LAN

A LAN/MAN interfészek hálózati rétege - Az IP (Internet Protocol)

Az IP (Internet Protocol)

A protokollt leíró ajánlás, szabvány elemei:

RFC 760, 762, 791

Szolgálatok, fő jellemzők:

hálózati réteg protokoll, csomagkapcsolt hálózatot valósít meg.
összeköttetésmentes (datagram) protokoll
hibadetektálás, hibajavítás nincs
fragmentálás, reassembly
verziók: IPv4, IPv6

          bytes (20)   from basic MAC and tagged MAC
              +--------------------------------+
            1 | Verzió (4bit)  - IHL (4bit)    |  45  (5x32 bit) min hossz:5
              +--------------------------------+
            1 | Szolgálattípus                 |  00
              +--------------------------------+
            2 | Total length                   |  05DC = 1500 bytes
              | network order: első byte msb   |  max. length: 65536 bytes
              +--------------------------------+
            2 | Identification                 |  abcd = 43981
              +--------------------------------+
            2 | flag (3 bit) +                 |  00 00
              | fragment offset (13 bit)       |
              +--------------------------------+
            1 | élettartam                     |  00
              +--------------------------------+
            1 | protokoll                      |  04  továbbított (szállítási) protokoll (0x06 - TCP, 0x11 - UDP) kódok: RFC 790
              +--------------------------------+
            2 | IP header checksum             |  0bb5
              +--------------------------------+
            4 | source IP address              |  01010102
              +--------------------------------+
            4 | destination IP address         |  02020202
              +--------------------------------+
            4 | options (3byte) padding (1byte)|
              +--------------------------------+

An example:

      DLC:
IP: ----- IP Header -----
      IP:
      IP: Version = 4, header length = 20 bytes  (5x32 bit)
      IP: Type of service = 00
      IP:       000. ....   = routine
      IP:       ...0 .... = normal delay
      IP:       .... 0... = normal throughput
      IP:       .... .0.. = normal reliability
      IP:       .... ..0. = ECT bit - transport protocol will ignore the CE bit
      IP:       .... ...0 = CE bit - no congestion
      IP: Total length    = 1500 bytes
      IP: Identification  = 43981
      IP: Flags           = 0X
      IP:       .0.. .... = may fragment
      IP:       ..0. .... = last fragment
      IP: Fragment offset = 0 bytes
      IP: Time to live    = 15 seconds/hops
      IP: Protocol        = 4 (IP Multicast)
      IP: Header checksum = 0BB5, should be F44A
      IP: Source address      = [1.1.1.2]
      IP: Destination address = [2.2.2.2]
      IP: No options
      IP:

0000:                                          |45 00   20 byte
0010: 05 dc ab cd 00 00 0f 04 0b b5 01 01 01 02 02 02
0020: 02 02 |˙˙˙˙˙˙˙˙˙˙˙

source address, destination address: Egyedi (unique) hálózati cím. Ilyen címmel rendelkeznek:

eszközök (router, switch, computer)
szerverek (NTP, DNS, DHCP, SNMP)
printer, fax, telefon

IP címek menedzselése:

Internet Assigned Numbers Authority (IANA)
Regional Internet Registries
Internet Service Providers (ISP)

Címzési módok:

Unicast
Broadcast
Multicast
Anycast

IPv4 cím (4 oktett): a.b.c.d

IP cím osztályok:

Hálózat méret Osztály MSB (bin) első oktett Net Id. Host Id.
nagy A 0 1-126 a (7 bits) b.c.d (24 bits)
közepes B 10 128-191 a.b (14 bits) c.d (16 bits)
kicsi C 110 192-223 a.b.c (21 bits) d (8 bits)

Hálózat méret	Osztály	MSB (bin)	első oktett	Net Id.	Host Id.
nagy	A	0	1-126	a (7 bits)	b.c.d (24 bits)
közepes	B	10	128-191	a.b (14 bits)	c.d (16 bits)
kicsi	C	110	192-223	a.b.c (21 bits)	d (8 bits)

MSB 111 escape to extended addressing mode
első oktett: 224 - multicast
első oktett: 127 - internal op. testing
Privát IP címek (az ilyen címmel rendelkező eszközök közvetlenül nem csatlakoznak a külvilághoz):

Hálózat méret Osztály címtartomány
nagy A 10.0.0.0 - 10.255.255.255
közepes B 172.16.0.0 - 172.31.255.255
kicsi C 192.168.0.0 - 192.168.255.255

Hálózat méret	Osztály	címtartomány
nagy	A	10.0.0.0 - 10.255.255.255
közepes	B	172.16.0.0 - 172.31.255.255
kicsi	C	192.168.0.0 - 192.168.255.255

Címtartomámy jelölése: Pl. 192.168.0.0 - 192.168.0.255 (192.168.0.0/24)

Az IPX (Internet Package Exchange (Novell))

Az IPX a Novell által kifejlesztett az IP-vel rokon protokoll.

Említésre azért kerül mert az ADSL hálózatban a LINUX router nem routolja ezt a protokollt.

A NAT (Network Address Translation)

RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)

A nevéből következően a NAT egy hálózati címeket cserélő protokoll. A bevezetésének főbb okai a az IP-címtér kimerülésének lassítása és a biztonsági megfontolások. A NAT egy aktív hálózati építőelem, amelyet tipikusan border routerben vagy tűzfalban helyezünk el. A NAT megvizsgál minden rajta keresztül menő IP csomagot, ezeket megváltoztatva vagy változtatás nélkül továbbítja vagy eldobja. A tűzfal és az útválasztó elemekkel összevetve az előbbihez hasonlít inkább, még abból a szempontból is, hogy van belső és külső oldala, ugyanakkor a tűzfalaktól eltérően a NAT a csomag megváltoztatására is képes. A változtatás az IP fejlécet (illetve esetleg a szállítási protokoll fejlécét) érinti. Általánosan azt is mondhatjuk, hogy a belső oldalon levő IP-címtér és TCP/UDP portszám-tér és a külső oldalon rendelkezésre álló IP-címtér és TCP/UDP portszám-tér között kölcsönös összerendeléseket végez. A kifelé menő csomagban a forráscímet (és esetleg a portszámot) változtatja meg, míg a befelé érkező csomagban a célcímmel (és esetleg portszámmal) teszi ugyanezt. Az IP-címtér kimerülést úgy lassítja, hogy nemnyilvános IP-tartományokat a belső oldalon használjuk, míg kívül egy, a belső kisebb tartományt használva tudjuk az Internetet elérni. Másrészről a virtuális magánhálózatok számára egy természetes védelem, hogy a belső oldalon elhelyezett eszközök és szolgáltatások nem címezhetők meg és ezáltal nem érhetőek el kívülről. A NAT-ot elterjedten alkalmazzák SOHO (Small Office, Home Office) környezetben, hiszen itt az Internet alapvetően DSL-hálózaton vagy CATV (Community Antenna Television - kábeltelevízió)-hálózaton keresztül érhető el, ahol a szolgáltató is használ NAT-ot és az előfizetői hurok végén az IP-hozzáférés továbbosztására is használatos. A fenti tulajdonságok azonban sok esetben hátrányosak lehetnek. Például:

A NAT akadályozhatja, illetve meggátolhatja a VoIP-összeköttetések kiépítését a külső és a belső oldal között. Megoldás lehet a STUN (Simple Traversal of UDP through NATs - RFC 3489) vagy az ALG (Application Level Gateway) használata.
Hasonlóan az IPSec működését is jelentősen megnehezíti, megoldás lehet az "IPSec - Network Address Translation (NAT) Compatibility Requirements" (RFC 3715).
A NAT minden csomagot megvizsgál, tehát együtt kell skálázódnia a rendelkezésre álló sávszélességgel.
Ha egy mobil eszközt a NAT-on kívül akarunk használni, akkor nehézségekbe ütközünk. Megoldások lehetségesek, elsosorban "home agent"-ek alkalmazásával.
Az eszközök azonosítását végző szolgáltatások (SNMP, DNS) csak bonyolult konfigurációt kívánnak.

Hogyan használjuk a NAT-ot a ZyXEL ADSL modem és WLAN router esetén?

A NAT funkció bekapcsolásakor a modemben egyidejűleg beállíthatjuk az alapvető működési módot. Azért használjuk itt a beállítás kifejezést a kiválasztás helyett, mert a igazából az adott lehetőségeknek megfelelő módot fogjuk használni, nem pedig azt, amit szabadon választanánk. A ZyXEL modemben két lehetőségünk van: a "SUA Only" (Single User Account) módot kell megjelölnünk, ha egy publikus IP számot használhatunk csak a NAT külső oldalán vagy abban az esetben, ha a belső oldalon olyan szerver található, aminek szolgáltatásait a külső oldali felhasználók vagy alkalmazások számára is elérhetővé szeretnénk tenni. A "Full Feature" módot abban az esetben választhatjuk, ha több nyilvános IP-cím is rendelkezésünkre áll. Mindkét opció mellett a részletek további specifikálására is lehetőségünk van ("Edit details").

A SUA Only esetben a további specifikáció leginkább a szerver(ek) jelenléte esetén érdekes. Ha nincs szerver, akkor biztonsági megfontolásokból meghatározhatjuk azt a portszámtartományt, amelyen belül engedélyezzük a forgalmat. Server mód használata esetén bizonyos portszámtartomány(ok)ra érkező kéréseket be kell engednünk a NAT-on belülre. Ebben az esetben a "Server Set" szerkesztésével megadhatjuk, hogy melyik portszámtartományban érkező kérést melyik belső IP számra továbbítjuk, vagyis belül több szerverünk is lehet, amelyek kívül ugyanazon a címen látszanak.

A SUA Only mód választása esetén a One-to-One vagy a Many-to-One leképezést használjuk. Utóbbi esetében tulajdonképpen NAPT (Network Address Port Translation) történik, vagyis a külső oldalon egy IP számra map-peljük le a belső oldalról érkező csomagokat olyan módon, hogy különbözo portszámokat rendelünk a különbözo lokális IP számokhoz. Ezt a NAT automatikusan végzi, mint ahogy a válaszként érkező csomagok újracímzését is. Full Feature mód választása esetén az Address Maping Rules - a Címleképezési Szabályok szerkesztése történhet. Itt sorszámozott szabályhalmazban írhatjuk le, hogy milyen lokális IP-címtartományt milyen globális IP-címtartományra képezünk le. A leképezés típusát is meg kell adnunk. A tartományok lehetnek egyeleműek is, így az összes leképezési típus (One-to-One, Many-to-One, Many-to-Many Overload, Many-to-Many no Overload, Server) egyaránt megadható.

Megjegyzendő, hogy NAT táblák létrehozása a terminológia eltérésétől eltekintve mindenhol haszonló elven működik.

Source Computer	Source Computer's IP Address	Source Computer's Port	NAT Router's IP Address	NAT Router's Assigned Port Number
A	192.168.32.10	400	215.37.32.203	1
B	192.168.32.13	50	215.37.32.203	2
C	192.168.32.15	3750	215.37.32.203	3
D	192.168.32.18	206	215.37.32.203	4