IP protokol. Leoš Boháč

Transkript

1 IP protokol Leoš Boháč

2 Autor: Leoš Boháč Název díla: IP protokol Zpracoval(a): České vysoké učení technické v Praze Fakulta elektrotechnická Kontaktní adresa: Technická 2, Praha 6 Inovace předmětů a studijních materiálů pro e-learningovou výuku v prezenční a kombinované formě studia Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

3 VYSVĚTLIVKY Definice Zajímavost Poznámka Příklad Shrnutí Výhody Nevýhody

4 ANOTACE V datových založených na rodině protokolů TCP/IP slouží pro transport datových bloků, zvaných pakety či datagramy, síťový protokol IP. Proto je nezbytné, aby si studenti osvojili dobré znalosti funkce tohoto protokolu. CÍLE Cílem modulu je poskytnout studentům potřebné znalosti týkající se smyslu použití a funkce síťového protokolu IP (Internet Protocol) LITERATURA [1] STEVENS, W. Richard. TCP/IP Illustrated : Vol. 1: The Protocols. [s.l.] : Addison- Wesley Professional, s. ISBN [2] KOZIEROK, Charles M. The TCP/IP Guide : A Comprehensive, Illustrated Internet Protocols Reference. San Francisco : No Starch Press, s. ISBN [3] DOYLE, Jeff; CARROLL, Jennifer. Routing TCP-IP : Volume I. 2nd ed. [s.l.] : Cisco Press, s. ISBN [4] ZININ, Alex. Cisco IP Routing : Packet Forwarding and Intra-domain Routing Protocols. [s.l.] : Addison Wesley Professional, s. ISBN

5 Obsah 1 Souvislost IP protokolu s protokolovou rodinou TCP/IP Architektura TCP/IP Základní úkoly IP protokolu v rámci TCP/IP - I Základní úkoly IP protokolu v rámci TCP/IP - II Formát paketu IP protokolu Základní pole IP paketu Fragmentační pole IP paketu Směrovací a kontrolní pole Příklad výpočtu kontrolního součtu Dodatkové pole IP paketu Adresace zařízení v rámci IP protokolu Obecné úvahy a principy adresace Typy směrovacích informací Hierarchická adresace a směrování Struktura a zápis IP adresy verze Přidělení IP adres v reální síti příklad Historické rozdělení IP adresového prostoru do tříd Problémy s IP adresovým prostorem verze Maska IP adresy Adresace podle VLSM Přiřazování IP adres metodou CIDR Privátní a speciální IP adresy Příklad návrhu VLSM IP adresace sítě Tabulka návrhu IP adresového prostoru Základní principy směrování IP paketů Obecné principy směrování v IP sítích Cesta IP paketu sítí, typy síťových sekcí Směrovací tabulka a rozhodovací proces Směrovací proces ve směrovači Naplnění směrovací tabulky, statické směrování Směrovací protokoly Závěrečný test Závěrečný test... 54

6 1 Souvislost IP protokolu s protokolovou rodinou TCP/IP 1.1 Architektura TCP/IP Na obrázku je nakreslen model architektury TCP/IP (Transmission Control Protocol/Internet Protocol) a jeho srovnání s modelem RM OSI (Reference Model Open System Interconnection). Jak je patrné, jsou si oba modely velice podobné, avšak nejsou totožné. Vzhledem k tomu, že primárním úkolem Internetu a tedy s ním souvisejícím modelem TCP/IP bylo spíše propojení na úrovni sítí, než na úrovni koncových zařízení lokálně, nezabývá se TCP/IP model tím, jak definovat dvě spodní vrstvy RM OSI (fyzickou a spojovou). Původně se totiž předpokládalo, že TCP/IP bude nadstavbou nad již existujícími lokálními sítěmi v jednotlivých lokalitách a umožní jejich efektivní globální propojení mezi sebou. Cílem tedy nebylo definovat, a tak nutit určitou technologii LAN jednotlivým organizacím, ale jen vytvořit most, který by umožnil připojit do Internetu koncová zařízení různých lokálních technologií (např. Ethernet, Token Ring apod.) Architektura TCP/IP Sjednocujícím prvkem se stal jednotný formát IP paketu a taktéž principy, podle nichž se měly pakety přenášet mezi technologicky různými sítěmi od zdroje k cíli. V architektuře TCP/IP byla pro datový přenos zvolena metoda s negarantovaným doručením paketů bez nutnosti sestavovat spojení před přenosem dat. Tento princip byl zvolen s ohledem na technické možnosti technologií, které byly dostupné v době vzniku Internetu. Nikdo tehdy netušil, do jakých rozměrů se Internet vyvine v průběhu dalších let. TCP/IP architektura staví v první řadě na standardu IP protokolu, který dle RM OSI patří do vrstvy síťové.

7 Když se celý model podíváme jinak než ryze technicky, tak je vidět, že je vše jedno velké lego, kde si návrhář sítě hraje s kostkami dílčích komponent, aby postavil jeden velký dům se jménem datová sít. V celé lego stavbě má vše svá jasné a opodstatněná místa, tak aby stavba nespadla a držela na pevných základech. Hrajme si, protože hraní je svobodným a nenuceným projevem lidské kreativnosti. 7

8 1.2 Základní úkoly IP protokolu v rámci TCP/IP - I. IP protokol plní v sítích s architekturou TCP/IP tyto důležité funkce: umožňuje přenos dat v rozlehlé síti mezi libovolnými stanicemi na celém světě (pokud se jedná o Internet) prostřednictvím proměnlivých bloků dat, kterým se říká datagramy (dříve) nebo pakety (moderní pojem) poskytuje hierarchický systém adresace stanic v globální síti, který přispívá k technickému zjednodušení a praktické realizovatelnosti směrování v globální síti umožňuje zajistit případnou segmentaci, rozdělení dlouhých paketů do kratších celků, pokud je zapotřebí je přenést lokální sítí, která nepodporuje dostatečně dlouhý datový rámec na spojové vrstvě tak, aby se do něj celý původní paket vešel bez nutnosti jeho rozdělení umožňuje zajistit prokládání datových jednotek pro různé protokoly vyšších vrstev, tak aby je bylo možné přenášet v jednotně definovaném IP paketu. Toto umožňuje realizovat IP protokolem různé typy spojení, např. TCP (Transmission Control Protocol) komunikaci a zároveň UDP (User Datagram Protocol) komunikaci apod. je navržen tak, aby bylo možné v procesu směrování v síti provádět průběžnou kontrolu neporušenosti IP záhlaví, které obsahuje celou řadu důležitých řídících parametrů. IP protokol nekontroluje bezchybnost uživatelského datového pole, toto ponechává protokolům na vyšších vrstvách Souhrn funkcí IP protokolu 8

9 1.3 Základní úkoly IP protokolu v rámci TCP/IP - II. umožňuje v moderních IP sítích garantovat kvalitu přenosu dat různých služeb pomocí systému značkování a správného řazení do prioritních front ve směrovačích nebo L3 (Layer3) přepínačích garantuje, že IP pakety budou přenášeny nejkratší cestou v síti od vysílací IP stanice až k cílové IP stanici. Nejkratší cesta v síti se měří metrikou, která může zohledňovat celou řadu kritérií jako je počet směrovačů v cestě, spolehlivost a zatížení jednotlivých úseků v síti, nutnost segmentace, přenosovou rychlost apod. Výběr nejkratší cesty se provádí buď staticky (manuálně) nebo dynamicky pomocí směrovacích algoritmů, které jsou dnes typicky distribuované mezi všechny směrovači na všech běží identický algoritmus určitého typu garantuje, že pokud bude daný IP paket v sítu příliš dlouhou dobu, bude zahozen. Toto je důležité především v těch kritických případech, kdy se může po přechodnou dobu paket v síti pohybovat po uzavřené smyčce z důvodu chybné funkce směrovacích protokolů nebo špatné manuální konfigurace směrovačů. Funkce IP protokolu je souhrnně uvedena na obrázku. S protokolem úzce souvisí i protokolová datová jednotka (PDU), či v tomto případě paket. Souhrn funkcí IP protokolu Jak je vidět, tak se IP protokol stará o vcelku rozmanitou oblast funkci, kterou jsou shrnutí o výše uvedeném obrázku. Paket si můžeme představit jako myš a bludiště jako síť. Každá myš při vstupu do bludiště dostane informaci o adrese výstupního místa z bludiště, kam má dorazit, to je analogie s adresací. Cesta bludištěm je směrování. To že je myš celá, to tak to kontrola záhlaví. Někdy je třeba myš rozdělit do více menších myší :-), protože se do nějaké cesty v bludišti prostě nemusí původní myš vtěsnat, a to je IP segmentace. Některé myši v bludišti budou mít přednost před jinýma, to je QoS. Myš bezesporu nesmí kolovat v bludišti stále dokola, a to je hlídání doby strávené IP paketem v síti. 9

10 2 Formát paketu IP protokolu 2.1 Základní pole IP paketu Struktura IP paketu je naznačena na obrázku. IP paket se skládá ze dvou důležitých bloků dat: záhlaví, které je tvořeno nejčastěji pěti 32 bitovými slovy, v některých případech se k záhlaví ještě přidávají volitelná (dodatková) pole. datového pole, v tomto poli se přenášení protokolové datové jednotky dalších protokolů Datové pole IP paketu může být dlouhé maximálně tak, aby celková délka IP paketu se záhlavím nepřesáhla bajtů (jinak také 2 16 IHL*4 1). Struktura IP paketu Popišme si nyní stručně význam jednotlivých polí IP paketu: Verze, toto pole ve čtyřbitové a udává svou binární hodnotou označení verze IP paketu. Dnes existují dvě v praxi používané verze IP paketu, IPv4 (IP verze 4) a IPv6 (IP verze 6). Nejčastěji se zatím ještě stále používá IPv4, přičemž se začíná stále více a více postupně prosazovat i IPv6 IHL (Internet Header Length), toto pole je opět čtyřbitové a jeho hodnota udává počet 32 bitových slov v záhlaví IP paketu. Nejmenší hodnota a vlastně nejtypičtější pro toto pole je rovna hodnotě 5 (tj. záhlaví má většinou pět 32 bitových slov bez pole dodatků, viz obrázek) Typ služby TOS (Type Of Service) toto pole udává číslo (1 bajt), které blíže určuje jak se má k tomuto paketu síť chovat z hlediska priority odbavení a priority zahození. Celková délka, toto pole je dvoubajtové (16 bitů) udávající celkovou délku IP paketu včetně záhlaví. Paket tedy může být dlouhý maximálně bajtů. 10

11 Detailnější popis lze nalézt v RFC 791. V souvislosti s modelem diferencovaných služeb se dnes pole TOS často nahrazuje polem DSCP (Differentiated Services Code Point), které je sice stejně dlouhé, avšak významy některých bitů se liší, viz RFC Teoreticky minimální délka IP paketu bez datového a dodatkového pole je 5 bajtů. IP pakety se ve většině případů nedají transportovat níže položenou spojovou vrstvou s délkou větší než několik kilobajtů. Každá koncová stanice má však za povinnost akceptovat minimální velikost IP paketu o délce 576 bajtů. 11

12 2.2 Fragmentační pole IP paketu Součástí hlavičky IP paketu IPv4 jsou tři pole, která řídí proces fragmentace: Identifikátor, toto 16 bitové pole je náhodným číslem generovaným IP vysílačem paketu, které pomáhá následně přijímači se sestavením IP fragmentů, pokud v cestě došlo ke fragmentaci, tj. rozdělení jednoho paketu do menších paketů, které lze transportovat jako nezávislé rámce spojovou vrstvou. FL (Flag), toto pole je tříbitové a obsahuje bitové příznaky 0, DF (Don t fragment) a MF (More fragments). Bit DF = 1 značí, že daný IP paket nesoucí tento příznak nesmí být podél IP cesty žádným směrovačem fragmentován (rozdělen na menší části). Pokud směrovač podle obsahu směrovací tabulky má poslat paket spojovou vrstvou dalšího úseku sítě, která neumožňuje přenos takto velkého IP paketu (musel by být tedy pro přenos fragmentován) a bit DF je nastaven na log.1, musí být tento IP paket zahozen. Zároveň směrovač pošle zpět na IP adresu zdroje ICMP zprávu, kterou jej informuju o této skutečnosti. Smyslem bitu MF je informovat přijímací stranu, zdali je v daném paketu obsažen průběžný nebo poslední fragment původního IP paketu, pokud dojde někde v cestě ke fragmentaci. Pokud je MF bit nastaven na log.1, znamená to, že tento IP paket je sám fragmentem, a že za ním by měl někdy přijít další fragment. Pokud je MF nastaven na log.0, indikuje to, že tento IP paket nese poslední fragment celé sekvence fragmentů nebo že paket nebyl v síti vůbec fragmentován (žádoucí stav!). V IP paketech, které se nefragmentují je vždy nastaven příznak MF na log.0. Aby bylo možné od sebe rozlišit fragmenty více paketů a správně je složit na straně vysílače, přijímací strana k tomu využije hodnotu identifikátoru, která zůstává u všech fragmentů daného paketu nastavená na stejnou hodnotu. Offset fragmentace, toto pole je 13 bitové a je to de facto ukazatel, který určuje pořadí prvního bajtu v datovém poli paketu fragmentu v rámci celkového datového pole nefragmentovaného, původního paketu. Aby bylo možné fragmentovat teoreticky 64 kb dlouhý IP paket, je nutné, aby toto pole nepočítalo přímo bajty, ale slova po osmi bajtech, tj. počítá se pořadí 64 bitových slov. První fragment má toto pole rovné nule. Celý proces IP fragmentace je naznačen na následujícím obrázku. 12

13 Princip fragmentace IP paketu v datové síti Představte si, že si objednáte velký houseboat (velký IP paket) a on se někde po cestě k Vám nevejde pod nějaký most (část sítě, kde IP paket neprojde). Takže co s tím? Pokud je to možné, tak ho převozní četa rozebere na části (IP fragmentace) a ty řádně označí, co kam patří (offset IP fragmentace), části projdou mostem odděleně a v tomto rozebraném stavu vám houseboat části dodají. Na Vás (koncové zařízení v IP síti) je potom si z těch dílčích, řádně označených částí, sestavit původní celek houseboat (původní dlouhý IP paket). 13

14 2.3 Směrovací a kontrolní pole Další pole v IP záhlaví paketu slouží k různým účelům při směrování jako např.: TTL (Time To Live), toto pole umožňuje odstranit z přenosu pakety, které jsou v síti příliš dlouhou. Souvisí to hlavně s možností směrování paketů ve smyčce. Pokud by nebylo tohoto opatření, mohly by pakety ve smyčce kolovat nekonečně dlouho, což by neúměrně zatěžovalo síť a později by mohlo dojít až k úplnému přetížení určité části celé sítě. Každý směrovač v síti má povinnost toto pole u všech paketů, které jím úspěšně projdou, dekrementovat (zmenšit o hodnotu jedna). Pokud po dekrementaci bude toto pole nulové, je povinností směrovače takový paket zahodit a poslat zpět k jeho zdroji informaci (ICMP zprávu) o této skutečnosti. Protokol, toto pole je osmibitové a jeho hodnota identifikuje protokolovou datovou jednotku PDU( Protocol Data Unit), která je nesena uvnitř IP paketu. Jinými slovy se toto pole používá pro demultiplexaci a rozdělení dat nesených v paketu jednotlivým protokolovým procesům služeb, které následně tato data zpracovávají, viz obrázek Dnes je přiděleno okolo 140 identifikátorů protokolů, které využívají jako transport IP paket. Jako příklad uveďme např. TCP(0x06), UDP(0x11), ICMP(0x01). Technická realizace multiplexaci IP je ukázána na obrázku. Kontrolní součet IP hlavičky, toto pole slouží ke zjištění, zdali při přenosu nedošlo k poškození obsahu záhlaví. Toto pole se mění vždy, když se mění obsah libovolného pole v záhlaví (typicky TTL) Multiplexace IP paketů 14

15 2.4 Příklad výpočtu kontrolního součtu Při přenosu dat fyzickým médiem, ale i při zpracování paketů v mezilehlých zařízeních nebo koncových zařízeních, může dojít k chybám, jejichž příčiny mohou být špatná kvalita signálu nebo chybně fungující software, apod. Pro tyto účely jsou do celé řady protokolů zapracovány mechanismy, které umožňují zkontrolovat, zda určitá oblast dat je nenarušená, a tedy bez chyb. IP protokol není v tomto ohledu výjimkou. U IPv4 paketu se však nekontroluje obsah celého paketu, ale jen jeho hlavička. Kontrola celého obsahu přísluší vyšším protokolům v RM-OSI modelu, a není tedy toto v režii IP protokolu samotného. Ke kontrole korektnosti dat hlavičky IP paketu se používá metoda 16 bitového jedničkového doplňku jedničkovému doplňku součtu všech 16 bitových čísel IP hlavičky. Takto vzniklý výsledek se poté uloží do datového pole kontrolního součtu v IP hlavičce paketu, viz první obrázek. Po příjmu IP paketu provede protistrana stejný postup s tím, že se do součtu zahrne i hodnota obsažená v poli kontrolním součtu. Pokud je výsledkem hodnota nula, je velká pravděpodobnost, že byl obsah hlavičky neporušený, viz druhý obrázek. Vytvoření kontrolního součtu hlavičky IP paketu 15

16 Ověření správnosti obsahu IP hlavičky na základě kontrolního součtu 16

17 2.5 Dodatkové pole IP paketu Hlavička IPv4 paketu je rozšířitelná o proměnné pole dalších volitelných polí. I když se tato pole často nepoužívají je vhodné se pro úplnost o nich zmínit. Všechna tato volitelná pole v záhlaví se řadí až na konec celé IP hlavičky a mají formát podle obrázku dole: Typ volby o FL (Flag) log.0 znamená, že se daná volba nemá kopírovat do každého fragmentu v případě, že datagram je fragmentován, log. 1 znamená, že danou volbu lze zkopírovat do jednotlivých fragmnetů. o CL (Class) hodnota 0 se používá pro řízení (používá se běžně) a hodnota 2 se používá pro ladění a měření používané pro volbu internetového časového razítka. Číslo o 0 zvláštní případ označující konec seznamu voleb, v tomto případě je pole volby prázdné. o 1 žádné operace (NOP), opět pole volby je prázdné. o 2 bezpečnost, délky volby je 11 oktetů a různé bezpečnostní kódy lze nalézt v RFC 791. o 3 směrování ve volném režimu, což je IP směrování na základě informací poskytnutých zdrojovou stanicí, kde směrovače mohou směrovat pakety do místa určení libovolným počtem mezilehlými směrovačů. o 4 časové razítko Internetu o 7 záznam trasy umožňuje zaznamenávat trasu paketu, která prošel IP paket v síti. o 9 pevný režimu směrování což je IP směrování na základě informací poskytnutých zdrojovou stanicí, kde směrovače mohou směrovat pakety do místa určení podle předem definovaného seznamu IP adres směrovačů, kterými má paket s touto volbou projít. Délka volby proměnné, toto pole není přítomné pro volby NOP a volbu konec seznamu voleb Data volby proměnlivá a nelze ji přítomní při NOP a konec seznamu voleb. Viz RFC 791 pro detaily o datovém obsahu pro každou z voleb. 17

18 Dodatkové pole v IP paketu 18

19 3 Adresace zařízení v rámci IP protokolu 3.1 Obecné úvahy a principy adresace V každé telekomunikační síti musí existovat systém identifikace koncových bodů komunikace. Způsob identifikace se liší v závislosti na různých faktorech jako je: charakter telekomunikační sítě (datová nebo telefonní) počet koncových systémů (popř. koncových bodů komunikace), jejichž propojení ta či ona síť zajišťuje identifikátoru koncového bodu se říká různě podle kontextu: telefonní číslo, pokud máme na mysli telefonní síť adresa, pokud máme na mysli datovou síť V datových sítích založených na architektuře TCP/IP se můžeme v praxi setkat se dvěma adresovými systémy na úrovní druhé a třetí vrstvy RM-OSI. Na úrovni LAN (Local Area Network) druhá vrstva RM OSI) existuje lokální adresace stanic pomocí MAC (Medium Access Control) adres. Na úrovni celé sítě TCP/IP existuje globální IP adresace stanic. Lokální adresace (pomocí MAC adres) slouží pro identifikace relativně malého počtu koncových systémů (do cca 2000) zapojených v lokální síti LAN, je jednodušší a typicky nemá žádnou hierarchii. Globální IP adresace je určena pro identifikaci velkého množství koncových systémů (miliony a více) v globální síti a je nutné, aby adresa byla hierarchická. Stanice, které mají komunikovat nejen v rámci LAN sítě, ale i v rámci celé globální sítě (např. Internetu) musí mít kromě lokální MAC adresy (pokud je fyzické připojení do sítě přes síť LAN) přiřazenou také adresu globální, tj. v případě architektury TCP/IP IP adresu. Koncept vztahu globální a lokální adresace znázorňuje obrázek 19

20 Obecné úvahy nad adresací 20

21 3.2 Typy směrovacích informací Každá datová síť potřebuje ke své funkci mít znalost o tom, kam a jakým způsobem se má přijatý informační blok ve formě datového rámce, paketu nebo diagramu dál do sítě poslal, přesněji řečeno k jakému sousednímu uzlu či zařízení na cestě k cíli. Každý uzel sítě tedy musí mít k dispozici určitou množinu směrovací informací. Pokud se jedná o sítě bez spojení, je nutné, aby měl uzel sítě potřebné směrovací informace pro každý paket, který přijme. Směrovací informace se uchovávají v každém uzlu ve formě tabulky. Tabulka může obsahovat informace o všech adresách koncových zařízení v dané sítí, v tomto případě o úplné směrovací informaci nebo uchovává informace neúplné s tím, že detailnější informace bude mít následujíc uzel v síti. Typickým představitelem sítí s úplným směrovacím systémem je LAN síť, kde každý přepínač musí mít ve své přepínací tabulce záznam o všech aktivně komunikujících koncových zařízeních v LAN síti. Tento princip je vhodný pro malé LAN sítě, ale není zcela vhodný pro velké typy sítí se stovkami milionů koncových zařízení, jako je např. Internet. V tomto případě by byl úplný systém směrování značně neefektivní. V těchto případech se tedy používá systém s neúplnou směrovací informací, kdy je ale zapotřebí, aby adresa v tomto systému splňovala podmínku hierarchie adresové informace. Směrovací informace Úplné a neúplné informace lze přiblížit analogií ze života, kdy se jedná o dělbu práce mezi lidmi. Neúplný systém si lze analogicky představit např. tak, že si zadáte zhotovení určitého výrobku nějaké firmě. Máte o tom výrobku jen globální představu, nicméně technologické detaily, zná až výrobce. Naopak úplný systém směrování by v této analogii odpovídal situaci, kdy si Vy sami daný výrobek uděláte sami. Je zřejmé, že v tomto případě to znamená, že bystě měli mít hodně znalostí (což je analogií velké směrovací/přepínací tabulky v uzlech). Je mnohem lepší, když se o znalosti podělíme a každý bude dělat jen svou profesi (analogie rozdělení směrovacích informací v sítích s neúplným směrovacím systémem). 21

22 3.3 Hierarchická adresace a směrování Neúplný systém směrování znamená, že je nutné zavést jistou hierarchii v adresaci a směrování jako takovém. Na níže uvedeném obrázku je znázorněn příklad směrování, který odráží výše uvedený princip. Uzel sítě nazvaný jako BERLIN je evropským uzlem a zabývá se tady jen směrováním paketů k zodpovědným uzlům jednotlivých evropských zemí. Detaily, které se týkají směrování v dané evropské zemi, jsou nad jeho působností a on se jimi vůbec nezabývá. Nezná tyto detaily. Pokud přijde např. do berlínského uzlu paket, on rozhodně (podle obrázku), že má být poslán do ČR. Z tabulky vybere zodpovědný uzel za ČR, kterým je v tomto případě uzel se jménem PRAHA, a jemu tento paket pošle. Pražský uzel se po příchodu paktu zabývá dalším nižším stupněm směrováním, v tomto případě udržuje databázi uzlů zodpovědných za konkrétní kraje (nic více). Stejný princip, jen o stupeň níže, probíhá v pražském uzlu, až se přes kraj a okres v konečné fázi dostaneme k finálnímu koncovému zařízení. Hierarchická směrování V tomto případě je zapotřebí, aby adresa koncového zařízení nebyla plochá, a hierarchická. Na následujícím obrázku je uveden obecný příklad hierarchické adresy. Celá adresa je v tomto případě tvořena vhodně vytvořením sloučením (viz dále IP adresa) dílčích identifikátorů jednotlivých hierarchických stupňů dané sítě. 22

23 Hierarchická adresace Uzly v datové síti si uchovávají ve formě tabulek směrovací/přepínací údaje buď úplné nebo neúplné/částečné. Pro malé sítě lze použít úplný systém směrování, avšak pro velké sítě je vhodnější a efektivnější použít neúplný/hierarchický systém směrování. 23

24 3.4 Struktura a zápis IP adresy verze 4 Vzhledem k tomu, že IP sítě propojují značný počet koncových systémů (příkladem je Internet), bylo nutné zvolit k identifikaci koncových systémů a zařízení takový adresový systém, který je hierarchický, viz předchozí kapitola. V TCP/IP síti zodpovídají za přenos IP paketů zařízení zvaná směrovače (router). Standardní směrovač pracuje vždy na všech třech prvních vrstvách RM OSI modelu. Jinými slovy, je to zařízení, které se liší od LAN přepínače tím, že zpracovává obsah ethernet rámce, analyzuje obsah IP paketů a rozhodne, k jakému směrovači v IP síti má být následně ten poslán (směr odchozí) nebo doručen v obráceném směru cílové koncové stanice prostřednictvím sítě LAN (směr příchozí). Směrovače používají pro přenos IP paketů mezi sebou navzájem služeb vrstvy spojové a potažmo fyzické. IP směrovače chápou spojení mezi sebou vždy jako malou IP síť, viz další kapitola pojednávající p přiřazení IP adres v reálné IP síti. V IPv4 adrese (32 bitů) je vždy buď přímo, nebo nepřímo skrytá část jednoznačně identifikující IP síť (síťový identifikátor NET IP), což si lze většinou představit jako jednu konkrétní LAN, v níž daná koncová stanice leží a dále část identifikující jednoznačně koncovou stanice (HOST ID) v rámci zmiňované IP sítě, viz první obrázek. Směrovače uchovávají ve svých směrovacích tabulkách (jednoduchých databázích ) ve většině případů jen informace o identifikátoru sítě, kde daná cílová stanice leží, s příslušným indexem rozhraní, jímž má být IP paket poslán dál, aby se dostal k cíli. Struktura IPv4 adresy IPv4 adresa je v paketu reprezentována jedním 32 bitovým binárním číslem. Pro účely přehlednosti se však IPv4 adresa zapisuje ve tvaru čtyř po sobě jdoucích dekadických čísel oddělených tečkami, viz následující obrázek. Jak se pozná délka NET ID a HOST ID části v IP adrese? před rokem 1993: délka identifikátoru sítě je implicitně definována a je určena kombinací prvních bitů IP adresy (tzv. adresace podle tříd nebo třídní adresace) classfull addressing po roce 1993: délka pole identifikátoru sítě je určena přímo pomocí síťové masky netmask 24

25 Zápis IPv4 adresy Zapište v binárním tvaru následující IPv4 adresy: ŘEŠENÍ Zapište v dekadickém tvaru tyto binárně vyjádřené IPv4 adresy: ŘEŠENÍ

26 3.5 Přidělení IP adres v reální síti příklad V IP síti je každé propojení mezi směrovači chápáno jako propojení přes elementární malou IP síť. Toto vychází z původní myšlenky Internetu, jež de facto poskytuje typicky konektivitu mezi individuálně řešenými elementárními sítěmi každého propojovaného subjektu cílem bylo nediktovat typ LAN sítě institucím zapojených do Internetu, ale nechat jim na výběr technologii LAN, kterou si sami zvolí flexibilita Propojení směrovačů může být realizováno buď prostřednictvím LAN sítě nebo dvoubodovým spojem (bod-bod). I v případě dvoubodového spojení se tento spoj tváří jako malá LAN síť se dvěma koncovými systémy, kterými jsou právě jen oba propojované směrovače a typicky má IP adresu sítě včetně IP adres obou směrovačů. Každá elementární síť propojující směrovače se odlišuje od jiné elementární sítě svým přiděleným IP identifikátorem sítě (na obrázku jsou označené červeně). V IP síti je většina koncových systémů zapojena jen do jediné LAN sítě (v tomto případě je koncová stanice identická s IP adresou jejího rozhraní). V některých případech však může být koncový systém (např. server se záložním připojením) připojen do IP sítě dvěma IP rozhraními, kde každé je z jiné IP sítě (tzv. multihoming ) v tomto případě je daný systém obecně dostupný na obou IP adresách. Takový systém však typicky nesměruje, IP pakety neprochází křížem přes obě rozhraní. 26

27 Adresace v reálné IP síti 27

28 3.6 Historické rozdělení IP adresového prostoru do tříd Síťová adresa IPv4 je de facto 32 bitové pole. Pro účely adresace v Internetu je toto pole chápáno strukturovaně tak, že je rozděleno do dvou zásadních částí NET_ID a HOST_ID, viz předchozí obrazovka. Část NET_ID určuje adresu sítě nebo subsítě a zbývající HOST_ID část identifikuje jednoznačně koncovou stanici v dané síti nebo subsíti. HOST_ID část již nemá žádnou strukturu a je tedy plochou adresací. Celý IPv4 adresový prostor (množina věch kombinací v IPv4 adrese) bylo však v počátku vzniku Internetu rozdělit podle velikosti sítí. Základní představou bylo, že se do Internetu budou připojovat organizace s různě velikými sítěmi a tedy různě požadovanou délkou HOST_ID části. Z tohoto důvodu byl IPv4 adresový prostoro rozdělen do celkem pěti tříd A E, přičemž pro samotný praktický význam unicastové adresace má smysl vzít v úvahu je první tří třídy (A C). Každá třída má jinou délku NET_ID a HOST_ID části. Třída A byla původně určena pro velké organizace, pro něž byl zvažován obrovský počet koncových zařízení. V tomto případě je v jedné A síti možné teoreticky adresovat až koncových zařízení. Ve skutečnosti však neexistuje žádná lokální síť, která by byla schopna podporovat takto velký počet koncových zařízení plochým L2 způsobem, jen použitím přepínačů. U organizací s A adresových prostorem se většinou budovaly pro velký počet koncových zařízení směrované LAN sítě. V tomto případě se HOST_ID část dělí rekurzivně do dalších částí, viz další obrazovky. V rámci celého IPv4 adresového prostoru existuje celkem teoreticky jen 128 A sítí, z nichž některé se nadají použít pro reálné sítě z důvodu jejich vyhrazení či blokování pro jiné účely. Adresa A třídy má jen první bajt určen pro globální určení sítě. Směrovač pozná adresu A třídy podle prvního bitu prvního bajtu, který musí být vždy nulový. Dalším adresovou třídou je třída B. Ta má pro identifikace určené dva bajty IP adresy s tím, že směrovač tuto adresu pozná podle prvních dvou bitů prvního bajtu, kde musí být hodnota 10. Teoreticky existuje 2 14 IP síťových adres třídy B v celém IPv4 prostoru. HOST_ID pro třídu B je 16 bitové číslo, umožňující adresovat až 64 tisíc koncových zařízení. I v tomto případě se často HOST_ID část dělí do menších částí dvou SUBNET_ID a HOST_ID. Konečně poslední adresovou třídou je třída C, které má NET_ID část celkem tříbajtovou s tím, že směrovač tuto adresu pozná podle prvních tří bitů prvního bajtu, kde musí být binární hodnota 110. V celém IPv4 prostoru je tedy celkem 2 21 síťových adres typu C. V jedné C síťové adrese je celkem až 256 stanic s tím, že IP adresa, kde je HOST_ID část rovná nule vyjadřuje síťovou adresu dané třídy a tam kde je HOST_ID část naplněná binární kombinací jedniček, představuje všesměrovou adresu pro danou síť, paket bude poslán všem stanicím v této síti (toto se dnes často omezuje z důvodu bezpečnosti, takže to mnohdy nefunguje podle původních zásad) 28

29 Směrovače ale vždy směrují pakety výhradně jen podle části NET_ID IP adresy. Jsou sice jisté výjimky, ale ty jsou spíše jen sporadické a nejsou rozhodně systematické. U systému rozdělení IP adrese do tříd poznal směrovač jednoznačně předěl mezi NET_ID a HOST_ID částí IP adresy podle prvních několika bitů prvního bajtu IP adresy, jak je vidět na obrázku. Adresové třídy A B jsou určené pro unicastový provoz, tj. pro přenos dat mezi jen a pouze dvěma koncovými systémy. Adresový prostor D je určen pro multicastový provoz, tj. pro provoz, kdy se IP pakety posílají celé skupině koncových zařízení. IP adresa v tomto případě identifikuje celou skupinu zařízení, nikoliv jedno koncové zařízení. Poslední adresová třída E byla je vyhrazena pro experimentální účely a není dnes využívána v praktickém provozu. Rozdělení IP adresového prostoru do tříd 29

30 3.7 Problémy s IP adresovým prostorem verze 4 Původní představa přidělování IP adresového prostoru byla, že se největším organizacím budou přidělovat IP prefixy (NET ID, síťové adresy), které odpovídají A třídě, pro menší firmy se předpokládalo přiřazení IP prefixů B třídy a pro nejmenší firmy potom třída C. V reálné praxi se však ukázalo, že rozdělení do tříd je příliš hrubé (velká granularita). Výsledkem potom bylo, že celá řada firem potřebovala např. je třeba 300 adres, což je však málo pro třídu C, a tak si organizace tehdy zažádala o IP prefix z třídy B, který však umožňuje adresovat interně až bezmála 2 16 = koncových zařízení. V tomto případě sice organizace uspokojí své požadavky, ale globálně zablokuje ve svém B rozsahu zbytečně = IP adres, které již nemůže v Internetu nikdo jiný použít. Další problém je v tom, že počet B tříd dostupných v celém IPv4 prostoru je jen 2 14 (=16384), což není na pro celý Internet příliš. Mnohem menší počet je pro třídu A (2 7 ). Výsledkem bylo, že se adresový prostor tříd A a B velice rychle začal v roce 1993 snižovat a byla tedy obava, že bude úplně vyčerpán. Proto se postupně přiřazování tříd A a B začalo omezovat, firmy, které potřebovaly více než 254 IP veřejných adres, si musely žádat o více sítí z třídy C, v IPv4 prostoru je jich 2 21 (= 2 miliony), což je mnohem více než je tomu pro třídu A a B. Přiřazování více C adresových prostorů jedné organizaci však začalo komplikovat směrování v nejvyšší úrovni páteře Internetu (viz obrázek), protože směrovače v této úrovni musí obsahovat záznamy o všech sítích v Internetu. Výsledkem bylo, že se začaly tabulky nadmíru plnit velkým počtem sítí C adresového typu a byly obavy, že dojde ke kolapsu páteře. Tam kde by totiž původně stačil pro danou firmu jeden záznam např. B třídy, bylo nutné vložit několik na sebe nenavazujících záznamů C třídy, které však reprezentují stále jen jednu jedinou síť dané firmy. Růst záznamů C třídy Proto v roce 1993 došlo k opatřením v IP adresového systému, které umožnilo: 30

31 zpomalit vyčerpávání veřejných A a B adresových tříd šetrnější a efektivnější přiřazování IP adres v daných sítích, VLSM (Variable Lenght Subnet Masking) adresací a použitím překladu adres NAT (Network Address Translation), viz dále zmenšení počtu záznamů ve směrovacích tabulkách páteřních směrovačů v Internetu přidělováním IP bloků metodou CIDR (Classless Inter-Domain Routing), viz dále Problémy s nedostatkem IPv4 adres de facto naprosto odstraňuje nová verze protokolu IP zvaná jako IPv6. V tomto případě se adresový prostor rozšířil až na 128 bitů, což plně dostačuje pro pokrytí potřeb do budoucnosti. Detaily týkající se IPv6 jsou obsažené ve speciálním modulu, takže se jím zde nebudeme zabývat. Současný stav (rok 2011) v adresovém prostoru je takový, že již došlo k plnému přerozdělení celého veřejného IPv4 prostoru jednotlivým regionálním autoritám RIR (Regional Internet Registry) a hlavní centrální autorita ICANN již nemá (kromě potenciálně vrácených IPv4 bloků síťových adres) žádné volné bloky. 31

32 3.8 Maska IP adresy Zavedení masky IP adresy bylo výrazným posunem k větší flexibilitě tvorby IP sítí a efektivnějšímu používání IP prostoru. Koncept masky v podstatě vyšel z historického požadavku jak dále segmentovat síťový prostor IP prefixů A nebo B třídy síťových adres. Jak bylo již řečeno, tyto třídy jsou z hlediska svých HOST_ID částí značně rozsáhlé. Nikdy nebylo a ani dnes není možné vybudovat plochou, přepínanou LAN síť, která by podporovala 2 24 (třída A) nebo 2 16 (třída B) koncových zařízení. Takto velké sítě je nutné stejně segmentovat do IP subsítí a ty vzájemně spojit IP směrovači. Pro zavedení principu IP podsítí uvnitř sítě organizace se vychází z toho, že se původní HOST_ID část IP adresy dané třídy dále rozdělí na dvě části, a to SUBNET_ID a nové HOST_ID (viz obrázek). Část SUBNET_ID je potom binárním identifikátorem subsítě v rámci sítě NET_ID přidělené organizaci. Zavedení systému subsítí však znamenalo i změnit princip funkce procesu směrování ve směrovačích. Do té doby totiž směrovačům stačilo znát jen IP adresu dané třídové sítě, protože NET_ID část, podle které směrovaly, byly schopné určit podle prvních několik bitů v prvním bajtu IP adresy. V okamžiku příchodu konceptu subsíťování, nelze tento princip obecně použít. Sice teoreticky by bylo možné pro směrování v Internet páteři použít směrovače, které stále směrují starým způsobem, ale potom by tyto směrovače nebylo možné flexibilně použít uvnitř organizace používající princip subsíťování. Bylo tedy mnohem flexibilnější, když změna proběhne obecně u všech směrovačů současně. Vzhledem k tomu, že identifikátor SUBNET_ID musí být z důvodů flexibility možné vytvořit různě dlouhý, nelze už pro odlišení síťoví a hostové části použít princip identifikace podle prvních několika bitů prvního bajtu IP adresy. Bylo nutné zavést do směrování novou proměnou, která jde vždy ruku v ruce společně se síťovou adresou jako její neoddělitelné dvojče, a tou je IP maska. Rozdělení IP adresy do subsítí Základním smyslem zavedení IP masky je možnost určit nebo tzv. vymaskovat z celé IP adresy jen tu část, která odpovídá celému jednoznačnému identifikátoru subsítě, protože pouze podle něj směrovač bude směrovat dotyčné pakety a jen tuto informaci bude vyhledávat ve směrovací tabulce. Část nového HOST_ID je pro vlastní směrování v IP síti nepodstatná, výjimku tvoří jen poslední směrovač na cestě, který je přímo připojený k dané subsíti. Jednoznačný identifikátor subsítě je tedy tvořen spojením NET_ID a SUBNET_ID částí IP adresy a to je také část, kterou IP maska určuje. 32

33 IP maska má stejný formát jako IPv4 adresa, viz následující obrázek. Její obsah vždy tvoří nepřetržitý sled logických jedniček, počínaje prvním bitem prvního bajtu IP masky a konče posledním bitem, kde končí NET_ID + SUBENT_ID část k ní odpovídající IPv4 adrese. IPv4 maska se zapisuje dvěma možnými způsoby: v dekadickém tvaru, tak jako s ní korespondující IPv4 adresa, např v úspornějším tvaru /nn, kde nn je značí počet jedniček v IP masce zleva, např. /24. Maska subsítě Koncept použití IP masky lze samozřejmě použít i pro IP síťové adresy konkrétních tříd A C. V tomto případě má SUBNET_ID identifikátor nulovou délku. Této masce se v tomto případě říká implicitní maska daná třídy. Implicitní IP maska třídy A je (/8), pro B je to (/16) a pro C je to (/24). Určete dekadický zápis IP masky pro tyto za lomítkem určené IP masky: /7 /19 /20 ŘEŠENÍ

34 Který zápis IP masky z níže uvedených je korektní: ŘEŠENÍ a

35 3.9 Adresace podle VLSM Zavedení systému subsíťování a IP masky umožnilo efektivně rozdělit IP síťové adresy tříd A i B, popř. i C do menších IP subsítí. V tomto období vývoje se však bylo nutností pevně držet ve vnitřních sítích předem nastaveného modelu rozdělení do jistého počtu subsítí. Například, pokud si zvolíme identifikátor SUBNET_ID s délkou 5 bitů, zdědily tuto délku všechny subsítě v rámci celé IP sítě organizace. Historickým důvodem k tomuto omezení byl dřívější systém třídního směrování a nemožnost u tehdejších směrovacích protokolů přenášet s adresou sítě ještě i korespondující masku. Výsledkem tohoto jevu je, že nelze flexibilně měnit velikost délky SUNET_ID identifikátoru podle velikosti dané subsítě, čímž se dostáváme do podobného principu zbytečné blokace IP adres v těch subsítích, kde nebude nikdy odpovídající počet koncových zařízení. Výraznou změnu v tomto ohledu přinesl přechod na beztřídní systém směrování, kdy není nutné brát v úvahu rozdělení adresového prostoru podle tříd A,B,C, ale je možné hranice mezi identifikátorem sítě a hosta volit libovolně až na úroveň jednotlivých bitů. Toto je umožněno jednak konceptem IP masky a jednak doplněním směrovačů a směrovacích protokolů o důsledné používání a přenos IP masky spolu s IP adresou sítě. Tomuto systému se říká VLSM (Variable Lenght Subnet Masking). Udělejme si nyní srovnání mezi původním třídním subsíťovým přiřazením a novějším VLSM systémem. Toto srovnání je velmi patrné z následující dvou obrázku. Největší výhoda VLMS je patrná tehdy, pokud je značný rozdíl v požadavcích na jednotlivé subsítě. V našem případě je zjevné, že VLSM adresace ušetří (odblokuje) 79 IP adres. Subsíťování bez VLSM adresace 35

36 Subsíťování s VLSM adresací 36

37 3.10 Přiřazování IP adres metodou CIDR Jak již bylo dříve řečeno, po roce 1993 omezila ICANN (Internet Corporation for Assigned Names and Numbers) vydávání sítí tříd A a B a přistoupila primárně k přiřazování sítí C třídy. Základním problémem ovšem bylo, že existovala celá řada organizací, jimž byly přiřazovány C sítě z různých částí celkového adresového. Výsledkem tohoto řešení bylo sice šetření IP adres, ale vedlo to k jinému problému, nesystematičnost v přidělování C adres způsobila problémy s rostoucím počtem záznamů sítí C třídy v páteřních směrovačích Internetu, jedna a tatáž organizace v Internetu byla reprezentována několika C sítěmi. Proto bylo nutné přistoupit k nové metodice přidělování C sítí, tak aby se jich několik dalo flexibilně sloučit a reprezentovat je jako celek jednotně jako jednu síť. Procesu spojování více sítí do jedné sítě se říká agregace nebo někdy supernetování. Z hlediska přiřazování veřejných IP adres došlo ke změně filozofie, ICANN vždy přiřazuje blok určitého počtu 2N (N =1, 2,..) kontinuálně na sebe navazujících C sítí, které lze efektivně sloučit do jednoho záznamu CIDR (Classless Inter Domain Routing) bloku. Tomuto systému se říká CIDR, protože se přestává dělit s jeho zavedením IPv4 adresových prostor do předem definovaných tříd A,B,C,D,E. Směrovače již nezjišťují délku masky z počátečních bitů IP adresy, ale jen z přidružené masky. Toto sice platí také o VLSM, který byl uveden dříve, nicméně je v tom koncepční rozdíl. Úkolem VLSM je šetřit a zefektivnit IP adresaci v rámci dané již přidělené sítě, kdežto CIDR byl navržen umožnit efektivního a konzistentního přidělování IP adresového prostoru organizacím. CIDR je de facto opakem subnetování a VLSM, místo dělení dané IP adresy sítě na menší celky se menší sítě naopak slučují do jednoho záznamu s kratší maskou supernetování (viz obrázek). CIDR na rozdíl od klasického třídního přidělování IP síťových adres je mnohem flexibilnější. Jako příklad uveďme organizaci, která by potřebovala 1000 IP veřejných adres. U starého třídního systému by to znamenalo této organizaci přidělit B třídu a cca 64 tisíci IP adres. V tomto případě by se vyplýtvalo (zablokovalo) 63 tisíc adres, protože organizace by je nevyužila. Opatřením bylo později přidělit organizaci více C adres, ale to díky neexistenci CIDR to vedlo k tomu, že jedna organice byla v rámci Internetu viditelná jako množina několika IP síťových adres, což vedlo k nadměrnému zaplňování IP tabulek v páteřních směrovačích. Řešením byl CIDR, kdy se odchází od třídního směrování a organizacím se přidělují C bloky, které na sebe navazují a dají se adresově sloučit do jednoho supernerového záznamu. V tomto případě lze výše uvedené organizaci přidělit čtyři C bloky (viz obrázek), čímž se dostaneme k 1022 (nemusí být zcela pravda, záleží to také na dalším procesu segmentace sítě) možným hostům, což znamená téměř nulové plýtvání. Efektivní nasazení CIDRu umožňuje v případě vhodného mapování IP adresového prostoru na topologii sítě provádět i mnohem efektivnější slučování, což významně vede ke snížení počtu záznamů v páteřních směrovačích Internetu. Dlužno říci, že toho lze dnes velice těžko 37

38 dosáhnout, protože jednotlivé ISP (Internet Service Provider) při vzájemném propojování dnes jen minimálně ctí topologickou agregovatelnost IP adresových rozsahů, takže uvedený příklad na obrázku je pouze ukázka ideálního stavu. Použití CIDR agregace Jakým způsobem lze následují IP síťové adresy C bloků vzájemně agregovat do jednoho supernetu. Uveďte IP adresu sítě supernetu a jeho adresu: ŘEŠENÍ s maskou (nebo /21) 38

39 3.11 Privátní a speciální IP adresy Až do tohoto okamžiku jsme diskutovali jen jednu oblast IP adres, kterým se říká veřejné IP adresy. Veřejné IP adresy se mohu běžně vyskytnout ve zdrojové nebo cílové části IP adresy paketu při jeho směrování Internetem. Tyto adresy dnes v pořadích priorit přidělují ISP poskytovatelé služeb, LIR (Local Internet Registry), RIR.V souvislosti se nedostatkem IP adres v roce 1993 se tehdy přišlo na to, že většina koncových stanic, i když měla přidělenou platnou veřejnou IP adresu, jen málo komunikovala s Internetem. Tehdejší poměr provozu 80/20, tj. 80 procent místní provoz a 20 procent provoz vnější do Internetu, přivedl vývojáře k myšlence použít pro přístup na internet menší počet veřejných adres, jež by vnitřní koncová zařízení organizace sdílela. Vznikl tedy princip překladu adres a neveřejný soubor IP adres, který mohou organizace sdílet za předpokladu použití překladu adres (NAT) při komunikace po globální Internet síti. ICANN (RFC 1918) pro tyto účely vyhradila tyto tři rozsahy IP adres sítí: / / /16 Dále existují IP adresy, které plní speciální účel a nelze je tedy přiřadit koncovým stanicím v rámci dané sítě nebo subsítě. Toto je také důvod, proč např. IP síťová adresa /24 umožňuje přiřadit IP adresu jen 254 koncovým zařízením. První adresa v pořadí je , což je adresa sítě jako takové a poslední adresa rozsahu je všesměrová adresa určená pro všechny stanice v dané subsíti. Z celkem 256 možných kombinací IP adres v dané subsíti, nám jim k přiřazení zbývá jen 254. Některé speciální IP adresy jsou tyto. Zpětné rozhraní (loopback interface) všechny IP adresy v rozsahu od většina systémů používá jako IP adresu loopback rozhraní loopback rozhraní je svázáno se jménem localhost IP adresa sítě jako takové je taková IP adresa, ve které jsou na místě bitů HOST_ID vždy nuly např Všesměrové IP adresa (broadcast) všechny bity HOST_ID části jsou nastaveny na 1 např

40 všesměrově adresovaný IP paket je doručen všem stanicím v dané síti (subsíti), někdy se mu říká jako cílený broadcast (directed broadcast) většinou z důvodu bezpečnosti je tento typ všesměrového vysílání na směrovačích zakázán Nulová adresa všechny bajty IP adresy mají hodnotu používá se v IP paketech, pokud stanice nemá ještě přiřazenu IP adresu (BOOTP, DHCP) Jedničková adresa všechny bajty IP adresy mají hodnotu používá se v IP paketech, pokud stanice chce doručit IP datagram všem stanicím v rámci dané lokální sítě LAN 40

41 3.12 Příklad návrhu VLSM IP adresace sítě Na následujícím příkladě si uvedeme systém návrhu VLSM adresace pro konkrétní jednoduchou IP síť podle obrázku. Jak již bylo řečeno, v IP sítích jsou všechna propojení mezi směrovači chápána jako sítě. Toto znamená, že každé rozhraní směrovače musí mít přidělenu jednoznačnou IP adresu, včetně masky sítě (definuje rozsah sítě spojené s tímto rozhraním). Toto platí i pro dvoubodové spojení mezi směrovači, pro něž je typické přiřazení IP susbsítě s maskou /30. Tento rozsah totiž umožňuje přidělení právě dvou IP adres. IP maska /30 znamená možnost přiřazení celkem čtyř IP adres, kde první, což je adresa sítě a poslední, což je všesměrová adresa, nelze použít. Modelová síť se skládá celkem ze sedmi subsítí s různým počtem požadovaných koncových zařízení (uvedeno v závorkách na obrázku). Tento počet již bere do úvahy i potřebnou rezervu do budoucnosti. Příklad adresace IP sítě Našim dalším úkolem bude stanovit také agregovanou IP adresu sítě jako jednoho celku, včetně IP masky. Tato IP adresa bude potom reprezentovat celou síť organizace jako celek ve směrovacích tabulkách Internet směrovačů. Připomeňme, že je vždy cílem dosáhnou toho, aby se síť jedné organizace jevila navenek jako jedna IP adresa s konkrétní maskou. Ne vždy v praxi toho lze optimálně dosáhnout, hlavně tehdy, když se organizačně spojí dvě či více sítí několika firem dohromady. Adresový prostor se nejlépe řeší tabulkově, jak bude naznačeno na následující obrazovce. 41

42 3.13 Tabulka návrhu IP adresového prostoru Vzhledem k požadavkům se přikloníme k systému VLSM (je to náš cíl, viz výše). V procesu návrhu se typicky vychází ze seznamu požadavku kladených na počet koncových zařízení v jednotlivých subsítích řazeného v pořadí od největší IP subsítě směrem dolů, viz obrázek s tabulkou. K požadovanému počtu koncových stanic každé subsítě přičteme ještě IP adresu sítě a IP adresu broadcastu (ty nelze přiřadit koncovým stanicím, ale jsou vždy součástí každé sítě nebo subsítě) a výsledek zaneseme do sloupce s označením BR+ID sítě. Následně nalezneme nejbližší mocninu N, tak aby platilo P N (vše se řídí aritmetikou 2 N IP adresa je binární, i když se zapisuje desítkově). Celková velikost sítě se subsítěmi je dána součtem sloupce nejbližší 2 N a nalezením nejbližšího 2 K tj. v našem případě 454 a K=9 (2 9 =512). Číslo K v tomto případě určuje, kolik bitů zprava IP adresy bude zapotřebí k adresování celé IP sítě. Tabulka adresace Jak je patrní z horního obrázku, jsou zapotřebí pro adresaci celé sítě celkem dva C bloky s maskou /23. Pro realizaci nám tedy byl na žádost ISP nebo RIRem přidělen blok dvou C adres /23. Na následujícím obrázku je následně uvedena tabulka, v níže je proveden souhrn celého postupu a všech navržených sítí. Výsledná tabulka pro blok CIDR 42

43 Vytvořte metodou VLSM adresaci pro IP síť s následujícími požadavky: LAN_1 = 45, LAN_2 = 50, LAN_3 = 250, LAN_4 = 2000, LAN_5 = 700, LAN_6 = 10, LAN_7 = 250, LAN_8 = 120, LAN_9 = 120, LAN_10 = 2, LAN_11 = 2, LAN_12 = 2, ŘEŠENÍ subsíť požadavky adresa podsítě maska podsítě první adresa poslední adresa počet k.st LAN / LAN / LAN / LAN / LAN / LAN / LAN / LAN / LAN / LAN / LAN / LAN / celkem alokováno IP adres: 3996 maska celé sítě: /20 počet C bloků: 16 IP adrese celá výše uvedené sítě bude vypadat - Y.X.mod16.0, kde X - libovolné celé číslo od 0 do 255 (záleží na volném bloku) Y - libovolné celé číslo od 1 do 255 (záleží na volném bloku) mod16 celé číslo bez zbytku dělitelné šestnácti z intervalu včetně nuly <0,240> IP adresace je v IP sítích základem pro směrování, proto každá IP síť musí mít dobře rozvržený adresový prostor. IP adresace je striktně hierarchická se dvěma úrovněmi, identifikací sítě a identifikací koncového zařízení v dané síti. IP adresace se postupně vyvíjela od třídního systému, přes zavedení subsítí a IP 43

44 masky, až pod systémy VLSM a CIDR. Vývoj adresového systému respektoval požadavky zvýšené efektivity využití veřejného IP prostoru, a tak i jeho maximální konzervaci. 44

45 4 Základní principy směrování IP paketů 4.1 Obecné principy směrování v IP sítích Směrování v síti lze realizovat dvěma způsoby. Jedním z nich je soustředit veškeré informace v jednom centru sítě a ty dále distribuovat k jednotlivým směrovačům. Toto řešení se nazývá centrální systém směrování (viz obrázek vlevo). Jeho nevýhoda spočívá v nepružnosti, dále toto řešení představuje problém pro celou síť v případě výpadku centrálního uzlu. Jsou zde kladeny větší technické nároky na centrální prvek a také jsou zde otázky administrativní, kdo bude za správu zodpovědný, atd. Výše zmiňované nedostatky jsou příčinou, že se tento model v praxi vůbec neujal, a že se spíše používá druhý, decentralizovaný model směrování (viz obrázek vpravo), u něhož je na všech směrovačích spuštěný identický směrovací algoritmus. Směrovače vzájemně mezi sebou komunikují a informují se o dostupnosti jednotlivých sítí. Na základě metriky, viz dále, vloží patřičné záznamy do směrovací tabulky a podle nich pak směrovač IP pakety směruje. Principy směrování Výhodou decentralizovaného algoritmu je možnost rozdělit administrativní zodpovědnost mezi více sítí. Decentralizovaný algoritmus je též mnohem robustnější a odolnější proti výpadkům v síti. Jeho nevýhodou je nutnost konfigurace směrovacího procesu na každém směrovači zvlášť a u některých směrovacích protokolů pomalejší reakce na změny v síti. I přes tyto nedostatky je většina dnes používaných směrovacích algoritmů v datových sítích řešena decentralizovaně. 45

46 4.2 Cesta IP paketu sítí, typy síťových sekcí Pakety v IP síti prochází od zdrojového koncového zařízení k cílovému koncovému zařízení po síťové cestě, která je tvořena posloupností směrovačů R 1 až R N, kde N udává celkový počet směrovačů v dané cestě. Směrovače jsou v cestě vzájemně propojené síťovými sekcemi (S). Síťové sekce umožňují propojit buď jen dva směrovače, potom se jedná o síťovou sekci bod/bod, nebo i více směrovačů navzájem, potom se jedná o vícebodovou síťovou sekci, viz obrázek. Směrování je proces, při němž směrovač na základě adresové informace určí, jakým směrem má být IP paket v síti poslán dál. Směrem je v reálném případě myšleno konkrétní rozhraní sítě, přes nějž má být paket poslán dál k následujícímu směrovači. Pokud je přes stejné rozhraní dostupných více směrovačů, jedná se o různé směry. IP adresa následujícího směrovače v cestě se nazývá NEXT_HOP. Pokud rozhraní daného směrovače v cestě popíšeme jako R 1 až R n a všechny další směrovače k němu připojené jako NEXT_HOP 1 až NEXT_HOP m, je směr určen párem <R n,next_hop m >, např. <R 1, NEXT_HOP 3 > je jiný směr než <R 1, NEXT_HOP 2 > nebo <R 2, NEXT_HOP 1 >. Směrovaní a cesta v síti 46

47 4.3 Směrovací tabulka a rozhodovací proces Každý směrovač obsahuje informace o dostupnosti jednotlivých sítí nebo podsítí. Tyto informace jsou uloženy ve směrovací tabulce. Každá dostupná IP síť (nebo i subsíť) nebo jejich skupina (po provedení tzv. agregace) je reprezentována typicky jedním záznamem ve směrovací tabulce, který obsahuje tyto údaje: IP adresu cílové sítě nebo skupiny IP sítí (po agregaci), např IP masku náležející k dané cílové síti (nebo skupině sítí jako celek), např identifikátor rozhraní, přes které je daná síť dostupná IP adresu následujícího směrovače (NEXT_HOP), jemuž se budou dané IP pakety posílat, ten musí být dostupný přes rozhraní uvedené ve třetí položce další dodatečné informace. Příklad výpisu směrovací tabulky je naznačen v tabulce v obrázku. Levý sloupec udává IP adresu sítě, podsítě nebo skupiny sítí, která musí mít na korespondujících bitech masky s log.0 též všechny bity rovné log.0. Ve druhém sloupci je obsažena přidružená maska sítě. Třetí sloupec identifikuje výstupní rozhraní směrovače, přes nějž bude IP paket poslán, pokud dojde k výběru tohoto záznamu. Poslední sloupec obsahuje IP adresy směrovačů (NEXT_HOP), k nimž bude přes dané rozhraní paket poslán. Zmiňovaný příklad směrovací tabulky je jen zjednodušenou verzí skutečné směrovací tabulky, která kromě výše zmiňovaných datových polí může ještě obsahovat dodatečné informace. Formát výpisu obsahu směrovací tabulky není standardizován, takže u každého výrobce může mít výpis poněkud jiný charakter, např. mírně odlišný bude výpis u směrovačů firem Cisco Systems a Juniper Networks. 47

48 Ukázka IP sítě s obsahem směrovací tabulky pro směrovač R1 48

49 4.4 Směrovací proces ve směrovači V okamžiku, kdy směrovač přijme IP paket na libovolném fyzickém rozhraní, použije v něm obsaženou cílovou IP adresu pro vyhledání příslušného záznamu ve směrovací tabulce (ve většině případů tomu tak je, ale nemusí to tak být vždy). Přitom postupně prochází jednotlivé záznamy dle následujícího algoritmu: 1. vezmi první nebo další záznam v tabulce, pokud jsi prošel celou tabulku, přejdi na bod 4) 2. proveď binární bitovou operaci AND mezi síťovou maskou daného záznamu ve směrovací tabulce a cílovou IP adresou paketu 3. výsledek porovnej s IP adresou sítě, která je součástí stejného záznamu jako výše použitá síťová maska: a) pokud dojde ke shodě, našel si jeden z možných směrů, kam by mohl být paket dále poslán. Označ tento záznam jako možného kandidáta a přejdi na bod 1) b) pokud ke shodě nedojde, nic nedělej a přejdi na bod 1) 4. projdi opět všechny dříve označené možné kandidáty a vyber z nich jen ten záznam, u něhož se část IP adresy sítě v daném záznamu ve směrovací tabulce shoduje co do délky nejvíce s cílovou IP adresou paketu. Pokud jsi nenašel žádného možného kandidáta, zahoď daný IP paket a nikam jej neposílej, pokud však ve směrovací tabulce existuje záznam o výchozím směru (default route) použij jej pro směrování IP paketu 5. pošli paket přes rozhraní, které je uvedeno v právě vybraném záznamu, pokud je dané rozhraní typu LAN, pošli specificky IP paket v rámci této LAN sítě na IP adresu označenou v poli další skok (NEXT_HOP) Výchozí záznam ve směrovací tabulce /0 je záznam, který vždy vyhovuje jakékoliv IP adrese cíle. Vzhledem však k nejkratší délce IP masky je tento záznam vybrán jen tehdy, pokud všechny ostatní záznamy ve směrovací tabulce nevyhoví vyhledávacímu kritériu. Směrovací rozhodovací proces je také přehledně naznačen v trochu jiné formě na vývojovém diagramu na obrázku. Jak je patrné z výše uvedeném postupu, směrovací tabulka může obecně obsahovat i více záznamů, pro něž dojde ke shodě po vymaskování v bodech 2 a 3. V tomto případě se ale bere jako platný jen ten záznam, který má ze všech nejdelší masku, protože je nejpřesnější nebo také nejvíce specifický. Tomuto principu se v angličtině říká longest match. 49

50 Vývojový diagram směrovacího procesu 50

51 4.5 Naplnění směrovací tabulky, statické směrování Směrovací tabulka v tomto případě hraje velice důležitou roli. Zatím jsme se však nevěnovali otázce, jakým způsobem se tvoří její obsah. V zásadě existují dvě možnosti: manuální vložení záznamů, automatické vkládání záznamů pomocí směrovacích protokolů či algoritmů. V případě manuálním, je administrátor sítě zodpovědný za vložení daných záznamů ručně. Často se tomuto procesu říká statické směrování, protože manuálně nadefinovaný záznam je v čase neměnný a platný do té doby, než jej administrátor změní nebo zruší. Výhoda statického záznamu spočívá v jeho jednoduchosti. Pokud je však síť velice rozsáhlá s velkým počtem zařízení nebo podsítí, je statická konfigurace velice náročná, neboť je nutné všechny směry na všech směrovačích nakonfigurovat zvlášť, nehledě na fakt, že je možné snadno udělat chybu. Dalším velice omezujícím nedostatkem statického směrování je neschopnost adaptace na dynamicky probíhající změny v topologii sítě. V případně výpadku směrovače nebo datového okruhu je daná staticky definovaná cesta nefunkční. Toto je velmi problematické hlavně u větších sítí, kde již nelze na statické směrování v plné míře spoléhat. Metody naplnění směrovací tabulky 51

52 4.6 Směrovací protokoly Za posledních deset let vznikla celá řada směrovacích protokolů. Některé z nich jsou standardizované a jiné firemní, vyvinuté určitým výrobcem jako např. CISCO Systems, Jupiner, DEC atp. Směrovací protokoly se vzájemně od sebe liší též typem algoritmu, který používají pro svou funkci. Z tohoto pohledu je lze rozdělit do následujících kategorií: vektorové (distance vector protocol), např. RIP (Routing Information Protocol) stavové (link state), přenášející jen změny v síti, např. OSPF (Open Shortest Path First) hybridní, ty jsou v zásadě kombinací obou předchozích, např. EIGRP (Enhaced Interior Gateway Routing Protocol) Každý směrovací protokol bez ohledu na použitý algoritmus a další detaily, musí používat k určení optimální cesty v síti předem daná kritéria. Je zřejmé, že od zdrojové stanice k cílové stanici může v síti existovat několik alternativních cest. K výběru nejoptimálnější cesty je nutné mít o každé k dispozici nezbytné informace, které umožní určit její prioritu vztažmo k cestám zbývajícím. Měřítko, které se používá pro porovnání, zda daná cesta je lepší než druhá, se nazývá metrika. Konkrétní směrovací protokol, např. RIP, používá způsob výpočtu metriky, který se liší od protokolů jiných, např. OSPF. Metrika se vyjadřuje jedním číslem s určitou hodnotou, přičemž pro výběr platí jednoduchá podmínka, prioritní je cesta s nejmenší metrikou, podél níž je tedy k cílové síti nejblíže. I když je metrika jen prosté číslo, do jejího výpočtu může vstupovat více parametrů dané cesty. Přehlede metod plnění tabulky, včetně zapracovaným směrovacích protokolů je uveden na obrázku. Detaily o jednotlivých směrovacích protokolech budou probrány v jiných modulech. Souhrn metod plnění směrovací tabulky včetně směrovacích protokolů 52