1 / 35

Hálózat menedzsment

Hálózat menedzsment. Óravázlat Készítette: Toldi Miklós. IPv6. Az Internet legfőbb újdonsága az IPv6, teljes nevén Internet Protokoll 6 változat. Ez a verzió le fogja váltani a jelenlegi használt v4 –es változatot. A v6 -os szabvány fejlesztése 1990 körül

wayne
Télécharger la présentation

Hálózat menedzsment

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hálózat menedzsment Óravázlat Készítette: Toldi Miklós

  2. IPv6 Az Internet legfőbb újdonsága az IPv6, teljes nevén Internet Protokoll 6 változat. Ez a verzió le fogja váltani a jelenlegi használt v4 –es változatot. A v6 -os szabvány fejlesztése 1990 körül kezdődött, 1992 decemberében jelentek meg az első szabványok, és 1994 –ben lett elfogadva a hivatalosan az IPv6.

  3. IPv4 protokoll hibái • Kevés a publikusan használható IP cím • A NAT használata rengeteg hátrányt rejt • Nincs beépített automatikus konfiguráció a protokollban • A routolás adott esetben nehezen konfigurálható • QoS (Quality of Service, sávszélesség szabályozás) nem minden hálózati eszközzel oldható meg. • A mobil kliensek támogatása igencsak nehézkes.

  4. IPv6 legfontosabb jellemzői • Nagyobb címtartomány, kisebb fejléc a csomagokban • Közvetlen végponti címezhetőség • Automatikus konfiguráció • Hálózati mobilitás – egy csatolóhoz egy időben több címet rendelhetünk • Titkosítás, azonosítás IPSec –el • Többszörös címezhetőség, szabványos multicast • A magasabb szintű protokollok többnyire nagyobb módosítás nélkül használhatóak.

  5. IPv6 –os címzés – I. Egy IPv6-os cím 8 db 4 hexadecimális számjegyből álló csoportból áll, kettőspontokkal elválasztva. Pl. 2001:0db8:85a3:08d3:1319:8a2e:0370:7334

  6. IPv6 –os címzés – II. Az IPv6 128 bites címet használ, míg az IPv4 32 bites címmel dolgozik. Ez azt jelenti, hogy a 296 -szor több IPv6 –os cím lesz használható, mint v4 –es. (Tízes számrendszerben kifejezve ez a szorzó kb. 7,92x 1028).

  7. IPv6 –os címzés – III. Az IPv6 címek rövidíthetőek, kettő módon. A számjegyek csoportjában a kezdő nulla elhagyható. Pl. 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 2001:db8:85a3:8d3:1319:8a2e:370:7334

  8. IPv6 –os címzés – IV. Ezenfelül az egymás után következő nullák címenként egyszer összevonhatóak. Pl. 2001:0db8:0000:0000:0000:0000:1428:57ab 2001:0db8::1428:57ab

  9. IPv6 –os címzés – V. Viszont ilyen cím rövidítés nem lehetséges. 2001:0db8:0000:0000:1428:0000:0000:57ab 2001:0db8::1428::57ab <- Ez rossz !!! Helyesen: 2001:0db8::1428:0000:0000:57ab vagy 2001:0db8:0000:0000:1428::57ab

  10. IPv6 –os címzés – VI. Az alhálózati maszk nem szűnt meg, a v6 – osnál prefix –nek nevezik, és a cím után tüntetik fel. A megadott szám jelzi, hogy az a cím mekkora része azonosítja a hálózatot, mekkora pedig a konkrét host –ot. Pl. fe80:0000:1234:adf:2::/64

  11. IPv6 –os unicast címek fajtái • egyedi globális cím (unique global address) • link lokális cím (link local address) • site egyedi cím (site local address) • lokálisan egyedi cím (unique local address) • speciális címek • transitions (áttérési) címek Az internet IPv6 –al történő eléréséhez minimum szükség van egy link lokális címre, ill. egyedi globális címre is.

  12. Egyedi globális cím (unique global address) Ez egy olyan cím, amely teljesen – az összes IPv6 –os címre értelmezve – egyedi cím. Felépítése: - fix rész (3 bit): alapértelmezetten 001 - Global Routing Prefix (45 bit): ez adja a cím egyediségét, itt helyezkednek el majd az ISP –k. - Subnet ID (16 bit): alhálózat azonosítója. 65534 lehet belőle. - Interface ID (64 bit): a node azonosítója, a MAC address –ből kerül előállításra.

  13. Link lokális cím (link local address) Vagy más néven subnet local address, egy node –nak egy alhálózaton belül érvényes címe. Felépítése: - fix rész (10 bit): alapértelmezetten 11111111010 - üres rész: (54 bit): legtöbbször 0 –al kitöltött rész. - Interface ID (64 bit) Egy ilyen cím felírható FE80:0000:0000:0000 + Interface ID formában is.

  14. Site egyedi cím (site local address) Egy nagyobb hálózatnál szükség lehet, több lokális alhálózati szegmens létrehozására, ezzel a címmel erre van mód. Felépítése: - fix rész (10 bit): alapértelmezetten 11111111011 - Subnet ID: (54 bit) - Interface ID (64 bit)

  15. Lokálisan egyedi cím (unique local address) A site local address –ek léte miatt a link local address –ek nem biztos, hogy egyediek. Hogy legyen egy biztosan egyedi, lokális cím is, ahhoz hozták létre ezt a címtípust. Felépítése: - fix rész (7 bit): alapértelmezetten 1111110 - local rész (1 bit): ez mindig 1 –es érték - Global ID (40 bit) - Subnet ID: (16 bit) - Interface ID (64 bit)

  16. Speciális címek Az egyes, speciális esetekben használt címek kerülnek ide. localhost: ::1/128 nem meghatárzott cím: ::

  17. Transitions (áttérési) címek Mivel az IPv4 -> IPv6 váltás biztosan nem lesz egyszerű, a v6 –os szabványba beleépítették a lehetőséget, hogy minél inkább együtt lehessen használni az új rendszert a régivel. Az alábbi címek tartoznak ide: • IPv4-compatible address • IPv4-mapped address • 6to4 address • ISATAP address • Teredo address

  18. IPv6 –os címzési módok A már létező unicast, broadcast, multicast mellé megjelent az anycast címzési mód is. Az anycast címzési mód, hasonlóan a multicast –hoz, egy gépcsoportnak szól. De a csoporthoz küldött csomagot bármelyik gép fogadhatja, viszont csak az a gép fogja ténylegesen fogadni, amelyik elsőként fogadta.

  19. Fragmentálás Az IPv6 esetében, csak a feladó oszthatja részekre, a feladó és cél közti aktív eszközök ilyet nem tehetnek. Hogy ez működhessen a PMTU használatára van szükség.

  20. Összegzés

  21. A tűzfal (firewall) – I. A tűzfal egy olyan eszközt, amely a védendő, magasabb prioritású hálózatot vagy hálózati szegmenst elválasztja az alacsonyabb szintű hálózattól.

  22. A tűzfal (firewall) – II. Másik definíció. A tűzfal egy olyan számítógépen futó program, amely elemzi a rajta áthaladó forgalmat, és megadott szabályok alapján engedélyezi vagy tiltja azt.

  23. A tűzfal fajtái • (Nem állapottartó) Csomagszűrő tűzfal • Állapottartó csomagszűrő tűzfal • Alkalmazás szintű tűzfal • Proxy

  24. Csomagszűrő tűzfal (packet filter) A csomagszűrő tűzfal a TCP, IP, ICMP csomagokat osztályozza és szűri a beállított szempontok alapján.

  25. Állapottartó csomagszűrő tűzfal Az állapottartó (statefull) csomagszűrő tűzfal szintén csomagszűrést végez, amit kiegészít azzal, hogy ellenőrzi, hogy a csomag ténylegesen létező kapcsolathoz tartozik.

  26. Alkalmazás szintű tűzfal Az alkalmazás szintű tűzfal egy alkalmazás egy adott protokollon keresztüli forgalmát figyeli, és a forgalom tartalma alapján végzi a szűrést.

  27. Proxy Proxy az egy olyan alkalmazás szintű tűzfal, amely a hozzá forduló kliensek helyett igényli meg a használni kívánt erőforrást, majd azt átadja a kliensnek. Anonim proxy: olyan proxy, amelynek legfőbb célja, hogy a hozzá kapcsolódó klienst minden módon azonosíthatatlanná tegye.

  28. Tűzfalak generációi • Csomagszűrő tűzfal • Alkalmazás szintű tűzfal, proxy • Állapottartó csomagszűrő tűzfal

  29. Néhány, tűzfalakkal összefüggő fogalom –I. NAT (Network Address Translation, hálózati címfordítás): ez egy olyan eljárás, amely segítségével egy belső privát hálózat gépeinek IP címeit teljesen elrejthetjük a külső hálózat nyilvánossága elöl.

  30. Néhány, tűzfalakkal összefüggő fogalom – II. DMZ (Demilitarized Zone, Demilitarizált Zóna): a személyes vagy vállalati hálózatok megbízhatatlan külső, és a megbízható belső része között elhelyezkedő terület. A benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízható belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra.

  31. Néhány, tűzfalakkal összefüggő fogalom – III. IDS (Intrusion Detection System, Behatolás érzékelő rendszer): mint a neve is mutatja, ez a rendszer érzékeli, hogy a védett rendszert támadás éri. IPS (Intrusion Profiling System, Behatolás megelőző rendszer): ez a rendszer érzékeli, majd megpróbálja kivédeni a védendő rendszer elleni támadást.

  32. Tűzfalak a gyakorlatban – I. Windows beépített tűzfala: Internet Connection Firewall (ICF) Microsoft Internet Security and Acceleration Server (ISA Server)

  33. Tűzfalak a gyakorlatban – II. Linux: ipchains, iptables FreeBSD, Mac OS X: ipfw *BSD: pf Proxy: Squid

  34. A csomagszűrés menete – I. A csomagszűrő tűzfal - Linux operációs rendszer esetén – mind a kernel, mind a felhasználói térben elhelyezkedik. A szükséges beállításokat a felhasználói térből indítva adhatjuk meg, míg a szűrés a kernel térben történik.

  35. A csomagszűrés menete – II. A kernel térben a szűréskor a kernel kiértékeli, hogy az adott csomagra milyen szűrési szabályok vonatkoznak. Ha egyetlen illeszkedő szabályt sem talál, akkor az alapértelmezett szűrési beállítás lesz alkalmazva.

More Related