A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Redes de Computadores II Aulas teóricas. Objectivos Formação sólida nas áreas de internetworking (conceitos arquitecturas e protocolos e de aplicações.

Apresentações semelhantes


Apresentação em tema: "Redes de Computadores II Aulas teóricas. Objectivos Formação sólida nas áreas de internetworking (conceitos arquitecturas e protocolos e de aplicações."— Transcrição da apresentação:

1 Redes de Computadores II Aulas teóricas

2 Objectivos Formação sólida nas áreas de internetworking (conceitos arquitecturas e protocolos e de aplicações de rede. Utilização de Berkeley Sockets e de Simuladores de Redes.

3 Programa 1.Internetworking 1.1. Conceitos, Arquitecturas e Protocolos Datagramas IP. Reencaminhamento de datagramas 1.3. Endereços IP. Redes e Subredes. VLSM Endereços Classless. Blocos CIDR 1.5. Endereços Públicos e Privados. NAT 1.6. Encapsulamento, Fragmentação e Reassemblagem IPv ICMP, TCP e UDP

4 Programa 2. Routing 2.1. Routing estático e dinâmico Routing Interno e Externo 2.3. Protocolos de Routing Interno (RIP, IGRP, OSPF, EIGRP) 3. Filtragem de pacotes IP 3.1. Utilização 3.2. Exemplos Utilização de filtragem de pacotes com o Cisco IOS

5 Programa 4. Conceitos de Segurança de Acesso a Redes Informáticas 4.1. Vulnerabilidades. Tipos de ataques 4.2. Implementação de defesas 4.3. Firewwalls 4.4. VPNs

6 Programa 3. Aplicações de Redes 3.1 Interface Berkeley Sockets 3.2. Protocolos de nível de rede 3.3. RPC e Middleware. Componente Prática: 1.Casos práticos de Internetworking e Routing. 2.Desenvolvimento de Aplicações de Rede com Sockets de Berkeley

7 Bibliografia Engenharia de Redes Informáticas, Edmundo Monteiro, F. Boavida, FCA Data and Computer Communications, William Stallings, Prentice Hall, 6ª ed. Computer Networks and Internets, Douglas E. Comer, Prentice Hall, 2ª ed. IP Routing Fundamentals, Mark A. Sportack, Cisco Press Enhanced IP Services for Cisco Networks, Donald C. Lee, Cisco Press Apontamentos elaborados pelo docente da disciplina

8 Avaliação 1.Teste Final: 50% 2.Componente Prática: 50% –Trabalho1: 15% –Trabalho2: 35% –Teste 1: 20% –Teste 2: 30% Minimo de 8 valores em cada Componente

9 Endereçamento tradicional (com Classes de redes) Clas.GamaEnd/RedeObjectivo A a Unicast. B a Unicast C a Unicast D a N/AMulticast E a N/AExperim.

10 Campos Subrede e Host Rede Original Def. Subrede Masc. Subrede Exemplo RedeHost RedeSubredeHost Bits umzeros

11 Exemplo Subnetting Rede: /27 Bits de host usados para subrede: 3 Bits de host após subnetting: 8-3=5 Rede: Masc: Mascara em decimal:

12 As 8 subredes do ex. anterior Campo Subrede Octeto (bin) Octeto (dec) Subrede / / / / / / / /27

13 Desvantagens Subnetting Restritiva, obriga a prever o numero e o tamanho, das subredes necessárias, para o momento actual e para o futuro. As subredes têm todas o mesmo tamanho, relativamente ao numero de hosts suportados Obrigam a que o tamanho de todas as subredes seja baseado na maior delas, sendo assim desperdiçados endereços nas subredes com menor numero de hosts.

14 Regras para as subredes top e botton Existem alguns argumentos para que se evite o uso das subredes com os seguintes padrões de bits: –Todos os bits zero (rede) –Todos os bits um (broadcast) Alguns documentos iniciais apontavam para a manutenção destas regras e por isso alguns dispositivos mais antigos, não podem ser configurados sobre subredes

15 Regras para as subredes top e botton Para evitar problemas é importante que o técnico esteja familiarizado com os dispositivos de rede utilizados no seu ambiente, de forma a poder determinar o endereçamento permitido. Os routers Cisco podem ser configurados para usar a subrede inicial (bits zero). Uma vez que o endereço de broadcast da ultima subrede (bits um) é o mesmo que o da rede completa, não é recomendado a sua utilização com protocolos de routing do tipo classfull, tais como o RIP ou o IGRP

16 Variable Length Subnet Masks Com VLSM um espaço de endereçamento pode ser subdividido em subredes de tamanhos variáveis. Permite adaptar o tamanho da subrede ao numero de hosts que ela deve suportar. Os protocolos RIP e IGRP são do tipo classfull não suportando VLSM. Para isso devem ser usados os protocolos OSPF ou EIGRP.

17 Exemplo de VLSM Uma empresa pretende subdividir o espaço de endereçamento correspondente a uma rede classe C de acordo com as seguintes necessidades: 1.Duas subredes devem suportar pelo menos 60 hosts 2.Quatro subredes devem suportar pelo menos 10 hosts 3.Tantas subredes quantas possíveis para suportar 2 hosts

18 Exemplo de VLSM 1- Subdivisão do espaço de endereçamento por 4 subredes (/26) / / / /26 N/AABC / /26DN/A 2- Subdivisão da 1ª e ultima subrede em mais 4 subredes (/28)

19 Exemplo de VLSM Subredes A, B, C, D –A: /28 –B: /28 –C: /28 –D: /28 As restantes subredes vão ser mais subdivididas usando a mascara /30. Evita-se usar a primeira e a ultima das subredes /30.

20 Exemplo de VLSM - Conclusão O processo VLSM gerou um total de 20 subredes utilizáveis. Não se utiliza o espaço representado pelas subredes: – /30 – /30 Apenas foram desperdiçados um total de 8 endereços.

21 Endereçamento Classless Não usa as classes tradicionais A,B e C, nem a noção de campo de subrede. O tamanho do Prefixo é determinado pela mascara. É uma série continua de 1s começando no bit mais á esquerda. PrefixoHost

22 Endereçamento Classless Embora a mascara do prefixo seja semelhante a uma mascara de sub rede, não existe aqui campo de sub rede. O endereçamento classless permite combinar múltiplos endereços classe C num bloco contíguo de endereços designado por Supernet ou CIDR (Classless Interdomain Routing).

23 Endereçamento Classless / / / / /22 A figura anterior descreve como quatro redes classe C podem ser combinadas numa super rede, que suporta 1024 endereços. /22 representa uma mascara de 22 uns contíguos

24 Endereçamento Classless Mascara: / Endereços de: Até: Ou seja de: até:

25 Técnicas VLSM com Endereçamento Classless Usando prefixos de rede de tamanho variável por analogia designados de VLSM pode-se subdividir o espaço de uma supernet da forma mais conveniente. Recorde-se que não existem agora subredes e por isso não existe aqui nada semelhante á primeira e ultima subredes vistas anteriormente.

26 Exemplo de aplicação de uma mascara /26 ao bloco /22 Original (/22) : Mascara (/26): Resulta em: xx.xxhh-hhhh Onde: x – novos bits do prefixo h – bits de host

27 Lista dos novos prefixos obtidos no exemplo anterior Prefixos de redeNotação decimal hh.hhhh / hh.hhhh / hh.hhhh / hh.hhhh / hh.hhhh / hh.hhhh / hh.hhhh /26 ………………..……………… hh.hhhh /26

28 Agregação de Endereços Diminui o tamanho das tabelas de encaminhamento dos routers

29 Encaminhamentos: Agregação de Endereços Router A Router B / / / / / /24 Eu chego a /16 s1 s2 s3 s4 s3 s2

30 Tabela de Encaminhamentos Router A OrigemDestinoInt. Saída / /24s / /24s1 …………………………….s / /24s / /24s1 ………………..………………s1

31 Agregação de Encaminhamentos Router A OrigemDestinoInt. Saída / /16s / /16s1

32 Tradução de Endereços - NAT Com NAT (Network Address Translation) pode- se expandir o espaço de endereçamento IP através da utilização de endereços privados. O RFC 1918 define os blocos de endereços IP para uso em redes que não comunicam com a Internet publica. Incluem: – até ( /8) – até ( /12) – até ( /16)

33 Tradução de Endereços - NAT Router A Servidor End. Públicos ……….. Rede Privada (Interna) Rede Publica (Internet)

34 Tradução de Endereços – NAT Legenda da fig. anterior Pacote origem em Pacote origem em (Trad.) Pacote para (Publico) Pacote para (Privado)

35 ARP – Resolução de Endereços Introdução Os endereços IP são endereços lógicos, abstracções obtidas por software. Uma trama enviada sobre uma rede física deve conter o endereço físico (MAC) do destino O hardware físico das redes não consegue localizar um dispositivo a partir do seu endereço IP Este endereço deve ser traduzido para o endereço físico equivalente antes do pacote ser enviado

36 ARP – Resolução de Endereços O mapeamento entre um endereço lógico e o correspondente endereço físico é designado por Resolução de Endereço. Um dispositivo usa a técnica de resolução de endereço sempre que necessita de enviar um pacote para outro dispositivo sobre a mesma rede física. Nunca é resolvido o endereço de um dispositivo conectado a uma rede remota

37 ARP – Address Resolution Protocol Define duas mensagens tipo: Pedido e Resposta. Um pedido contém um endereço IP e pede o correspondente endereço físico Uma resposta contém o endereço IP enviado e o correspondente endereço físico. Uma mensagem ARP é colocada numa trama e enviada em broadcast para todos os dispositivos da rede.

38 ARP – Address Resolution Protocol Cada um dos dispositivos recebe o pedido e examina o endereço IP O dispositivo mencionado no pedido envia a resposta directamente para o dispositivo que originou a mensagem Todos os outros dispositivos descartam a mensagem pedido. As mensagens ARP são quase sempre usadas para ligar um endereço IP de 32 bits com um endereço Ethernet de 48 bits.

39 Envio de mensagens ARP A mensagem ARP é encapsulada numa trama Ethernet. CabeçalhoCRCÁrea de dados da trama Mensagem ARP

40 Identificação de mensagens ARP O frame type 0x806 especifica que a trama contém uma mensagem ARP. O transmissor deve assignar o valor correcto ao campo tipo antes de enviar a trama. End. Destino End. Origem Tipo 806 Mensagem ARP

41 Reencaminhamento de datagramas IP Para suportar a heterogeneidade do hardware de uma rede como a Internet foi definido um formato de pacote independente do hardware subjacente O formato geral de um datagrama IP está a seguir representado HeaderÁrea de Dados

42 Datagramas IP O tamanho do datagrama é variável dependendo da aplicação que envia os dados. Na versão actual (versão 4) um datagrama pode conter desde um octeto de dados até 64K octetos, incluindo o header

43 Endereços e Tabelas de Encaminhamento Considere 4 redes interligadas por 3 routers R1 R2 R

44 Tabela de Encaminhamento no Router R2 (Slide anterior) DestinoMascaraNext Hop Directo Directo

45 Tabela de Encaminhamento no Router R2 (Slide anterior) Uma vez que numa tabela de encaminhamento a cada destino corresponde uma rede, o nº. de entradas na tabela é proporcional ao nº. de redes interligadas. O endereço destino no header de um datagra- ma refere-se sempre ao ultimo destino. Quando o router reencaminha um datagrama para outro router, o endereço do Next Hop não aparece no header.

46 Protocolo não orientado á conexão O IP está projectado para operar sobre todos os tipos de hardware subjacente. É um protocolo não orientado á conexão. Para descrever os serviços que oferece pode ser usado o termo best-effort. Isso significa que os datagramas IP podem ser perdidos, duplica-dos, atrasados, entregues fora de ordem, ou com dados corrompidos. Estes problemas deverão ser tratados pelas camadas protocolares superiores.

47 Formato do Cabeçalho IP VERSH. LENSERV. TYPETOTAL LENGTH IDENTIFICATIONFLAGSFRAGMENT OFFSET TIME TO LIVETYPEHEADER CHECKSUM SOURCE IP ADDRESS DESTINATION IP ADDRESS IP OPTIONS (Pode ser omitido)PADDING

48 Campos do Cabeçalho IP SERVICE TYPE: especifica se o encaminha- mento deve privilegiar o atraso mínimo ou o débito máximo. TOTAL LENGTH: Inteiro de16 bits, que espe- cifica o numero total de octetos no datagrama. TIME TO LIVE: O campo é inicializado com um valor entre 1 e 255. Cada router decrementa o valor de 1. Assim que o valor atinge zero o datagrama é descartado

49 Campos do Cabeçalho IP HEADER CHECKSUM: verifica se os bits do cabeçalho foram alterados em transito. OPÇÕES: Podem não estar presentes. Se o H.LEN for 5, o header termina depois do campo DESTINATION IP ADDRESS. PADDING: Como o header é especificado em múltiplos de 32 bits, são acrescentados bits zero de forma a fazer um múltiplo de 32 bits. Os campos FRAG. OFFSET, IDENT. e FLAGS serão vistos na Fragmentação de Datagramas

50 Encapsulamento APLICAÇÃODADOS TRANSPORTEH. TCP DADOS REDEH. IPPACOTE TCP LINKH. TRAMA DATAGRAMA IPT. TRAMA FISICO >>>>>>> FLUXO DE BITS >>>>>>

51 Encapsulamento Um datagrama é encapsulado numa trama para transmissão sobre um meio físico. O endereço destino na trama é o endereço do next hop para onde deve ser enviado o datagrama. Este endereço é obtido por tradução do endereço IP do next hop para o endereço de hardware equivalente.

52 Transmissão sobre redes interligadas Rede 1 Rede 2 Rede 3 Rede 4 R1 R2 R3 H1 H2 Datagrama Header 1 Datagrama Header 2 Header 3 Header 4

53 Transmissão sobre redes interligadas Quando atravessa uma rede física um datagrama é encapsulado numa trama apropriada a essa rede Na camada de rede, o receptor extrai o datagrama da área de dados da trama e descarta o cabeçalho da trama. A quantidade máxima de dados que pode conter uma trama é designada por MTU (Maximum Transmission Unit)

54 Fragmentação Considere-se um router que interliga duas redes com diferentes valores de MTU. Como a trama pode ter um máximo de 1500 octetos numa rede e de 1000 octetos na outra, é necessário fragmentar o datagrama quando ele é enviado de uma rede para a outra. MTU=1500MTU=1000 RH1

55 Fragmentação Quando um datagrama é maior que a MTU da rede para onde vai ser enviado o router divide o datagrama em pedaços chamados fragmentos. Cada fragmento é enviado independentemente dos restantes. Um fragmento tem o mesmo formato do data- grama original, um bit no campo flags do header indica se é um fragmento. O campo fragment offset especifica a que parte do data- grama original pertence o fragmento.

56 Fragmentação Cada fragmento contém uma cópia do header original com os campos identification, flags e fragment offset alterados headerÁrea de dados original header1dados1header2dados2 header3 Dados3

57 Reassemblagem A criação de uma cópia do datagrama original a partir dos fragmentos é designada por reassemblagem. A reassemblagem é da responsabilidade do host destino final. O IP não garante a entrega dos datagramas. Podem ser perdidos fragmentos ou podem chegar fora de ordem. Como reassemblar os fragmentos?

58 Reassemblagem O emissor coloca um numero no campo identification no header de cada datagrama. Na fragmentação os headers são copiados e logo os fragmentos têm a mesma identificação. O receptor usa o numero de identificação e o endereço IP origem de um fragmento para determinar a que datagrama ele pertence. O fragment offset indica qual a ordem de um fragmento num determinado datagrama.

59 Reassemblagem Quando é recebido o primeiro fragmento de um data- grama é inicializado um timer. Se todos os fragmentos forem recebidos antes de expirar o temporizador o datagrama é reassemblado. Se o temporizador expira antes da chegada de todos os fragmentos, o receptor descarta os fragmentos que recebeu. Para evitar a fragmentação de fragmentos deve-se evitar que o encaminhamento do datagrama use uma sequencia de redes em que os mtus sejam sempre decrescentes.

60 Header IPv6

61 Unicast Sends Packets to a Specified Interface

62 Multicast Sends Packets to a Subnet, and Defined Devices Listen for Multicast Packets

63 Anycast Sends Packets to Specified Interface List and Can Contain End Nodes and Routers

64 Um Mecanismo de Reporte de Erros O IP define para o serviço de comunicações uma técnica do menor esforço. No entanto são previstos mecanismos para evitar erros e para reportar problemas. Por exemplo em caso de erro no checksum do header é imediatamente descartado. O IP usa o Internet Control Message Protocol (ICMP) para enviar mensagens de erro. O ICMP usa o IP para transportar as mensagens

65 Mensagens ICMP TipoNome 0Echo Reply 3Destino não atingível 4Source Quench 5Redirect 11Tempo Excedido 12Parameter Problem ………..…………………….. 17Address Mask Request 18Address Mask Reply 30Traceroute

66 Transporte de Mensagens ICMP Header ICMP Area de Dados ICMP Header IP Area de Dados IP Area de Dados da TramaHeader da Trama

67 Pacote UDP Tem um tamanho reduzido. É encapsulado dentro de um datagrama IP Checksum Dados Porta Destino Tamanho Mensagem Porta Origem Header e Dados UDP Head. IP Tipo 0800 SACRCDA

68 Pacote TCP Maior e mais complexo que o UDP Urgent Pointer Numero de Sequencia Porta Destino Checksum Dados Porta Origem Header e Dados UDP Head. IP Tipo 0800 SACRCDA Numero de Acknowledgment Window URGURG ACKACK RSTRST PSHPSH SYNSYN FINFIN OptionsPadding

69 Conexão Full-Duplex ABAB Inicializ SYN SeqA=10 SYN SeqB=30 ACKA=11 SeqA=11 ACKB=31 SeqA ACKA Troca de Dados Finaliza ção FIN SeqA=220 FIN SeqB=52 ACKA=221 ACKA=221 ACKB=53

70 Segmentos e nº.s de sequencia

71 Time-out de Retransmissão de Pacotes Perdidos

72 Controlo de Fluxo

73 Controlo de Congestão de Rede Usa como medida da congestão da redeo nº de pacotes perdidos Diminui a taxa de retransmissão de pacotes Retransmite de inicio um único pacote de dados. Caso não haja perdas duplica a taxa de transmissão até atingir metade do tamanho de janela

74 Estabelecimento da conexão TCP Passos para o estabelecimento: Cliente Servidor SYN, SEQ=65 ACK=66, SYN, SEQ=102 ACK= 103 Transf. de Dados

75 Ataque através da Numeração de Sequencia Spoofing do nº de sequencia Rede Servidor Atacante 1 - Conexão TCP valida 2 – Inicia conexão com origem = Ataque DoS 4- Completa conexão TCP

76 Ataque através da Numeração de Sequencia Os números de sequencia (32 bits) não são escolhidos aleatoriamente. Muitas implementações TCP usam padrões previsíveis para as numerações de sequencia. No arranque do host o nº de sequencia é 1. O nº inicial é incrementado em em cada segundo. É assim possível prever repetições. De cada vez que uma conexão é iniciada o contador é incrementado em

77 Ataque através da Numeração de Sequencia Se os nºs de sequencia fossem escolhidos aleatoriamente com a chegada de um pedido de conexão, não havia garantias que eles fossem diferentes de uma conexão prévia. Para determinar um padrão de sequencia, tudo o que um atacante tem de fazer é estabelecer uma conexão legitima para o servidor e seguir os nºs de sequencia usados

78 Ataque do tipo TCP SYN Com a recepção do pacote SYN de establecim. da conexão e o envio do respectivo SYN/ACK, o servidor fica a aguardar um ACK. Enquanto não recebe o ACK é criada uma entrada numa fila de conexões incompletas, que é eliminada com a recepção do ACK. Se forem gerados vários pedidos de conexão e nunca for enviado o ACK final, a fila fica cheia e o servidor não aceita mais pedidos de conexão legítimos (serviços de , FTP, WWW, …)

79 SPOOFING A melhor defesa contra spoofing consiste em implementar filtros de pacotes nos pontos de entrada e saída da rede. Na entrada o filtro deve negar o acesso a pacotes que tem endereços da rede interna Na saída devem apenas permitir pacotes cuja com origem num host interno da rede

80 Ataque do tipo TCP SYN Não é fácil determinar a origem do ataque porque o endereço origem pode ser forjado. Dentro da estrutura de rede o ataque pode ser limitado a uma determinada área se o router ou firewall intersecta a conexão TCP, verifica a sua validade e estabelece a conexão em lugar do host que a iniciou (faz de proxy)

81 land.c Ataque do tipo land.c É enviado um pacote TCP SYN com o endereço origem igual ao endereço destino. É também usada a mesma porta como origem e destino no servidor alvo. Isto pode causar o crash de alguns sistemas operativos. As portas objecto do ataque devem ser portas em que são disponibilizados serviços activos (telnet, por ex.). Uma vez que o ataque requer o spoofing do endereço do alvo os sistemas protegidos por medidas antispoofing estão a salvo

82 RIP – Routing Information Protocol O Routing Information Protocol (RIP), é um dos mais antigos protocolos de routing. O RIP assim como muitos outros protocolos semelhantes são baseados no mesmo conjunto de algoritmos que usam vectores distancia para comparar caminhos e identificar o melhor caminho para um endereço destino. Estes algoritmos emergiram de pesquisas académicas publicadas em A versão standard actual do RIP, por vezes designada por IP RIP, está formalmente descrita em dois documentos: Request For Comments (RFC) 1058 e Internet Standard (STD) 56. Com o crescimento do numero e dimensão das redes IP, tornou-se necessária a actualização do RIP. Consequentemente o IETF(Internet Engineering Task Force) publicou em 1993 o RFC 1388, completado em 1994 pelo RFC 1723, que descreve o RIP 2. Estes RFCs descrevem uma extensão das funcionalidades do RIP, mas mantendo a compatibilidade com a versão anterior. O RIP 2 alterou o formato das mensagens RIP para transportarem mais informação, permitindo um mecanismo simples de autenticação para garantir a segurança das actualizações das tabelas de routing. Ainda mais importante, o RIP 2 suporta mascaras de subrede, uma funcionalidade critica que não era suportada pelo RIP RIP. Neste capitulo serão tratadas as funcionalidades básicas do RIP, que incluem o processo de update das tabelas de routing, as métricas de routing do RIP, estabilidade de routing, timers de routing, …

83 Formato do pacote RIP ComandoIndica se o pacote é um pedido ou uma resposta. Um pedido pede a um router para enviar toda ou parte da tabela de routing. Uma resposta pode ser update normal de routing ou a resposta a um pedido. Respostas contêm entradas das tabelas de routing. Podem ser usados múltiplos pacotes RIP para enviar informação referente a grandes tabelas de routing. Numero de VersãoEspecifica a versão de RIP usada. Este campo pode sinalizar versões potencialmente incompatíveis. ZeroEste campo não é actualmente usado pelo RFC 1058 RIP; foi apenas adicionado para permitir compatibilidade com versões anteriores ao standard. O seu nome vem do seu valor por defeito: zero. Comando 1-Octeto Versão 1-Octeto Zeros 2-Octetos AFI 2-Octetos Endereço 4-Octetos Zeros 4-Octetos Zeros 2-Octetos Zeros 4-Octetos Métrica 4-Octetos

84 Formato do pacote RIP Address-Family Identifier (AFI)Especifica a família de endereços usada. RIP está desenhado para transportar informação de routing de diferentes protocolos. Cada entrada tem um identificador address-family para indicar o tipo de endereços especificados. O AFI para o IP é 2. EndereçoEspecifica o endereço IP da linha. MétricaIndica quantos internetwork hops (routers) foram atravessados no caminho para o destino. Este valor varia entre 1 e 15 para um encaminhamento valido; 16 para um encaminhamento não atingível.

85 Formato do pacote RIP NotaSão permitidas num único pacote RIP até 25 ocorrências dos campos: – AFI –Endereço IP –Métrica Isto significa que até 25 entradas de uma tabela de routing podem ser enviadas num único pacote RIP. Se o campo AFI especifica uma mensagem autenticada (RIP2), apenas podem ser especificadas 24 entradas da tabela. Uma vez que entradas individuais de uma tabela não são fragmentadas em múltiplos pacotes o RIP não necessita um mecanismo de ordenação de datagramas que contenham actualizações das tabelas dos routers vizinhos

86 Formato do pacote RIP2 Comando Indica se o pacote é um pedido ou uma resposta. Um pedido pede a um router para enviar toda ou parte da tabela de routing. Uma resposta pode ser update normal de routing ou a resposta a um pedido. Respostas contêm entradas das tabelas de routing. Podem ser usados múltiplos pacotes RIP para enviar informação referente a grandes tabelas de routing. Numero de Versão Especifica a versão de RIP usada. Para o RIP2 o valor é 2. Não Usado Colocado a zero. Comando 1-Octeto Versão 1-Octeto Não Usado 2-Octetos AFI 2-Octetos Endereço IP 4-Octetos Mascara Subrede 4-Octetos Route Tag 2-Octetos Next Hop 4-Octetos Métrica 4-Octetos

87 Formato do pacote RIP2 Address-family identifier (AFI)Especifica a address family usada de uma forma identica ao descrito no RFC 1058 para o RIP, com uma excepção: Se o AFI para a primeira entrada na mensagem é 0xFFFF, o resto da mensagem contém informação de autenticação. Actualmente essa autenticação consiste apenas numa password AddressEspecifica o endereço IP da linha. Mascara de SubredeContém a mascara de subrede da entrada. Se for zero a mascara não é especificada para essa entrada. Next HopEspecifica o endereço IP do Next Hop para onde deverão ser encaminhados os pacotes dessa entrada MetricIndica quantos internetwork hops (routers) foram atravessados no caminho para o destino. Este valor varia entre 1 e 15 para um encaminhamento valido; 16 para um encaminhamento não atingível.

88 IGRP – Internet Group Routing Protocol Proprietário (Cisco) Vector-distancia Usa classes de redes Não está limitado a um diâmetro de rede de 15 hops. Permite um máximo de 255 hops. Usa uma métrica compósita para seleccionar os encaminhamentos óptimos através de uma rede. As características incluídas na métrica são: largura de banda, atraso, carga e fiabilidade, podendo o seu peso relativo ser ajustado Pode usar múltiplos caminhos para enviar tráfego para um destino, com balanceamento de carga, mesmo se as métricas dos caminhos forem diferentes Suporta sistemas autónomos, identificados através do numero do sistema autónomo. As actualizações das tabelas de routing são enviadas menos frequentemente do que no RIP, criando por isso menos tráfego de overhead. Porque os valores dos temporizadores de actualização das tabelas são mais elevados, o IGRP pode convergir mais lentamente que o RIP

89 EIGRP – Enhanced IGRP Proprietário (Cisco) Protocolo híbrido. Tem características de um protocolo por vector-distancia, mas apresenta características de um protocolo por estado do link. Fácil de implementar, tal como os protocolos por vector-distancia. Converge rapidamente e tem pouco overhead. Envia actualizações parciais, em lugar da tabela de routing completa e apenas quando ocorrem alterações. Envia as actualizações apenas aos vizinhos que têm necessidade delas. Protocolo classless. Suporta VLSM, supernetting e agregação de redes. É facilmente escalável para redes maiores e suporta múltiplos sistemas autónomos. Ao contrario das redes OSPF as redes EIGRP são flexíveis a alterações na topologia e processos de reengenharia Usa a mesma métrica compósita do IGRP, diferindo apenas por um factor de 256. Basta multiplicar a métrica IGRP por 256 para obter a métrica EIGRP Como o IGRP pode usar múltiplos caminhos para enviar tráfego para um destino, com balanceamento de carga, mesmo se as métricas desses caminhos forem diferentes Suporta autenticação de encaminhamentos. Ou seja um router EIGRP pode ser configurado para aceitar actualizações de routing apenas de fontes autenticadas.

90 OSPF Protocolo por estado do link. Um router OSPF envia pequenas actualizações (link-state advertisements ou LSAs), que incluem apenas informações sobre os seus próprios links. O LSAs propagam-se sobre uma zona da rede designada por area. Cada router da área constrói uma base de dados a partir das LSAs que recebe. A partir da base de dados cada router determina o caminho com menor custo para cada um dos destinos conhecidos usando o algoritmo de Djikstra. Protocolo classless. Suporta VLSM, supernetting e agregação de redes. Converge rapidamente e tem pouco overhead. Requer no entanto mais recursos de memória e de processamento que os outros protocolos de routing A métrica é o custo. Por defeito o custo de um link é igual a 10 á oitava dividido pela largura de banda do link. Um sistema autónomo OSPF é constituído por áreas interligadas de uma forma hierárquica. É necessária a existência de uma área zero, designada também por área de backbone. O tráfego entre as outras áreas deve passar pela área de backbone Todas as áreas OSPF devem por isso conectar-se com a área zero O OSPF requer um melhor planeamento inicial e obriga a mais detalhes no seu planeamento do que os outros protocolos. Dependendo do seu desenho inicial e do grau de alterações pretendidas o OSPF pode ser menos flexível a alterações na topologia ou a reengenharia da rede. Suporta apenas balanceamento entre encaminhamentos de igual custo. Suporta autenticação de encaminhamentos

91 Filtragem de Datagramas No IOS cisco usam-se acess lists para filtrar trafego numa interface do router Router S0 E0 E1 Filtro aplicado á entrada do router Filtro aplicado á saída do router

92 Lógica de uma Acess List Access list 1 –Negar acesso ao trafego de –Negar acesso ao trafego dos hosts a –Negar acesso ao host –Permitir tudo o restante

93 Lógica de uma Acess List As regras de uma lista são processadas por ordem sequencial. Quando um pacote satisfaz as condições de uma regra o router implementa essa regra e termina o processamento da lista para esse pacote.

94 Tipos de Acess List Standard IP access lists –Podem ser assignados numeros de 1 a 99 –Filtram os pacotes baseadas no seu endereço fonte Extended IP access lists –Podem ser assignados numeros de 100 a 199 –Filtram os pacotes baseadas no seus endereços fonte e destino, protocolo, opções de protocolo, nivel de precedencia e tipo de serviço

95 Ex. Standard IP access lists Access-list 1 permit Access-list 1 permit Todas as listas de acesso terminam por um deny any implicito. As mascaras e são designadas porwildcard mask e indicam ao router quais os bits do endereço que devem ser mantidos e quais os que podem ser alterados. Os bits na posição dos 0s devem ser mantidos e os que estão na posição dos 1s podem ser alterados.

96 Extended IP access lists Podem usar os seguintes parametros: –Endereço origem –Endereço destino –Protocolo (ICMP,TCP,UDP,EIGRP,OSPF,...) –Opções de protocolo (Telnet, FTP, HTTP, SMTP, Echo, SNMP,...) –Nivel de precedencia –Tipo de serviço (TOS)

97 Ex. Extended IP access lists Access-list 102 deny tcp eq telnet Access-list 102 permit ip any any Esta lista nega o acesso de todos os pacotes telnet entre as redes especificadas permitindo tudo o restante

98 Wildcard masks = = A mascara indica que os endereços possiveis são: xxxxx Os endereços podem por isso variar entre : e

99 Aplicação de uma Lista de acesso Toda a access list tem de ser aplicada a uma interface de forma a indicar ao router qual a utilização que lhe deve ser dada. Por ex. Para aplicar a acces-list 1 á interface e0 para filtrar o trafego de entrada no router dever ser usado o comando: –Ip access-group 1 in


Carregar ppt "Redes de Computadores II Aulas teóricas. Objectivos Formação sólida nas áreas de internetworking (conceitos arquitecturas e protocolos e de aplicações."

Apresentações semelhantes


Anúncios Google