Межсетевой экран ССПТ-2 Стек TCP/IP Основные сведения Подгурский Юрий Евгеньевич

Межсетевой экран ССПТ-2 TCP/IP, SPX/IPX

Решение сложных задач Декомпозиция: Разбиение на более простые подзадачи Четкое определение функций Входные и выходные интерфейсы Координация Иерархический подход строгая последовательность связь только со смежным уровнем)

Специфика систем связи: Взаимодействие 2х и более абонентов Территориальная распределенность Разнотипное оборудование Наличие промежуточных устройств Необходимо большое количество согласований (стандартизация)

Многоуровневый подход Потребность объединения разнотипных ЭВМ Разработка идеологической концепции (Многоуровневый подход) Универсальные правила взаимодействия ЭВМ (Принцип открытых систем) Эталонная модель ВОС/МОС, ЭМВОС, ISO/OSI

Бронирование отеля в Бразилии

ISO/OSI Reference Model Application Presentation Session Transport Network Datalink Physical How to transmit signal: Coding Two party communication: Ethernet Routing, Addressing: IP End-to-end communication: TCP File transfer, , Remote Login ASCII Text, Sound Establish/manage connection 1 2 3

Эталонная модель взаимодействия открытых систем (ISO/OSI)

Эталонная модель ISO/OSI Единый перечень понятий Единый способ расщепления функций Единые правила – совместимость Независимые модули – модификация

Гибридная модель

Физический уровень Во всех устройствах сети Физическая среда, дальность, скорость, кодирование, уровни сигналов, разъемы Аппаратная реализация (сетевые адаптеры) 10 BaseT - UTP кат 3, 100 ом, 100м, 10Мбит/c, Манчестерский код, RJ-45

Канальный уровень Управление доступом к среде (МАС) Обработка ошибок (Кадры, контрольная сумма, повторная передача) Адресация Управление потоком Хосты, мосты, коммутаторы, маршрутизаторы Хост : Сетевые карты + драйверы LAN: Ethernet, Token Ring, FDDI (типовые топологии) WAN: точка-точка, PPP, LAP-B

Сетевой уровень Сеть - типовая топология, стандартный канальный протокол, один администратор Внутри сети – канальный уровень Между сетями – сетевой уровень Маршрутизация, Согласование технологий Адресация (сеть – хосты c единым номером сети) Программный модуль ОС, ПО маршрутизатора IP, IPX

Транспортный уровень Протоколы END-to-END Качество передачи (достоверность, очередность) Управление передачей Мультиплексирование ПО хоста TCP, UDP, SPX

Сеансовый уровень Управление диалогом Установление/разъединение соединения Синхронизация (точки отката) ПО хоста Обычно совмещается с транспортным или прикладным уровнем

Представительский уровень Унификация формы представления информации Шифрация SSL Обычно совмещается с прикладным уровнем

Прикладной уровень Доступ к распределенным ресурсам Большое число протоколов HTTP. FTP, NFS, SMTP, Telnet…

Модель протоколов TCP/IP Прикладной Транспортный Межсетевой Канальный

Модель протоколов IPX/SPX

Модель взаимодействия двух узлов Конечная система Конечная система Промежуточные системы Коммутатор Маршрутизатор Хаб

Взаимодействия двух компьютеров в одной ЛВС

Взаимодействие компьютеров различных ЛВС, связанных через маршрутизатор

Инкапсуляция данных на передающей стороне

Демультиплексирование на различных уровнях

Форматы кадров Ethernet

тип 0800 IP датаграмма тип 0806 ARP запрос/отклик PAD тип 0800 IP датаграмма тип 0806 ARP запрос/отклик PAD адрес назначения адрес источника типданныеCRC адрес назначения адрес источника длина DSAP AA SSAP AA org code 00 cntl 03 типданныеCRC Ethernet инкапсуляция (RFC 894): байт IEEE 802.2/802.3 Инкапсуляция (RFC 1042): MAC802.2 LLC802.2 SNAP

LAN на коммутаторах

VLAN на одном коммутаторе Группировка портов

VLAN на нескольких коммутаторах с группировкой портов

IEEE 802.1Q Tagged Frame for Ethernet

Классы IP сетей Формат IP адреса – 32 бита, 4 октета Пример номер сети0номер узла Класс А номер сети10номер узла Класс B номер сети110номер узла Класс C групповой адрес1110 Класс D Зарезервирован11110 Класс E

Диапазоны номеров сетей различных классов КлассНаименьший адресНаибольший адрес A B C D E

Специальные IP-адреса IP-адресМожет указыватьОписание N сетиN узлаИсточникПриемник 00ДаНетАдрес узла, сгенерировавшего пакет 0NДаНетАдрес узла той же сети 127любойДа Loopback (b) НетДаОграниченный широковещательный алрес NНетДаШироковещательный адрес в сети N Адреса для частных сетей Класс А (1) (10/8 prefix) Класс В (16) (172.16/12 prefix) Класс С (255) ( /16 prefix)

Адресация подсетей Подобное разделение позволяет создать 256 подсетей по 254 хоста в каждой Пример разделение на подсети адреса класса B.

Маска подсети Маски двух различных подсетей класса B.

Использование масок для структуризации сети Адрес класса В Маска Подсети

Маски разной длины Сеть N IP Маска Маска Подсеть N /25 Подсеть N / N! N2 Подсеть N /26 Маска Подсеть N /26 Маска N2 : Маска N

Формат IP-пакета версии IPv4 13-бит смещение фрагмента

Флаги TOS (Type Of Service) Три младших бита (Precedence) определяют приоритет дейтаграммы: управление сетью (максимальный приоритет) – обычная передача(минимальный приоритет) Биты D,T,R,C определяют желаемый тип маршрутизации: D (Delay) - минимальная задержка, T (Throughput) - максимальная пропускная способность, R (Reliability) - максимальная надежность, C (Cost) - минимальная стоимость. В дейтаграмме может быть установлен только один из битов D,T,R,C. Старший бит байта не используется.

Протокол разрешения адресов (ARP/RARP) A X B Y A X B Y ARP- запрос - широковещательная посылка (IP-addr, MAC-address=?) ARP-ответ (IP-addr, MAC-addr)

Формат пакета ARP/RARP

Протокол обмена управляющими сообщениями ICMP Инкапсуляция ICMP сообщений в IP- датаграммы ICMP сообщение

Типы сообщений ICMP

Формат UDP-пакета

Назначение номеров портов Централизованно (IANA) Локально (Разработчик) Динамическое(ОС) N порта - Id прикладного процесса в узле Прикладной уровень - (клиент-сервер) Серверные порты-Клиентские порты (0-1023) - Зарезервированные (сервисы) >1023 – свободные (клиентские) ОС UNIX - файл /etc/services.

MUX/DMUX потоков

Порты TCP/UDP ftp-data20/tcpFile Transfer [Default Data] ftp 21/tcpFile Transfer [Control] ssh 22/tcpSSH Remote Login Protocol telnet 23/tcpTelnet smtp 25/tcpSimple Mail Transfer Protocol domain 53/udpDomain Name Server finger 79/tcp http80/tcpWorld Wide Web HTTP(8000,8080) pop3 110/tcpPost Office Protocol( Ver 3) auth113/tcpident tap #Authentication Service nntp 119/tcp#Network News Transfer Protocol netbios-ns 137/udpNETBIOS Name Service netbios-dgm138/udpNETBIOS Datagram Service netbios-ssn139/udpNETBIOS Session Service imap4143/tcpInterim Mail Access Pr v4 snmp 161/udpSNMP printer515/tcpspooler printer515/udpspooler nfsd 2049/tcpnfs # NFS server daemon nfsd 2049/udpnfs # NFS server daemon squid3128/tcp# Proxy server x116000/tcp# are assigned to X Window System font-service 7100/tcp#X Font Service

Формат TCP-сегмента

Установление TCP соединения AB SYN, ISN ACK, SYN, ISN ACK ACK, данные A B ok! + запрос B A запрос A B B A ok!

Программа Ping Формат ICMP сообщения для эхо запроса и эхо отклика C:\ >ping yandex.ru Обмен пакетами с yandex.ru [ ] по 32 байт: Ответ от : число байт=32 время=127мс TTL=23 Время ожидания запроса истекло. Ответ от : число байт=32 время=14мс TTL=23 Статистика Ping для : Пакетов: послано = 4, получено = 3, потеряно = 1 (25% потерь), Приблизительное время передачи и приема: наименьшее = 14 мс, наибольшее = 127 мс, среднее = 38 мс

Программа Traceroute UDP – N порта приемника > (не сущ) 1. TTL=1 ( ICMP - time exceeded, адр. ист. - IP адрес 1-го маршрутизатора) 2. TTL=2 ( ICMP - time exceeded, адр. ист. - IP адрес 2-го маршрутизатора) … n TTL=n (ICMP - port unreachable, адр. ист.- IP-адрес хоста назначения). Для каждого значения TTL - 3 датаграммы

Средства анализа пакетного трафика Утилита Tcpdump (Windump)

Формат вывода TCPDUMP tcpdump -e -n 09:11: :0:c0:6f:2d:40 ff:ff:ff:ff:ff:ff arp 60: arp who-has tell :11: :0:c0:c2:9b:26 0:0:c0:6f:2d:40 arp 60: arp reply is-at 0:0:c0:c2:9b: tcpdump –e 09:11: :0:c0:6f:2d:40 0:0:c0:c2:9b:26 ip 60: bsdi.1530 > svr4.578: S : (0) win 4096 [tos 0x10] 09:11: :0:c0:c2:9b:26 0:0:c0:6f:2d:40 ip 60: svr4.578 > bsdi.1530: S : (0) ack win :11: :0:c0:6f:2d:40 0:0:c0:c2:9b:26 ip 60: bsdi.1530 > svr4.578:. ack 1 win 4096 [tos 0x10] > > >

Вывод TCPDUMP Tcpdump -n 13:40: arp who-has tell :40: arp reply is-at 0:c:6e:5f:f:bc 13:40: IP > : : (1) ack win (DF) 13:40: IP > :. ack 0 win 0 (DF) 13:41: IP > : igmp v2 report :41: IP > : S : (0) win (DF) 13:41: IP > : S : (0) ack win 5840 (DF)

Команда ipconfig /all

Команда ifconfig /all

Команда nslookup

ARP- таблица Команда arp -a