Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hálózati adminisztráció

Hasonló előadás


Az előadások a következő témára: "Hálózati adminisztráció"— Előadás másolata:

1 Hálózati adminisztráció
MIN7B6I - MIN2B1

2 Előadó Dr. Johanyák Zsolt Csaba e-mail: johanyak.csaba@gamf.kefo.hu
tel:

3 Ajánlott irodalom Petrényi József: Windows Server TCP/IP. Az alapok. Microsoft Magyarország, Petrényi József: TCP/IP - 1 óra alatt ; TCP/IP Alapok 1. kötet v2.0, TCP/IP Alapok 2. kötet v1.0 Microsoft Magyarország, 2009 William R. Stanek: Windows Server A rendszergazda zsebkönyve, Szak Kiadó, 2008, ISBN: Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, ISBN Ubuntu dokumentációs oldalak:

4 Számonkérés - pontok A tizenkettedik előadáson ZH az előadások anyagából - 40 perc – elvárt min: 21 A tizenegyedik gyakorlaton ZH a gyakorlatok anyagából - 80 perc – elvárt min: 15+15 A félév során a hallgatók pontokat szerezhetnek az előadó és a gyakorlatvezető által kiadott feladatok megoldásával. Ezek a pontok hozzáadódnak a ZH-kon elért pontszámhoz, de a kettes gyakorlati jegyhez teljesíteni kell a ZH-kon előírt minimális pontszámot.

5 Változás az MSDNAA programban
Minden hallgató az ETR-ben található címe alapján lesz beregisztrálva, ezért arra kérünk mindenkit, hogy az ETR-ben olyan címet adjon meg, amit használ. Határidő: szeptember :00 Az címek kiolvasása szeptember 30-án 12:00-kor történik, tehát aki addig nem aktualizálja címét az ETR-ben, az EGY ÉVRE kimarad a programból, azaz a tanszéki laborok gépein kívül nem használhatja legálisan pl. a Visual Studio-t, vagy Windows XP/7/... sorozatot, csak ha megvásárolja őket. Bolla Kálmán MSDNAA Adminisztrátor

6 Ismétlés A TCP/IP modell
Alkalmazási – meghatározza, hogy hogyan férnek a hálózathoz az egyes alkalmazások. (OSI: együttműködési+megjelenítési+alkalmazási) Fontos protokollok: HTTP, FTP, SMTP, DNS, POP3, SNMP Szállítási – meghatározza két TCP/IP hoszt között a kommunikációs kapcsolatot (session). (OSI: szállítási) Fontos protokollok: TCP, UDP Internet – felelős a címzésért és a forgalomirányításért. (OSI: hálózati) Fontos protokollok: IP, ARP, ICMP, IGMP Hálózat elérési – felelős a fizikai hálózaton keresztüli adat küldésért és fogadásért (OSI: fizikai+adatkapcsolati) Forrás A TCP/IP modell egy protokoll család, ami a DARPA (Defense Advanced Research Projects Agency) modellt követi. Négy réteggel támogatja a számítógépek közötti kommunikációt.

7 Néhány fontosabb protokoll1
ICMP – Internet Control Message Protocol: hibaüzenetek vagy a TCP/IP-t megvalósító szoftvernek szánt üzenetek (pl. destination host unreachable), információgyűjtés a hálózatról. Nincs portszám, az üzenet egyetlen datagrammban elfér (diagnosztizálás, pl. ping). IGMP – Internet Group Management Protocol: multicast üzenetek továbbítását teszi lehetővé. Közvetíti a csoporttagságot a hosztok és az útvonalválasztók felé. Multicast: gépcsoportoknak szóló Hosztok: itt a csoportban résztvenni kívánó gépek ICMP-üzenet: Leírás Visszhangkérés: Eldönti, hogy egy IP-csomópont (egy állomás vagy egy útválasztó) elérhető-e a hálózaton. Visszhangválasz: Válaszol az ICMP-visszhangkérésre. A cél nem érhető el: Tájékoztatja az állomást, hogy a datagram nem kézbesíthető. Forráselnyomás: Túlterheltség esetén tájékoztatja a küldő állomást, hogy csökkentse a datagramok küldésének sebességét. Átirányítás: A küldő állomást egy előnyösebb útról tájékoztatja. Időtúllépés: Jelzi, hogy egy IP-datagram élettartama (TTL) lejárt. IGMP

8 Néhány fontosabb protokoll2
SNMP – Simple Network Management Protocol: Hálózatra kötött eszközök vezérlése, adatainak lekérdezése. A menedzselhető eszközön (pl. nyomtatók, forgalomirányító, szerver, stb.) fut egy démon. A menedzselő eszközön (szg.) fut a kliens program. SMTP – Simple Mail Transfer Protocol: Eredetileg 7 bites levélküldési protokoll (csak angol abc). Első megvalósítása a Sendmail program volt. Ma 8 bites MIME . POP3 – Post Office Protocol: Segítségével kliensek leveleket töltenek le egy kiszolgálóról. SNMP Az SNMP segítségével a TCP/IP család minden rétegét lehet vezérelni, mint például alkalmazás rétegbeli adatbázisokat, szervert, Java EE referenciamodelleket, de akár routerek beállításait is. Az SNMP a szerver kliens felépítést követi. A menedzselhető eszközön fut egy snmp daemon - a szerver -, amely többnyire a 161 és 162-es portokon figyel a kérésekre. A kéréseket a menedzselő állomás - a kliens - küldi, ez leggyakrabban egy számítógép, amely előtt az adott rendszer adminisztrátora ül. Az SNMP modell 4 összetevője: 1) Felügyelt csomópontok 2) Felügyeleti állomások 3) Felügyeleti folyamat (információ) 4) SNMP protokoll (Felügyeleti protokoll)

9 IP címek - IPv4 IPv4 32 bit 5 osztály A 0… 1+7+24 1-127.x.x.x
B 10… x.x.x C 110… x.x.x D 1110… x.x.x E 1111… x.x.x D: multicast címek: egy multicast csoport, nincs alhálózat megjelölve, mert a gépek különböző alhálózatokban helyezkedhetnek el E: fenntartott (és korlátozottan szórt) IP Address Class E and Limited Broadcast The IPv4 networking standard defines Class E addresses as reserved, meaning that they should not be used on IP networks. Some research organizations use Class E addresses for experimental purposes. However, nodes that try to use these addresses on the Internet will be unable to communicate properly. A special type of IP address is the limited broadcast address A broadcast involves delivering a message from one sender to many recipients. Senders direct an IP broadcast to to indicate all other nodes on the local network (LAN) should pick up that message. This broadcast is 'limited' in that it does not reach every node on the Internet, only nodes on the LAN. Technically, IP reserves the entire range of addresses from through for broadcast, and this range should not be considered part of the normal Class E range.

10 Hatókör szerint Nyilvános Magánhálózati
Automatikus konfigurációnál használt

11 Magánhálózati címtartományok
A 10.x.x.x B x.x – x.x C x.x

12 Automatikus konfiguráció (link-local) címek
APIPA - Automatic Private IP Addressing Avahi - maki majom APIPA – segítségével egy Windows-os DHCP ügyfél automatikus TCP/IP konfigurációra képes ha nem talál DHCP kiszolgálót. Zárt alhálózaton, ha nincs routolás. Kis hálózaton működik.

13 Hálózati maszk A B C Alhálózatok esete A hálózati maszk segítségével állapítható meg, hogy az IP cím mely része azonosítja a hálózatot és mely része az interfészt. Alhálózatoknál a hoszt ID rész néhány bitjét használják az alhálózat beazonosítására. A hálózati maszkban ezek a bitek is 1-es értékűek. Helyi hálózaton van-e a célállomás? Bitenkénti ÉS művelet. Miért szükséges az alhálózatok kialakítása?

14 Megoldások az IPv4 címek kis száma miatti problémára
CIDR NAT IPv6

15 CIDR Classless Inter-Domain Routing (Variable Length Subnet Mask)
1993-ban vezették be Cél: az IPv4 címtartomány jobb kihasználása és a routing táblák méretének csökkentése (route aggregation – különféle hálózatok egyetlen bejegyzésben) A hoszt ID nem csak az osztálybesorolásnál megszokott méretű lehet Nagyságát egy utótag adja meg /17 = = / Forrás:

16 Jelöl Címek Alháló maszk d. Alháló maszk bin. /8 /9 128x65536 /10 64x65536 /11 32x65536 /12 16x65536 /13 8x65536 /14 4x65536 /15 2x65536 /16 1x65536 /17 128x256 /18 64x256 /19 32x256 /20 16x256 /21 8x256

17 Jelöl Címek Alháló maszk d. Alháló maszk bin. /22 4x256 /23 2x256 /24 1x256 /25 128x1 /26 64x1 /27 32x1 /28 16x1 /29 8x1 /30 4x1 /31 2x1 /32 1x1

18 NAT: Network Address and Port Translation
Hálózati címfordítás Lehetővé teszi a belső hálózatra kötött gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel anélkül, hogy azoknak saját nyilvános IP-címmel kellene rendelkezniük Hátrány: erőforrásigényesség Kép forrása:

19 IPv6 Tulajdonságok 128 bit, 1994 A címzés hierarchikus – miért jó?
Támogatja a munkaállomások automatikus hálózati konfigurálását CIDR-t használ Egy interfésznek több címe is lehet Cím típusok Egycélú (Egyedi küldés) (unicast) : egy adott interfészt azonosít Választható célú (Csomópont-választásos küldés) (anycast) : interfészek egy csoportját azonosítja, de a csomagot elég a csoport egyetlen tetszőleges tagjához eljuttatni (ha a csoportból valaki megkapja, a többiek már nem kapják meg) Többcélú (Csoportos küldés) (multicast) : az interfészek egy csoportját azonosítja, a csomagot minden a csoportba tartozó interfész meg kell kapja Broadcast nincs – helyét a multicast veszi át Szintaktikailag az anycast cím nem különböztethető meg az unicast címtől A hierarchikus címkiosztás megkönnyíti az útválasztás megoldását.

20 IPv6 cím 8 db 4 hexadecimális számjegyből álló csoport kettőspontokkal elválasztva 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 Kezdőbitek határozzák meg a cím típusát

21 128-bites IPv6 cím 3FFE:085B:1F1F:0000:0000:0000:00A9:1234 8 csoport 16-bites hexa számokból, elválasztó jel “:” Kezdő nullák elhagyhatók 3FFE:85B:1F1F::A9:1234 :: = egy vagy több egymást követő csoportban csak nullák vannak

22 IPv6 címek http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:443/
0:0:0:0:0:0:0:0 vagy :: – helyettesítő cím, ha nincs cím, Pl. kezdeti DHCP kérés ::1 –localhost (loopback) cím ping ::1 ::ffff:IPv4/96 – átfordított (mapped) IPv4-es címekre

23 Unicast címek felosztása érvényeségi kör szerint
Világméretű (mint az IPv4 publikus) Global unicast Lokális (mint az IPv4 privát) Telephely (site) szintű: Site-local (elavult!) Helyi: Unique-local Szegmens szintű: Link-local hatókör

24 Global unicast cím Ábra forrása
A globális azn (45 bit) lehet ISP vagy site azonosító A 16 bit alhálózat vagy site azonosító A 64 bit lehet MAC cím alapján Global Unicast Addresses IPv6 global addresses are equivalent to public IPv4 addresses. They are globally routable and reachable on the IPv6 Internet. Global unicast addresses are designed to be aggregated or summarized for an efficient routing infrastructure. Unlike the current IPv4-based Internet, which is a mixture of both flat and hierarchical routing, the IPv6-based Internet has been designed from its foundation to support efficient, hierarchical addressing and routing. The scope of a global address is the entire IPv6 Internet. RFC 4291 defines global addresses as all addresses that are not the unspecified, loopback, link-local unicast, or multicast addresses. However, Figure shows the structure of global unicast addresses defined in RFC 3587 that are currently being used on the IPv6 Internet. The structure of global unicast addresses defined in RFC 3587 The fields in the global unicast address are described in the following list: Fixed portion set to 001 the three high-order bits are set to 001. Global Routing Prefix Indicates the global routing prefix for a specific organization’s site. The combination of the three fixed bits and the 45-bit Global Routing Prefix is used to create a 48-bit site prefix, which is assigned to an individual site of an organization. A site is an autonomously operating IP-based network that is connected to the IPv6 Internet. Network architects and administrators within the site determine the addressing plan and routing policy for the organization network. Once assigned, routers on the IPv6 Internet forward IPv6 traffic matching the 48-bit prefix to the routers of the organization’s site. Subnet ID The Subnet ID is used within an organization’s site to identify subnets within its site. The size of this field is 16 bits. The organization’s site can use these 16 bits within its site to create 65,536 subnets or multiple levels of addressing hierarchy and an efficient routing infrastructure. With 16 bits of subnetting flexibility, a global unicast prefix assigned to an organization site is equivalent to a public IPv4 Class A address prefix (assuming that the last octet is used for identifying nodes on subnets). The routing structure of the organization’s network is not visible to the ISP. Interface ID Indicates the interface on a specific subnet within the site. The size of this field is 64 bits. The interface ID in IPv6 is equivalent to the node ID or host ID in IPv4. Forrás:

25 Site-Local unicast címek FEC0:: … FEFF::
Ábra forrása Cégen belüli (privát) címzés - intranet A címek generálása nem automatikus Nem routolják Lehetővé teszi szervezeti hálózat címzését Elavult! RFC 3879 (2004) érvénytelenné tette, csak régebben volt használatos Site-Local Addresses FEC0:: through FFFF:: represent a particular site or company. These addresses can be used within a company without having to waste any public IP addresses—not that this is a concern, given the large number of addresses available in IPv6. However, by using private addresses, you can easily control who is allowed to leave your network and get returning traffic back by setting up address translation policies for IPv6. Site-local addresses, identified by setting the first 10 bits to , are equivalent to the IPv4 private address space ( /8, /12, and /16). For example, private intranets that do not have a direct, routed connection to the IPv6 Internet can use site local addresses without conflicting with global addresses. Site-local addresses are not reachable from other sites, and routers must not forward site-local traffic outside the site. Site-local addresses can be used in addition to global addresses. The scope of a site-local address is the site. Unlike link-local addresses, site-local addresses are not automatically configured and must be assigned either through stateless or stateful address autoconfiguration. The first 10 bits are always fixed for site-local addresses, beginning with FEC0::/10. After the 10 fixed bits is a 54-bit Subnet ID field that provides 54 bits with which you can create subnets within your organization. You can have a flat subnet structure, or you can divide the high order bits of the Subnet ID field to create a hierarchical and summarize able routing infrastructure. After the Subnet ID field is a 64-bit Interface ID field that identifies a specific interface on a subnet. Site-local addresses have been formally deprecated in RFC 3879 for future IPv6 implementations. However, existing implementations of IPv6 can continue to use site-local addresses. Forrás:

26 Unique local címek Ábra forrása
Cégen belüli (privát) címzés - intranet De a cím egyedi a világon – cégen belüli házirenddel tiltható a forgalom Unique Local Addresses Site-local addresses provide a private addressing alternative to global addresses for intranet traffic. However, because the site-local address prefix can be reused to address multiple sites within an organization, a site-local address prefix can be duplicated. The ambiguity of site local addresses in an organization adds complexity and difficulty for applications, routers, and network managers. To replace site-local addresses with a new type of address that is private to an organization yet unique across all the sites of the organization, RFC 4193 defines unique local IPv6 unicast addresses. The first 7 bits have the fixed binary value of All local addresses have the address prefix FC00::/7. The Local (L) flag is set 1 to indicate that the prefix is locally assigned. The L flag value set to 0 is not defined in RFC Therefore, unique local addresses within an organization with the L flag set to 1 have the address prefix of FD00::/8. The Global ID identifies a specific site within an organization and is set to a randomly derived 40-bit value. By deriving a random value for the Global ID, an organization can have statistically unique 48-bit prefixes assigned to their sites. Additionally, two organizations that use unique local addresses that merge have a low probability of duplicating a 48-bit unique local address prefix, minimizing site renumbering. Unlike the Global Routing Prefix in global addresses, the Global IDs in unique local address prefixes are not designed to be summarized. Unique local addresses have a global scope, but their reach ability is defined by routing topology and filtering policies at Internet boundaries. Organizations will not advertise their unique local address prefixes outside of their organizations or create DNS entries with unique local addresses in the Internet DNS. Organizations can easily create filtering policies at their Internet boundaries to prevent all unique local-addressed traffic from being forwarded. Because they have a global scope, unique local addresses do not need a zone ID. The global address and unique local address share the same structure beyond the first 48 bits of the address. In both addresses, the 16-bit Subnet ID field identifies a subnet within an organization. Because of this, you can create a subnetted routing infrastructure that is used for both local and global addresses. For example, a specific subnet of your organization can be assigned both the global prefix 2001:DB8:4D1C:221A::/64 and the local prefix FD0E:2D:BA9:221A::/64, where the subnet is identified for both types of prefixes by the Subnet ID value of 221A. Although the subnet identifier is the same for both prefixes, routes for both prefixes must still be propagated throughout the routing infrastructure so that addresses based on both prefixes are reachable. Forrás:

27 Link-Local unicast címek FE80:0:0:0:Interfész
Kép forrása FE80::/64 Csak egy linken (szegmensen) belül értelmezett Router nem továbbítja Konfigurálása mindig automatikus Átjáró felderítés, más 2. rétegbeli szomszédok (azonos szegmensen levő eszközök) felderítése Link-Local Addresses FE80::/64 Link-local addresses are a new concept in IPv6. These kinds of addresses have a smaller scope as to how far they can travel: just the local link (the data link layer link). Routers will process packets destined to a link-local address, but they will not forward them to other links. Their most common use is for a device to acquire unicast site-local or global unicast addressing information, discovering the default gateway, and discovering other layer 2 neighbors on the segment. IPv6 link-local addresses, identified by the initial 10 bits being set to and the next 54 bits set to 0, are used by nodes when communicating with neighboring nodes on the same link. For example, on a single-link IPv6 network with no router, link-local addresses are used to communicate between hosts on the link. IPv6 link-local addresses are similar to IPv4 link-local addresses defined in RFC 3927 that use the /16 prefix. The use of IPv4 link-local addresses is known as Automatic Private IP Addressing (APIPA) in Windows Vista, Windows Server 2008, Windows Server 2003, and Windows XP. The scope of a link local address is the local link. A link-local address is required for some Neighbor Discovery processes and is always automatically configured, even in the absence of all other unicast addresses. Link-local addresses always begin with FE80. With the 64-bit interface identifier, the prefix for link-local addresses is always FE80::/64. An IPv6 router never forwards link-local traffic beyond the link. Forrás:

28 Multicast címek Csoportos címzés, helyettesíti az üzenetszórást
A csoport minden tagja megkapja Flags: 000T, T=0 állandó (permanently-assigned==well-known) multicast cím, Internet Assigned Numbers Authority (IANA) T==1 ideiglenes Scope: hatókör (RFC 2373) Scope The Scope field indicates the scope of the IPv6 internetwork for which the multicast traffic is intended. The size of this field is 4 bits. In addition to information provided by multicast routing protocols, routers use the multicast scope to determine whether multicast traffic can be forwarded. 1 Node-local 2 Link-local 5 Site-local 8 Organization-local E Global

29 Hatókörök értelmezése
Forrás:

30 Állandó multicast címek
Hatókörtől függetlenek Az összes interfész node-local és link-local hatókörben: FF01::1 (node-local scope all-nodes address) FF02::1 (link-local scope all-nodes address) Az összes router the node-local, link-local, és site-local hatókörben: FF01::2 (node-local scope all-routers address) FF02::2 (link-local scope all-routers address) FF05::2 (site-local scope all-routers address)

31 Anycast címek Azonos felépítésű a unicast-tal
Cél, hogy a legközelebbi interfész kapja meg a csomagot Automatikusan keletkezik, amikor egy unicast címet egynél több interfészhez rendelünk IPv6 Anycast Addresses Anycast addresses are a new, unique type of address that is new to IP in IPv6; the IPv6 implementation is based on the material in RFC 1546, Host Anycasting Service. Anycast addresses can be considered a conceptual cross between unicast and multicast addressing. Where unicast says “send to this one address” and multicast says “send to every member of this group”, anycast says “send to any one member of this group”. Naturally, in choosing which member to send to, we would for efficiency reasons normally send to the closest one—closest in routing terms. So we can normally also consider anycast to mean “send to the closest member of this group”. The idea behind anycast is to enable functionality that was previously difficult to implement in TCP/IP. Anycast was specifically intended to provide flexibility in situations where we need a service that is provided by a number of different servers or routers but don't really care which one provides it. In routing, anycast allows datagrams to be sent to whichever router in a group of equivalent routers is closest, to allow load sharing amongst routers and dynamic flexibility if certain routers go out of service. Datagrams sent to the anycast address will automatically be delivered to the device that is easiest to reach. Perhaps surprisingly, there is no special anycast addressing scheme: anycast addresses are the same as unicast addresses. An anycast address is created “automatically” when a unicast address is assigned to more than one interface. Like multicast, anycast creates more work for routers; it is more complicated than unicast addressing. In particular, the further apart the devices that share the anycast address are, the more complexity is created. Anycasting across the global Internet would be potentially difficult to implement, and IPv6 anycasting was designed for devices that are proximate to each other, generally in the same network. Also, due to the relative inexperience of the Internet community in using anycast, for the present time anycast addresses are used only by routers and not individual hosts Forrás:

32 DHCP kiszolgáló Ügyfél Kiszolgáló DHCP discover Szórt üzenet
Ügyfél Kiszolgáló DHCP offer Szórt üzenet Ügyfél Kiszolgáló DHCP request Szórt üzenet Dynamic Host Configuration Protocol – központisított TCP/IP konfiguráció kiosztás előre meghatározott bérleti idővel (érvényességi idő). Ha több alhálózatra is ki akarjuk terjeszteni a szolgáltatást, akkor a hálózatokat összekapcsoló elemeken DHCP Relay Agent (továbbító ügynök) programot kell telepíteni. Ügyfél Kiszolgáló DHCP ack Szórt üzenet

33 Mit kap az ügyfél? IP cím Átjáró címe (forgalomirányító)
DNS kiszolgálók címei DNS tartománynév Alhálózati maszk Bérleti időtartam WINS csomóponttípus WINS kiszolgálók címei A kiszolgáló több hálókártyán keresztül különböző alhálózatokat (akár eltérő IP címtartományokkal) láthat el konfigurációval, így hatóköröket (scope) különböztethetünk meg. Beállítás után aktiválni kell a hatókört. Ha tartományban van a kiszolgáló gép, akkor engedélyeztetni is kell. Ezt Vállalati rendszergazdák tartományi csoport tagja teheti meg Windows szerveren. Internet megosztásnál az XP is képes DHCP szerverként működni.


Letölteni ppt "Hálózati adminisztráció"

Hasonló előadás


Google Hirdetések