N E T W E R K E N C O M P U T E R. Inhoudsopgave

Transcriptie

1 KULeuven Technologiecampus De Nayer Industrieel ingenieur Opleiding Elektronica-ICT Masterjaar C O M P U T E R N E T W E R K E N Inhoudsopgave 1. Internet Protocol 2. Routing 3. Domain name service 4. Transmission Control Protocol 5. Telnet 6. File transfer protocol 7. Hypertext transfer protocol 8. Network address translation 9. Simple mail transfer protocol 10. Mail transfer agent 11. Firewalls 12. Beveiliging 13. Evoluties 14. LDAP Academiejaar H. Crauwels

2 Internet protocol (IP) adres IP: begrippen, configuratie en beheer MAC-adressering IP-adressen en routering Tools: toekennen (ifconfig) en statische routing (route) Beheer: ping, netstat, traceroute IP: netwerk-onafhankelijk protocol : verzenden van datapakket van A naar B echter geen betrouwbare dienst, daarvoor moet het TCP protocol zorgen. IP adres: een opeenvolging van 4 bytes opgedeeld in twee delen: { het eerste deel identificeert het netwerk, het tweede deel specificeert de host op dat netwerk. In het IP-protocol wordt een hiërarchische adressering gebruikt. Class A:0 net(7) host(24) Class B:10 net(14) host(16) Class C:110 net(21) host(8) Class D:1110 multicast groepen(28) MAC-adressering Fysieke laag, bijv. Ethernet: Media Access Layer adres Adres van de netwerkkaart: 48 bits lang bijv. 00:50:ba:ac:55:15 Broadcast adres: 48 bits die allemaal op 1 staan een pakket dat als bestemmeling het broadcast-adres heeft, komt aan bij alle systemen op het lokale netwerk Een netwerkkaart haalt een pakket van het netwerk: MAC-adres van het eigen systeem als bestemmeling bestemmeling is het broadcast-adres multi-casting versturen van pakketten naar groepen van machines promiscuous mode: alle pakketten, ongeacht de bestemming (netwerksniffers) Elke computer heeft op het LAN twee adressen: het IP-adres nodig voor het InterNet niveau het MAC-adres dat alleen binnen het eigen LAN gebruikt wordt Leggen van de koppeling tussen een IP-adres en bijbehorend MAC-adres: ARP Toekennen van adressen Internet router A B C Y X P geen één-op-één correspondentie tussen IP-adres en systeem: per netwerkinterface is er één IP-adres; een router heeft dus minstens twee IP-adressen elk netwerk heeft zijn eigen IP-netwerkadres: de IP-routeringsprogrammatuur gaat er van uit dat machines met eenzelfde IP-netwerkadres zich op dezelfde fysieke kabel bevinden wat juist het IP-netwerkadresgedeelte, is wordt aangegeven door de subnetmask het is niet aan te raden om meerdere IP-netwerkadressen te gebruiken in één fysiek netwerk (omwille van IP-routeringsprogrammatuur) Q

3 IP: broadcasting Normaal heeft een IP-pakket als bestemming één computer. Broadcasting: techniek om een IP-pakket te richten aan alle systemen binnen een bepaald netwerk: een lokale broadcast: adres is met alle bits op 1 hiermee worden alle systemen binnen het eigen netwerk (inclusief het eigen systeem) aangesproken een directe broadcast: adres is gelijk aan het netwerknummer en alle overige bits gelijk aan 1; zo n adres staat voor alle systemen binnen het aangegeven netwerk: spreekt alle machines in het netwerk aan pakketten met een IP-adres van deze vorm kunnen gerouteerd worden: men kan er alle systemen binnen een ander netwerk mee aanduiden hiervoor is wel nodig dat de tussenliggende routers het broadcast-pakket doorgeven Een toepassing: verbinding maken met een boot-server. Subnetting Organisatie met drie netwerken die elk relatief klein zijn: verspilling van klasse C IP-netwerkadressen. Subnetting: meerdere netwerken maken gebruik van één IP netwerkadres. Machinegedeelte: splitsen in een subnetwerknummer en het eigenlijke machinenummer: bits subnet nummer 3 bits hostnummer 5 bits Voorbeeld: Internet router A B C Y X Broadcast-adres voor het subnet is P Q Speciale IP-adressen het loopback-netwerk: het netwerk 127: hierin is meestal slechts één host aanwezig met adres , dat het eigen systeem aangeeft. Gebruik: om servers te benaderen die op het eigen systeem draaien. het adres kan als afzenderadres gebruikt worden om de eigen machine aan te duiden; dit kan alleen in boot-situaties gebruikt worden. adres is geen geldig bestemmingsadres; in veel implementaties wordt het wel gebruikt om de default route aan te duiden. het adres : lokale broadcast het hostgedeelte gelijk aan 255: directe broadcast Private Internets kunnen door elke organisatie vrij gebruikt worden: A-klasse: tot B-klasse: tot C-klasse: tot Deze adressen worden op het Internet niet gerouteerd. Om verbinding met het Internet te realiseren: NAT of Network Address Translation. Netwerkmasker Alle machines in een netwerk moeten weten of er al dan niet van subnetting gebruikt gemaakt wordt. Het IP-adres kan computer met nummer 33 in het netwerk aanduiden of kan nummer 1 zijn in het subnet 32. Het netwerkmasker : welk deel van het IP-adres voor het netwerknummer en welk deel voor het subnetnummer gebruikt wordt: met : klasse C zonder subnetting met : klasse B zonder subnetting met : klasse B met subnetting: subnetnummer van 8 bits en een machinenummer van 8 bits met : klasse B met subnetting: subnetnummer van 6 bits en een machinenummer van 10 bits met : klasse C met subnetting: subnetnummer van 3 bits en een machinenummer van 5 bits

4 Problemen: Classless InterDomain Routing bijna geen klasse-b adressen meer beschikbaar; klasse-c adres meestal te klein omvang van de routeringstabellen van de core routers; groepjes van klasse-c adressen toekennen maakt dit nog erger. Oplossing: netwerk-prefix : voorste bits in een IP-adres lengte niet beperkt tot 8, 16 of 24 bits, maar variabel tussen 13 en 27 bits Voorbeeld : /27 : een reeks van 32 adressen in een klasse-c adres notatie /27 geeft de lengte van het prefix aan; met zo n CIDR adres kunnen dus 8 verschillende organisaties van een IP-netwerkadres voorzien worden; elk netwerk kan 30 computers bevatten. Routering: de routes naar meerdere netwerken kunnen in routeringstabellen samengevat worden: /8 alles tussen en /16 alles tussen en /22 alles tussen en Broadcast: ARP: ARP/RARP frame ARP: ARP: Hardware type = 1 (10Mb Ethernet) ARP: Protocol type = 0806 (IP) ARP: Length of hardware address = 6 bytes ARP: Length of protocol address = 4 bytes ARP: Opcode 1 (ARP request) ARP: Sender s hardware address = A03 ARP: Sender s protocol address = [ ] ARP: Target hardware address = ARP: Target protocol address = [ ] ARP: ARP: 18 bytes frame padding ARP: In de aanvraag is het hardware adres van de bestemmeling gelijk aan 0: de aanvrager kent op dat moment dit adres niet. Antwoord: ARP: ARP/RARP frame ARP: ARP: Hardware type = 1 (10Mb Ethernet) ARP: Protocol type = 0806 (IP) ARP: Length of hardware address = 6 bytes ARP: Length of protocol address = 4 bytes ARP: Opcode 2 (ARP reply) ARP: Sender s hardware address = C ARP: Sender s protocol address = [ ] ARP: Target hardware address = A03 ARP: Target protocol address = [ ] ARP: ARP: 18 bytes frame padding ARP: In het antwoord is dit uit nullen bestaande hardware adres vervangen door het MAC adres. A Y B ARP: Address Resolution Protocol Bij inkapseling van een IP-pakket in een fysiek pakket, is het nodig om het MAC-adres van de ontvanger in te vullen. Hoe kan de zender (A) op basis van het IP-adres van de ontvanger (B) het MAC-adres van de ontvanger te weten komen? Mogelijke oplossing: een tabel (bestand) met de correspondentie tussen IP-adressen en MAC-adressen. Nadeel: statisch en elk systeem op het netwerk moet zo n tabel hebben veel werk bij toevoegen van een systeem of veranderen van netwerkkaart Praktische oplossing: ARP 1. A zet een MAC-broadcast-frame op het netwerk: wat is het MAC-adres van de host met IP-adres B? 2. elke machine op het lokale netwerk ontvangt dit pakket en verwerkt dit 3. slechts één machine antwoordt, degene die zich aangesproken voelt, en dat is B. ARP: verschillende LAN s Zender A en ontvanger B zitten op een verschillend netwerk, met ertussen een router R: A X 1. Zender A doet een broadcast voor het MAC-adres van router R. 2. IP-pakket van A naar B wordt ingekapseld in een Ethernet pakket met bestemmeling het MAC-adres van R. 3. Router R doet een broadcast voor het MAC-adres van bestemmeling B. 4. Router R verandert in het Ethernet pakket de zender (zijn MAC-adres) en de bestemmeling (MAC-adres van B). 5. In het ingekapselde IP-pakket wordt de TTL met 1 verlaagd en het geheel wordt doorgestuurd naar B. Merk op: IP-header: adressen van oorspronkelijke zender en uiteindelijke bestemmeling fysieke header: afzender en bestemming van de huidige stap R B Z

5 ARP-cache ARP is eenvoudig een flexibel: een nieuwe host in een netwerk wordt vanzelf ontdekt. Nadeel: vertraging op het verzenden van ht IP-pakket: eerst moet een ARP-vraag/antwoord afgehandeld worden (mbv. een broadcast) Oplossing: ARP-antwoorden worden door elke host een tijdje (< 0.5u) bijgehouden ARP is een protocol dat automatisch ingeschakeld wordt en onzichtbaar zijn werk doet. Soms is het nuttig om de ARP-cache toch met de hand te manipuleren. Voorbeeld: twee hosts in eenzelfde netwerk hebben toevallig een zelfde IP-adres toegewezen gekregen. Wanneer één van de twee hosts zijn IP-adres wijzigt, kan het zijn dat in de ARP-caches van sommige andere systemen op dit netwerk verkeerde informatie staat en dit tot een half uur. Toepassing: het ontdekken van dubbele IP-adressen: Systeem doet bij het opstarten een ARP voor zijn eigen IP-adres. Indien het antwoord het MAC-adres van een ander systeem bevat, dat gebruikt dat systeem hetzelfde IP-adres. IP: routering Een boodschap die moet verstuurd worden van een host naar een andere host maakt een reis door het Internet en passeert daarbij onderweg de routers van een aantal tussenliggende netwerken: host host host host LAN router WAN host host host host host host host host ICMP: Internet Control Message Protocol Integraal onderdeel van IP, met als taken foutafhandeling en versturen van controleboodschappen router krijgt een IP-pakket binnen met een bestemmingsadres dat hij niet kan bereiken router stuurt een ICMP destination unreachable boodschap naar de afzender een host krijgt een pakket binnen voor een UDP-applicatie die niet actief is host stuurt een ICMP destination unreachable boodschap naar de afzender ICMP routing redirect boodschappen om de routering aan te passen telkens een IP-pakket een router passeert, wordt het TTL veld met 1 verlaagd wanneer dit TTL veld gelijk wordt aan 0, wordt een ICMP time exceeded pakket teruggestuurd naar de afzender van het pakket programma ping: ICMP echo request en echo reply controleren of een andere computer op IP-niveau bereikbaar is IP: routering Een router die een pakket binnen krijgt, moet een beslissing nemen: 1. Is het pakket bedoeld voor een bestemming op een direct verbonden netwerk? Zo ja, dan kan het pakket afgeleverd worden bij de bestemming. 2. Zo nee, dan wordt het pakket doorgestuurd naar een router van een ander netwerk dat dichter bij de uiteindelijke bestemming ligt. Dit beslissingsproces (routering) vindt plaats op netwerklaagniveau en is één van de belangrijkste taken van het IP-protocol. Er zijn twee soorten routers: speciaal daarvoor ingerichte apparaten (bijv. Cisco); general-purpose computersystemen die met meerdere netwerken verbonden zijn (multihomed host); de routeringsfunctie moet in het OS wel geactiveerd zijn door het zetten van een variabele (ipforwarding).

6 Routeringstabel Elk systeem (zowel router als host) dat TCP/IP gebruikt, beschikt over een routeringstabel. Hierin is weergegeven hoe andere hosts en netwerken bereikt kunnen worden. directe routes: corresponderen met netwerken waarmee een systeem rechtstreeks is verbonden netwerkroutes: geven voor een bepaald netwerk aan wat de volgende stap op weg naar dat netwerk is hostroutes: geven voor een bepaalde host aan wat de volgende stap op weg naar die host is default route: de route die gebruikt wordt als een host of router niet weet hoe een bepaalde bestemming bereikt kan worden; normaal is dit een route naar een slimmer systeem, dat wel raad zal weten met het pakket. Belangrijkste routeringsbeslissing van een host: moet het pakket op het lokale netwerk afgeleverd worden of moet het naar een router verstuurd worden. IP routing algoritme Een pakket met een bepaalde bestemming wordt gerouteerd door de volgende procedure te doorlopen: 1. bevindt de bestemming zich in het netwerk waarmee we direct verbonden zijn zo ja, dan kan het pakket rechtstreeks afgeleverd worden 2. is er een hostroute voor de bestemming zo ja, gebruik dan deze route 3. is er een netwerkroute voor de bestemming zo ja, gebruik dan deze route 4. is er een default route zo ja, gebruik deze dan 5. in alle andere gevallen genereer een foutmelding network unreachable en negeer het pakket Statische en dynamische routering: zie later Routering: voorbeeld A Netwerk B D Netwerk naar Internet C Routeringstabel van machine A: Bestemming Volgende stap naar bestemming Type route direct netwerk default default hostroute voor loopback IP initialisatie Bij het starten van een systeem moeten alle IP-instellingen geïnitialiseerd worden: ofwel voorziet het systeem zelf in zijn instellingen ofwel gaat het systeem te rade bij een boot-server die hem alle instellingen verschaft. Boot-protocollen: RARP (reverse address resolution protocol): het systeem bepaalt wat het IP-adres is bij een bepaald (namelijk het eigen) MAC-adres. BOOTP (boot protocol): naast het IP-adres kunnen allerlei andere parameters doorgegeven worden. DHCP (dynamic host configuration protocol): hierbij worden dynamisch IP adressen uitgedeeld.

7 Configuratie van een netwerkinterface Instellen van de belangrijkste IP-parameters: IP-adres, netwerkmasker en default router. ifconfig eth netmask ifconfig lo Door de netwerkinterface te configureren wordt een directe route toegevoegd aan de routeringstabel. Activeren van een interface ifconfig eth1 up Deactiveren van een interface ifconfig eth1 down Opvragen van informatie van een interface ifconfig eth0 Opvragen van informatie en statistieken van alle netwerkinterfaces netstat -i Testen verbinding : ping interfaces opvragen : netstat -i protocolstatistieken opvragen : netstat -s alle connecties opvragen : netstat -a routeringstabel : netstat -rn routering : traceroute netwerkverkeer monitoren opvragen : tcpdump of ethereal Resultaat van ifconfig: Opvragen van de routeringstabel netstat -r[n] Configuratie van de routering Toevoegen (of verwijderen) van een hostroute route add [-host] netmask gw route add [-host] netmask dev eth0 Toevoegen (of verwijderen) van een netwerkroute route add [-net] netmask gw route add [-net] netmask dev eth0 Toevoegen (of verwijderen) van de default route route add default gw Om iets te verwijderen moet in plaats van add del gebruikt worden. eth0 eth1 Link encap:ethernet HWaddr 00:80:C8:FB:24:38 inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:118 overruns:0 frame:0 TX packets: errors:3 dropped:0 overruns:3 carrier:0 collisions:0 txqueuelen:1000 RX bytes: ( Mb) TX bytes: ( Mb) Interrupt:10 Base address:0xb000 Link encap:ethernet HWaddr 00:50:BA:AC:51:1E inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:21 overruns:0 frame: TX packets: errors:3 dropped:0 overruns:3 carrier:0 collisions:0 txqueuelen:1000 RX bytes: ( Mb) TX bytes: ( Mb) Interrupt:5 Base address:0xa800

8 Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth BMRU eth BMRU lo LRU Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll lan chaplin lo loopback localhost Routing tables Destination Gateway Flags Refs Interface Pmtu UH 0 lo UH 0 lan U 2 lan UG 0 lan UG 0 lan U 0 lo default UG 0 lan IP-speciale dienst: fragmentatie Elk fysiek netwerk heeft zijn eigen karakteristieken, bijv. maximale pakketgrootte (MTU): Ethernet < 1500 bytes; X.25 < 576 bytes; FDDI < 4352 Een IP-pakket dat vertrekt op een Ethernet en dan via een X.25 netwerk moet passeren: dit pakket moet op een bepaald moment in kleinere stukjes geknipt worden om dan later weer aan elkaar geplakt te worden. Fragmentatie is een dure operatie: het knip- en plakwerk; het opnieuw versturen van alle fragmenten wanneer er eentje verloren gaat. Oplossing: fragmentatie voorkomen door de pad-mtu te berekenen: de grootst mogelijke pakketgrootte waarbij fragmentatie toch niet nodig is. C PPP-verbinding A B Proxy-ARP Bedrijfsnetwerk wordt gevormd door A, B en andere. Machine C is een systeem van een thuiswerker en is via een PPP-verbinding gekoppeld aan het bedrijfsnetwerk. Omdat de PPP-verbinding eigenlijk een apart fysiek netwerk is, zou daarvoor een apart (sub)netwerk moeten gebruikt worden. Praktisch gezien zou het systeem C een nummer in het bedrijfsnetwerk moeten krijgen, bijv Probleem wanneer B een IP-pakket naar C moet sturen: B zal een ARP-verzoek voor het MAC-adres van C doen, maar hierop komt geen antwoord. Oplossing: proxy-arp: A geeft in naam van C antwoord op ARP-verzoeken voor C. Als antwoord geeft A zijn eigen MAC-adres op en dus gaan de andere machines er van uit dat het MAC-adres van C dat van A is. Systeem B zal zijn IP-pakket met als bestemmeling C bij A afleveren. Systeem A zal dit pakket via de PPP-verbinding dan verder doorsturen naar C. IP-speciale dienst: source routing De afzender van een IP-pakket geeft een volledige routebeschrijving naar de bestemming op; deze bestemming zal ook de de omgekeerde route gebruiken voor de retourpakketten. loose source routing: de afzender geeft een aantal tussenstations op waar het pakket verplicht moet passeren op weg naar de bestemming; er mogen onderweg ook andere tussenstations gepasseerd worden strict source routing: de afzender specificeert de volledige routebeschrijving. Weinig gebruikt: maximaal 10 adressen omdat het optiegedeelte in de IP-header ten hoogste 40 bytes is: nogal beperkt in het huidige internet beveiliging: iemand gebruikt een IP-adres dat niet van hem is en probeert via source routing te bereiken dat de antwoorden bij hem terecht komen in plaats van bij de echte eigenaar van da IP-adres (IP spoofing). Moderne routers kunnen ingesteld worden dat zij verzoeken om source routing niet honoreren.

9 RARP: Reverse Address Resolution Protocol 1. een systeem in bootfase zet een broadcast-frame op het netwerk met de vraag wat is het IP-adres dat hoort bij het MAC-adres X (X is het eigen MAC-adres) 2. een systeem waarop een RARP-server aanwezig is, geeft antwoord; de beheerder van deze RARP-server moet wel ingesteld hebben wat de koppeling tussen fysieke adressen en IP-adressen is Nadelen een protocol onmiddellijk boven de fysieke laag, dus onderdeel van het besturingssysteem een RARP-server kan niet als applicatieproces opgezet worden gebruik van fysieke broadcasting: dus lokaal; er moet op het lokale net een RARP-server aanwezig zijn het antwoord bevat alleen het IP-adres; andere informatie kan niet doorgespeeld worden. BOOTP: Boot Protocol gebruik van een IP-broadcast ( ) om een BOOTP-server te zoeken + Naast het IP-adres kan allerlei andere informatie doorgegeven worden: default router, domeinnaam, netwerkmasker, name-server,... van belang voor diskless werkstations: de bootfile met als inhoud: de besturingssoftware voor het diskless station + BOOTP-verzoeken kunnen via een proxy-mechanisme doorgespeeld worden naar BOOTP-servers in andere fysieke netwerken op het lokale net is een BOOTP-server aanwezig die alle verzoeken in ontvangst neemt en deze dan doorspeelt aan de echte BOOTP-server op het andere netwerk + gebouwd op UDP, poorten 67 (server) en 68 (client): een BOOTP-server kan als applicatieproces geïmplementeerd worden een BOOTP-pakket kan slechts 64 bytes aan configuratieparameters bevatten geen faciliteiten voor het dynamisch uitdelen van IP-adressen een groep van IP-adressen die gekoppeld zijn aan een groep van systemen, kunnen voor een bepaalde periode uitgedeeld worden RARP: packet formaat Broadcast: Antwoord: RARP: ARP/RARP frame RARP: ARP/RARP frame RARP: RARP: RARP: Hardware type = 1 (10Mb Ethernet) RARP: Hardware type = 1 (10Mb Ethernet) RARP: Protocol type = 8035 (IP) RARP: Protocol type = 8035 (IP) RARP: Length of hardware address = 6 bytes RARP: Length of hardware address = 6 bytes RARP: Length of protocol address = 4 bytes RARP: Length of protocol address = 4 bytes RARP: Opcode 3 (RARP request) RARP: Opcode 4 (RARP reply) RARP: Sender s hardware address = C RARP: Sender s hardware address = A03 RARP: Sender s protocol address = [ ] RARP: Sender s protocol address = [ ] RARP: Target hardware address = A03 RARP: Target hardware address = C RARP: Target protocol address = [ ] RARP: Target protocol address = [ ] RARP: RARP: RARP: 18 bytes frame padding RARP: 18 bytes frame padding RARP: RARP: DHCP: Dynamic Host Configuration Protocol Overeenkomsten met BOOTP: UDP-poorten 67 en 68, IP-broadcasting methode, een router die als proxy-server voor verzoeken kan optreden Een DHCP-pakket: 312 bytes voor configuratieparameters Dynamisch uitdelen van IP-adressen: DHCP-server beschikt over een groep van beschikbare IP-adressen. Deze adressen kunnen uitgedeeld worden zolang de voorraad strekt. Dit is voor een bepaalde periode. Nadien worden adressen weer aan de groep toegevoegd. Eén DHCP-server kan meerdere groepen van IP-adressen bijhouden en deze koppelen aan groepen van machines. essentieel: IP-adressen worden uitgedeeld voor een bepaalde tijdsperiode na zo n lease moet de client het adres weer inleveren of een verlenging aanvragen Verschillen ARP: protocol type en opcode Het antwoord bevat het IP-adres.

10 Opvullen van de routeringstabel Het beheer van DHCP is veel eenvoudiger dan dat van BOOTP. toevoegen van een client in een BOOTP-netwerk vereist steeds een configuratie op de BOOTP-server; in een DHCP-omgeving neemt de DHCP-server een adres uit de groep om uit te delen. Nadelen: probleem voor servers die de toegang tot hun diensten afschermen op basis van het IP-adres van de bezoeker lastig voor frequente gebruikers van videoconferencing en webtelefonie dat ze niet onder een vast IP-adres bereikbaar zijn voor anderen integratie van DHCP met naamgeving in DNS: indien een bepaalde computer een vaste naam moet hebben maar het IP-adres verandert steeds, moet dus telkens de DNS-boekhouding aangepast worden; oplossing is DNS dynamic updates. 1. bij het configureren van een netwerkinterface wordt een directe route automatisch ingevuld voor het netwerk waaraan de netwerkinterface gekoppeld is 2. statische en dynamische routering 3. ICMP routing redirect boodschap Default route van A wijst naar router R1 omwille van de verbinding met Internet. Naast deze route is er in de routeringstabel alleen nog een directe route voor het eigen netwerk. A naar internet Wanneer A een pakket naar B moet sturen, zal dit omwille van de default route naar router R1 gestuurd worden. R1 merkt echter dat dit pakket eigenlijk naar R2 had moeten gestuurd worden. R1 stuurt naar A een ICMP routing redirect boodschap met daarin de aanbeveling om pakketten voor B naar R2 te sturen. Systeem A zal hierdoor zijn routeringstabel automatisch aanpassen. Nadeel: geen verificatie of deze route-informatie authentiek is. Netwerk Redirect boodschappen worden behandeld als Host Redirects. R1 R2 B Dynamische routering Routers informeren naburige routers over de netwerken waarmee ze verbonden zijn Routing daemon communiceert via een routing protocol en past dynamisch de routing tabel aan (toevoegen/verwijderen). Bij alternatieve routes naar dezelfde bestemming: daemon kiest de beste route. Internet: onderverdeeld in een aantal autonome systemen (AS) Een AS wordt normaal beheerd door één enkele entiteit IGP Interior Gateway Protocol: elk AS gebruikt zijn eigen routing protocol om te communiceren tussen de verschillende routers binnen het AS, bijv. RIP en OSPF. EGP Exterior Gateway Protocol: gebruikt tussen routers in verschillende AS, bijv. BGP, gebaseerd op TCP

11 Statisch of dynamisch Netwerk X Netwerk Y Netwerk Z R1 statische routering: routeringstabellen worden handmatig ingesteld een commando op R1: definitie van de statische route naar Z via R2 een commando op R2: definitie van de statische route naar X via R1 dynamische routering: routeringstabellen worden automatisch gemaakt en aangepast op basis van updates die routers elkaar voortdurend sturen router R1 stuurt bericht naar R2 waaruit blijkt dat X kan bereikt worden via R1 router R2 stuurt bericht naar R1 waaruit blijkt dat Z kan bereikt worden via R2 de routers leren de nieuwe routes van hun collega-routers R2 Routing Information Protocol (RIP) elke router maakt periodiek (30 seconden) zijn complete routeringstabel bekend aan andere routers (UDP, poort 520); voor elk netwerk dat de router kan bereiken, wordt de metric vermeld: hop count of het aantal stappen naar de bestemming; werking: stel dat R1 van een naburige R2 hoort dat deze netwerk N kan bereiken in 5 stappen; daardoor berekent R1 dat hij netwerk N kan bereiken in 6 stappen, door het pakket naar R2 te sturen; R1 kan dus zijn eigen routeringstabel aanpassen, maar alleen wanneer R1 nog geen route had naar N of wanneer de oude route langer was dan de nieuwe route. routes worden uit de tabel verwijderd wanneer de route een metric van 16 of meer heeft of wanneer een route een tijdlang (3 minuten) niet meer bevestigd is. Distance vector padbepalingsalgoritme gedistribueerd: elke node ontvangt alleen informatie van één of meer direct aangrenzende nodes; het algoritme voert aan de hand daarvan een berekening uit en deelt vervolgens het resultaat van de berekening aan de aangrenzende nodes mee; iteratief: dit proces gaat net zo lang door totdat er geen informatie meer tussen de aangrenzende nodes wordt uitgewisseld (zelfbeëindigend); asynchroon: voor het uitvoeren van het algoritme hoeven de betrokken nodes niet in een vaste volgorde samen te werken; informatie die doorgespeeld wordt: een vector met afstanden naar de bestemmingen naar hop via B 1 naar hop via B 1 C 2 B D 3 B Voorbeeld A B C D naar hop via A 1 C 1 naar hop via A 1 C 1 D 2 C naar hop via B 1 D 1 naar hop via A 2 B B 1 D 1 naar hop via C 1 naar hop via A 3 C B 2 C C 1

12 A B C D Verbinding tussen C en D valt uit broadcast bestem hop-count A D 3 B D 2 C D broadcast bestem hop-count A D 3 B D 2 C D 3 broadcast bestem hop-count A D 3 B D 4 C D 3 Probleem tabel bestem hop-count via A D 3 B B D 2 C C D 1 tabel bestem hop-count via A D 3 B B D 2 C C D 3 B tabel bestem hop-count via A D 3 B B D 4 C C D 3 B tabel bestem hop-count via A D 5 B B D 4 C C D 5 B Nadelen van RIP count to infinity: routing loop IP-pakkketten met als bestemming D worden heen en weer gestuurd tussen B en C tot hun time-to-live verstreken is; bij infinity (16) wordt de route wel opgeruimd; trage convergentie: bij een verandering in de topologie kan het vele minuten duren voordat een consistente routeringssituatie terug bereikt is; hop count is de enige maatstaf: wat met twee snelle LAN-verbindingen ten opzichte van één trage punt-naar-puntverbinding; duur omwille van het gebruik van broadcasting oorspronkelijk geen ondersteuning voor subnetting en CIDR security-problemen: boodschappen worden blind vertrouwd, zonder authenticatie van de afzender gevoelig voor fouten in implementaties en fouten van beheerders: het verspreiden van fouten kan tot chaos leiden. + vooral geschikt voor eenvoudige en statische netwerken Link state padbepalingsalgoritme Oplossing: split horizon: in RIP-broadcasts op een bepaald netwerk worden geen routes opgenomen die via dat betreffende netwerk lopen dus: B zal in zijn RIP-broadcast op het netwerk van C geen route opnemen naar D (omdat die route via het netwerk van C loopt) Niet voldoende om alle problemen op te lossen. split horizon with poisoned reverse: routes worden wel doorgestuurd maar met een oneindige kost elke router houdt de status van al zijn links bij een database met link states: beschrijvingen van de actuele verbindingen: wat voor soort verbinding, wie met wie verbonden en wat de kosten van een verbinding zijn. flooding: deze informatie wordt doorgespeeld aan andere routers, die op hun beurt de informatie ook weer verder zullen sturen: uiteindelijk komt de informatie van elke router bij elke andere router terecht routers bouwen op deze manier een complete kaart op van de netwerktopologie routes naar een bepaalde bestemming kunnen op basis van deze kaart lokaal uitgerekend worden (kortste pad-algoritme van Dijkstra) alleen bij veranderingen in de topologie worden updates gestuurd. Link State Advertisements (LSA) hebben een volgnummer, zodat duidelijk is welk LSA het meest recent is en een veld dat de ouderdom aangeeft. Als de maximale leeftijd (3600 seconden) wordt overschreden, wordt een LSA verwijderd uit de databases.

13 Globale werking van OSPF 1. Elke node bepaalt regelmatig (elke 10 seconden) welke interlinks hij heeft (Hello pakketjes) en wat de kwaliteit/kosten van die interlinks zijn. Als er ook een pakketje van de andere kant komt (de link is dus bidirectioneel) kijkt de node of de link-statusgegevens (LSA) kloppen met zijn link status database. Actualiseren van de interlinks database: de nodes aan beide einden van de interlink sturen elkaar alle LSA headers toe en over en weer worden updates uitgewisseld. Als de twee nodes volledig gesynchroniseerd zijn (fully adjacent), wordt de nieuwe info doorgegeven aan de andere nodes (reliable flooding). 2. Elke node bouwt op basis van de ontvangen LSA s een complete database van interlinks op. Met deze gegevens berekent elke node door middel van het Dijkstra OSPF algoritme de beste routes. Deze worden vastgelegd in de routeringstabel. Een interlink wordt alleen in de routering opgenomen als beide nodes (van de interlink) de route adverteren. 3. Als er dingen veranderen in het netwerk worden er nieuwe LSA s verstuurd, de databases van de link states worden opnieuw gesynchroniseerd tussen de nodes en de routeringstabellen worden aangepast. Bepalen van de kortste route Het geheel wordt voorgesteld in een gericht netwerk met als knooppunten de routers. gerichte binding tussen twee knooppunten: er is een weg tussen die twee knooppunten; bijhorende waarde c ij : de afstand tussen de twee knooppunten i en j OSPF link-state pakketten 1. Hello: realiseren en onderhouden van naburigheid met andere routers; bepalen van designated router en backup designated router (hello interval, dead interval, area number) 2. Database Description (DBD): verkorte versie van de link-state databank van de zender; ontvanger vergelijkt dit met zijn eigen link-state databank 3. Link State Request (LSR): van een ontvangende router die meer informatie vraagt in verband met een entry in de databank 4. Link State Update (LSU): antwoord op een LSR met nieuwe informatie in de vorm van een Link-State Advertisement (LSA) neighbour tabel: informatie over de buren topology tabel: informatie over volledige netwerk routing tabel: nadat de kortste paden berekend zijn 5. Link State Acknowledgement (LSAck): bevestiging van de ontvangst van een LSU boodschap. Het kortste pad algoritme gaat alle knooppunten van een label voorzien, zodanig dat via de labels de kortste route kan worden gevonden: 1. Initialisatie. Elk knooppunt krijgt een label, bestaande uit twee getallen. Het eerste getal geeft aan vanuit welk knooppunt het betreffende knooppunt gelabeld is (het herkomstgetal). Het tweede getal geeft de waarde w(i) van het label, met i het knooppuntnummer. In deze stap krijgen all knooppunten het label met de getallen [0, w(i)], waarin w(i) = 0 als i het startknooppunt is en w(i) = voor alle andere knooppunten. 2. Labelingsproces. Zoek een binding (i, j) waarvoor geldt: w(i) + c ij < w(j). Als zo n binding gevonden is, verander dan het label van het knooppunt j in [i, w(i) + c ij ]. Herhaal deze stap 2 totdat er geen binding meer is die aan bovenstaande voorwaarde voldoet. 3. Kortste route. Elk knooppunt heeft nu een labelwaarde, die de waarde is van de kortste route van het startknooppunt naar het betreffende knooppunt. Via de herkomstgetallen van de labels kan de kortste route worden teruggezocht.

14 Voor het voorbeeld: 1. Knoopunt 1 krijgt label [0, 0] en alle andere [0, ]. 2. Resultaat van de labelingsfase vanuit knooppunt 1: naar herkomst waarde De kortste route vanuit 1 naar 8 bedraagt 15. De route zelf kan achterwaarts via de herkomstknooppunten gevonden worden: Merk op. Het kortste keten algoritme bepaalt in feite de kortste route van het startknooppunt naar elk ander knooppunt. Bijvoorbeeld de kortste route van 1 naar 7 loopt via 2, 3 en 5 en bedraagt 9. Karakteristieken geen beperking van een weg bepalen tussen slechts 15 kruispunten (hops) snellere convergentie, omdat veranderingen in de topologie direct gemeld worden gecompliceerdere implementatie meer lokale berekeningen nodig: zowel voor het opbouwen van de kaart als voor het berekenen van de routes; het aantal routers in het netwerk mag daarom niet meer zijn dan een paar honderd minder foutgevoelig: het complete pad naar de bestemming is gekend: er is niet alleen gekend dat er een route is, maar ook hoe die route loopt load balancing: omdat de volledige netwerktopologie gekend is, kunnen meerdere alternatieve routes berekend worden en kan de belasting eventueel gedeeld worden over de alternatieve routes. Wanneer de kortste route vertrekkend vanuit een ander knooppunt moet bepaald worden, moet het labelingsproces opnieuw gebeuren. Bijvoorbeeld vanuit knooppunt 3: naar herkomst waarde Uit deze tabel blijkt dat er geen route mogelijk is vanuit 3 naar 1, 2 of 4. Merk op. Het algoritme werkt niet als het netwerk één of meerdere negatieve circuits bevat. Een circuit is een route waarvan begin- en eindknooppunt samenvallen. Een negatief circuit is een circuit waarvan de som van de waarden van de bindingen negatief is. Hiervoor bestaan andere, complexere algoritmen. Hiërarchie Een autonoom systeem kan opgedeeld worden in een aantal area s: groepen van aan elkaar grenzende netwerken. Routers met meerdere interfaces kunnen onderdeel zijn van meerdere area s. area border router R14 R13 R12 R11 area 1 R2 R22 R1 boundary router R23 area 2 R21 backbone router R3 R31 R33 R35 area 3 R34 R32

15 elke area: zijn eigen OSPF link state padbepalingsalgoritme elke router maakt zijn link state bekend aan alle andere routers in de area deze interne gegevens blijven onzichtbaar voor alle routers buiten de area area border router: verantwoordelijk voor padbepaling voor pakketten met een bestemming buiten de area binnen een autonoom systeem is één OSPF-area geconfigureerd als backbone-area belangrijkste taak: bepalen van het pad voor pakketten die tussen verschillende area s in het autonoom systeem (AS) moeten verzonden worden Vier soorten routers: + interne routers: in niet-backbone gebied, voor padbepaling binnen AS + area border routers: behoren zowel bij een area als bij de backbone + backbone routers: padbepaling binnen een backbone, maar zijn zelf geen area border router + boundary routers: tussen verschillende autonome systemen (BGP). Soorten routering binnen een AS: meerdere deelnetwerken waarbinnen interne routering wordt gebruikt (RIP of OSPF), bijvoorbeeld de bedrijfsnetwerken van meerdere klanten van eenzelfde ISP; verschillende AS s spelen elkaar informatie door via externe routeringsprotocol (BGP): aan een andere AS vertellen welke IP-netwerken zich in je eigen AS bevinden. Systemen binnen een AS hoeven geen volledige routeringskennis te hebben: pakken voor netwerken buiten het eigen AS: naar de externe router (default route). Externe (boundary) router: de router die een koppeling heeft met een ander AS. core routers: gezamenlijke externe routers van alle autonome systemen in het Internet moeten wel volledige routeringskennis hebben: voor elk netwerk in het Internet moeten zij weten hoe het bereikt kan worden Core routers werken niet met default routes en hebben tabellen die tienduizenden regels lang kunnen worden. Autonome systemen (AS) een verzameling netwerken met een gemeenschappelijke routeringspolitiek komt vaak overeen met het complete internetwerk van een ISP politiek: bijvoorbeeld onder welke voorwaarden welk verkeer doorgegeven wordt peering-overeenkomsten: door ISP s afgesloten om elkaars verkeer door te geven: een ISP P2 treedt op als intermediair voor het transit-verkeer vanuit het netwerk van ISP P1 en dat bestemd is voor het netwerk van ISP P3. Meeste bedrijven en organisaties kunnen meeliften met het AS van hun ISP. Bedrijven die een abonnement hebben bij twee of meer ISP s moeten een eigen AS opzetten: zij vallen niet meer onder één routeringspolitiek. Elk autonoom systeem heeft een autonoom systeem nummer (ASN): 16 bits lang. Zo n nummer kan aangevraagd worden bij RIPE of bij regionale ICANN-instanties. Er zijn nummers beschikbaar: op dit moment nog geen probleem. Kern van BGP: padmeldingsbericht BGProuter AS1 AS2 BGProuter BGProuter AS3 wordt door de ene BGP-peer naar een andere BGP-peer verzonden via een point-to-pointverbinding bevat een ge-cidr-iseerd netwerkadres en attributen die horen bij het pad naar dat bestemmingsnetwerk (belangrijk) padattribuut: expliciete lijst van alle AS s op het pad naar het betreffende bestemmingsnetwerk tweede belangrijk attribuut: identiteit van de volgende hop-router op dat pad.

16 Border Gateway Protocol (BGP4) doorspelen van routeringsinformatie tussen autonome systemen elk AS: minstens één externe router die BGP draait (TCP/179) communiceert met één of meer BGP-peers in andere AS s BGP-peers bevinden zich op één IP-hop afstand van elkaar spelen elkaar informatie door over IP-netwerken die zich in hun AS bevinden een BGP-router speelt de informatie van de ene peer door naar de andere peers; uiteindelijk wordt dus de informatie over alle AS s in het Internet verspreid bij het distribueren van de informatie wordt een pad bijgehouden van autonome systemen dat doorlopen moet worden naar de bestemming: IP-netwerk is te bereiken via het pad van autonome systemen , met als volgende stap de BGP-peer met het IP-adres policy-based routing: transit-verkeer op basis van configureerbare instellingen Policy-based routing verkeer van een AS voor een ander AS dat op doorreis is door het eigen AS: al of niet toelaten op basis van politieke, economische of security-gerelateerde overwegingen BGP-instellingen van het autonome systeem met nummer 1104: as-in: from AS accept AS1888: het autonoom systeem 1104 is gekoppeld aan het autonoom systeem 1888; het zal van dat systeem het IP-verkeer dat afkomstig is uit dat systeem zelf, accepteren as-in: from AS accept ANY: het autonoom systeem 1104 is gekoppeld aan het autonoom systeem 1890; het zal van dat systeem alle verkeer, dus ook transit-verkeer, accepteren as-out: to AS1103 announce AS1104: het autonoom systeem 1104 zal alleen de netwerken in zijn eigen AS aanmelden bij zijn buurman-as Het configureren van BGP vindt doorgaans plaats op echte routers. Activiteiten Ontvangen en filteren van padmeldingsberichten van direct aangrenzende buren. Een ontvangen BGP-pad kan beschouwd worden als een belofte: een BGP-peer die een pad naar een bestemming AS meldt, belooft dat als een datagram voor dat AS toekomt, hij in staat is om dat datagram verder te verzenden op een pad naar die bestemming. Ontvangen padmeldingsbericht negeren: bijv. als het eigen ASN voorkomt in het pad (lus). Kiezen van een pad uit verschillende padmeldingsberichten voor hetzelfde AS. Hoe een keuze moet gemaakt worden, is een beleidsbeslissing waarover de netwerkbeheerder van het AS alle zeggenschap heeft. Verzenden van padmeldingsberichten naar aangrenzende autonome systemen. Ook hier biedt BGP een mechanisme maar geen beleid. AS X kan bijvoorbeeld willen voorkomen dat AS Y dataverkeer langs zijn AS stuurt.

17 Karakteristieken Werking Domain Name System Configuratie: BIND voor UNIX bekendste implementatie van DNS (zowel resolver als name-server) Berkeley Internet Name Daemon coördinatie door Internet Software Consortium ( Beheer : nslookup, dig Ontstaan : midden jaren tachtig Twee belangrijke karakteristieken: Oplossing: DNS + hiërarchische naamgeving (ipv. een platte) een domeinnaam bestaat uit meerdere componenten, gescheiden door punten van rechts naar links wordt steeds verder ingezoomd: be staat voor België, wenk voor de hogeschool, denayer voor de campus, en www is de naam van een specifieke computer al deze componenten worden domeinen genoemd: be het Belgische domein, wenk.be het domein van de hogeschool,... het meest rechter domein wordt het top-level domein genoemd + gedistribueerde opslag (ipv. centrale opslag) er bestaan DNS-databases met de namen en de IP-adressen van alle machines in een bepaald domein deze databases zijn verspreid over de verschillende domeinen van het Internet Gevolg: DNS is schaalbaar of tegen groei bestand Elk stukje van de DNS-database wordt beheerd door een name-server Naam-adresvertalingen IP-niveau: er wordt met IP-adressen van computers gewerkt routering van IP-pakketten vindt plaats op basis van het numerieke IP-adres eindgebruikers: verkiezen symbolische namen, bijv. iiw.denayer.be Mechanisme nodig voor de koppeling van namen aan adressen: Tot midden jaren 80: centrale boekhouding met daarin de namen en corresponderende IP-adressen van alle systemen van het Internet bestand: HOSTS.TXT bij het Network Information Center (NIC) bij het Standford Research Institute (SRI) Alle systemen maakten periodiek een kopie van het HOSTS.TXT bestand Door de groei van Internet: toenemende belasting van SRI-NIC steeds groter wordend consistentieprobleem: HOSTS.TXT na een uur al verouderd platte, eendimensionale naamsruimte: steeds moeilijker om nieuwe namen te verzinnen. Internet Name Space de verzameling van alle symbolische namen op het Internet hiërarchisch opgedeeld in domeinen: bovenaan in de hiërachie de root (. ) en daaronder de domeinen van het hoogste niveau Elk van deze domeinen bevat een aantal hiërarchisch geordende subdomeinen. Zo n subdomein kan op zijn beurt weer verder onderverdeeld worden, en zo verder. uk eu lessius mechelen nl kuleuven cs. be denayer vrt iiw Fully Qualified Domain Name (FQDN): edu khm iiw.denayer.be. com mtv org ieee

18 Top-level domeinen Oorspronkelijk waren de domeinen van het hoogste niveau gekoppeld aan de aard van de instellingen in de USA: com ondernemingen met commerciële doeleinden edu bepaalde educationele instellingen gov gouvernementele organisaties van de USA mil militaire instellingen org non-profit instellingen int internationale organisaties net netwerkorganisaties hp.com standford.edu whitehouse.gov navy.mil greenpeace.org nato.int ripe.net Naarmate Internet meer buiten de USA verspreid geraakte, heeft men hoofddomeinen per land ingevoerd, bijvoorbeeld be voor België. Per land-domein is dan onder andere een subdomein ac voorzien dat de academische instellingen groepeert. Subdomeinen en delegatie Na het verkrijgen van een domeinnaam is de organisatie zelf naming authority geworden over dat domein: + kan zelf subdomeinen maken + en de verantwoordelijkheid voor subdomeinen delegeren door naming authorities voor die subdomeinen toe te wijzen Het domein dat de delegatie uitvoert wordt parent domein of parent genoemd. Een zone is een gedeelte van de naamsboom dat door één instantie beheerd wordt: is dus een domein inclusief alle subdomeinen maar zonder dat wat weggedelegeerd is Voorbeeld : wenk.be met subdomeinen lemmens en denayer Naming authorities Op elk niveau van de boom is er een naming authority die als enige bevoegd is om namen uit te delen op het niveau daaronder. De naming authority op het hoogste niveau (ICANN) als enige bevoegd om nieuwe top-level domeinen uit te delen De naming authority voor het domein.be mag namen uitdelen onder.be. Met elke naming authority correspondeert ook een name server: een database met de door de naming authority uitgedeelde namen. Bij het uitdelen van namen worden politieke regels gevolgd: sommige: erg vrij, alleen wat syntactische voorwaarden andere: strenger, bijv. beoordelen of de gevraagde naam (ook al is deze nog vrij) geen belangen van andere partijen schaadt Reverse DNS Omgekeerde adresvertaling: van een IP-adres naar een bijbehorende symbolische naam Nodig voor: uitvoer van netwerkcommando s (bijv. traceroute, netstat, tcpdump, arp) voor de gebruiker soms duidelijker wanneer een hostnaam gegeven wordt in plaats van een IP-adres logbestanden van web- en andere servers hostnamen van bezoekende systemen zijn meer zeggend dan IP-adressen server die toegang tot bepaalde gegevens afschermt op basis van de domeinnaam van de klant: een webserver die bepaalde gegevens alleen wil tonen aan bezoekers vanuit het domein iiw.denayer.be, heeft reverse DNS nodig om te bepalen wat het domein is van de bezoeker. Probleem: een vraag aan DNS is steeds van de vorm Wat is de waarde die hoort bij de FQDN XYZ? met XYZ een domeinnaam Hoe ziet die vraag eruit bij een achterwaartse vertaling?

19 Onder de root is een speciaal domein in-addr.arpa. gedefinieerd. Onder dit domein zijn er 256 subdomeinen: 0.in-addr.arpa., 1.in-addr.arpa.,..., 255.in-addr.arpa. Onder elk van deze domeinen zijn er opnieuw 256 subdomeinen: 0.0.in-addr.arpa., 1.0.in-addr.arpa.,..., in-addr.arpa. Dit wordt nog tweemaal herhaald zodat er namen ontstaan van de vorm: in-addr.arpa. Speciaal domein nl be wenk denayer lemmens. arpa com in-addr Om nu de symbolische naam te vinden die hoort bij het IP-adres , kan de vraag aan DNS gesteld worden: Wat is de waarde die hoort bij de FQDN in-addr.arpa.? DNS bestaat uit twee componenten: Name-server versus resolver de resolver is een onderdeel van de toepassing die een bepaald naam-adresvertaling wil uitvoeren: het is een bibliotheekroutine (bijv. gethostbyname en gethostbyaddr) die door de toepassing wordt opgeroepen om de vertaling in gang te zetten; deze resolver is normaal niet zichtbaar; het is een onderdeel van ftp, telnet, webbrowser en alle andere toepassingen die een naam-adresvertaling moeten uitvoeren de name-server is een proces dat verantwoordelijk is voor het uitvoeren van naam-adresvertalingen. Voor elk domein is er een name-server die beschikt over de DNS-database van dat domein, waarin onder meer de namen en IP-adressen van alle systemen in dat domein zitten. De name-server is wel zichtbaar: het is een proces dat draait op een bepaald systeem. Takenpakket van DNS vertaling van een symbolische hostnaam naar het corresponderende IP-adres vertaling van een IP-adres naar de corresponderende symbolische hostnaam Een organisatie aangesloten op het internet is dus verantwoordelijk voor twee domeinen: 1. het domein wenk.be. 2. het domein in-addr.arpa. Bijkomende taken: + routering van voor elk domein bepalen wat de mailserver is voor dat domein + recent: mechanisme om te bepalen op welk systeem bepaalde services draaien, bijv. web-server, directory-server,... Werking Een particulier gebruiker in het domein proximus.be wil de website iiw.denayer.be bezoeken: 1. resolver vraagt aan naburige name-server wat het IP-adres is dat hoort bij iiw.denayer.be. 2. de name-server heeft geen idee, omdat het een naam is buiten zijn domein; maar hij doet zijn best door de root name-server te contacteren name-server X 1 8 resolver browser root name-server name-server.be name-server denayer.be 3. de root name-server heeft kennis van de name-servers van alle top-level domeinen: hij kan dus het IP-adres van de name-server van het domein.be geven aan de name-server X.

20 4. de name-server X vraagt nu aan één van de.be name-servers om het IP-adres van iiw.denayer.be name-server X 1 8 resolver browser root name-server name-server.be name-server denayer.be 5. de.be name-server weet voor alle subdomeinen onder.be wat de name-servers voor die subdomeinen zijn, maar hij heeft geen informatie over de inhoud van die subdomeinen; de.be name-server kan dus het IP-adres van de denayer.be name-server doorgeven aan de name-server X. 6. Tot slot kan de name-server X het IP-adres van iiw.denayer.be vragen aan de denayer.be name-server. 7. En dit IP-adres wordt aan de resolver doorgegeven. Opgedane kennis wordt door name-servers bewaard en herbruikt. De name-server X heeft geleerd wat de name-servers zijn van.be en van denayer.be en wat het IP-adres is van iiw.denayer.be. Bij een volgende vraag ivm met iiw.denayer.be kan deze direct beantwoord worden en is het aantal stappen beperkt tot twee. Caching en negative caching name-server X 1 8 resolver browser root name-server name-server.be name-server wenk.be Daarnaast zal bij een vraag naar name-server X beginnen bij stap 4. De gegevens in de cache blijven natuurlijk niet eeuwig geldig. De eigenaar van een domein kan aangeven hoelang anderen DNS-informatie mbt dat domein in hun cache mogen bewaren. In DNS zijn er twee soorten vragen: Recursieve en iteratieve vragen 1. bij een recursieve vraag verwachten we van de andere partij dat deze pas bij ons terugkomt wanneer hij het uiteindelijke antwoord heeft gevonden; een resolver stelt normaal altijd recursieve vragen (stap 1) 2. bij een iteratieve vraag zijn we tevreden wanneer de andere partij ons een stapje dichterbij het antwoord heeft geholpen; name-servers stellen onderling normaal altijd iteratieve vragen (stappen 2, 4, 6). Communicatie tussen resolver en name-server en name-servers onderling verloopt via poortnummer 53; voornamelijk via UDP maar deels ook via TCP (zonetransfers). negative caching: moderne DNS-implementaties onthouden ook negatieve antwoorden. Wanneer het IP-adres gevraagd wordt van bijv. zal de name-server vaststellen dat deze naam niet bestaat. Bij een volgende dezelfde vraag zal de name-server onmiddellijk antwoorden, dat de naam niet bestaat ipv. opnieuw te gaan zoeken. Wanneer een resolver een IP-adres van een FQDN vraagt, kunnen er twee soorten antwoorden komen: authoritative antwoord: het antwoord komt van de name-server die authoritative is voor de zone waar de host met de gegeven FQDN element van is zo n authoritative name-server beschikt in zijn database over alle informatie van alle hosts die in de zone zitten non-authoritative antwoord: het antwoord komt van een name-server die de gevraagde naam-adresvertaling kan doen op basis van de informatie in zijn cache.