Netwerkprotocollen. Overzicht. Inleiding TCP/IP. Toepassingen. ISO 7 lagen model. Documentatie. Laag 2 - Ethernet Laag 3 - IP Laag 4

Transcriptie

1 Netwerkprotocollen Inleiding TCP/IP Apr SNB PHH 1 1 Overzicht ISO 7 lagen model Laag 2 - Ethernet Laag 3 - IP Laag 4 ICMP UDP TCP Toepassingen Ping DNS traceroute DHCP SNMP Documentatie Apr SNB PHH 1 2 1

2 Protocollen Afspraken IP IPX AppleTalk VinesIP Apr SNB PHH 1 3 Apr SNB PHH 1 4 2

3 ISO model 7 lagen Apr SNB PHH 1 5 ISO 7 lagen model Apr SNB PHH 1 6 3

4 Complexiteit Gelaagde opbouw Complexiteit beheersbaar maken ISO 7 lagen model steunt alleen op de onderliggende laag verleent services naar de bovenliggende laag steeds abstracter steeds onafhankelijker van de physieke structuur Iedere laag vervangbaar zonder effecten naar boven Apr SNB PHH 1 7 ISO model (laag 1) Bitstroom door kabel Mechanische standaards Connectoren Pinouts Electrische standaards Spanningen Frequenties Kleuren (licht) Modulaties Apr SNB PHH 1 8 4

5 ISO model (laag 2) Ruw transmissiekanaal Data in pakketten Foutdetectie Physieke adressen MAC adressen (Ethernet, TokenRing) Media Access Control Many to many Geen adressen (PPP, SLIP, HDLC) Point to point Apr SNB PHH 1 9 ISO model (laag 3) Pakketten van host naar host Over de grenzen van het eigen subnet heen Logische adressen Bepaald door de omgeving Afbeelding op physieke adressen Address Resolution Protocol (ARP) Subnets Congestieafhandeling Accounting Apr SNB PHH

6 ISO model (laag 4) End-to-end transport Foutcorrectie Aparte netwerkverbinding Data van programma naar programma Apr SNB PHH 1 11 Sessies Bidirectioneel ISO model (laag 5) Apr SNB PHH

7 ISO model (laag 6) Uniform data formaat ASCII - EBCDIC Netwerk vs host-byte order Apr SNB PHH 1 13 ISO model (laag 7) Applicatieprotocol Virtual terminal (Telnet, SSH) Mail protocol (SMTP) File transport (FTP) File Sharing (NFS) Apr SNB PHH

8 IP en ISO model TCP/IP past niet exact Minder lagen in TCP/IP Lagen liggen iets anders verdeeld TCP/IP definieert geen lagen onder IP Apr SNB PHH 1 15 Communicatie Conceptueel gaat communicatie horizontaal Van laag 7 naar laag 7 Data stroomt verticaal in protocol stack Aan zender kant naar beneden Aan ontvanger kant naar boven Alleen lagen 1 staan echt in verbinding Apr SNB PHH

9 Bruggen Machines met meer dan één interface Koppeling tussen twee stacks Laag 1 Repeater Laag 2 Bridge Laag 3 Router Hoger Proxy, Application gateway Apr SNB PHH 1 17 Router/bridge/repeater Koppeling op laag 3 Koppeling op laag 2 Koppeling op laag 1 Apr SNB PHH

10 UTP MM Fiber MultiMode 62.5 µ Multimode 50 µ SM Fiber SingleMode 10 µ Laag 1 Apr SNB PHH 1 19 UTP bekabeling Locale netten Unshielded Twisted Pair Switched 10/100 Mb Behalve nog wat oude plekken Hubs (op kleine switch) Apr SNB PHH

11 Unshielded Twisted Pair Van Wall-outlet 4 paren Max 100 meter Apr SNB PHH 1 21 Kabel Apr SNB PHH

12 Via SER Afgemonteerd op strip Meestal 24 Gelabeld Beide zijden gelijk Patch naar apparatuur Apr SNB PHH 1 23 Patch naar outlet Naar Apparatuur Apr SNB PHH

13 Laag 2 Ethernet (TokenRIng) (FDDI) (SLIP) (PPP) (ATM) (HDLC) Apr SNB PHH 1 25 Sigarendoosje Apr SNB PHH

14 10 base 5 Ethernet 'gele tuinslang', 500 meter 10 base 2 dunne coax, 185 meter 10 base T UTP, 100 meter 10 base FL Fiber, kilometers (MM), tientallen kilometers (SM) Apr SNB PHH base TX UTP, 100 meter 100 base FX Fast Ethernet Fiber, kilometers (MM), tientallen kilometers (SM) Apr SNB PHH

15 1000 base TX UTP, 100 meter 1000 base SX Fiber, 300 meter 1000 base LX Gigabit Ethernet Fiber, 550 meter (MM), kilometers (SM) 1000 base ZX Fiber, tientallen kilometers (SM) Apr SNB PHH GigabitEthernet 10g base SR MM, meter 10g base LR SM, 10 km 10g base ER SM, 40 km 10g base ZR SM, 80 km 10g base CX4 4 * coax, 15m 10g base T UTP, 50m (cat6), 100m (cat7) Apr SNB PHH

16 Ethernet In detail Apr SNB PHH 1 31 Ethernet Medium shared ether Wacht tot het stil is Stuur je pakket Collision Twee beginnen tegelijk Apr SNB PHH

17 Ethernet adressen 48 bits Specials Ethernet Broadcast (ff:ff:ff:ff:ff:ff) Multicast (01:00:5e:xx:xx:xx) Wereldwijd uniek Vendor code (24 bits) Lijst Apr SNB PHH 1 33 Collision Twee proberen tegelijk te sturen Bek houden Random tijd wachten random tussen 0 en X, X verdubbelt iedere keer Opnieuw proberen Collisions volkomen normaal (half duplex) Afhandeling door netwerkinterface Alleen een beetje vertraging Alleen probleem als het er erg veel zijn Apr SNB PHH

18 Collision Looptijden Signaal altijd enige tijd onderweg Collisions beperken kabellengte Collision altijd in eerste 64 bits Anders 'Late collision' FOUT! Full vs half duplex Full duplex dus geen collisions Duplex mismatch Veel collisions aan de half duplex kant Late collisions Wordt het heeeel traag Apr SNB PHH 1 35 Kabellengten Collision Looptijden Repeater geldt als xxx meter kabel Media converter geldt als xxx meter kabel Apr SNB PHH

19 Ethernet pakket Apr SNB PHH 1 37 Repeaters Laag 1 Signaalversterking Paar bittijden vertraging Stukje preamble Geen buffer Dus maximaal 3 in ieder pad Apr SNB PHH

20 Voorbeelden 3Com hub knoeihubje UB enclosure Repeaters Dom Laat alles door Naar alle poorten Hub = multiport repeater Geen netwerkadres nodig voor functioneren Wel voor eventuele management module Apr SNB PHH 1 39 Bridge (switch) Laag 2 Pakket aanpakken en doorgeven Meer vertraging Timing begint opnieuw Bittijden opnieuw gegenereerd Pakket wordt wel ongewijzigd doorgestuurd Geen mogelijkheid tot detectie van loops Buffer Spanning Tree Protocol Apr SNB PHH

21 Bridge (switch) Meer dan 3 achter elkaar mogelijk Aparte Ethernet (laag 1) segmenten Intelligent Hoeft niet alles door te laten Tabel met (MAC) adressen per poort Kan dus aan de enig goede poort afleveren Alleen flooding bij onbekend adres Switch = multiport bridge Geen netwerkadres nodig voor functioneren wel voor evt management module Apr SNB PHH 1 41 De netwerk ramp Pakketten die rond blijven lopen IP (laag 3) TTL veld in header Ethernet (laag 2) Pakketten worden ongewijzigd doorgegeven Van te voren een loop-free topologie maken Apr SNB PHH

22 Spanning Tree Protocol Protocol tussen switches onderling Kiest een root bridge Zet ports die een loop vormen Blocked Rest Forwarding Normaal heel voorzichtig Pas forwarding als het echt kan 2 maal 15 seconden Apr SNB PHH 1 43 Spanning Tree Protocol Host poorten portfast Direct Forwarding Geen 30 seconden wachten Wel attent op loops BPDU pakketten Apr SNB PHH

23 Spanning Tree Protocol Common STP Per vlan STP Rapid STP Apr SNB PHH 1 45 VLAN Verschillende laag 2 netten Binnen een switch of cluster switches Begrensd door de router Switchport wordt in vlan gezet Softwarematige configuratie Switchkoppelingen zijn trunks Meer dan 1 vlan over een trunk Management in apart vlan vlan 1 Apr SNB PHH

24 Inter-vlan verkeer In de switch niet mogelijk Op Ethernet gescheiden netten Externe router De router in het knooppunt Apr SNB PHH 1 47 VLAN trunks Extra velden in de Ethernet header TPID is 0x8100 (Tagged Ethernet frame) Tag is TOS en VLAN Alleen op trunks Niet op plat Ethernet Apr SNB PHH

25 Router Laag 3 Pakket aanpakken Pakket uitpakken Laag 2 eraf Doorsturen betekent opnieuw in laag 2 inpakken Buffer Op laag 2 dus een ander pakket Laag 3 headers aangepast (max hop count) Op laag 3 dus loop detectie Apr SNB PHH 1 49 Router Verschillende IP netten Geen restricties wat aantal betreft Wel hop count in laag 3 protocol Meerdere IP adressen nodig 1 per IP net Minstens 1 per interface Apr SNB PHH

26 IP Best effort Doe je best, maar beloof niets Pakket stuk = pakket weg Problemen (congestie, buffer vol) = pakket weg Geen acknowledgements TimeToLive (hopcount) Pakketten kunnen niet eindeloos zwerven ICMP bij problemen TTL exceeded Congestie Maar niet pakket stuk (weggooien) Apr SNB PHH 1 51 IP Host - to - host Data bevat andere protocollen / headers ICMP Internet Control Message Protocol TCP Transmission Control Protocol UDP User Datagram Protocol IP zelf als data in datalink laag Ethernet TokenRing ATM HDLC Of direct over medium (SLIP) Apr SNB PHH

27 IP Apr SNB PHH 1 53 IP Header Apr SNB PHH

28 ICMP 1 IGMP 2 TCP 6 UDP 17 GRE 47 IP Protocollen Apr SNB PHH 1 55 Encapsulatie in Data layer Iedere laag zet er een header voor Header+data laag x = data laag x-1 Apr SNB PHH

29 Fragmentatie MTU Niet iedere datalink laag kan even grote pakketten aan Maximum Transmission Unit Ethernet 1500 SLIP/PPP 576 ATM 4470 TokenRing 4464 Fragmentatie Als het pakker groter is dan de MTU Pakket onderverdelen in fragments En weer aan elkaar lijmen Apr SNB PHH 1 57 Packet reassembly Fragmentatie Brokken aan elkaar lijmen Reassembly timer ICMP als niet alle fragments er op tijd zijn MTU Path Discovery Don't fragment bit in IP header Pakket te groot betekent dus weggooien Melden via ICMP Problemen melden (ICMP) Apr SNB PHH

30 IP adressen 32 bits (versie 4) Dotted Decimal /24 netwerk 24 bits subnet mask 8 bits host adres Speciale adressen host-zeros ongebruikt host-ones directed broadcast all-zerosongebruikt all-ones local broadcast Apr SNB PHH 1 59 Private space RFC / / /16 Kan nooit in het wild voorkomen Achter firewall NAT Network Address Translation Verschillende IP werelden binnen en buiten NAT box vertaalt adressen/port nummers Eiland netjes Niet routeren over publieke internet Moet je zelf regelen Apr SNB PHH

31 IP Versie 6 Meer adresruimte (128 bits) Nog ver aan de horizon Al enkele implementaties CISCO vanaf 12.2 FreeBSD vanaf 4.0 MacOS vanaf 10.3 Windows vanaf XP... Het wachten is op de killer applicatie Surfnet is klaar Apr SNB PHH 1 61 ARP Address Resolution Protocol Afbeelding IP adres op MAC adres Ethernet Broadcast Direct op Ethernet Eenvoudig vraag/antwoord Wie heeft IP ? Ik, 00:20:af:75:f9:be heb Apr SNB PHH

32 Broadcast ARP Wie is xx.xx.xx.xx Vertel aan yy.yy.yy.yy op zz:zz:zz:zz:zz:zz A arpt B Automatisch A in arpcache B Antwoord B gaat in arpcache A Apr SNB PHH 1 63 Proxy arp ARP Arp voor iemand anders Arp cache Niet voor ieder pakket arpen Timeout (router 4 uur) Apr SNB PHH

33 Local delivery Eigen adres met subnet mask Ander adres met subnet mask Gelijk, dus op zelfde net Sturen naar de bestemming Apr SNB PHH 1 65 Non-local delivery Eigen adres met subnet mask Ander adres met subnet mask Verschillend, dus ander net Sturen naar de router Die weet het Apr SNB PHH

34 Router Route tabel Routeringsprotocol Routering Apr SNB PHH 1 67 Router Multihomed host Meer dan 1 IP adres Meer dan 1 interface Packet forwarding Tussen de IP adressen Kan een gewone computer zijn Unix Default geen packet forwarding (RFC 1122/1123) Of speciale hardware Meer features Sneller CISCO Apr SNB PHH

35 Router van klein Apr SNB PHH 1 69 Router tot groot Apr SNB PHH

36 Routeringstabel Routers Net xx.xx.xx.xx/y via zz.zz.zz.zz interface A Tabel komt tot stand via Routeringsprotocol Directe entries Niet in tabel betekent pakket weggooien ICMP om te melden (net unreachable) Niet zoeken waar het heen moet Weten, en niet weten is weg Null route (putje) Apr SNB PHH 1 71 Routers Routerings protocol Automatische opbouw tabel OSPF, RIP, BGP,... Statische routes Handmatige opbouw tabel Kan door routeringsprotocol verder bekend worden Hosts altijd statische entry (default router) Eventueel uit DHCP UvAnet: router op eerste IP adres in IP net Apr SNB PHH

37 Routeringstabellen Apr SNB PHH 1 73 Secondary IP Meer dan 1 IP net op hetzelfde Ethernet interface IP verkeer tussen de netten Via de router, zoals altijd Zelfde interface in en uit Op Ethernet niveau (laag 2) wel 1 net (broadcast domain) Voor andere protocollen vaak ook VinesIP AppleTalk IPX (Novell) Vaak bij tekort aan routerinterfaces Of heel kleine netjes Niet alles kan op de secundaire netten DHCP-relay tricky Apr SNB PHH

38 Laag 4 ICMP UDP TCP Apr SNB PHH 1 75 ICMP IP Control Message Protocol 't Knechtje ping ICMP echo Echo request Echo reply Foutmeldingen Waar de afzender iets aan kan doen Niet beschadigd pakket! Uitzoekwerk Router discovery (verouderd) Subnetmask discovery (idem) Apr SNB PHH

39 ICMP foutmeldingen Host unreachable Van de 'laatste' router Net unreachable Van een router onderweg Ook als verkeer niet mag access-list Port unreachable Van de host TTL exceeded traceroute echt fout Fragment needed but don't fragment set Nooit error - on - error Apr SNB PHH 1 77 UDP User Datagram Protocol Simpel UDP ports (loketten) Well known ports 'Best effort' Als IP Apr SNB PHH

40 UDP Geen fancy features Geen ack Geen hertransmissies Net als IP, probleem dan pakket weg Out - of - order delivery Problemen oplossen in applicatieprotocol Net zo (on)betrouwbaar als IP Efficient Broadcast Multicast Apr SNB PHH 1 79 UDP header Waar staan Source IP? Destination IP? Apr SNB PHH

41 UDP DNS DHCP/Bootp tftp ntp syslog 53/udp 67/udp, 68/udp 69/udp 123/udp 514/udp Service altijd achter dezelfde port Port niet voor iets anders gebruiken Services file /etc/services onder unix Lijst bij iana.org Apr SNB PHH 1 81 TCP End - to - end connection ( Pijp ) Opzetten Acknowledgements Hertransmissies Afbreken Betrouwbaar Niets raakt weg Niets gaat stuk Alles komt in volgorde aan Flow control Veel meer overhead dan UDP Apr SNB PHH

42 Bytestream Bidirectioneel Geen pakketten byte sequence number byte acknowledgement TCP Veel facilitieiten / probleemoplossing ondergronds door TCP zonder dat de applicatie het beseft Beide partijen kunnen sluiten RESET Maar, geen broadcast, geen multicast Apr SNB PHH 1 83 ftpdata ftp ssh Telnet smtp finger http pop nntp Well-known ports 20/tcp 21/tcp 22/tcp 23/tcp 25/tcp 79/tcp 80/tcp 110/tcp 119/tcp Service altijd achter dezelfde port Port niet voor iets anders gebruiken Services file /etc/services onder unix Lijst bij iana.org Apr SNB PHH

43 TCP Startup Apr SNB PHH 1 85 Window Geen start - stop protocol Sliding window Efficient gebruik van bandbreedte End - to - end acknowledgement Tussenliggende stations spelen geen rol Ontvanger geeft aan hoeveel hij kan hebben Zender mag altijd dit aantal sturen Ontvanger ackt wat goed ontvangen is Zender onderneemt hertransmissie bij uitblijven ack Apr SNB PHH

44 Slow start Client en server beiden op gigabit Traag stuk ertussen (64 kbit) Server stuurt compleet window (8 MTU) Tijdens transport eerste pakket op 64k Hertransmissietimer Alle acht opnieuw Gaat dus niet goed! Slow start Send window begint als 1 Bij iedere succesvolle ack verdubbelt send window tot aan receive window Congestion avoidance Ack missen is send window verkleinen Apr SNB PHH 1 87 TCP header IP header Source IP Destination IP Flags SYN FIN ACK RESET Apr SNB PHH

45 TCP voor Transacties, TTCP SYN, data, FIN in een pakket Efficienter voor korte transacties Database http (vooral kleine GIFjes) Apr SNB PHH 1 89 DNS Traceroute DHCP SNMP Hogere lagen Apr SNB PHH

46 DNS Domain Name System BIND Domains Records Reverse DNS Apr SNB PHH 1 91 Leesvoer DNS and Bind 4th edition Paul Albitz, Cricket Liu O Reilly RFC 1034, 1035 Apr SNB PHH

47 Wat is DNS? Wereldwijde gedistribueerde database Beeldt namen af op IP adressen (en terug) Extra informatie Mail MX record Apr SNB PHH 1 93 Wat is BIND Berkeley Internet Name Daemon Een Domain Name Server implementatie Unix named process Internet Software Consortium Freeware, source distribution ftp.isc.org Apr SNB PHH

48 Client - Server Communicatie UDP port 53 Meeste transactions More information bit, opnieuw via TCP TCP port 53 Als het niet past in één UDP pakket Zone transfer Apr SNB PHH 1 95 Unieke namen Hierarchische name space Componenten gescheiden door een punt a..z, 0..9, -,. Fully Qualified Domain Name eindigt op. Anders current origin erachter Dubbele domainnaam mail.ic.uva.nl.ic.uva.nl. Single root (.) Case insensitive Apr SNB PHH

49 Landen code Top level domains ISO 3166 two letter codes Generiek.aero,.biz,.com,.coop,.edu,.gov,.info,.int,.mil,.museum,.name,.net,.org, and.pro Infrastructuur.arpa Apr SNB PHH 1 97 cctld.nl Nederland.us USA.be Belgie.de Duitsland.at Oostenrijk En nog veel meer (.is,.to,.tv,.fm,.nu) Apr SNB PHH

50 Generiek TLD.aero members of the air-transport industry.biz businesses.com.coop cooperative associations.info.museum museums.name individuals.net.org noncommercial community.pro credentialed professionals.gov government (U.S.).edu higher education (U.S.).mil military (U.S.).int international treaties Apr SNB PHH 1 99 DNS records SOA NS A CNAME MX PTR Start Of Authority NameServer Address Canonical (real) NAME is Mail exchanger PoinTeR Apr SNB PHH

51 Time To Live Elk record heeft TTL Iedereen mag record in cache bewaren Gedurende de TTL Daarna niet meer TTL is meestal seconden (1 dag) Apr SNB PHH Root nameservers 13 root servers wereldwijd (waarom) root-servers.net domain Iedere nameserver heeft lijst root servers a va.us h md.us b ca.us i no c va.us j va.us d md.us k uk e ca.us l ca.us f ca.us m jp g va.us Apr SNB PHH

52 DNS Lookup Query start bij root server Root server geeft geen antwoord Maar een hint naar iemand die meer weet Tot het antwoord gevonden is Alle informatie gaat de cache in TTL Apr SNB PHH DNS Host resolver recursieve query PC, Mac,... Nameserver iteratieve query Caches vullen Geen recursieve query op zwaar belaste server root server Apr SNB PHH

53 Iteratief opzoeken Resolver herhaalt zoekactie Iedere keer dichter bij het resultaat Alle tussenliggende informatie in cache Hergebruik informatie uit cache Apr SNB PHH Recursief opzoeken Laat iemand anders itereren Makkelijker voor simpele resolvers (PC) Nameserver cache vullen Recursion disabled op root servers Waarom? Apr SNB PHH

54 DNS lookup aan ns1.uva.nl, wat is ns1 vraagt -> A.ROOT-SERVERS.NET kweenie, NS.DOMAIN-REGISTRY.nl weet meer (nl. server) -> NS.DOMAIN-REGISTRY.nl kweenie, ns.vu.nl weet meer (vu.nl server) -> ns.vu.nl Apr SNB PHH DNS Lookup Wie het toevallig weet geeft het antwoord Volgende keer meteen antwoord (uit de cache) TTL authoritative vs non-authoritative primary / secondary altijd authoritative Uit de cache altijd non-authoritative Apr SNB PHH

55 DNS Lookup Meestal UDP, soms TCP UDP geknipt voor dit soort vraag/antwoord Maar de MTU van het net Deel in UDP antwoord Aanduiding maar er is meer client vraagt opnieuw via TCP Zone transfer altijd TCP Apr SNB PHH Reverse DNS Van nummer naar naam Reverse IP address, in-addr.arpa domain mail.ic.uva.nl. A in-addr.arpa. PTR mail.ic.uva.nl. Reverse DNS is aparte structuur UvAnet: Reverse DNS uit automaat Apr SNB PHH

56 Delegation Nameserver heeft geen informatie van domain Maar delegeert naar een andere nameserver Ga maar daar vragen! Iedere punt is mogelijk delegatie punt NS records in-addr.arpa domain werkt net zo Classfull nets Apr SNB PHH Delegatie Apr SNB PHH

57 Forward en reverse DNS Apr SNB PHH Replicatie DNS is robuust door data replicatie Primary (master) vs. Secondary (slave) Primary heeft data Secondary haalt data van primary Primary en secondary equivalent Data van secondary is net zo goed Ondergrondse communicatie zone transfer Apr SNB PHH

58 Data organisatie op server Data georganizeerd in zones Alle data van een zone in één file Delegatie punten Een zone wordt als één geheel behandeld Zone transfer Apr SNB PHH Master/slave communicatie Master informeert slave bij wijzigingen Notify naar alle servers in NS records Slave acknowledget Notify Slave haalt zone op Slave checkt ook iedere Refresh time Slave gooit data na Expiry time weg Indien geen contact meer met master Apr SNB PHH

59 Anatomie van een zone file ; commentaar Begin bevat $TTL directive SOA record Serie nummer, timers Nameserver pakt alleen data als serienummer hoger Datum is handig: NS is current origin (domain) Apr SNB PHH Zone begin ; $TTL IN SOA barlaeus.ic.uva.nl. hostmaster.uva.nl. ( ; Serial ; Refresh 8 hours 7200 ; Retry 2 hours ; Expire 1 week ) ; Default TTL 1 IN NS barlaeus.ic.uva.nl. IN NS ns1.uva.nl. IN NS ns2.uva.nl. Apr SNB PHH

60 Mail MX records geven Mail exchanger aan Eerst beste (laagste) proberen Volgende indien niet IN A IN MX 100 tasman.ic.uva.nl. IN MX 200 barlaeus.ic.uva.nl. Apr SNB PHH Hosts Alle hosts als A record Netten bijelkaar houden Op volgorde Blanko regels voor gaten Kan dienen als IP administratie ns1 IN A stratum1 IN A news 500 IN A ns2 IN A Apr SNB PHH

61 Aliasen (CNAME) CNAME geeft de echte naam Waar de data staat ftp IN CNAME hebe.uva.nl. smtp IN CNAME hebe.uva.nl. campusftp IN CNAME barlaeus.ic.uva.nl. ns IN CNAME barlaeus.ic.uva.nl. chime IN CNAME barlaeus.ic.uva.nl. ldap IN CNAME vdhoop.ic.uva.nl. Apr SNB PHH WIjzigingen Uitgegeven data expireert alleen door TTL Echt alleen door de TTL Gedurende de hele TTL blijft oude data In allerlei DNS caches Op geen enkele manier te verwijderen TTL wachten Meestal geen probleem (PC toevoegen) Maarre: Apr SNB PHH

62 Wijzigingen Aan belangrijke services Mail service, Web service, In 3 stappen TTL op record omlaag (600 seconden) Minstels de huidige TTL tevoren (24 hours!) Maak de wijziging, TTL blijft 600 Zo kan je fouten herstellen TTL terug naar normaal Als alles goed lijkt te gaan! Apr SNB PHH nslookup (win, unix) Opzoeken -q=type (SOA, A, MX, NS, ) nslookup [-q=xx] host server Interactive mode set qtype=type (SOA, A, MX, NS, ) Server host ls domain (complete zone) Apr SNB PHH

63 Opzoeken host (unix) host [-t xx] host nameserver host -l domain Network Utility (Mac) Apr SNB PHH Lijst root servers Hoe blijft dat up to date? Iedere nameserver heeft hints lijst In principe de lijst root servers Haal bij opstarten de lijst opnieuw op Bij een van de root servers Werkt zolang minstens 1 van de hinst leeft Apr SNB PHH

64 Spelen met de TTL Traceroute ICMP TTL Exceeded TTL = 1 Eerste router stuurt ICMP TTL Exceeded en maakt zich dus bekend Altijd van de kant van de router die naar jou gericht is Primary adres TTL = 2 Tweede router stuurt ICMP TTL Exceeded En zo verder Hele pad in kaart brengen Apr SNB PHH Traceroute Route door netwerk bepalen Spelen met de TTL Apr SNB PHH

65 Traceroute traceroute to info2.surfnet.nl ( ): 1-30 hops, 38 byte packets 1 feth omhp-r1.net.uva.nl ( ) 1.36 ms 1.31 ms 1.27 ms 2 feth wcw-r1.net.uva.nl ( ) 4.1 ms 2.43 ms 1.27 ms 3 BR7.Amsterdam.surf.net ( ) 4.13 ms 3.46 ms 3.10 ms 4 BR1.Delft.surf.net ( ) 7.19 ms 9.30 ms 6.36 ms 5 BR2.Eindhoven.surf.net ( ) 4.39 ms 4.4 ms 6.53 ms 6 AR2.Nijmegen.surf.net ( ) 8.55 ms 6.62 ms 7.41 ms 7 info2.surfnet.nl ( ) 6.95 ms 8.51 ms 6.58 ms Apr SNB PHH DHCP Configuratie management Protocol Leases Relay Client Apr SNB PHH

66 Om te lezen The DHCP Handbook Ralph Droms, Ted Lemon MacMillan, ISBN RFCs Dynamic Host Configuration Protocol DHCP Options Apr SNB PHH DHCP doelen Automatische configuratie Network parameters IP address, netmask, router Andere parameters Domain name Name servers etc Uitbreidbaar Apr SNB PHH

67 DHCP Geen IP adres krijgen, maar huren lease voor bepaalde tijd verlengen als nog langer nodig Apr SNB PHH DHCP Local UDP broadcast Komt dus niet voorbij router DHCP Relay agent nodig als server buiten eigen net Kan router doen Request gaat als unicast verder Relay agent ontvangt en distribueert antwoord Relay agent vult eigen adres in request in Apr SNB PHH

68 Hoe werkt DHCP Schone, vers gestarte machine Weet niets Kan alleen broadcasten Localnet, Broadcast, dus UDP! DHCP server in lokale net! Of een Relay Agent Apr SNB PHH Protocol DHCP DHCPDiscover Help, kan iemand mij van een adres voorzien DHCPOffer Ja, ik heb xx.xx.xx.xx voor je in de aanbieding DCHPRequest Ja, doe mij maar xx.xx.xx.xx DHCPAck OK, je krijgt xx.xx.xx.xx voor yyy tijd DHCPNak NEE, je kan xx.xx.xx.xx niet krijgen client begint overnieuw met DCHPDiscover Apr SNB PHH

69 DHCP communicatie DHCPDiscover Client -> Server Zijn daar DHCP servers? DHCPOffer Server -> Client Ja. Ik heb dit mooie IP adres voor je DHCPRequest Client-> Server Prachtig, die wil ik wel hebben DHCPAck Server->Client OK, mag je voor een uur gebruiken Apr SNB PHH DHCPInform DHCP Geeft extra configuratie voor wie geen IP adres least Als de lease bijna verloopt DHCPRequest vraag om verlenging DHCPAck of DHCPNak Ja of nee Meestal halverwege lease Apr SNB PHH

70 Extra configuratie Veel is gedefinieerd IP address/subnet mask/default gateway Name server/domain naam WINS server NTP server Te veel om op te noemen Apr SNB PHH Waar de DHCP server In het lokale net Hoort de broadcasts En kan terug broadcasten Apr SNB PHH

71 Elders Waar de DHCP server Wel een relay agent in het lokale net Relay stuurt request als unicast naar server Relay broadcasts antwoord terug naar client Relay voegt eigen IP adres aan request toe Apr SNB PHH DHCP pakket op htype hops ciaddr yiaddr siaddr giaddr chaddr options 1=from client, 2=server 1=ethernet number of relays client s IP address your IP address server s IP address gateway s IP address client s MAC address various options Apr SNB PHH

72 DHCP Opties message type DHCPDiscover etc subnet mask Router aka default gateway DNS server domain name NTP server ARP cache timeout WINS server En nog veel meer (ongeveer 80) Apr SNB PHH Leases, lease file Server heeft administratie nodig Vrije leases Actieve leases IP adresen Verlenging leases File op server Vreselijk formaat Toevoegen aan het eind Per lease verschillende entries, laatste telt Opnieuw uitgeschreven als ie te groot wordt Apr SNB PHH

73 Afhankelijk van client OS In de network settings Windows Client Network - TCP - Properties Obtain an IP address automatically MacOS System Preferences - Network (OS-X) Control panels - TCP/IP (OS-9 and below) Configure using DHCP Met een script Unix variants Dhclient /etc/rc.conf Apr SNB PHH SNMP Simple Network Management Protocol Traps Variabelen Apr SNB PHH

74 SNMP Standaard manier om variabelen te bekijken (get) te veranderen (set) UDP port 161 SNMP community string ( password ) get (R) set (R/W) Apr SNB PHH Netwerk management Op basis van SNMP HP Openview (divers) CiscoWorks (CISCO apparatuur) TranCend (3Com apparatuur) Netdirector (UB apparatuur) en nog veel meer Standaard IP communicatie (UDP) Kan dus overal vandaan Remote Management Niet meer fietsen Apr SNB PHH

75 Poll vs. Trap Poll Client haalt variabele op Trap Server heeft iets te melden Interface updown Apr SNB PHH Variabelen Statisch Soort node router bridge repeater etc Fabrikant Contact informatie Netwerk management software kan apparatuur identificeren Auto Discovery Apr SNB PHH

76 SNMP Dynamisch Uptime Load Error counters Apr SNB PHH Configuratie port enable/disable adres snelheid SNMP In principe alles mogelijk SNMP is alleen framewerk MIB Apr SNB PHH

77 Voorbeeld Apr SNB PHH Voorbeeld Apr SNB PHH

78 Hierarchische structuur Standaard tree Vendor tree Product tree Management Information Base MIB Definieert welke variabele bestaat Definieert type Definieert naam Intern nummertjes 1,4,34,2,55,10 Apr SNB PHH Filtering Access-list Wat kan en wat kan niet Firewall Apr SNB PHH

79 Filtering Ieder apparaat kan filteren Waar een pakket langskomt Ieder op zijn eigen niveau Meestal in de router Verkeer naar / van buiten Geen verkeer binnen het lokale netje Apr SNB PHH Access-list Van 1 naar 2 Ingaand eth0 Uitgaand eth1 Van 2 naar 1 Ingaand eth1 Uitgaand eth0 Apr SNB PHH

80 Ingaand/Uitgaand Gezien vanuit de router Een plek (van de 4) voldoende Om communicatie te blokkeren Machine beschermen Uitgaand op machineinterface Machine afrasteren Inkomend op machineinterface Apr SNB PHH Waarop filteren permit of deny IP nummer / wildcard (don t care bits) Protocol ip, tcp, udp, icmp tcp en udp ook op poort Eenvoudige, stateless inspectie pakket Apr SNB PHH

81 Een machine Wat kan eenvoudig afsluiten beperken toelaten Een service afsluiten beperken toelaten Apr SNB PHH Wat is lastig Lokale services blokkeren, maar Locale clients toelaten TCP en UDP zijn symmetrisch Client gebruikt toevallig source port Uitgaande port willekeurig Server achter port Apr SNB PHH

82 Dus: Webservers in het net blokkeren deny van daar naar hier op port 80 Webclients in het net blokkeren deny van daar port 80 naar hier Is te doen Apr SNB PHH Maar: In dit net is de webserver bereikbaar Alle client verbindingen mogen Geen verdere services in het net Dat kan niet met een eenvoudig filter Apr SNB PHH