2. diel - IP adresy Nové

V minulej lekcii, Úvod do počítačových sietí , sme si popísali kľúčové zariadenia prevádzky počítačových sietí a segmentáciu siete.

IP adresy tvoria základnú orientačnú mapu každej siete. Hovoria, kde zariadenie v rámci podsiete leží, aké veľké to územie je (prefix/maska) a kadiaľ vedie cesta von (predvolená brána). Keď nesedí adresa alebo brána, nepomôže firewall ani rýchly switch. Do hry vstupujú aj služby okolo - DHCP pridelí parametre, DNS prekladá mená na adresy a NAT/PAT umožní odchod z privátnej siete do internetu. V tomto tutoriále si všetky tieto prvky zasadíme do súvislostí a naučíme sa z konfigurácie vyčítať sieť, rozsah hostí, broadcast aj správnu bránu.

IPv4

IPv4 znamená Internet Protocol version 4, teda základný spôsob, ako v sieti jednoznačne označujeme zariadenie a posielame k nim dáta. Každé zariadenie dostane adresu s dĺžkou 32 bitov, ktorú zapisujeme v podobe štyroch čísel oddelených bodkou, napríklad 192.168.10.34. Týmto číslam sa hovorí oktety a každý môže nadobúdať hodnoty 0–255 (teda rozsahu 8 bitov). Pre nás je to čitateľný zápis, pre sieť je to iba sled bitov:

Delenie adresy a maska

Každá adresa má dve zložky - sieťovú časť, ktorá hovorí, do akej siete to patrí, a časť hostiteľa (hosta), ktorá určí konkrétne zariadenie vo vnútri danej siete. Toto rozdelenie je kľúčové, podľa neho spoznáme, kto je náš sused (komu môžeme poslať dáta priamo) a kedy už musíme ísť cez predvolenú bránu do inej siete. Napríklad vieme, že niekoľko počítačov v rovnakej kancelárskej sieti spolu môže komunikovať priamo cez switch, zatiaľ čo prístup k serveru v inej sieti už musí zamieriť na východiskovú bránu (router), ktorá správu pošle správnym smerom ďalej. Kde presne medzi týmito časťami vedie rez, určuje dnes hlavne sieťová maska.

Historicky sa veľkosť siete určovala podľa tried A, B a C, ktoré pevne stanovovali, koľko bitov pripadá na sieť a koľko na hostí (A = 8/24 pre veľmi veľké siete, B = 16/16 pre stredné a C = 24/8 pre malé). Triedna adresácia bola jednoduchá, ale nepružná – organizácie často dostávali príliš veľké alebo príliš malé bloky, čo viedlo k plytvaniu adresami ak zbytočnému rastu smerovacích tabuliek.

CIDR

Dnes používame beztriednu adresáciu, CIDR (Classless Inter-Domain Routing). Veľkosť siete popisujeme prefixom - číslom za lomítkom, ktoré hovorí, koľko bitov tvorí sieťovú časť. Vďaka tomu si môžeme zvoliť akúkoľvek veľkosť podľa potreby (napr. /27, /26, /22...), veľké bloky rozdelíme na menšie podsiete a naopak viac susedných blokov agregujeme do jedného väčšieho prefixu kvôli prehľadnejšiemu smerovaniu.

Číslo za lomítkom teda hovorí, koľko najdôležitejších bitov masky sú jednotky. Tieto jednotky sa zapíšu zľava, po ôsmich bitoch sa urobí bodka a každý osembitový blok sa prevedie na číslo v desiatkovej sústave 0-255.

Napríklad maska /24 dáva 11111111.11111111.11111111.00000000, čo pri prevode na desiatkovú sústavu dáva 255.255.255.0. Opačne je možné na lomítkovú verziu previesť taktiež. Stačí prerobiť každý oktet na bity a sčítať jednotky, treba 255.255.240.0 je 11111111.11111111.11110000.00000000, teda /20.

Rezervovanej IPv4 adresy

V IPv4 adresovaní existuje niekoľko špeciálne vyhradených adries, s ktorými sa v bežnej sieťovej praxi často stretávame:

• Adresa siete - V každej podsieti je prvá adresa vyhradená na označenie samotnej siete (sieťová adresa). Napríklad pri /24 to je xyz0, ale záleží na prefixe. Napríklad pri /26 sú sieťové adresy xyz0, xyz64, xyz128 aj xyz192. Táto adresa sa nepriraďuje hosťom.
• Broadcast - Naopak najvyššia adresa v podsieti je broadcast. Obsahuje informácie pre všetkých v danej VLAN/broadcast doméne. Pri /24 je to xyz255, ale pri iných prefixoch má opäť iný tvar. Broadcast sa tiež nepriraďuje hosťom. Smerovaný broadcast do konkrétnej siete (directed broadcast) mávajú routery z bezpečnostných dôvodov vypnutý.
• Nepriradená adresa - Samotná IP 0.0.0.0 znamená zatiaľ nemám adresu. Zápis 0.0.0.0/0 je v routovacej tabuľke východisková trasa ("všetko ostatné pošli sem") - typicky smeruje na východiskovú bránu.
• Broadcast do celej miestnej siete - Špeciálny broadcast do vlastnej lokálnej siete (255.255.255.255). Neprechádza cez router, používa sa pre niektoré bootovacie a autokonfiguračné mechanizmy. V bežnej praxi sa s ním stretneme menej často ako s broadcastom podsiete.
• Lokálna testovacia adresa - Rozsah vyhradený pre lokálnu slučku. Paket nikdy neopustí zariadenie, komunikujeme teda sami so sebou a hodí sa napríklad na testovanie služieb. Všetky 127.xyz sú loopback, nielen 127.0.0.1, ten je však v praxi využívaný najviac.

Predvolená brána

Predvolená brána je IP adresa routera, ktorý leží v rovnakej podsieti ako náš počítač. Pokiaľ je cieľová adresa v našej podsieti, odošleme dáta priamo na jej MAC adresu. Ak cieľ leží mimo nej, odovzdáme rámec bráne. Tá zvolí ďalší skok (next hop) a odošle paket ďalej – do inej podsiete, cez WAN alebo do internetu.

Stanica rozhoduje jednoduchým porovnaním: vezme vlastnú IP a prefix, určí rozsah svojej podsiete a porovná ho s cieľom. Keď cieľ spadá do rovnakého rozsahu, pošle zariadenie ARP dotaz (Address Resolution Protocol – prevod IP na MAC) a komunikuje priamo. Ak cieľ mimo rozsahu nepatrí, použije východiskovú trasu (0.0.0.0/0) z lokálnej smerovacej tabuľky a odošle rámec na IP predvolené brány; jej MAC adresu si opäť zistí cez ARP.

Napríklad počítač 192.168.10.34/24 s bránou 192.168.10.1 doručí prevádzku na 192.168.10.50 priamo, ale komunikácia s 172.217.22.14 zamieri na bránu, ktorá ju ďalej presmeruje (a prípadne vykoná NAT).

Adresa brány sa obvykle získava z DHCP alebo sa nastavuje staticky. V praxi sa často používa prvá adresa v sieti (.1), niekedy posledná (.254). Nejde o pravidlo - dôležité je, aby brána bola v rovnakej podsieti ako klienti a nebola súčasťou DHCP poolu, aby ju server nemohol omylom prideliť inému zariadeniu.

Verejné a privátne IP adresy

Verejných IPv4 adries je málo, preto sa vo vnútri sietí používajú privátne priestory (siete 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16). Tieto adresy sa v globálnom internete nerútujú.

Vnútri firmy tak môžeme pokojne navrhnúť desiatky VLAN a podsietí bez toho, aby sme čokoľvek hlásili poskytovateľovi. Navonok je vidieť len naša hrana (perimeter) s jednou alebo niekoľkými verejnými IP. Interná štruktúra zostáva skrytá a adresný plán si držíme plne pod kontrolou.

V LAN beží privátne adresy (napr. 192.168.10.0/24), perimetrové zariadenie (router/firewall) má smerom do LAN privátnu IP a smerom do internetu verejnú IP (napr. 203.0.113.5). Všetka prevádzka von aj dovnútra publikovaných služieb prechádza cez tento bod, kde sa vykonáva preklady adries.

NAT

NAT (Network Address Translation) je všeobecný názov pre preklad IP adries na hrane siete. Vnútorné (privátne) adresy nie sú v internete smerovateľné, preto sa pri odchode von zmení na adresu verejnú.

PAT (Port Address Translation) je konkrétny typ NATu. Umožní, aby mnoho vnútorných klientov zdieľalo jednu verejnú IP. Odlíšenie spojenia sa robí pomocou portov - každému odchádzajúcemu spojeniu sa pridelí unikátny zdrojový port a uloží sa do stavovej tabuľky. Internet tak vidí všetko prichádzať z jednej verejnej adresy, ale s rôznymi portami.

Napríklad spojenie z 192.168.10.34:54321 sa von prepíše na 203.0.113.5:40001. Odpoveď, ktorá dorazí na 203.0.113.5:40001, sa podľa záznamu v tabuľke preloží späť na 192.168.10.34:54321.

DHCP

DHCP (Dynamic Host Configuration Protocol) zaisťuje automatické prideľovanie sieťových parametrov klientom. Umožní tak, aby zariadenie pri pripojení k sieti získalo adresu, masku, bránu a DNS bez ručnej konfigurácie.

Typický priebeh komunikácie prebieha v niekoľkých krokoch, známych ako DORA:

• Discover - Klient pošle broadcast dotaz, či je v sieti DHCP server.
• O ffer - Server ponúkne voľnú adresu z konfigurovaného poolu.
• R equest - Klient požiada o pridelenie konkrétnej ponuky.
• A cknowledge - Server potvrdzuje pridelenie a pošle kompletnú konfiguráciu (IP, masku, gateway, DNS, lease time).

Adresa je pridelená na určitú dobu (Lease). Po vypršaní lease si ju klient môže obnoviť (Renew), alebo získa novú. DHCP tak znižuje chybovosť konfigurácie, zjednodušuje správu a umožňuje flexibilné prideľovanie adries podľa potreby.

IPv6

Internet Protocol version 6 je nástupca IPv4, ktorý rieši jej hlavný problém, teda nedostatok adries. Zatiaľ čo IPv4 ponúka približne 4 miliardy unikátnych kombinácií, IPv6 vďaka dĺžke 128 bitov poskytuje priestor zhruba 3,4 × 10^38 adries, čo je dostatočné pre prakticky neobmedzený počet zariadení.

IPv6 si tu uvádzame len stručne. Začíname u IPv4, pretože jej princípy adresovania, prefixov a smerovania sú intuitívnejšie a tvoria základ, na ktorý IPv6 priamo nadväzuje.

IPv6 adresy sa zapisujú v hexadecimálnom tvare, rozdelené do ôsmich blokov po 16 bitoch, oddelených dvojbodkou, napríklad: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

Nuly sa môžu zjednodušiť:

• Predné nuly v blokoch je možné vynechať - 2001:db8:85a3:0:0:8a2e:370:7334.
• Jedna sekvencia nulových blokov sa môže nahradiť :: - 2001:db8:85a3::8a2e:370:7334

Rovnako ako pri IPv4 má adresa sieťovú a hostiteľskú časť, ich rozdelenie určuje prefix (v bežnej praxi sa takmer vždy aj podľa konvencie používa prefix /64, teda prvých 64 bitov určuje sieť a zvyšných 64 bitov identifikuje zariadenie v nej). Maska sa tu väčšinou nezapisuje v podobe štyroch čísel, používa sa iba prefix za lomítkom.

V ďalšej lekcii, Cisco Packet Tracer , si nainštalujeme Cisco Packet Tracer, softvér na simuláciu sieťového nastavenia, a predstavíme si jeho základné rozhranie.