R&c 05 14_2 - Protocolo IP (Parte 2)

1

R&C+R&I 1 / ISTEC – 14/15

Protocolo IP (continuação)Protocolo IP (continuação)

2

R&C+R&I 1 / ISTEC – 14/155.12 – Protocolos de Routing

Sistema Autónomo

Sistema Autónomo

Sistemas Autónomos (SA):• Conjunto de redes com controlo e protocolos de routing específicos e comuns: IGP (Interior Gateway Protocols)• Routers internos apenas contêm referências a outros routers/sub-redes de SA• Do exterior é visto como uma entidade única• Facilitar gestão de informação de routing dos milhões de sistemas da internet* Exemplo: empresa ou ISP

IGP

IGP

EGP

IGP (Interior Gateway Protocols):• Protocolo entre routers internos de SAEGP (Exterior Gateway Protocol):• Protocolo entre routers nas fronteiras de diferentes SAs •Tabelas de routers contêm referências a SAs

3


� Protocolos de Routing:* RIP - Routing Information Protocol (RFC 1058):

* Utilizado no interior de redes autónomas: IGP (Interior Gateway Protocol)

* Actualização dinâmica de tabelas de routing* Troca de mensagens entre routers

* Transmitidas em broadcast para todos os restantes routers* Informação de tabelas de routing * Periodicamente (aprox. 30 seg)

* Utiliza algoritmo “Distance-Vector”, escolha caminho/destino c\ base:* Menor distancia - nº de ligações entre routers (“hops”)* Menor custo - preferência de administrador da rede

* BGP - Border Gateway Protocol (RFC 1771):* Utilizado na fronteira entre redes diferentes e autónomas: EGP* Utiliza algoritmo “Path-Vector” : especifica rotas para outras redes com

base em caminhos definidos e nº de redes atravessadas

External GW Protocol

4

R&C+R&I 1 / ISTEC – 14/15

* OSPF - Open Shortest Path First (RFC 1247):* Protocolo IGP +recente & +desempenho que RIP* Utiliza algoritmo “Link-State” - informação + completa :

* Menor distancia - nº de ligações entre routers (“hops”)* Maior velocidade das ligações* Menor atraso - congestionamento em routers* Menor custo - preferência de administrador da rede

* Actualização dinâmica de tabelas de routing - diferenças para RIP* Cada router executa algoritmo (Dijkstra) para determinar

melhor caminho com base em tabela Link-State Database com topologia e estado/métrica de caminhos da rede

* Apenas transmite alterações de topologias de rede* Apenas existe troca de informação entre routers quando

existem alterações nas respectivas tabelas

+ Eficiente / - Pacotes de Controlo

+ Rápida convergência de tabelas de routers

5.12 – Protocolos de Routing

5


10

20

50 A

B

C

D E

F

25

25

35

30

10

15

* Funcionamento de OSPF:

1.Todos os routers apresentam-se aos vizinhos e ficam a conhecer a métrica associada a cada ligação direta a routers vizinhos

2.Cada router comunica o conteúdo da tabela 1) aos restantes routers todos os routers conseguem construir base de dados com a topologia da rede + caminhos/custos possíveis (link state database) :

Tabela Router A

Vizinho Métrica

B 10

C 50

D 25

Link State Data Base

A B C D E F

B - 10 A - 10 A - 50 A - 25 C - 30 C - 35

C - 50 D - 20 D - 15 B - 20 D - 25 E - 10

D - 25 E - 30 C - 15 F - 10

F - 35 E - 25

6

R&C+R&I 1 / ISTEC – 14/15

* Funcionamento de OSPF:

3. Executado algoritmo para cálculo de caminho “ótimo” para qualquer outro nó da rede (Dijkstra)

4. Exemplo de alteração: ligação A-D ficar temporariamente desactivada recalcular estrutura de caminhos “ótimos” (alterações a bold)

5.12 – Protocolos de Routing

10

A

B

C

D E

F25

25

35

15

Melhores caminhos de Router A para restantes routers da rede:

10

A

B

C

D E

F

2025

3550

X

CaminhosÓtimos Router A

Vizinho Métrica

B 10

C 40->50

D 25->30 (via B)

Caminhos

Ótimos Router A

Vizinho Métrica

B 10

C 40 (via D)

D 25

7

R&C+R&I 1 / ISTEC – 14/15

* Exemplo de Routing (RIP)

5.13 – Routing

Metrica - nº de retransmissões / custo2 Caminhos para mesmo destino Escolher o de menor Metrica

192.168.2.0

192.168.0.0

E1=1192.168.0.5

Router2

Programação de Router2 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 Ethernet2=E2 1 192.168.1.0 255.255.255.0 Tokenring2=T2 1192.168.2.0 255.255.255.0 192.168.0.5 Ethernet2=E2 20.0.0.0 0.0.0.0 192.168.1.5 Tokenring2=T2 2

INTERNET

Router3

192.168.1.0E2=192.168.0.1

T3=192.168.1.5

T2=192.168.1.1

T1=192.168.2.3

Router1

Router recebe pacote:Selecciona entrada correspondente a endereço de (sub)Rede Destino1) Se encontrar entrada encaminha pacote para Interface de saída correspondente, que liga a Próximo Router 2) Se não encontrar entrada utilizar entrada 0.0.0.0

8

R&C+R&I 1 / ISTEC – 14/15

* Exemplo de Routing

5.13 – Routing


192.168.2.0

192.168.0.0

E1=192.168.0.5

Programação de Router1 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 E1 1 192.168.1.0 255.255.255.0 192.168.0.1 E1 2192.168.2.0 255.255.255.0 T1 10.0.0.0 0.0.0.0 192.168.0.1 E1 3

INTERNET

Router3

192.168.1.0

E1

T3=192.168.1.5

T1=192.168.2.3

Router2

E2=192.168.0.1

Router1

T2=192.168.1.1


9

R&C+R&I 1 / ISTEC – 14/15

* Exemplo de Routing


5.13 – Routing

192.168.2.0

192.168.0.0

Router1 Router2

Programação de Router3 (Gateway Address)Rede Destino Mascara Próximo Router Interface Metrica192.168.0.0 255.255.255.0 192.168.1.1 T3 2 192.168.1.0 255.255.255.0 T3 1192.168.2.0 255.255.255.0 192.168.1.1 T3 30.0.0.0 0.0.0.0 E3 1

INTERNET

192.168.1.0

E3

T3=192.168.1.5

T2=192.168.1.1


10

R&C+R&I 1 / ISTEC – 14/15

� Protocolos “auxiliares” de IP* Funcionam no nível 3 (como IP)* ICMP (Internet Control Message Protocol):

* Protocolo de controlo e testes * Gestão da rede* Teste de acessibilidade de destinos (redes ou terminais)* Transporte de alterações de tabelas de routing* Criação de estatísticas

* Utiliza IP para envio de mensagens* Exemplo, aplicação ping:

* Utilizada para testar conectividade com um dado destino* Originador ao invocar ping envia mensagem ICMP Echo

Request para terminal destino via rede(s) de comunicação* Destinatário, se operacional e se receber Echo Request,

responde com mensagem ICMP Echo Reply (porto 7)

5.14 – Protocolos “auxiliares” de IP/Gestão: ICMP

Header IP Data IP(mensagem ICMP)

11

R&C+R&I 1 / ISTEC – 14/15

� Protocolo “auxiliares” de IP* Protocolo ARP (Address Resolution Protocol) - RFC 826:

* Utilizado para obter endereço físico (nível 2/MAC) a partir de end. IP* Ex. converter IP (32 bits) em Ethernet (48 bits)

192.168.0.5 00-80-C8-8A-6F-42 • Funcionamento de protocolo ARP:

1. Terminal que necessita de saber endereço nível 2 de um outro terminal, com quer comunicar, envia mensagem ARP contendo o IP desse terminal ,a todos terminais da rede

2. Apenas terminal correspondente a esse IP responde a mensagem anterior com mensagem contendo o seu endereço nível 2

3. Cache ARP: Objetivo só ser necessário resolver 1x endereço N2

Exemplo: cada router de uma LAN mantém uma tabela com a associação endereços IP/MAC e só efetua pedido 1) caso a informação de 1 endereço ainda não conste nessa tabela

* Protocolo RARP (Reverse ARP) faz procedimento inverso

5.15 – Protocolos “auxiliares” de IP/Gestão: ARP

12

R&C+R&I 1 / ISTEC – 14/155.16 – Protocolos “auxiliares” de IP/QoS: MPLS

* MPLS (MultiProtocol Label Switching) - RFC 3031:* Objetivo: QoS em redes IP* Gestão de diferentes tipos de fluxos de tráfego/aplicações

* Definidos por FEC (Forward Equivalence Class) QoS* FEC definido c\ base em: combinações de endereços IP, portos,

protocolos de aplicação* Mapea cabeçalho IP em cabeçalho mais simples de comprimento fixo:

* Routing mais simples e rápido do que IP* IP necessita de consultar tabelas de routing

* Labels: campo de cabeçalho que define caminho c\ base em FEC* Corresponde a endereço de encaminhamento* Routing com base em label

Header MPLS Header IP Data IP

Pacote IP

13

R&C+R&I 1 / ISTEC – 14/155.16 – Protocolos “auxiliares” de IP/QoS: MPLS

* MPLS (MultiProtocol Label Switching) - RFC 3031:* Independente de protocolos de N2, ex. Frame Relay, ATM, Ethernet* Dois tipos de routers:

* LER (Label Edge Router): routers na fronteira da rede MPLS* Interface c\ redes IP* Gestão de atribuição de Labels a pacotes em função de FEC* Maior complexidade/”inteligência“ do que LSR

* LSR (Label Switching Router): routers no interior da rede MPLS* Encaminha pacotes c\ base em Labels => + rápido de que IP* Cada router mapea e atualiza Label c\ identificador a usar em

cada troço * Orientado à Ligação:

Entrada (LER)Router A

LSRRouter B

Saída (LER)Router C

Rede IP

Destino

Rede IP

Destino

Rede IP

Origem

Rede IP

Origem

1) Pedido de Label pra

Rede Destino

1) Pedido de Label pra

Rede Destino

2) Resposta c\ Label pra

mapear end. IP

2) Resposta c\ Label pra

mapear end. IP

14

R&C+R&I 1 / ISTEC – 14/15

* Cabeçalho MPLS:

* Label: corresponde a endereço de pacote* Define percurso pré-estabelecido para pacotes da mesma aplicação* Baseado em FEC

* Exp(erimental): define prioridade/QoS de pacote para processamento na rede e garantir interoperabilidade com outros protocolos (ex. Diffserv)

* S(tack): possibilidade de usar multiplos-cabeçalhos encapsuladas (VPN)

* Apenas processados por routers LERs (fronteira da rede MPLS)* Se=1 Cabeçalho corrente é último (bottom of stack)

* TTL: Tempo de vida

5.16 – Protocolos “auxiliares” de IP/QoS: MPLS

Label Exp S TTL

20 bits 8 bits3 1

CabeçalhoMPLS

Pacote IP

32 bits

Apenas para informação

15

R&C+R&I 1 / ISTEC – 14/155.17 - Protocolos “auxiliares” de IP/QoS: Serviços Diferenciados (Differentiated Services)

� Diferença para MPLS: uso de cabeçalho IP� Objetivos (semelhantes a MPLS):

* Classificar e diferenciar os pacotes IP em função de requisitos de QoS * Manter a arquitetura simples no interior da rede (core)* Maior complexidade/inteligência na periferia da rede (edge)* Apenas disponibilizar diferenciação de serviços dentro de domínio de

rede: • Conseguir diferenciação de tráfego (possibilitar diferenciação de $$$

para aplicações e clientes mais prioritárias)

HH

H

H

H

edgerouter

corerouter

H host

16

R&C+R&I 1 / ISTEC – 14/155.17 - Protocolos “auxiliares” de IP/QoS: Diffserv

� Edge router:* Classifica e marca os pacotes, em função dos requisitos de QoS* Modelar o perfil de ritmo de pacotes, em função de características de

tráfego da aplicação� Core router:

* Armazenamento e escalonamento de transmissão de pacotes com base na marcação feita nos edge routers

* Manter um Per-Hops Behavior (PHB): manter o perfil de tráfego definido nos edge routers (ex. ritmo) ao longo dos saltos (hops) de transmissão de pacotes entre cada router

* Não é necessário manter informação de estado de ligações

classifier shaper

PHB /data

edge coremark: /data

17


� Protocolo Diffserv baseado nas seguintes funcionalidades:* Classificador:

• Identifica requisito de QoS de pacotes (e respetiva aplicação) com base em informação contida no cabeçalho dos pacotes IP:– Endereços IP, Portos/Serviços, Protocolos de camadas sup.

* Marcador:• Marcar/colorir os pacotes em função da sua classificação

– Redefine campo TOS como DSCP (Differentiated Services Code Point)

* Medidor:• Faz verificação de características de tráfego de entrada

– Verifica se tráfego está em conformidade com esperado/negociado (usa algoritmo token bucket)

– Reporta conformidade a elementos com funções:• shaper : se necessário reduzir e estabilizar ritmo de

transmissão (aumentar e colocar constante t entre pacotes)

• dropper: se necessário eliminar pacotes (policiamento)

18


Funcionamento Diffserv:

19


Funcionalidades Diffserv:

20


� Classificação e marcação de pacotes* Pacotes são marcados nos campos:

• IPv4: Type of Service (TOS), de 8 bits• IPv6: Traffic Class

* Usados 6 bits de TOS para definição do campo DSCP para Diffserv• Inicial/ IP usava os 6 bits de TOS como campo “IP Precedence”• Necessário assegurar compatibilidade “IP Precedence”/DSCP• DSCP define um conjunto de classes para diferentes tipos de QoS• Valor atribuído a DSCP vai

– condicionar características de tráfego nos edge routers– determinar PHB de routers core

* 2 bits atualmente não usados: Currently Unused (CU)


21


Classes Diffserv: + Prioridade

- Prio.


22


� Interoperabilidade MPLS/Diffserv:* 3 bits +significativos de DSCP copiados para campo EXP de MPLS* Diffserv com maior granularidade do que MPLS:

• Diffserv mais usado na periferia da rede para diferenciar tráfego• MPLS mais usado no core da rede para acelerar transporte de

tráfego

EXP: 3 DSCP: AF3 CE: customer edge routerP: MPLS provider core router (LSR)PE : MPLS provider edge router (LER)VRF: Virtual Routing and Forwarding

23


BE

CS 5 <=> EFCS x <=> AF xCS 0 => BEPara assegurar a compatibilidade de redes Diffserv com redes que ainda usam “IP

precedence” , o Diffserv definiu a Class Selector (CS)


24

R&C+R&I 1 / ISTEC – 14/15

� Protocolo IPSec (IP Security) - RFC 1825:* Autenticação e Encriptação ao nível IP

* Invisível para Aplicações e Utilizadores

Aplicação

Transporte

IP + IPSec

Terminal-a-Rede

* Se implementacão ao nível de FW ou Routers: Possibilidade de suportar NAT

5.18 – Protocolos “auxiliares” de IP/Seg.: IPSec

25

R&C+R&I 1 / ISTEC – 14/15

� Protocolo IPSec (IP Security):* Estabelecimento de associações de segurança (SA: Security

Association) entre as entidades comunicantes * Utilização de Cabeçalhos de Extensão:

* AH: Autenthication Header* Garante autenticidade e integridade de pacotes IP* Checksum criptográfico de Dados Não garante confidencialidade

* ESP: Encapsulation Security Payload* Garante confidencialidade e integridade de pacotes IP* Contem informação de encriptação de pacote

* Suporte de 2 modos de funcionamento:* Transporte:

* Protecção de Dados do utilizador (Payload)* Utilizado em comunicação extremo-a-extremo

* Túnel:* Protecção de todo o pacote* Pacote é tratado como Dados de um novo pacote


Possível usar 1 de vários algoritmos de encriptação. Ex. 3DES(Triple Data Encryption Standard)

26

R&C+R&I 1 / ISTEC – 14/15

� Arquitectura IPSec (IP Security):Modo de Transporte:

Modo de Túnel:

Internet

CabeçalhoIP

ESP AH CabeçalhoTCP

Dados

Protegido

Internet

CabeçalhoIP Externo

ESP CabeçalhoIP Interno

Dados

Protegido

CabeçalhoIP Externo

CabeçalhoIP Interno

=/=


Router Router

(Possibilidade de suportar NAT)

27

R&C+R&I 1 / ISTEC – 14/15

� Associações de Segurança (SA: Security Association) :* Conjunto de regras e parâmetros que possibilitam o estabelecimento

de uma comunicação segura IPSec (autenticada e/ou encriptada) entre 2 máquinas comunicantes:• Regras de segurança acordadas:

– Algoritmo de encriptação (ESP)– Algoritmo de autenticação (AH)

• Parâmetros relevantes especificados:– Parâmetros de autenticação e encriptação:

• Chaves a usar na encriptação• Vetores (conjunto de bits) de inicialização de algoritmo de

encriptação– Identificador de SA: Security Parameter Index (SPI)– Endereço IP destino– Modo do protocolo: túnel ou transporte


28

R&C+R&I 1 / ISTEC – 14/15

� Associações de Segurança (SA: Security Association) :• É unidirecional =>

– Para comunicações bidirecionais é necessário uma SA para cada direção da comunicação

• São utilizados protocolos de gestão de chaves na internet para estabelecimento de SAs, exemplo:– IKE: Internet Key Exchange

1. Estabelece canal seguro (SA) entre as 2 entidades comunicantes

2. Troca de chaves em SA estabelecida em 1.

3. Negociação de regras e parâmetros IPSec dentro de SA estabelecida em 1.


29

R&C+R&I 1 / ISTEC – 14/15

� Associações de Segurança (SA: Security Association):* Exemplo de SA:

• IP Origem:192.168.0.3• IP Destino:193.136.66.209


30

R&C+R&I 1 / ISTEC – 14/15

� VPN (Virtual Private Networks):* Possibilitar interligação de redes privadas através de canais de

comunicação seguros e virtual/ dedicados de redes públicas* Principais aplicações:

* Redução de custos: * Substituição de linhas alugadas/dedicadas na interligação de

LANs e WANs, por uso de internet* Poupança de deslocações físicas a local de equipamentos

remotos* Flexibilidade:

* Facilidade de acessos a Internet :* Possibilidade de utilizar diferentes terminais e redes acesso* Tendência para aumento de velocidade + redução de custos

* Desvantagem:* Degradação de desempenho pela utilização de redes públicas

(não garantem QoS) + mecanismos de segurança

5.19 – VPN

31

R&C+R&I 1 / ISTEC – 14/15

* Configurações das VPNs:• Uso de modo de Túnel:

• Suportada por diferentes protocolos:

5.19 – VPN

Aplicação

Apresentação

Transporte

Rede

Ligação de Dados

Física

Sessão

IPSec: + usado em VPNs, por possibilitar uso de i/f nativa

SSL/TLS: + usado em comunicação c/ i/f (interface) de browsers de cliente

PPP (Pont-to-Point Protocol) sobre SSL ou SSH (Secure Shell), L2TP (Layer2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol)

HTTPS = HTTP + SSL/TLS

32

R&C+R&I 1 / ISTEC – 14/15

* Requisitos para estabelecimento de VPNs sobre IPSec:• Gateway da organização e o utilizador remoto têm que ter

compatibilidade IPSec:– Ambos têm que conseguir estabelecer associações de segurança

(SAs) nos 2 sentidos da comunicação:

⇒ Chaves, algoritmos e restantes mecanismos “sincronizados”– Após estabelecimento de VPN em modo túnel:

⇒ Utilizador remoto poder aceder a servidor localizado e apenas acessível dentro da rede protegida

• Uso de endereço IP publico para aceder a rede corporativa:

=> endereço IP (privado) de servidor encapsulado em túnel

=> dados e cabeçalho de pacote original protegidos por túnel– VPNs podem ser controladas por:

• Hardware: ex. Gateway/Firewall em rede corporativa• Software: ex. terminal remoto

5.19 – VPN

33

R&C+R&I 1 / ISTEC – 14/155.19 – VPN

SA Remoto->Rede

SA Rede->Remoto

ClienteRemoto

R&c 05 14_2 - Protocolo IP (Parte 2)

Technology

Transcript of R&c 05 14_2 - Protocolo IP (Parte 2)