Narzędzia użytkownika
bio-psiec:routing
Różnice
Różnice między wybraną wersją a wersją aktualną.
| — |
bio-psiec:routing [2025/10/15 21:47] (aktualna) jkonczak utworzono |
||
|---|---|---|---|
| Linia 1: | Linia 1: | ||
| + | ===== Warstwa sieci ===== | ||
| + | |||
| + | Warstwa **łącza danych** zapewnia komunikację między **bezpośrednio połączonymi** urządzeniami. | ||
| + | |||
| + | Warstwa **sieci** zapewnia komunikację między **dowolnymi** urządzeniami. | ||
| + | |||
| + | Wiadomości na warstwie sieci nazywa się **pakietami**. | ||
| + | \\ | ||
| + | Urządzenia warstwy sieci to trasowniki (routery). | ||
| + | |||
| + | Na warstwie sieci działają protokoły IPv4 i IPv6 | ||
| + | |||
| + | === Fragmentacja w IPv4 i IPv6 === | ||
| + | |||
| + | Protokoły działające na drugiej warstwie (łącza danych) mają górne ograniczenie | ||
| + | na wielkość ramek, np. dla Ethernetu to 1500B. | ||
| + | |||
| + | Niektóre protokoły działające na czwartej warstwie (transportu) potrzebują | ||
| + | czasami przesłać większe wiadomości – np. w protokole UDP programista może | ||
| + | zażądać wysłania wiadomości do rozmiaru 64kB. | ||
| + | |||
| + | Dlatego protokoły trzeciej warstwy (sieci) – takie jak IPv4 i IPv6 – potrafią | ||
| + | wykonać fragmentację: podzielić wiadomość warstwy czwartej na fragmenty, | ||
| + | przesłać każdy z nich w osobnym pakiecie, a następnie u odbiorcy złożyć te | ||
| + | fragmenty w całość. | ||
| + | |||
| + | Fragmentacji, o ile to możliwe, należy unikać – często prowadzi do | ||
| + | nieoptymalnego wykorzystania sieci. | ||
| + | |||
| + | === ICMP === | ||
| + | |||
| + | Protokół IP nie przewiduje informowania nadawcy o problemach. | ||
| + | |||
| + | Funkcje diagnostyczne i kontrolne dla IP spełnia protokół ICMP (Internet Control | ||
| + | Message Protocol). ICMP różni się w szczegółach między wersją dla | ||
| + | [[https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol|IPv4 (ICMP)]] | ||
| + | i dla [[https://en.wikipedia.org/wiki/ICMPv6|IPv6 (ICMPv6)]]. ICMPv6 spełnia | ||
| + | też dodatkowe funkcje. | ||
| + | |||
| + | ICMP/v6 pozwala między innymi na: | ||
| + | * wysłanie informacji zwrotnej o niedostarczeniu pakietu, z podaniem powodu, np: | ||
| + | * nie ma takiej sieci, komputera, programu docelowego, … (//destination unreachable//) | ||
| + | * zabroniono fragmentacji, a pakiet był za duży żeby go przesłać dalej (//packet too big//) | ||
| + | * pakiet zrobił za dużo skoków i skończył się TTL/hop limit (//time exceeded//) | ||
| + | * testowanie łączności (ping – //echo request// i //echo reply//) | ||
| + | |||
| + | ===== Trasowanie ===== | ||
| + | |||
| + | Zadaniem warstwy sieci jest dostarczenie danych do dowolnego wskazanego | ||
| + | urządzenia w sieci. | ||
| + | \\ | ||
| + | **Jeśli cel nie jest bezpośrednio połączony, dane (pakiety) trzeba wysłać do | ||
| + | wybranego z bezpośrednich sąsiadów.** | ||
| + | |||
| + | Zauważ że adres źródłowy i docelowy warstwy sieci (adres IP) zostaje bez zmian | ||
| + | od źródła do celu, a adres źródłowy i docelowy warstwy łącza danych (adres MAC) | ||
| + | jest ustawiany na nowo przez każde kolejne urządzenie. | ||
| + | |||
| + | **Trasowanie** (routing) to wyznaczenie następnego urządzenia do którego | ||
| + | zostanie wysłany pakiet. | ||
| + | \\ | ||
| + | Na każdym urządzeniu wyznaczany jest **adres IP następnego skoku** i interfejs | ||
| + | którym pakiet zostanie wysłany (nigdy cała trasa). | ||
| + | |||
| + | ==== Tablica tras ==== | ||
| + | |||
| + | Urządzenia podejmują decyzję dokąd dalej wysłać pakiet na podstawie **tablicy tras** | ||
| + | ([[http://en.wikipedia.org/wiki/Routing_table|routing table]]). | ||
| + | |||
| + | Tablicę tras można zbudować ręcznie (trasowanie statyczne), lub skonfigurować i | ||
| + | uruchomić protokół trasowania dynamicznego który automatycznie zbuduje taką tablicę. | ||
| + | |||
| + | Tablica tras to lista wpisów na które składają się przynajmniej: | ||
| + | * cel – sieć docelową (np. 1.2.0.0/16, 192.168.2.0/24) | ||
| + | * trasa – adres następnego skoku (np. 3.4.5.6, 192.168.1.1) lub/i port wyjściowy (slo1, tun2) | ||
| + | * typowo podaje się tylko adres następnego skoku (czyli adres z bezpośrednio połączonej sieci) | ||
| + | * dla sieci bezpośrednio podłączonych podaje się tylko urządzenie | ||
| + | * metryka – koszt wysłania daną trasą pakietu, używany do porównywania tras, (np. 0, 1, 10, 679842) | ||
| + | |||
| + | Przykład tablicy tras w Linuksie: | ||
| + | <html><div style="margin-top:-1.2em;margin-bottom:-1.2em"></div></html> | ||
| + | <html><pre> | ||
| + | <span title="Trasa domyślna – będzie użyta jak żadna inna się nie dopasuje" style="background-color:rgba(255,0,255,0.1)">default</span> <span title="Wskazanie do kogo przekazać dalej pakiet idący na adresy IP ze wskazanej sieci" style="background-color:rgba(255,0,0,0.2)">via 150.254.32.65</span> dev br0 <span title="Trasę ustawił protokół DHCP" style="background-color:rgba(0,128,0,0.1)">proto dhcp</span> | ||
| + | <span title="Wskazanie do których adresów IP prowadzi trasa" style="background-color:rgba(255,255,0,0.2)">10.0.0.0/8</span> <span title="Wskazanie do kogo przekazać dalej pakiet idący na adresy IP ze wskazanej sieci" style="background-color:rgba(255,0,0,0.2)">via 150.254.32.126</span> dev br0 | ||
| + | <span title="Wskazanie do których adresów IP prowadzi trasa" style="background-color:rgba(255,255,0,0.2)">10.3.0.0/16</span> <span title="Wskazanie do kogo przekazać dalej pakiet idący na adresy IP ze wskazanej sieci" style="background-color:rgba(255,0,0,0.2)">via 150.254.32.65</span> dev br0 | ||
| + | <span title="Wskazanie do których adresów IP prowadzi trasa" style="background-color:rgba(255,255,0,0.2)">10.8.0.0/16</span> <span title="Wskazanie do kogo przekazać dalej pakiet idący na adresy IP ze wskazanej sieci" style="background-color:rgba(255,0,0,0.2)">via 172.16.0.1</span> dev enp1s0 <span title="Koszt wysłania pakietu tą trasą" style="background-color:rgba(0,0,255,0.1)">metric 100</span> | ||
| + | <span title="Wskazanie do których adresów IP prowadzi trasa" style="background-color:rgba(255,255,0,0.2)">10.8.0.0/16</span> <span title="Wskazanie do kogo przekazać dalej pakiet idący na adresy IP ze wskazanej sieci" style="background-color:rgba(255,0,0,0.2)">via 150.254.32.88</span> dev br0 <span title="Koszt wysłania pakietu tą trasą" style="background-color:rgba(0,0,255,0.1)">metric 200</span> | ||
| + | 150.254.32.64/26 dev br0 <span title="Trasę automatycznie ustawił kernel przy dodaniu IP z tej sieci do interfejsu" style="background-color:rgba(0,128,0,0.1)">proto kernel</span> scope link src 150.254.32.75 | ||
| + | 172.16.0.0/16 dev enp1s0 <span title="Trasę automatycznie ustawił kernel przy dodaniu IP z tej sieci do interfejsu" style="background-color:rgba(0,128,0,0.1)">proto kernel</span> scope link src 172.16.0.10 | ||
| + | <span title="Dodana ręcznie informacja że komputery z sieci 172.18.0.0/16 są bezpośrednio osiągalne przez urządzenie enp1s0" style="background-color:rgba(255,128,0,0.2)">172.18.0.0/16 dev enp1s0 scope link</span> | ||
| + | </pre></html> | ||
| + | | ||
| + | ==== Wybór trasy ==== | ||
| + | |||
| + | Schemat wyboru trasy: | ||
| + | * z tras do sieci w których znajduje się docelowy adres wybiera się trasy do sieci o najdłuższej masce, np.:<code>172.21.0.0/16 via 172.16.0.16 dev eth2 | ||
| + | 172.21.0.0/24 via 172.16.0.24 dev eth2 | ||
| + | 172.21.0.0/28 via 172.16.0.28 dev eth2</code> pakiet kierowany do 172.21.0.15 zostanie wysłany przez 172.16.0.28, a \\ pakiet kierowany do 172.21.0.55 zostanie wysłany przez 172.16.0.24 | ||
| + | * jeśli wybór nie jest jednoznaczny - trasa o najmniejszym koszcie, np.:<code>150.254.44.0/23 dev wlan0 proto kernel scope link src 150.254.45.39 metric 2003 | ||
| + | 150.254.44.0/23 dev wlan1 proto kernel scope link src 150.254.44.149 metric 1002</code>tu zawsze wybrana jest trasa przez 150.254.44.149, jako ta o niższym koszcie | ||
| + | * jeśli wybór nie jest jednoznaczny - pierwsza w tablicy.<code>default via 150.254.44.1 dev wlan0 | ||
| + | default via 150.254.130.42 dev eth0</code> | ||
| + | |||
| + | Zwykle definiuje się w tablicy tras **trasę domyślną**. \\ | ||
| + | Czasami jest ona traktowana "specjalnie" – pokazywana w osobnym miejscu lub opisana jako //default// (zamiast adresu sieci). \\ | ||
| + | Jeśli nie – do zdefiniowania trasy domyślnej używa się adresu 0.0.0.0/0 | ||
| + | |||
| + | ==== Szukanie MAC, przełączanie, trasowanie – ilustracja ==== | ||
| + | |||
| + | <html> | ||
| + | <object id="svg-object" data="/jkonczak/_media/bio-psiec:routing:arp-switching-routing.svg" type="image/svg+xml"></object> | ||
| + | </html> | ||
| + | |||
| + | ==== Komendy sprawdzające trasę pakietu ==== | ||
| + | |||
| + | W nagłówku każdego pakietu IP jest limit przeskoków (<small>w IPv4: TTL – Time | ||
| + | To Live, w IPv6: Hop Limit</small>), zmniejszany przez każdy mijany router. | ||
| + | Kiedy licznik spadnie do zera, pakiet nie jest przesyłany dalej, a do nadawcy | ||
| + | powinien zostać wysłany pakiet ICMP //Time exceeded//. | ||
| + | |||
| + | Można wykorzystać ten mechanizm do poznania trasy pakietu – wysyła się pakiety | ||
| + | z wartościami limitu przeskoków 1, 2, 3, 4, …, następnie obserwuje skąd przychodzą | ||
| + | odpowiedzi o przekroczeniu limitu. | ||
| + | |||
| + | Programy które służą do badania w ten sposób trasy to: | ||
| + | * ''traceroute {-I|-T} <//cel//>'' \\ <small>Z uwagi na firewall Politechniki proszę używać opcji ''-I'' lub ''-T'', która go skutecznie omija</small> | ||
| + | * ''mtr <//cel//>'' | ||
| + | |||
| + | ===== Konfiguracja trasowania statycznego w Linuksie ===== | ||
| + | |||
| + | ==== Wyświetlanie tablic routingu w systemie Linux ==== | ||
| + | Narzędzia ''route'' (net-tools) i ''ip route'' (iproute2) | ||
| + | |||
| + | Wypisanie trasy (uwaga, komendy wypisują zwykle osobno trasy do IPv4 i IPv6): | ||
| + | * ''ip [-6] route [list|show]'' | ||
| + | * ''route [-6]'' | ||
| + | * <small>''ip route show table all'' pokaże wszystkie trasy naraz</small> | ||
| + | <html><div style="margin-top:-1.2em"></div></html> | ||
| + | Sprawdzenie adresu następnego skoku do podanego adresu docelowego: | ||
| + | * ''ip route get <addr>'' | ||
| + | |||
| + | ++++ Przykłady poleceń | | ||
| + | <html><pre> | ||
| + | <b>/ # ip route</b> | ||
| + | <span title="Trasa domyślna (trasa do 0.0.0.0/0)" style="background-color:rgba(0,255,0,0.2)">default</span> via 10.0.1.2 dev br0 proto dhcp src 10.0.1.3 metric 3 | ||
| + | <span title="Cel trasy - sieć 10.0.0.0/24" style="background-color:rgba(0,255,0,0.2)">10.0.0.0/24</span> <span title="Następny skok" style="background-color:rgba(255,0,0,0.2)">via 10.0.1.1</span> <span title="Urządzenie przez które dostępny jest adres następnego skoku" style="background-color:rgba(255,255,0,0.4)">dev br0</span> proto dhcp <span title="Adres używany jako źródłowy, ma znaczenie jeśli komputer ma wiele adresów IP" style="background-color:rgba(0,0,255,0.15)">src 10.0.1.3</span> <span title="Metryka (koszt) trasy" style="background-color:rgba(255,0,255,0.2)">metric 3</span> | ||
| + | <span title="Trasa bez adresu IP następnego skoku oznacza, że komputery z tej sieci są bezpośrednio połączone do podanego interfejsu" style="background-color:rgba(255,0,0,0.2)">10.0.1.0/24 dev br0</span> proto dhcp scope link src 10.0.1.3 metric 3 | ||
| + | 10.0.2.0/24 via 10.0.1.254 dev br0 | ||
| + | 10.0.3.0/24 via 10.0.1.254 dev br0 metric 200 <span title="Przykład dodatkowej opcji trasy" style="background-color:rgba(0,0,0,0.1)">mtu 1480</span> | ||
| + | <span title="Przykład specjalnego typu trasy (tutaj: zaznaczenie, że tych adresów nie ma w sieci)" style="background-color:rgba(0,0,0,0.1)">blackhole 10.0.4.0/24</span> | ||
| + | |||
| + | <b>/ # route -n</b> | ||
| + | Kernel IP routing table | ||
| + | Destination Gateway Genmask Flags Metric Ref Use Iface | ||
| + | <span title="Trasa domyślna" style="background-color:rgba(0,255,0,0.2)">0.0.0.0</span> 10.0.1.2 0.0.0.0 UG 3 0 0 br0 | ||
| + | <span title="Cel trasy - sieć lub komputer 10.0.0.0, w zależności od maski podanej dalej" style="background-color:rgba(0,255,0,0.2)">10.0.0.0</span> 10.0.1.1 <span title="Maska adresu docelowego – w tym przypadku /24, czyli jest to adres do sieci" style="background-color:rgba(0,255,0,0.2)">255.255.255.0</span> UG 3 0 0 br0 | ||
| + | 10.0.1.0 <span title="Brak adresu następnego skoku oznacza sieć bezpośrednio połączoną" style="background-color:rgba(255,0,0,0.2)">0.0.0.0</span> 255.255.255.0 U 3 0 0 br0 | ||
| + | 10.0.2.0 <span title="Adres następnego skoku" style="background-color:rgba(255,0,0,0.2)">10.0.1.254</span> 255.255.255.0 UG 0 0 0 br0 | ||
| + | 10.0.3.0 10.0.1.254 255.255.255.0 UG 200 0 0 br0 | ||
| + | 10.0.4.0 0.0.0.0 255.255.255.0 U 0 0 0 * | ||
| + | |||
| + | <b>/ # ip route get 10.0.1.2</b> | ||
| + | 10.0.1.2 dev br0 src 10.0.1.3 uid 1000 | ||
| + | cache | ||
| + | |||
| + | <b>/ # ip route get 10.0.0.1</b> | ||
| + | 10.0.0.1 via 10.0.1.1 dev br0 src 10.0.1.3 uid 1000 | ||
| + | cache | ||
| + | |||
| + | <b>/ # ip route get 150.254.32.129</b> | ||
| + | 150.254.32.129 via 10.0.1.2 dev br0 src 10.0.1.3 uid 1000 | ||
| + | cache | ||
| + | |||
| + | <b>/ # ip route get 10.0.3.3</b> | ||
| + | 10.0.3.3 via 10.0.1.254 dev br0 src 10.0.1.3 uid 1000 | ||
| + | cache mtu 1480 | ||
| + | </pre></html> | ||
| + | ++++ | ||
| + | |||
| + | ==== Polityka systemu względem ruchu przechodzącego ==== | ||
| + | |||
| + | Domyślnie Linux **nie** pozwala na przekazywanie pakietów (packet forwarding). \\ | ||
| + | Aby zmienić to zachowanie, należy zmienić parametry jądra wykonując: | ||
| + | \\ | ||
| + | ''sysctl net.ipv4.conf.all.forwarding=1'' | ||
| + | \\ | ||
| + | ''sysctl net.ipv6.conf.all.forwarding=1'' | ||
| + | \\ | ||
| + | <small> | ||
| + | lista dostępnych zmiennych: ''sysctl -a -r 'ip.*\.forwarding' '' | ||
| + | (więcej informacji: ''man 8 sysctl'' oraz ''man 7 ip'') | ||
| + | \\ | ||
| + | dla IPv4 będzie też działać starszy parametr: ''sysctl net.ipv4.ip_forward=1'' | ||
| + | </small> | ||
| + | |||
| + | <small> | ||
| + | Alternatywnie można też skorzystać z katalogu /proc: | ||
| + | \\ | ||
| + | ''echo 1 > /proc/sys/net/ipv4/conf/all/forwarding'' | ||
| + | \\ | ||
| + | ''echo 1 > /proc/sys/net/ipv6/conf/all/forwarding'' | ||
| + | \\ | ||
| + | dla IPv4 będzie też działać starszy plik: ''echo 1 > /proc/sys/net/ipv4/ip_forward'' | ||
| + | |||
| + | Ponadto na większości produkcyjnych systemów firewall domyślnie zabrania na | ||
| + | przepuszczanie ruchu | ||
| + | </small> | ||
| + | |||
| + | ==== Komendy zmieniające trasy ==== | ||
| + | |||
| + | === iproute2 === | ||
| + | <html><div style="margin-top:-1.2em"></div></html> | ||
| + | | Dodanie trasy | ''ip route add <//addr//>/<//mask//> [via <//addr//>] [dev <//ifname//>]'' | | ||
| + | | Dodanie trasy przez następny skok | ''ip route add <//addr//>/<//mask//> via <//addr//>'' \\ np.: ''ip r add 192.168.5.0/24 via 192.168.0.254'' | | ||
| + | | <small> Dodanie trasy przez urządzenie </small>|<small> ''ip route add <//addr//>/<//mask//> dev <//ifname//>'' \\ np.: ''ip r add 192.168.6.0/24 dev tun0'' </small>| | ||
| + | | Dodanie trasy domyślnej | ''ip route add default via <//następny skok//> [dev <//urządzenie//>]'' \\ np.: ''ip r add default via 192.168.0.1'' | | ||
| + | | Usunięcie trasy | ''ip route del <//specyfkacja trasy//>'' \\ np.: ''ip r del 192.168.5.0/24 via 192.168.0.254'' | | ||
| + | | Usunięcie całej tablicy routinug | ''ip route flush'' \\ <small>Uwaga! Usuwa też trasy do bezpośrednio połączonych sieci.</small> | | ||
| + | |||
| + | === net-tools === | ||
| + | <html><div style="margin-top:-1.2em"></div></html> | ||
| + | | Dodanie trasy | ''route add [-net|-host] <//cel//> [netmask <//maska//>] [gw <//brama//>] [dev <//ifname//>]'' , np. \\ ''route add -net 192.168.5.0 [netmask 255.255.255.0] gw 192.168.0.254'' | | ||
| + | | Usunięcie trasy | ''route del [-net|-host] <//cel//> [netmask <//maska//>] [gw <//brama//>] [dev <//ifname//>]'' , np. \\ ''route del -net 192.168.5.0 [netmask 255.255.255.0] gw 192.168.0.254'' | | ||
| + | | Dodanie trasy domyślnej | ''route add default [gw <//brama//>] [dev <//ifname//>]'', np: \\ ''route add default gw 192.168.0.1'' \\ <small>Uwaga! Starsze wersje nie znają słowa kluczowego default, trzeba ustawiać trasę do 0.0.0.0/0 </small> | | ||
| + | |||
| + | <small>Komendy ustawiające trasy IPv4 i IPv6 są identyczne, przykłady są tylko dla IPv4 dla zwięzłości materiałów.</small> | ||
| + | |||
| + | Trasa może definiować jednocześnie adres następnego skoku i urządzenie. | ||
| + | \\ | ||
| + | Podanie samego urządzenia starczy **tylko** w specjalnych przypadkach, takich | ||
| + | jak np. sieć bezpośrednio połączona. | ||
| + | |||
| + | <small> | ||
| + | Przy definiowaniu trasy można podać też inne opcje mające wpływ na wybór trasy | ||
| + | (''metric'', ''src'') jak i też na sposób wysyłania nią pakietów (np. ''mtu'', | ||
| + | opcje TCP). | ||
| + | |||
| + | W Linuksie istnieją specjalne pseudo-trasy odrzucające pakiety – | ||
| + | ''throw'', ''unreachable'', ''prohibit'', ''blackhole'', np:\\ | ||
| + | ''ip r a blackhole 10.0.0.0/8'' \\ | ||
| + | ''ip r a unreachable 10.0.0.0/8'' \\ | ||
| + | </small> | ||
| + | |||
| + | ===== [Ekstra] Komendy dla Windowsa ===== | ||
| + | * Obsługa tablicy routingu – odwieczne polecenie ''[[https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/route_ws2008|route]]'' (uwaga, wsparcie tylko dla IPv4) | ||
| + | * Wyświetlenie tablicy tras ''route print'' | ||
| + | * Dodanie trasy: ''route add <SIEĆ> mask <MASKA> <NEXT_HOP>'' \\ np. ''route add 192.168.1.0 mask 255.255.255.0 10.0.0.1'' | ||
| + | * Usunięcie trasy ''route delete <SIEĆ>'' \\ (uwaga! jeśli jest wiele tras do tego samego adresu sieci z różnymi maskami – wszystkie będą usunięte!) | ||
| + | * Można też użyć odpowiedni cmdlet modułu [[https://learn.microsoft.com/en-us/powershell/module/nettcpip/?view=windowsserver2022-ps|NetTCPIP]] albo komendę ''[[https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc753156(v=ws.10)#add-route|netsh]]'' | ||
| + | * Sprawdzenie trasy: ''tracert'' | ||
| + | * Włączenie ruchu przechodzącego: | ||
| + | * Wpisanie wartości ''1'' typu DWORD do ''HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter'' | ||
| + | * Podobne działanie daje udostępnienie połączenia internetowego (ppm na połączeniu sieciowym / "Właściwości" / karta "Udostępnianie" / "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera") | ||
bio-psiec/routing.txt · ostatnio zmienione: 2025/10/15 21:47 przez jkonczak
Narzędzia strony
Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: Creative Commons Attribution-ShareAlike 4.0 International License
