhlaví u IPv6 je sloţené jen z nejnutnějších poloţek, viz níţe. Tabulka 4 - Paket IPv6 1.Byte 2.Byte 3.Byte 4.Byte Verze IP Třída provozu Značka toku Délka dat Další hlavička Maximum skoků Zdrojová IP adresa Cílová IP adresa Zdroj: autor podle [5] Verze (Version) identifikace verze protokolu. Třída provozu (Traffic Class) priorita paketu určující poţadavky na vlastnosti sítě. Značka toku (Flow Label) označení proudu dat od jednoho zdroje k jednomu cílovému zařízení se stejnými parametry, usnadňuje směrování. 16

17 Délka dat (Playload Lenght) specifikace délky dat. Další hlavička (Next Header) specifikace typu hlavičky nebo následujících dat za základní hlavičkou. Maximum skoků (Hop Limit) maximální počet průchodů směrovači, určuje zdrojové zařízení (v IPv4 to byla poloţka TTL), po průchodu směrovačem se zmenší o jedničku, v případě vynulování je paket zahozen a směrovač posílá zprávu ICMP (Internet Control Message Protocol) zdrojovému zařízení. Zdrojová IP adresa (Source Address) IP adresa zdrojového zařízení (128bitů). Cílová IP adresa (Destination Address) IP adresa cílového zařízení (128bitů). [6] Protokoly IP (Internet Protokol) Je v dnešní době dominantní druh protokolu (vyuţit v internetu i LAN), vyuţívající se pro přenos a směrování dat přes jiné sítě při vyuţití IP adresy ICMP (Internet Control Message Protocol) Tento typ protokolu je ze sady IP protokolů pracující na síťové vrstvě, je pouţíván pro zasílání signalizačních a kontrolních zpráv. Hlásí nestandardní stavy v síti jako je např. nedostupnost cíle (např. nelze načíst webovou stránku). ICMP také vyuţívají programy ping a tracert k diagnostice sítě. ICMP je zabalen do IP protokolu Směrovač (router) Směrovač je zařízení pracující na třetí, tedy síťové vrstvě ISO/OSI modelu. Pouţívá se k propojení více sítí a jeho hlavním úkolem je směrování paketu do cílové sítě na základě IP adresy. Směrovače mají ve své vnitřní paměti tzv. směrovací (routovací) tabulky, které si pravidelně aktualizují (pomocí směrovacích protokolů, např. RIP, OSPF) a podle nichţ dokáţí spolu s IP adresou cíle rozpoznat, kde se cílový prvek nachází Transportní vrstva (transport layer) Úkolem transportní vrstvy je zabezpečit spojení mezi aplikacemi spuštěnými na komunikujících zařízeních a rozdělit data přijaté od vyšší vrstvy do tzv. segmentů u TCP a user datagramů u UDP, popřípadě zpět rekonstruovat data přijatá od niţší vrstvy. Segmenty či datagramy jsou značeny podle aplikace od které pochází nebo pro které jsou určeny čísly 17

18 portů. Nejznámějšími protokoly této vrstvy jsou jiţ zmiňované TCP (Transmission Control Protocol) a UDP (User Datagram Protocol) Porty (ports) Porty v síťové komunikaci jsou čísla v rozsahu 1 aţ (16 bitů ) slouţící k označení komunikující aplikace přes síťové rozhraní. Dobře známé porty (well-known ports) jsou vyhrazeny pro konkrétní, všeobecně pouţívané aplikace, například HTTP (80), POP3 (110), IMAP (143), DHCP (67- server, 68 - klient). Registrované porty lze je dle potřeby přiřazovat jako odchozí pro aplikace spuštěné uţivatelem s běţným oprávněním. Dynamické porty jsou přiřazována dynamicky. O správu a přiřazování portů se stará organizace IANA (Internet Assigned Numbers Authority) Protokoly TCP (Transmission Control Protocol) Tento typ protokolu je tzv. spojově orientovaný. Jeho hlavní předností a účelem proč byl vytvořen je, ţe všechna data, která byla odeslána ze zdrojového zařízení musí být přijata cílovým zařízením v plném rozsahu a správném pořadí, coţ je zajištěno neustálým potvrzováním přijímaných dat. V případě ztráty segmentu si cílové zařízení vyţádá opakování přenosu daného segmentu. TCP je sice spolehlivý, nedojde ke ztrátě dat, ale současně narůstá reţie (řídící informace) a tím i doba nutná pro přenos informace UDP (User Datagram Protocol) UDP je povaţován za nespojovaný protokol. Je vyuţíván aplikacemi, jeţ nevyţadují doručení dat v plném rozsahu a platném pořadí. Není vyţadováno opětovné zasílání chybných a ztracených dat. Příčinou doručení datagramů v jiném pořadí, neţ byly odeslány ze zdrojového zařízení, můţe být pro kaţdý datagram jiná cesta, kterou se k cílovému zařízení dostane. UDP je jednodušší na reţii neţ TCP a tím i méně časově náročný. Tento typ protokolu vyuţívají například aplikace pro přenos hlasu VoIP (Voice over Internet Protocol), videostreaming, DHCP(Dynamic Host Configuration Protocol). 18

19 1.5. Relační vrstva (session layer) Tato vrstva zajišťuje zřízení, reţii a ukončení relací mezi objekty prezentační vrstvy. Dalším úkolem této vrstvy je zajištění řízení komunikace mezi koncovými zařízeními. Na této vrstvě se také rozhoduje o reţimu komunikace: Simplex přenos dat, informací, signálu po přenosovém médiu vţdy jen jedním směrem od vysílače (zdroje) k přijímači (cíli). Poloviční duplex (half-duplex) komunikace mezi zařízeními se můţe uskutečňovat v obou směrech, ale v jeden časový okamţik zařízení pracuje pouze jako přijímač nebo vysílač. Plný duplex (full-duplex) opak simplexního provozu, data se mohou přenášet oběma směry současně (zařízení dokáţe pracovat současně jako přijímač i vysílač). Podtrţeno a sečteno, relační vrstva drţí v podstatě data určité aplikace oddělená od dat jiných aplikací. [7] 1.6. Prezentační vrstva (presentation layer) Tato vrstva prezentuje data vyšší, tedy aplikační vrstvě a ručí za transformaci a formátování dat. Dalo by se konstatovat, ţe je "překladačem" k zajištění kódování a konverzi dat. Prezentační vrstva obstarává, ţe data odeslaná z aplikační vrstvy zdrojového systému budou čitelná i v aplikační vrstvě cílového systému. Vrstva zajišťuje úkony jako je například komprese, dekomprese, šifrování a dešifrování dat Aplikační vrstva (application layer) Tato vrstva poskytuje sluţby pro aplikace vyuţívající komunikaci po síti. Je zodpovědná za označení patřičného komunikačního partnera, za ověření jeho dostupnosti a zda-li jsou pro tuto komunikaci k dispozici potřebné prostředky. Aby bylo moţné komunikovat po síti, je nutné specifikovat pravidla (protokoly), jenţ přenos dat po síti řeší. Mezi některé nejznámější protokoly aplikační vrstvy můţeme zařadit: HTTP (Hypertext Transfer Protocol) velmi vyuţívaný internetový protokol pro přenos dat z webových serverů ke klientovi. HTTPS (Hypertext Transfer Protocol Secure) je vylepšený protokol HTTP, komunikace mezi serverem a klientem je šifrována z důvodu zabezpečení před odposlechem. V praxi vyuţito například při tzv. internetbankingu. 19

20 DHCP (Dynamic Host Configuration Protocol) je protokol určený k automatizovanému síťovému nastavení zařízení při připojení se do sítě. DNS (Domain Name System) sluţba umoţňující překlad síťové adresy (IP) na jmennou adresu. FTTP (File Transfer Protocol) protokol vyuţívaný pro přenos souborů přes počítačovou síť. Protokoly elektronické pošty: SMTP (Simple Mail Transfer Protocol). POP (Post Office Protocol). IMAP (Internet Message Access Protocol). Protokoly umoţňující vzdálenou správu zařízení: Telnet (Telecommunication Network) pomocí tohoto protokolu se lze vzdáleně připojit k zařízení. Nevýhodou je ţe komunikace probíhá nešifrovaně. SSH (Secure Shell) vznikl jako náhrada za Telnet, komunikace je šifrována Encapsulace a Deencapsulace Při odesílání dat aplikace se realizuje encapsulace (zapouzdření) od nejvyšší aplikační vrstvy směrem k nejniţší fyzické vrstvě. Kaţdá vrstva OSI modelu uchopí data z vrstvy nad ní a přidá si svoji hlavičku (záhlaví) popřípadě zápatí. Na transportní vrstvě procesem encapsulace vzniká segment, na síťové vrstvě paket (k datům se přidává IP adresa vyuţívaná pro směrování v síti WAN i LAN) a na linkové vrstvě vzniká datový rámec (přidá se MAC adresa pro adresování v síti LAN). Deencapsulace (rozbalení) se provádí při příjmu dat a řídí se stejným principem, ale opačným směrem od fyzické k aplikační vrstvě. Tabulka 5 - Encapsulace / Deencapsulace Vrstva Reprezentace dat Encapsulace / Deencapsulace Aplikační Prezentační Relační Data Transportní Segment/ User datagram TCP/UDP hlavička Data z vyšší vrstvy Síťová Paket IP hlavička Data z vyšší vrstvy Linková Rámec MAC cíle/zdroje Data z vyšší vrstvy FCS Fyzická El. signál Zdroj: autor podle [8] 20

21 1.9. Protokol stack Při přenosu dat sítí od aplikace zdrojového zařízení k aplikaci cílového zařízení se vyuţívají vrstvy ISO/OSI modelu. Na kaţdé vrstvě modelu jsou specifikovány komunikační protokoly, jenţ se vyuţívají pro svoje specifické vlastnosti. Pro kaţdou vrstvu modelu můţe (ale nemusí) existovat několik alternativních komunikačních protokolů. Například pro fyzickou vrstvu existují konkrétní přenosové protokoly určené pro optická vlákna, metalické kabely nebo bezdrátový přenos, UDP nebo TCP pro transportní vrstvu. Je tedy potřebné implementovat tolik protokolů, kolik je nutné pro poskytnutí funkcí všech vrstev. Taková sada protokolů (protocol stack) reprezentuje konkrétní síťové řešení transportu dat přes přenosové sítě. V současné době můţe být příkladem architektura TCP/IP, jejíţ konkrétní pouţití pak reprezentuje tzv. "TCP/IP protocol stack. 2. Síťový model TCP/IP Tento síťový model, TCP/IP (Transmission Control Protocol/Internet Protokol) vychází z předešlého teoretického modelu ISO/OSI. Na principu TCP/IP modelu je v současnosti postavena komunikace v síti Internet. Model TCP/IP není závislý na přenosovém médiu a je pouţitelný pro sítě WAN i LAN. Myšlenka TCP/IP je zaloţena na existenci čtyř vrstev oproti sedmi v ISO/OSI modelu, předpokládá, ţe niţší vrstvy zajišťují nespolehlivé přenosové sluţby (nestará se o potvrzení o doručení dat atd.). O spolehlivost přenosu se starají vyšší vrstvy, a to pouze v případech, je-li to vyţádáno. Vrstvy TCP/IP modelu: Vrstva síťového rozhraní zajišťuje odesílání dat na síť dle pouţitého fyzického přenosového média. Síťová (internetová) vrstva stará se o adresaci, směrování v síti a doručování paketů/datagramů do cílového zařízení. Transportní vrstva zabezpečuje komunikaci koncových zařízení a řeší otázku spolehlivosti doručení dat. Aplikační vrstva je představována aplikacemi, které vyuţívají přenos dat po síti, řeší zobrazení a kódování dat. [9] 21

22 Tabulka 6 - Srovnání modelu ISO/OSI a TCP/IP Model OSI Model TCP/IP Aplikace a protokoly Aplikační HTTP, HTTPS, DHCP, DNS, FTTP, SMTP, Prezentační Aplikační POP, IMAP, Telnet, SSH Relační Transportní Transportní TCP, UDP Síťová Síťová IP, ARP (RARP), ICMP Linková Vrstva síťového Fyzická rozhraní Ethernet, Token Ring Zdroj: autor podle [9] 3. IP adresa a IP adresování IP adresa je jednoznačný číselný identifikátor, kterým je označeno kaţdé zařízení v IP síti a je softwarová (logická). Určuje konkrétní umístění zařízení v síti. Adresování v IP sítích je konstruováno tak, aby mohlo zařízení v jedné síti komunikovat se zařízením v jiné síti bez ohledu na to, do jaké podsítě jsou zařízení připojena. V současnosti máme dvě verze IP adres, verze 4 (IPv4) a verze 6 (IPv6). Z důvodu obav o vyčerpání adresního prostoru IPv4 se přechází na IPv6, jenţ skýtá daleko větší adresní prostor, viz níţe IPv4 adresa IPv4 IP adresa verze čtyři je 32bitová, coţ z hlediska velikosti adresního prostoru představuje 2 32 adres (přibliţně 4,29 miliardy). Zpravidla se zapisuje do skupin čtyř oktetů (oktet 8 bitů). V praxi se můţeme setkat s několika druhy zápisu IP adresy, nejčastější je v dekadické podobě ( ) a u síťových specialistů v binární podobě ( ) Veřejné a privátní adresy S rozšířením internetového připojení a tedy i se zvýšením počtu uţivatelů se ukázalo, ţe mnoţství IP adres, které je moţno v IPv4 vytvořit, je nedostatečné. Východiskem jsou různé techniky jak IP prostor rozšířit. Moţným řešením je implementace nové verze IPv6. Další z moţností je na stávající verzi nasadit techniku rozdělení IP adres na veřejné a neveřejné IP adresy. 22

23 Veřejné IP adresy (public address) - tvoří část adresního prostoru Internetu, tyto adresy je moţné pouţít k směrování v rámci celého Internetu. V praxi to znamená, ţe zařízení s veřejnou IP adresou můţe být přímo směrovatelné z celého internetu. Tyto adresy nesmí být pouţity v celé veřejné síti (internet) vícekrát, musí být unikátní. Privátní IP adresy (private address) se pouţívají pouze v rámci LAN sítí. V různých LAN sítích se mohou opakovat. Pokud potřebujeme komunikovat přes veřejnou síť (internet), vyţijeme jednu nebo více veřejných adres a pomocí techniky NAT (Network Address Translation) se privátní adresa přeloţí na veřejnou IP adresu. Totoţné privátní IP adresy je tak moţné pouţít na několika místech, ale nelze je přímo směrovat Maska sítě Podle předešlého, teoreticky IP adresa můţe nabývat hodnot aţ , coţ je rozsah adres IP sítí a Internetu. Z důvodu směrování v IP sítích je IP adresa strukturovaná nebo-li hierarchická a je rozdělena na část adresy, jenţ je společná pro všechny zařízení připojené k jedné podsíti (tzv. adresa sítě) a část, která jednoznačně identifikuje připojené zařízení. K tomuto účelu nám slouţí tzv. maska sítě. Maska sítě je stejně jako adresa IPv4 32bitové číslo, v jehoţ binárním zápisu nám jedničky určují adresu sítě a ve zbytku zápisu nám určují nuly prostor pro adresaci zařízení. Příklad: Dekadický zápis: Binární zápis: Pro zkrácení zápisu IP adresy a k ní přiřazené masky sítě je moţné pouţít zápis pomocí prefixu, kdy za IP adresu pomocí lomítka zapíšeme číslo v dekadickém tvaru. Toto číslo nám ukazuje počet jedniček, počítáno zleva, označující masku sítě, např /24 odpovídá masce V tomto případě je tedy část adresa sítě a je IP adresa zařízení. V binárním tvaru lze pomocí logického součinu ze zadané IP adresy a masky sítě zjistit číslo sítě. 23

24 Tabulka 7 - Logický součin Dekadicky Binárně IP adresa Maska sítě Číslo sítě zdroj: autor Třídy adres IPv4 Jak jiţ bylo řečeno IP adresa je rozdělena na adresu podsítě a adresu zařízení (nebo také uzlu). Z historického hlediska je moţné, dle pouţité masky podsítě, dělit IP adresy do pěti tříd (A, B, C, D, E). Třída A v binárním zápisu začíná nulou, první oktet (8 bitů) je vyhrazen pro adresu podsítě, teoreticky lze tedy adresovat aţ 2 7 (128) podsítí obsahující 2 24 koncových zařízení (uzlů). Třída B - binární zápis začíná kombinací 10, pro adresu zařízení jsou vyhrazeny dva oktety (16 bitů), coţ znamená moţnost adresovat aţ s 2 16 (65 536) koncových zařízení (uzlů). Třída C první tři bity mají hodnotu 110, poslední oktet je vyhrazen pro adresu zařízení (uzlu), lze teoreticky adresovat 2 8 zařízení (uzlů). Třída D hodnota prvních čtyř bajtů v prvním oktetu je 1110, zbylé adresy jsou pouţity pro tzv. multicast. Třída E první čtyři bity jsou 1111, adresy této třídy se vyuţívají pro výzkumné účely. Tabulka 8 - Tabulka adresních tříd Třída Bity pro Uţití bitů v Bity pro Rozsah adres Maska adresu 1.bjtu adresu sítě zařízení A 0xxxxxxx x.x.x B 10xxxxxx x.x.x C 110xxxxx x.x.x D 1110xxxx x.x.x multicast E 1111xxxx x.x.x rezervováno zdroj: autor 24

25 Speciální IP adresy Jak jiţ bylo v předchozí části uvedeno IP adresa je tvořena částí vyhrazenou pro adresu sítě a částí adresy zařízení. Obecně tedy lze IP adresu napsat ve tvaru: adresa sítě. adresa zařízení (hosta) Mimo adresní třídnosti je také moţno obecně označit takové IP adresy, které nelze běţně uţít pro adresaci zařízení, nebo se uţívají ve speciálních případech. Takové IP adresy je moţné identifikovat podle mezních hodnot, které nabývají, jak v části vyhrazené pro adresu sítě tak v části vyhrazené pro adresu zařízení. Obecně lze konstatovat, jsou-li na místě adresy sítě nebo zařízení samé nuly, je moţno to vyjádřit slovem tento. Oproti tomu, jsou-li v adrese samé jedničky, lze to vyjádřit slovem všichni, viz tabulka. [4] Tabulka 9 - Speciální IP adresy Adresa dekadicky Význam Toto zařízení na této síti adresa zařízení Zařízení na této síti. (např ) adresa sítě.0.0 Adresa sítě jako takové. (např /16) Všeobecný oběţník na lokální síti (limited broadcast) - šíří se v tzv. broadcastové doméně, hraničním prvkem sítě, jenţ broadcastové vysílání nepropustí dále, aby nedošlo k zahlcení sítě, je zařízení pracující na 3. vrstvě - směrovač. Všeobecný oběţník (broadcast) - šíří se jen v adresa sítě.255 sítích se společnou adresou sítě (maskou (např /24) podsítě), v tomto případě , lze zasílat i do vzdálených sítí. Programová smyčka (loopback) - vyuţívá se pro testování, zařízení adresuje samo sebe na 127.cokoli virtuální síťové rozhraní, nejčastěji se pouţívá Zdroj: autor podle [4] 25

26 Adresování s maskou podsítě proměnné délky V předchozí části byl zmiňován případ, kdy se maska podsítě měnila pouze po celých bajtech IP adresy (dekadicky : , , nebo pomocí prefixu: /8, /16,...). V těchto případech nám nemusí vyhovovat velikost adresního prostoru takto vytvořených sítí, ať uţ z hlediska počtu adresovatelných sítí, či moţnosti připojení počtu síťových zařízení a také z důvodu plýtvání IP adresami. Síťoví specialisté vyuţívají techniku CIDR (Classless Inter- Domain Routing), kdy lze z přiděleného bloku adres z jedné rozsáhlé sítě vytvořit více samostatně adresovatelných podsítí (subnetů). Aktivní prvek síťové vrstvy (router) je pak schopen adresovat kaţdou z podsítí zvlášť a tímto způsobem zamezit neţádoucímu a nadbytečnému provozu v ostatních segmentech sítě. CIDR pouţívá Variable Length Subnet Masking (VLSM) pro rozdělování IP adres na subnety. Délka masky nemusí být stejná, aby se dosáhlo lepšího vyuţití IP rozsahu. Můţeme například pouţít dohromady subnety /26 a /28. [10] Principem techniky VLSM je, ţe z přiděleného bloku adres s maskou podsítě si zapůjčíme bit nebo více bitů z části IP adresy vyhrazené pro adresy zařízení. Podle kombinace zapůjčených bitů takto obdrţíme více či méně podsítí. V praxi pak platí, ţe při vytvoření více jednotlivých podsítí nám zbývá k vyuţití méně IP adres pro zařízení v kaţdé podsíti a opačně, čím méně podsítí tím větší počet vyuţitelných IP adres pro zařízení v kaţdé podsíti, viz. příklad pro číslo sítě /24 (na 2 podsítě). Tabulka 10 - Zdrojový adresní prostor Binárně Dekadicky Prefix Přidělená síť : Maska : První použitelná adresa : Broadcastová adresa : Počet využitelných adres : 254 Počet sítí : 1 Zdroj: autor 26

27 Zapůjčení 1 bitu ze 4. bajtu z přiděleného bloku adres nám umoţní vytvořit 2 podsítě: Tabulka 11-1.podsíť Binárně Dekadicky Prefix Nová maska sítě : Číslo sítě : První použitelná adresa : Broadcastová adresa : Počet využitelných adres : 126 Zdroj: autor Tabulka 12-2.podsíť Nová maska sítě : Číslo sítě : První použitelná adresa : Broadcastová adresa : Počet využitelných adres : 126 Zdroj: autor DNS (Domain Name System) Z předchozího plyne, ţe zařízení připojené k síti potřebují ke komunikaci mít svoji IP adresu. IP adresa je v dekadickém tvaru reprezentována čtyřmi ciframi v rozmezí Tento tvar je pro člověka velmi těţko zapamatovatelný. Z tohoto důvodu byl vytvořen hierarchický systém, jenţ Internet rozděluje do skupin, které k sobě logicky patří, tzv. domén. DNS nám překládá IP adresu síťových rozhraní na doménová jména. Takovéto doménové jméno nám supluje IP adresu např. u aplikace (příkazu) ping. Spojení IP adresy a doménového jména je formulováno v databázi DNS, jeţ je celosvětově distribuována. Distribuce doménových jmen je zajištěna DNS servery a protokolem DNS. Doménové jméno je sloţeno z řetězců navzájem oddělených tečkou (např. wanted1.webnode.cz). Doménové jméno se zkoumá zprava do leva. Řetězec nejvíce vpravo se nazývá kořenová doména nebo také doména nejvyššího řádu (TLD - Top Level Domain). Pro Českou republiku je rezervováno dobře známé.cz. Doména.cz se dále dělí na subdomény (v našem případě např. *.webnode.cz) a ty mohou dále obsahovat další subdomény niţších úrovní (např. wanted1.*.cz). 27

28 Překlad adres NAT Překlad síťových adres ( NAT - Network address translation) je technika modifikace IP adresy v záhlaví paketů internetového protokolu. Pouţívá se k reprezentaci více privátních adres za jednu veřejnou IP adresu. Skrývá se tak celý IP adresní prostor privátní sítě za jednu (některé zařízení umoţňují více) veřejnou IP adresu. Tento mechanismus je implementován v směrovacím zařízení (směrovač), které pouţívá stavové překladové tabulky. Odchozí IP pakety na výstupu směrovače se jeví jakoby pocházely právě ze směrovacího zařízení. V opačném směru, kdy pakety míří směrem do privátní sítě, je IP adresa opět překládaná zpět do původní IP adresy pomocí pravidel uloţených v překladových tabulkách. V případech, kdy se v privátní síti nachází více zařízení neţ má směrovač k dispozici veřejných IP adres, je vyuţívána technika PAT (Port address translation). Směrovač pak rozlišuje komunikaci s více zařízeními vnitřní privátní sítě na základě portu, ze kterého komunikace pochází. [7] 3.2. IPv6 Z důvodu kapacitního vyčerpání IP adres verze čtyři (IPv4) je v plánu přechod na verzi šest (IPv6). IP adresa verze šest je 128bitová oproti 32bitové ve verzi čtyři, coţ představuje zvětšení adresního prostoru na (přibliţně 3,4 * ) adres. IPv6 specifikuje RFC Podle [11] IPv6 nabízí kromě zvětšení adresního prostoru ještě další vlastnosti: dostatečně bohatý adresní prostor - pokud moţno by uţ nikdy neměla nastat nouze o adresy, podpora sluţeb se zaručenou kvalitou, design odpovídající vysokorychlostním sítím, bezpečnostní mechanismy přímo v IP, podpora mobilních zařízení, automatická konfigurace, kooperace s IPv4 a co nejhladší přechod ze stávajícího protokolu na nový. Z důvodu lepší čitelnosti se IP adresa v6 zapisuje v hexadecimálním tvaru, jako osm skupin čtyř hexadecimálních číslic, jeţ se oddělují dvojtečkou (FA80:0000:008F:0000:9076:12AD:5D0F:1755). Pro zjednodušení zápisu lze nuly zleva vynechat, popřípadě celou skupinu nul ve skupině (FA80::8F::9076:12AD:5D0F:1755). 28

29 I po zjednodušení zápisu je IPv6 adresa stále sloţitá, ovšem autoři neočekávali, ţe by je uţivatelé psali, spoléhá se na systém DNS. IPv6 lze rozdělit do tří základních skupin: Individuální adresy (unicast) - specifikují jedno síťové rozhraní zařízení. Skupinové adresy (multicast) - reprezentují adresu několika síťových rozhraní. Paket se skupinovou cílovou adresou bude doručen všem členům skupiny. Tento typ adres je vyuţit pro přenos zvuku nebo videa, videokonference a podobně. Výběrové adresy (anycast) - také reprezentují skupinu síťových rozhraní, ale paket bude předán pouze jen na jedno z nich (zpravidla to nejbliţší). Tímto typem adresy je moţné realizovat některé speciální sluţby - klient odešle datagram s výběrovou adresou a některý z dostupných serverů jej přijme. Z předchozího je patrné, ţe zcela zmizela všesměrová (broadcastová) adresa, v IPv4 reprezentovaná adresou Tuto funkci v IPv6 nyní zastávají skupinové adresy. Jednotlivé skupiny adres se pouţívají pro různé účely a jsou odlišeny pomocí počáteční kombinace bitů v adrese a prefixů. Nejznámější adresy viz tabulka. Tabulka 13 - Nejznámější adresy IPv6 Prefix Význam ::/128 nedefinovaná adresa ::1/128 lokální smyčka (loopback) unikátní individuální lokální - pouţívají se fc00::/7 jen lokálně, ale s velkou pravděpodobností jsou globálně jednoznačné fe80::/10 individuální lokální linkové adresy - jsou jednoznačné jen v rámci linky ff00::/8 skupinové ostatní individuální globální Zdroj: autor podle [12] 29

30 Tabulka 14 - Skupiny adres přidělené určitým technologiím, mechanismům Prefix Význam 64:ff9b::/96 adresy s vloţeným IPv4 2001::/32 Teredo 2001:db8::/32 dokumentační prefix pro fiktivní adresy v dokumentech 2002::/16 6to4 ff0x::db8:0:0/96 dokumentační prefix pro skupinové adresy Zdroj: autor podle [12] 3.3. Výchozí brána (gateway) Je směrovač (popřípadě jeho IP adresa), jenţ propojuje lokální síť s globální sítí (např. Internet). Výchozí brána se nastavuje z důvodu IP adresace v případě komunikace pomocí protokolu IP se zařízením situovaném v jiné (vzdálené) síti Síťové tunelování Je technika, umoţňující virtuální propojení dvou či více zařízení (vytváření VPN) přes nedůvěryhodný kanál, jako je například Internet. V praxi se tak propojují například různé pobočky organizace. Zařízení připojená k síti mohou komunikovat, jakoby byla fyzicky připojena do stejného segmentu sítě. Síťový tunel si můţeme představit jako zapouzdření jednoho síťového spojení do druhého. Podle vrstvy, na které se síťové tunelování aplikuje, můţeme rozlišit: Tunelování na linkové (2.) vrstvě tunel je tvořen, udrţován a ukončen protokolem na 2. vrstvě. Tunelování na síťové (3.) vrstvě IP datagram je na začátku tunelu zabalen (encapsulován) do jiného IP datagramu (původní, vnitřní datagram můţe být šifrován). Na konci tunelu je opět rozbalen (deancapsulace). Podle [13] je nejběţnějším typem tunelování (pro budování virtuálních sítí) pro spojení dvou směrovačů GRE (Generic Routing Encapsulation). GRE je detailně popsáno v RFC

31 Tabulka 15 - Struktura GRE paketu. Delivery Header GRE Header Payload packet Zdroj: autor podle [14] Tunely GRE jsou budovány směrovači páteřní sítě, které slouţí jako vstupní a výstupní body do této páteřní sítě pro jednotlivé části VPN. Pakety, určené pro přenos tunelem, jsou vybaveny zvláštní přídavnou hlavičkou (GRE header) a cílovou adresou odpovídající směrovači na konci tunelu. Toto zabalení (encapsulation) paketu je v cílovém bodu tunelu odstraněno a paket pak pokračuje ke svému cíli podle informací ve své původní IP hlavičce. [13] 4. Možnosti přidělení a správy IP adres 4.1. Autorita pro přidělování čísel na Internetu (IANA) IANA (Internet Assigned Numbers Authority) je organizace řízena organizací ICANN (Internet Corporation for Assigned Names and Numbers). IANA je zodpovědná za koordinaci některých z klíčových prvků, které udrţují chod Internetu po administrativní stránce. Zatímco Internet je znám tím, ţe na celém světě pracuje bez centrální koordinace. Existuje technická potřeba řízení některých klíčových částí Internetu, které mají být globálně koordinovány, a tato koordinační úloha se provádí podle IANA. Konkrétně IANA přiděluje a udrţuje jedinečné kódy a číslování systémů, které jsou pouţívány v technických normách (protokoly), které zajišťují chod Internetu. Druh činností, kterými se tato organizace zabývá, můţeme rozdělit do tří kategorií: přidělování IP adres, názvů domén a správa protokolů. [15] Přidělování IP adres IANA představuje nejvyšší autoritu v přidělování IP adres. Z důvodu rozsáhlosti celosvětové sítě, globální přidělování IP adres probíhá hierarchicky. IANA delegovala přidělování IP adres do jednotlivých regionů světa (např. podle kontinetů) na tzv. Regional Internet registries: 31

32 AFRINIC - Africký region APNIC Asijský a Pacifický region ARIN - region Severní Ameriky LACNIC - Latinská Amerika a Karibské ostrovy RIPE NCC - Evropa, Střední východ a centrální Asie Regional Internet registries dále distribuují adresy lokálním Internet registries, jenţ jiţ mohou představovat poskytovatele Internetu (ISP - Internet service provider). [16] Přidělování názvů domén Organizace IANA je také odpovědná za provoz a údrţbu řady klíčových prvků DNS (Domain Name System), včetně kořenové zóny a.int a.arpa domény (.arpa - pouze pro vnitřní účel internetové infrastruktury,.int - doména nejvyššího řádu, moţné registrovat jen pro účely mezinárodních a nevládních organizací). Kořenová zóna DNS je horní částí hierarchie DNS a zahrnuje delegování správní odpovědnosti "top-level domén", které jsou posledním segmentem doménového jména, jako je například *. com, *.cz, *.uk atd. V České republice provozuje registr doménových jmen.cz sdruţení CZ.NIC. [17] Správa protokolů IANA také zodpovídá za udrţování kódů a čísel obsaţených v různých internetových protokolech. Tuto sluţbu poskytuje ve spolupráci s Internet Engineering Task Force (IETF). [18] 4.2. RFC (request for comments) Request for comments (ţádost o komentáře) je série dokumentů obsahující technické a organizační poznámky o Internetu. Ty pokrývají mnoho aspektů počítačových sítí, včetně protokolů, postupů, programů a koncepcí. Jednotlivé RFC standardy vydává editor RFC dle pokynů Internet Architecture Board respektive IETF (Internet Engineering Task Force). Podle [19] existuje šest typů RFC: Proposed standards Draft standards Internet standards (plné de facto normy) 32

33 Experimental Informational Historic První tři skupiny se týkají nových protokolů a podléhají schvalovacímu procesu jménem standards track, kdy je kromě vylepšení technického obsahu nutné zajistit i ověření návrhu několika (minimálně dvěma) nezávislými implementacemi. Tvorba nové de facto normy není otázkou několika týdnů, ale spíše měsíců či dokonce let. Historickou se specifikace stává, jestliţe je překonána svým následovníkem a/nebo se úplně přestane na Internetu pouţívat. Experimentální dokumenty obsahují zajímavé informace o protokolech a technologiích, které nemají zřejmou šanci se masově ujmout, ale je dobré o nich veřejně vědět. Informační RFC slouţí jak jinak pro informaci. [19] 4.3. DHCP (Dynamic Host Configuration Protocol) DHCP (Dynamic Host Configuration Protocol) je protokol jehoţ hlavním úkolem je automatizovat síťové nastavení zařízení připojovaných do sítí komunikujících pomocí protokolů z rodiny TCP/IP. DHCP je nástupcem protokolu BOOTP (Bootstrap Protocol). Stěţejním úkolem je automatické přidělování IP adresy koncovým zařízením (klientům) v síti. Spolu s IP adresou se vysílá další nastavení nutné pro komunikaci v síti, např. adresu směrovače, masku podsítě, nebo DNS servery. Problematiku DHCP řeší RFC1541 a RFC2131. Server DHCP vystupuje jako administrativní asistent, protoţe interpretuje konfigurační zásady, které definoval síťový administrátor, a na základě těchto zásad po síti předává konkrétní parametry jednotlivým počítačům. [20] Výhodou DHCP protokolu jsou [21]: Při připojení zařízení do sítě uţivatel nemusí nic nastavovat. Je zamezeno duplicitnímu výskytu totoţné IP adresy v síti. Jednodušší správa sítí pro síťového administrátora. Aby zařízení mohlo vyuţívat sluţeb protokolu DHCP, je nutné, aby v síti byl dostupný tzv. server DHCP, coţ v praxi můţe být samostatně pracující a pro tento účel vyhrazené zařízení, nebo sluţba, spuštěná na jednom nebo více síťových prvcích. Architektura DHCP je zaloţena na modelu klient/server. Klientem se rozumí zařízení, jenţ vyuţívá sluţeb DHCP serveru. Iniciátorem komunikace, včetně reţijních zpráv a správnosti provedení veškerých 33

34 konfiguračních procedur je právě DHCP klient. DHCP server uchovává záznamy o přidělených IP adresách, avšak neuchovává si záznamy o stavu jednotlivých klientů Metody alokace IP adresy Podle poţadavků na parametry sítě je moţné, aby síťový administrátor nastavil pravidla pro přidělování IP adres. K tomuto účelu slouţí několik metod alokace: Manuální (statická) alokace tato metoda vyuţívá MAC adresy zařízení. Síťový administrátor má moţnost definovat jaká IP adresa bude přidělena konkrétnímu zařízení podle MAC adresy. V tomto případě DHCP server přidělí IP adresu pouze zařízením s odpovídající MAC adresou. V případě mobilních zařízení můţe síťový administrátor definovat IP adresu zařízení různou pro kaţdý segment. V případě, ţe administrátor v některém segmentu dané zařízení nenakonfiguruje, toto zařízení nemůţe v tomto segmentu vyuţít sluţeb DHCP. Dynamická alokace - síťový administrátor DHCP serveru definuje rozsah IP adres pro kaţdý segment sítě. V případě ţádosti od klienta DHCP server vyhledá volnou IP adresu z patřičného adresního rozsahu daného segmentu sítě a tu pak přidělí klientovi. Z důvodu omezeného počtu IP adres v daném rozsahu, DHCP server přiděluje IP adresy na omezenou dobu, coţ je označováno jako doba zápůjčky. Po tuto dobu je IP adresa rezervována pro daného klienta. Po uplynutí zápůjčky můţe bezpečně DHCP server přidělit danou IP adresu jinému DHCP klientovi. Tímto způsobem se do oběhu vrací IP adresy těch DHCP klientů, kteří se ze sítě odpojili, těm kteří se nově připojili. Kombinovaná alokace v mnoha sítích je moţné pro stálé (nepřenosné) nebo velmi známé DHCP klienty definovat statické IP adresy a pro přenosné (mobilní), neznámé DHCP klienty, povolit dynamické přidělování. Síťový administrátor pak musí definovat rozsah adres pro statické a dynamické přidělování IP adres DHCP Relay Agent Poţadavek o konfiguraci z DHCP serveru probíhá pomocí broadcastu. Protoţe zařízení bez přidělené IP adresy můţe komunikovat pouze v rámci své podsítě (subnetu), musí zde pracovat tzv. přenosový agent (DHCP Relay Agent). Přenosový agent je aplikace (program), jenţ zajišťuje komunikaci mezi klientem a serverem, jeţ jsou situovány v různých podsítích. Pracuje jako jednoduchý směrovač zpráv DHCP. DHCP Relay Agent je většinou 34

35 spuštěn na směrovači (v lokální síti můţe pracovat na přepínači). Směrovač (přepínač) příjme DHCP broadcastovou ţádost a jiţ jako unicast ji přepošle patřičnému DHCP serveru. Na stejném principu se zpracuje i odpověď. [22] Komunikace DHCP klient-server Ke komunikaci se vyuţívá protokol DHCP pomocí UDP datagramy. K DHCP provozu se vyuţívají síťové porty 68 klienta k vysílání a 67, na němţ naslouchá server. Komunikaci s ţádostí o síťovou konfiguraci z DHCP serveru inicializuje DHCP klient pomocí datagramu DHCPDISCOVER. Ze strany DHCP serveru je vysílána odpověď DHCPOFFER, jenţ obsahuje nabízenou IP adresu a další konfigurační parametry. Datagramem DHCPREQUEST DHCP klient potvrzuje přijetí nabízené IP adresy od DHCP serveru. Komunikace je ukončena datagramem DHCPACK, jenţ DHCP server potvrzuje přidělenou IP adresu a další parametry nutné ke konfiguraci DHCP klienta, jako je maska sítě, DNS server. Obrázek 2 - Komunikace DHCP klient server DHCP klient Směrovač s DHCP Relay Agent DHCP server Čas Zdroj: autor Tabulka 16 - Komunikace DHCP klient server Zdrojová MAC adresa Cílová MAC adresa Zdrojová IP adresa Cílová IP adresa Název paketu DHCP klient Broadcast DHCP Discover DHCP server Broadcast DHCP serveru DHCP Offer DHCP klient Broadcast DHCP Request DHCP server Broadcast DHCP serveru DHCP ACK Zdroj: autor 35

36 DHCPDISCOVER - tento datagram je vysílán za účelem nalezení DHCP serveru, cílová adresa je a zdrojová je DHCP server nejdříve hledá ve své databázi, zda klient nemá jiţ dříve přidělenou IP adresu (nevypršela doba zápůjčky) a pokud ji nalezne, opět ji přidělí, po kontrole jestli je platná pro daný segment sítě, z něhoţ klient poţadavek posílá. V případě, ţe klient neměl ještě zapůjčenou ţádnou IP adresu, DHCP server zkontroluje síťový segment, ze kterého se klient hlásí, podle něj projde svoje záznamy a vybere patřičnou IP adresu z daného subnetu. Jestliţe takto vybere platnou IP adresu, jenţ by bylo moţné přidělit klientovi, je na tuto IP adresu odeslán příkazem ping poţadavek ICMP (Internet Control Message Protocol). Takto se ověří, ţe IP adresa opravdu není pouţívaná. DHCPOFFER datagram se odesílá z DHCP serveru ke klientovi, obsahuje jiţ konkrétní, předem vybranou IP adresu s dalšími konfiguračními údaji. DHCPREQUEST DHCP klient po obdrţení DHCPOFFER s nabídkou IP adresy se rozhodne, zda ji příjme, v takovém případě odešle DHCPREQUEST. DHCP klienti s platnou IP adresou občas odesílají tuto zprávu z důvodu obnovy zápůjčky. DHCPACK touto zprávou server potvrzuje a dává vědět klientovi, ţe si předem dohodnutou IP adresu můţe zapůjčit a ukončuje proces přidělování IP adresy. DHCP klient se tak můţe nakonfigurovat podle přidělených údajů. DHCPNAK je negativní potvrzení, DHCP server tak dává vědět klientovi, ţe předem dojednávaná IP adresa není platná. V tomto případě, pokud chce klient přidělit IP adresu, musí celý proces opakovat od začátku. DHCPRELEASE vysílá DHCP klient, pokud opouští síť a tím i ukončí dobu zápůjčky. DHCPDECLINE zpráva, kterou posílá DHCP klient serveru v případě, zjistí-li, ţe přidělená IP adresa je neplatná nebo jiţ nějakým jiným zařízením pouţívaná. DHCPINFORM vysílá klient. Po obdrţení této zprávy DHCP server shromáţdí platné údaje o segmentu sítě, z něhoţ poţadavek přišel a pošle ho zpět klientovi. [20] Stavy DHCP klienta Proces přidělování IP adresy a dalších konfiguračních parametrů neprobíhá jednorázově. V síti můţou nastat stavy, kdy se např. klient restartuje nebo jen pracuje se stejnou IP konfigurací tak dlouho, ţe se blíţí konec doby, na kterou má danou konfiguraci 36

37 propůjčenu. V RFC 2131 je specifikován tzv. stavový automat, jenţ popisuje jednotlivé stavy, ve kterých se DHCP klient můţe nacházet, viz obrázek. Obrázek 3 - Diagram stavů DHCP klienta INIT-REBOOT DHCPREQUEST/ DHCPNAK INIT Ţádná odpověď od DHCP serveru DHCPDISCOVER/ DHCPOFFER SELECTING REBINDING DHCPREQUEST/ DHCPACK DHCPACK DHCPREQUEST DHCPREQUEST/ DHCPACK BOUND DHCPACK RENEWING DHCPREQUEST Zdroj: autor podle [20] Klient, jenţ se připojuje do sítě poprvé, nebo nemá platnou IP konfiguraci, se nachází ve stavu INIT. Po počáteční komunikaci s DHCP serverem (DHCPDISCOVER, DHCPOFFER) přechází do stavu SELECTING. Po akceptaci nabídnuté IP konfigurace (DHCPREQUEST) a potvrzené od DHCP serveru (DHCPACK) přechází do stavu BOUND Restart DHCP klienta V případě restartu DHCP klienta přechází do stavu INIT-REBOOT. V tomto stavu klient zjišťuje, jestli má uloţenou IP konfiguraci z předchozí činnosti a zda nevypršela doba zápůjčky. Pokud zjistí, ţe uloţená konfigurace je platná jiţ, nezjišťuje dostupné DHCP servery (DHCPDISCOVER), ale broudcastem posílá DHCPREQUEST. Po přijetí zprávy DHCPREQUEST serverem si DHCP server zkontroluje, zda ţádost byla doručena ze stejného segmentu sítě jako je poţadovaná konfigurace od klienta a v případě shody posílá DHCPACKA klientovi. DHCP klient přejde do stavu BOUND s platnou IP konfigurací. V případě ţe server vyhodnotí, ţe klient se hlásí z jiného segmentu, neţ je poţadovaná konfigurace, pošle zamítavou zprávu DHCPNAK, klient přechází do stavu INIT a proces zápůjčky začíná o začátku, jakoby nikdy neměl propůjčenu ţádnou IP konfiguraci. Můţe se 37

38 stát ţe DHCP klient neobdrţí ţádnou odpověď (DHCP servery jsou nedostupné), pokud doba zápůjčky u dané konfigurace nevypršela, můţe ji pouţívat dál. Obrázek 4 - Komunikace po restartu DHCP klienta DHCP klient Směrovač s DHCP Relay Agent DHCP server Čas Zdroj: autor Prodloužení zápůjčky IP konfigurace DHCP klienta Pro kontinuální průběh připojení k síti (nedojde k restartu ani přesunu klienta v síti) si DHCP klienti můţou průběţně prodluţovat dobu zápůjčky. Po patřičném nastavení DHCP serveru můţe klientovy nařídit, po jak dlouhé době si má poţádat znovu o zapůjčení IP konfigurace. V případě, ţe to není nastaveno, klient si ţádá v polovině doby původní zápůjčky. DHCP klient, jenţ se dostane do bodu, kdy je nucen si poţádat o opětovné zapůjčení IP konfigurace prostřednictvím zprávy DHCPREQUEST přechází do stavu RENEWING (podle stavového automatu). Tento poţadavek posílá klient na IP adresu DHCP serveru, jenţ mu naposled konfiguraci propůjčil. DHCP server vyhodnotí parametry ţádosti a pokud je vše v pořádku, vyšle klientovi DHCPACK. Celý tento proces se děje bez narušení síťového připojení (nedojde k narušení chodu aplikací vyuţívajících síť). Jestliţe se DHCP klientovi při prodluţování zápůjčky nepodaří kontaktovat poslední DHCP server, jenţ mu přidělil konfigurační parametry, DHCP klient broadcastem rozesílá zprávu DHCPREQUEST (hledá dostupný server, jenţ by mu prodlouţil zápůjčku). Tento stav je označován REBINDING. Jestliţe jiný DHCP server obdrţí ţádost a je vše v pořádku, potvrdí konfigurační parametry DHCPACK (pouze je-li k tomu server oprávněn). Klient se tak opět dostává do stavu BOUND. Pokud DHCP klient nedostane odpověď (DHCPACK) od ţádného DHCP serveru a vyprší mu doba zápůjčky IP konfigurace, přechází do stavu INIT. Tento stav, jak je výše popsáno znamená, ţe klient je bez IP konfigurace a veškerý síťový provoz aplikací je přerušen. [20] 38

39 Přesun DHCP klienta do jiné sítě Dojde-li k přesunu vypnutého DHCP klienta do jiného segmentu sítě, kde jeho stávající konfigurace neplatí a pak se opět zapne, vysílá zprávu DHCPREQUEST. Tímto způsobem se snaţí obnovit stávající zápůjčku IP konfigurace. Příslušný DHCP server ţádost vyhodnotí jako neplatnou, coţ oznámí klientovi zamítavou zprávou DHCPNAK. DHCP klient ji příjme a zruší stávající IP konfiguraci. V této chvíli se klient nachází bez platné IP konfigurace a přechází do stavu INIT. Proces propůjčení konfigurace se vyvíjí jako by nikdy neměl propůjčeny IP konfigurační parametry Více DHCP serverů v síti Specifikace DHCP podle RFC 2131 zahrnuje i moţnost, ţe v síti kooperuje více serverů DHCP, coţ zahrnuje poţadavek na DHCP klienty, kteří s tímto faktem musí být obeznámeni. Po vyslání všesměrové zprávy DHCPDISCOVER klientem, je moţnost, ţe mu odpoví více DHCP serverů. Jaký server si klient vybere je na něm, v praxi však vybere tu odpověď, kterou obdrţí jako první. V síti můţe pracovat více DHCP serverů s redundantním nastavením s dynamickým přidělováním IP konfigurace. DHCP klientovi můţe být po kaţdém jeho spuštění propůjčena jiná IP konfigurace, coţ můţe vést k problémům aplikací, které vyuţívají síťové připojení. Moţným řešením můţe být nastavení jednoho z DHCP serveru tak, aby reagoval na zprávy DHCPDISCOVER, které mají v poli secs (ta část DHCP zprávy s pevným formátem, viz níţe) předdefinovanou hodnotu. Toto pole při prvním vysílání této zprávy nabývá hodnoty nula, v případě dalšího vysílání (klient nedostal odpověď) se změní na nenulovou hodnotu. V tomto případě uţ můţe reagovat daný DHCP server. [20] Formát zpráv DHCP Zprávy, které si navzájem posílají DHCP server s klientem mají část s pevným formátem a část s proměnným formátem. Ta část, s pevným formátem je pro všechny zprávy DHCP stejná. Část zprávy s proměnným formátem obsahuje tzv. moţnosti (options), pomocí nichţ se přenáší dodatečné konfigurační parametry. Obsah částí s pevným a proměnným formátem je odlišný podle daného typu zprávy. Velikost DHCP zpráv je obvykle 576 bajtů (za určitých podmínek můţe být větší) včetně hlaviček IP a UDP protokolů. Část zprávy s pevným formátem je obsaţena v kaţdé zprávě DHCP, avšak ne vţdy jsou všechna pole vyuţita. Struktura polí s pevným formátem: 39

40 op operační kód zprávy, 1 pro zprávy odeslané klienty, 2 pro zprávy odeslané servery htype typ adresy na linkové vrstvě, např. 1 pro Ethernet hlen délka adresy na linkové vrstvě v bajtech, jenţ je pak uloţena v poli chad-dr hops počet přenosových agentů, jenţ se podíleli na přenosu zprávy xid identifikátor transakce, klient rozezná, který poţadavek patří k dané odpovědi od serveru. secs uplynulý čas v sekundách od vyvolání komunikace DHCP klientem flags pole příznaků, identifikace odesílání klientovi pomocí broadcastu ciaddr IP adresa klienta, nastavuje klient po potvrzení platnosti jeho IP adresy yiaddr IP adresa klienta, nastavuje DHCP server jako informace o jeho přidělené IP adrese siaddr IP adresa dalšího serveru, jenţ má klient vyuţít pro svoji konfiguraci giaddr IP adresa přenosového agenta (brány), nastavuje přenosový agent chaddr hardwarová adresa (MAC) klienta sname název serveru, jenţ má klient vyuţít při konfiguraci file název souboru, který má klient vyţadovat od dalšího serveru Sekce moţností (options) umoţňuje mezi DHCP serverem a klientem přenášet doplňující informace. Kaţdá z moţností nese informaci o kódu, délce a datech. DHCP message type identifikuje typ zprávy (DHCPDISCOVER 1, DHCPOFFER 2, DHCPREQUEST 3, DHCPACK 5 ). subnet mask slouţí k doručení síťové masky router jedna nebo několik IP adres výchozích směrovačů, jenţ leţí na stejném síťovém segmentu, jeden je primární a další záloţní DNS server seznam IP adres DNS serverů requested IP address IP adresa, kterou měl klient jiţ přidělenou a která se tímto ověřuje end ukončovací moţnost, konec moţností ve zprávě DHCP [20] 40

41 Sekce možností (options) Tato část zprávy slouţí k přenosu doplňujících informací mezi DHCP serverem a klientem. Informace je ve formátu kód, délka moţnosti a přenášená data. Tabulka 17 - Formát možností Kód moţnosti Délka moţnosti Data Zdroj: autor podle [20] Pole Kód moţnosti je vyhrazeno pro specifikaci přenášené informace, délka této poloţky je jeden bajt. Také pro poloţku Délka moţnosti je vyhrazen jeden bajt. Poloţka data má velikost podle specifikace v předchozím poli (Délka moţnosti). V následující části jsou uvedeny některé konkrétní moţnosti [20]: DHCP message type: Tabulka 18 - DHCP message type 53 1 n Zdroj: autor podle [20] 53 představuje kód moţnosti 1 délka jeden bajt n můţe nabývat hodnot 1 aţ 12, viz tabulka Tabulka 19 - Možnosti DHCP message type 1 DHCPDISCOVER 2 DHCPOFFER 3 DHCPREQUEST 4 DHCPDECLINE 5 DHCPACK 6 DHCPNAK 7 DHCPRELEASE 8 DHCPINFORM 9 DHCPFORCERENEW 10 DHCPLEASEQUERY 11 DHCPKNOWN 12 DHCPUNKNOWN Zdroj: autor podle [20] 41

42 subnet mask Tabulka 20 Možnost Subnet mask Zdroj: autor podle [20] 1 představuje kód moţnosti 4 délka čtyři bajty data přenášená maska podsítě ( ) router Tabulka 21 - Možnost router 2 8 IP adresa 1. směrovače IP adresa 2. směrovače Zdroj: autor podle [20] 2 představuje kód moţnosti 8 délka osm bajtů data IP adresy směrovačů V této poloţce se přenáší IP adresa výchozího směrovače. Jak je výše ukázáno je moţné přenášet více IP adres. Druhá IP adresa reprezentuje záloţní směrovač. DNS server 6 8 Tabulka 22 - Možnost DNS server IP adresa 1. DNS IP adresa 2. DNS serveru serveru Zdroj: autor podle [20] 6 představuje kód moţnosti 8 délka osm bajtů data IP adresy DNS serverů requested IP adress Tabulka 23 - Možnost requested IP adress 50 4 Ţádaná IP adresa Zdroj: autor podle [20] 50 představuje kód moţnosti 4 délka čtyři bajty data ţádaná IP adresa k prodlouţení zápůjčky 42

43 end Tabulka 24 - Možnost end 255 Zdroj: autor podle [20] Toto pole není povinné, vyznačuje konec sekce moţností. Má pevný formát a neobsahuje délku ani ţádná data DHCP Snooping V sítích, jenţ vyuţívají DHCP serveru ke konfiguraci zařízení, je moţným rizikem napadení systému tím způsobem, ţe útočník nasadí svůj DHCP server (DHCP spoofing). Ten bude přidělovat IP adresu výchozí brány IP adresu útočníkova zařízení, jenţ má pod kontrolou. Veškerý provoz tak bude přesměrován právě skrz toto zařízení. Nebezpečí spočívá v tom, ţe útočník můţe tento síťový provoz odchytávat, analyzovat a získávat tak citlivé údaje vysílané přes síť. Proti nasazení falešného DHCP serveru je moţné se bránit právě aktivováním DHCP snoopingu. DHCP snooping je bezpečnostní opatření, jenţ rozděluje porty na přepínači na tzv. důvěryhodné a nedůvěryhodné (trusted a untrusted). Na důvěryhodné porty jsou připojeny známé DHCP servery. Všechna zařízení uţivatelů jsou připojena na nedůvěryhodné porty, ze kterých přepínač útok můţe očekávat. Přijde-li odpověď (DHCPOFFER) na ţádost o konfiguraci z DHCP serveru (DHCPDISCOVER) z nedůvěryhodného portu je velmi pravděpodobné, ţe za touto odpovědí se skrývá falešný DHCP server a takovýto datagram je zahozen. [23, 24] 4.4. Automatická konfigurace v IPv6 Základní myšlenkou automatické konfigurace pro IPv6 je, ţe uţivatel síťového zařízení nemusí nic nastavovat, vše zabezpečí prvky sítě. Na rozdíl od IPv4, jenţ vyuţívá stavové konfigurace (komunikace klient-server pomocí DHCP zpráv), IPv6 vyuţívá i bezstavovou konfiguraci (stateless autoconfiguration), jenţ nepotřebuje ke své činnosti ţádné servery. Principem bezstavové konfigurace je vysílání tzv. ohlášení směrovače pomocí ICMPv6 (Internet Control Message Protocol Version 6), jenţ obsahuje základní údaje o nastavení zařízení (prefixy jaké se pouţívají v dané síti a jestli je moţné daný směrovač pouţít jako výchozí bránu). Pro získání dalších parametrů pak slouţí stavová konfigurace DHCPv6. [6, 25] 43

44 DHCPv6 Stejně jako u IPv4 se v IPv6 vyuţívá DHCP serveru a přenosového agenta. Podle [26], nastavení klienta je rozdělena do čtyř fází, stejně jako u IPv4 : Objevování (discover) - klient pošle na skupinovou adresu všech DHCP agentů na lince (ff02::1:2) výzvu, do níţ zařadí své identifikační údaje. Nabídka (offer) - servery, které jsou mu ochotny přidělit nějaké parametry (zpravidla bývá jediný, ale můţe jich být více) pošlou klientovi své nabídky. Poţadavek (request) - klient si vybere nabídku, jeţ se mu jeví jako nejvhodnější a příslušnému serveru zašle poţadavek na přidělení nabídnutých parametrů. Potvrzení (acknowledge) - celý proces končí odesláním potvrzení, kterým server klientovi oznámí, ţe mu parametry skutečně přidělil DUID (DHCP Unique Identifier) Změnou oproti DHCPv4 je, ţe DHCPv6 neidentifikuje klienta podle adresy na linkové vrstvě (MAC), ale podle vygenerovaného identifikátoru DUID (DHCP Unique Identifier). Existují tři moţnosti jak DUID vytvořit: Identifikátor je dán výrobcem. Vygenerování identifikátoru pomocí MAC adresy a času vytvoření (nutné uloţit do stálé paměti zařízení). Vygenerování na základě MAC adresy Mobile IP S rozvojem mobilních zařízení, jeţ podporují datovou komunikaci přes Internet, vyvstal problém s IP adresou mobilního zařízení. Zařízení, jenţ se pohybuje v zóně pokryté signálem, například několika Wi-Fi, by se neustále přihlašovalo a odhlašovalo. Dostávalo by na propůjčení IP adresu a konfiguraci z dané sítě, ve které se aktuálně nachází. Neustálá změna IP adresy a IP konfigurace by mohla dělat problémy aplikacím spuštěných na zařízení. Z tohoto důvodu byl vytvořen protokol Mobile IP. Jedním z dokumentů, jenţ se tímto tématem zaobírá je RFC Mobile IP je vylepšení protokolu, které umoţňuje směrování IP datagramů do mobilních uzlů v Internetu, aniţ by se mu měnila IP adresa. Další výhodou statické IP adresy v síti můţe být, ţe zařízení má přístup ke zdrojům z domácí sítě se 44

45 stejnými právy, jako by byl v dané síti. V neposlední řadě zařízení můţe poskytovat sluţby jako server. Kaţdý mobilní uzel je vţdy označen home address (domácí adresa), bez ohledu na jeho aktuální bod připojení k síti a care-of address jenţ identifikuje aktuální polohu v síti. V Mobile IP jsou definovány následující funkce zařízení podílející se na komunikaci: Mobilní uzel (MN - Mobile Node) zařízení, které mění polohu z jedné sítě do jiné. Domácí agent (HA - Home Agent) směrovač na domovské síti mobilního uzlu. Cizí agent ( FA - Foreign agent) směrovač v navštívené síti, který poskytuje směrovací sluţby mobilnímu uzlu. Princip Mobile IP spočívá v tunelování síťové komunikace. Zařízení, jenţ se přesune do cizí sítě (MN), vyuţívá svoji původní IP adresu (home address) z domácí sítě. Pro přenos datagramu do domácí sítě je vyuţita care-of address cizího agenta pro tunelování komunikace. [27] Obrázek 5 - Mobile IP, encapsulace IP hlavička (care-of address) cizí sítě IP hlavička (home address) domácí sítě Zdroj: autor Data Obrázek 6 - Komunikující prvky Mobile IP Otevřený komunikační kanál, Internet Domácí agent Tunelovací protokol Cizí agent Domácí síť Mobilní uzel Zdroj: autor 45

46 4.6. Software IPAM Kaţdá větší či menší firma (organizace) je závislá na bezproblémovém fungování komunikačních kanálů. Jedním z těchto kanálů můţou být právě datové sítě. S rostoucím počtem uţivatelů rostou i nároky na správce sítí i s ohledem na správu síťových sluţeb jako je DHCP, DNS, NTP (Network Time Protocol). Software na IP address management (IPAM) dovoluje plánovat, monitorovat, spravovat a auditovat IP adresní rozsahy v síti. Současně umoţňuje rozšíření pro funkcionalitu DHCP a DNS. Tento software je moţným řešením pro správce sítě, jenţ stále vyuţívá ručně psané databáze IP adres a IP rozsahu. U takto psaných databází je velký problém s aktuálností a platností záznamů, neboť počítačová síť je dynamické prostředí, jenţ se neustále mění. Dalším z důvodů proč softwarový IPAM zavádět je sloţitější a rozsáhlejší adresní prostor IP verze 6. [28] IPAM Windows Server 2013 Podle [29] IPAM ve Windows Server 2012 je vestavěný systém pro správu, analýzu a auditování IP adresního prostoru v síti. Systém automaticky analyzuje infrastruktury IP prostoru, detekuje řadiče domény, DHCP a DNS servery, které síťový administrátor specifikuje, umoţňuje povolení či zakázání správy těchto serverů pomocí IPAM. IPAM server je moţné nasadit dvěma způsoby: Distribuované - IPAM server nasazen na kaţdém segmentu sítě. Centralizované - jeden IPAM server v síti. Specifikace IPAM podle [29]: IPAM podporuje pouze řadiče domény Microsoft, DHCP, DNS a server NPS se systémem Windows Server 2008 a vyšší. IPAM podporuje pouze domény k serverům DHCP, DNS a server NPS v jedné doménové struktuře. IPAM nepodporuje správu a konfiguraci prvků sítě společnosti Microsoft. IPAM nepodporuje externí databáze. Je pouze podporována interní databáze systému Windows. Jediný server IPAM podporuje aţ 150 serverů DHCP a 500 serverů DNS. Jediný server IPAM byl testován na podporu aţ 6000 oborů DHCP a 150 zón DNS. 46

47 IPAM ukládá údaje (zapůjčení IP adresy, MAC adresy, informace o přihlášení či odhlášení uţivatele) do interní databáze systému Windows. Neexistuje ţádná politika mazání údajů, správce musí odstranit data ručně podle potřeby. Podpora je jen pro protokol IPv4. Ţádné zvláštní zpracování pro virtualizační technologie nebo VM migrace. IPAM neprovádí kontrolu konzistence adres IP směrovačů a přepínačů Cisco Prime Network Registrar IPAM Podle [30] Cisco Prime Network Registrar IP Address Manager (IPAM) je škálovatelný a rozšiřitelný software, který poskytuje centralizovanou správu, aby síťoví administrátoři byli schopni efektivně řídit komplexní stále se rozvíjející a měnící se sítě. Aplikace můţe pomocí webového rozhraní řídit a sledovat zprávy o celém IP prostoru, DHCP a DNS sluţeb. Cisco Prime Network Registrar IPAM poskytuje automatizovanou správu IP prostotu, jak pro IPv4 tak IPv6. Tento software obsahuje několik komponent poskytující sluţby: server DHCP pro přístup k zařízení sítě, server DNS pro překlad IP adres a poskytování sluţeb, DNS caching server, který podporuje DNS Security Extensions (DNSSEC), IPAM systém pro automatizaci správy poţadavků na adresy IPv4 a IPv6. Cisco Prime Network Registrar IPAM umoţňuje nasazení jako samostatná aplikace nebo můţe být integrován do komponent serveru DHCP a DNS v Cisco Prime Network Registrar. Výhodou můţe být i podpora Internet Systems Consortium (ISC DHCP a BIND 9 DNS) a Microsoft DHCP a DNS sluţby. Webové rozhraní (GUI - Graphical User Interface) umoţňuje síťovým administrátorům rychle vizualizovat síť a přidělovat IP adresy dle aktuálních poţadavků. Pomocí webového rozhraní lze sloučit bloky adres dle fyzické či logické topologie, nebo jinak administrátorem definované hierarchie. Webové rozhraní téţ umoţňuje administrátorům vytvořit real-time snímek sítě. 47

48 Obrázek 7 - Cisco Prime Network Registrar IPv4 and IPv6 Management Zdroj: autor podle [30] Plánovací nástroje (IP Address Planning) umoţňují vývoj disciplinovaného IP prostoru verze 4 i 6, který můţe být nasazen, monitorován a sledován automaticky, aby byla zajištěna moţnost přesného pohledu na správu sítě. Administrátor můţe: Blokovat, rušit nebo přidělovat podsítě. Přiřazovat IP adresy. Přidávat nové DHCP pooly a související parametry. Přidávat domény DNS. Uchovávat konfigurace serveru nebo záznamy o zařízeních. Přistupovat k reportům o stavu sítě. IPAM shromaţďuje informace o síti z 3. vrstvy tedy směrovače, 2. vrstvy, přepínače a DNS, DHCP serverů. Cisco Prime Network Registrar IPAM nalézá hostitele pomocí různých metod, včetně aplikace ping, TCP připojení k portu 80 (HTTP), vyhledávání DNS, Address Resolution Protocol (ARP) a mapování zařízení OS. IPAM integrovaný v přepínači mapuje porty pomocí Simple Network Management Protocol (SNMP), coţ podporuje široké spektrum přepínačů a umoţňuje mapování nakonfigurovaných VLAN. IPAM umoţňuje uloţení získaných IP adres do databáze, upozornit na rozdíly a identifikovat konflikty. [30] 48

49 5. Praktická ukázka 5.1. Konfigurace počítače jako DHCP klienta Konfigurace (pro IPv4) osobního počítače s operačním systémem Microsoft Windows 7 se nachází: Start\Ovládací panely\síť a Internet\Centrum síťových připojení a sdílení\změnit nastavení adaptéru\vlastnosti (daného připojení) \ Protokol IP verze 4\Vlastnosti. Aby se počítač choval jako DHCP klient a konfiguroval se po připojení k síti automaticky, je nutné tuto volbu specifikovat označením poloţky Získat IP adresu ze serveru DHCP automaticky, viz obrázek. Obrázek 8 - Konfigurace DHCP v počítači Zdroj: autor, printscreen Windows Konfigurace směrovače pro domácí použití Pro tuto ukázku jsem vyuţil standardně dodávaný společností UPC Wi-Fi router model TC7200.U. Ke směrovačům pro domácí připojení je obvyklé se připojovat přes webové rozhraní. V tomto konkrétním případě pomocí IP adresy Jak jiţ bylo zmíněno, směrovač je zařízení, jenţ mimo jiné propojuje odlišné IP adresní prostory. Na níţe uvedeném obrázku je případ, jakým způsobem směrovač vystupuje na venek, směrem k ISP (Internet servis provider). Konfigurační parametry, jako je IP adresa ( ) a maska podsítě ( ) jsou přidělovány ISP. 49

50 Obrázek 9 - Parametry přidělené ISP (Internet servis provider) Zdroj: autor, printscreen webové rozhraní směrovače model TC7200 Některé parametry vnitřní sítě je moţné konfigurovat. IP adresa nám představuje jak výchozí bránu, tak adresu DHCP serveru. Maska podsítě ( ) nám určuje kolik hostitelských zařízení je moţné k domácí síti připojit. V případě, ţe není ţádoucí vyuţívat sluţeb DHCP serveru, je moţné tuto sluţbu zakázat. Poloţka Počáteční místní adresa nám určuje rozsah adres, jenţ můţe DHCP server přidělovat. Poloţka Čas pronájmu nám určuje dobu zápůjčky IP adresy, v tomto případě se udává v sekundách ( sekund = 7 dní), viz obrázek. 50

51 Obrázek 10 - Konfigurovatelné parametry Zdroj: autor, printscreen webové rozhraní směrovače model TC7200 Následující obrázek má informativní charakter. Ukazuje přehled zapůjčených IP adres zařízením, kterým byla adresa propůjčena (poznáme podle MAC adresy) a doba zápůjčky. Obrázek 11 - Přehled zapůjčených IP adres Zdroj: autor, printscreen webové rozhraní směrovače model TC

52 5.3. Konfigurace Cisco směrovače Organizace Cisco Systems, Inc. je předním výrobcem síťových zařízení. Síťová Cisco zařízení se konfigurují pomocí proprietárního operačního systému IOS (Internetwork Operating System). Pokud máme zařízení Cisco fyzicky k dispozici, je moţné se k němu připojit pomocí rozhraní RS232. Pro vzdálenou správu je moţné vyuţít sluţby TELNET, SSH. Po připojení k zařízení se vlastní konfigurace provádí pomocí rozhraní příkazového řádku (CLI - Command Line Interface). Konfigurace se ukládá do konfiguračního souboru, jenţ má textový charakter a kaţdá řádka nám představuje konfigurační příkaz. Konfigurace Cisco zařízení lze provádět na několika úrovních: Uţivatelský neprivilegovaný reţim. Uţivatelský privilegovaný reţim. Konfigurační reţim. V první fázi po přihlášení k zařízení se dostáváme do uţivatelského neprivilegovaného reţimu, kde máme omezené moţnosti pro práci se zařízením. V dalším kroku se dostaneme do uţivatelského privilegovaného reţimu, jenţ nám umoţní získat podrobnější informace o konfiguraci a zadávat některé konfigurační příkazy, které se však nezapíší do konfiguračního souboru. Trvalá konfigurace se provádí v konfiguračním reţimu. [7, 31] Obrázek 12 - Konfigurace Cisco směrovače Start Router> Uţivatelský neprivilegovaný reţim enable exit Router# Uţivatelský privilegovaný reţim configure terminal exit Konfigurační reţim (globální) Router(config)# exit exit Konfigurace rozhraní Router(config-if)#... Konfigurace zařízení Router(dhcp-config)# Zdroj: autor podle [31] 52

53 Konfigurace DHCP ve směrovači Ukázku nastavení DHCP serveru jsem prováděl na směrovači Cisco 2600 s verzí IOSu 12. V následující tabulce uvádím sadu základních příkazů nutných ke konfiguraci DHCP na směrovači. Tabulka 25 - Základní sada příkazů ke konfiguraci Cisco směrovače Režim Příkaz Význam příkazu router> enable router# configure terminal router(config)# ip dhcp pool TEST Router(dhcpconfig)# Router(dhcpconfig)# Router(dhcpconfig)# Router(dhcpconfig)# lease 2 network default-router specifikace dns-server Router(config)# ip dhcp excluded-address Zdroj: autor podle [7, 32] přepnutí z neprivilegovaného do privilegovaného reţimu přejdeme do globálního konfiguračního módu přejdeme ke konfiguraci adresního rozsahu, jenţ jsem nazval TEST specifikace základních údajů konkrétní sítě a masky sítě výchozí brány specifikace DNS serveru, v tomto případě DNS server společnosti Google doba zápůjčky adresy na 2 dny specifikace rozsahu IP adres, které DHCP server nesmí přidělit 53

54 Příkazem show running-config si zobrazíme aktuální konfigurace směrovače, viz obr. Obrázek 13 - Aktuální konfigurace směrovače Zdroj: autor, printscreen aplikace PuTTY Z obrázku je patrné, ţe DHCP server je nakonfigurován tak, aby byl schopen předat ţádané informace DHCP klientovi. Po připojení klienta k síti proběhne výše popsaná procedura komunikace klienta se serverem, viz níţe obrázek z odchyceného síťového provozu Ověření síťové komunikace Následující obrázek zobrazuje síťovou komunikaci DHCP klienta se serverem. Obrázek 14 - Odchycení síťového provozu Zdroj: autor printscreen aplikace Wireshark Komunikaci zahajuje klient datagramem DHCP Discover s zdrojovou IP adresou a odesílá broadcastem ( ). Server reaguje DHCP Offer se svojí zdrojovou adresou , klient posílá DHCP Request a nato reaguje server potvrzovacím datagramem DHCP ACK. Z níţe uvedeného obrázku jsou patrné náleţitosti 54

55 DHCP zprávy. Vybral jsem DHCP ACK, jenţ obsahuje potvrzení mnou nastavené parametry DHCP serveru. Obrázek 15 - Zachycení potvrzovací zprávy DHCPACK Zdroj: autor, printscreen aplikace Wireshark Ze zachyceného síťového provozu je patrné, ţe DHCP klient a server komunikují přes síťové porty 67 a 68, jenţ jsou vyhrazeny právě pro DHCP. Z výše uvedeného obrázku odchyceného síťového provozu jsou patrné konfigurační údaje, jenţ DHCP potvrzuje. Po proběhnutí této procedury má klient k dispozici takové údaje, aby se mohl nakonfigurovat a připojit k síti. Příkazem ipconfig /all z příkazového řádku klienta si můţeme ověřit přidělené konfigurační parametry, viz obrázek. 55

56 Obrázek 16 - Přidělené konfigurační parametry Zdroj: autor printscreen aplikace Příkazový řádek Windows 7 DHCP server v tomto případě přidělil IP adresu , coţ je první moţná přidělitelná adresa, neboť v konfiguraci jsem pomocí příkazu ip dhcp excluded-address nastavil rozsah, který nesmí pouţít. Z obrázku jsou téţ patrné další parametry jako je maska podsítě ( ), doba zápůjčky IP adresy (2 dny), výchozí brána (default gateway) a IP adresa DHCP serveru ( ). Závěr Tato bakalářské práce byla zaměřena na problematiku IP adresy, IP adresace a moţnostem správy a přidělení IP adresy zařízením, které se připojují do datové sítě. Cílem této práce bylo analyzovat základní poznatky týkající se funkce datových sítí z teoretického pohledu pomocí referenčního modelu ISO/OSI a TCP/IP a z pohledu IP adresy, IP adresace doplněné o praktickou ukázku. V praktické části jsem ověřil, ţe síťová zařízení komunikují podle předem stanovených pravidel, jeţ zaručují funkci rozsáhlých sítí a především Internetu. Ověřil jsem, ţe obecné principy komunikace, v tomto případě týkající se adresace a automatického přidělování IP adres, je nezávislé na komunikujících platformách. 56