AsynchronousTransferMode

Projektování distribuovaných systémů

Lekce 1

Ing. Jiří ledvina, CSc

Úvod

Architektura ATM Signalizace a adresování Směrování Propojení ATM a existujících LAN – LAN

emulace Nativní režimy ATM Multiprotocol over ATM

Úvod

Základní vlastnosti ATM Spojově orientované – složitost, stavovost Signalizační protokoly – navázání spojení Adresování Směrování Kooperace s existujícími protokoly

Architektura ATM

ATM síť – soubor přepínačů propojených dvoubodovými spoji

Podporuje dva typy rozhraní UNI – User Node Interface – propojení

směrovačů, hostitelských systémů s ATM přepínači

NNI – Network Node Interface – vzájemné propojení přepínačů

Architektura ATM

ATM spojení

Propojení virtuálními okruhy Virtuální cesty (virtual path) – VPI (identifikátor) Virtuální kanály (virtual channel) – VCI (identifikátor)

Virtuální cesta – obsahuje více virtuálních kanálů Přepínání virtuálních cest Přepínání virtuálních kanálů

VPI a VCI mají pouze lokální význam (vztahují se k lince)

ATM přepínač

ATM přepínání

Typy spojení

PVC - Permanent Virtual Circult VPI/VCI nastavováno administrátorem ručně

SVC - Switched Virtual Circult Dynamické vytváření a rušení spojení

(signalizační protokoly) Soft PVC –

PVC vytvořeno manuálně na úrovni UNI Vytvořeno dynamicky mezi NNI

Typy spojení

Spojení bod – bod Jednosměrné nebo obousměrné

Spojení bod – multibod Rozeznává kořen a list (počátek, konec) Jednosměrné spojení Připojování (join) a odpojování (leave) listů k

doručovacímu stromu

Broadcasting a Multicasting

Broadcast neexistuje (pouze LAN emulace) Řešení multicastingu

VP – multicasting – každý uzel dostane společné VCI

Multicast server – uzel který množí paketz – převod na spoje typu bod – bod

Překrytí spojením typu „bod - multibod“ – vytvoření spojení bod – multibod každý s každým

Multicast server

Překrytí spojením bod - multibod

Signalizace

Využívá virtuální kanál VPI/VCI = 0/5

Vytvářené spojení je potvrzované (request – confirm/reject)

Signalizační protokol zjednodušený Q.2931

Modely adresování Každý signalizační protokol vyžaduje adresní schéma

Potřebuje identifikovat zdrojové a cílové uzly Peer model

Využívá adresování i směrovací protokoly „neseného“ protokolu (IP, OSPF)

Složitější ATM přepínače (podpora směrování, směrovací tabulky)

Subnetwork (Overlay) model Definuje nové adresní i směrovací schéma Existující protokoly operují nad ATM Obdoba IP nad X.25 nebo IP nad PPP Potřeba ARP (mapování IP adres na ATM adresy) Oddělení protokolu ATM od vyšších protokolů

Modely

Peer model

Modely

Overlay model

ATM adresy

ATM adresa obsahuje AFI – Authority and Format Identifier (typ adresy a její

formát) IDI – Initial Domain Identifier (autorita pro administraci

a přidělování adres DSP – Domain Specific Part (směrovací informace)

Existují 3 formáty ATM adres NSAP E.164 (ITU) DCC (Data Country Code) - státy ICD (BSI) - organizace

ATM adresy

Registrace adresy koncového zařízení

Protokol ILMI (Interim Local Management Interface) – prozatímní

Zjednodušení konfigurace ATM adresy koncového zařízení

Směrovací protokoly

IISP – Interim Inter-Switch Signaling protocol Jednoduchý protokol směrování s manuálně

konfigurovanými tabulkami prefixů v přepínačích Limitovaná rozlehlost sítě

P-NNI – Private NNI Směrování v privátních sítích Podpora QoS

B-ICI – Broadband Inter-Carrier Interface Směrování ve veřejných sítích

Hierarchie PNNI

PNNI vytváření spojení

Protokoly úrovně 3 nad ATM

Projektování distribuovaných systémů

Lekce 2

Ing. Jiří ledvina, CSc

Protokoly L3 nad ATM

Přenos nativního protokolu přes ATM síť Přenos LAN přes ATM síť Používá IP adres (ne ATM adresy) – požadavky na

přenos protokolu L3 – odlišné od ATM (spojované služby kontra nespojované služby, bcast, mcast kontra unicast)

Je nutné řešit dva problémy Zapouzdření paketu Resoluce adresy (IP – ATM)

Protokoly L3 nad ATM

Existují tři řešení zapouzdření a resoluce adresy LANE (LAN Emulation) – MAC protokol použitý pro realizaci

transparentních LAN služeb nad ATM Rozšíření LANE je Multiprotocol over ATM (MPOA) Používá LANE a cut-through směrování ke zlepšení výkonnosti

v rozlehlých sítích Operace v původním režimu (native mode)

Založeno na protokolech definujících IP konektivitu nad ATM s použitím Zapouzdření IP nad ATM (obecně protokol L3) Resoluce ATM adresy ze síťové adresy (IP)

Tomuto řešení se říká Classical IP and multiprotocol Encapsulation over ATM (Classical IP over ATM)

Tag switching – technologie kombinuje výhody směrování s výkonností přepínání a tím nabízí jiné řešení pro přenos IP paketů přes ATM síť

Classical IP and Multiprotocol Encapsulation over ATM

Přenos IP a dalších L3 protokolů přes ATM Classical IP and ARP over ATM (RFC 1577)

Používá přepínané virtuální okruhy (SVCC) a permanentní virtuální kanály (PVCC)

Specifikuje mechanizmus pro resoluci a vyhledávání adres

Multiprotocol Encapsulation over ATM adaptation layer 5 (RFC 1483) Definuje zapouzdření různých typů PDU pro

transport nad ATM

RFC 1577

ATM je použito k přímé náhradě propojení LAN segmentů obsahujících stanice s IP adresami a IP směrovači

Tyto LAN segmenty se nazývají Logical IP Subnets (LIS) a jsou identické s konvenčními LAN subsítěmi

ATM propojené systémy v různých LIS mají různé síťové adresy a mohou komunikovat pouze prostřednictvím směrovačů, i když jsou připojeny do téže ATM sítě

Pro resoluci adres se používá ATMARP a InATMARP (Address Resolution Protocol a Inverse Adress Resolution Protocol)

Mechanizmus ATMARP

V ATM neexistují broadcasty – není možné použít obdobu ARP v broadcast sítích (broadcast může být realizován jako rozesílání kopií v unicast kanálech)

Řešeno ATMARP serverem – obsahuje tabulku IP a ATM adres pro jednu subsíť

Libovolný klient může získat ATM adresu zařízení a navázat přímo spojení

Classical IP-over-ATM

ARP klient registruje svoji IP a ATM adresu v ARP serveru Klient A hledá ATM adresu pro IPB, server vrací ATM adresu

B Klient vytváří ATM SVCC na klienta B a posílá mu data Jakmile klient B odpovídá na paket z A, posílá též dotaz na

ARP server Po obdržení ATM adresy A zjišťuje klient B, že SVCC již

existuje a další nevytváří Klient B posílá data do A. V každé LIS musí být směrovač, konfigurovaný jako ATMARP

klient nebo lépe ve směrovači může běžet ATMARP server.

Mechanizmus InATMARP

V tomto případě není třeba funkce ATM serveru

Klienti si vyměňují informaci a vyhledávají ostatní protokolové adresy

K vyhledání protokolové (IP) adresy na druhém konci spojení pošle klient InATMARP dotaz po existujícím spojení

RFC 1483

Multiprotocol Encapsulation over ATM Mechanizmus zahrnuje i přenos jiných rámců

než jsou IP pakety Existují 2 možnosti jak to zařídit

LLC/SNAP zapouzdření – různé protokoly mohou být přenášeny jedním ATM spojením a identifikovány standardním LLC/SNAP záhlavím

Multiplexování virtuálního spojení – přes ATM spojení je přenášen pouze jeden protokol – protokol je implicitně dán při vytváření spojení

Možné kombinace RFC 1483 a RFC 1577

SVCC a ATMARP Zapouzdření IP datagramů nad ATM (routed IP

formát) Použití ATM ARP k mapování IP na ATM adresu

PVCC a InATMARP Mezi síťovými zařízeními jsou konfigurovány

staticky cesty (PVCC) Rozpoznání IP adresy se děje pomocí ATM adresy

koncového uzlu a InATMARP IP pakety jsou přenášeny ve SNAP

SVCC a ATMARP

SVCC a ATMARP

Zapouzdření IP datagramů nad ATM (routed IP formát)

Použití ATM ARP k mapování IP na ATM adresu

Výhody: Pro propojení IP subsítě je jednodušší než LANE Jednoduchá konfigurace pro malé sítě (adresa

ATMARP serveru) Podpora ATMARP od mnoha výrobců

SVCC a ATMARP

Omezení: Nemá podporu multicastu Podporuje pouze IP Není možnost ořezat tok dat ve směrovačích Při přenosu přes více LIS se musí použít

směrovače i když přenosy probíhají v jedné ATM síti

ATMARP server je úzké místo v systému Ve velkých sítích nebezpečí chybné konfigurace

ATMARP serverů (musí být ve všech klientech)

PVCC a InATMARP

Mezi síťovými zařízeními jsou konfigurovány staticky cesty (PVCC)

Rozpoznání IP adresy se děje pomocí ATM adresy koncového uzlu a InATMARP

IP pakety jsou přenášeny ve SNAP Výhody:

InATMARP je podporováno mnoha výrobci Konfigurace pro propojené IP subsítě je

jednodušší než LANE

PVCC a InATMARP

Omezení: Nemá podporu multicastu Podporuje pouze IP Není možnost ořezat tok dat ve směrovačích Při přenosu přes více LIS se musí použít

směrovače i když přenosy probíhají v jedné ATM síti

Ve velkých sítích nebezpečí chybné konfigurace ATMARP serverů (musí být ve všech klientech)

VLAN

Projektování distribuovaných systémů

Lekce 3

Ing. Jiří ledvina, CSc

VLAN Virtual LAN

Cíl – rozdělení fyzicky propojených počítačů do skupin, které fungují tak, jako by nebyly fyzicky propojeny (na rozdíl od VPN)

Logický segment sítě Jedna broadcastová doména

Přenosy spojené s VLAN jsou chráněny před přístupem uživatelů jiných VLAN

Jsou šířeny jen do VLAN Multicasty a broadcasty šířeny pouze ve VLAN

VLAN Virtual LAN

Ve skupině jsou síťová zařízení, která Mohou být umístěna na více fyzických LAN Neexistují omezení vzhledem k fyzickému

umístění Mohou komunikovat jako by byly všechny na

jedné LAN

Důvody zavedení VLAN

Nezávislost na umístění Mobilita uživatelů – zůstávají ve stejné LAN i po

přemístění Lepší bezpečnost a vyšší výkonnost

Přenosy ve VLAN jsou přepínané, mezi různými VLAN směrované

Členství ve VLAN je definováno administrátorem LAN organizovány podle funkčních skupin, nikoliv podle

fyzického umístění

Uspořádání podle pravidla – přepínej pokud potřebuješ, směruj pokud musíš

Typy VLAN

Členství ve VLAN může být podle Skupin portů (VLAN úroveň 1) MAC adres (VLAN úroveň 2) Protokolu 3 a vyšší úrovně (VLAN úroveň 3)

VLAN podle portů

port switching – přepínání portů může být použito pro zvýšení bezpečnosti a

zajištění izolovanosti neumožňuje mobilitu uživatelů přesunutý uživatel má novou sub-síť – nová

IP adresa (směrovač)

VLAN založené na MAC adresách

vyžaduje předchozí registraci počítačů členství ve VLAN je udržováno i při fyzickém

přemístění počítače různých VLAN mohou být připojeny do

jednoho portu přepínače LAN je definována seznamem MAC adres Zajišťuje úplný pohyb uživatele Pokud je třeba, jsou klienti i servery stále na téže

LAN Problém: potřeba udržovat příliš mnoho adres

VLAN úrovně 3

Členství ve VLAN odvozeno od pole TYPE protokolu a podle adresových polí IP

VLAN konfigurace je určena přepínači Do VLAN nepřísluší stanice, ale pakety Více-protokolové stanice mohou být ve více VLAN Obecně pomalejší než předchozí 2 typy VLAN

členství ve VLAN je určováno podle úrovně 3, ale nemá nic společného se směrovači nebo směrováním

IP adresa je použita pouze k mapování na VLAN, není jinak zpracovávána

VLAN trunk – vzdálené propojení lokálních sítí

Podle doporučení IEEE 802.1q Přenos pro více VLAN jednou linkou – trunk

(dálkové vedení) Rámce Ethernetu jsou označovány VLAN ID

(tag) Schonost zpracovávat VLAN-ová i ne-VLAN-

ová zařízení

VLAN tagging (značkování paketů VLAN) Hranový přepínač (Ingress switch) přidá značku

obsahující ID VLAN do příchozích paketů Mezilehlé přepínače VLAN ID nepřepočítávají Poslední hranový přepínač (Egress switch) značku

z odchozího rámce odstraní. Rámec

TPID – Tag Protocol ID CFI – Canonical Format Indicator (přítomnost-nepřítomnost

části RIF) RIF – Source Routing Information Field 01 – bez směrování max délka dat v IEEE802.3 1470 slabik priorita 0 < 1 < 2 < ... < 7

VLAN tagging (značkování paketů VLAN)

DestinationMAC

SourceMAC

802.1QTag

Protocoltype field

Data FCS

6 bytes 6 bytes 4 bytes 2 bytes 46–1,500 bytes 4 bytes

Priority CFI VLAN ID

Tag protocolidentifier

Tag control field

Proprietary2-byte number

16 bits 3 bits 1 bit 12 bits

Vlastnosti IEEE 802.1Q

dovoluje až 4095 VLAN dovoluje port, MAC, L3 i vyšší VLAN dovoluje míchat klasické i VLAN přepínače rozšiřuje IEEE 802.1p (priority) na VLAN

Vlastnosti IEEE 802.Q

High priority

7

6

5

Medium priority

4

3

2

Lowpriority

1

0

Three prioritylevels

Filtrovací databáze

na daném LAN segmentu pro danou VLAN musí být všechny rámce značkovány

různé VLAN na tomtéž segmentu mohou využívat různé parametry

informace o členství ve VLAN je uložena ve filtrovací databázi

existují 2 typy položek VLAN registrační položky (port a VLAN) Skupinové registrační položky (posílání m-castů do VLAN)

Oba typy mohou být statické nebo dynamické Statické položky – zařizuje management Dynamické položky – naučené, časově omezená platnost

Vytváření a propagace dynamických VLAN položek GVRP

GVRP – GARP VLAN Registration Protocol GARP – Generic Attribute Registration Protocol GARP členové – vytváří/ruší členství ve VLAN

(přidávání/rušení položek) VLAN přepínače musí propagovat změny členství ve

VLAN na všechny aktivní porty GMRP – Group Multicast Registration Protocol

Položky registrace skupin – indikují pro každý port má-li tam být multicast rámec pro VLAN poslán nebo ne

VPN - Virtual private networks

Projektování distribuovaných systémů

Lekce 4

Ing. Jiří Ledvina, CSc.

Virtual Private Networks

Virtual Private Networks

Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný

Internet VPN

Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet

Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW

Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.

Bezpečnost VPN

Bezpečnost VPN Authentication (ověřování pravosti) – zabezpečí, že

data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí

Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů

Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami

Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet

VPN - komponenty

VPN – používané komponenty, principy Obranné valy (Firewalls) – povolení vstupu

uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy)

Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA, ... . Zajišťují také integritu dat.

Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)

VPN - komponenty

VPN – používané komponenty, principy Tunelování – přizpůsobení nekompatibilních

protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP)

Překlad adres – použití privátních adres (RFC 1918) 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Nedostatek IP adres Časté změny poskytovatele

Architektura VPN

VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích

Architektura VPN – varianta 1

Tunelování je iniciované klientem nad vytáčenou linkou

Funkce VPN (tunelování, šifrování) běží na uživatelské stanici

Ověřování probíhá ve dvou krocích ISP ověřování – přístup do Internetu (ISP

RADIUS server) VPN ověřování – přístup do VPN

Architektura VPN – varianta 2

Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být

Může být i šifrováno ISP (Internet Service Provider) ověřuje

uživatele pro přístup do Internetu i VPN (RADIUS server)

Architektura VPN – varianta 3

Varianta 3 (a další) – VPN typu LAN – LAN

Úrovně realizace VPN

Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly

Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň)

Přehled VPN tunelovacích protokolů

GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation

PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty

PPTP – Point-to-point Tunneling Protocol

Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password

Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem

(port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP

záhlaví 47)

L2TP – Layer 2 Tunneling Protocol

L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem,

více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku

dat Použitelný i nad ne-IP sítěmi (ATM,

FrameRelay, X.25) Nespecifikuje ověřování a šifrování

IPSec (RFC 2401 – RFC 2406)

Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity

Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu

Pracuje v režimu Transportním – přenos paketu mezi koncovými uživateli. Používá

originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech

dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu.

Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP

IPsec – transportní režim

IPsec – tunelovací režim

IPsec a VPN