Síťová vrstva přenosových systémů – tunelování paketů, ARP, NAT, ICMPv4, IPv6. Flashcards
(5 cards)
Tunelování paketů
Tunelování paketů je proces, při kterém jsou datové pakety jednoho protokolu zapouzdřeny do paketů jiného protokolu a přidání nového záhlaví. Záhlaví se liší tím, že má jinou cílovou a zdrojovou IP adresu. Tento mechanismus se používá především k přenosu dat přes neslučitelné sítě nebo k zabezpečení přenosu.
Typy tunelování:
– Tunelovaní spolu s IPsec protokolem (celý packet je šifrován pomocí IPsec a k tomuto zašifrovanému paketu se přidá nové IP záhlaví).
– IP tunelování je vhodné pokud se přechází mezi verzemi IP protokolu (IPv4 a IPv6). Při přechodu mezi verzemi se přidá nové záhlaví před to původní.
Použití : VPN, IPv6 přes IPv4, Prostup firewally/NAT
ARP - Adress Resolution Protocol
ARP je protokol síťové vrstvy sloužící k mapování IP adresy na fyzickou MAC adresu v rámci lokální sítě (např. Ethernet).
ARP slouží k nalezení neznámé fyzické adresy (MAC) k IPv4 adrese. Jedná se o dynamicky distribuovaný protokol schopný reagovat na změny v síti. Informace se ukládají do ARP
tabulky v podobě <IP:MAC:type>. Pracuje mezi spojovou a sítovou vrstvou, používá rámce spojové. Stanice pro zjištění vysílá broadcast požadavek a jen stanice, která má požadovanou adresu, odpoví.
Pokud zařízení potřebuje odeslat paket na konkrétní IP adresu v lokální síti, nejprve zjistí odpovídající MAC adresu pomocí ARP.
ARP dotaz se vyšle jako broadcast, na který odpoví cílové zařízení svou MAC adresou.
Každé zařízení udržuje tabulku ARP, kde ukládá mapování IP adres na MAC adresy, aby se minimalizoval počet ARP dotazů.
ARP spoofing: Útočník podvrhne falešnou MAC adresu, což může vést k přesměrování nebo odposlechu provozu.
NAT - Network Address Translation
NAT je technologie, která umožňuje překlad mezi veřejnými a soukromými IP adresami. Používá se zejména pro šetření veřejných IP adres a pro zajištění bezpečnosti.
umožňuje směrovači změnu IP adresy v záhlaví paketu
a oddělit tak interní sít od internetu. Na cestě může být změna provedena několikrát (a to i mezi různými typy IP protokolů: NAT-PT). Po aplikaci NAT překladu má více zařízení v lokální síti jednu veřejnou IP adresu.
SNAT (Source NAT) - Překládá zdrojové IP adresy a potom až adresy transportní. Komunikace je možná pouze z vnitřní sítě.
DNAT (Dynamic NAT) - překládá cílové IP adresy a až potom případné transportní adresy. Používá se
ke zveřejnění služby z interní sítě na veřejně přístupnou IP adresu.
ICMPv4
ICMPv4 je protokol používaný pro diagnostiku a řízení přenosu dat v IPv4 sítích. Slouží k předávání chybových zpráv a dalších kontrolních informací. Slouží k testování konektivity, umožňuje signalizaci mimořádných událostí. Nepřenáší žádná
uživatelská data.
Slouží pro nástroje jako:
ping – test dostupnosti cílové IP adresy.
traceroute – zjištění cesty paketů mezi dvěma body.
Echo Request – slouží k otestování, zda je cílové zařízení dostupné (např. pomocí příkazu ping).
Echo Reply – odpověď na Echo Request; potvrzuje, že zařízení je dosažitelné.
Destination Unreachable – cílový uzel nebo síť je nedostupná (např. port zavřený, síť neexistuje, fragmentace není možná atd.).
Redirect Message – zařízení je informováno, že má použít jiný směrovač pro cílovou adresu.
Time Exceeded – paket byl zahozen, protože překročil časový limit (např. vypršel TTL během přenosu).
Parameter Problem – chyba v hlavičce IP paketu (např. neplatný parametr nebo chybějící volba).
IPv6 - porovnání s IPv4, přechodové mechanismy, typy adresování
IPv6 je nekompatibilní s IPv4; hlavním rozdílem je změna zápisu adres (fe80:1a3d::0/64) a rozšíření velikosti adresního prostoru z 32 bitů na 128 bitů.
Přechodové mechanismy
Dual Stack: Paralelní provoz IPv4 a IPv6 na stejném zařízení.
Tunelování: Např. 6to4 nebo Teredo umožňují přenos IPv6 paketů přes infrastrukturu IPv4.
Překládací mechanismy: Např. NAT64 umožňuje komunikaci mezi IPv6 a IPv4 zařízeními.
Typy adresování:
Unicast - adresy identifikující jednotlivá síťová rozhraní.
Multicast - pro skupiny a pakety jsou doručeny všem ve skupině. Patří sem i broadcast adresy.
Anycast - Také skupina ale paket je do doručen pouze jedinému členovy (nejčastěji nejbližší).
