7/21/2019 tcpip1ora - v12

1/43

Petrnyi Jzsef

TCP/IP - 1 ra alatt

7/21/2019 tcpip1ora - v12

2/43

2010 Petrnyi Jzsef

1.2 verzi, els, minimlisan javtottkiads

Minden jog fenntartva.

A knyv rsa sorn a szerz s a kiad a legnagyobb gondossggal s

krltekintssel igyekeztek eljrni. Ennek ellenre elfordulhat, hogy nmely

informci nem pontos vagy teljes, esetleg elavultt vlt.

Az algoritmusokat s mdszereket mindenki csak sajt felelssgre alkalmazza.

Felhasznls eltt prblja ki s dntse el sajt maga, hogy megfelel -e a cljainak. A

knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem aszerz, sem a kiad nem vonhat felelssgre.

A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag

oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek

nlkl.

Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk

tulajdonban llnak.

Microsoft Magyarorszg

2010

7/21/2019 tcpip1ora - v12

3/43

TARTALOMJEGYZK

1 Bevezets_________________________________________________________ 4

2 TCP/IP v4 _________________________________________________________ 5

2.1 Rtegek _______________________________________________________ 7

2.2 Hlzati eszkz (Network Interface) rteg___________________________ 10

2.2.1 Ethernet II frame. ___________________________________________ 11

2.2.2 Address Resolution Protocol - MAC cmek keresse_______________ 13

2.3 Internet rteg__________________________________________________ 14

2.3.1 Routing ___________________________________________________ 16

2.3.2 Cmfordtsok (NAT, PAT)_____________________________________ 22

2.4 Szlltsi (Transport) rteg _______________________________________ 26

2.4.1 User Datagram Protocol (UDP) ________________________________ 26

2.4.2 Transmission Control Protocol (TCP) ___________________________ 27

2.5 Alkalmazs (Application) rteg____________________________________ 28

2.5.1 Trkp az alkalmazs rteghez _______________________________ 29

2.6 Tzfalak ______________________________________________________ 30

3 TCP/IP v6 ________________________________________________________ 33

4 IPv4-IPv6 egyttmkds ___________________________________________ 39

5 Elbcszs _______________________________________________________ 42

6 Javtsok_________________________________________________________ 43

6.1 1.1 verzi_____________________________________________________ 43

7/21/2019 tcpip1ora - v12

4/43

TCP-IP 1 RA ALATT

~ 4 ~

1BEVEZETS

Valamikor a Sams kiadnak voltak olyan knyvei, hogy 'Kupld ki magad ebben, meg

abban 24 ra alatt!'1. Belegondoltam, hogy ilyet n is tudok.

Mrmint nem rni, hanem ekkort hazudni egy cmben.

St.

Amit most vagy a kezedben tartasz, vagy a monitoron nzel, az egy kellen magasrl

ttekintett lersa a TCP/IP protokollcsaldnak, mely rst 1 ra alatt... el lehet

olvasni, ha kellen jrtas vagy a gyorsolvassban.

Hogy mi rtelme van ennek a kicsi knyvnek? Nzd, nemrg rtam egy ktktetes,

durvn 500 oldalas knyvet ugyanerrl a tmrl. Ha ezt a mostani knyvet

replgprlszemllt tjkphez hasonltom, akkor az a msik egy vadszvizslval fl

centirl vgigszaglszott eserd.

Csakhogy egyltaln nem biztos, hogy mr az els tallkozskor mindenki rgtn

annyi rszletre lesz kvncsi. Lehet, hogy elszr csak egy tfog kpet szeretne

kapni, a tbbi meg majd jjjn, ha mr kialakult valamifle kp.

Az szmukra rdott ez a rvid sszefoglal. Terjedelemben durvn egy tizede a

rszletes knyvnek - ennek ellenre a lnyeg benne van. Ha nullrl indulsz, az elv

megrtst megclozva, akkor ez a te knyved.

A nagy testvr, a TCP/IP Alapok cm ktktetes knyv elrhetsge:

http://mivanvelem.hu/letoltheto-konyvek/

1Sams Teach Yourself Atomphysics in 24 Hours

http://mivanvelem.hu/letoltheto-konyvek/http://mivanvelem.hu/letoltheto-konyvek/http://mivanvelem.hu/letoltheto-konyvek/

7/21/2019 tcpip1ora - v12

5/43

TCP/IP V4

~ 5 ~

2TCP/IPV4

Hatalmas jdonsgot fogok kzlni: a TCP/IP rtegekbl ll.

Leltl? Ja, mr eddig is ltl? Hja, ez egy ilyen sokat csrgs szakma.

A rtegmodellnek ugyanis rengeteg elnye van. Egyik oldalrl elg a rteghatron

egyeztetni az tadott paramtereket - s nem kell foglalkozni azzal, hogy mi is zajlik

az egyes rtegeken bell. Msik oldalrl rengeteg rtegen belli eljrst lehet

definilni, arra kell csak figyelni, hogy a rteghatrra mindegyik a megfelel

paramtert adja ki.

gy pl fel a TCP/IP: kismilli szabvny, protokoll, melyek elrjk mind a bels, mind

a rtegek kztti folyamatokat.

Azt rtam, szabvny. Az informatikban a szabvnyt RFC-nek hvjk. Ez els blikkre

fura lehet, mivel az RFC eredetileg azt jelenti, hogy Request For Comment. Ha

szszerint fordtjuk, akkor lehetne ajnlsnak, vlemnykrsnek is fordtani - de ez a

mi szintnkn mr kb annyira vlemnykrs csak, mint amikor a felesg

megkrdezi a frjt, hogy kvrnek tartja-e? Csak egy vlasz ltezik.

Rgztett folyamatokban - pl. ITIL - az RFC annyit tesz, hogy szeretnnk formba

nteni egy rszfolyamatot, egy mdszert. Ezt lerjuk s megkpkdtetjk az

rintettekkel. Ezt hvjk vlemnykrsnek. Ha mindenki elmondta a vlemnyt, azeredeti dokumentumokon tvezettk a mdostsokat, akkor ll ssze a szabvny -

melyet az IETF-nl ugyangy neveznek, mint a vlemnykr iratot, az RFC -t. Csak

ppen ekkor mr ktelez rvny. (Vannak kivtelek, s igazbl ez az egsz

messze nem ilyen egyszer, de egyelre bven elg ennyi absztrakci.)

IETF: Internet Engineering Task Force. Ez a trsasg gondozza mind az

internet, mind az internethez kthet rendszerek szabvnyait.

IANA: Internet Assigned Numbers Authority. k a felelsek mindenrt, ami

szm alak s az internettel kapcsolatos.

A knyvben rengeteg RFC-re fogunk hivatkozni. Ez a csontvza akommunikcinak

az informatikban. Minden, hangslyozom, minden erre pl- eltekintve az abszolt

egyedi, nem szabvnyos alkalmazsoktl. Az egyes cgek fejleszti az RFC-k alapjn

fejlesztenek. (Nem ritka az sem, hogy egy cg a sajt mdszereibl fogadtat el RFC -t.)

Az RFC-k garantljk, hogy klnbz cgek fejlesztsei kpesek legyenek

kommuniklni egymssal.

http://www.ietf.org/http://www.ietf.org/http://www.iana.org/http://www.iana.org/http://www.iana.org/http://www.ietf.org/

7/21/2019 tcpip1ora - v12

6/43

TCP-IP 1 RA ALATT

~ 6 ~

J hr, hogy az RFC-k publikusak. Mg jobb hr, hogy rengeteg helyen megtallhatk a

neten. Kevsb j hr, hogy viszonylag kevs bennk a humoros jelenet.

Meglehetsen szraz anyagok, na. De ez az egyrtelmsg miatt muszj is.

A teljessg szndka nlkl nhny link:

http://en.wikipedia.org/wiki/Request_for_Comments

http://www.ietf.org/

http://www.faqs.org/rfcs/

http://www.rfc-editor.org/rfc.html

Mivel a knyv elssorban zemeltetknek kszl, gy nem fogunk lesni az RFC-k

legmlyre. De nem is hagyhatjuk figyelmen kvl azokat. Tbb ponton is

belefuthatunk olyan szitucikba, amikor j lenne rtennk, mi is ramlik ppen

keresztl a drton.

Pldul nem akarunk engedni minden HTTP forgalmat a tzfalon. J lennetudni ilyenkor, hogyan, milyen jellegzetessgnl lehetne megfogni a

forgalmat. Mit jelentenek a grafikus felleteken az egyes lehetsgek?

De hasonlan fontos az is, hogy ne idegenkedjnk a hlzati forgalom

elemzstl. Ne csak bottal merjk megpiszklni a netmont, hanem rtsk is,

amit mutat.

Klnsen knyvrs kzben, amikor az ember prbl elmlyedni a

rszletekben s tbb forrsmunkt is tolvas, ilyenkor lehet rdbbenni, hogy

akinek kt rja van, az sohasem tudja, mennyi a pontos id. Nem ritka, hogy

az egyes forrsok teljesen ellenkez tnyeket lltanak, vagy egyszeren csakigyekeznek homlyosan fogalmazni. Ilyenkor kln rm az, hogy az sforrs

elrhet a neten - az RFC-knl egyrtelmbb megfogalmazst sehol nem

tallunk.

http://en.wikipedia.org/wiki/Request_for_Commentshttp://en.wikipedia.org/wiki/Request_for_Commentshttp://www.ietf.org/http://www.ietf.org/http://www.faqs.org/rfcs/http://www.faqs.org/rfcs/http://www.rfc-editor.org/rfc.htmlhttp://www.rfc-editor.org/rfc.htmlhttp://www.rfc-editor.org/rfc.htmlhttp://www.faqs.org/rfcs/http://www.ietf.org/http://en.wikipedia.org/wiki/Request_for_Comments

7/21/2019 tcpip1ora - v12

7/43

TCP/IP V4

~ 7 ~

2.1 R

TEGEK

In medias res. Azaz bele a rs kzepbe.

2.1.BRA RTEGEK A MICROSOFT TCP/IPMEGVALSTSBAN

A bal oldali oszlop az n OSI modell rtegeit mutatja. Ezzel most tl sok dolgunk nem

lesz. Koncentrljunk inkbb a mellette lv TCP/IP architektrra. Szpen lthatjuk

az egymsra pl ngy rteget, illetve jobbra mellettk azt, hogy az egyes

rtegekben pldul milyen protokollok dolgoznak. (A vlasztk messze nem teljes.)

Nevezzk nevkn is az egyes rtegeket:

NETWORK INTERFACE RTEG: Ez van a legkzelebb a kbor elektronokhoz. Ebben a

rtegben trtnik meg az egyes csomagok tnyleges elszlltsa a feladtl a

cmzettekig. Az brn is lthat, hogy itt elssorban a hlzat hardveres

megvalstshoz ktd szabvnyokat talljuk.

INTERNET, VAGY IP RTEG: A cmzs a bortkon. Ebben a rtegben kap cmet mind afelad, mind a cmzett. Ez a rteg felels azrt, hogy a csomag tudja, merre kell

mennie, amg clba nem jut.

TRANSPORT RTEG: Ez a rteg kapja meg az elszlltand adatokat s lltja ssze

bellk a csomagokat.

ALKALMAZS RTEG: Ez egy meglehetsen bonyolult rteg. Itt mindazon szabvnyokat

talljuk meg, melyek az egyes konkrt alkalmazsokbl illetve alkalmazsokba

rkez adatfolyamok elfeldolgozshoz szksgesek.

7/21/2019 tcpip1ora - v12

8/43

TCP-IP 1 RA ALATT

~ 8 ~

Most egy kicsit zavaros rsz kvetkezik, de igyekszem rthet lenni.

Doboz.

Az informcik a hlzaton dobozszersgekben utaznak. rtem ezalatt azt, hogy azegysgeknek ltalban van alja, teteje - s van tartalma.

2.2.

BRA

LTALNOS CSOMAGOLSI

SMA

A header az a bitkupac, ahol a csomagra vonatkoz informcik utaznak.

A payload az a szlltott tartalom.

A trailer pedig a csomag vgt jelz bitsorozat.

FRAME,AVAGY KERET: A Network Interface rtegre jellemz. Azrt hvjk keretnek,

mert mindkt oldalrl le van hatrolva, azaz tnylegesen is van neki fejlce s

lezrsa.

DATAGRAM,AVAGY DOBOZ: Az Internet rtegre jellemz, de elfordul a Transport

rtegben is. Nincs lezrsa, ehelyett a fejlc tartalmazza a csomag hosszt.

Fontos jellegzetessg, hogy kompakt informcit szllt, azaz a tartalom

magban is rtelmezhet.

SEGMENT, AVAGY SZEGMENS: A Transport rtegre jellemz. Formailag ugyanaz,

mint a datagram, de az ltala szlltott informci nem kompakt. Kpzeljnk

el egy hossz adatfolyamot, melyet felszeleteltnk s a darabokat raktuk bele

egy-egy csomagba. A csomag tartalma darabonknt nem rtelmezhet. csak

ha jbl sszerakjuk a teljes folyamot.

Lthat, hogy markns klnbsgek vannak az egyes tipusok kztt. Csakhogy ez

nem mindig lnyeges. Van amikor csak egy entitsrl beszlnk, melyet tovbbtani

kell - s ilyenkor a tovbbts mdja a lnyeges, nem az entits felptse. Ekkor

egyszeren csak csomagnak (packet) nevezzk ezt a bigyt.

7/21/2019 tcpip1ora - v12

9/43

TCP/IP V4

~ 9 ~

Nagyon fontos megrteni, hogy a csomagok egymsba vannak csomagolva.

2.3.BRA CSOMAGOK HTN CSOMAGOK

Ezen menjnk most vgig. A Transport rtegben keletkezik egy csomag, egy TCP

szegmens. Ennek van fejlce (TCP header) s tartalma (segment, azaz adatfolyam-

darab). Ez a csomag kerl t az Internet rtegbe, ahol , azaz a teljes Transportcsomag lesz az IP datagram tartalma. Az Internet rteg hozzteszi a sajt fejlct,

majd az gy keletkez datagramot passzolja le a Network Interface rtegnek. A sma

ugyanaz, a Network Interface keret tartalma a teljes IP datagram lesz, ennek az

elejre jn a Network Interface fejlc, illetve a keretet fizikailag is lezr trailer.

Amikor ez az egsz megrkezik a cmzetthez, az egyes szintek fejlcei alapjn

kdolja vissza az zenetet s rtelmezi a legvgl kapott adatszegmenst.

A kompaktsg rtelemszeren csak rtegszinten rtend. Azaz ha nzek egy

TCP szegmenst, akkor az abban lv payload az egy adatfolyam rsze,nmagban nem rtelmezhet, nem kompakt. Ellenben ha megnzem azt az

IP datagramot, amelyikbe az elz TCP szegmenst csomagoltam, akkor ez mr

kompakt lesz, hiszen egy jl megfoghat dolog van benne, a TCP szegmens.

Nem megynk bele, hogy a TCP szegmens odabent nem kompakt.

7/21/2019 tcpip1ora - v12

10/43

TCP-IP 1 RA ALATT

~ 10 ~

2.2 H

LZATI ESZKZ

NETWORK INTERFACE)

RTEG

Mint rtam, ebben a rtegben elssorban hardver megoldsokkal tallkozunk.

Teljesen ms elven szlltja a csomagokat pldul egy Ethernet vagy egy Token-Ring,

neadjisten FDDI hlzat. rtheten teljesen msok a hlzatok karakterisztiki is.

Ez egy szp nagy dzsungel. Jelen bevezetnek nem is clja ezt feltrkpezni.

Foglalkozzunk most csak az Ethernet hlzatokkal.

Ha azt hiszed, ezzel egybl ki is jttnk a dzsungelbl, tvedsz. Ethernetbl is van

sokfajta keret.

Vgjunk rendet.

Az Ethernet egy csomagtovbbtsi technika, mely az n. Carrier Sense Multiple

Access with Collision Detection, azaz CSMA/CD elven alapul.

Elmagyarzom. A fizikai hordoz kzegen (csavart rpr, veg) egyszerre csak egy

csomag tekerhet. Ha a felad kldeni akar, akkor belekiabl a csbe, hogy res --e?

Ha igen, akkor kld. Ha nem, akkor vr. Ha ketten kiablnak bele egyszerre, akkor

mindketten vrnak.

Maga a kldtt csomag - illetve nevezzk most mr nevn - az Ethernet keret tbbfle

lehet. Ez elssorban ott jelenik meg, hogy pontosan mi is kerl az egyes fejlcekbe,mi kerl a payloadba, illetve a trailerbe - azaz milyen struktrba csomagoljuk az

informcit.

Megint nem fogok elveszni a rszletekben, itt pldaknt csak a legelterjedtebbel, az

Ethernet II szabvnnyal fogunk foglalkozni. (Futottak mg az Ethernet 802.3, illetve

Ethernet SNAP.) Annyit azrt jegyezznk meg, hogy ezeket nem lehet keverni. Az

Ethernet II hlzati krtya nem fog tudni mit kezdeni az Ethernet 802.3 kerettel -

hiszen csak egy struktrt ismer, az rkez keret meg msikat hasznl.

7/21/2019 tcpip1ora - v12

11/43

TCP/IP V4

~ 11 ~

2.2.1 ETHERNET I I FRAME.

RFC 894

2.4.

BRA E

THERNET

II

KERET

PREAMBLE: Egy bitsorozat, mely jelzi, hogy itt indul a keret. A network monitoroz

eszkzk nem mutatjk.

DESTINATION ADDRESS: A cmzett cme.

SOURCE ADDRESS: A felad cme.

ETHERTYPE: A payloadra vonatkoz azonost kd.

0x0800 - IP datagram

0x0806 - ARP csomag.

PAYLOAD: Maga a szlltott teher. A mrete alulrl is, fellrl is limitlt: minimum 46,

maximum 1500 bjt. Ez utbbi rtket nevezik egybknt MTU-nak, Maximum

Transmission Unit-nak is. (A mrete rtelemszeren a keret kialaktstl fgg. Mskerettpusnl ms az rtk is.)

Amennyiben a feladott payload mrete nem rn el a 46 bjtot, akkor kiptoljk. (A

minimlis mret elrsnak oka a megbzhat tkzsdetektls.)

FRAME CHECK SEQUENCE: Ellenrz kd. A keretet, mint bitsorozatot (minusz FCS mez)

elosztjk egy 33 bites prmszmmal, s maga a 32 bites maradk lesz a 4 bjtos FCS

rtk. A felad berakja az rtket, a cmzett pedig elvgzi ugyanezt a mveletet - s

amennyiben a kapott eredmny nem egyezik az FCS mez rtkvel, akkor eldobja a

keretet.A network monitoroz eszkzk ezt a mezt sem mutatjk.

7/21/2019 tcpip1ora - v12

12/43

TCP-IP 1 RA ALATT

~ 12 ~

2.5.

BRA E

THERNET

II

KERET MONITOROZVA

gy nz ki egy monitoroz eszkzzel (Wireshark) elkapott Ethernet II keret. Lthat,

nem hazudtam. Minden ott van a helyn. A keret fejlce ki lett bontva, a payload (IP

datagram, illetve az abba csomagolt TCP szegmens) most ppen nem.

Nem brom megllni, hogy ne rohanjak elre. Habr mg nem beszltnk ilyesmikrl,

de azrt folyosi pletyka szinten csak tudunk valamit mr az informatikbl.

Prbljunk meg mindent kiolvasni a fenti keretbl.

TRANSPORT RTEG: A forrs port 49987, ez tipikus kliens port. Nem tartozik a

wellknown portok kz. A cl port 110, ez bizony egy POP3-as krs. A seq s

a len egyarnt nulla, az ack alacsony, gy ez a kapcsolat els lpse. (Az n.

SYN lps.)

INTERNET RTEG: A felad IP cme 192.168.1.109, a cmzett 193.188.141.59.

NETWORK INTERFACE RTEG: A felad egy Austek hlzati krtya, a MAC cme:

00:1e:8c:ab:37:2e. A cmzett egy Cisco hlzati krtya, a MAC cme:

00:18:f8:f1:34:0a

7/21/2019 tcpip1ora - v12

13/43

TCP/IP V4

~ 13 ~

Vissza a hlzati rtegbe. Mik is ezek a MAC cmek?

Minden hlzati kommunikcira kpes eszkznek van egy azonostja. Ez az

azonost vilgszerte egyedi s bele van getve az eszkzbe. (Viszont a legtbbszr

elmaszkolhat.) A MAC cm - mint az brn (2.4

. bra Ethernet II keret) is lthat, hatbjtos.

Az els hrom bjt a gyrt azonostja. A msodik hrom bjt pedig a gyrtn bell

az eszkz egyedi kdja.

A TCP/IP hlzati kommunikciban tbbszr is trtnik valamilyen nvfelolds.

Amikor azt mondjuk, hogy kapcsolatba szeretnnk lpni pldul azisitchristmas.com

webalkalmazst futtat szerverrel, akkor elszr meg kell hatroznunk az IP cmt. Ez

az alkalmazs rteg dolga. Ha megkaptuk a 66.33.220.210 cmet, a kvetkez

lpsben meg kell hatroznunk az IP cmhez tartoz hlzati krtya MAC cmt.

Ugyanis, mint rtam, a csomagok szlltsa tnylegesen a hlzati rtegben trtnik,

itt viszont a MAC cmek jtszanak f szerepet.

Az els nvfeloldsra (URI -> IP) szmtalan mdszer ltezik.(Loklis cache, DNS, host

fjl, WINS.)

A msodik nvfeloldst (IP -> MAC) az Address Resolution Protocol segtsgvel

vgezzk el.

2.2.2 ADDRESS RESOLUTION PROTOCOL - MAC CMEK KERESSE

RFC 826

Mint jeleztem is korbban, az Ethernet keretben ktfajta payload utazhat, IP

datagram s ARP csomag. Maga az ARP csomag szintn ktfle lehet: krds vagy

felelet.

ARPREQUEST: A krdez kld egy ARP broadcast zenetet. Ebben szerepel a

sajt IP cme, a sajt MAC cme s a krdezett IP cm. A krdezett MAC cmmez res.

ARP REPLY: A krdezett IP cm gp magra ismer, belerja a vlaszba a

krdezett MAC cmet, majd immr clzott zenetknt visszakldi.

Lthat, hogy a nvfeloldsnak van nmi korltja: a broadcast ltalban nem tud

kitrni a loklis alhlzatrl, tekintve, hogy a routerek nem engedik t. De nem is

nagyon van r szksg, mert majd az Internet rtegnl ltjuk, hogy a felad nem a

vgs cmzett MAC cmre lesz kivncsi, hanem az tvonal els ugrst jelent gp

(alhlzaton kvl es clpont esetn a router) MAC cmre.

http://isitchristmas.com/http://isitchristmas.com/http://isitchristmas.com/http://isitchristmas.com/

7/21/2019 tcpip1ora - v12

14/43

TCP-IP 1 RA ALATT

~ 14 ~

Nagyjbl ez az elv. A gyakorlatban ez meg van bolondtva azzal, hogy a feloldott MAC

cmek bekerlnek a gpek loklis ARP gyorstroliba, hogy ne kelljen mindig

broadcastolni.

2.6.BRA ARPNVFELOLDS

A valsgban a gyorstrazs okoz nmi problmt, de ezeket ebben a knyvben nem

trgyaljuk.

2.3

INTERNET RTEG

RFC 791

Jogos lehet a krds, mirt is van szksg ktfle cmre? Ha minden hlzati

krtynak a vilgon egyedi azonostja van, mirt nem lehet pusztn ezt a cmet

hasznlni? Elg egyedi, nem?

Nos, egyedinek egyedi... de meglehetsen rgztett. Mrpedig mi, amikor ptjk a

rendszereinket, szeretnnk olyan struktrt sszerakni, amely a cljainknak megfelel.

Alhlzatokat szeretnnk ltrehozni, szmtgpeket akarunk elklnteni egymstl,alhlzatokat akarunk gerincvonalakkal sszektni, telephelyeink, kzpontjaink

vannak. Ehhez kell egy rugalmas cmzsi struktra.

Ezt a struktrt valstja meg, ezt a struktrt mkdteti az Internet rteg.

Jelenleg az IP version 4 a legelterjedtebb szabvny, de mr kint van s kezd

terjedni az IP version 6 szabvny is. Erre ksbb kln is kitrek.

Az egsz struktrnak alapja az IP cm. Az IPv4-ben egy IP cm az egy 32 bites binrisszmsorozat. Fontos, hogy ez nmagban nem rtelmezhet: minden IP cmhez

7/21/2019 tcpip1ora - v12

15/43

TCP/IP V4

~ 15 ~

tartozik egy msik 32 bites binris szmsorozat, az alhlzati maszk (subnet mask) -

ez adja meg, hogy az IP cmbl hny bit hatrozza meg az alhlzat azonostjt s

hny magnak a node-nak a cmt.

Gyors fogalomtisztzs:Node : Egy hlzati csatoleszkz.

Host : Egy szmtgp, melyben akr tbb hlzati krtya, azaz node is lehet.

Pldul a 192.168.1.164 IP cm s a 255.255.255.0 alhlzati maszk a kvetkez

dolgokat hatrozza meg:

A hlzat azonostja : 192.168.1

A hlzaton bell a node azonostja : 164.

Mirt? A binris matek miatt:

192.168.1.164 -> 11000000 10101000 00000001 10100100

255.255.255.0 -> 11111111 11111111 11111111 00000000

Azt mondjuk, hogy amg az alhlzati maszk rtke 1, addig tart a hlzat azonost,

amikor pedig 0, akkor ott mr a node azonostt kapjuk. Valamivel matekosabban

gy is mondhatnm, hogy az IP cm s az alhlzati maszk binris szorzata (AND)

adja a hlzat azonostjt, illetve az alhlzati maszk negltja (NOT) szorozva az IP

cmmel adja a node azonostjt.Szoktk ezt gy is jellni, hogy nem rjk le az alhlzati maszk minden egyes bitjt,

csak megadjk, hogy hny darab egyes van benne. (Remlem, az nem lep meg, hogy

az alhlzati maszk - az egszen extrm esetektl eltekintve - mindig balra zrt, azaz

balrl tltdik fel egyesekkel.)

Ekkor a fenti plda gy nz ki: 192.168.1.164/24.

Nyilvn az sem nagy meglepets, hogy ebben az esetben a hlzaton 256 klnbz

node lehet. (Igazbl 254, mert a kt szls cm fenn van tartva a hlzatbeazonostsra, illetve a broadcast cmre.)

Rgebben az IP cmeket osztlyokba (classful) soroltk, voltak A, B, C, D, E kategris

cmek. Ma mr classless vilgban lnk, de ez csak az els 3 kategrira igaz. A

msik kt kategria megmaradt.

2.1.TBLZAT

Osztly Mettl Meddig MicsodaD 224.0.0.0 239.255.255.255 Multicast2

E 240.0.0.0. 254.255.255.255 Vsztartalk

2A multicast a pont - multipont kommunikcit jelenti.

7/21/2019 tcpip1ora - v12

16/43

TCP-IP 1 RA ALATT

~ 16 ~

Ha kt node eltr alhlzaton van, azaz klnbzik a hlzati azonostjuk, akkor

kzvetlenl nem tudnak kommuniklni egymssal.

Nzznk erre is egy pldt:

Node1 (192.168.1.164/24):

192.168.1.164 -> 11000000 10101000 00000001 10100100

255.255.255.0 -> 11111111 11111111 11111111 00000000

A hlzat azonostja : 192.168.1

A hlzaton bell a node azonostja : 164.

Node2 (192.168.12.123/16):

192.168.12.123 -> 11000000 10101000 0000110001111011

255.255.0.0 -> 11111111 11111111 00000000 00000000 A hlzat azonostja : 192.168

A hlzaton bell a node azonostja : 12.123.

Mivel a kt hlzati azonost klnbz, ez a kt node nem fog tudni kzvetlenl

kommuniklni egymssal. Ide router kell3.

2.3.1ROUTING

De mi is az a router?

A router az a host, mely tbb klnbz hlzat kztt biztost tjrst gy, hogy

mindegyik hlzatba belgat egy-egy hlzati csatolt.

3 Elmletileg. A gyakorlatban viszont a fenti pldban a host-ok sszeszenvedikmaguknak a kapcsolatot. De nem ez az elvrt viselkeds.A rszleteket lsd a TCP/IP Alapok I. ktetben.

7/21/2019 tcpip1ora - v12

17/43

TCP/IP V4

~ 17 ~

2.7.

BRA ROUTOLSI FOLYAMAT

A fenti brn egy teljesen egyszer szituci lthat. Van kt alhlzatunk, azokon

egy-egy node . A kettt egy router kti ssze, melyben kt hlzati krtya van.

Nzzk rszletesen a folyamatot.

1) A Forrs nvvel jellt szmtgpnek halaszthatatlan kzlendje tmad,

melyet a Cl nev szmtgppel szeretne megosztani. A hlzat egyszer

Ethernet.

2) A Cl nev szmtgp IP cmt megszerzi valahonnan. (Vagy benne van a

programban, vagy segtsgl hvja a nvfeloldsi folyamatot s mondjuk egy

DNS szerver megsgja neki.)

3) Szomoran veszi tudomsul, hogy abszolt ms hlzatrl van sz, teht

kzvetlenl nem tudja elkldeni a csomagot.

4) Egy - ksbb trgyaland algoritmussal - megszerzi annak a node-nak az IP

cmt, mely felels az idegen hlzatba kldtt csomagok tovbbtsrt. Ez

jelen esetben a Router A lba lesz.

5) Az IP cm birtokban - az ARP segtsgvel - begyjti a Router A MAC cmt, s

gy mr ssze tudja rakni a kldend csomagot:

a. Source IP address : 192.168.12.25

b. Source MAC address : 00-1e-8c-ab-37-2e

c. Target IP Address : 10.10.99.124

d. Target MAC address : 00-18-f8-f1-34-0a (!!)

6) Mivel egy fogadott csomag beazonostsa alulrl felfel trtnik, gy a Target

IP cm hiba a Cl szmtgp, de a Target MAC cm miatt a Router A

magnak fogja rezni a csomagot. Felszipkzza. A Target IP alapjn rtelmezi

a feladatot, megkeresi, melyik lbn kell tovbbtania a csomagot (figyelem,

lteznek szzlb routerek is), az ARP segtsgvel begyjti a Cl szmtgp

MAC cm rtkt, majd sszerakja a kvetkez csomagot:

a. Source IP address : 192.168.12.25

b. Source MAC address : 00-1e-8c-f1-34-0a

7/21/2019 tcpip1ora - v12

18/43

TCP-IP 1 RA ALATT

~ 18 ~

c. Target IP Address : 10.10.99.124

d. Target MAC address : 00-0d-87-3d-4e-4d

7) A Target MAC cm miatt a Cl szmtgp felveszi a csomagot, a Target IP cm

alapjn ltja, hogy neki szl. Boldog. Miutn megrkezett az sszes csomag,

sszerakja az zenetet, s az eddig trgyalt mdon vlaszol.

Nagyon durvn ennyi. De mr most is lthat, hogy van egy -kt zavaros terlet:

Honnt is tudja a Forrs, hogy neki pont Router A szmra kell elkldeni ezt a

csomagot?

Honnt is tudja a Router, hogy melyik lbn kell tovbbkldenie a csomagot?

s mi van akkor, ha a Cl szmtgp nem kapcsoldik kzvetlenl a

Routerhez, hanem van kztk mondjuk mg 5 darab kztes router is?

Az els knz krdsre a vlaszt a route tbla adja meg. Minden szmtgpben van

egy tblzat, mely arra vonatkozik, hogy egyes csomagokat merre kell tovbbtani. ===========================================================================Interface List

8 ...00 1e 8c ab 37 2e ...... Realtek RTL8168B/8111B Family PCI-E GBE NIC

1 ........................... Software Loopback Interface 1

9 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface

13 ...00 00 00 00 00 00 00 e0 isatap.{47CE5CAA-223F-4CD4-9A17-D91D7DDC2066}

===========================================================================

IPv4 Route Table

===========================================================================

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.101 20

127.0.0.0 255.0.0.0 On-link 127.0.0.1 306

127.0.0.1 255.255.255.255 On-link 127.0.0.1 306

127.255.255.255 255.255.255.255 On-link 127.0.0.1 306

192.168.1.0 255.255.255.0 On-link 192.168.1.101 276

192.168.1.101 255.255.255.255 On-link 192.168.1.101 276

192.168.1.255 255.255.255.255 On-link 192.168.1.101 276

192.168.99.0 255.255.255.0 192.168.1.2 192.168.1.101 21

224.0.0.0 240.0.0.0 On-link 127.0.0.1 306

224.0.0.0 240.0.0.0 On-link 192.168.1.101 276

255.255.255.255 255.255.255.255 On-link 127.0.0.1 306

255.255.255.255 255.255.255.255 On-link 192.168.1.101 276

===========================================================================

Persistent Routes:

Network Address Netmask Gateway Address Metric

192.168.99.0 255.255.255.0 192.168.1.2 1

===========================================================================

Ez annak a gpnek a route tblja, amelyiken a knyvet rom. (A route printparancs

adja ki.) A lista els felben a hlzati csatolk ltszdnak, utna jn maga az

tvlasztsi tblzat.

Nem kell megijedni, a tblzat csak elsre tnik bonyolultnak.

Az els kt oszlop rtkei tulajdonkppen a feltteleket jelentik, a

harmadik/negyedik oszlopok rtkei fogalmazzk meg az akcit, az tdik oszloprtkei pedig prioritst befolysolnak.

7/21/2019 tcpip1ora - v12

19/43

TCP/IP V4

~ 19 ~

Nzznk konkrt pldkat.

Ttelezzk fel, hogy a 192.168.1.123 node szmra szeretnk kldeni egy

csomagot. Merre induljak?Mintaillesztssel kezdjk. Vgignzzk az els kt oszlopot s megkeressk, hogy a

megclzott cm mely rtkre illeszkedik a legszorosabban.

0.0.0.0 : Erre illeszkedik ugyan, mert erre minden illeszkedik, csak

ppen meglehetsen lazn.

127.0.0.0 : Na, erre abszolt nem illeszkedik.

192.168.1.0 : Erre viszont egszen jl.

A tovbbi soroknl mr nincs illeszkeds. Azaz kt tallatunk van, ezek kzl az

tdik sorban lv illeszkedik szorosabban. Nzzk, ehhez a sorhoz milyen akci

tartozik: a csomagnak a 192.168.1.101 hlzati krtyn kimenve (ennek ugye akkorvan rtelme, ha tbb hlzati krtya is van a gpben) kell keresnie kzvetlenl a

192.168.1.123 node-ot, mivel azonos alhlzaton vagyunk. Nincs router.

Nzznk egy jabb pldt. Legyen a megclzott node a 192.168.99.15.

Megint mintailleszts

0.0.0.0 : Mg mindig j.

127.0.0.0 : Erre megint nem illeszkednk.

192.168.1.0 : Most erre sem.

192.168.99.0 : Hopp.A tovbbi soroknl mr nincs illeszkeds. Megint kt tallatunk van, most a nyolcadik

sorban lv a szorosabb. Akci? A csomagnak a 192.168.1.101 hlzati krtyn

kimenve kell keresnie a 192.168.1.2 node-ot. Valsznleg ez lesz a router.

Utols plda. Prbljuk most beclozni a 217.20.130.97 node-ot.

0.0.0.0 : Szoks szerint j, de laza.

s vge. Semmi ms nem illeszkedik. Akkor most mi lesz? A csomag a

192.168.1.101 hlzati krtyn fog kimenni s a 192.168.1.1 node-ot fogja keresni.

Ez megint egy router.

Teht egy olyan alhlzatban vagyunk, amelyikben kt router is van. Az egyik

szigoran csak a 192.168.99.0/24 alhlzat fel routol (br nem tudjuk, mi lehet

mg mgtte), a msik pedig minden egyb alhlzat fel.

Prbljuk meg elkpzelni.

7/21/2019 tcpip1ora - v12

20/43

TCP-IP 1 RA ALATT

~ 20 ~

2.8. BRA KZS ZNA

Ez pldul egy olyan hlzat, ahol kt cg sszeolvadt s kialaktottak egy olyan

alhlzatot, amelyikhez mindketten hozzfrnek. Ez a kzs zna. Ebben jelenleg egy

webszerver fut, melyet mindkt hlzatbl ellehet rni.

Mi vagyunk a kicsi zld munkallomssal, a NagyCeg hlzatban. Az els esetben avelnk egy alhlzaton lv file szervert prbltuk elrni, a msodik esetben a kzs

znban lv webszervert, a harmadik esetben pedig kint valahol az index.hu-t.

Amikor ki kellett mennnk az alhlzatunkbl, akkor a route tbla alapjn tudtuk

eldnteni, hogy melyik routert clozzuk be.

Ez mind szp - most mr csak azt kellene tisztznunk, hogyan kerltek bele a

bejegyzsek a route tblba?

A legegyszerbb dolgunk a legels sorral (0.0.0.0) van. Amikor egy hlzati krtyaTCP/IP belltsainl berjuk a Default Gateway rtkt, akkor gyakorlatilag ezt a sort

adjuk meg. Mit is jelent a Default Gateway? Minden nem specifiklt esetben erre kell

tovbbmenni.

A Default Gateway alli kivtelnl mr egy kicsit bonyolultabb a mdszer.

Hasznlhatjuk pldul a route parancsot:route add -p 192.168.99.0 mask 255.255.255.0 192.168.1.2 metric 1

Ez a parancs adja hozz a fenti pldban azt a plusz sort, mely a 192.168.99.0

irnyra vonatkozik. Felhvom a figyelmet a -p kapcsolra: ekkor a bejegyzs

perzisztens lesz, azaz kikapcsols utn is megmarad.

7/21/2019 tcpip1ora - v12

21/43

TCP/IP V4

~ 21 ~

A route tblt tudjuk piszklni a netsh paranccsal is, de igazn nagy hlzatoknl mr

komolyabb mdszereket szoktak alkalmazni. (Route/Switch Processor, vagy az

Internet rteg ICMP szolgltatsai.)

Viszont az brn az is ltszik, hogy a hlzat nem r vget a kzs znnl.Elmletileg a 3-as routeren keresztl be is tudnnk menni a KisCeg hlzatba - mely

hlzatrl egyelre semmi informcink sincs. Ttelezzk fel, hogy van nluk is egy

file szerver (172.30.27.101) melyet el kellene rnnk. Honnan fogjuk tudni, hogy

most melyik router fel kellene mennnk? Ht gy, hogy berjuk a route tblnkba,

hogy ebben az esetben is a Router2 fel kell menni. Honnan tudja majd a Router2,

hogy neki merre kell tovbbmennie? Berjuk az route tbljba is azt a bizonyos

sort.

Ezt hvjk gy, hogy statikus routing. De mi van akkor, ha mi vagyunk egy risi multi

cg s tbbszz routernk van?

Gond egy szl se. A routerek beszlgetnek egymssal. Ki tudjk cserlni a routolsi

informciikat.Ezt hvjuk dinamikus routingnak.

Ettl a rvid ismertettl nagyon messze ll, hogy belemenjek a routerek trsalgst

ler protokollok ismertetsbe. Van nhny. Ezek kztt van olyan, mely az Internet

rtegben mkdik, van amelyik az alkalmazs rtegben (RIP - lsd2.1. bra Rtegek a

Microsoft TCP/IP megvalstsban.) Van olyan, mely korltozott szm ugrst tud

kezelni, van, amelyik korltlant. Van gyors, van lass. Van kerek csokold, van

lyukas csokold. s gy tovbb.

Ami neknk fontos, az az, hogy a mai routerek mr okosak, ma mr nem kell 15ujjal

gpelnie egy network rendszergazdnak ahhoz, hogy a routerekben lv route tblk

mindig sszhangban legyenek a tnyleges hlzattal. gy viszont maga az Internet

rteg algoritmusai mindig ki tudjk vlasztani a megfelel utat a forrs s a cl

kztt.

Mindig?

Nem felttlenl. A routerek ugyanis nem sz nlkl engednek t magukon

forgalmakat. Termszetesen szablyokkal tarthatjuk kordban, hogy melyik irnybl,

melyik irnyba, kicsoda, mit csinlhat a micsodjval. Ez teljes mrtkben a

rendszergazdkon mlik.

7/21/2019 tcpip1ora - v12

22/43

TCP-IP 1 RA ALATT

~ 22 ~

2.3.2C MFORDTSOK (NAT, PAT)

Vannak pldul specilis tartomnyok, melyeket bizonyos routereken ktelezen

tiltani kell.

RFC 1918

2.2.

TBLZAT

Kezd cm Vgs cm Cmek szma10.0.0.0 10.255.255.255 16777216

172.16.0.0 172.31.255.255 1048576

192.168.0.0 192.168.255.255 65536

Illetve ksbb bvlt a klub.

RFC 3927

2.3.TBLZAT

Kezd cm Vgs cm Cmek szma169.254.0.0 169.254.255.255 65536

Az els tblzat tartomnyait nevezzk privt tartomnyoknak, az als tblzat

tartomnyt pedig IPv4 link-local tartomnynak. (Lenykori neve APIPA, Automatic

Private Internet Protocol Addressing.)

Mi rtelme lehet egyltaln egy tartomny tiltsnak a routeren?

Ht pldul az, hogy kt helyen is ltezik.

Persze jogos lehet a krds, mirt akarunk kt vagy tbb ugyanolyan cmtartomny

hlzatot mkdtetni? Nos, azrt mert a vilgszerte egyedi cmekbl kevs van s

egybknt is drgk. Ezrt talltk ki a privt tartomnyokat: ezekbl mindenki annyit

hasznl a sajt szemtdombjn bell, amennyit akar - de az internet hatrait rz

routerek ezeket a tartomnyok soha nem fogjk rengedni az internetre.

(Pontosabban mr a jl konfigurlt cges edge routerek sem engedik el az internetes

edge routerekig a privt tartomnyokat.)

7/21/2019 tcpip1ora - v12

23/43

TCP/IP V4

~ 23 ~

2.9.

BRA GUBANC AZ ALHLZATOK

KZTT

Csak hogy rthetbb legyen, mirt nem lehet kapcsolatban kt ugyanolyan

tartomny. Szoks szerint megint a zld munkallomsrl nyomulunk. Melyik router

IP cmt is kellene bernunk a route tblnkba, hogy elrjk a 192.168.1.123-as IP

cm Webszerver #1 gpet? s mi van, ha kzben a Cg3 hlzatba is felvesznek

egy 192.168.1.123 IP cm gpet, mondjuk egy file szervert?

Ilyen esetekben csak a tilts jhet szba4. Vagy a Cg2, vagy a Cg3 - vagy mindkett

- hlzatt letiltjuk a routereken.

Igenm, de a letilts utn hogyan fognak ezek a szerencstlenek dolgozni? Hogyan

fogom elrni a webszervereket a kicsi zld munkallomsomrl?

Ha a teljes cges hlzatom privt tartomnyban van, hogyan fognak az

alkalmazottak bngszni a neten?

RFC 1631

Erre talltk ki a cmfordtsi technikkat.

Ilyenkor a router nem kzvetlenl engedi t magn a forgalmat, hanem lop, csal,

hazudik. Emlksznk (2.7. bra Routolsi folyamat), sima routols esetn a router

csak a MAC cmekkel jtszik. Cmfordtsnl mr bevonja a jtkba az IP cmeket

(Internet rteg, Network Address Translation, azaz NAT), illetve a portokat (Transport

rteg, Port Address Translation, azaz PAT)

4Illetve termszetesen az IP tartomnyok megvltoztatsa.

7/21/2019 tcpip1ora - v12

24/43

TCP-IP 1 RA ALATT

~ 24 ~

Egy kicsit megint elreszaladunk. A port fogalma a Transport rtegbenjelenik meg de

igazbl az alkalmazs rtegnl lesz bvebben kifejtve.

Pr szt azrt itt is ejthetnk rla.

Ttelezzk fel, hogy van a cgnl egy tbbfunkcis szervernk: fut rajta egy webes

alkalmazs, emellett DNS szerver is, no meg fjlszerverknt is funkcionl. n a kis

zld munkallomsomrl bngszem a szerver weblapjait, mikzben le akarok kapni

egy Excel tblzatot, amely a szerver egyik megosztsban van.

Nem akadnak itt ssze a szlak? Az n IP cmem, MAC cmem fix, hasonlan a

szerver is. Honnan fogjk tudni a kzleked csomagok, hogy melyik melyik

alkalmazshoz fog tartozni?

Erre talltk ki a portszmot.

Azaz amikor pldul egyszerre bngszek s msoloma tblzatot, gy alakulnak a

viszonyaim:

2.4.

TBLZAT

Weblap bngszs Exceltbla letltseSource IP 10.89.101.82 10.89.101.82

Source Port 45789 33478

Target IP 192.168.1.123 192.168.1.123

Target Port 80 445

Ok, vissza a cmfordtshoz. Azt mondtam, a router lop, csal, hazudik. gy bizony.

Cmfordts esetn gy viselkedik, mintha , a megfelel alhlzatba belg lbval

indtotta volna el a krst - azaz kicserli a forrs IP cmet a sajt, megfelel IP

cmre. Persze a router nem fog tudni sokat kezdeni mondjuk egy netrl letlttt

katewinslet.jpg fjllal, emlkeznie kell, ki is krte azt eredetileg s tovbbtania neki.

Amikor a cmfordts gy trtnik, hogy csak az IP cmet cserli ki a router, akkor

beszlnk NAT-rl. Br kicsi az eslye, de elfordulhat, hogy kt node fordul

ugyanazon webszerverhez, ms IP cmrl, de ugyanazt a kliensportot hasznlva -

ilyenkor a router azrt zavarba hozhat.

Emiatt inkbb elterjedtebb az a cmfordts, amikor a router nemcsak a felad IP

cmt, hanem a portszmt is kicserli. Ekkor beszlnk PAT-rl.

Illetve megklnbztetnk olyan verzit, amikor a router csak a source

adatokat piszklja (SNAT) s van olyan, amikor a router a cl adatokat

babrlja (DNAT). De a szmtstechnikai kznyelv ezt az egsz bagzst (NAT,

PAT, SNAT, DNAT) nevezi egsz egyszeren csak NAT-nak.

7/21/2019 tcpip1ora - v12

25/43

TCP/IP V4

~ 25 ~

A portfordts NAT-ot rdemes rszletesebben ismegnzni.

2.10. BRA NAT,PORTFORDTSSAL

A 10.0.0.2 forrs IP cmrl (port: 3123, tipikus kliens port) egy webszerverhez

szeretnnk kapcsoldni: 143.23.0.4, a portszm: 80 (tipikus webszerver port).

Csakhogy kzben van egy natol router, mely eltrolja a felad adatait egy port

mapping tblzatban, majd kicserli a felad adatait a csomagban: berja a sajt

kls lbnak IP cmt s egy msik kliens portot. Mindezt szintn rgzti a port

mapping tblzatban, st, ide kerlnek a cmzett adatai is. A mdostott feladtl

elmegy a krs a cmzetthez, az vissza is vlaszol neki. Itt kap szerepet a port

mapping tblzat, a router abbl keresi ki, hogy ki is volt az eredeti felad, fellrja a

csomagban a cmzett cmt s tovbbtja visszafel a csomagot.

Aki szeretne jobban is elmlylni a klnbz cmfordtsokba:

http://en.wikipedia.org/wiki/Network_address_translation

Amit mg rdemesmegjegyezni, hogy a NAT-nak ersen megvannak a korltai. Nem

egy olyan protokoll ltezik, ahol nem csak az IP datagram fejlce tartalmazza az IP

cmeket, hanem maga az alkalmazs is belerakja egyes adatcsomagjaiba ezeket.(Pl.

FTP protokoll, PORT v. PASV parancsok.) Ilyenkor a natol eszkz vagy fel van ksztve

arra, hogy itt is cserlni kell az IP cmeket, vagy elhasal az alkalmazs.

http://en.wikipedia.org/wiki/Network_address_translationhttp://en.wikipedia.org/wiki/Network_address_translationhttp://en.wikipedia.org/wiki/Network_address_translation

7/21/2019 tcpip1ora - v12

26/43

TCP-IP 1 RA ALATT

~ 26 ~

2.4 S

ZLLTSI

TRANSPORT)

RTEG

Dacra a nevnek, nem ez a rteg mozgatja a csomagokat. Az a Network Interface

rteg.A Transport rtegszervezia szlltst.

Mghozz ktfle szervezelv szerint kpes dolgozni.

2.4.1USER DATAGRAM PROTOCOL (UDP)

RFC 768

Mint a nevbl is ltszik, datagram. Azaz olyan csomag, mely kompakt. Ha kinyitom a

payload-ot, akkor nmagban is rtelmezhetblokkot tudok kivenni belle.

2.11.

BRA E

GY

UDP

CSOMAG

Tessk megnzni. Megkrdeztem az index.hu IP cmt - s visszakaptam, hogy az

217.20.130.97. Emellett megtudtam azt is, hogy kik az index.hu name szerverei. Az

informci kompakt, sehol sem r olyat a wireshark, hogy a tovbbi rszletekrt menj

tovbb az xy sorszm csomaghoz.

7/21/2019 tcpip1ora - v12

27/43

7/21/2019 tcpip1ora - v12

28/43

TCP-IP 1 RA ALATT

~ 28 ~

2.5.

TBLZAT

UDP TCP

Kapcsolat Kapcsolatmentes.

A felad elkldi a csomagot, a cmzettmegkapja. Ezen a tranzakcin kvl semmitnem beszlgetnek.

Kapcsolatcentrikus.

Mg a tnyleges adatklds eltt a felekkiptenek egy kapcsolatot s azt poljkis.

Megbzhatsg Megbzhatatlan

A kld/fogad alkalmazsokra bzza, hogyvegyk szre a csomagvesztst.

Megbzhat

Az adatfolyam darabjai szmozottak sazokat leltr szerint t kell vennie afogad flnek.

Puffer Nincs.

A kld alkalmazs egybl kldi a csomagots az ahogy megrkezik, egybl megy istovbb a fogad alkalmazshoz..

Van.

Mind kld oldalon, mind fogad oldalonltezik egy tmeneti trolhely, mely segta csomagok elrendezsben.

Trdels

Nincs.

Az UDP kln nem foglalkozik vele. Ha acsomag nagyobb lett az MTU-nl, akkor majdtrdel az IP rteg. A maximlis mrete 64KB.

Van.

A TCP kpes kommuniklni az IP rteggels a csomagok sszeraksnlfigyelembeveszi az MTU rtkt.

Folyamatszablyozs Nincs.

Nem tudja rzkelni, hogy dug van s

lasstania kellene. Hasonlkppen azt sem,hogy szabad a plya, lehet gyorstani.

Van.

Rendszeresen mri a csomagok

berkezsi idejt s ehhez hangolja asebessget.Tbbnejsg

Poligm

Kpes a pont-multipont kapcsolatra.Multicast kommunikcinl csak UDP jhetszba.

Monogm

Csak pont-pont kapcsolatra j,multicasthoz hasznlhatatlan.

Sebessg Gyors

Mivel nincs benne ez a sokfajta vdelem,meg ellenrzs.

Lass

Mivel ebben viszont benne van az a

sokfajta vdelem, meg ellenrzs.Hatkonysg

J

A csomagok tartalmhoz kpest nem tlnagy a vzfej.

Gyenge

Mind a csomagok fejlct, mind az extraelkldtt csomagokat tekintve nagy avizfej.

A tblzatbl remekl kiolvashatak a tipikus felhasznlsi terletek is. Nem akaroma vgtelensgig elnyjtani, gy csak egy markns pldt emelnk ki.

A DNS nvfelolds felvltva hasznlja az UDP, illetve TCP protokollokat, mghozz

gy, hogy ha az informci belefr egy UDP csomagba, akkor gy megy (tipikusan a

DNS lekrdezs, illetve vlasz), ha nem, akkor jn a TCP (tipikusan znatranszferek).

2.5 A

LKALMAZS

APPLICATION )

RTEG

Megrkeztnk a dzsungelbe. Eddig ugyanis meglehetsen rgztett formk kztt

zajlott az let - innentl viszont elszabadul a pokol. Kismilli protokoll - s egyltaln

nem ktelez, hogy ezek szabvnyostva legyenek. A Szomszd Lacika kitallja, hogy

r egy szerveralkalmazst, mely az 59999-es porton szolgltat, majd r hozz kliens

alkalmazsokat, melyek ezen a porton rik el a szervert. Ez mr az alkalmazs rteg.

Tipikus vadnyugat. Mg akkor is, ha Lacika mr TCP-t vagy UDP-t fog hasznlni, a

cmek kezelst az IP rteg fogja vgezni, a szlltst pedig a hlzati rteg.

7/21/2019 tcpip1ora - v12

29/43

TCP/IP V4

~ 29 ~

Termszetesen a protokollok j rsze szabvnyostott. Nincs semmi rtelme jra meg

jra felfedezni a spanyolviaszkot. (Pl. megrni egy alternatv DHCP-t.)

A szabvnyostott (RFC, ugye) protokollok viszont rgztett portokon kommuniklnak.

Persze ne gondoljon senki kbevssre, minden tovbbi nlkl zemeltethetek

webszervert, mely nem a 80-as porton mkdik - csak ppen elvesztek mindenkit,aki olyan cges tzfal mgl jn, ahol csak a 80-as portot engedlyeztk

bngszsre.

Ezeket a szabvnyos, de legalbbis ersen ajnlott portokat nevezik wellknown

portoknak.

2.5.1 TRKP AZ ALKALMAZS RTEGHEZ

2.13.

BRA TRKP AZ ALKALMAZS RTEGHEZ

Termszetesen nem teljes. Irgalmatlanul nem teljes. Nyilvn nem csak ennyi

protokoll ltezik. Nyilvn nem csak a bngsz hasznlja a DNS-t. A Total

Commander nyilvn nem csak az SMB-t hasznlja - ha nevet kell feloldania, fordulhat

DNS-hez s WINS-hez is. A fokonyv.exe-rl meg legtbbszr a fejlesztje sem tudja,

mit is hasznl pontosan.

7/21/2019 tcpip1ora - v12

30/43

TCP-IP 1 RA ALATT

~ 30 ~

De az elv, ahogy egymsba plnek a kockt, remlhetleg jl lthat.

Aprop, SMB. Nem, nem sajthiba: a Windows Server 2000 ta mr nem a Netbios -

on keresztl dolgozik, hanem kzvetlenl fordul a TCP-hez (TCP 445). Innentl

nevezik CIFS-nek is.

2.6 T

ZFALAK

Ezek azok az eszkzk, melyek kpesek valamilyen szinten kontrolllni a rajtuk

keresztlmen forgalmat. A routereknl mr emltettem, hogy le lehet tiltani rajtuk

bizonyos forgalmakat. Erre a clra jogosultsgi listkat (ACLs) hasznlunk s az

egyszerbb feladatokhoz ez bven elg is.

De akadnak jcskn sszetettebb feladatok is. Amikor egy jogosultsgi lista mrkevs. Ilyenkor hvjuk segtsgl a tzfalakat.

Egy tzfal tbbflekppen tudja kontrolllni a rajta tmen forgalmat:

csomagszrssel, azon bell is

llapottr nlkli (stateless), vagy

llapotteres (stateful) csomagszrssel, illetve

proxyzssal (application layer, protocol proxy).

Kihasznlom, hogy a fejezet alapveten bevezets jelleg, gy akr durvnegyszersthetek is.

A csomagszrst kpzeljk el gy, hogy ll a biztonsgi r a repltri kapunl,

mindenkit megmotoz s megnzi mi van nla. Egy golystoll? Mehet. Egy kulccsom?

Mehet? Egy veg kla!? Riad, terroristaveszly!

Nyilvn ez gy trtnik, hogy a biztonsgi rnek ki van adva, hogy mit engedhet fel.

Mrlegelsi joga nincsen. Nem fogja megvizsglni, hogy az egy jtkpisztoly, vagy

igazi - nem engedi fel. Ez a stateless vltozat.

A sateful csomagszrs mr intelligensebb. Maradva az elz pldnl, itt is jnnek

sorban az emberek. A biztonsgi r itt is tvizsgl mindenkit. Golystoll? Felrtam,

mehet. Kulccsom? Felrtam, mehet. Egy veg kla? Felrtam, mehet.

Beazonosthatatlan vasdarab? Felrtam, mehet. 1 deci Moyra krmlakk? Lssuk

csak, valaki mr vitt fel egy veg klt, mrpedig a kla keverve ezzel a krmlakkal,

robbananyagotalkot5. Kidobjuk, s visszahvjuk a kls fazont, hogy is dobja ki a

5Nyilvn nem... ez csak egy plda. Nehogy nekillj ezekkel otthon napalmbombtbarkcsolni.

7/21/2019 tcpip1ora - v12

31/43

TCP/IP V4

~ 31 ~

kljt - mert elkpzelhet, hogy ezek ketten rosszban sntikltak. (Vigyzat, nagyon

durva egyszersts.)

Lthat, hogy a stateful vltozat sokkal bartsgosabb s rugalmasabb. Cserbe

viszont rlt nagy noteszt kell kezelnie a biztonsgi rnek, jl kell tudnia kombinlni,s napraksz technolgiai adatbzis kell mg, hogy tudja, milyen alkatrszekbl

milyen fenyegetseket lehet sszerakni.

Nzzk a proxy tzfalakat.

A pilta mrbent l a piltaflkben, hamarosan indulnak - de ekkor megkvn egy

hamburgert. Odaint egy biztonsgi rt, ad neki pnzt, az r pedig kimegy a repltr

el. Tudja, hol van hamburgeres - mert a pilta elmagyarzta neki - megveszi a

hamburgert, alaposan leellenrzi, hogy az tnyleg csak egy rtalmatlan hamburger

legyen, majd beviszi s odaadja a piltnak.

Azrt hvjk ezt a technikt proxynak, mert a kld s a fogad fl kzvetlenl nem

tallkoznak. Egy helyettest szemly - a proxy - kzvett kzttk. Az egyik

elmagyarzza neki, mit szeretne, a proxy ekkor kimegy a vad, veszlyes terepre,

begyjti a begyjtendket, majd ellenrzs utn odaadja a megbzjnak.

Lthat, hogy a direkt kapcsolat hinya miatt a proxy jval biztonsgosabb, de ennek

a technolginak is megvannak a htrnyai. Mi van, ha a pilta hirtelen egy

talajgyalut szeretne? A biztonsgi r csak hamburgerre lett kikpezve. Csak egy

hamburgerboltban tudja, hogyan kell viselkednie. Csak a hamburgert tudja

tvizsglni, hogy tnyleg hamburger-e. Csak a hamburgerhez van kis rzsaszn

manyag doboza, amelyben biztonsgosan tudja szlltani. Ha a piltnak talajgyalu

kell, akkor egy msik biztonsgi rt kell odahvnia, aki otthon rzi magt egy

exkavtor szakzletben, aki meg tud gyzdni arrl, hogy tnyleg talajgyalut kapott,

nem pedig afgn ngyilkos mernylt, s akinek van olyan rzsaszn dobozkja,

amelyben biztonsgosan tudja szlltani a talajgyalut. Aztn a fkabbihez harmadik

biztonsgi r kell. s gy tovbb. Radsul mindegyik rt folyamatosan kpezni kell,

mert a fejlds soha nem ll meg, a hamburger, a talajgyalu, a fkabbi llandan

vltozik, talakul. Arrl nem is beszlve, hogy a fizeteszkz is, s a pilta lehet, hogyegy id utn bankkrtyt ad - a biztonsgi rnek meg kell tanulnia azt is hasznlni.

Vgezetl remlem az is ltszdik, hogy a proxy technika jval lassabb is.

7/21/2019 tcpip1ora - v12

32/43

TCP-IP 1 RA ALATT

~ 32 ~

Az SPF (Stateful Packet Filter) technolginak markns kpviseli a Checkpoint

tzfalak, mg a proxy technolgira hirtelen a magyar Zorp Gateway tzfalat tudnm

megemlteni.

Checkpoint:

http://www.checkpoint.com/

Zorp Gateway:

http://www.balabit.hu/network-security/zorp-gateway/

A Microsoft TMG (s az ISA vonulat is) hibrid termk. A webes protokollokat proxy

technikval kezeli (webproxy service), a tbbi hozzfrst pedig SPF mdon.

http://www.checkpoint.com/http://www.checkpoint.com/http://www.balabit.hu/network-security/zorp-gateway/http://www.balabit.hu/network-security/zorp-gateway/http://www.balabit.hu/network-security/zorp-gateway/http://www.checkpoint.com/

7/21/2019 tcpip1ora - v12

33/43

TCP/IP V6

~ 33 ~

3TCP/IPV6

RFC 1719

Ha hiszed, ha nem, az RFC 1719 mr 1993-ban elkszlt, az IPv6 - mely gyakorlatilag

az IP rteg teljesen ms szemllet kezelst megvalst szabvnygyjtemny -

pedig 1995-ben llt ssze. 15 v!

Ehhez kpest nem mondanm, hogy olyan nagyon kzismert, nagyon elterjedt

dologrl lenne sz.

Trtnelmileg gy alakult, hogy a kilencvenes vekrekezdtek elfogyni az IP cmek. Az

IETF-nl gyorsan nekilltak kidolgozni egy jabb szabvnyt, kzben workaroundknt

bedobtk a CIDR szemlletet s a NAT technolgikat. Gondolom, nem elszr

hallasz ilyesmirl, de a workaround annyira jl sikerlt, hogy ksbb, amikor mr

elkszlt a vgleges megolds, senki sem rezte szksgt lecserlni. (Ne mondd,

hogy soha nem hallottl mg kvfz-gumival hajtott vzpumprl.)

Nagyjbl mostanra rtnk el odig, hogy az ideiglenes megolds kezd elrkezni

lehetsgei hatraihoz. Azrt akrhogy is nzzk, a NAT meglehetsen

erforrsignyes s az IPv4-nek nem is egy komoly htrnya van az IPv6-hoz kpest.

risi vltozsrl van sz. Mrmint mennyisgben. Az internet az utbbi 15 vben

tlpett minden elkpzelhet hatrt. s ebben a hatalmas hlzatban kellene

komplett lecserlni az IP rteget egy msikra.

Nyilvn nem fog menni egyik naprl a msikra. Elszr el kell jutni addig, hogy

minden rsztvev gyrt alapbl is tmogassa. Aztn le kell cserlni azokat az

eszkzket, amelyek nem tmogatjk. Vgl szp finoman, vatosan el kell kezdeni

tlltgatni a rendszereket. Termszetesen a mrnkknek, a rendszergazdknak

addigra kpbe kell kerlnik, meg kell tanulniuk az j IP rteget - hiszen hossz

vekig fognak egyms mellett zemelni IPv4 s IPv6 hlzatok.

Izgalmas idszak lesz - s van egy tippem, hogy a minesweeper-t be fogja elzni anpszersgi listn a calc.exe.

Kezdjk a legltvnyosabb vltozssal: jval nagyobbak lesznek a cmek. Eddig 32

bites cmeket hasznltunk (ezeket rtuk le ngy bjtos formban) - mostantl 128

bites cmeink lesznek. Anlkl, hogy elmerlnnk a matek rejtelmeiben, ez nem

ngyszeres vltozs - sokkal inkbb negyedik hatvnyos. Ennyi cm valsznleg

akkor is elg lesz, ha Knban az sszes kenyrpirtnak sajt egyedi IP cmet kell

adni.

7/21/2019 tcpip1ora - v12

34/43

TCP-IP 1 RA ALATT

~ 34 ~

Nzznk egy pldt:11000000 10101000 00010111 00001100

Ez a 192.168.23.12, binrisan brzolva.

Csak a hecc kedvrt rjunk fel egy IPv6 cmet binrisan: 11000000 10101000 00010111 00001100 11000000 10101000 00010111 00001100

11000000 10101000 00010111 00001100 11000000 10101000 00010111 00001100

Ez a 192.168.23.12.192.168.23.12.192.168.23.12.192.168.23.12cm.

Ilyen cmekkel a fejnkben fogunk szaladozni.

Nyilvn nem. Knytelenek lesznk egy tlthatbb brzolst vlasztani. Persze ezzel

is lesz gondunk, hiszen gy megszoktuk mr a rgi, tizes szmrendszeren alapul

brzolst - most meg lehet majd hexzni.

C0A8:170C:C0A8:170C:C0A8:170C:C0A8:170C

A fenti IP cmet ilyen formban fogjuk lerni, megtanulni, hasznlni.

3.1.

TBLZAT

Hexadecimlis DecimlisC0 192

A8 168

17 23

0C 12

Nmi rvidts mg lehetsges.

Pldul - az IPv4 cmekhez hasonlan - nem kell kirni a vezet nullkat. Azaz

a ":0FB9:" cmdarab teljesen egyenrtk az ":FB9" cmdarabbal.

A teljesen nulla darabokat ssze is lehet vonni.

A C0A8:170C:C0A8:0000:0000:170C:C0A8:170C cm helyett rhatjuk azt is,

hogy C0A8:170C:C0A8::170C:C0A8:170C. Nyilvn ilyen sszevonst csak egy

helyen tehetnk egy cmben, hiszen egybknt nem tudnnk, az adott helyen

hny nulla volt.

A subnet mask szerepe megmaradt, de mr nem irkljuk azt a rengeteg F bett meg

nullt. Maradunk a /xxx formtumnl.

Azaz a C0A8:170C: C0A8:170C: C0A8:170C: C0A8:170C/64 cm azt jelenti, hogy az

els 64 bit a hlzatazonost, a msodik 64 pedig az alhlzaton bell a node

azonostja.

A vgn nzznk egy elrettent pldt. Hogyan nz ki a localhost cm az IPv6 -ban?

::1/128. gy. Kibontva: 0000:0000:0000:0000:0000:0000:0000:0001/128.

7/21/2019 tcpip1ora - v12

35/43

TCP/IP V6

~ 35 ~

Nagy vltozs, hogy az IPv6-ban az alapveten ktsk IPv4 hierarchia szthzdik.

Egy IPv6 cmrl els ltsra meg fogjuk tudnillaptani, hogy melyik znba esik:

Vilgon egyedi

Site szint

LoklisEddig annyit tudtunk, hogy egy IPv4 privt cmrl meg tudtuk mondani, hogy az loklis

cm. A publikus cmre azt mondtuk, hogy az valsznleg nem loklis cm. Az IPv6-nl

eleve bejtt egy kzbens szint, a site. Elg hossz a cm, ki tudunk alaktani

hromszintes struktrt is. (Nem ktelez. Lehet. De az ISP -k valsznleg hasznlni

fogjk.)

Fussuk t, milyen IPv6 cmek lehetsgesek.

UNIQUE-GLOBAL: Vilgszerte egyedi cm. Az els 3 bit jelzi, hogy ez unique-global cm(001), a kvetkez 45 bit egy globlis azonost (pl. az ISP-m vilgon egyedi

azonostja), majd jn 16 bit site azonostsi clra (pldul az ISP -m csinl egy kln

Budapest site-ot), vgl a maradk 64 bit lesz a node azonostja. A node

azonostjt generlhatjuk a MAC cmbl (IEEE EUI64), de lehet vletlenszm is.

Ez gyakorlatilag azt jelenti, hogy a vilgszerte egyedi cmhez a rendszergazdknak

hozz sem kell nylni, generldik magtl.

LINK-LOCAL: Olyan cm, mely csak loklisan rtelmezett. A routerek nem fogjk

kiengedni az internetre. (Meglehetsen analg az IPv4 privt cmeivel.) Az els 10 bitjelzi, hogy ez link-local cm (1111111010), utna jn 54 darab nulla, majd a

korbban is emltett node azonost. Azaz FE80::/64 konstans prefix, a vgn pedig a

node azonost. Ez a cm is legenerldik magtl.

SITE-LOCAL: Nem vagyunk ktelesek elfogadni azt a site struktrt, melyet a unique -

global cm biztost szmunkra. Mi magunk is ki tudunk alaktani a magunk szmra

egy site struktrt. Termszetesen az ebben a struktrban hasznlt IP cm nem lesz

vilgszerte egyedi - igazbl nem is kerlhet ki a site-on kvlre. Az els 10 bit jelzi,

hogy ez site-local cm (1111111011), a kvetkez 54 bit lesz a site azonostja,

vgl jn a jl ismert node azonost. Ha a site IPv6 routereit felokostjuk, akkor ez a

cm is magtl generldik.

RFC 4193

UNIQUE-LOCAL: Olyan, vilgszerte nagyon nagy valsznsggel egyedi cmekrl van sz,

melyek loklisan (maximum site szinten) rtelmezettek, ezen a hatron nem

lphetnek t. Ltszlag faramuci dolog ez. Akkor hasznljk, ha cgek

sszeolvadsrl van sz, vagy ssze-vissza kborl mobil felhasznlkrl. Az els

ht bit jelzi a cm kategrijt (1111110), a kvetkez bit egy flag (L). Ezt kveti egy

7/21/2019 tcpip1ora - v12

36/43

TCP-IP 1 RA ALATT

~ 36 ~

40 bites azonost, a Global ID. Ettl lesz a cm nagy valsznsggel vilgszerte

egyedi. Ez egy pszeudorandom szm, a generlsa az RFC4193-ban le van rva, de a

net is tele van olyan oldalakkal, ahol ugyanezzel az algoritmussal Global ID-t

generlhatunk magunknak. Ha az L flag magas, akkor ezt az algoritmust hasznltuk a

cmadshoz. Jelenleg ugyan ms algoritmus nem ltezik, de ha lesz, akkor az L flagalacsony llapota fogja jelezni, hogy az jabbat hasznltuk. Ez utn jn 16 bit site

azonost, majd a jl ismert 64 bites node azonost. Mondanom sem kell, ha a

routernek megadjuk a szksges ID rtkeket, akkor ez a cm is automatikusan

oszthat ki.

Eddig tartottak az unicast cmek. Lteznek termszetesen multicast cmek is. Ezek 8

darab magas bittel kezddnek (11111111), ezt kveti ngy flag (RFC2373,

RFC3306, RFC3956), majd jn ngy bit, melyek a cm szkpjt adjkmeg, vgl jn

egy 112 bites csoportazonost.A multicast cmek tipikusan FF0kezdetek, a flag-ek

ugyanis ltalban nulla rtkek.

Nhny plda.

3.2.

TBLZAT

Multicast cm Fix rtk Scope Group ID A cm rtelmeFF02::1 FF0 2 ::1 link-local scope all nodes

FF02::2 FF0 2 ::2 link-local scope all routers

FF05::2 FF0 5 ::2 site-local scope all routers

A teljes vlasztk:http://www.iana.org/assignments/ipv6-multicast-addresses/

Korbban elejtettem egy olyan megjegyzst, hogy egy cmrl rnzsre is meg fogjuk

tudni mondani, melyik kategriba esik. Nos, a lehetsg megvan r... de ehhez

matekozni kell egy kicsit. Szerencsre a tblzat kitltshez minden informci

adott, csak vissza kell lapozni a cmek lershoz.

3.3.

TBLZAT

Cmtipus Cmtartomny eleje Cmtartomny vge

Unique global 2000:: 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFFLink local FE80:: FEBF::FFFF:FFFF:FFFF:FFFF

Site local FEC0:: FEFF::FFFF:FFFF:FFFF:FFFF

Unique local #16 FD00:: FDFF::FFFF:FFFF:FFFF:FFFF

Unique local #27 FC00:: FCFF::FFFF:FFFF:FFFF:FFFF

Multicast8 FF01::0001 FF35::FFFF:FFFF

6Pszeudorandom algoritmussal.7Jvbeni algoritmussal - ergo ez a tartomny mg nem l.8 Nem folytonos tartomny, mg a definilt rsztartomnyok kzl sem aktvmindegyik.

http://www.iana.org/assignments/ipv6-multicast-addresses/http://www.iana.org/assignments/ipv6-multicast-addresses/http://www.iana.org/assignments/ipv6-multicast-addresses/

7/21/2019 tcpip1ora - v12

37/43

TCP/IP V6

~ 37 ~

Hogy mi van akkor, ha olyan cmet ltunk, melyet nem fed le a tblzat? Jelenlegi

tudsommal, tapasztalatommal azt tudom csak javasolni, hogy vatosan nylj fel a

levegbe s kezd el tancstalanul vakarni a fejed tetejt.

Komolyabbra fordtva a szt, a fentiek alap cmtipusok. Vannak bven ms cmek is.Itt van pldul a solicited node cm. Az IPv6-ban ugyanis nem csak a cmzs jelenti a

nagy vltozst, hanem a klnbz automatizmusok bevezetse is. Ilyen

automatizmus a Neighbor Discovery (ND), azaz az a folyamat, melynek sorn az

azonos linken lv node-ok - mindenfle ARP varzslat nlkl - meg tudjk tallni

egymst. Ennek a folyamatnak egyik eleme a solicited node cm. De ebbe most nem

fogok belemenni, hasonlkppen a Multicast Listener Discovery (MLD) folyamatba

sem.

RFC 4862

Az autokonfigurcirl viszont illik pr szt szlni. Eddig ugyanis elejtettem olyan

megjegyzseket, hogy majd a router legenerlja a cmet.

szintn, nlatok ez a megszokott? Ha van dinamikus cmkioszts, akkor ott egy

DHCP szerver teszi a dolgt, az osztja a cmeket. Ha nincs, s nem statikus IP

cmeket hasznltok, akkor mg mkdhet a korbban emltett APIPA mdszer.

De a router...? Micsoda perverzits mr ez?

Pedig nem az, csak szokatlan. Gondolj bele, melyik hlzati elem az, amelyik mindent

tud magrl az alhlzatrl? Termszetesen a router. Mirt ne osztogathatna

cmeket?

Ennek ellenre nem osztogat. Csak megmondja a hozzfordul node -oknak a globlis

azonostkat vagy a site azonostt - azaz a prefixeket. A cmeket ezek alapjn mr

maga a node generlja le magnak. (Valjban ennl sokkal tbbet mond, de most

nem megynk bele mlyebben.)

J krds, hogy ezek utn mi szerepe lehet a DHCPv6-nak? Mert ltezik.

A kt dinamikus cmoszts prhuzamosan mkdhet egyms mellett. A DHCP

ugyanis tud olyan belltsokat is terjeszteni, amelyeket a router nem.Gondolj csak

bele a DHCP Options lehetsgekbe (Domain name, WINS server name, WINS node

type, lease time... meg ilyenek.)

http://www.iana.org/assignments/bootp-dhcp-parameters/

http://www.iana.org/assignments/bootp-dhcp-parameters/http://www.iana.org/assignments/bootp-dhcp-parameters/http://www.iana.org/assignments/bootp-dhcp-parameters/

7/21/2019 tcpip1ora - v12

38/43

TCP-IP 1 RA ALATT

~ 38 ~

A kvetkez router/DHCP kombincik lteznek:

Nincs DHCP, mindent a router oszt.

DHCPv6 Stateless: Van router s van DHCPv6 is. A prefixeket a routerek

osztjk, minden ms inft pedig a DHCPv6 szerver.

DHCPv6 Stateful: Minden inft, azaz az IP cmeket is, a DHCPv6 szerver osztja.

7/21/2019 tcpip1ora - v12

39/43

IPV4-IPV6 EGYTTMKDS

~ 39 ~

4IPV4 IPV6EGYTTMKDS

Ez nem csak azrt bonyolult, mert nmagban is bonyolult technolgikat jelent -hanem azrt is, mert ezeket a technolgikat a hatalmas s roppant vltozatos

internet teljes egszn kell tudni majd alkalmazni.

Nzznk egy pldt.

4.1.

BRA IP

V

4

S IP

V

6

Mit saccolsz, ez a fellls az internet jelenlegi llapotban (2010.01.01) mkdhet-

e? El fogom tudni rni a kis zld munkallomsomrl az IPv6 only webszervert?

Gondolom, te is kiszrtad, hogy a szk keresztmetszet maga az internet. Hiszen a

routerek le tudjk kezelni mindkt IP verzit. De a neten csak az IPv4 megy t. Egszegyszeren jelenleg ugyanis nem tudjuk garantlni, hogy nem kborol az IPv6

csomag olyan szakaszra, ahol csak IPv4 only router van.

4.2.

BRA IP

V

4

-

I

PV

6

TUNNEL

De ezt tudjuk kezelni. A kt biztos pont kztt kiptnk egy alagutat (csatornt,

nevermind) - s ekkor tkmindegy, mi van tkzben.

Hogyan is kell ezt elkpzelni? Elveszek fizikailag egy vakondot. felhzom kulccsal,

belltom a megfelel irnyba - smr frja is az utat az interneten keresztl?

7/21/2019 tcpip1ora - v12

40/43

TCP-IP 1 RA ALATT

~ 40 ~

Nem igazn. Sokkal inkbb arrl van sz, hogy a megszokott csomagszerkezetbe (2.3.

bra Csomagok htn csomagok)valamelyik jl meghatrozott ponton berakunk egy

plusz csomagolst. Amit gy becsomagoltunk, azt megvtuk attl, hogy tkzben brki

piszklja. Ez a plusz csomagols lehet autentikcis fejlc, lehet titkosts (ksbb

ltunk mindegyikre pldt) - s lehet egyszeren inkompatibilis informcikat elrejtcsomagols.

4.3.

BRA IP

V

6

CSOMAG AZ

IP

V

4

CSOMAGON BELL

Ez ltszlag egy sima IPv4 csomag. Van neki fejlce s van neki tartalma. Aztn hogy

a tartalmon bell egy IPv6 csomag van becsomagolva, azzal egy IPv4 only router nem

fog foglalkozni. (Azrt jelezzk neki - Protocol 41.) Az alagt kt oldaln lv

IPv4/IPv6 routerek viszont rteni fogjk a helyzetet s kpesek lesznek kicsomagolni

az IPv6 csomagot az IPv4 csomagbl. (Nekik muszj lesz, mert a TCP/UDP csomag az

IPv6 payloadban utazik, a jelen brn ppen az Upper Layer Protocol Data Unit nv

mg bjtatva.)

J hrem van: ezekkel az alagutakkal tl sokat nem kell foglalkoznunk. Akr mg asajt kicsi zld kliensgpnk is kpes arra, hogy teljesen magtl, elengedett kzzel,

automatikusan kiptsen egy, az adott szitucihoz ppen illeszked alagutat.

Termszetesen lehetsgnk van manulisan is alagutat pteni. Netsh. Mirt

krded?

Ebben az esetben informatikus szakik hoznak ltre routerek kztt egy csatornt,

mindkt oldalon belltjk a kapcsold alhlzaton a megfelel route szablyokat -

s mr mkdik is a kt szls IPv6 hlzat kztti kommunikci, az IPv4 hlzaton

thzd csatornn keresztl.

7/21/2019 tcpip1ora - v12

41/43

IPV4-IPV6 EGYTTMKDS

~ 41 ~

Az automatikus csatornaptsre inkbb az jellemz, hogy kliens s

kliens/szervergpek kztt jnnek ltre, ad-hoc jelleggel.

Amit mindenkppen tudnunk kell, az a kt node IPv4 cme, illetve kt IPv6 cm is,

mely az IPv6 fell azonostja be a csatornt. J lesz erre a gp sajt IPv6 cme?

Visszakrdezek: melyikre gondoltl? Egy IPv6 node-nak lehet egy csom IPv6 cme -mikzben persze egyltaln nem garantlt, hogy ezek mindegyike ltezik.

A megolds az, hogy a meglehetsen egyrtelm IPv4 cmbl generlunk klnbz,

egyrtelm algoritmusok alapjn IPv6 cmeket s ezeket hasznljuk a klnbz

csatornatpusokhoz.

INTRA-SITE AUTOMATIC TUNNEL ADDRESSING PROTOCOL,ISATAP

RFC 4214

Az IPv4 cmnbl link-local IPv6 cmet gyrt - ebbl kvetkezen csak site-on bellhasznlhat.

6TO4

RFC 3056

Habr itt mr elmletileg global-unique cm keletkezik, de mivel a kpzshez

felhasznlja a host IPv4 cmt is, gyakorlatilag csak akkor jn ltre, ha az IPv4 cm

publikus tartomnyba esik. Ms szval, ha a gpemnek privt IP cme van, n pedig

natols utn rem el az internetet, akkor ez csatornatpus nem hasznlhat.

TEREDO

RFC 4380

Az ultimate megolds. Global-unique cm keletkezik, melyhez nem a host IPv4 cmt

hasznljuk fel, hanem egy kls, privt IP cmet s egy hozz tartoz portot. Ehhez

persze kell nmi kls segtsg is, ezt egy teredo szerver ( teredo.ipv6.microsoft.com)

biztostja.

Ez abban is klnbzik a tbbi megoldstl, hogy nem a korbban bemutatottcsatornzst hasznlja (4.3. bra IPv6 csomag az IPv4 csomagon bell), hanem az

IPv6 rszt megfejeli egy UDP-be csomagolssal - gy a csomag azokon a

routereken/tzfalakon is tmegy, amelyek nem tudnak mit kezdeni az IPv6 payload-

dal.

7/21/2019 tcpip1ora - v12

42/43

TCP-IP 1 RA ALATT

~ 42 ~

5ELBCSZS

Nos, ennyi.

Nem tudom, mrted-e stopperrel az idt... de itt a vgn azrt mr elrulhatom, hogy

abszolt nem jelent semmit, mennyi idbe tellett vgigolvasnod. A helyzet az, hogy

volt egy remek vonatfnykpem s ehhez pont passzolt ez a cm.

Te viszont nyugodtan olvasd vgig a fzetet, lassan, alaposan megrgva minden

kifejezst. s ha szeretnl jobban elmlylni a tmban, akkor ismtelten csak a

jval bvebb knyvet tudom ajnlani:

TCP/IP Alapok I-II:

http://mivanvelem.hu/letoltheto-konyvek/

Amennyiben pedig brmilyen szrevteled lenne a knyvvel kapcsolatban, az albbi

cmen tudsz elrni:

Petrnyi Jzsef

jpetrenyi@gmail.com

http://mivanvelem.hu/letoltheto-konyvek/http://mivanvelem.hu/letoltheto-konyvek/http://mivanvelem.hu/letoltheto-konyvek/

7/21/2019 tcpip1ora - v12

43/43

JAVTSOK

6JAVTSOK

Nocsak, mg ebben a nylfarknyi rsban is akadtak javtanivalk.

6.1 1.2

VERZI

16. oldal: Egy fontos lbjegyzet beszrsa.

6.2

1.1

VERZI

A 'Javtsok' fejezet beszrsa.

A 'vilgmret' kifejezs kiirtsa a szvegbl.

A 16. oldalon sajthiba egy IP cmben.