Arvutivõrgud eksamiks (1)

Eksamiteemad aines ARVUTIVÕRGUD ISP0040 /ISP0041 kevad 2011
1. Üldine kommunikatsiooni mudel
allikas – saatja - keskkond- vastuvõtja – sihtkoht ..ehk.. arvuti – modem – kaabel –modem – arvuti
2. Kommunikatsioonisüsteemi ülesanded
-signaalide genereerimine
- kasutajaliidesed (HTTP , Telnet ,FTP )
-sünkroniseerimine
- vigade avastamine ja parandamine (kontrollsummad)
-voo juhtimine ( liikuv aken ,tagasiside ACK, NAK)
-adresseerimine (IP , MAC)
-marsruutimine (virtuaalkanalid , distantsvektor , link state)
- pakettide formeerimine
-turvalisus (võtmed , algoritmid , krüptograafia)
-võrgu haldus ( SNMP )
3. Mitmekihiline arhitektuur postisüsteemi näite baasil +
Rakenduskiht -> Transpordikiht -> Võrgukiht -> Transpordikiht -> Rakenduskiht.
Võimaldab lahutada arvutivõrgu ja riistvara konkreetsest rakendusest. Kõik komponendid on iseseisvad, neid saab sõltumatult asendada . Üks komponent (kiht) ei pea teadma, kuidas teine täpselt töötab. Olulised on ühe kihi poolt teisele pakutavad teenused. Alumine kiht pakub teenust ülemisele kihile (nt. transpordikiht rakenduskihile). Kõige madalam kiht on võrgukiht.
Andmevahetus kahe osapoole vahel:
Allikas - andmete genereerimine
Saatja – teisendab andmed transportimiseks sobivale kujule
Edastussüsteem – transpordib signaali ühest kohast teise
Vastuvõtja – võtab signaali ja teisendab arusaadavale kujule (ADM – analoog -digitaal muundur )
Adressaat – kasutab saadud andmeid
Saatja ja vastuvõtja peavad suhtlema samas keeles.
Protokoll – reeglistik, mida järgides on kaks osapoolt võimelised suhtlema. Koosneb süntaksist, semantikast ja ajastusest (kiiruste omavaheline kokkusobivus, time-outid jne.)
Saatja ja vastuvõtja samad kihid suhtlevad omavahel tinglikult (s.t. kasutades alumise kihi poolt temale osutatavaid teenuseid) ja eelnevalt kokku lepitud protokolli. Teenuseid osutatakse läbi liideste , s.t. läbi kindlaksmääratud funktsioonide.
Iga kiht lisab saadud andmetele juurde kindla päise ja edastab tulemuse temast madalamal olevale kihile. Vastuvõtmisel võtab iga kiht temale määratud päise maha.
PDU – protocol data unit . Protokolli andmeüksus. Andmete hulk, mida üks kiht saadab teisele. Transpordikihi PDU sisaldab sihtaadressi, järjekorranumbrit ja veaparanduskoode. Transpordikiht annab oma PDU üle võrgukihile. Võrgukihis lisatakse arvuti aadress prioriteet. Toimub tegelik edastus .
SAP – service access point – rakenduskihi päis.
DSAP – destination service access point – transportkihi päis. Sisaldab siht-, rakenduse - ja pääsuaadressi.
DHOST – võrgukihi päis. Sisaldab sihtarvuti aadressi.
4. Kihid, teenused, protokollid ja andmete liikumine läbi kihtide
5. OSI mudel +
7 kihti:
Rakenduskiht ( application l.) – Võrguteenuste lõppkasutajale mugaval kujul esitlemine .
Esitluskiht (presentation l.) – Võrgust saabuvate andmete teisendamine üldkujult konkreetse rakenduse jaoks sobivale kujule ja vastupidi. Samuti tegeletakse siin failide pääsuõiguste ja lukustamise (s.t. kui kasutaja töötab konkreetse failiga) kontrollimisega.
Seansikiht (session l.) – Loob ühenduse tööjaamas töötava rakenduse ja võrgu vahel. Siin tehakse vahet juhtkäskudel ja andmetel. Toimub ühenduse loomine ja sulgemine , samuti autentimine. Määratakse, millisel kujul toimub info saatmine (krüpteerimine ?).
Transpordikiht (transport l.) – Realiseeritud lõppjaamades. Tegeleb lõppjaamade vahelise andmesidega. Siin toimub usaldusväärse andmeedastuse garanteerimine. Siin muudetakse rakenduselt saadud andmed segmentideks. Võrgu ülekandeks sobivateks segmentideks ja määratakse ning kontrollitakse nende järjekorda. Samuti määratakse ära, kas edastamisel kasutatakse TCP või UDP protokolli. Selles kihis luuakse ühendus masinate vahel. Siit allapoole võib ühendust lugeda punkt-punkt ühenduseks.
Võrgukiht ( network l.) – Tegutsetakse IP aadresside tasemel. Andmeühikuks on datagramm. Kasutab võrguliidesena IP protokolli. Tegeleb marsruutimise ja erinevate võrkude vahelise andmeedastuse ning voo juhtimisega. Samuti tükeldatakse ja defragmenditakse ka suuremaid datagramme. Igal seadmel on 32- bitine IP-aadress. IP-pakette adresseeritakse IP-aadressi kaudu, kuid tegelikus edastuses kasutatakse MAC-i. IP aadress seotakse MAC-iga ARP protokolli abil.
Kanalikiht (data link l.) – Jagab datagrammid pakettideks. Muudab saabunud paketid datagrammideks. Töötab bititasemel ja lisab algus-lõpu lipukesi ja veakontrolli. Veakontroll on bititasemel. Vigaste pakettide korral nõutakse nende uuestisaatmist. Juhib füüsilist ja loogilist ühendust paketi sihtpunktiga, kasutades võrguliidest. Igale võrguseadmele on eraldatud unikaalne 48-bitine ainult antud seadmega seotud MAC (media access control ) aadress. Kui kõik 48- bitti on 1-d, saavad paketi kätte kõik võrgus olevad seadmed . Siin toimub ka sissetuleva paketi MAC-aadressi kontroll (kas on pakett on mõeldud antud seadmele või mitte).
Füüsiline kiht ( physical l.) – Tegeleb bittide ülekandmisega. Juhib võrgu riistvara liideste tööd, s.h. kaabli tüüp (coax, twisted pair ). Võrgu töösagedus, pinged, topograafia . (nt. 10BaseT, 10Base5, ArcNet)
6. TCP/IP mudel +
Kirjeldatakse 3-5 tasemest koosneva mudelina, sõltuvalt implementatsioonist.
Rakenduskiht (application l.) – Sisaldab OSI rakendus -, esitlus- ja seansikihti. Rakendusena käsitletakse iga protsessi, mis toimub transpordikihist kõrgemal, sisaldades kõiki kasutajaga seotud toiminguid . Siin kontrollitakse andmete esitluskuju ja seansi juhtimist.
Rakendused kasutavad üle võrgu suhtlemiseks erinevaid protokolle, mis suhtlevad omavahel portide kui unikaalsete identifikaatorite kaudu. (POP, SMTP , FTP, HTTP).
Transpordikiht (transport l.) – Juhib programmide omavahelist suhtlemist võrgus, kasutades TCP või UDP protokolli.
Võrgukiht ( internet l.) – Võimaldab andmeedastust masinate vahel, mis asuvad erinevates alamvõrkudes. Antud kihi teenuseid kasutavad lisaks lõppjaamadele ka marsruuterid . Toimub adresseerimine erinevate võrkude vahel. Kasutatakse IP ja ICMP protokolle.
Võrgupöörduskiht (link l.) – Seob endas OSI kanalikihi ja osaliselt ka füüsilise kihi. Toimub füüsiline adresseerimine ja füüsiliste parameetrite määramine.
Füüsiline kiht (physical l.) – Sellel tasemel toimub füüsiline andmeedastus.
7. Ühendusele-orienteeritud ja ühenduseta andmeedastus
Ühenduseta edastuse korral iga andmepakett sisaldab päises sihtkoha ja allika aadressi ,mis võimaldab paketil liikuda võrgus sõltumatult.
Ühendusega edastuse korral luuakse kindel kanal .
8. Kanalikommutatsioon ja pakettkommutatsioon , paketi pikkus
Kanalikommutatsiooni puhu edastatakse kõik paketid sama teed pidi vastuvõtjani ning ka samas järjekorras.
Pakettkommutatsiooni puhul jõuavad paketid vastuvõtjani eri teid pidi ja ka järjekord ei ole enam paigas.
Ahelkommutatsiooni korral reserveeritakse kogu kanali ressurss ühenduse ajaks. Ühendus-orienteeritud. Vajalik on eelnev ühenduse loomine. Siin on tagatud kindel andmeedastuskiirus (oluline AV ja muu reaalajas edastatava info puhul). Suure kanali korral saab kasutada aja (erinevatel ajahetkedel kasutavad kanalit erinevad kliendid) või sageduse (erinevatel sagedustel saadetakse erinevat infot) järgi tihendamist.
Pakettkommutatsiooni puhul kasutatakse jagatud ressurssi. Iga pakett võib liikuda erinevat marsruuti pidi, mille tulemusena võib võrgusõlmedes esineda viivitusi. Efektiivsem, kui on lubatud teatav hilistumine, samuti paiskandmeedastuse korral. Pakettkommunikatsioon ei ole ühendus-orienteeritud, seda on võimalik muuta, kasutades kõrgemate kihtide protokolle (nt. TCP, mis muudab IP-võrgud ühendus-orienteerituks).
ATM seob kaks eelnevat , kasutades oma võrkudes nii kindlat andmeedastuskiirust kui ka jagatud ressurssi.
Sõnumiedastuse korral saadetakse edasi kõik ühe sõnumi paketid korraga. Võrgusõlmed peavad enne edastamist kõik sõnumi paketid kätte saama, seega võib viide olla suurem.
9. Multipleksimine sageduse, aja ja koodi järgi (+)
FDMA – kanal on jaotatud sageduse järgi TDMA – kanal on jaotatud ajapiludeks CDMA – üks kanal kannab kõikide seadmete andmeid aga igal kasutajal on unikaalne kood ,mille abil oma andmed kätte saab.
Ühes kanalis oleks mõistlik saata korraga mitmeid erinevaid pakette.
FDM ( frequency division multiplexing) – Erinevad võrguseadmed kasutavad suhtlemiseks sidekanali erinevaid sagedusi.
TDM (time division multiplexing) – Igal seadmel on õigus oma infot edastada mingil kindlal ajahetkel. Vajalik on täpne sünkroniseerimine.
TCP protokolli korral realiseeritakse multipleksimine erinevate portide kasutuselevõtuga.
10. Ajalised viited võrkudes +
Seotud andmete töötlemise ja järjekordadega; saatmisega liini ja liikumisega mööda seda.
Töötlemise viide: iga pakett võetakse vastu, päise järgi analüüsitakse, kuhu see edasi saata – selleks kulub aega.
Järjekordade viide: vaja oodata, kuni protsessor vabaneb paketi töötlemiseks, samuti on määrav võrgu koormus (kui kiiresti saab paketti edasi saata).
Edastusviide: aeg, mis kulub paketi liinile toimetamiseks.
Meediumi viide: aeg, mis kulub paketi liikumiseks mööda sidekanalit.
t = R/l t – aeg, mis kulub bittide saatmiseks liini, R – ribalaius , l – liini pikkus
i = l*a/R i – liikluse intensiivsus, a – keskmine pakettide saabumise aeg
Igas võrguseadmes on puhver (stack), kuhu salvestatakse kõik töötlemist ootavad paketid. Kui puhver on täis, hakatakse sissetulevaid pakette ignoreerima, s.t. i 11. Arvutivõrkude ja Interneti ajalugu
12. Mida erinevad rakendused nõuavad võrkudelt +
Kui kaks rakendust asuvad ühes arvutis, kasutatakse omavaheliseks suhtlemiseks operatsioonisüsteemi. Kui andmevahetus toimub üle võrgu, siis vajatakse rakenduskihi protokolle.
Rakendused nõuavad kahetasemelist adresseerimist: IP-aadressi ja pordi kaudu.
Rakenduse jaoks võrku iseloomustavad parameetrid:
Andmete kadu – sõltuvalt rakendusest võib andmete kadu olla suurem või väiksem, häirimata seejuures rakenduse tööd. Mõni rakendus on andmete kao suhtes tolerantsem kui teine. (nt. live video vs. FTP)
Ajalised viited – mõne rakenduse puhul pole viide nii määrav (n.t. e-mail). Reaalajarakendustes see nii ei ole (AV-ülekanne).
Edastuskiirus – /mõtle ise edasi!/
Vastavalt rakenduse vajadustele kasutatakse erinevaid protokolle. TCP on veakindel, paketid pannakse alati õigesse järjekorda (see võtab aega). UDP-s ei ole veakontrolli, samuti ei garanteerita pakettide kohalejõudmist ega nende õiget järjekorda. Oluline on ühenduse hoidmine, mitte see, kas andmed lähevad kaduma või mitte (nt. real audio).
13. HTTP +
Hyper Text Transfer Protocol
Veebiserveri ja brauseri omavahelise suhtlemise protokoll. Kasutab alusena TCP-d. Olekuta protokoll, s.t. veebiserver ei mäleta kliendi eelmisi päringuid.
HTTP 1.0 korral algatatakse iga päringu jaoks uus TCP-ühendus, HTTP 1.1 korral võib ühe ühenduse raames teostada mitu päringut. Ühenduse kestvus piiratakse ajalimiidiga.
Esineb kolme tüüpi päringuid:
GET – küsib infot;
POST – klient saadab veebiserverile infot
HEAD – päring, millele ei nõuta serveri-poolset vastust.
Kuna veebiserver ei mäleta eelmisi päringuid, peab näiteks alati autentimist nõudva lehe puhul iga päringu algusesse lisama „authorization:“-rea. Kui seda rida ei ole, siis nõutakse kasutajanime ja parooli uuestisisestamist.
HTTP olekuta olemust püütakse korvata küpsiste abil. Küpsistesse salvestatakse info, mida järgnevatel päringutel vaja võib minna. Küpsiseid eristab nende identifikaator, mis on serveri poolt genereeritud ja salvestatud. Klient peab iga päringu alguses selle identifikaatori serverile edastama .
Kiiruse suurendamiseks (andmemahtude vähendamiseks) kasutatakse nn. tingimuslikku GET-i. Sel juhul ei saadeta objekti brauserile, kui viimasel on juba olemas piisavalt värske koopia sellest.
Vahemälu kasutamine. Kõik külastatud leheküljed salvestatakse vahemällu ( cache ), et nende hilisemal vaatamisel oleksid leheküljed kättesaadavad kohalikust arvutist.
Proxy serveri kasutamisel tõmmatakse kõik leheküljed proxy serverist. Kui proxys lehekülge ei ole, tõmbab proxy server selle ise originaalasukohast, et hiljem saaksid kasutajad selle juba kohaliku võrgu proxyst.
Cache ja proxy vähendavad ajakulu ja võrgu koormust.
HTTP päringu vastuses sisaldub vastuse kood ja tekst (nt. 404 – Page not found ). Samuti on ära näidatud serveri tüüp, viimane muutmise kuupäev, paketi pikkus ja andmete tüüp.
14. FTP +
File Transfer Protocol, transpordikiht, port nr. 21
Kasutatakse failide transportimiseks.
Juhtkäskude ja andmete vahetamiseks kasutatakse tavaliselt erinevaid porte. FTP on olekut säilitav protokoll, kasutajainfo ja aktiivse kataloogi info säilitatakse. Seega ei ole vaja iga päringu algul edastada kasutajanime ja parooli, samuti pole vaja öelda oma asukohta kataloogipuus. Vastustena FTP päringutele saadetakse vastuse kood ja selle tähendus (n.t. 331 Username OK).
15. Elektronpost, SMTP, MIME ja POP3 ++--
Simple Mail Transfer Protocol, transporikiht, port nr. 25
Meilisaatmiseks on vajalikud kolm komponenti: meiliserver, meiliklient ja neid siduv SMTP protokoll. Meiliklienti kasutatakse kirjade saatmiseks ja lugemiseks (kopeerides need eelnevalt meiliserverist).
Meiliserveris hoitakse kõiki sissetulnud kirju, seal asuvad kasutajate postkastid ja saatmisel olevad kirjad (ühtne järjekord, sõltumata kasutajast).
Enne saatmist luuakse TCP-ühendus kahe meiliserveri vahel. Kasutatakse 7-bitist ASCII kodeeringut.
Saatmise kolm faasi: Ühenduse loomine, teadete saatmine, ühenduse lõpetamine.
Teate saatmisel ei ole kirja sees lubatud mõned märgikombinatsioonid CR/LF.CR/LF, mis tähendab kirja lõppu.
SMTP on push-protokoll, s.t. toimub andmete saatmine kliendi poolt serverisse (vs. HTTP, mis on ainult tõmbamiseks – pull -protokoll). HTTP puhul saadetakse kõik objektid eraldi vastustena. SMTP puhul on kõik objektid kapseldatud ühte vastusesse (MIME).
MIME (Multipart Internet Mail Extensions) – SMTP teadete kodeerimise viis, mis võimaldab edastada infot, mis ei ole 7-bitilises ASCII-s ( graafika , AV). MIME toetab ka teisi kooditabeleid (KOI8-R, Unicode jne.) On ka eelnevalt defineeritud MIME-tüübid (gif, html, postscript, jne.).
SMTP sõnumi formaat
Päis – sisaldab infot kirja saatja, saaja, teema ja kuupäeva jms. kohta. MIME-kirja korral on lisatud read kasutatud MIME versiooni kohta, samuti kirja sisu kodeeringu tüüp. Lisaks määratakse ära, millist MIME-i alamtüüpi on kirja sisu (html, gif).
Sisu – kodeeritud vastavalt päises määratud kodeeringu tüübile.
Kui kasutatakse mitmeosalist MIME-i, on alamtüübiks multipart/mixed. Lisaks võetakse kasutusele eraldaja (boundary), mille abil tehakse vahet kirja erinevate osade vahel. Iga osa võib olla seejuures kodeeritud erinevalt ja kasutada isesugust MIME-i alamtüüpi.
Kirjade lugemiseks kasutatakse POP3 protokolli. POP3 võimaldab vaid näidata postkastis olevate kirjade arvu, lugeda ja kustutada suvalist kirja.
IMAP – meililugemisprotokoll, mis on suuremate võimalustega kui POP3 (kirjade „prügikasti“ saatmine, lugemata ja loetud kirjade eristamine).
16. DNS +
Domain Name System
Kasutab UDP-d (Saadetakse üksikuid pakette, ei kulu aega ühenduse loomiseks – kiire). Tegeleb domeeninimede teisendamisega IP-aadressideks. Töötab hajusandmebaasi põhimõttel (kogu info ei ole kunagi ühes serveris). Iga nimeserver haldab Internetis teatud piirkonda (domeeni). Andmebaas on mitmes serveris dubleeritud.
Dubleerimise põhjused:
Vähendada koormatust
Vähendada tõenäousust, et nimelahendus ei tööta.
Vahemaadest tingitud viivituste vähendamine.
Lokaalne (puhverdav) nimeserver – puhverdab nimeinfot, et parandada päringute kiirust korduvate päringute puhul.
Juurserverid – sisaldavad infot kõigi tippdomeenide (com, edu, ee jne.) kohta.
Autoritatiivne (authoritative) nimeserver on see server, mille andmebaasis on info domeeninime ja sellele vastava IP-aadressi kohta. Teised nimeserverid ainult puhverdavad antud andmeid (non-authoritative). Autoritatiivsest serverist saab alati vastuse nimepäringule.
Rekursiivne päring – kui nimeserver ei oma infot antud domeeni kohta, küsib ta järgmise serveri käest edasi jne., kuni vastus on käes. (See koormab serverit, võtab aega). Vastus tuleb alati sama teed mööda tagasi.
Iteratiivne (mitterekursiivne) päring – kui nimeserver ei tea antud domeeni IP-aadressi, siis saadetakse kliendile selle nimeserveri IP, kust edasi küsida.
Päringu saabumisel kontrollitakse alati kohaliku nimeserveri puhvrit. Kui seal vastust ei ole, käivitub tavaline päringute protseduur.
17. Töökindel andmeedastus
ACK ,NAK , NAK free , go- back -n ,selective repeat , silding windows flow control.
Vastuvõtja saadab kinnituskviitungeid ,et on paketid kätte saanud või ei ole kätte saanud (ACK ,NAK)
NAK free puhul saadab vastuvõtja kinnituseks vastava segmendi numbri mida ta ootab saada järgmiseks. Ehk saadab viimati kätte saadud paketi numbriga kviitungi.
Süsteem peab olema võimeline töötama ka juhul, kui osa pakette läheb kaduma või andmete ülekandmisel tekivad bitivead. Mitteusaldatava kanali karakteristikud määravad usaldusväärse protokolli (rdt) keerukuse.
rdt mudel: Aste-astmelt luuakse saatja aja vastuvõtja vahel turvaline andmeedastussüsteem. Selle loomisel arvestatakse ainult ühesuunaliste ühendustega ja selle graafiliseks kujutamiseks kasutatakse lõplikke automaate (finite-state machines – FSM).
rdt 1.0 – Töökindel kanal, kus ei ole bitivigu ja pakett ei lähe kaduma. Saatja saadab paketi kanalisse ja vastuvõtja saab selle kätte.
rdt 2.0 – Kanal, kus esinevad bitivead. Võivad esineda muutused bittides. UDP protokolli puhul kasutatakse kontrollsummat, et kindlaks teha moondunud bitte . Vastuvõtja peab saatma saajale kinnituse , kui pakett on vigadeta kohale tulnud (ACK) või kui pakett on vigane ( NACK ). Kui ACK-i antud paketi kohta ei tulnud või tuli NACK, tuleb paketti korrata . Kui moondub kviitung , on oht, et osad paketid saadetakse teistkordselt. Selle vältimiseks kasut. pakettide nummerdamist. Kadudeta süsteemis piisab pakettide eristamiseks vaid nullist ja ühest.
Rdt 2.1 – vaata loengumaterjalidest
rdt 2.2 – Kasutatakse ainult ACK-kviitungeid. Iga kviitungiga pannakse kaasa paketi number, mille kohta antud kviitung käib. Kui ühte paketti kätte ei saadud, saadetakse välja teistkordne ACK juba varem kättesaadud paketi kohta. See on samaväärne rdt 2.0 NACK kviitungile. Saatja saab sel juhul teada, et üks pakett on moondunud ja seda tuleb korrata.
rdt 3.0 – Kanal, kus esinevad bitivead ja paketikadu. Kuna siin võivad kaduma minna nii andmed, kui paketi kviitungid, võetakse kasutusele taimer . Kui selle aja jooksul ei ole kinnitust tulnud, tuleb paketti korrata. Ka siin tuleb iga kviitungiga kaasa panna paketi järjekorranumber, mis välistab duplikaadid. rdt 3.0 raiskab ressurssi, kuna ooteajad on liiga pikad
18. Go-back-n +
Vigaste pakettide korrigeerimine.
Go back-n: Kui paketi saatmine ei õnnestunud, minnakse tagasi n-paketi võrra ja korratakse kõike, mis juba saadetud . Paketi päises on ette nähtud väli identifikaatori jaoks. Kui väli saab täis, alustatakse otsast peale.
Aken – mitu paketti võib saata enne esimese kinnituse saabumist. Aken võib olla muutuva suurusega, mis sõltub saatja, vastuvõtja ja võrgu parameetritest.
Voo juhtimine – Määrtakse kindlaks, kui palju saatja võib saata ja kui palju vastuvõtja suudab vastu võtta.
Kui kasutatakse kumulatiivset ACK-i, siis sellise kviitungi saamine mõne paketi kohta kviteerib automaatselt ära ka kõik varasemad saadetud paketid.
Vastuvõtja jälgib saabunud pakettide järjekorranumbreid. Kui saabunud paketi järjekorranumber näitab, et eelnev pakett pole kohale jõudnud, ei saada vastuvõtja ACK teadet ja saabunud paketti ignoreeritakse. Akent nihutatakse ainult siis, kui saabub ACK teade ühele aknas olevale saadetud paketile, tõendades ka, et eelnevad paketid on kohale jõudnud. Kui teatud aja jooksul ei toimu akna nihutamist, st. akna esimestele pakettidele pole kinnitust tulnud, saadetakse kõik paketid uuesti. Paketid peavad olema saabunud vastuvõtjasse õiges järjekorras, vastasel juhul toimub pakettide uuesti saatmine alates paketist, kus viga ilmnes tänu akna kellale.
19. Selective-repeat +
Selective Repeat: Korratakse ainult seda paketti, mida teine osapool kätte ei saanud. Puhverdamine keerulisem, kuna peab meeles pidama , millised paketid on käes ja millised ei ole. Saatja saadab uuesti ainult need paketid, millele ei saadud kättesaamise kinnitust. Iga paketi jaoks on eraldi kell.
Kui saabunud paketid on vales järjekorras, puhverdatakse need. Kui paketid on õiges järjekorras, nihutatakse akent edasi ja kviteeritakse need. Kui pakette ei kviteerita, ei saa saatja akent edasi nihutada. Akna pikkus on alati pool identifikaatorite arvust.
Akent nihutatakse alati siis, kui akna kõige esimene saadetud pakett on saanud ACK teate.
20. TCP ühenduse loomine ja sulgemine
TCP paketid võivad saabuda järjekorratult. Kasutatakse voojuhtimist. Ühenduse algatamine ja lõpetamine (handshaking). TCP nummerdab baite ,mitte pakette.
Ootab teatud aja paketi ACK ’i kuni edastab selle uuesti.
Esimesel korral saadetakse SYN pakette sünkroniseerimiseks ja ühenduse alustamise päringuks. Sisaldab ka vastavat segmendi numbrit millest andmevahetus pihta hakkab. Server vastab SYNACK paketiga ,ning vabastab vajaliku mälumahu ning kinnitab segmendi numbri. Saatja veelkord kinnitab SYNACK paketiga segmendi numbri ,ning selles paketis võib olla juba ka andmeid.
Sulgemise puhul saadetakse sulgemise pakett FIN , vastuseks saadab ACK ning omapoolt ka FIN paketi. Klient kinnitab selle ning ühendus lõppeb.
Ühenduse loomise protsess

• Klient saadab segmendi SYN (ident) ja valib esimese järjekorranumbri;
  
• Vastuvõtja saab SYN-i kätte, vastab SYNACK ja saadab oma järjekorranumbri ning eraldab vajaliku stacki;
  
• Klient saadab uue segmendi, mis kviteerib serveri vastuse ja eraldab oma mälus vajalikud puhvrid ;
  

Ühenduse sulgemise saavad algatada mõlemad pooled:

• Klient saadab TCP FIN segmendi serverile;
  
• Server vastab ACK, sulgeb ühenduse ja saadab FIN-i;
  
• Klient vastab ACK, ja läheb „ timed wait“ olekusse – vastab ACK kõikidele FIN-idele;
  
• Server saab vastuse kätte ja lõpetab ühenduse.
  

21. TCP töökindel andmeedastus
22. TCP taimerid
Kui valida timeout liiga lühike siis tekivad olukorrad kus peame kordussaatmist tegema liiga tihti ning koormame ilma – asjata võrku. Kui see on aga liiga pikk siis on andmevahetus aeglane. Et valida õige RTT peame saatma proovipakette ja määrata vastavalt kanalile õige RTT väärtus.
23. TCP voo juhtimine +
Vastuvõtja informeerib saatjat, palju tal puhvris vaba ruumi on. Saatja püüab hoida kviteerimata andmehulka väiksemana sellest vabast ruumist. Oluline on optimaalne timeout. Kui see on liiga lühike, koormatakse võrku, kui on liiga pikk, muutub viide suureks. Iga paketi saatmisel võetakse aega: saatmine+kinnitus. Tehakse statistikat – arvutatakse kaalutud keskmine. Usaldatavuse tagamiseks lisatakse sellele mingi konstant.
24. TCP koormuse juhtimine +
Erineb voo juhtimisest. Koormuse juhtimisega hajutatakse võrgu koormust, mitte konkreetsetes masinates olevat pakettide hulka.
Voo juhtimine – „garaažid täis“, koormuse juhtimine – „ristmikud täis“. Liiga palju allikaid saadavad rohkem andmeid, kui võrk välja kannatab.
Ooteajad hakkavad kasvama, puhvrid saavad täis, hakatakse andmeid ignoreerima. Võrk läheb umbe eksponentsiaalse kiirusega, sest time-outide tõttu hakatakse pakettide saatmisi kordama.
Kui ruuteri puhvrid on täis, siis kõik saabunud paketid lähevad kaduma. Seega tuleb saatmist korrata. Tegelikkuses kasutatakse efektiivselt 2/3 või veel vähem maksimaalsest võimsusest.
Reguleerimine
Punkt-punkt – transpordikiht ei saa teada, kui suur on tegelik koormus. Seda hinnatakse kaudselt pakettide kadumise ja viidete järgi. (TCP-s). Võrgukiht võib anda ka tagasisidet (nt. ruuterites. Kasutatakse nii ATM-s kui TCP-s).
ATM-s kasutatakse available bit rate ’i. See on kättesaadav edastuskiirus. Lisaks andmetele saadetakse ka halduspakette.
Pakettide saatmisel proovitakse koormust suurendada (nihutades akent suuremaks). Kui tekib ülekoormus, muudetakse aken jälle väikseks tagasi ja proovitakse uuesti. Ülekoormuse vältimiseks hakatakse pärast teist piirile jõudmist akent suurendama lineaarselt. (tekib saehamba graafik ).
25. UDP +
Transportkihi protokoll. UDP puhul võivad segmendid kaduma minna või kohale jõuda vales järjekorras. Connectionless – ühendust ei looda. „Best effort“ – püüab antud tingimustel anda oma parimat . UDP on lihtsaim ja kiireim. Lühem segmendi päis. (8-baidine) Võrgus ei toimu koormuse reguleerimist! Seega võib võrgu umbe ajada. Kasutatakse DNS-is ja SNMP-s. UDP tegeleb vigade avastamisega (UDP checksum), aga mitte vigade parandusega, seda peaks tegema rakenduskiht. UDP-d kasutatakse lühikeste andmete edastamiseks.
26. Datagrammvõrgud ja virtuaalahelatega võrgud
Mõlemad on pakettkommutatsiooni alaliigid .
VC puhul kasutatakse kanali identifikaatoreid.
Datagrammvõrkudes peab iga pakett päises kandma sihtkoha-aadressi.
27. Marsuutimine +
Optimaalse tee valimine. Peab olema korrektne, õiglane, lihtne, stabiilne (üritab jagada ressursse nii, et ei tekiks ummikuid), veakindel, optimaalne ja efektiivne.
Jõudluse kriteeriumid: lõikude arv( mitu võrgusõlme on teekonnas, number of hops), hind(maksuvus), viide(ajalisedviited), läbilaskevõime.
Marsruutimine koosneb kahest põhilisest komponendist : optimaalse marsruutimistee kindlaksmääramine ja andmepakettide transport ehk kommuteerimine (switching). Kui andmepakettide transport on küllaltki triviaalne toiming, siis optimaalse marsruutimistee leidmine võib olla vägagi keerukas. Marsruutimistee kindlaksmääramisel kasutatakse mitmesuguseid erinevaid mõõte (algoritmisliste arvutuste resultaate , näiteks tee pikkust) või mõõtude kombinatsioone. Marsruutimisalgoritmide tarkvara arvutab optimaalse tee leidmiseks marsruutimismõõte.
Tee määramiseks kasutavad marsruutimisalgoritmid marsruutimistabeleid, mis sisaldavad algoritmist sõltuvat marsruutimisinformatsiooni. Marsruutimisalgoritmid täidavad need tabelid mitmesuguse informatsiooniga. Näiteks tabel, kus igale võrgu numbrile on vastavusse seatud marsruuteri port, aitab marsruuterit otsustada, missugusesse porti missugune andmepakett suunata. Marsruutimistabelid võivad sisaldada ka muud informatsiooni, näiteks ühenduste või teede mõõte.
Selleks, et hoida marsruutimistabelites ajakohast informatsiooni, suhtlevad marsruuterid omavahel mitmesuguste sõnumite vahetamise teel. Üheks niisuguseks sõnumiks on marsruutimisvärskendus (routing update). Analüüsides kõikidelt marsruuteritelt saabuvaid marsruutimisvärskendusi, saab marsruuter kokku panna pildi võrgu topoloogiast. Teiseks niisuguseks näiteks on lüli oleku kuulutuse (link state advertisement) sõnum, mis täpsustab võrgu pilti ühenduste koormatuse ja kvaliteedi osas. Sellist informatsiooni kogudes ja süstematiseerides saab marsruuter leida optimaalseid teid võrgu sihtpunktidesse.
28. Link state marsruutimisalgoritm
Link State puhul teab iga marsruuter võrgust kõike ning suudab iseseisvalt panna paika parima tee igasse võimalikku sihtkohta (mitte lõpp sihtkohta vaid järgmise marsruuterini ).
Kui uus marsruuter ühendatakse võrku siis ta saadab vastava „hello“ sõnumi ,mille vastuseks on teiste poolt oma IP aadress. Ning kõik võrguseadmed jagavad omavahel oma teadmisi.
29. Distance vector marsruutimisalgoritm
Distantsvektori puhul ei tea iga marsruuter võrgust kõike vaid märgistab oma distantsid teiste marsruuteriteni.
Marsruuterite vahel liiguvad infosõnumid ,millega antakse edasi teavet ,et kelle kaudu saab mingisse sihtkohta kõige kiiremini. Vastavalt tekkivale tabelile teeb iga marsruuter otsuse.
30. Hierarhiline marsruutimine +
Distantsvektori ja Link State puhul salvestavad marsruuterit informatsiooni teiste marsruuterite kohta. Kuid kui kasvab võrgu suurus siis kasvab ka selle informatsiooni maht kuni lõpuks hakkab see liialt võrku ummistama ja marsruuteritele üle jõu käima.
Suurim hierarhiaüksus on autonoomsüsteem (AS, nimetatakse ka domeeniks, domain). AS-i saab jaotada piirkondadeks (area); mitme liidesega marsruuterid (nn. piirkonnapiiri marsruuterid) võivad osaleda mitmes piirkonnas; selline marsruuter hoiab iga piirkonna jaoks käigus eraldi topoloogiaandmete baasi, mis sisaldab kõigilt teistelt sama areaali marsruuteritelt saadud LSA-sid. Piirkonna topoloogia on väljapoole piirkonda nähtamatu. Piirkondade topoloogia lahushoidmise tõttu edastatakse vähem marsruutimisliiklust kui tükeldamata AS-i puhul.
RIP (vt. algoritmid) ei võimaldanud hierarhilist marsruutimist kuid OSPF juba võimaldas.
Tükelduse tõttu tekib kaks marsruutimistüüpi - piirkonnasisene ja piirkondadevaheline. Piirkondadevahelise marsruutimise informatsiooni jaotab OSPF-i magistraalvõrk ( backbone ), mis koosneb kõigi piirkondade piirimarsruuteritest, võrkudest, mis ei kuulu tervikuna ühtegi piirkonda, ja nende marsruuteritest. Magistraalvõrk ise moodustab ühe piirkonna. AS-i piiri marsruuterid saavad väliste marsruutide kohta andmeid välislüüsiprotokollide (EGP, BGP jt.) kaudu või konfiguratsiooniteabest.
OSPF võimaldab ka võrdhinnaga mitmeteelist marsruutimist ning ülakihi teenusetüübi (TOS) nõuetel põhinevat marsruutimist. Mõõte võib olla üks või mitu; ühe mõõdu korral TOS-marsruutimist ei toetata. Alamvõrgumaskid võivad olla muutuva pikkusega, nii et IP-võrgu saab tükeldada erisuurusteks alamvõrkudeks.
31. IP aadress ja MAC aadress, ARP -,+
IP aadress on 32 bitine identifitseerimise number ,mis koosneb neljast oktetist.
Address Resolution Protocol - protokoll, millega seatakse IP-aadressile vastavusse seadme MAC-aadress. RARP on ARPi (Reverse ARP) vastand . Seade, mis soovib saada mingi seadme füüsilist aadressi, esitab ARP päringu.
Internet koosneb suurest hulgast omavahel ühendatud võrkudest, mis kõik baseeruvad protokollil TCP/IP ja kasutavad ühist adresseerimisviisi. IP protokolli abil suudab võrk marsruutida sõnumid õigele sihtmasinale. ARP teisendab Etherneti aadressi interneti aadressiks. ARP abil selgitatakse ühenduse moodustamisel välja vastaspoole võrgutasemeaadress (näiteks Etherneti 48 bitine aadress).
Iga seade LAN võrgus omab ARP tabeli IP/MAC konverteerimiseks iga LAN seadme jaoks.
TTL (Time to live) - aeg, kui kaua aadressilahenduse päring säilib.
32. DHCP
Host edastab kõikide aadressil DHCP soovi ,kuna ta ei tea kellegi aadressi. DHCP server vastab DHCP pakkumisega. Host pärib IP aadressi DHCP saadab IP aadressi (DHCP ACK)
33. NAT
Kõik võrgust lahtuvad paketid on ühe aadressiga (NAT aadress) ,kuid sisaldavad erinevaid allika pordi numbreid . NAT kasutamine paljundab IP aadresse.
Välismaailma jaoks on see LAN võrk kui üks IP aadress.
NAT asendab väljaminevad IP aadressid ja pordi numbri (LAN IP’d) NAT IP ’ga ning uue pordi numbriga.
Jätab meelde kes millise pordi küljes on (tekitab tabeli).
Sissetulevad andmete korral vahetab NAT IP aadressi õige sihtkoha aadressi ja pordi numbri vastu ,mis reaalselt kohtvõrgus asub.
Kui NAT marsruuteri taga asub server siis tehakse nii ,et NAT marsruuter edastab kogu sissetuleva info alati serverile.
34. Marsruutimisprotokollid RIP, OSPF ja BGP +
RIP (Routing Information Protocol, "marsruutimisinfo protokoll") on laialt realiseeritud lauaarvutite võrgutoodetes.
Marsruutimistabel sisaldab järgmised andmed: sihtvõrk, järgmine vahejaam (nt. marsruuter), kaugus (teelõikude, s.t. vahejaamade arvu kujul), taimerid, lipud. RIP hoiab tabelis ainult parimat marsruuti. Võrgu topoloogia muutusi arvestatakse värskendussõnumite alusel.
Stabiilsuse tagamiseks topoloogia kiirete muutuste tingimustes rakendab RIP järgmisi vahendeid:
Teelõikude arvu piirang (hop count limit) - Suvaline 15-st lõigust kaugemal asuv sihtkoht märgistatakse kättesaamatuks. See piirab küll RIP kasutamist suurtes võrgustikes, kuid väldib nn. lõputu loendusega silmuste tekke. Probleemi selgitab järgmine topoloogiafragment: Võrk A - Marsruuter 1 - Marsruuter 2. Kui M1 ei saa A-ga otseühendust, pöördub ta M2 poole, teades, et M2 on A-st ühe vahejaama kaugusel; M2 suunab liikluse taas M1-le jne.
Muudatuste viivitamine ( hold -downs) - Mingi marsruudi väljalangemisel arvutavad naabermarsruuterid uue marsruudi ja saadavad välja värskendussõnumid; need ei jõua aga otsekohe kõigi võrguseadmeteni ning mõni veel informeerimata seade jõuab välja saata regulaarse (s.t. aegunud ) värskendussõnumi, rikkudes õige marsruutimisinformatsiooni. Seetõttu viivitavad marsruuterid värske teabe kasutuselevõtuga, kusjuures viivitusperiood on valitud nii, et kõik võrguseadmed jõuaksid saada muutusteate.
Tagasiteadistuse tõkestus ( split horizons) - aitab vältida kahesõlmelisi marsruutimissilmuseid. Tõkestuse olemus seisneb selles, et informatsiooni mingi marsruudi kohta ei saadeta tagasi selle saamiskoha suunas.
Ennistussõnumid ( poison reverse updates) - väldivad suurte marsruudisilmuste tekke. Marsruutimismõõdu kasv viitab üldiselt silmustele; sellisel juhul kõrvaldatakse marsruut ennistussõnumite abil ning rakendatakse muudatuste viivitamist.
IGRP ( Interior Gateway Routing Protocol) - välja töötatud Cisco Systems'i poolt. Ta on mäeldud kasutamiseks suvaliselt keeruka topoloogiaga ning segameediumiga autonoomsüsteemi sees. Autonoomsüsteem (AS) on ühise halduse ja ühise marsruutimisstrateegiaga võrgustik. Autonoomsüsteemi tähistab ühene 16-bitine number, mille annab võrgu võrguteabekeskus (NIC). IGRP hakkas rohkem levima seoses suuremate võrkude tekkega kuna RIP sobis vaid väikestele ning keskmistele võrgustikele seoses piirangutega teelõikude arvule. IGRP realiseeriti alguses IP-võrkudes kuid võib töötada ka suvalises võrgukeskkonnas. IGRP on kaugusvektoriga siselüüsi protokoll. Kaugusvektoriga protokolli kasutamisel saadab iga marsruuter regulaarsete vaheaegade järel oma naabermarsruuteritele värskendussõnumina kogu oma marsruutimistabeli või osa sellest. See informatsioon levib kogu võrgus ning kaugusi saab arvutada kõigi sõlmedeni. Stabiilsus tagatakse muudatuste viivituse, tagasiteadistuse tõkestuse ja ennistussõnumitega, mis on juba seletatud RIP-is.
Ineter-AS routing ehk autonoomsüsteemide vahelise suhtluse protokollid.
BGP (Border Gateway Protocol) on Interneti jaoks loodud AS-ide vahelise marsruutimise protokoll, mis on disainitud ka avastama marsruutimissilmuseid. BGP on mõeldud AS-ide vaheliseks protokolliks, kuid teda saab kasutada ka AS-i sees. Kaks AS-ide vahel suhtlevat BGP- naabrit peavad asuma samas füüsilises võrgus. Mõned AS-id on ainult transiitvõrgud; BGP peab nende puhul suhtlema nende sisemise marsruutimise protokollidega, mis neis on olemas.
BGP värskendussõnumid sisaldavad võrgu numbri ja AS-tee paare ; AS-tee on AS-ide rida, mille kaudu võib jõuda osutatud võrguni. Oma sõnumite edastuseks kasutab BGP TCP transpordimehhanismi kaudu. Algsel kahe marsruuteri vahelisel andmevahetusel saadetakse kogu marsruutimistabel, seejärel saadetakse ainult tabeli muutusi. Erinevalt mõnedest teistest protokollidest ei nõua BGP kogu tabeli perioodilist värskendust. Tabel sisaldab küll kõiki võimalikke teid vastava võrguni, kuid värskendusteadetes kuulutatakse ainult optimaalseid teid. Mõõt on BGP-l meelevaldne kaal, mille kinnistab võrguhaldur konfiguratsioonifailide kaudu. Kriteeriume võib olla suvaline arv, muuhulgas AS- ide arv, lüli tüüp (stabiilsus, kiirus, usaldatavus ) jms.
OSPF (Open Shortest Path First , "Vali lühim tee esimesena"). See protokoll põhineb Dijkstra algoritmil. Ta võeti kasutusele kuna seinine protokoll RIP ei rahuldanud suureneva võrgu vajadusi.
OSPF töötab lüli oleku järgi. Kõigile teistele marsruuteritele samal hierarhiaalal saadetakse lüli oleku kuulutused (LSA), mis sisaldavad informatsiooni liideste, kasutatava mõõdustiku ja muude muutujate kohta. Lühim tee iga sõlmeni arvutatakse SPF- algoritmiga . Erinevalt RIP-st saab OSPF töötada hierarhias. Sellest aga oli juttu hierarhilise marsruutimise peatükis.
Erinevused Intra - ja Inter -AS marsruutimise vahel.
Õigused:
Inter-AS: Administraatorid soovivad ülevaadet kes ja kuidas saadab infovoogusid üle tema võrgu.
Intra-AS: Üks administraator, kõik õigused, ei mingeid eraldi õigusi
Hierarhiline marsruutimine vähendab ruutingutabelite suurusi ning vähendab uuenduste tegemiseks vajaminevat liiklust .
35. Marsruuterid +
Marsruuteritel on kaks funktsiooni: nad jooksutavad marsruutimise algoritme/protokolle ning lülitavad (swiching) nende põhjal datagramme sissetulevast õigesse väljaminevasse kanalisse.
On olemas kolme tüüpi ruutereid - mälus toimuvate lülitustega, siinil toimuvate lülitustega ja maatriksi kujul toimuv (crossbar)
Mäluga toimuva ruutimise korral sisendist võetakse pakett vastu, kirjutatakse mällu ja loetakse sealt ning saadetakse väljundisse. Kuna aga mällu kirjutamine ja sealt lugemine on küllaltki aeglased, on selline ruutimine ka kokkuvõttes aeglane.
Siinil toimuva ruutimise korral saab siini peal korraga liikuda ainult üks datagramm - seega siini kiirus määrab ära ruuteri kiiruse
Maatriksiga ruutimine on kõige efektiivsem, sel puhul saab paralleelselt mitut datagrammi liigutada.
Lähtemarsruutimine (Source Routing) on olukord, kus kaadri sisse kirjutatakse ilmutatult marsruut mida mööda ta peab liikuma.
Ruuteri sisend: Füüsiline edastuskanal -> kanalikihi protokoll -> puhvrid
Ruuteri väljund: -> väljuvad puhvrid -> kanalikiht -> füüsiline edastuskanal
Sild vs ruuter : Sild võtab kaadri vastu kaadri tasemel, ruuter tegutseb IP aadressidega. Sildadel on filtreerimistabelid, nad on võimelised õppima, marsruuteritel on ruutimistabelid.
36. Ipv4 ja Ipv6 +
IP-l on kaks peamist ülesannet – pakkuda ühendusevaba võimaluste piires parimat datagrammide kohaletoimetamist ning pakkuda (de)fragmenteerimist, et võimaldada andmeedastust erinevate maksimaalse andmeühikuga (MTU) võrkudes.
IPv4 – Igale võrgusõlmele eraldatakse üks 32-bitine unikaalne aadress, mis on jagatud kaheks loogiliseks osaks: võrgu- ja hostiosaks. Võrguosa identifitseerib konkreetse alamvõrgu, hostiosa aga konkreetse masina selles alamvõrgus. IP aadress on jagatud neljaks osaks, mis on üksteisest eraldatud punktiga . Igat konkreetset võrku saab omakorda jagada alamvõrkudeks. Alamvõrgu täpse suuruse määrab kasutatav võrgumask. Võrgumaski kahendväärtuse ja IP aadressi kahendväärtuse loogiline korrutamine annab alamvõrgu esimese aadressi – alamvõrgu aadressi.
IPv6 – 32-bitine aadressiruum ammendub lõplikult 2008. aastaks. IPv6 päise formaat peaks kiirendama pakettide töötlust ja edastamist. Päist on muudetud, et see hõlbustaks QoS kasutamist. Kasutusele on võetud uus „anycast“ aadress, mis peaks võimaldama valida optimaalsema tee üheni mitmest võimalikest serveritest. IPv6 puhul ei ole lubatud fragmenteerimine, kasutatakse 40-baidilist päist.
Erinevused
IPv6 on täielikult ära kaotatud kontrollsumma, et vähendada töötluseks kuluvat aega. Kõik lisavalikud on küll lubatud, kuid asuvad väljaspool päist. Neile viidatakse väljaga „Next Header“. Kasutusele võetakse ka ICMPv6, mis sisaldab täiendavaid teateid (nt. „Packed too big“), samuti administreerimist multisaategruppide kaupa.
Üleminek IPv4 IPv6-le
Mitte kõiki ruutereid ei ole võimalik korraga uuendada , s.t. tekib segatud võrk (IPv4+IPv6). Kasutatakse kahestackilisi ruutereid, mis võimaldavad pakette teisendada ühest aadressiruumist teise. Teine võimalus on kasutada tunneleid, kus IPv6 paketid liiguvad kapseldatuna IPv4 sees.
37. Vigade avastamine ja parandamine, CRC +,-
EDC ( error detection and correction bits) – liiasus, mida on vaja selleks, et vigu parandada.
Paarsuse kontroll
Ühedimensioonilise paarsuse kontrolli korral on võimalik avastada paarituarvu bittide moondumist. Samas ei ole võimalik kindlaks teha, milline bittidest täpselt moondus. Kahedimensioonilise paarsuse kontrolli korral on võimalik vigu parandada, kui moondunud on üks bitt.
Interneti kontrollsumma
Eesmärk on avastada vigu (nt. moondunud bitte) saadetud segmendis. Saatja implementeerib segmendi sisu kui 16-bitist täisarvu. Kontrollsumma arvutamiseks teostatakse komplementaarne ühtede liitmine, tulemus paigutatakse UDP kontrollsumma väljale. Vastuvõtja arvutab analoogiliselt andmete kontrollsumma ja võrdleb seda paketi päises olevaga. Kui need on võrdsed, siis viga ei ole.
Tsükliline liiasuse kontroll
Arvutatakse CRC kontrollsumma. Peaaegu võimatu on juhuslike bitimuudatuste tulemusena saada sama kontrollsummat. Andmeid käsitletakse bitijadana. Esimesed 8 bitti laaditakse arvuti registrisse ja teostatakse XOR- tehe . Esimeseks operandiks on registris olevad 8 bitti, teine on vabalt valitud polünoom, mis peab olema teada ka andmete saajale (et oleks võimalik sama arvutus paketi saamisel ka läbi viia). Tehte tulemus salvestatakse uuesti registrisse, selle järel nihutatakse registri sisu vasakule ja madalamale järgule salvestatakse uus andmebitt. Tekkinud arvuga tehakse uuesti XOR-tehe (kasutades sama polünoomi) ja tulemus salvestatakse uuesti registrisse. Tsüklit korratakse senikaua, kuni andmeid jätkub. Antud tsükli lõppedes on registris kontrollsumma, mis salvestatakse paketi päisesse. Vastuvõtmisel teostatakse sama operatsioon. Kui saadakse päises identne tulemus päises olevaga, ei ole andmete sisu moondunud.
38. Multipöördusprotokollid
Jagunevad juhupöördusprotokollideks ja kindlaks määratud pöördumisega protokollideks.
Juhupöördus protokollid on CSMA ning fikseeritud pöördumise meetodiga protokollid on poll/ select , token ring ,token bus LAN).
Ideaalne multipöördusprotokoll oleks selline ,kus saatja saatmise soovi korral saab oma andmeid edastada. Ning on võimalik edastada andmeid ka samal ajal kellegi teisega.
39. ALOHA ja CSMA/CD +
ALOHA on peamiselt kasutatav traadita ühendusega võrkudes ja andmeülekannetes. Eristatakse "puhast ALOHAt" (pure aloha) ja "Piludega ALOHA" (slotted aloha). Puhta Aloha puhul võib saatja saata pakette ükskõik millisel ajahetkel. Eksisteerib väga suur kollisiooni -risk. Kuna kõik saatjad saadavad suvalisel ajahetkel ja paralleeslelt, siis peab saatja teostama monitooringut, kas pakett jõudis kohale või mitte. Monitooringuks on kaks võimalust: võtta vastu enda välja saadetud pakett ja võrrelda seda saadetuga või oodata kinnitust vastuvõtjalt. Kui pakett on riknenud või ei tule kinnitust, saadetakse pakett uuesti. Efektiivsus väga madal.
Piludega ALOHA puhul on teatud ajapunktid, millal võib pakette saata. See garanteerib, et ei teki kollisiooni hetkel, kui ühe saatja pakett on peaaegu saadetud. Võivad tekkida väga reeglipärased häired. Tulemuseks on efektiivsuse kasv vähemalt 2 korda.
Carrier Sense - kõik jaamad kuulavad enne kui saadavad.
Multiple access - Kõik jaamad võivad saata siis, kui on andmeid saata.
CSMA - Kuulab kanalit enne saatmist. Kui vaba, siis saadab, kui hõivatud, siis ootab. Sellest hoolimata võivad tekkida kollisioonid . Kollisiooni puhul katkestatakse koheselt saatmine, kuna vigase info saatmine on ainult üleliigne ajakulu. Kollisioon levib alati igas kanali suunas, kui on tegemist ühise kanaliga. Kui on tekkinud kollisioon, siis mõlemad kollisiooni tekitanud saatjad ootavad SUVALISE aja ja püüavad uuesti saata.
CSMA/CD (Carrier Sense Multiple Access / Collision Detection) - Edastamise ajal jälgitakse kanalit, et kollisioonid avastada võimalikult kiiresti. Kui kanali pinge muutub, on tegemist kollisiooniga. Kui viga ilmneb, siis saadetakse välja mürasignaal (jamming signal ), mille tulemusena kõik jaamad ootavad suvalise aja
40. Token ring ja 41. Token bus
Token Passing networks - võrgus ringleb spetsiaalne signaalkaader, mis jagab õigusi andmete saatmiseks. Kui terminalil, kes saab õiguse andmete saatmiseks, pole midagi saata, saadetakse antud signaalkaader edasi. Üks jaam saab hoida antud saatmisõigust enda käes teatud perioodi vältel ainult. Kui mingi jaam soovib andmeid edastada, siis muudetakse signaalkaader ja saadetakse hoopis andmed välja. Kuna võrgus liigub hoopis andmepakett, ei saa keegi teine samal ajal õigust andmete saatmiseks, seetõttu ei teki kollisioone. Kui infopakett jõuab saajani, siis seda loetakse ja saadetakse edasi mööda ringi kuni saatjani, kes kontrollib, kas pakett jõudis kohale. Erinevalt CSMA/CD võrkudest on võimalik arvutada aega, kui kaua kulub ülekandeks. Tänu ennustatavusele on Token Ring võrgud sobivad rakendustele, kus on vaja täpset ajaplaneerimist.
Token Ring - Andmete saatmine toimub loa alusel. Luba liigub mööda ringi ning kelle juures ta parajasti on, saab saata.
Token Bus - Saatmine toimub signaalkaadri alusel. Signaalkaader liigub järjest ühelt kasutajalt teisele kusjuures igale saatjale on määratud ajapiirang , mille jooksul võib see luba tema käes olla. Selliseid ajapiiranguid on olenevalt prioriteedist 4 nivood: 6, 4, 2 ja 0. Loa haldamine on sellise süsteemi korral küllaltki keeruline. Token Bus puhul on jagamine tarkvaraline, Token Ring puhul kasutatakse võrgu füüsilise ringikujulise ehituse järjekorda.
prioriteetide jagamine - Igale terminalile on määratud, millise prioriteediga signaalpakette ta võib kasutada, signaalpaketiga on kaasas antud paketi prioriteetsus. Teatud jaamad saavad tõsta järjekorras prioriteeti, kuid peavad taastama eelneva prioriteedi koheselt peale andmeülekannet.
42. Datagrammide edastus läbi võrkude (võrgukihi ja kanalikihi tasemel) +
Igas IP datagrammi päises on kirjas saatja ja saaja aadressid. Selle järgi toimetatakse pakett konkreetse masinani.
Igas seadmes on olemas oma ruutimise tabel, mille alusel otsustatakse, kuhu pakett vaja toimetada on.
Kui saadetakse välja pakett, mis on mõeldud mõnele samas võrgus asuvale terminaalile, siis toimetatakse see vahetult kohale. Kui sihtarvuti ei asu samas võrgus, saadetakse see edasi võrguväravasse (gateway), mis uurib, kas paketti on võimalik vahetult edasi toimetada (s.t. kas sihtarvuti asub samas alamvõrgus, mis gatewaygi). Kui see pole võimalik, saadetakse pakett edasi järgmisesse ruuterisse (see tehakse kindlaks samamoodi gateways asuva ruuditabeli põhjal). Nii toimitakse senikaua, kui pakett on jõudnud sellesse alamvõrku, kus asub sihtarvuti ja see on võimalik vahetult kohale toimetada.
43. Ethernet +
LAN ( local area network) aadressiks on 48 bit füüsilised võrguseadme aadressid (MAC). Aadressi kasutatakse datagrammide füüsiliseks transpordiks . MAC aadresse jagab IEEE ja igal seadmel on see unikaalne. IP aadressi abil suunatakse pakett õigesse alamvõrku, seal edastatakse pakett kõigile arvutitele ja õige MAC aadressiga arvuti loeb ja tunneb talle saadetud paketi ära.
Ethernet on kõige enamalt kasutatav LAN tehnoloogia eelkõige oma lihtsuse, odavuse ja andmeedastuskiiruse pärast.
Ethernet's kasutatakse andmete edastamisel CSMA/CD edastusmeetodit.
Ethernet kaadri strukuur sisaldab:
Preamble - kindel bitijada, mis näitab, et algab uus kaader . Sünkroniseerib saatja ja saaja kellad .
Saaja aadress - 6 baidine MAC aadress
Saatja aadress - 6 baidine MAC aadress
Tüüp - näitab kõrgema taseme protokolli (IP, IPX või AppleTalk jne)
Andmed - määratud pikkusega baidijada, mis sisaldab kasulikku andmeid.
CRC - veakontrolliks vajalikud andmed.
Etherneti tehnoloogiad :
10Base2 - koaksiaalkaabliga ehitatavad siinivõrgud. Maksimaalne kaablipikkus seadme ja terminaatori vahel on 200 m. Maksimaalne kiirus on 10Mbps.
10BaseT ja 100BaseT - vastavalt 10 Mbps ja 100 Mbps kiirus, nimetatakse "Fast ethernet'ks". T - tähendab, et kasutatakse Twisted Pair (keerupaar kaablid ) kaabeldust. Huubist Switch 'ni on võrk ülesehitatud täht-topoloogiaga. Maksimaalne distants kahe võrguseadme (nt. huub ja arvuti võrgukaart) on 100m. Huub jagab võrku ja võib ka koguda statistilist informatsiooni võrguliikluse kohta.
Gbit ethernet - kasutab standardset ethernet'i paketiformaati. Lubab punkt-punkt ühendust ja jagatud kanaleid . Jagatud kanalit kasutades kasutatakse CSMA/CD-d. Punkt-punkt ühenduse puhul on garanteeritud full- duplex 1Gbps.
44. Jaoturid, sillad ja kommutaatorid +
Sillad (Bridges) on kanalitaseme seadmed. Nad edastavad etherneti kaadri, vaadates päisest saaja aadressi. Sild välistab kollisiooni tekkimise võimaluse kuna ta puhverdab kaadreid.
Nad jagavad võrgu väiksemateks tükkideks ning väiksemad segmendid on väiksemate veavõimalustega.
Sildade funktsioonideks on:
Pakettide filtreerimine - mingid kaadrid jätta samasse võrku, mingid saata üle silla mujale.
Edastamine - sild peab suutma eristada, millisesse porti realiseerida kaader
Sild puhverdab kaadrid. Kui need täielikult kohal on, alles siis saadetakse edasi.
Sillad on iseõppivad seadmed, neid ei pea reguleerima. Igas kaadris on saatja ja saaja aadress, sild jätab saatja aadressi meelde. Kui on vaja saata paketti siis ta vaatab saatja aadressi tabelisse millises segmendis antud seade asub kui seadet seal kirjas ei ole, saadab ta päringu teistesse segmentidesse. Et vältida tsükleid, peavad sillad omavahel suhtlema.
Sillad võivad ühendada eri tüüpi ethernette sest ta on puhverdamis ja edastusseade.
Sild jätab meelde seadmed, kus keegi asub, ruuter jätab meelde kus keegi asub. Ruuter tegutseb IP-aadressi tasemel, sild aga MAC-aadressi tasemel.
Üldiselt oleks soovitatav kasutada ühte Backbone bridge kuna siis väheneb läbitud segmetide arv.
Jaoturid (Hub) on füüsilise kihi seadmed, mis ühendavad erinevad kaabliotsad (nagu pikendusjuhe). Ta saadab kogu informatsiooni laiali kõigile antud hubi küljes olevatele klientidele ning kes tunneb talle määratud paketi ära, võtab ka selle vastu. Jaoturi kaudu ei ole võimalik kokku ühendada eri tüüpi võrke. Jaoturi kasutamine on ebaturvaline - segmendi piires on võimalik kõikidel kõiki pakette lugeda omades vastavat tarkvara.
Kommutaatoril (Switch) on oluliselt rohkem väljundeid kui sildadel kuid muus mõttes on ta sarnane sillale. Switch on võimeline mitut ühendust korraga, mis suurendab läbilaskevõimet. Switch suurendab ka läbilaskevõimet ka sellega, et ta ei puhverda tervet kaadrit vaid loeb päisest sihtaadressi ning hakkab kohe sinna infot edastama.
Repeater on lihtsalt signaali võimendi, kusjuures ta põhjustab 1 bitist hilistumist.
Eelmainitud seadmeid on vaja kuna ei saa luua üht suurt LANi, sest kaabli pikkus on piiratud, jaamade arvud on piiratud, jõudluse probleemid tekivad, token ringi loa liikumise aeg kasvab, turvalisuse ja töökindluse probleemid suurenevad.
45. CSMA/CA
CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) - Kuulatakse igasugust signaali, sõltumata, kas tegemist takistava või andmesignaaliga. Kui midagi kuuldakse, kõik jaamad peatuvad ja ootavad. Spetsiaalset mürasignaali ei saadeta.
Võimalik kasutada nn. pollingut, st. on jagatud, millal keegi räägib. Võimalik küsida õigust rääkimiseks.
Token passing - luba rääkida liigub osapoolte vahel ringiratast.
Kasutatakse juhtmeta võrkudes Wireless LAN näiteks. Selle puhul ongi märgitud CA ehk üritatakse kokkupõrkeid vältida. Kuna juhtmeta võrgu puhul pole võimalik saatmise ajal kanalit kuulata. Ennem saatma minekut aga kuulab kas kanal on vaba.
Kui tekivad samaaegselt soovivad saatjad siis käsitakse neil kõigil oodata mingi random aeg ning kelle random aeg on lühem ongi „võitja“ ja hakkab oma andmeid koheselt edastama.
Samamoodi nagu Slotted Aloha puhul võib saatele minna ainult ajapilu alguses (vähendab kokkupõrkeid).
46. ATM +
ATM (Asynchronous Transfer Mode) võrk on kommuteeritud võrk. Ta põhineb pakettedastusel, virtuaalahelatel ning suudab tagada ajalised nõuded heli, video jms edastamisel. ATM võimaldab vaid kindla pikkusega pakette(5+48 baiti), kusjuures ned paketid on suhteliselt lühikesed võrreldes varasemate edastusviisidega.
ATM on ühendusele orienteeritud. ATM loob fikseeritud kanali või ruudi (rout) kahe punkti vahel kus andmeid edastatakse, mis on erinev TCP/IP-st kus iga pakett võib valida erineva tee saatjast saajani.
Lühikesed paketid võimaldada edastada audiot, videot ning andmeid üle sama võrgu nii, et üks andemtüüp ei tõmbaks kogu liini umbe. See kitsendus teeb ATM puhul lihtsamaks saadetiste jälgimise ning arveldamise kuid muudab võrgu vähem kohanevaks võrguliikluse ootamatutele muutustele.
ATM ülekandmisel on 4 võimalust kiiruse ja andmemahtude suhte garanteerimiseks ajas:
Constant Bit Rate (CBR) - ülekandekiirus on fikseeritud, andmed saadetaks püsiva voona. Analoogiline punkt-punkt ühenduse fikseeritud liinile
Variable Bit Rate (VBR) - Garanteeritakse teatud kanalimaht, kuid andmeid ei saadeta võrselt. Kasutatakse üldiselt kõne ja videokonverentside tarbeks.
Unspecified Bit Rate (UBR) - läbilaskemahud pole garanteeritud. St. kiirus või oluliselt muutuda. Kasutatakse selliste rakenduste nagu failiülekanded puhul, kus ajaline viide on lubatav.
Available Bit Rate (ABR) - garanteerib mingi mininmaalse läbilaske, kuid lubab suuremat läbilaset, kuid võrk seda võimaldab.
Luuakse virtuaalahel, erinevalt datagrammiedastusest, kus paketiga kaasas olev aadress on vastuvõtja aadress, virtuaalahela puhul on kaasas virtuaalahela identifikaator, mis muutub pidevalt. Kõikides kommutaatorites võetakse pakett lahti, vahetatakse virtuaalahela identifikaatori number ära, arvutatakse kontrollsumma, pakitakse uuesti kokku ja saadetakse edasi. Vigaseid pakette edasi ei saadeta.
IP üle ATM-i
IP puhul on Mac ja IP aadressid
IP üle ATM-i puhul on IP ja ATM aadressid.
47. Võrkude turvalisus ja ohud +-
Turvalisus võrgus tähendab seda, et ainult saatja ja identifitseeritud saatja peaksid "mõistma" teate sisu. Selleks saatja krüpteerib ja vastuvõtja dekrüpteerib teate.
Autentimise eesmärk on saatja ja vastuvõtja omavaheline kinnitus, et tegemist on õigete inimestega (masinatega). Nii saatja kui vastuvõtja soovivad kindlustada, et teadet ei ole modifitseeritud saatmise ajal ega selle järel.
Interneti turvalisuse ohud:
Pakettide pealtkuulamiseks on kaks võimalust: pealtkuulaja istub liinipeal või pealtkuulaja asub võrgusõlmes. Kuikeegi saab kätte võrgust võõrad paketid, on tal võimalik sealt kõike lugeda, ka paroole (ntx pop3 ja telneti puhul liiguvad paketid üle võrgu krüpteerimata kujul).
Võimalik on ka pakettide saatmine nii, et paketi päises on teine IP aadress kui saatjal tegelikult, sel juhul vastuvõtja määrab saatjaks vale arvuti, mis võimaldab ühel arvutil teeselda, et ta on teine.
Liigse paketi tulvaga blokeerida sõlmpunktid või vastuvõtja nii, et soovitud paketid ei tule läbi(Denial of service (DOS)).
Kui rünnatakse pakettide tulvaga mitmest kohast, on tegemist "Distributed DOS'ga".
Kokkuvõtlikult:
Kasutatakse krüptograafiat (avaliku võtme ja sümmeetrilise võtme krüptograafia), autentimist, meetodeid , mis näitavad, kas sõnum on muudetud või mitte, turvalist elektronposti, turvalist andmeülekandmist, Ipsec-i. Lisaks kasutatakse veel täiendavaid turvavahendeid nagu tulemüürid.
48. Krüptograafia, algoritmid ja võtmed
49. Sümmeetrilise võtme krüptograafia, DES +
Sümmeetrilise võtme puhul on krüpteerimiseks ja dekrüpteerimiseks sama võti. Sümmeetrilise võtme puhul on probleemiks turvaline võtmeedastus. (kaks meest saavad kõrtsus kokku ja vahetavad võtmeid)
DES (Data Encryption Standard) on tänapäeval praktiliselt asendudnud 3DES'ga, mis kasutab 3 võtit. DES'i korral jagatakse andmed 64 bitisteks blokkideks ja kasutatakse 56 bitist võtit. Mida pikem võti, seda keerukam on lahtimurdmine. DES'i puhul ei ole teada ühtegi tagaust. DES'i puhul kasutatakse nihutamisi ja loogikatehteid. DES'i on võimalik realiseerida ka riistvaraliselt, olles 1000 - 10000 korda kiirem kui RSA, programmiliselt on DES 100 korda kiirem kui RSA. DES'i on võimalik murda ainult "brute force " meetodiga, st proovides kõiki võtmevariante kuna märkide esinemissageduse analüüs vms meetod ei anna tulemusi.
50. Avaliku võtme krüptograafia, RSA +
Avaliku võtme krüptograafial on kaks funktsiooni - salastus ja autentimine.
On kaks võtit - üks krüpteerimiseks(avalik võti), teine dekrüpteerimiseks (salajane võti). Avaliku võtme saadab vastuvõtja ise saatjale kui see soovib talle turvalist teadet saata kuid salajast võtit ei tohiks teoreetiliselt avaldada teistele. See on põhimõtteliselt tagauksega krüpteerimine, kuna toore jõuga seda lahti murda on peaaegu võimatu, samas kui salajase võtmega (mis on võimeline välja arvutama tagaukse koodid) on see juba küllaltki lihtne. RSA algoritm on pööratav, st. võtmed on paarikaupa ja võivad olla mõlemad krüpteerivaks või vastavalt siis dekrüpteerivateks võtmeteks. Salajast võtit kasutatakse krüpteerimiseks digitaalse allkirja puhul, kui krüpteeritakse signatuur ja kui see avaneb ainult sinu avaliku võtmega, siis on allkiri kirjastatud.
Avaliku võtme krüptograafia töötab funktsioonide peal, mis on küllaltki lihtsalt arvutatavad kuid "raskesti" pööratavad.
51. Autentimine +
Autentimise eesmärk on tuvastada, kes on osapooled.
protokollid:
ap1.0: "Tere, mina olen Alice", saadetakse kasutajanimi - on võimalik esineda võõra nime all.
ap2.0: Lisaks kasutajanimele saadetakse ka IP aadress kinnitusena - Ip-aadressi on võimalik muuta ja esineda ikkagi teise isiku nime all. Lisaks, võrguaadress võib muutuv olla, kui muudetakse võrku või soovitakse ligipääsu erinevatest arvutitest.
ap3.0: Kasutaja tutvustab ennast, st. saadab kasutajanime ja salajase, ainult temale teada oleva salasõna. Põhimõtteliselt toimiv versioon , kuid võrku on võimalik pealt kuulata ja seetõttu kasutajanime ja salasõna kombinatsioon välja uurida.
ap3.1: Kasutaja saadab kasutajanime ja parooli krüpteeritult. Siiski on võimalik salvestada krüpteeritud parool ja seda hiljem juba krüpteeritud kujul kasutada.
ap4.0: Kasutaja saadab oma kasutajanime. Vastuvõtja saadab mingi krüpteerimata bitijada, mille kasutaja krüpteerib ära, kasutades ühiselt teada olevat võtit. Vastuvõtja võrdleb dekrüpteeritud ja saadetud bitijada kokkulangevust. Kasutaja tuvastab ühiselt teada olev võti. Probleemiks on ühise võtme üleandmine. Avaliku võtme tehnikat pole võimalik kasutada, sest samuti võib bitijada sobivalt ära krüpteerida suvaline isik.
ap5.0: Kasutaja saadab kasutajanime. Vastuvõtja saadab mingi signatuuri, mille saatja krüpteerib kasutades oma salajast võtit. Saadab selle vastuvõtjale. Vastuvõtja küsib kasutaja avalikku võtit, millega ta dekrüpteerib kasutaja poolt krüpteeritud bitijada. Kui need vastavad, on kasutaja tuvastatud. Ohuks on võimalus, et keegi on kasutaja ja vastuvõtja vahel ning esineb kasutajale vastuvõtjana ja vastuvõtjale kasutajana, vahendades infot ise vahepeal lugedes.
52. Digitaalallkiri +
Krüptograafiline analoog käsikirjalisele allkirjale.
Saatja lisab kirjale digitaalse teate, et tema on omanik/saatja. Saatja lisab oma signatuuri ja signatuuri, mis on krüpteeritud kasutades tema salajast võtit. Vastuvõtja teab saatja avalikku võtit ning dekrüpteerib sellega krüpteeritud signatuuri ja võrdleb dekrüpteerimise tulemust signatuuri krüpteerimata versiooniga.
Nii vastuvõtja tuvastab, et allkirjastas just see saatja ja mitte keegi teine.
Signatuur peab olema igal kirjal erinev ja see arvutatakse Hash funktsioonina kirja sisu põhjal.
Võimalikud algoritmid:
128 bitine signatuur, mida krüpteeritakse MDS algoritmiga
161 bitine signatuur, mida krüpteeritakse SHA-1 algoritmiga
53. Sertifitseerimine +
Sertifitseerimine on vajalik riskide vahendamiseks kahe teineteist mitteusaldava osapoole vahelises suhtluses. Sisuliselt notarid digitaalsel kujul. On kaks juhtu, kus neid kasutatakse - üks osapool soovib kinnitust, kas talle esitatud avalik võti kuulub teisele osapoolele ning teine olukord on selline, kus kahel teineteist mitte usaldaval osapoolel on vaja leida ühine võti, et pidada turvalist sidet.
Olukord, kus on vaja kindlaks teha, kas avalik võti kuulub just vajalikult üksusele (isikule, firmale jne):
Selleks peab olema vajalik isik firma vms. registreerinud oma avaliku võtme CA (Certification Authorities) juures. Sel juhul vajalik isik, firma vms. tõestab oma identiteedi CA-le, CA genereerib sertifikaadi, mis seob antud isiku avaliku võtmega ning signeerib digitaalselt antud seritifikaadi. Kui nüüd keegi soovib antud isiku avalikku võtit, saab ta isiku seritfikaadi, kasutab CA- avalikku võtit isiku sertifikaadi lugemiseks ning saab sedasi isiku avaliku võtme.
Olukord, kus kahel üksteist mitteusaldaval osapoolel on vaja leida ühine võti, et pidada turvalist sidet:
Kasutaja kommunikeerub sertifitseerimiskeskusega (Key Distribution Center, KDC) ja saab sealt sessioonivõtme, mille ta krüpteerib vastuvõtja avaliku võtmega ja saadab vastuvõtjale, kes selle siis dekrüpteerib oma salajase võtmega saades sedasi teada sessiooni võtme. See sessiooni võti saabki nende sümeetriliseks võtmeks antud sessiooni vältel millega krüpteeritakse-dekrüpteeritakse edasine suhtlus. Sertifitseerimiskeskusega suheldes kasutavad mõlemad osapooled oma salajasi võtmeid.
54. Võtmete jaotussüsteemid ja protokollid
55. Tulemüürid +
Tulemüür on moodul (tarkvaraline või riistvaraline, soovitatavalt riistvaraline), mis isoleerib mingi võrguosa (või üksiku arvuti) välismaailmast, võimaldades valida, milliseid pakette blokeerida ja milliseid läbi lasta, võimaldades takistada mittelubatud sisenimemist ettevõtte sisevõrku või isiklikku arvutisse.
Eristatakse:
Paketifilter - tulemüür loeb ja uurib läbi kõik paketid, mis sisenevad või lahkuvad võrgust ja vastavalt eelnevalt kehtestatud reeglitele lubab paketi edasi liikumist või keelab seda. Pakettide filtreerimine on üldjuhul kasutajatele nähtamatu, kuid keerukas seadistada . Kuna pakette filtreeritakse eelkõige IP järgi, on võimalik tulemüüri petta , kasutades vale IP-d.
Rakendustarkvara lüüs (application gateway) - on määratud, millised rakendused saavad läbi võrgu pakette saata ja mis mitte (näit FTP, Telnet). Tegemist on väga efektiivse vahendiga turvalisuse tõstmisel, kuid võib oluliselt vähendada võrgu kasutusmugavust ja jõudlust.
Circuit -level gateway - ühenduse taseme lüüs - kui korra on juba TCP või UDP ühendus loodud, siis edasised paketid liiguvad ilma kontrollita.
Proxy Server - võimaldab mugavalt peita võrgu tegelikke aadresse, varjates tegeliku võrgu välismaailmale.
Kaasaegsed tulemüürid kasutavad antud tehnikaid paralleelseid. Tulemüür on esmane kaitsevahend andmete turvamiseks ja privaatsuse tagamiseks. Paremaks turvalisuseks on vajalik andmete krüpteerimine.
56. Transpordikihi turvalisus, SSL -+
SSL (Secure sockets layer ) pakub turvalisust kindlatele võrgurakendustele. SSL töötab trantsporditasemel, pakub krüpteerimisteenust kõigile TCP rakendustele, mis soovivad seda. Kasutatakse web-lehitsejates suhtluseks serveriga eelkõige kõrget turvalisust nõudvate e-äri rakenduste puhul. SSL sisaldab serveri autentimist, andmete krüpteerimist ja kliendi autentimist. SSL serverid sertifitseeritakse. Browser, mis toetab SSL-i sisaldab ametlike sertifitseerimiskeskuste avalikke võtmeid, et kontrollida, kas antud leheküljel on ametlik sertifikaat või mitte. Browser kasutab sertifitseerimiskeskust, et saada teada serveri ametlik avatud võti.
SSL sessioon - Lehitseja genereerib sümmeetrilise sessiooni võtme, krüpteerib selles serveri avaliku võtmega ja saadab krüpteeritud võtme serverile. Kasutades oma salajast võtit, server dekrüpteerib sessiooni võtme. Lehitseja ja server lepivad kokku, et edasised sõnumid on kõik krüpteeritud. Kõik info, mis saadetakse, krüpteeritakse sümmeetrilise sessiooni võtmega.
SSL on transpordikihi turvaprotokoll, saab kasutada ka teiste, st. mitte-web rakenduste jaoks, näiteks IMAP. Klienti on võimalik autentida, kasutades kliendi sertifikaati
57. E-kaubandus, SET +
SET - Turvaline elektrooniline ülekanne (Secure electronic transactions)
Loodi turvalisteks rahaülekanneteks internetis. Tagab turvalisusele kliendile, müüjale ja müüjat esindavale pangale, kõigil peavad olema sertifikaadid. SET täpsustab sertifikaatide õigusliku tähenduse - seob endas reegleid usaldusväärsete tehingute teostamiseks. Töötab põhimõttel, et kliendi kaardi number saadetakse müüja panka, ilma et müüja seda numbrit tekstikujul näeks. Ennetab müüjate poolset varastamist ja kaartide numbrite lekkimist.
Sisaldab kolme tarkvaralist komponenti - lehitseja pool, müüja server ja panga kanal.
58. Võrgukihi turvalisus, Ipsec +
Võrgukihi taseme turvalisus. Saatja krüpteerib IP-datagrammis olevad andmed, krüpteeritud TCP ja UDP paketid, ICMP ja SNMP sõnumid.
Vastuvõtja saab autentida saatja IP-aadressi, st. võimalik võrgukihi autentimine. Kasutatakse kahte protokolli: AH ja ESP. Luuakse nn. loogiline kanal, mida nimetakse teenuse kokkuleppeks.
AH - Authentication Header - autentimise päise eesmärgiks on lisada ip-datagrammile unikaalne päis, mis arvutatakse kõigi sõnumi parameetrite järgi, mis ülekandel ei muutu. AH-päis lisatakse IP-datagrammile peale adresseerivaid päiseid ja enne ESP, andme- ja transport-kihi päiseid. Garanteerib saatjate autentimise, andmete muutmatuse, kuid salastatust mitte. Datagrammi liikumisel vahepealsed ruuterid käsitlevad datagrammi kui tavalist datagrammi. AH-päises on unikaalne sõnumi identifikaator, mida arvutatakse algse datagrammi järgi, garanteeride andmete mittemuudetavuse ja lähtekoha tuvastamise.
ESP - encapsulated Security Payload - eesmärk krüpteerida ip-datagrammi andmeosa, kasutades mingit mõlemale osapoolele teada olevat krüpteerimisalgoritmi. Garanteerib salastatuse, saatja autentimise, andmete säilivuse.
IPsec (inglise Internet Protocol Security) on Internetiprotokolli (IP) turvalisuse parandamiseks loodud protokollide kogu[1]. Sellel on mitu[2] ülesannet: autentimine (andmete allika kontroll) ja krüpteerimine (andmete kõrvalistele isikutele loetamatuks muutmine) ja algoritmide kooskõlastamine. IPsec töötab andmeside võrgukihis IP paketipäise laiendusena ja autentib/krüpteerib kogu liikluse sõltumata kasutatavast kõrgema taseme protokollist (TCP, UDP). Algselt loodi IPsec avatud standardina IPv6 jaoks, kuid seda hakati kasutama ka IPv4ga, eriti VPN'de loomiseks
59. Võrguhaldus, SNMP +
Võrguhaldus on riistvara, tarkvara ja inimressursi planeerimine, koostöö korraldamine ning koordineerimine, st. monitooring , testimine, seadistamine, analüüsimine, hindamine ja juhtimine võrgus. Eesmärk on kõigi komponentide koostöö korraldamine selliselt, et oleks reaalajas maksimaalne jõudlus, teenusekvaliteet mõistliku hinna eest.
Võrk koosneb paljudest omavahel suhtlevatest kuid sõltumatutest osadest. Igal komponendil on nn. agent, mis on võimeline teiste komponentidega suhtlema läbi vastavate protokollide. Kuna võrgus on palju komponente, keda juhitakse, luuakse nendest andmebaasid . MIB - Management Information Base - kõik andmed komponentide kohta kogutakse kokku.
Võrguhalduse standardid:
OSI CMIP - Common Management Protocol - kasutatakse koos CMIS-ga (Common Management Information Services ), mis määratleb hulga võrguhaldus teenuseid. CMIP loodi asendamaks SNMP protokolli, kuid pole veel laiemalt levinud. CMIP pakub kõrgemat turvalisust ja vähemtähtsate võrgusündmuste raporteerimist.
SNMP - Simple Network Management Protocol - seob endas hulga protokolle keerukate võrkude halduseks. SNMP töötab, saates sõnumeid (protocol data unit - PDU) erinevatele võrguosadele. SNMP-ga ühilduvad seadmed, nn. agendid, salvestavad infot enda kohta MIB-des ja saadavad infot välja SNMP päringute peale teistele seadmetelt. SNMP esimesed versioonid olid lihtsad, seadmed raporteerisid ainult seda, kui nad olid töökorras. Hetkel kasutatakse SNMP V3-e, mis on oluliselt keerukam. SNMP käsitletakse kui de facto standardit võrkude halduses.
SNMP koosneb:
Management Information Base (MIB) - hajutatud informatsioonibaas, mis sisaldab seadmete kohta olevat infot.
Structure of Management Information (SMI) - andmete defineerimise keel MIB objektide kohta.
SNMP protokoll - andmevahetuse juht, objektide info haldus, käsud.
Turvalisus, administreerimisvahendid - lisandusid SNMPv3-s.
SMI - andmete defineerimise keel - eesmärk on määratleda süntaks ja semantika haldusinfo kogumiseks.
SNMP turvalisus ja administreerimine
krüpteerimine - SNMP sõnumid on krüpteeritud kasutades DES algoritmi .
Autentimine - arvutatakse ja saadetakse vastavalt HASH funktsiooniga arvutatud identifikaatoreid, kasutades jagatud salajast võtit (sümmeetriline krüptograafia).
Tagamaks võtme kopeerimiskaitse arvutatakse iga sessiooni jaoks uus võti.
Andmebaasi vaatamistaseme kontroll - SNMP osapool haldab ligipääsuõiguste andmebaasi, kus jagatakse õigusi erinevatele kasutajatele.
60. Sünkroniseerimine, asünkroon- ja sünkroonedastus -,+
Asünkroonse edastuse puhul saadetakse iga andmebitiga kaasa ka nn. start/stop bitid, mis määratlevad, millal algavad ja lõpevad andmed. Samuti sellega sünkroniseeritakse vastuvõtja ja saatja sama tegevuse jaoks. Signaale edastatakse baithaaval, sisaldades 2-3 juhtbitti ja 5-6 andmebitti. Pärast stop-signaali on tavaliselt teatud aeg vaikust .
Sünkroonedastuse puhul saadetakse järjestikune info ilma vahedeta baitide vahel. Vastuvõtja peab dekodeerima järjestikuse bitijada. Sünkroonedastus on kiirem, sest ei kulu aega start-stop bittide jaoks ja ei esine peatusi baitide vahel.