IP-A d re ssen w e rden kn app... IP-Subne tze IP
Werbung
emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK Host Router können durch Kombination einer IP-Adresse und einer Subnetz-Maske ermitteln, in welches Teilnetz ein Paket geschickt werden muss. Subnet • Network ellokotorpsnoitakinummoK :2 letipaK alle Hosts eines Netzes sollten die gleiche Subnetz-Maske haben 10 11111111111111111111110000000000 331 etieS • SubnetzMaske Host eine Subnetz-Maske identifiziert die „missbrauchten“ Bits • Network einige Bits der Rechner-Adresse werden als Netzwerk-ID genutzt • Class BAdresse mit einer IP-Netzwerk-Adresse können mehrere physikalische Netze adressiert werden • IP-Subnetze 131 etieS Aber: Der Erfolg von IPv6 ist keineswegs sicher! (Die flächendeckende Einführung von IPv6 ist ungeheuer schwierig: Interoperabilität, Kosten, Migrationsstrategien, ....) ⇒ IP Version 6 hat 128 Bit-Adressen ⇒ 7 x 1023 IP-Adressen pro Quadratmeter der Erdoberfläche (incl. der Ozeane!) ⇒ eine Adresse pro Molekül auf der Erdoberfläche! Erweiterung des Adressraums bei IPv6 gegenüber der aktuellen Version IPv4 Lösungsversuch Beispiel: wenn 500 Geräte in einem Unternehmen angeschlossen werden sollen, braucht man eine Class B-Adresse, die unnötigerweise mehr als 65.000 Nutzeradressen blockiert. Internet des Rest Aller Verkehr für 128.10.0.0 Ethernet B Host . 255 . 225 00001100 AND 11100010 . 0 IP-Adresse 00010101 . 226 . 12 . 0 Der Router berechnet das Subnetz ‘137.226.12‘ und sendet das Paket an den Router, der dieses Teilnetz anschließt. Netzwerk des bezeichneten Hosts 1000 1001 1110 0010 0000 1100 0000 0000 137 Subnetz-Maske 1111 1111 1111 1111 1111 1111 0000 0000 255 0111 1000 10001001 Der Eingangs-Router der RWTH, der das IP-Paket empfängt, weiß nicht, wo sich der Host ‘12.21‘ befindet. . 12 . 21 137 . 226 IP-Subnetze - Berechnung des Zielhosts Ethernet B Host 128.10.2.133 128.10.2.18 Ethernet B Host 128.10.2.3 Ethernet B 128.10.2.0 128.10.2.1 Router 128.10.1.8 128.10.1.70 128.10.1.26 Ethernet Ethernet A A Host Host Ethernet A Host 128.10.1.3 Ethernet A 128.10.1.0 Beispiele für Subnetze: Subnetz-Maske 255.255.255.0 ellokotorpsnoitakinummoK :2 letipaK • Ineffiziente Nutzung des Adressraums. 431 etieS • Allzu viele Class-A-Adressen wurden in den ersten Internetjahren vergeben. Problem: Class C-Netze sind sehr klein, Class B-Netze oft aber schon wieder zu groß. Daher gibt es die Möglichkeit, ein durch die IP-Adresse identifiziertes Netz in sogenannte Subnetze zu zerlegen. emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK Probleme • Niemand hatte mit einem derart starken Wachstum des Internet gerechnet (sonst hätte man von Anfang an längere Adressen definiert). IP-Subnetze 231 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL IP-Adressen werden knapp... emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL 2 . 35 . 210 . 255 . 0 . 0 IP-Adresse . 2 . 0 . 0 emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK 731 etieS ellokotorpsnoitakinummoK :2 letipaK • Beispiel: 137.250.3/17: Die ersten 17 Bit der IP-Adresse werden für die NetzwerkIdentifikation verwendet • Einsatz in Verbindung mit Routing: Backbone-Router, z.B. an Transatlantik-Link, betrachtet z.B. nur die ersten 13 Bit; dadurch kleine Routing-Tabellen, wenig Rechenaufwand • Router eines ISP betrachtet z.B. nur die ersten 15 Bit • Router in Firmennetz betrachtet z.B. nur die ersten 25 Bit Trennung von starrer Klasseneinteilung durch Ersetzen der festen Klassen durch Netzwerk-Präfixe variabler Länge Abhilfe: Classless Inter-Domain Routing (CIDR) Problem: starre Klasseneinteilung Flexiblere Adressierung 531 etieS Der Router weiß nun, dass die beiden letzten Byte den Zielrechner direkt bezeichnen. Netzwerk des bezeichneten Hosts 0111 1000 0000 0010 0000 0000 0000 0000 120 Subnetz-Maske 1111 1111 1111 1111 0000 0000 0000 0000 255 AND 0111 1000 0000 0010 0010 0011 1101 0010 . 137.226.112.0 254 Rechner pro Subnetz: • Rechner haben die Adressen 1 – 254 • Die 0 ist für das Subnetz selbst reserviert • Die 255 ist für Broadcast im Subnetz reserviert 137.227.10.0 Andere Schreibweise für Adressen in Subnetzen: 137.226.12.221/24 Subnetzmaske für jedes Teilnetz = 255.255.255.0 137.226.8.0 137.226.12.0 InfoIV • Nur Router, die an die Außenwelt angeschlossen sind, benötigen eine globale Adresse • Vergabe einer einzigen (oder einiger weniger) IP-Adressen an eine Firma • Intern verwendet jeder Rechner eine eigene IP-Adresse. Dazu sind 'private' Adressbereiche reserviert worden, die jeder innerhalb seiner eigenen Netze verwenden darf und die nie im Internet geroutet werden: • 10.0.0.0 10.255.255.255 • 172.16.0.0 172.31.255.255 • 192.168.0.0 192.168.255.255 • Bei Verlassen des eigenen Netzes findet eine Adressumsetzung statt • Problem: wie kann die Rückübersetzung in die interne IP-Adresse stattfinden? NAT – Network Address Translation ellokotorpsnoitakinummoK :2 letipaK 120 Zugeteilte Netzwerkadresse für die RWTH 137.226.0.0 831 etieS Keine Aufteilung in Subnetze, es liegt ein großes Class-B-Netz vor: Beispiel für ein Subnetz emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL IP-Subnetze - Berechnung des Zielhosts 631 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL 1066 1500 TCP 198.60.42.12 137.226.12.221 198.60.42.12 207.17.4.21 10.0.0.1 1066 10.5.3.7 1500 ellokotorpsnoitakinummoK :2 letipaK – Möglichkeiten zur Fortentwicklung des Protokolls – Reduzierung des Umfangs der Routingtabellen – Vereinfachung des Protokolls, um eine schnellere Abarbeitung zu gewährleisten – Unterstützung von Mobilität (Hosts können ohne Adressänderung auf Reisen gehen) – Mehr Gewicht für Dienstarten, insbesondere für Echtzeitanwendungen – Sicherheitsmechanismen (Authentifikation und Datenschutz) – Bessere Unterstützung der Echtzeitanwendungen – Dramatisch anwachsender Bedarf für neue IP-Adressen Warum ein Wechsel, wenn IPv4 gut funktioniert? 80 21 141 etieS IPv6 emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK TCP Port (Ziel) größerer Adressraum mehr Sicherheit IPv4 (September 1981, RFC 791) – IHL: überflüssig, keine Optionen mehr – Protocol, Fragmentierung: überflüssig, wird durch Optionen mit abgedeckt – Checksum: Handhabung durch Schicht 2 und 4 • Einfacher Header: – Authentifizierung und Privacy • Sicherheitsmaßnahmen – Markieren von Paketen für speziellen Verkehr • Unterstützung der Reservierung von Ressourcen – Anycast Address: Erreiche irgendeinen von mehreren • Verbesserung der Adressflexibilität – Dynamische Zuordnung von IPv6-Adressen • Autokonfiguration von Adressen – Vereinfacht und beschleunigt die Verarbeitung von IPv6-Paketen für Router • Verbesserter Optionsmechanismus – 128-Bit-Adressen (8 Gruppen zu je 4 Hexadezimal-Zahlen) • Adressgröße IPv6 - Eigenschaften ellokotorpsnoitakinummoK :2 letipaK IP (Ziel) 241 etieS 931 etieS Protokoll Port (lokal) IP (lokal) Port (global) IP (global) Migrationstrategien bessere Performance einfachere Konfiguration mehr Automatismus . einfachere Struktur der Header 1. Anforderungen für IPng (Dezember 1993, RFC 1550) Spezifikation für IPng (Dezember 1994, RFC 1726) 1. Veröffentlichung des Standards (Januar 1995, RFC 1752) IPv6 (Dezember 1995, RFC 1883) Das neue IP - IPv6 emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL NAT – Network Address Translation 041 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL 8 Type of Service 16 Header Checksum Fragment Offset Total Length ellokotorpsnoitakinummoK :2 letipaK 32 Der IPv6-Header ist zwar länger, doch dies liegt nur an den längeren Adressen. Ansonsten ist er ‚besser sortiert‘ und im Router einfacher abzuarbeiten. DATA Options (variable) / Padding Destination Address Source Address Protocol Identification IHL Time to Live Version 4 Version 4 16 Next Header Flow Label NextHeader / DATA Destination Address Destination Address Destination Address Destination Address Source Address Source Address Source Address Source Address PayloadLen Priority 8 Hop Limit 32 541 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK IPv4 vs. IPv6: Header HopLimit (24) 32 341 etieS Das Präfix einer Adresse charakterisiert geographische Bereiche, Provider, lokale interne Bereiche, ... Next header/data DestinationAddress SourceAddress NextHeader PayloadLen 24 FlowLabel 16 PrioVersion (4) rity (4) 8 • Zieloptionen (Zusatzinformationen für das Ziel) • Verschlüsselte Sicherheitsdaten • Authentifikation (des Senders) • Fragmentierung (Verwaltung von Fragmenten) Unterschied zu IPv4: Nur die Quelle kann eine Fragmentierung vornehmen. Router, für die ein Paket zu groß ist, schicken eine Fehlermeldung an die Quelle. • Routing (Definition einer vollen oder teilweise festgelegten Route) • Hop-by-Hop (Informationen für Teilstrecken) Alle Router müssen dieses Feld prüfen. Momentan definiert ist nur die Unterstützung von Jumbogrammen (Längenangabe). Optionale Angaben folgen in Erweiterungs-Headern. Davon sind 6 definiert: • • • • VPN Unter einem virtuellen privaten Netz (VPN) wird eine Netzinfrastruktur verstanden, bei der Komponenten eines privaten Netzwerkes über ein öffentliches Netz (z.B. Internet) miteinander kommunizieren. VPNs werden häufig zur Verbindung geographisch verteilter Organisationen eingesetzt (Intranet im Internet). VPNs gewährleisten einen authentifizierten Zugriff und erlauben durch Verschlüsselung, den Schutz von sensiblen Daten in verteilten Netzen sicherzustellen. Die logische Verbindung zwischen privaten Komponenten über ein öffentliches Netz hinweg wird durch die Tunneling-Technik erreicht. Virtual Private Network (VPN) ellokotorpsnoitakinummoK :2 letipaK 4 641 etieS 1 emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK • Version: 4 Bit IP Version Nummer. • Priority: 4 Bit für Priorität. 1 - News, 4 FTP, 6 - Telnet, 8 bis 15 - Echtzeitverkehr. • FlowLabel: virtuelle Verbindung mit bestimmten Merkmalen/Anforderungen • PayloadLen: 16 Bit Unsigned Integer. Paketlänge nach dem 40-Byte-Header • NextHeader: 8 Bit Selektor. Gibt den Typ des folgenden Erweiterungs-Headers an (oder den Transport-Header) • HopLimit: 8 Bit Unsigned Integer. Dekrementiert bei jedem Knoten. Bei Null wird das Paket verworfen • SourceAddress: 128 Bits. Die Adresse des ursprünglichen Senders des Pakets • DestinationAddress: 128 Bits. Die Adresse des Empfängers (nicht unbedingt das endgültige Ziel, wenn es einen Optional Routing Header gibt) IPv6 Erweiterungs-Header 441 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL IPv6 Haupt-Header emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL ellokotorpsnoitakinummoK :2 letipaK Tunneling: Nutzung einer Netzinfrastruktur zum gesicherten Transfer von Daten von einem Netzwerk zu einem anderen. Die transportierten Daten sind Pakete, die zusätzlich gekapselt und geschützt werden. Tunneling-Technik 741 etieS emetsyS etlietrev dnu noitakinummoK 4 kitamrofnI rüf lhutsrheL