Asynchronous Transfer Mode
description
Transcript of Asynchronous Transfer Mode
AsynchronousTransferMode
Projektování distribuovaných systémů
Lekce 1
Ing. Jiří ledvina, CSc
Úvod
Architektura ATM Signalizace a adresování Směrování Propojení ATM a existujících LAN – LAN
emulace Nativní režimy ATM Multiprotocol over ATM
Úvod
Základní vlastnosti ATM Spojově orientované – složitost, stavovost Signalizační protokoly – navázání spojení Adresování Směrování Kooperace s existujícími protokoly
Architektura ATM
ATM síť – soubor přepínačů propojených dvoubodovými spoji
Podporuje dva typy rozhraní UNI – User Node Interface – propojení
směrovačů, hostitelských systémů s ATM přepínači
NNI – Network Node Interface – vzájemné propojení přepínačů
Architektura ATM
ATM spojení
Propojení virtuálními okruhy Virtuální cesty (virtual path) – VPI (identifikátor) Virtuální kanály (virtual channel) – VCI (identifikátor)
Virtuální cesta – obsahuje více virtuálních kanálů Přepínání virtuálních cest Přepínání virtuálních kanálů
VPI a VCI mají pouze lokální význam (vztahují se k lince)
ATM přepínač
ATM přepínání
Typy spojení
PVC - Permanent Virtual Circult VPI/VCI nastavováno administrátorem ručně
SVC - Switched Virtual Circult Dynamické vytváření a rušení spojení
(signalizační protokoly) Soft PVC –
PVC vytvořeno manuálně na úrovni UNI Vytvořeno dynamicky mezi NNI
Typy spojení
Spojení bod – bod Jednosměrné nebo obousměrné
Spojení bod – multibod Rozeznává kořen a list (počátek, konec) Jednosměrné spojení Připojování (join) a odpojování (leave) listů k
doručovacímu stromu
Broadcasting a Multicasting
Broadcast neexistuje (pouze LAN emulace) Řešení multicastingu
VP – multicasting – každý uzel dostane společné VCI
Multicast server – uzel který množí paketz – převod na spoje typu bod – bod
Překrytí spojením typu „bod - multibod“ – vytvoření spojení bod – multibod každý s každým
Multicast server
Překrytí spojením bod - multibod
Signalizace
Využívá virtuální kanál VPI/VCI = 0/5
Vytvářené spojení je potvrzované (request – confirm/reject)
Signalizační protokol zjednodušený Q.2931
Modely adresování Každý signalizační protokol vyžaduje adresní schéma
Potřebuje identifikovat zdrojové a cílové uzly Peer model
Využívá adresování i směrovací protokoly „neseného“ protokolu (IP, OSPF)
Složitější ATM přepínače (podpora směrování, směrovací tabulky)
Subnetwork (Overlay) model Definuje nové adresní i směrovací schéma Existující protokoly operují nad ATM Obdoba IP nad X.25 nebo IP nad PPP Potřeba ARP (mapování IP adres na ATM adresy) Oddělení protokolu ATM od vyšších protokolů
Modely
Peer model
Modely
Overlay model
ATM adresy
ATM adresa obsahuje AFI – Authority and Format Identifier (typ adresy a její
formát) IDI – Initial Domain Identifier (autorita pro administraci
a přidělování adres DSP – Domain Specific Part (směrovací informace)
Existují 3 formáty ATM adres NSAP E.164 (ITU) DCC (Data Country Code) - státy ICD (BSI) - organizace
ATM adresy
Registrace adresy koncového zařízení
Protokol ILMI (Interim Local Management Interface) – prozatímní
Zjednodušení konfigurace ATM adresy koncového zařízení
Směrovací protokoly
IISP – Interim Inter-Switch Signaling protocol Jednoduchý protokol směrování s manuálně
konfigurovanými tabulkami prefixů v přepínačích Limitovaná rozlehlost sítě
P-NNI – Private NNI Směrování v privátních sítích Podpora QoS
B-ICI – Broadband Inter-Carrier Interface Směrování ve veřejných sítích
Hierarchie PNNI
PNNI vytváření spojení
Protokoly úrovně 3 nad ATM
Projektování distribuovaných systémů
Lekce 2
Ing. Jiří ledvina, CSc
Protokoly L3 nad ATM
Přenos nativního protokolu přes ATM síť Přenos LAN přes ATM síť Používá IP adres (ne ATM adresy) – požadavky na
přenos protokolu L3 – odlišné od ATM (spojované služby kontra nespojované služby, bcast, mcast kontra unicast)
Je nutné řešit dva problémy Zapouzdření paketu Resoluce adresy (IP – ATM)
Protokoly L3 nad ATM
Existují tři řešení zapouzdření a resoluce adresy LANE (LAN Emulation) – MAC protokol použitý pro realizaci
transparentních LAN služeb nad ATM Rozšíření LANE je Multiprotocol over ATM (MPOA) Používá LANE a cut-through směrování ke zlepšení výkonnosti
v rozlehlých sítích Operace v původním režimu (native mode)
Založeno na protokolech definujících IP konektivitu nad ATM s použitím Zapouzdření IP nad ATM (obecně protokol L3) Resoluce ATM adresy ze síťové adresy (IP)
Tomuto řešení se říká Classical IP and multiprotocol Encapsulation over ATM (Classical IP over ATM)
Tag switching – technologie kombinuje výhody směrování s výkonností přepínání a tím nabízí jiné řešení pro přenos IP paketů přes ATM síť
Classical IP and Multiprotocol Encapsulation over ATM
Přenos IP a dalších L3 protokolů přes ATM Classical IP and ARP over ATM (RFC 1577)
Používá přepínané virtuální okruhy (SVCC) a permanentní virtuální kanály (PVCC)
Specifikuje mechanizmus pro resoluci a vyhledávání adres
Multiprotocol Encapsulation over ATM adaptation layer 5 (RFC 1483) Definuje zapouzdření různých typů PDU pro
transport nad ATM
RFC 1577
ATM je použito k přímé náhradě propojení LAN segmentů obsahujících stanice s IP adresami a IP směrovači
Tyto LAN segmenty se nazývají Logical IP Subnets (LIS) a jsou identické s konvenčními LAN subsítěmi
ATM propojené systémy v různých LIS mají různé síťové adresy a mohou komunikovat pouze prostřednictvím směrovačů, i když jsou připojeny do téže ATM sítě
Pro resoluci adres se používá ATMARP a InATMARP (Address Resolution Protocol a Inverse Adress Resolution Protocol)
Mechanizmus ATMARP
V ATM neexistují broadcasty – není možné použít obdobu ARP v broadcast sítích (broadcast může být realizován jako rozesílání kopií v unicast kanálech)
Řešeno ATMARP serverem – obsahuje tabulku IP a ATM adres pro jednu subsíť
Libovolný klient může získat ATM adresu zařízení a navázat přímo spojení
Classical IP-over-ATM
ARP klient registruje svoji IP a ATM adresu v ARP serveru Klient A hledá ATM adresu pro IPB, server vrací ATM adresu
B Klient vytváří ATM SVCC na klienta B a posílá mu data Jakmile klient B odpovídá na paket z A, posílá též dotaz na
ARP server Po obdržení ATM adresy A zjišťuje klient B, že SVCC již
existuje a další nevytváří Klient B posílá data do A. V každé LIS musí být směrovač, konfigurovaný jako ATMARP
klient nebo lépe ve směrovači může běžet ATMARP server.
Mechanizmus InATMARP
V tomto případě není třeba funkce ATM serveru
Klienti si vyměňují informaci a vyhledávají ostatní protokolové adresy
K vyhledání protokolové (IP) adresy na druhém konci spojení pošle klient InATMARP dotaz po existujícím spojení
RFC 1483
Multiprotocol Encapsulation over ATM Mechanizmus zahrnuje i přenos jiných rámců
než jsou IP pakety Existují 2 možnosti jak to zařídit
LLC/SNAP zapouzdření – různé protokoly mohou být přenášeny jedním ATM spojením a identifikovány standardním LLC/SNAP záhlavím
Multiplexování virtuálního spojení – přes ATM spojení je přenášen pouze jeden protokol – protokol je implicitně dán při vytváření spojení
Možné kombinace RFC 1483 a RFC 1577
SVCC a ATMARP Zapouzdření IP datagramů nad ATM (routed IP
formát) Použití ATM ARP k mapování IP na ATM adresu
PVCC a InATMARP Mezi síťovými zařízeními jsou konfigurovány
staticky cesty (PVCC) Rozpoznání IP adresy se děje pomocí ATM adresy
koncového uzlu a InATMARP IP pakety jsou přenášeny ve SNAP
SVCC a ATMARP
SVCC a ATMARP
Zapouzdření IP datagramů nad ATM (routed IP formát)
Použití ATM ARP k mapování IP na ATM adresu
Výhody: Pro propojení IP subsítě je jednodušší než LANE Jednoduchá konfigurace pro malé sítě (adresa
ATMARP serveru) Podpora ATMARP od mnoha výrobců
SVCC a ATMARP
Omezení: Nemá podporu multicastu Podporuje pouze IP Není možnost ořezat tok dat ve směrovačích Při přenosu přes více LIS se musí použít
směrovače i když přenosy probíhají v jedné ATM síti
ATMARP server je úzké místo v systému Ve velkých sítích nebezpečí chybné konfigurace
ATMARP serverů (musí být ve všech klientech)
PVCC a InATMARP
Mezi síťovými zařízeními jsou konfigurovány staticky cesty (PVCC)
Rozpoznání IP adresy se děje pomocí ATM adresy koncového uzlu a InATMARP
IP pakety jsou přenášeny ve SNAP Výhody:
InATMARP je podporováno mnoha výrobci Konfigurace pro propojené IP subsítě je
jednodušší než LANE
PVCC a InATMARP
Omezení: Nemá podporu multicastu Podporuje pouze IP Není možnost ořezat tok dat ve směrovačích Při přenosu přes více LIS se musí použít
směrovače i když přenosy probíhají v jedné ATM síti
Ve velkých sítích nebezpečí chybné konfigurace ATMARP serverů (musí být ve všech klientech)
VLAN
Projektování distribuovaných systémů
Lekce 3
Ing. Jiří ledvina, CSc
VLAN Virtual LAN
Cíl – rozdělení fyzicky propojených počítačů do skupin, které fungují tak, jako by nebyly fyzicky propojeny (na rozdíl od VPN)
Logický segment sítě Jedna broadcastová doména
Přenosy spojené s VLAN jsou chráněny před přístupem uživatelů jiných VLAN
Jsou šířeny jen do VLAN Multicasty a broadcasty šířeny pouze ve VLAN
VLAN Virtual LAN
Ve skupině jsou síťová zařízení, která Mohou být umístěna na více fyzických LAN Neexistují omezení vzhledem k fyzickému
umístění Mohou komunikovat jako by byly všechny na
jedné LAN
Důvody zavedení VLAN
Nezávislost na umístění Mobilita uživatelů – zůstávají ve stejné LAN i po
přemístění Lepší bezpečnost a vyšší výkonnost
Přenosy ve VLAN jsou přepínané, mezi různými VLAN směrované
Členství ve VLAN je definováno administrátorem LAN organizovány podle funkčních skupin, nikoliv podle
fyzického umístění
Uspořádání podle pravidla – přepínej pokud potřebuješ, směruj pokud musíš
Typy VLAN
Členství ve VLAN může být podle Skupin portů (VLAN úroveň 1) MAC adres (VLAN úroveň 2) Protokolu 3 a vyšší úrovně (VLAN úroveň 3)
VLAN podle portů
port switching – přepínání portů může být použito pro zvýšení bezpečnosti a
zajištění izolovanosti neumožňuje mobilitu uživatelů přesunutý uživatel má novou sub-síť – nová
IP adresa (směrovač)
VLAN založené na MAC adresách
vyžaduje předchozí registraci počítačů členství ve VLAN je udržováno i při fyzickém
přemístění počítače různých VLAN mohou být připojeny do
jednoho portu přepínače LAN je definována seznamem MAC adres Zajišťuje úplný pohyb uživatele Pokud je třeba, jsou klienti i servery stále na téže
LAN Problém: potřeba udržovat příliš mnoho adres
VLAN úrovně 3
Členství ve VLAN odvozeno od pole TYPE protokolu a podle adresových polí IP
VLAN konfigurace je určena přepínači Do VLAN nepřísluší stanice, ale pakety Více-protokolové stanice mohou být ve více VLAN Obecně pomalejší než předchozí 2 typy VLAN
členství ve VLAN je určováno podle úrovně 3, ale nemá nic společného se směrovači nebo směrováním
IP adresa je použita pouze k mapování na VLAN, není jinak zpracovávána
VLAN trunk – vzdálené propojení lokálních sítí
Podle doporučení IEEE 802.1q Přenos pro více VLAN jednou linkou – trunk
(dálkové vedení) Rámce Ethernetu jsou označovány VLAN ID
(tag) Schonost zpracovávat VLAN-ová i ne-VLAN-
ová zařízení
VLAN tagging (značkování paketů VLAN) Hranový přepínač (Ingress switch) přidá značku
obsahující ID VLAN do příchozích paketů Mezilehlé přepínače VLAN ID nepřepočítávají Poslední hranový přepínač (Egress switch) značku
z odchozího rámce odstraní. Rámec
TPID – Tag Protocol ID CFI – Canonical Format Indicator (přítomnost-nepřítomnost
části RIF) RIF – Source Routing Information Field 01 – bez směrování max délka dat v IEEE802.3 1470 slabik priorita 0 < 1 < 2 < ... < 7
VLAN tagging (značkování paketů VLAN)
DestinationMAC
SourceMAC
802.1QTag
Protocoltype field
Data FCS
6 bytes 6 bytes 4 bytes 2 bytes 46–1,500 bytes 4 bytes
Priority CFI VLAN ID
Tag protocolidentifier
Tag control field
Proprietary2-byte number
16 bits 3 bits 1 bit 12 bits
Vlastnosti IEEE 802.1Q
dovoluje až 4095 VLAN dovoluje port, MAC, L3 i vyšší VLAN dovoluje míchat klasické i VLAN přepínače rozšiřuje IEEE 802.1p (priority) na VLAN
Vlastnosti IEEE 802.Q
High priority
7
6
5
Medium priority
4
3
2
Lowpriority
1
0
Three prioritylevels
Filtrovací databáze
na daném LAN segmentu pro danou VLAN musí být všechny rámce značkovány
různé VLAN na tomtéž segmentu mohou využívat různé parametry
informace o členství ve VLAN je uložena ve filtrovací databázi
existují 2 typy položek VLAN registrační položky (port a VLAN) Skupinové registrační položky (posílání m-castů do VLAN)
Oba typy mohou být statické nebo dynamické Statické položky – zařizuje management Dynamické položky – naučené, časově omezená platnost
Vytváření a propagace dynamických VLAN položek GVRP
GVRP – GARP VLAN Registration Protocol GARP – Generic Attribute Registration Protocol GARP členové – vytváří/ruší členství ve VLAN
(přidávání/rušení položek) VLAN přepínače musí propagovat změny členství ve
VLAN na všechny aktivní porty GMRP – Group Multicast Registration Protocol
Položky registrace skupin – indikují pro každý port má-li tam být multicast rámec pro VLAN poslán nebo ne
VPN - Virtual private networks
Projektování distribuovaných systémů
Lekce 4
Ing. Jiří Ledvina, CSc.
Virtual Private Networks
Virtual Private Networks
Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný
Internet VPN
Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet
Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW
Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host.
Bezpečnost VPN
Bezpečnost VPN Authentication (ověřování pravosti) – zabezpečí, že
data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí
Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů
Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami
Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet
VPN - komponenty
VPN – používané komponenty, principy Obranné valy (Firewalls) – povolení vstupu
uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy)
Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA, ... . Zajišťují také integritu dat.
Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem)
VPN - komponenty
VPN – používané komponenty, principy Tunelování – přizpůsobení nekompatibilních
protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP)
Překlad adres – použití privátních adres (RFC 1918) 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Nedostatek IP adres Časté změny poskytovatele
Architektura VPN
VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích
Architektura VPN – varianta 1
Tunelování je iniciované klientem nad vytáčenou linkou
Funkce VPN (tunelování, šifrování) běží na uživatelské stanici
Ověřování probíhá ve dvou krocích ISP ověřování – přístup do Internetu (ISP
RADIUS server) VPN ověřování – přístup do VPN
Architektura VPN – varianta 2
Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být
Může být i šifrováno ISP (Internet Service Provider) ověřuje
uživatele pro přístup do Internetu i VPN (RADIUS server)
Architektura VPN – varianta 3
Varianta 3 (a další) – VPN typu LAN – LAN
Úrovně realizace VPN
Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly
Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec, SKIP (3 úroveň) PPTP/L2TP (2 úroveň)
Přehled VPN tunelovacích protokolů
GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation
PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty
PPTP – Point-to-point Tunneling Protocol
Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password
Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem
(port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP
záhlaví 47)
L2TP – Layer 2 Tunneling Protocol
L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem,
více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku
dat Použitelný i nad ne-IP sítěmi (ATM,
FrameRelay, X.25) Nespecifikuje ověřování a šifrování
IPSec (RFC 2401 – RFC 2406)
Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity
Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu
Pracuje v režimu Transportním – přenos paketu mezi koncovými uživateli. Používá
originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech
dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu.
Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP
IPsec – transportní režim
IPsec – tunelovací režim
IPsec a VPN