2. diel - IP adresy

V minulej lekcii, Úvod do počítačových sietí , sme si popísali kľúčové zariadenia prevádzky počítačových sietí a segmentáciu siete.

IP adresy tvoria základnú orientačnú mapu každej siete. Hovoria, kde zariadenie v rámci podsiete leží, aké veľké je toto územie (prefix/maska) a kadiaľ vedie cesta von (predvolená brána). Keď nesedí adresa alebo brána, nepomôže firewall ani rýchly switch. Do hry vstupujú aj okolité služby – DHCP pridelí parametre, DNS prekladá mená na adresy a NAT/PAT umožní odchod z privátnej siete do internetu. V tomto tutoriáli si všetky tieto prvky zasadíme do súvislostí a naučíme sa z konfigurácie určiť adresu siete, rozsah hostov, broadcast aj správnu bránu.

IPv4

IPv4 znamená Internet Protocol version 4, teda základný spôsob, ako v sieti jednoznačne označujeme zariadenia a posielame k nim dáta. Každé zariadenie dostane adresu s dĺžkou 32 bitov, ktorú zapisujeme v podobe štyroch čísel oddelených bodkou, napríklad 192.168.10.34. Týmto číslam sa hovorí oktety a každý môže nadobúdať hodnoty 0–255 (teda rozsah 8 bitov). Pre nás je to čitateľný zápis, pre sieť je to len sled bitov:

Delenie adresy a maska

Každá adresa má dve zložky – sieťovú časť, ktorá hovorí, do akej siete patrí, a časť hostiteľa (hosta), ktorá určí konkrétne zariadenie vo vnútri danej siete. Toto rozdelenie je kľúčové, podľa neho spoznáme, kto je náš sused (komu môžeme poslať dáta priamo) a kedy už musíme ísť cez predvolenú bránu do inej siete. Napríklad vieme, že niekoľko počítačov v tej istej kancelárskej sieti spolu môže komunikovať priamo cez switch, zatiaľ čo prístup k serveru v inej sieti už musí zamieriť na predvolenú bránu (router), ktorá správu pošle správnym smerom ďalej. Kde presne medzi týmito časťami vedie rez, určuje dnes hlavne sieťová maska.

Historicky sa veľkosť siete určovala podľa tried A, B a C, ktoré pevne stanovovali, koľko bitov pripadá na sieť a koľko na hostov (A = 8/24 pre veľmi veľké siete, B = 16/16 pre stredné a C = 24/8 pre malé). Triedna adresácia bola jednoduchá, ale nepružná – organizácie často dostávali príliš veľké alebo príliš malé bloky, čo viedlo k plytvaniu adresami a k zbytočnému rastu smerovacích tabuliek.

CIDR

Dnes používame beztriednu adresáciu, CIDR (Classless Inter-Domain Routing). Veľkosť siete opisujeme prefixom – číslom za lomkou, ktoré hovorí, koľko bitov tvorí sieťovú časť. Vďaka tomu si môžeme zvoliť akúkoľvek veľkosť podľa potreby (napr. /27, /26, /22...), veľké bloky rozdeliť na menšie podsiete a naopak viac susedných blokov agregovať do jedného väčšieho prefixu kvôli prehľadnejšiemu smerovaniu.

Číslo za lomkou teda hovorí, koľko najdôležitejších bitov masky sú jednotky. Tieto jednotky sa zapíšu zľava, po ôsmich bitoch sa urobí bodka a každý osembitový blok sa prevedie na číslo v desiatkovej sústave 0–255.

Napríklad maska /24 dáva 11111111.11111111.11111111.00000000, čo pri prevode na desiatkovú sústavu dáva 255.255.255.0. Opačne možno na lomkovú verziu previesť takisto. Stačí prerobiť každý oktet na bity a sčítať jednotky, napríklad 255.255.240.0 je 11111111.11111111.11110000.00000000, teda /20.

Rezervované IPv4 adresy

V IPv4 adresovaní existuje niekoľko špeciálne vyhradených adries, s ktorými sa v bežnej sieťovej praxi často stretneme:

• Adresa siete – V každej podsieti je prvá adresa vyhradená na označenie samotnej siete (sieťová adresa). Napríklad pri /24 je to x.y.z.0, ale záleží na prefixe. Napríklad pri /26 sú sieťové adresy x.y.z.0, x.y.z.64, x.y.z.128 aj x.y.z.192. Táto adresa sa nepriraďuje hostom.
• Broadcast – Naopak najvyššia adresa v podsieti je broadcast. Obsahuje informácie pre všetkých v danej VLAN/broadcast doméne. Pri /24 je to x.y.z.255, ale pri iných prefixoch má opäť iný tvar. Broadcast sa tiež nepriraďuje hostom. Smerovaný broadcast do konkrétnej siete (directed broadcast) mávajú routery z bezpečnostných dôvodov vypnutý.
• Nepriradená adresa – Samotná IP 0.0.0.0 znamená "zatiaľ nemám adresu". Zápis 0.0.0.0/0 je v smerovacej tabuľke predvolená trasa ("všetko ostatné pošli sem") – typicky smeruje na predvolenú bránu.
• Broadcast do celej miestnej siete – Špeciálny broadcast do vlastnej lokálnej siete (255.255.255.255). Neprechádza cez router, používa sa pre niektoré bootovacie a autokonfiguračné mechanizmy. V bežnej praxi sa s ním stretneme menej často než s broadcastom podsiete.
• Lokálna testovacia adresa – Rozsah vyhradený pre lokálnu slučku. Paket nikdy neopustí zariadenie, komunikujeme teda sami so sebou a hodí sa napríklad na testovanie služieb. Všetky adresy 127.x.y.z sú loopback, nielen 127.0.0.1, tá sa však v praxi využíva najviac.

Predvolená brána

Predvolená brána je IP adresa routeru, ktorý leží v tej istej podsieti ako náš počítač. Ak je cieľová adresa v našej podsieti, odošleme dáta priamo na jej MAC adresu. Ak cieľ leží mimo nej, odovzdáme rámec bráne. Tá zvolí ďalší skok (next hop) a odošle paket ďalej – do inej podsiete, cez WAN alebo do internetu.

Stanica rozhoduje jednoduchým porovnaním: vezme vlastnú IP a prefix, určí rozsah svojej podsiete a porovná ho s cieľom. Keď cieľ spadá do rovnakého rozsahu, pošle zariadenie ARP dotaz (Address Resolution Protocol – prevod IP na MAC) a komunikuje priamo. Ak cieľ do rozsahu nespadá, použije predvolenú trasu (0.0.0.0/0) z lokálnej smerovacej tabuľky a odošle rámec na IP predvolenej brány; jej MAC adresu si opäť zistí cez ARP.

Napríklad počítač 192.168.10.34/24 s bránou 192.168.10.1 doručí prevádzku na 192.168.10.50 priamo, ale komunikácia s 172.217.22.14 zamieri na bránu, ktorá ju ďalej presmeruje (a prípadne vykoná NAT).

Adresa brány sa zvyčajne získava z DHCP alebo sa nastavuje staticky. V praxi sa často používa prvá adresa v sieti (.1), niekedy posledná (.254). Nie je to pravidlo – dôležité je, aby brána bola v tej istej podsieti ako klienti a nebola súčasťou DHCP poolu, aby ju server nemohol omylom prideliť inému zariadeniu.

Verejné a privátne IP adresy

Verejných IPv4 adries je málo, preto sa vo vnútri sietí používajú privátne priestory (siete 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16). Tieto adresy sa v globálnom internete neroutujú.

Vo vnútri firmy tak môžeme pokojne navrhnúť desiatky VLAN a podsietí bez toho, aby sme čokoľvek hlásili poskytovateľovi. Navonok je viditeľná len naša hrana (perimeter) s jednou či niekoľkými verejnými IP. Interná štruktúra zostáva skrytá a adresný plán máme plne pod kontrolou.

V LAN bežia privátne adresy (napr. 192.168.10.0/24), perimetrové zariadenie (router/firewall) má smerom do LAN privátnu IP a smerom do internetu verejnú IP (napr. 203.0.113.5). Všetka prevádzka von aj dovnútra publikovaných služieb prechádza cez tento bod, kde sa vykonávajú preklady adries.

NAT

NAT (Network Address Translation) je všeobecný názov pre preklad IP adries na hrane siete. Vnútorné (privátne) adresy nie sú v internete smerovateľné, preto sa pri odchode von zmenia na verejnú adresu.

PAT (Port Address Translation) je konkrétny typ NATu. Umožní, aby mnoho vnútorných klientov zdieľalo jednu verejnú IP. Odlišovanie spojení sa robí pomocou portov – každému odchádzajúcemu spojeniu sa pridelí unikátny zdrojový port a uloží sa do stavovej tabuľky. Internet tak vidí všetko prichádzať z jednej verejnej adresy, ale s rôznymi portmi.

Napríklad spojenie z 192.168.10.34:54321 sa smerom von prepíše na 203.0.113.5:40001. Odpoveď, ktorá dorazí na 203.0.113.5:40001, sa podľa záznamu v tabuľke preloží späť na 192.168.10.34:54321.

DHCP

DHCP (Dynamic Host Configuration Protocol) zabezpečuje automatické prideľovanie sieťových parametrov klientom. Umožní tak, aby zariadenie pri pripojení k sieti získalo adresu, masku, bránu a DNS bez ručnej konfigurácie.

Typický priebeh komunikácie prebieha v niekoľkých krokoch známych ako DORA:

• Discover – Klient pošle broadcast dotaz, či je v sieti DHCP server.
• Offer – Server ponúkne voľnú adresu z nakonfigurovaného poolu.
• Request – Klient požiada o pridelenie konkrétnej ponuky.
• Acknowledge – Server potvrdí pridelenie a pošle kompletnú konfiguráciu (IP, masku, bránu, DNS, lease time).

Adresa je pridelená na určitý čas (Lease). Po vypršaní lease si ju klient môže obnoviť (Renew), alebo získa novú. DHCP tak znižuje chybovosť konfigurácie, zjednodušuje správu a umožňuje flexibilné prideľovanie adries podľa potreby.

IPv6

Internet Protocol version 6 je nástupca IPv4, ktorý rieši jej hlavný problém, teda nedostatok adries. Zatiaľ čo IPv4 ponúka približne 4 miliardy unikátnych kombinácií, IPv6 vďaka dĺžke 128 bitov poskytuje priestor približne 3,4 × 10^38 adries, čo je dostatočné pre prakticky neobmedzený počet zariadení.

IPv6 si tu uvádzame len stručne. Začíname pri IPv4, pretože jej princípy adresovania, prefixov a smerovania sú intuitívnejšie a tvoria základ, na ktorý IPv6 priamo nadväzuje.

IPv6 adresy sa zapisujú v hexadecimálnom tvare, rozdelené do ôsmich blokov po 16 bitoch, oddelených dvojbodkou, napríklad: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

Nuly sa môžu zjednodušiť:

• Úvodné nuly v blokoch možno vynechať – 2001:db8:85a3:0:0:8a2e:370:7334.
• Jedna sekvencia nulových blokov sa môže nahradiť :: – 2001:db8:85a3::8a2e:370:7334

Rovnako ako pri IPv4 má adresa sieťovú a hostiteľskú časť, ich rozdelenie určuje prefix (v bežnej praxi sa takmer vždy aj podľa konvencie používa prefix /64, teda prvých 64 bitov určuje sieť a zvyšných 64 bitov identifikuje zariadenie v nej). Maska sa tu väčšinou nezapisuje v podobe štyroch čísel, používa sa iba prefix za lomkou.

V ďalšej lekcii, Cisco Packet Tracer, si nainštalujeme Cisco Packet Tracer, softvér na simuláciu sieťového nastavenia, a predstavíme si jeho základné rozhranie.