====== Warstwa sieci ======
Warstwa **łącza danych** zapewnia komunikację między **bezpośrednio połączonymi** urządzeniami.
Warstwa **sieci** zapewnia komunikację między **dowolnymi** urządzeniami.
Wiadomości na warstwie sieci nazywa się **pakietami**.
\\
Urządzenia warstwy sieci to trasowniki (routery).
===== Protokół IPv4 i IPv6 =====
IPv4 = Internet Protocol version 4
([[https://tools.ietf.org/html/rfc791|RFC 791]]); czasami skracane do inet
\\
IPv6 = Internet Protocol version 6
([[https://datatracker.ietf.org/doc/html/rfc8200|RFC 8200]]((Ten dokument
jest trzecim z kolei RFC opisującym IPv6, pierwszy to
[[https://datatracker.ietf.org/doc/html/rfc1883|RFC 1883]])));
czasami skracane do inet6
Budowa nagłówka IPv4 i IPv6:\\
{{:sk2:pakiet_ipv4_vs_ipv6.svg|}} \\
źródło: https://www.ripe.net/support/training/material/ripe-ncc-training-material
Pole //opcje// w IPv4 pozwala dodawać kolejne informacje do nagłówka IPv4. \\
W IPv6 zamiast tego po nagłówku IPv6 może znajdować się nagłówek z kolejnymi informacjami:\\
źródło: https://www.ripe.net/support/training/material/ripe-ncc-training-material
=== Wskazanie protokołu warstwy transportu ===
Pole //protokół// w nagłówku IPv4 lub //następny nagłówek// w ostatnim nagłówku
IPv6 wskazuje który protokół warstwy transportu jest w danych pakietu.
Numery protokołów są powszechnie znanie – patrz http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml
lub ''less /etc/protocols''.
=== Fragmentacja ===
Rozmiar pakietów IP jest ograniczany przez MTU warstwy niższej. Żeby przesłać
porcję danych większą niż ten maksymalny rozmiar pakietu, dane trzeba podzielić
na fragmenty, przesłać każdy z nich w osobnym pakiecie i złożyć u odbiorcy.
\\
Pakiety przenoszące fragmenty tej samej wiadomości warstwy transportu mają ten
sam //identyfikator// i odpowiednią //pozycję fragmentu// (offset).
Poza ostatnim, fragmenty mają we flagach ustawiony bit //więcej fragmentów// (MF).
\\
W IPv4 fragmentację może wykonać każde urządzenie na drodze pakietu, w IPv6
tylko nadawca. IPv4 w polu flag ma bit zabraniający fragmentacji (DF)
\\
Fragmentacji, o ile to możliwe, należy unikać – często prowadzi do
nieoptymalnego wykorzystania sieci.
Dla przetestowania fragmentacji można wykorzystać komendę ''ping'', dodając
przełącznik ''ping -s '', np: \\
''ping -s 5000 150.254.32.65'' ''ping -s 5000 2001:808:201:100::1''
=== Ograniczanie skutków pętli na warstwie sieci ===
Żeby w powstałej na skutek błędnej konfiguracji sieci pakiet nie krążył
w nieskończoność, każde urządzenie warstwy sieci zmniejsza o jeden wartość pola
//TTL// / //hop limit//. Gdy ta wartość spadnie do 0, pakiet nie jest dalej
przekazywany.
===== ICMP i IGMP =====
=== ICMP ===
Protokół IP nie przewiduje informowania nadawcy o problemach.
Funkcje diagnostyczne i kontrolne dla IP spełnia protokół ICMP (Internet Control
Message Protocol). ICMP różni się w szczegółach między wersją dla
[[https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol|IPv4 (ICMP)]]
i dla [[https://en.wikipedia.org/wiki/ICMPv6|IPv6 (ICMPv6)]].
\\ ICMPv6 spełnia też dodatkowe funkcje (o których będzie osobno później).
ICMP/v6 pozwala między innymi na:
* wysłanie informacji zwrotnej o niedostarczeniu pakietu, z podaniem powodu, np:
* nie ma takiej sieci, komputera, programu docelowego, … (//destination unreachable//)
* zabroniono fragmentacji, a pakiet był za duży żeby go przesłać dalej (//packet too big//)
* pakiet zrobił za dużo skoków i skończył się TTL/hop limit (//time exceeded//)
* testowanie łączności (ping – //echo request// i //echo reply//)
Aby zaobserwować komunikaty ICMP, można wykonać:
* ''ping ''
* ''traceroute [-q 1] -T '' (porównaj z ''traceroute -I '')
* ''ping -s 1440 2001:470:647b::1'' (przed ponownym uruchomieniem wykonaj ''ip -6 r flush cache'')
* połączenie do nieużywanego portu, np: ''host pl. lab-net-1'' (z lab-net)
* połączenie do nieosiągalnego (np. nieistniejącego) adresu, np. ''host pl. lab-sec-33'' (z lab-net)
=== IGMP ===
Do zarządzania przynależnością do grup multicastowych w IPv4 służy protokół
[[https://en.wikipedia.org/wiki/Internet_Group_Management_Protocol|IGMP]].
\\
W IPv6 to samo zadanie włączono w protokół ICMPv6 (pod nazwą [[https://en.wikipedia.org/wiki/Multicast_Listener_Discovery|MLD]]).
Używając wiadomości protokołu IGMP/ICMPv6 urządzenie można ogłosić informację że
chce otrzymywać wiadomości wysłane na konkretne multicastowe adresy IP.
\\
Odpowiednio ustawione routery mogą przekazywać dalej te informacje (i wybrane
pakiety multicastowe), a switche podsłuchują ([[https://en.wikipedia.org/wiki/IGMP_snooping|IGMP snooping]])
wymiany wiadomości IGMP/ICMPv6 żeby wiedzieć na które porty warto wysyłać
wiadomości multicastowe.
Wyświetlenie grup do których należy komputer [IP]: ''netstat -g'' / ''ip maddr'' \\
Wyświetlenie grup do których należy komputer [MAC]: ''cat /proc/net/igmp'' i ''cat /proc/net/igmp6'' / ''ip maddr'' \\
Oczekiwanie na wiadomość multicastową na adresie IPv4 można zasymulować przez: ''socat udp4-recv:0,ip-add-membership=//239.1.2.3//://br0// -'' \\
Oczekiwanie na wiadomość multicastową na adresie IPv6 można zasymulować przez: ''socat udp6-recv:0,ipv6-join-group=[//ff05::ace//]://br0// -''
++++ Przykładowy wynik poleceń: |
# netstat -ng
IPv6/IPv4 Group Memberships
Interface RefCnt Group
--------------- ------ ---------------------
br0 1 224.0.0.251
br0 1 224.0.0.1
# ip maddr
4: br0
link 01:00:5e:00:00:01
link 01:00:5e:00:00:fb
inet 224.0.0.1
inet 224.0.0.251
# cat /proc/net/igmp
Idx Device : Count Querier Group Users Timer Reporter
3 br0 : 2 V3
FB0000E0 1 0:00000000 0
010000E0 1 0:00000000 0
++++
====== Trasowanie ======
===== Wstęp =====
=== Trasowanie ===
Zadaniem warstwy sieci jest dostarczenie danych do dowolnego wskazanego
urządzenia w sieci.
\\
**Jeśli cel nie jest bezpośrednio połączony, dane (pakiety) trzeba wysłać do
wybranego z bezpośrednich sąsiadów.**
Zauważ że adres źródłowy i docelowy warstwy sieci (adres IP) zostaje bez zmian
od źródła do celu, a adres źródłowy i docelowy warstwy łącza danych (adres MAC)
jest ustawiany na nowo przez każde kolejne urządzenie.
**Trasowanie** (routing) to wyznaczenie następnego urządzenia do którego
zostanie wysłany pakiet.
\\
Na każdym urządzeniu wyznaczany jest **adres IP następnego skoku** i interfejs
którym pakiet zostanie wysłany (nigdy cała trasa).
{{bio-sk:trasy.png}}
=== Tablica tras ===
Urządzenia podejmują decyzję dokąd dalej wysłać pakiet na podstawie **tablicy tras**
([[http://en.wikipedia.org/wiki/Routing_table|routing table]]).
Tablicę tras można zbudować ręcznie (trasowanie statyczne), lub skonfigurować i
uruchomić protokół trasowania dynamicznego który automatycznie zbuduje taką tablicę.
Tablica tras to lista wpisów na które składają się przynajmniej:
* cel – sieć docelową (np. 1.2.0.0/16, 192.168.2.0/24)
* trasa – adres następnego skoku (np. 3.4.5.6, 192.168.1.1) lub/i port wyjściowy (slo1, tun2)
* typowo podaje się tylko adres następnego skoku (czyli adres z bezpośrednio połączonej sieci)
* dla sieci bezpośrednio podłączonych podaje się tylko urządzenie
* metryka – koszt wysłania daną trasą pakietu, używany do porównywania tras, (np. 0, 1, 10, 679842)
* w routerach CISCO (na których będą kolejne zajęcia) dodatkowo parametr //administrative distance// (AD), który jest używany do rozstrzygania wyboru trasy jeśli więcej protokołów routingu poda trasę do tej samej sieci
Przykład tablicy tras w Linuksie:
default via 150.254.32.65 dev br0 proto dhcp
10.0.0.0/8 via 150.254.32.126 dev br0
10.3.0.0/16 via 150.254.32.65 dev br0
10.8.0.0/16 via 172.16.0.1 dev enp1s0 metric 100
10.8.0.0/16 via 150.254.32.88 dev br0 metric 200
150.254.32.64/26 dev br0 proto kernel scope link src 150.254.32.75
172.16.0.0/16 dev enp1s0 proto kernel scope link src 172.16.0.10
172.18.0.0/16 dev enp1s0 scope link
=== Wybór trasy ===
Schemat wyboru trasy:
* z tras do sieci w których znajduje się docelowy adres wybiera się trasy do sieci o najdłuższej masce, np.:172.21.0.0/16 via 172.16.0.16 dev eth2
172.21.0.0/24 via 172.16.0.24 dev eth2
172.21.0.0/28 via 172.16.0.28 dev eth2 pakiet kierowany do 172.21.0.15 zostanie wysłany przez 172.16.0.28, a \\ pakiet kierowany do 172.21.0.55 zostanie wysłany przez 172.16.0.24
* jeśli wybór nie jest jednoznaczny - trasa o najmniejszym koszcie, np.:150.254.44.0/23 dev wlan0 proto kernel scope link src 150.254.45.39 metric 2003
150.254.44.0/23 dev wlan1 proto kernel scope link src 150.254.44.149 metric 1002tu zawsze wybrana jest trasa przez 150.254.44.149, jako ta o niższym koszcie
* jeśli wybór nie jest jednoznaczny - pierwsza w tablicy.default via 150.254.44.1 dev wlan0
default via 150.254.130.42 dev eth0
Zwykle definiuje się w tablicy tras **trasę domyślną**. \\
Czasami jest ona traktowana "specjalnie" – pokazywana w osobnym miejscu lub opisana jako //default// (zamiast adresu sieci). \\
Jeśli nie – do zdefiniowania trasy domyślnej używa się adresu 0.0.0.0/0
===== Trasowanie statyczne w Linuksie =====
==== Wyświetlanie tablic routingu w systemie Linux ====
Narzędzia ''route'' (net-tools) i ''ip route'' (iproute2)
Wypisanie trasy (uwaga, komendy wypisują zwykle osobno trasy do IPv4 i IPv6):
* ''ip [-6] route [list|show]''
* ''route [-6]''
* ''ip route show table all'' pokaże wszystkie trasy naraz
Sprawdzenie adresu następnego skoku do podanego adresu docelowego:
* ''ip route get ''
++++ Przykłady poleceń |
/ # ip route
default via 10.0.1.2 dev br0 proto dhcp src 10.0.1.3 metric 3
10.0.0.0/24 via 10.0.1.1 dev br0 proto dhcp src 10.0.1.3 metric 3
10.0.1.0/24 dev br0 proto dhcp scope link src 10.0.1.3 metric 3
10.0.2.0/24 via 10.0.1.254 dev br0
10.0.3.0/24 via 10.0.1.254 dev br0 metric 200 mtu 1480
blackhole 10.0.4.0/24
/ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.0.1.2 0.0.0.0 UG 3 0 0 br0
10.0.0.0 10.0.1.1 255.255.255.0 UG 3 0 0 br0
10.0.1.0 0.0.0.0 255.255.255.0 U 3 0 0 br0
10.0.2.0 10.0.1.254 255.255.255.0 UG 0 0 0 br0
10.0.3.0 10.0.1.254 255.255.255.0 UG 200 0 0 br0
10.0.4.0 0.0.0.0 255.255.255.0 U 0 0 0 *
/ # ip route get 10.0.1.2
10.0.1.2 dev br0 src 10.0.1.3 uid 1000
cache
/ # ip route get 10.0.0.1
10.0.0.1 via 10.0.1.1 dev br0 src 10.0.1.3 uid 1000
cache
/ # ip route get 150.254.32.129
150.254.32.129 via 10.0.1.2 dev br0 src 10.0.1.3 uid 1000
cache
/ # ip route get 10.0.3.3
10.0.3.3 via 10.0.1.254 dev br0 src 10.0.1.3 uid 1000
cache mtu 1480
++++
==== Polityka systemu względem ruchu przechodzącego ====
Domyślnie Linux **nie** pozwala na przekazywanie pakietów (packet forwarding). \\
Aby zmienić to zachowanie, należy zmienić parametry jądra wykonując:
\\
''sysctl net.ipv4.conf.all.forwarding=1''
\\
''sysctl net.ipv6.conf.all.forwarding=1''
\\
lista dostępnych zmiennych: ''sysctl -a -r 'ip.*\.forwarding' ''
(więcej informacji: ''man 8 sysctl'' oraz ''man 7 ip'')
\\
dla IPv4 będzie też działać starszy parametr: ''sysctl net.ipv4.ip_forward=1''
Alternatywnie można też skorzystać z katalogu /proc:
\\
''echo 1 > /proc/sys/net/ipv4/conf/all/forwarding''
\\
''echo 1 > /proc/sys/net/ipv6/conf/all/forwarding''
\\
dla IPv4 będzie też działać starszy plik: ''echo 1 > /proc/sys/net/ipv4/ip_forward''
Ponadto na większości produkcyjnych systemów firewall domyślnie zabrania na
przepuszczanie ruchu
==== Komendy zmieniające trasy ====
=== iproute2 ===
| Dodanie trasy | ''ip route add / [via ] [dev ]'' |
| Dodanie trasy przez następny skok | ''ip route add / via '' \\ np.: ''ip r add 192.168.5.0/24 via 192.168.0.254'' |
| Dodanie trasy przez urządzenie | ''ip route add / dev '' \\ np.: ''ip r add 192.168.6.0/24 dev tun0'' |
| Dodanie trasy domyślnej | ''ip route add default via [dev ]'' \\ np.: ''ip r add default via 192.168.0.1'' |
| Usunięcie trasy | ''ip route del '' \\ np.: ''ip r del 192.168.5.0/24 via 192.168.0.254'' |
| Usunięcie całej tablicy routinug | ''ip route flush'' \\ Uwaga! Usuwa też trasy do bezpośrednio połączonych sieci. |
=== net-tools ===
| Dodanie trasy | ''route add [-net|-host] [netmask ] [gw ] [dev ]'' , np. \\ ''route add -net 192.168.5.0 [netmask 255.255.255.0] gw 192.168.0.254'' |
| Usunięcie trasy | ''route del [-net|-host] [netmask ] [gw ] [dev ]'' , np. \\ ''route del -net 192.168.5.0 [netmask 255.255.255.0] gw 192.168.0.254'' |
| Dodanie trasy domyślnej | ''route add default [gw ] [dev ]'', np: \\ ''route add default gw 192.168.0.1'' \\ Uwaga! Starsze wersje nie znają słowa kluczowego default, trzeba ustawiać trasę do 0.0.0.0/0 |
Komendy ustawiające trasy IPv4 i IPv6 są identyczne, przykłady są tylko dla IPv4 dla zwięzłości materiałów.
Trasa może definiować jednocześnie adres następnego skoku i urządzenie.
\\
Podanie samego urządzenia starczy **tylko** w specjalnych przypadkach, takich
jak np. sieć bezpośrednio połączona.
Przy definiowaniu trasy można podać też inne opcje mające wpływ na wybór trasy
(''metric'', ''src'') jak i też na sposób wysyłania nią pakietów (np. ''mtu'',
opcje TCP).
W Linuksie istnieją specjalne pseudo-trasy odrzucające pakiety –
''throw'', ''unreachable'', ''prohibit'', ''blackhole'', np:\\
''ip r a blackhole 10.0.0.0/8'' \\
''ip r a unreachable 10.0.0.0/8'' \\
===== [Ekstra] Komendy dla Windowsa =====
* Obsługa tablicy routingu – odwieczne polecenie ''[[https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/route_ws2008|route]]'' (uwaga, wsparcie tylko dla IPv4)
* Wyświetlenie tablicy tras ''route print''
* Dodanie trasy: ''route add mask '' \\ np. ''route add 192.168.1.0 mask 255.255.255.0 10.0.0.1''
* Usunięcie trasy ''route delete '' \\ (uwaga! jeśli jest wiele tras do tego samego adresu sieci z różnymi maskami – wszystkie będą usunięte!)
* Można też użyć odpowiedni cmdlet modułu [[https://learn.microsoft.com/en-us/powershell/module/nettcpip/?view=windowsserver2022-ps|NetTCPIP]] albo komendę ''[[https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc753156(v=ws.10)#add-route|netsh]]''
* Sprawdzenie trasy: ''tracert''
* Włączenie ruchu przechodzącego:
* Wpisanie wartości ''1'' typu DWORD do ''HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter''
* Podobne działanie daje udostępnienie połączenia internetowego (ppm na połączeniu sieciowym / "Właściwości" / karta "Udostępnianie" / "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera")
