TIETOKONEVERKOT 2 päivää / 12 h 28.01.2004 Janne Hapuoja, TAMK / Tietokonekeskus TAMKin tietoverkon ylläpitäjä puh. 2647269 janne.hapuoja@tamk.fi Copyright Janne Hapuoja TAMK

- luennot - laitteistodemot - ohjelmistodemot Kurssin toteutus - luennot - laitteistodemot - ohjelmistodemot

Materiaali - luentomonisteet - luentomuistiinpanot - Helkamakaapeli: Flashcord 2001 Copyright Janne Hapuoja TAMK

SISÄLTÖ - yleistä - standardeja - osi-malli - vuoronvaraus - kaapelointi - ethernet-kehys - verkkojen yhdistäminen - langattomat verkot internet protokolla DNS WINS NAT Palomuuri

Kehitys kohti verkottumista Yleistä Kehitys kohti verkottumista 1. isokoneaika + yhteiset sovellukset sovellusten ylläpito reaaliaikainen - jaettu suorituskyky

2. pc-aika + jakamaton suorituskyky - ei yhteisiä sovelluksia sovellusten ylläpito ei reaaliaikainen

Tampereen ammattikorkeakoulu 2003 3. verkkojen aika + yhteiset sovellukset sovellusten ylläpito reaaliaikainen jakamaton suorituskyky - virukset tietoturva Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Termejä Lähiverkko, LAN, Local Area Network Kaupunkiverkko, MAN, Metropolitan Area Netvork Laajaverkko, WAN, Wide Area Network Topologia: - kertoo kuinka koneet liittyvät verkkon suhteessa toisiinsa - saman verkon fyysinen ja looginen topilogia voivat poiketa toisistaan Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Yhteys Yhteydellinen, esim. puhelinyhteys - kuluttaa kaistaa koko yhteyden ajan riippumatta siitä siirretäänkö tietoa vai ei Yhteydetön, esim. tavallinen kirje ja tekstiviesti - kuluttaa kaistaa vain silloin kun tietoa oikeasti siirretään Tietokoneverkoissa yhteydettömän yhteyden päällä on usein loogisesti yhteydellinen yhteys Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Bitti ja Byte Tiedonsiirtonopeuden yksikkö on BITTIÄ/SEKUNTI Tietokoneen levystä ja rammista puhuttaessa yksikkö on BYTE eli tavu joka on kahdeksan bittiä Tehtävä: Kauanko kestää 100 Megan tiedoston siirtäminen kahden koneen välillä jos tiedonsiirtonpeus on 10 Megaa? Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ratkaisu: Siirrettävä data on 100 Mtavua x 8 bittiä = 800 Mbittiä Tiedonsiirtonopeus on 10 Mbit/s Siirtoon kuluva aika on 800Mbit / 10 Mbit/s = 80 s Todellisuudessa aika olisi noin 90 s, koska kehysrakenteissa liikkuu aina myös osoite ym. ohjaustietoa ja siten siirrettävää tietoa on enemmän kuin pelkkä data. Tampereen ammattikorkeakoulu 2003 Copyright Janne Hapuoja TAMK

Tampereen ammattikorkeakoulu 2003 LÄHIVERKKOJEN STANDARDEJA, IEEE 802-sarja 802.1 Osoitteisto, yhdysliikenne ja arkkitehtuuri 802.2 Siirtoyhteyden ohjaus 802.3 Kuulostelu- ja törmäyksentunnistusväylä (CSMA/CD) 802.4 Vuoroväylä (Token Bus) 802.5 Vuororengas (Token Ring) 802.6 Alueverkko (MAN) 802.7 Laajakaistaverkko 802.8 Valokuidun käyttö lähiverkoissa 802.9 Puheen ja kuvan integrointi lähiverkoissa 802.10 Lähiverkkojen tietoturva 802.11 Langattomat lähiverkot Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Kerrosrakenne / rajapinta-periaate Kerros N+1 protokolla 1 protokolla 2 protokolla 3 Kerros N Kerros N-1 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 OSI-MALLI SOVELLUS ESITYSTAPA YHTEYSJAKSO KULJETUS VERKKO SIIRTOYHTEYS FYYSINEN APPLICATION PRESENTATION SESSION TRANSPORT NETWORK DATALINK PHYSICAL Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Kaksi välittävän järjestelmän kautta kommunikoivaa järjestelmää SOVELLUS ESITYSTAPA YHTEYSJAKSO KULJETUS VERKKO SIIRTOYHTEYS FYYSINEN APPLICATION PRESENTATION SESSION TRANSPORT NETWORK DATALINK PHYSICAL VERKKO SIIRTOYHTEYS FYYSINEN Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ETHERNET, IEEE802.3 Ethernet OSI-mallissa: LLC MAC VERKKO PLS SIIRTOYHTEYS AUI (TRANSCEIVER KAAPELI) MAU FYYSINEN (TRANSCEIVER) MEDIUM Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 CSMA/CD-vuoronvarausmenettely (Carrier Sense Multiple Access / Collision Detection) (kuulostelu ja törmäyksen tunnistus) LÄHETÄ DATAA KOKOA KEHYS ON SIIRTOTIE VARATTU? EI LÄHETÄ SOTKUA ALOITA LÄHETYS LISÄÄ YRITYSKERTA- LASKURIA EI ON TÖRMÄYS? ON LIIKAA YRITYKSIÄ? LÄHETYS TEHTY? EI EI ON LASKE- JA ODOTA ODOTUSAIKA OK Tampereen ammattikorkeakoulu 2003 EI ONNISTU

Tampereen ammattikorkeakoulu 2003 VASTAANOTA DATAA EI SIIRTOTIE AKTIIVINEN? ON ALOITA VASTAANOTTO ON SIIRTOTIE AKTIIVINEN? TARKISTUS- SUMMA OIKEIN? EI EI ON ON LIIKAA BITTEJÄ? ON KEHYS LIIAN LYHYT? EI EI ON EI MAC-OSOITE TUNNISTETTU? KEHYS LIIAN PITKÄ TARKISTUS- SUMMAVIRHE OK Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ETHERNET-KEHYS TYYPPI / PITUUS DATA DATA DATA DATA DATA DATA FCS KOHDEOSOITE LÄHDEOSOITE 6 TAVUA 6 TAVUA 2 TAVUA 46 - 1500 TAVUA 4 TAVUA 64 - 1518 TAVUA VASTAANOTOSSA KEHYS HYLÄTÄÄN JOS: - FCS (Frame Check Sequense)EI OLE OIKEIN - KEHYS EI OLE JAOLLINEN KAHDEKSALLA - KEHYKSEN PITUUS ON ALLE 64 TAVUA - KEHYKSEN PITUUS ON YLI 1518 TAVUA Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ETHERNET KAAPELOINTI Koaksiaalikaapeli: - väyläkaapelointi - vanhin - paksu - ohut - 10 Mb/s - half duplex Parikaapeli: - tähtikaapelointi - yleisin - kierretty 4-parinen - suojattu - suojaamaton - 10 Mb/s - 100 Mb/s - 1 Gb/s - half duplex - full duplex Valokaapeli: - tähtikaapelointi - pisimmät yhteydet - 1-parinen - 10 Mb/s - 100 Mb/s - 1 Gb/s - half duplex - full duplex Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 (paksu) Ethernet, 10Base5 - datansiirtonopeus 10 Mb/s - koaksiaali (väylätopologia) - ulkohalkaisija 9,5 - 10,3 mm - keskijohtimen paksuus 2,17 mm - minimi taivutussäde 20 cm - impedanssi 50 ohmia - kaapeli päätetään molemmista päistä 50 ohmin vastuksilla (terminaattoreilla) - max pituus 500 m - liityntöjä max 100 kpl - liitynnät 2,5 m:n välein (paikat merkitty kaapeliin) - littyminen erillisillä transceivereillä + transceiver-kaapeleilla - transceiver-kaapeli suojattu 4-parinen parikaapeli, kaksiriviset D-15-liittimet transceiver-kaapelin max pituus 50 m käytössä enää harvoin Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Max. 500 m 2,5 m R=50 ohm R=50 ohm transceiver transceiver transceiver-kaapeli max 50 m host host Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ohut Ethernet, 10Base2 - datansiirtonopeus 10 Mb/s - koaksiaali (väylätopologia) - ulkohalkaisija 5-6 mm - minimi taivutussäde 5 cm - impedanssi 50 ohmia - kaapeli päätetään molemmista päistä 50 ohmin vastuksilla (terminaattoreilla) - max pituus 200 (185) m - liityntöjä max 30 kpl - liitynnät min. 0,5 m:n välein - littyminen suoraan verkkokortin BNC-liittimeen t- tai y-haaralla tai erillisillä transceivereillä + transceiver-kaapeleilla - transceiver-kaapeli suojattu 4-parinen parikaapeli, kaksiriviset D-15-liittimet transceiver-kaapelin max pituus 50 m käytössä hiukan enemmän kuin paksukoksi mutta koko ajan harvenemaan päin Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Max. 200 m min. 0,5 m R=50 ohm R=50 ohm transceiver host host transceiver-kaapeli max 50 m host Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Parikaapeli Ethernet, 10BaseT, 100BaseT, 1000BaseT - datansiirtonopeus 10 Mb/s, 100 Mb/s, 1 Gb/s - 4-parinen parikaapeli (tähtitopologia) - suojattu tai suojaamaton - ulkohalkaisija 5-6 mm - impedanssi 100 ohmia - yhteys on aina point to point, jolloin erillistä terminointia ei tarvita - max pituus 100 m (5 + 90 +5) liittyminen suoraan verkkokortin RJ-45-liittimeen yleisin Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Max. 100 m (channel) Max. 90 m (basic link, permanent link) aktiivilaite host ristikytkentä- paneli seinärasia Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Parikaapelin kytkentä Kytkentä B: nasta väri Kytkentä A: nasta väri 1 vihreä-valkoinen 2 vihreä 3 oranssi-valkoinen 4 sininen 5 sini-valkoinen 6 oranssi 7 ruskea-valkonen 8 ruskea 1 oranssi-valkoinen 2 oranssi 3 vihreä-valkoinen 4 sininen 5 sini-valkoinen 6 vihreä 7 ruskea-valkonen 8 ruskea Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Parikaapelin kytkentä jatkuu RJ-45-liittimen kytkentä: A: viva vi orva si siva or ruva ru B: orva or viva si siva vi ruva ru LIITIN KONTAKTIPUOLELTA 1 8 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Parikaapeliliityntä MDI-liityntä: MDIX-liityntä: 1 TD+ 2 TD- 3 RD+ 4 N/A 5 N/A 6 RD- 7 N/A 8 N/A 1 RD+ 2 RD- 3 TD+ 4 N/A 5 N/A 6 TD- 7 N/A 8 N/A Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ristikytkentä- ja laitevälikaapelit Suora kaapeli: RJ-45-liitin RJ-45-liitin Kytkentä A Kytkentä A RJ-45-liitin RJ-45-liitin Kytkentä B Kytkentä B Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Kääntävä kaapeli, Ristikaapeli, X-kaapeli, Crossover-kaapeli: RJ-45-liitin RJ-45-liitin Kytkentä A Kytkentä B RJ-45-liitin RJ-45-liitin Kytkentä B Kytkentä A Kiinteä kaapeli (basic link, permanent link) kytketään aina suoraan eli molempiin päihin samanlainen kytkentä! Tampereen ammattikorkeakoulu 2003

Milloin mitäkin kaapelia käytetään? Suoraa kaapelia käytetään keskenään erilaisten laitteen välillä : keskitin - kone (hub - host) kytkin - kone (switch - host) reititin - keskitin (router - hub) reititin - kytkin (router - switch) Tampereen ammattikorkeakoulu 2003

Milloin mitäkin kaapelia käytetään? X-kaapelia käytetään keskenään samanlaisten laitteiden välillä : kone - kone (host - host) keskitin - keskitin (hub - hub) kytkin - kytkin (switch- switch) keskitin - kytkin (hub - switch) reititin - reititin (router - router) Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Valokuitu Ethernet, 10BaseF, 100BaseF, 1000Base-LX/SX - datansiirtonopeus 10 Mb/s, 100 Mb/s, 1 Gb/s - 1-parinen valokuitu (tähtitopologia) - yhteys on aina point to point - monimuotokuitu 50/125 um ja 62,5/125 um (askelkuitu, asteittaiskuitu) - yksimuotokuitu 9/125 um - yleisimmin käyttettyjä aallonpituusalueita ovat 850 nm, 1310 nm ja 1550 nm - yhteysväli aallonpituudesta, kuidusta, lähettimestä ja kaistanleveydestä riippuen 250 m - 100 km - useita erilaisia liittimiä, yleisin lienee SC (ST, FC, MTRJ…) - jotkut valmistajat ilmoittavat kuitukaapeleilleen ”kaistanleveysetäisyyden” (MHz * km), esim. 500 MHzkm, 100 Mb/s => 5 km, 1000 Mb/s => 0,5 km - hyvin yleinen niin rakennusten sisällä kuin rakennusten välilläkin Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Valosignaalin vaimentuminen siirtotiellä liitin liitin jatkos (hitsaus) kuitupääte kuitupääte lähetin Vastaanotin tehotaso vastaanottimen herkkyys etäisyys Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 VERKKOJEN YHDISTÄMINEN Verkkojen yhdistäminen voidaan toteuttaa OSI-mallin tasoilla 1, 2 ja 3: - OSI-mallin tasolla 1 yhdistämisen tekevä laite on toistin (repeater, keskitin, hub) - OSI-mallin tasolla 2 yhdistämisen tekevä laite on silta (bridge, kytkin, switch) - OSI-mallin tasolla 3 yhdistämisen tekevä laite on reititin (router) Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 TOISTIN (repeater, keskitin, hub), OSI-mallin tasolla 1 - yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan bittivirran kaikkiin muihin portteihin - ei tarkkaile kehyksen muotoa (oikeellisuutta) - ei tarkkaile kehyksen sisältöä - portteja vähintään 2 kpl, mutta voi olla paljonkin (ainakin kymmeniä) - porttien mediat voivat poiketa toisistaan (median vaihto) - tietoturva erittäin huono - suorituskyky voi ruuhkautuneena romahtaa - toiminta yleensä sellainen, että yhden segmentin toimimattomuus ei vaikuta muihin segmentteihin (ns. patitiointi) Kaksiporttinen toistin HOST HOST R R HOST HOST TOISTIN HOST R R HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Moniporttinen toistin HOST HOST HOST R R HOST HOST HOST R R TOISTIN R R HOST HOST HOST R R HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 5-4-3-Sääntö HOST HOST segmentti 1 R R HOST HOST TOISTIN 1 HOST segmentti 2 R R HOST HOST TOISTIN 2 R R segmentti 3 TOISTIN 3 segmentti 4 R R TOISTIN 4 R HOST HOST segmentti 5 R HOST HOST HOST Verkko toteutetaan niin, että kahden toisistaan kauimpana olevien koneiden välillä saa olla enintään viisi segmenttiä, neljä toistinta ja enintään kolmessa segmentissä saa olla koneita. Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ONKO SALLITTU VERKKORATKAISU? HOST HOST HOST R R HOST HOST HOST R R TOISTIN R R TOISTIN HOST HOST HOST HOST TOISTIN R R R R R HOST HOST HOST HOST HOST HOST R Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 KORJATTU VERSIO EDELLISESTÄ HOST HOST HOST R R HOST HOST HOST R R TOISTIN R R TOISTIN HOST HOST TOISTIN R R R R R HOST HOST HOST HOST HOST HOST R Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ONKO SALLITTU VERKKORATKAISU? HOST HOST HOST R R HOST HOST HOST R R R TOISTIN R R R TOISTIN TOISTIN R R R R R R R R TOISTIN TOISTIN R R R R HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST R R R R R R R R Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 KYLLÄ ON 5-4-3-sääntö ei rajoita: - segmenttien kokonaismäärää - toistinten kokonaismäärää - ”kalustettujen” segmenttien kokonaismäärää SIIS: VERKKO ON OK KUN MINKÄ TAHANSA KONEPARIN VÄLILLÄ TOTEUTUU 5-4-3-SÄÄNTÖ! Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 PARIKAAPELITOISTIN (keskitin, HUB) - toistin, jonka portit ovat RJ-45-liittimillä varustettuja parikaapeliliityntöjä - porttimäärä vaihtelee neljästä useisiin kymmeniin - 5-4-3-sääntö pätee, mutta voitaisiin puhua myös 5-säännöstä, koska kaikki segmentit ovat point-to-point-segmenttejä TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN Onko tämä toistimien välinen segmentti muita ruuhkaisempi? TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Verkkoratkaisuja 1: TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Verkkoratkaisuja 2: TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Verkkoratkaisuja 3: TOISTIN TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Silmukat eivät ole sallittuja - toistinverkoissa ei voi käyttää ”varareittejä” TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Taustaväylä - jotkut toistimet on mahdollista yhdistää toisiinsa ns. taustaväylän kautta - taustaväylää ei lasketa segmentiksi, koska taustäväylän avulla yhdistetty toistinryhmä on toiminnallisesti yksi toistin - etäisyys laitteiden välillä vaihtelee muutamasta sentistä pariin metriin HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST TOISTIN Onko taustaväylässä enemmän vai vähemmän liikennettä kuin konesegmenteissä? TOISTIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Tietoturva toistin - toiminta on kehyksen alussa (kohde- ja lähdeosoitteiden aikana) sama kuin tavallisella toistimella - lähdeosoitteen jälkeinen osa kehyksestä välitetään vain siihen porttiin josta oikea kohdeosoite löytyy - muihin portteihin kehyksen loppuosa korvataan pupulla Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Toistin ja 100 Mb/s CLASS 1-laite: - 100 Mb/s nopeudella kehyksen pituus yksi kymmenesosa 10 Mb/s nopeuden kehyksestä - kaapelit ja toistin aiheuttavat niin paljon viivettä, ettei minimikehyksen törmäystä huomattaisi jos toistimia liikennöivien koneiden välillä olisi enemmän kuin yksi 100 Mb/s TOISTIN max. 100 m max. 100 m HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 CLASS 2-laite: - toistimen viive verrattuna CLASS 1-laitteeseen on sen verran pienempi, että kaksi toistinta voidaan kytkeä yhteen - sillä oletuksella, että toistimen ja koneen välille sallitaan sata metriä pitkä kaapeli rajoittuu toistinten välinen kaapeli noin kahdenkymmenen metrin pituiseksi HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST max. 100 m TOISTIN 100 Mb/s max. 20 m TOISTIN max. 100 m HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 DUAL-SPEED-toistin - laite koostuu kahdesta toistimesta ja sillasta - kumpikin toistin toimii itsenäisenä toistimena - silta välittää toistinten välisen liikenteen - kehysten puskuroinnin ansiosta silta voi sovittaa nopeudet DUAL-SPEED-HUB TOISTIN 100 Mb/s TOISTIN 10 Mb/s SILTA HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Automaattinen nopeuden tunnistus, auto negotation - auto negotation on järjestelmä, jolla laittet pystyvät ”sopimaan” välillään olevan linkin nopeuden - neuvottelu aloitetaan 100 Mb/s-fullduplex-liikenteestä - seuraavaksi koetetaan 100 Mb/s-halfduplex-liikennettä - jos kumpikaan edellisistä ei onnistu, niin käytetään 10 Mb/s-halfduplex-liikennettä - aina neuvottelu ei johda yhteisymmärrykseen ja silloin ko. linkin nopeudet joudutaan asettamaan käsin Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Toistin ja 1 Gb/s - 1 Gb/s-yhteyksiä ei toteuteta toistimilla Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 POHDITTAVAKSI: Miksi tavallisen toistimen tietoturva on heikko? Voidaanko toistimilla toteutetussa verkossa käyttää fullduplex-liikennöintiä? Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 SILTA (bridge, kytkin, switch), OSI-mallin tasolla 2 - yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan kehyksen vain siihen porttiin, josta kohdeosoite (ethernet-osoite) löytyy - tarkkailee kehyksen muotoa (oikeellisuutta) - tarkkaile kehyksen sisältöä (ensisijaisesti kohdeosoitetta) - kehyksen välityksessä kolme vaihtoehtoa (kolmen f:n periaate) * välitys (forwarding), tulva (flooding) ja suodatus (filtering) - portteja vähintään 2 kpl, mutta voi olla paljonkin (ainakin kymmeniä) - porttien mediat voivat poiketa toisistaan (median vaihto) - tietoturva hyvä - suorituskyky hyvä Kaksiporttinen silta HOST HOST R R HOST HOST SILTA HOST R R HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Moniporttinen silta HOST HOST HOST R R HOST HOST HOST R R SILTA R R HOST HOST HOST HOST HOST HOST R R - broadcast kehykset välitetään kaikkiin portteihin - tuntemattomaan ethernet-osoitteeseen menevät kehykset välitetään kaikkiin portteihin - silta ”opettelee” ethernet-osoitteet liikenteen perusteella, osoitteita ei tarvitse konfiguroida - silta pystyy muistamaan tuhansia ethernet-osoitteita - osoitemuisti on dynaaminen - osoitteita voidaan asettaa myös käsin (tietoturva paranee edelleen) - perustoimintamuoto on store-and-foreward, joka sallii nopeuden muutoksen porttien välillä - toiminta voi olla myös cut throught- tai minimikehys-tyyppistä on the fly switching-toimintaa - on the fly switching ei mahdollista nopeuden muutosta porttien välillä - 5-4-3-sääntö ei ole voimassa koska liikennettä puskuroidaan - pitkiä segmenttiketjuja kannattaa kuitenkin välttää latenssin takia - törmäysalue ulottuu sillan portista kauimmaiseen koneeseen, ei sillan yli toisiin portteihin - laitevalmistaja voi ilmoittaa suorituskyvyn pakettia/s eikä bittiä/s Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 PARIKAAPELISILTA (kytkin, switch) - silta, jonka portit ovat RJ-45-liittimillä varustettuja parikaapeliliityntöjä - porttimäärä vaihtelee neljästä useisiin kymmeniin KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN Onko tämä kytkinten välinen segmentti muita ruuhkaisempi? KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Verkkorakenteita - ketjutus vain silloin kun etäisyys tai kaapeloinnin rakenne sen vaatii KYTKIN KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST - kerrattu tähti suositeltavampi sekä suorituskyvyn että varmuuden suhteen KYTKIN KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 MULTI-TRUNK-yhteys - kytkinten välinen ”monilinkki-yhteys” - yhteyden nopeus = n * yksittäisen linkin nopeus (esim. 4 * 100 Mb/s fullduplex => summanopeus 800 Mb/s) - hyvä välimuoto kun esim 100 Mb/s ei riitä ja 1Gb/s liityntä on liian kallis - vaatii konfiguroinnin, joka on useimmiten helppo tehdä HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN Yhteyden nopeus = n * linkin nopeus KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Silmukat ovat sallittuja, kun käytetään SPANNING TREE PROTOKOLLAA - kytkinverkoissa voi käyttää varareittejä - ei kuorman jakoa - vikatilanteessa yhteyden vaihto toimivalle linkille kestää noin 30 s, joka on useimmille sovelluksille liikaa - uusimmilla kytkimillä yhteyden vaihto jopa muutamassa sekunnissa KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Taustaväylä - monet kykimet on mahdollista yhdistää toisiinsa ns. taustaväylän kautta - taustaväylällä yhdistetyt kykimet ovat toiminnallisesti yksi kytkin - etäisyys laitteiden välillä vaihtelee muutamasta sentistä pariin metriin - taustaväylän kapasiteetti useita gigabittejä jopa kymmeniä gigabittejä HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Virtuaaliverkko VLAN - koneet ovat fyysisesti samassa verkossa, mutta muodostavat loogisesti erillisiä verkkoja - luokkitelevana tekijänävoi olla esim. kytkimen portti, hostin ethernet-osoite tai protokolla - koneet pystyvät kommunikoimaan vain oman vlaninsa koneiden kanssa KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST VLAN 1 VLAN 2 VLAN 3 Esimerkki 1. VLAN1: portit 1-4 VLAN2: portit 5-10 VLAN3: portit 11-16 Esimerkki 2. VLAN1: mac#1, mac#2 mac#3, mac#4 VLAN2: mac#5, mac#6 mac#7, mac#8 mac#9, mac#10 VLAN3: mac#11, mac#12 mac#13, mac#14 mac#15, mac#16 Esimerkki 3. VLAN1: ip VLAN2: ipx VLAN3: appletalk Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 VLAN useamman kytkimen alueella Tapaus 1: kytkinten välillä oma kaapeliyhteys jokaista VLANia varten - vie paljon portteja - hyvä suorituskyky - voidaan toteuttaa myös laitteilla, jotka eivät tue IEEE 802.1Q-standardia VLAN 1 VLAN 2 VLAN 3 HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN HOST KYTKIN HOST KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST VLAN 1 VLAN 2 VLAN 3 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Tapaus 2: kytkinten välillä yhteinen kaapeliyhteys jokaista VLANia varten - vie vähän portteja - voi aiheuttaa pullonkauloja suorituskykyyn - voidaan toteuttaa vain laitteilla, jotka tukevat IEEE 802.1Q-standardia VLAN 1 VLAN 2 VLAN 3 HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN HOST KYTKIN HOST KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST VLAN 1 VLAN 2 VLAN 3 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 IEEE 802.1-standardi, yhdysliikenne 802.1Q: määrittelee tavan, jolla tieto VLANista kuljetetaan kehyksen mukana 802.1p: määrittelee tavan, jolla tieto kehyksen prioriteetista kuljetetaan kehyksen mukana IEE802.1Q-KEHYS 4 TAVUA 6 TAVUA 6 TAVUA 4 TAVUA 2 TAVUA 46 - 1500 TAVUA 68 - 1522 TAVUA IEEE802.1Q (VLAN tag) TYYPPI / PITUUS DATA DATA DATA DATA DATA FCS KOHDEOSOITE LÄHDEOSOITE 2 TAVUA 2 TAVUA Tag-protokolla- tunniste Tag-ohjaustieto 3 1 12 Käyttäjän- CFI VLAN ID prioriteetti Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Langattomat lähiverkot (WLAN, wireless local area network) IEEE 802.11 INFRAPUNA HAJASPEKTRI KAPEAKAISTA TAAJUUSHYPPELY SUORASEKVENSSI - määritelty IEEE:n standardissa 802.11 - käytännön toteutukset lähinnä hajaspektri-tekniikalla - aiemmin käytettiin taajuushyppelyä, mutta viime vuosina on siirrytty suorasekvessiin - taajuusalueista yleisin on 2,4 GHz, 5,8 GHz tulossa ja 915 MHz jäämässä pois - lähetysteho 100 mW max - nimellisiä tiedonsiirtonopeuksia kolme kappaletta 1 Mbps, 2 Mbps (802.11) ja 11 Mbps (802.11b) - todelliset tiedonsiirtonopeudet 0,5 - 5 Mbps - liikenne tyypillisesti halfduplex, mutta kahden tukiaseman välillä on mahdollista käyttää myös fullduplexia - vuoronvarauksena CSMA/CA (carrier sence multiple access, collision avoidance) - langattoman paikallisverkon tukiasema toimii OSI-mallintasolla 2, eli on silta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Verkkoratkaisuja: HOST HOST HOST HOST HOST HOST HOST HOST HOST Etäisyys ilman suunta-antenneja max. kymmeniä metrejä HOST WLAN-tukias. WLAN-tukias. KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN Etäisyys antenneista riippuen 100 m - 10 km WLAN-tukias. WLAN-tukias. KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 REITITIN (router), OSI-mallin tasolla 3 - yhdistää toisiinsa verkkoja välittämällä johonkin porttiin tulevan ip-datagrammin siihen porttiin, josta kohdeosoite (ip-osoite) löytyy - ei ”kaappaa” kehyksiä, vaan hostit lähettävät toiseen verkkoon menevät kehykset reitittimelle (= reitittimen ethernet-osoitteeseen) - portteja vähintään 1 kpl, mutta voi olla paljonkin (ainakin kymmeniä) - porttien mediat ja nopeudet voivat poiketa toisistaan (median vaihto) - portit voivat poiketa toisistaan myös toiminnallisesti (esim. ATM, FDDI, TOKEN-RING, ADSL..) - tietoturva hyvä - suorituskyky vanhoilla reitittimillä voi olla huono, mutta uusilla hyvä Kaksiporttinen reititin IP-verkko #1 HOST HOST IP-verkko #2 R R HOST HOST REITITIN HOST R R HOST HOST HOST Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Yksiporttinen reititin REITITIN KYTKIN KYTKIN KYTKIN HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST IP-verkko #1 IP-verkko #2 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Tyypillinen reititintapaus INTERNET REITITIN REITITIN REITITIN REITITIN REITITIN REITITIN KYTKIN KYTKIN IP-verkko #1 IP-verkko #2 HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST KYTKIN KYTKIN IP-verkko #3 IP-verkko #4 Tampereen ammattikorkeakoulu 2003 HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST HOST

Tampereen ammattikorkeakoulu 2003 Taustaa reitittimen toiminnalle Internet Protocol versio 4 (IPv4) - nykyisin käytetään edelleen lähes 100%:sti IP:n versiota 4 - osoitteet ovat 4-tavuisia, 32-bittisiä, esim 192.168.130.1 - osoitteet jaettu 5-luokkaan, A, B, C, D ja E - ip-osoite sisältää netid ja hostid osuuden - samaan ip-aliverkkoon kuuluvat kaikki ne osoitteet, joiden netid on sama - luokkajako määrittelee ”perus” netid:n pituuden - aliverkkopeitteellä (aliverkkomaski, subnetmask, maski) netid:n pituutta voidaan kasvattaa Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 IP-verkot Luokka A 1.0.0.0 – 127.0.0.0 B 128.1.0.0 – 191.254.0.0 C 192.0.1.0 – 224.255.254.0 D 224.0.0.0 – 239.0.0.0 (multicast) E 240.0.0.0 – 254.0.0.0 (experiments) - E-luokan osoitteita ei oletuksena päästetä reitittimistä ulos A-luokassa osoitteita n. 16miljoonaa kpl B-luokasa osoitteita n. 65 000 kpl C-luokassa osoitteita n. 256 (-2 eli 254) kpl Tampereen ammattikorkeakoulu 2003 Copyright Janne Hapuoja TAMK

Tampereen ammattikorkeakoulu 2003 Private-verkot RFC 1918 ftp://ftp.nordu.net/rfc/ seuraavat osoitteet on varattu organisaatioiden sisäiseen käyttöön sekä erilaisiin kokeiluihin Luokka A 10.0.0.0 – 10.255.255.255 B 172.16.0.0 – 172.31.255.255 C 192.168.0.0 – 192.168.255.255 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 A-luokka 8 16 24 32 NETID HOSTID - netid:n ensimmäinen bitti on aina nolla => A-luokan osoitteet välillä 0 - 127 - aliverkkopeite 255.0.0.0 Erikoistapauksia: 0.0.0.0 = ei pätevä osoite, usein oletusarvo ennen oikean arvon asetusta (sallii koneen käynnistyksen) 10.X.X.X = yleisesti käytetty harmaa A-luokka 127.X.X.X = Loopback, voidaan testata oman koneen protokollapinon toiminta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 B-luokka 8 16 24 32 1 0 NETID HOSTID - netid:n ensimmäinen bitti on aina ykkönen ja toinen nolla => B-luokan osoitteet välillä 128 - 191 - aliverkkopeite 255.255.0.0 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 C-luokka 8 16 24 32 1 1 0 NETID HOSTID - netid:n ensimmäinen ja toinen bitti on aina ykkösiä ja kolmas nolla => C-luokan osoitteet välillä 192 - 223 - aliverkkopeite 255.255.255.0 Erikoistapauksia: 192.168.X.X = yleisesti käytetty harmaa C-luokka Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 D-luokka 1 1 1 0 Multicast address E-luokka 1 1 1 1 0 Varattu tulevaisuuden käyttöön Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Aliverkkopeite - aliverkkopeite kertoo kuinka monta bittiä ip-osoitteesta on netid:n osuus - netid:n bitit lasketaan aina vasemmalta oikealle keskeytyksettä, välejä jättämättä - jäljelle jääneet bitit muodostavat hostid:n - aliverkkopeite voidaan esittää kahdella eri tavalla Esitystapa 1. Esim.1 255.255.255.0 Netid:n pituus saadaan selville kun eo. aliverkkopeite muutetaan binääriseksi ja lasketaan ykkösten määrä 11111111.11111111.11111111.00000000 ykkösiä on 24 kpl => netid:n osuus on 24 bittiä ja hostid:lle jää 8 bittiä Esim. 255.255.192.0 => 11111111.11111111.11000000.00000000 => netid 18 bittiä / hostid 14 bittiä Esitystapa 2. Esim.1 /24 Tämä esitystapa kertoo suoraan montako bittiä kuuluu netid:lle, netid 24 ja hostid:lle jää 8 bittiä Esim.2 /18 => netid 18 bittiä / hostid 14bittiä CIDR = Classless Inter-Domain Routing = yli- ja aliverkotus Tampereen ammattikorkeakoulu 2003 Copyright Janne Hapuoja TAMK

Tampereen ammattikorkeakoulu 2003 Subnet maskit Desimaali Heksa Binääri 255 FF 11111111 254 FE 11111110 252 FC 11111100 248 F8 11111000 240 F0 11110000 224 E0 11100000 192 C0 11000000 128 80 10000000 00000000 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Harjoitustehtäviä: 1. Kuuluvatko asemat X ja Y samaan IP-aliverkkoon, kun niiden osoitteet ovat seuraavat? Mihin luokkaan osoitteet kuuluvat? X Y a) 65.245.17.128 65.83.128.17 b) 190.12.15.10 190.12.122.224 c) 194.128.14.129 194.128.100.178 d) 220.13.15.53. 220.13.15.72 e) 228.134.56.19 228.134.56.24 2. Esitä seuraavat ip-osoite/aliverkkopeiteparit toisella esitystavalla Mihin luokkaan osoitteet kuuluvat? a) 65.245.17.128 255.255.224.0 b) 190.12.15.10 255.255.255.0 c) 194.128.14.129 255.255.255.128 d) 120.13.15.53. /16 e) 128.134.56.19 /19 f) 157.112.34.55 /24 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 3. Kuuluvatko asemat X ja Y samaan IP-aliverkkoon, kun niiden osoitteet ovat seuraavat? Mihin luokkaan osoitteet kuuluvat? Esitä maskit myös toisella esitystavalla? X Y a) 65.245.17.128/16 65.83.128.17/16 b) 190.12.15.10/17 190.12.122.224/17 c) 194.128.14.129/26 194.128.14.178/26 d) 220.13.15.53/26 220.13.15.72/26 e) 223.134.56.19/28 223.134.56.24/28 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Vastauksia: 1. a) kyllä, a-luokka b) kyllä, b-luokka c) ei, c-luokka d) kyllä, c-luokka e) d-luokan osoite, samaan verkkon kuuluminen ei ole relevantti kysymys 2. a) 65.245.17.128 /19 a-luokka b) 190.12.15.10 /24 b-luokka c) 194.128.14.129 /25 c-luokka d) 120.13.15.53. 255.255.0.0 a-luokka e) 128.134.56.19 255.255.224.0 b-luokka f) 157.112.34.55 255.255.255.0 b-luokka 3. a) kyllä a-luokka 255.255.0.0 b) kyllä, b-luokka 255.255.128 c) kyllä c-luokka 255.255.255.192 d) ei c-luokka 255.255.255.192 e) kyllä c-luokka 255.255.255.240 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 IP-verkon jakaminen - ip-verkko voidaan jakaa aliverkkoihin suurentamalla aliverkkopeitettä eli net-id bittien osuutta ip-osoitteesta - net-id:n kasvattaminen yhdellä bitillä jakaa verkon kahteen yhtäsuureen osaan - jokaisen verkon ensimmäinen osoite on verkko-osoite, eikä sitä saa käyttää koneosoitteena - jokaisen verkon viimeinen osoite on broadcast-osoite, eikä sitä sa käyttää koneosoitteena - mikä tahansa verkko- ja broadcast-osoitteiden välillä oleva osoite voidaan antaa reitittimen portille, mutta yleisimmin se on ensimmäinen verkko-osoitteen jälkeinen osoite. ESIM 1. Jaa verkko 192.168.130.0/24 kahteen osaan? Aliverkkopeite on tässä verkossa 24 bittiä, eli verkkotunnisteen osuus on 192.168.130. Bitit 25-32 muodostavat host-osuuden. Kasvatetaan verkkotunnistetta yhdellä bitillä, jolloin saadaan kaksi uutta verkkoa 192.168.130.0/25 ja 192.168.130.128/25. Ensimmäisessä uudessa verkossa 25. bitti on nolla ja toisessa uudessa verkossa 25. bitti on ykkönen. Bitit 26-32 muodostavat molemmissa uusissa verkoissa host-osuuden Alkuperäisen verkon verkko-osoite on 192.168.130.0 ja broadcast-osoite 192.168.130.255. Ensimmäisen uuden verkon verkko-osoite on 192.168.130.0 ja broadcast-osoite 192.168.130.127. * reitittimen portti: 192.168.130.1/25 ja koneet 192.168.130.2-126/25 Toisen uuden verkon verkko-osoite on 192.168.130.128 ja broadcast-osoite 192.168.130.255. * reitittimen portti: 192.168.130.129/25 ja koneet 192.168.130.130-254/25 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ESIM.1-jatkuu OSOITTEET 255 0 OSOITTEET 255 0 Verkko 192.168.130.0/24 Verkko 192.168.130.128/25 Verkko 192.168.130.0/25 128 127 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ESIM.1-jatkuu Verkkojen sijoittuminen reitittimeen internet reititin 192.168.130.0/25 192.168.130.128/25 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ESIM.2. Jaa verkko 130.157.123.0/24 kolmeen osaan? Ratkaisu 1. Verkko 1 130.157.123.0/25 Reitittimen portti 130.157.123.1/25 Koneet 130.157.123.2-126/25 Verkko 2 130.157.123.128/26 Reitittimen portti 130.157.123.129/26 Koneet 130.157.123.130-190/26 Verkko 3 130.157.123.192/26 Reitittimen portti 130.157.123.193/26 Koneet 130.157.123.194-254/26 Ratkaisu 2. Verkko 1 130.157.123.0/26 Reitittimen portti 130.157.123.1/26 Koneet 130.157.123.2-62/26 Verkko 2 130.157.123.64/26 Reitittimen portti 130.157.123.65/26 Koneet 130.157.123.66-126/26 Verkko 3 130.157.123.128/25 Reitittimen portti 130.157.123.129/25 Koneet 130.157.123.130-254/25 255 0 130.157.123.192/26 192 191 130.157.123.0/25 130.157.123.128/26 128 127 255 0 130.157.123.0/26 63 64 130.157.123.128/25 130.157.123.64/26 128 127 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 ESIM.2.-jatkuu INTERNET Ratkaisu 1. REITITIN 130.157.123.0/25 130.157.123.128/26 130.157.123.192/26 Ratkaisu 2. INTERNET REITITIN 130.157.123.0/26 130.157.123.64/26 130.157.123.128/25 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Reitityksen toiminta: - ip-protokollaa käyttävälle laitteelle täytyy asettaa vähintään ip-osoite, aliverkkopeite ja oletusyhdyskäytävä (=reititin) - reitittimelle konfiguroidaan porttikohtaiset ip-numerot, jolloin ko. reititin tuntee ”omat” verkkonsa, lisäksi reitittimelle kerrotaan muiden reitittimien takaa löytyvät verkot (tämä voi olla staattinen, eli käsin asetettu tai dynaaminen, eli reititysprotokollien avulla reitittimien toisilleen kertoma tieto). Tämä reititystieto sijaitsee reititystaulussa. - laite, joka haluaa lähettää tietoa toiseen ip-numeroon tarkastaa kohde-ip-osoitteen, oman ip-osoitteen ja aliverkkopeitteen avulla kuuluvatko kohde-ip ja oma ip samaan verkkon. Jos ip-osoitteet ovat samassa verkossa, niin sanoma lähetetään suoraan kohteeseen, mutta jos ip-osoitteet ovat eri verkoissa, niin asema lähettää sanoman omalle oletusyhdyskäytävälleen, eli reitittimen porttiin. - kun sanoma saapuu reitittimelle, niin reititin lähettää sanoman edelleen sinne, minne se kohde-ip-osoitteen ja reititystaulussa olevan tiedon perusteella kuuluu - ethernet-osoitteet vaihtuvat jokaisessa reityksessä, mutta ip-osoitteet pysyvät samoina päästä päähän - reitittimiin voidaan konfiguroida erilaisia tietoturvaa lisääviä ominaisuuksia, esim. access-listat tai palomuuri Layer 3:n kytkentä: - joissakin uusissa ethernet-kytkimissä on toimintaa laajennettu OSI-mallin tasolta 2 tasolle 3, eli normaalin ethernet-osoitteisiin perustuvan kytkentätoiminnan lisäksi tällainen laite kykenee reitittämään - edellä kuvatun reititystauluun perustuvan reitityksen lisäksi tällainen L3:n-kytkin pitää yllä taulukkoa ip-osoitteista, joista tietoa on tullut tai jonne tietoa on mennyt. Reititettävän sanoman kohde-ip-osoitteen osuminen tähän ”ip-taulukkoon” tarkastetaan ensin ja jos osoite löytyy niin reititys suoritetaan välittömästi. Jos osumaa ei tule, niin reititys tehdään perinteisesti reititystaulun tietojen perusteella. - ulospäin L3:n kytkentä näyttää täysin samalta kuin reititys - konfiguroimattomana L3:n toimii vain OSI-mallin tasolla 2 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Lisää tehtäviä: 1. Käytössäsi on ip-verkot 193.167.70.0/24 ja 193.167.71.0/24. Toteuta kuvan mukainen verkkoratkaisu? Mitkä ovat ip-verkot/maskit? Mitkä ovat reitittimen porttien ip-osoitteet/maskit? Mitkä ovat koneiden ip-osoitteet/maskit? internet reititin p1 p2 p3 LAN 1, 200 konetta LAN 2, 100 konetta LAN 3, 100 konetta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ratkaisu: LAN1: Verkko-os: 193.167.70.0/24 Reititin,p1: 193.167.70.1/24 Koneet: 193.167.70.2-254/24 LAN2: Verkko-os: 193.167.71.0/25 Reititin,p2: 193.167.71.1/25 Koneet: 193.167.71.2-126/25 LAN3: Verkko-os: 193.167.71.128/25 Reititin,p3: 193.167.71.129/25 Koneet: 193.167.71.130-254/25 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Lisää tehtäviä: 2. Käytössäsi on ip-verkot 193.167.70.0/24 ja 193.167.71.0/24. Toteuta kuvan mukainen verkkoratkaisu? Mitkä ovat ip-verkot/maskit? Mitkä ovat reitittimen porttien ip-osoitteet/maskit? Mitkä ovat koneiden ip-osoitteet/maskit? internet reititin p1 p2 p3 LAN 1, 200 konetta LAN 2, 150 konetta LAN 3, 50 konetta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ratkaisu: LAN1: Verkko-os: 193.167.70.0/24 Reititin,p1: 193.167.70.1/24 Koneet: 193.167.70.2-254/24 LAN2: Verkko-os: 193.167.71.0/25 Reititin,p2: 193.167.71.1/25 Koneet: 193.167.71.2-126/25 Verkko-os: 193.167.71.128/26 Reititin,p2: 193.167.71.129/26 Koneet: 193.167.71.130-190/26 LAN3: Verkko-os: 193.167.71.192/26 Reititin,p3: 193.167.71.193/26 Koneet: 193.167.71.194-254/26 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Lisää tehtäviä: 3. Käytössäsi on ip-verkot 193.167.70.0/24 ja 193.167.71.0/24. Toteuta kuvan mukainen verkkoratkaisu? Mitkä ovat ip-verkot/maskit? Mitkä ovat reitittimen porttien ip-osoitteet/maskit? Mitkä ovat koneiden ip-osoitteet/maskit? internet reititin 1 p1 p2 p3 reititin 2 p1 p2 LAN 1, 200 konetta LAN 2, 100 konetta LAN 3, 50 konetta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Ratkaisu: LAN1: Verkko-os: 193.167.70.0/24 Reititin1,p1: 193.167.70.1/24 Koneet: 193.167.70.2-254/24 LAN2: Verkko-os: 193.167.71.0/25 Reititin1,p2: 193.167.71.1/25 Koneet: 193.167.71.2-126/25 LAN3: Verkko-os: 193.167.71.128/26 Reititin2,p2: 193.167.71.129/26 Koneet: 193.167.71.130-190/26 Reititin1,p3 - Reititin2,p1 = LAN4 LAN4: Verkko-os: 193.167.71.192/26 Reititin1,p3: 193.167.71.193/26 Reititin2,p1: 193.167.71.194/26 - tämä ratkaisu tuhlaa tarpeettomasti osoitteita LAN4:een, koska tässä lanissa ei ole koneita Toinen ratkaisu LAN4:een: Verkko-os: 193.167.71.252/30 Reititin1,p3: 193.167.71.253/30 Reititin2,p1: 193.167.71.254/30 Tampereen ammattikorkeakoulu 2003

Yrityksen verkkopalvelut DNS = Domain Name Service WINS = Windows Name Service NAT = Network Address Translation Firewall = Palomuuri Tampereen ammattikorkeakoulu 2003

Internetin nimipalvelut eli DNS DNS = Domain Name Service Kehitetty helpottamaan ihmisten oloa (konekieli vs ihmisten kieli) Joustavuus ja skaalautuvuus Hajautettu ylläpito ja vastuu (ja tallennus) Tampereen ammattikorkeakoulu 2003

Päätason domain-nimet gTLD = generic Top Level Domain: com, net, org, edu, mil, gov, int ccTLD = country code Top Level Domain: fi, se, no, ... muut: arpa IANA vastaa, mutta on delegoinut ylläpidon Dokumentointi RFC 1519 Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 DNS – periaate Oikea paikka puusta Nimi osoitteeksi Osoite nimeksi Nimipalvelun päätehtävänä on muuntaa aluenimet IP-osoitteiksi (Forward DNS) ja IP-osoitteet nimiksi (Reverse DNS). Tampereen ammattikorkeakoulu 2003

Mitä tarvitaan yrityksessä? Pienessä yrityksessä tarvitaan yleensä nimipalvelua vain silloin kun surfataan Internetissä. Useimmissa tapauksissa nimipalvelu ostetaan/vuokrataan Internet yhteyden tarjoajalta. Isommassa yrityksessä (tai organisaatiossa, oppilaitoksessa) saatta olla tarvetta omaan nimipalvelimeen sekä sisäiseen käyttöön että ulospäin. Esim. yrityksessä voisi olla: 1 kpl DNS palvelin joka hoitelee liikennettä ulospäin, Unix tai Windows server 2000 tai 2003 1 kpl mahdollisesti pelkästään hoitamaan Windows Aktiivi hakemiston työasemia Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 WINS WINS = Windows Name Service Käytetään Windows domaineissa työasemien nimipalveluun Nykyään natiivissa aktiivihakemistossa tätä palvelua ei tarvita Windows 9x ja NT 4.0 vaativat, Windows 2000 ja XP Pro eivät vaadi mutta kykenevät käyttämään. Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 NAT NAT = Network Address Translation Monesti yrityksessä on ns. ”harmaita” ip-osoitteita, säästetään rahaa kun ei tarvitse vuokrata ip-avaruuksia telehallintokeskukselta (tai oikeammin RIPE jolta telehallintokeskus on saanut käyttöoikeuden) Käytetään yrityksen työasemien ip-osoitteiden suojaamiseen/piilottamiseen ulkoverkolta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Tietoturva Yrityksen verkon tietoturva on tänä päivän yksi suurimmista ja vaikemmista haasteista. Täytyy tasapainotella käytettävyyden ja turvallisuuden rajamailla. Palomuuri Viruksentorjunta työasemissa ja palvelimissa ei riitä – virusskanneri jo gatewayssa Extranet / Intranet Uhat sisäverkosta Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Palomuuri Palomuurin tehtäviin voi kuulua mm. parantaa verkon tietoturvaa parantaa verkon suorituskykyä estää ulkoa tulevat hyökkäykset estää sisäverkosta tulevat hyökkäykset reitittää eri verkkojen välillä (johtajat, duunarit, palkanlaskenta) Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Palomuuri, jatkuu II Palomuurit jaetaa kolmeen eri kategoriaan toimintaperiatteensa mukaan: pakettisuodatin yhteyssuodatin sovellustason yhdyskäytävä ratkaisu (proxy) pakettisuodatin: sallii kahden reitittimen välisen liikenteen mennä läpi jos määrätyt kriteerit täyttyvät paketissa sovelletaan kaikkiin paketteihin salliva palomuuri yhteyssuodatin: valvoo liikennettä koko sen istunnon ajan rekuntsroimalla liikenteeseen liittyvän datavuon paketti ei pääse läpi mikäli se ei kuulu hyväksyttävään istuntoon rajoittava palomuuri sovellutason palomuuri eli proxy: valvotaan verkkoyhteyksien lisäksi myös sovellustason protokollia paketteja ei päästetä suoraan kulkemaan sellaisenaan verkosta toiseen, yhteys muodostetaan erityiseen sovellukseen, proxyyn joka päättää otetaanko yhteys lopulliseen pyydettyyn kohteeseen vai ei sovellustason protokolla hyökkäyksien esto Tampereen ammattikorkeakoulu 2003

Tampereen ammattikorkeakoulu 2003 Kysymyksiä? ... kiitos ajanvietosta mukavan asian parissa ja iloista kevättä. Tampereen ammattikorkeakoulu 2003