Grundlagen der Netzwerkkommunikation: Protokolle, Sicherheit & Architektur

Label: Behandelt lange und kurze Sätze und identifiziert eine FEC. LER - Label Edge Router, LSR - Label Switching Router

Forward Equivalence Class (FEC): Darstellung einer Gruppe von Paketen mit den gleichen Transportanforderungen, die auf dem Weg zum Ziel gleich behandelt werden. Basierend auf Serviceanforderungen oder einer Präfixadresse.

Wireless: DV-Geräte, die mit einem drahtlosen Netzwerk verbunden sind. Typen: WPAN, WLAN und WWAN.

WPAN: Persönliche Netzwerke und drahtlose Kurzstreckenfunkverbindungen. Bluetooth verwendet omnidirektionale Übertragung (das Signal breitet sich in alle Richtungen aus). Wenn zwei oder mehr Bluetooth-Geräte verbunden sind, bilden sie ein Piconet (Peer-Netzwerk) mit maximal 8 Geräten. Die Verbindung mehrerer Piconets wird als Scatternet bezeichnet. IrDA (Infrarot): Bidirektional und erfordert die Ausrichtung der Geräte.

WLAN: Wireless Local Area Network mit zwei Topologien (Ad-hoc und Infrastruktur).

Ad-hoc: Gebildet von Geräten mit Wireless-Karten in einem Peer-Netzwerk ohne zentrales Gerät.

Infrastruktur: Geräte haben Zugriff auf einen AP - Access Point, der als zentrale Einrichtung für die Kommunikation zwischen Netzwerkgeräten dient.

Wi-Fi: Wireless Fidelity, basierend auf den 802.11-Standards.

WWAN: Besteht aus GSM/GPRS, 2G/3G Mobilfunk, CDPD, Mobitex und CDMA/1xRTT. Übertragung über Satellit und digitale, zellulare Netze für drahtlose Verbindungen über große Entfernungen. Ad-hoc-Infrastruktur.

Wireless Link: Wird normalerweise verwendet, um den Host mit der mobilen Basisstation zu verbinden, die auch als Backbone-Link bezeichnet wird. Multiple-Access-Protokolle werden verwendet, um den Zugriff auf den Link zu koordinieren, und es gibt verschiedene Datenraten und Übertragungsdistanzen.

Drahtloser Host: Laptops, PDAs, IP-Telefone. Anwendungen können fix oder mobil sein. Drahtlos bedeutet nicht immer Mobilität.

Basisstation: Verbindet sich normalerweise mit dem drahtgebundenen Netzwerk. Relais - verantwortlich für das Senden von Paketen zwischen den drahtgebundenen und drahtlosen Hosts in der Nähe. Z. B. Mobilfunkmasten, Access Points 802.11.

Handover: Mobiler Rechner bewegt sich von einer Basisstation zur anderen. Funktionen der Wireless-Verbindung (die Unterschiede zum kabelgebundenen Link machen die drahtlose Kommunikation schwierig, auch von Punkt zu Punkt): Schwaches Signal (das Signal wird schnell gedämpft), metallische Störungen durch andere Quellen, mehrere Ausbreitungspfade (Haupt- und reflektiertes Signal erreichen das Ziel zu unterschiedlichen Zeiten).

CSMA: Mithören vor der Übertragung, vermeidet Konflikte mit laufenden Übertragungen und macht die Kollisionserkennung schwierig, da die Kollisionen aufgrund des schwachen Empfangssignals schwer zu erkennen sind.

CSMA/CA: Der Sender sendet einen kleinen Anforderungsrahmen, RTS (Request to Send), an die Basisstation. Ein RTS kann kollidieren, ist aber klein. Die Basisstation sendet ein CTS (Clear to Send) als Antwort auf RTS. Alle hören das CTS, aber nur der ausgewählte Sender sendet den Datenrahmen.

Symmetrische Kryptographie: Schlüssel für Sender und Empfänger sind identisch.

Public-Key-Kryptographie: Verschlüsselung mit dem öffentlichen Schlüssel und Entschlüsselung mit dem privaten Schlüssel oder umgekehrt.

Code-Ersetzung: Ersetzung eines Zeichens durch ein anderes.

Monoalphabetische Chiffre: Ersetzung eines Buchstabens durch einen anderen.

Hash: Das Ergebnis der Berechnung kann für verschiedene Eingaben gleich sein. Es ist keine 1x1-Funktion. Erzeugt eine Zusammenfassung der Nachricht mit fester Größe. Ermöglicht nur die Validierung von Fehlern und nicht die Wiederherstellung.

Hash-Eigenschaften: Widerstand gegen die erste Umkehrung (unwahrscheinlich, die ursprüngliche Nachricht mit Aufwand 2ⁿ zu finden), Widerstand gegen die zweite Umkehrung (unwahrscheinlich, die ursprüngliche Nachricht mit Aufwand 2ⁿ zu finden) und Kollisionsresistenz (unwahrscheinlich, zwei Eingaben mit dem gleichen Hashwert zu finden, die die gleiche Zusammenfassung mit Aufwand 2^n/2 erzeugen).

Digitale Signatur: Kryptographisches Verfahren ähnlich wie handgeschriebene Unterschriften. Der Absender signiert digital, ist aber nicht fälschbar. Wendet einen Hash auf das Dokument an und nach Anwendung des privaten Schlüssels. Kann die Vertraulichkeit nicht garantieren, stellt aber die Authentizität und Urheberschaft sicher.

Zertifizierungsstelle: Verbindet den öffentlichen Schlüssel mit einem bestimmten Unternehmen.

Firewall: Isoliert das interne Netzwerk vom öffentlichen Bereich des Internets. Dient dazu, Denial-of-Service-Angriffe und illegalen Zugriff auf interne Daten zu verhindern und nur autorisierten Zugriff auf das Netzwerk zu ermöglichen. Typen: Anwendungsebene (Application Gateways) und Paketfilterung.

Paketfilter: Internes Netzwerk mit dem Internet über einen Router mit Firewall verbunden. Entscheidung, das Paket zu übergeben oder zu verwerfen, basierend auf: Quell- und Ziel-IP-Adresse, TCP/UDP-Quell- und Zielportnummer, ICMP-Typ und TCP-Bits (SYN und ACK).

Gateway-Anwendung: Filtert Pakete basierend auf Anwendungsdaten und IP/TCP/UDP-Feldern.

Einschränkungen von Firewalls und Gateways: IP-Spoofing (Router kann nicht wissen, ob die Quelle der Daten die angebliche Quelle ist), wenn mehrere Anwendungen eine spezielle Behandlung erfordern, ist für jede ein Gateway erforderlich, die Client-Software muss wissen, wie man das Gateway über UDP kontaktiert, Alles-oder-Nichts-Sicherheitsrichtlinie für die Kommunikation mit der Außenwelt.

Sicherheitsrisiken im Internet: Mapping (bevor entdeckt wird, welche Dienste im Netzwerk ausgeführt werden, Ping an den Host mit der Netzwerkadresse, um Ports zu scannen).

Gegenmaßnahmen: Paketfilterung und Suche nach der Quelle von Flooding-Angriffen.

Sichere E-Mail: Mit dem symmetrischen Schlüssel (KS) wird die Nachricht kodiert. KS wird mit dem öffentlichen Schlüssel des Empfängers kodiert und KS(m) und KB(KS) werden gesendet. Der Empfänger verwendet seinen privaten Schlüssel, um KS zu entschlüsseln und verwendet es dann, um KS(m) zu dekodieren und m zu erhalten. Für die Authentifizierung des Absenders und die Integrität der Nachricht signiert der Absender die Nachricht und sendet sie (offen) zusammen mit der Signatur.

Pretty Good Privacy (PGP): Verschlüsselung von E-Mails. Verwendet symmetrische Schlüsselverschlüsselung, Public-Key-Kryptographie, Hash-Funktionen und digitale Signaturen. Bietet Vertraulichkeit, Senderauthentifizierung und Integrität.

Security Sockets Layer (SSL): Arbeitet in der Transportschicht. IP-Anwendung bietet Sicherheit/SSL. Verwendung im elektronischen Geschäftsverkehr (https). Client und Server authentifizieren und verschlüsseln Daten. (Um den Server zu authentifizieren, enthält der Client den öffentlichen Schlüssel der CA. Der Client fordert Daten vom Server an und verwendet den öffentlichen Schlüssel der CA, um den öffentlichen Schlüssel des Servers zu extrahieren).

Verschlüsselte SSL-Sitzung: Der Browser generiert einen symmetrischen Sitzungsschlüssel, verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers. Der Server entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel. Browser und Server vereinbaren, dass zukünftige Nachrichten verschlüsselt werden.

Sicherheit: Möglichkeit, Daten zwischen zwei Personen so zu übertragen, dass die Kommunikation nur von den beteiligten Parteien verstanden wird, die Übertragung ohne Änderung erfolgt und keine Partei die Nachricht einsehen kann.

Verschlüsselung: Authentifizierung, Zugriffskontrolle, Vertraulichkeit, Integrität, Nachweisbarkeit und Verfügbarkeit.

Privater Schlüssel: Schlüssel, den nur der Besitzer kennen kann.

Öffentlicher Schlüssel: Schlüssel, den jeder kennt.

H - Hash-Algorithmus

EA - Asymmetrischer Algorithmus

C - Kryptogramm

DA - Asymmetrischer Algorithmus zum Entschlüsseln

Signallaufzeit: Laufzeit des Signals im Ausbreitungsmedium. Hängt von der Übertragungsgeschwindigkeit (bps) ab. d = Länge der physischen Verbindung, s = Ausbreitungsgeschwindigkeit im Medium (~200.000 km/s). Signallaufzeit = d/s, wenige Mikrosekunden bis Hunderte von Millisekunden.

Verkehrsintensität: La/R, La = Bandbreite und Paketgröße L. La/R ≈ 0: kleine Verzögerung. La/R < 1: Verzögerungen werden groß. La/R >= 1: etwas mehr als die Kapazität des Links, exponentielles Wachstum der Verzögerung.

Subsysteme strukturierte Verkabelung: Desktop, sekundäres Netzwerk, Telekommunikationsraum, primäres Netzwerk, Geräte, Telekommunikationslobby und externe Kabelverbindung.

Desktop: Verkabelung zwischen Geräten und Steckdosen (eine pro 10 m²). Jede Steckdose muss Zugang zu Daten- und Sprachkommunikation haben. Kabellänge = 5 m.

Sekundäres Netzwerk: Horizontales Verkabelungssystem zum Verteilerzentrum, wo die Blöcke im Verteiler und die Netzwerkhardware installiert sind. Anschluss oder Buchsen-Schnittstelle für Desktop und Patch-Panel auf der Seite des Verteilerzentrums. Maximale Kabellänge = 90 m.

Primäres Netzwerk: Vertikale Verkabelung, die die Telekommunikationsräume mit dem Gebäudeeingang verbindet. Bevorzugte Verwendung von Glasfaserkabeln. Twisted-Pair-Kabel werden ebenfalls verwendet und sind auf 90 m begrenzt. Bei Verwendung von Glasfaserkabeln beträgt die maximale Länge 3000 m mit Zwischenrahmen alle 500 m.

Telekommunikationsraum: Nach TIA/EIA0569-A entwickelt. Verbindet den aktiven Arbeitsbereich. Ein Raum pro 1000 m².

Querverbindung: Interconnection Seite 4

Ausstattung des Raums: Geräte, Übergang zwischen sekundärem und primärem Netzwerk durch Patchfelder. Verwendete Kabel: Single- und Multimode-Glasfaser, UTP-Kategorie 5e und 6, ScTP- und FTP-Kategorie 5e und 6. Konzentration der Anlagen - Server, Switches und Fernverwaltung.

Telekommunikations-Gebäudeeingang: Kabel kommen vom Gebäude, Übergang von externen Kabeln zum Hauptnetzwerk.

Externe Verkabelung: Verkabelung zwischen Gebäuden. Multimode- oder Singlemode-Glasfaser. Maximale Länge 2000 m.

X.25: Eine Reihe von Protokollen der ersten drei Schichten des OSI-Modells. Kann einen physischen Kanal mit bis zu 4095 virtuellen Verbindungen verbinden. Unterstützt übergeordnete Protokolle wie TCP/IP und SNA. Physikalische Schicht: Definiert die mechanischen und elektrischen Eigenschaften der Schnittstelle für Terminal und Netzwerk. Sicherungsschicht (Link): Protokoll für die gesamte Leitung, verantwortlich für den Datenaustausch zwischen Terminal und Netzwerk. Paketebene: Legt fest, wie Anrufe aufgebaut, empfangen und beendet werden. Die Adresse wird von den unteren Schichten unabhängig verwendet und kann auch Flusskontrolle und Sequenzierung durchführen.

Protokolle für dedizierten Zugriff: X.25: Zugriff für dedizierte Terminals mit synchroner Schnittstelle mit Geschwindigkeiten zwischen 9,6 kbit/s und 2 Mbit/s. X.28: Dedizierter Zugriff für Terminals mit asynchroner Schnittstelle und einer Höchstgeschwindigkeit von 9,6 kbit/s. SDLC: IBM-Protokoll über Mietleitungen mit einer maximalen Geschwindigkeit von 256 kbit/s.

Protokoll für geschalteten Zugriff: X.28: DFÜ-Terminals mit asynchroner Schnittstelle und einer Geschwindigkeit von 9,6 kbit/s.

Frame Relay: Pakete werden Frames genannt. Jeder Frame enthält Informationen über das Ziel. Verwendet DLCI für virtuelle Verbindungen. Keine Bestätigung der Zustellung von einer Cloud. Mehrere virtuelle Schaltungen auf einer physischen Verbindung. Mehrere logische Kanäle auf einer Zugangsleitung (Punkt-Mehrpunkt). Kostengünstiger als eine private Leitung. Verfügbar in 64 kbit/s, 128 kbit/s, 256 kbit/s, 512 kbit/s, 1024 kbit/s und 2048 kbit/s.

Virtuelle Verbindung: Verbindung zwischen verschiedenen Punkten, die zu einem bestimmten Zeitpunkt mit einer bestimmten Bandbreite konfiguriert wird. Bidirektionale virtuelle Datenverbindung. Dient als dedizierte Schaltung. Es gibt zwei Arten:

Permanent Virtual Circuits (PVC): Permanent konfigurierte virtuelle Verbindungen. Vom Netzbetreiber im Falle eines Ausfalls geändert. Feste Endpunkte.

Switched Virtual Circuit (SVC): Geschaltete virtuelle Verbindungen. Automatisch verfügbar, je nach Bedarf oder unvorhergesehenen Ereignissen (Ausfall der Hauptverbindung).

LMI: Ein vom Router verwendetes Protokoll, um mit dem ersten Frame-Relay-Switch in der Cloud zu kommunizieren. Läuft nur zwischen dem Frame-Relay-Switch und dem Router. Ermöglicht die dynamische Erstellung virtueller Verbindungen.

DLCI: Data Link Connection Identifier. Virtuelle Verbindung mit der Gegenstelle. Jeder DLCI identifiziert eine Gruppe von virtuellen Verbindungen auf dem Link und kann nicht als Adresse verwendet werden, da er die Nummer des HP identifiziert.

CIR: Garantierte Mindestübertragungsrate. Je höher die CIR, desto höher die Geschwindigkeit für den Zugriff auf den Verkehr und die Kosten für die Verbindung. CIR = 0: Keine garantierte Zustellung von Paketen.

Frame-Relay-Protokoll: Gemeinsame Struktur und optimierte Werte markieren den Anfang und das Ende jedes Frames. Header: Steuerinformationen mit 10-Bit-DLCI, der die Adresse des Empfängers des PVC und die lokale Bedeutung im Herkunftsport ist.

Frame-Relay-Netzwerk: Besteht aus Endgeräten (Workstations, Server, Mainframes usw.), Zugangssystemen (Bridges, Access Router, Access Devices - FRAD usw.) und Netzwerkgeräten (Switches, Router, Übertragungstechnik E1 oder T1 usw.). Übertragene Informationen über DLCI (Empfänger des Frames). Frames werden verworfen, wenn Probleme oder Staus auftreten. Führt keine Fehlerkorrektur durch. Benötigt Übertragungsstrecken mit geringen Fehlern und Ausfällen.

Frame Relay vs. X.25: Netzwerktechnologien für große Entfernungen, virtuelle Verbindungen, sprachorientiert und kann zum Übertragen von IP-Datagrammen verwendet werden (Intelligenz im Netzwerk).

IP vs. X.25: X.25 für zuverlässige und sequenzielle Zustellung (und Fehlerwiederherstellung durch Wiederholung). IP-Zustellung Ende-zu-Ende unzuverlässig und nicht sequenziell (Intelligenz ist im Host).

ATM-Kommunikationstechnologie: Hochgeschwindigkeitsdaten, Vernetzung von LANs, MANs und WANs, Daten, Audio und Video. Bietet eine Möglichkeit der asynchronen Übertragung über Datennetze mit Zellteilung (Pakete fester Länge), die die Adresse für die Vernetzung von Geräten zu ihrem Ziel enthält. Verwendet Paketvermittlung und sendet Informationen mit unterschiedlichen Anforderungen an Verzögerungszeit, Zuverlässigkeit und Funktionalität. Besteht aus Endgeräten (Workstations, Server, Mainframes, TK-Anlagen usw.), Zugangsgeräten (Bridges, Access Router, Hubs, Switches) und Netzwerkgeräten (Switches, Router, Übertragungstechnik E1 oder T1 usw.). Wird durch eine Cloud dargestellt, da es keine einfache physische Verbindung zwischen zwei Punkten gibt. Virtuelle Verbindung mit einer bestimmten Bandbreite. Die Bandbreite wird Zelle für Zelle belegt. Bei der Übertragung wird Multiplexing und Paketvermittlung verwendet. Verbindungsorientierter Dienst im asynchronen Modus. Verwendet eine feste Paketgröße. Die Zelle besteht aus 48 Byte für Informationen und 5 für den Header. Jede Zelle enthält Adressinformationen, die eine virtuelle Verbindung zwischen Quelle und Ziel herstellen.

Vorteile: Dynamisches Bandbreitenmanagement, feste und niedrige Verarbeitungskosten, umfasst verschiedene Arten von Verkehr (Daten, Sprache und Video), garantiert Bandbreitenzuweisung und Ressourcen, hohe Verfügbarkeit, unterstützt mehrere Servicearten, wählt verzögerungsempfindliche Anwendungen oder nicht, Paketverlust, für öffentliche und private Netze, skalierbar, flexibel und automatische Wiederherstellung nach einem Absturz, kann mit Frame Relay, TCP/IP, DSL, Gigabit Ethernet, Wireless, SDH/SONET interagieren.

Einschränkungen: Andere Technologien wie Fast Ethernet, Gigabit Ethernet und TCP/IP wurden mit ATM-Schnittstellen implementiert. Waren bei Workstations und Hochleistungsservern aufgrund der Kosten und Komplexität nicht gut angenommen. Telekommunikationsanbieter verwenden ATM in ihren Backbone-Netzwerken, um Medien zu speichern.

ATM - Virtuelle Verbindungen: VPC: Virtual Path Connection zwischen zwei Geräten oder Benutzerzugängen. Sammlung von VCCs, die so konfiguriert sind, dass Sender und Empfänger verbunden werden. VCC: Virtual Channel Connection zwischen zwei Geräten oder Benutzerzugängen. Annahme von VCs am Ursprung und Ziel.

MPLS: Bietet Mittel zur Zuordnung von IP-Adressen (nur einmal in den Randknoten) zu einfachen, festen Labels. Verwendet verschiedene Technologien und Paketvermittlung. Routing erfolgt anhand eines im Paket-Header eingefügten Labels (Adresse wird nicht geändert und jeder Switch leitet weiter). Vermeidet den intensiven Prozess der Datenrecherche, den Router verwenden, um die beste Route basierend auf dem Label zu bestimmen. Vorteile: Schnellere Paketverarbeitung, Priorisierung basierend auf Labels, Pakete durchlaufen das Netzwerk über virtuelle Verbindungen (VPNs), ermöglicht verschiedene Verschlüsselungsstufen und den Transport mehrerer Protokolle, da die Paketnutzlast vom Router nicht untersucht wird. Die Zuordnung eines Pakets zu einer bestimmten FEC erfolgt nur einmal im LER.

LER: MPLS-Knoten, der eine MPLS-Domäne mit einem Knoten außerhalb der Domäne verbindet.

LSR: MPLS-Knoten, der das Paket empfängt, das Label extrahiert und in der Routing-Tabelle nach dem Ausgang und dem neuen Label sucht. Nur ein Algorithmus. Kann eine oder mehrere Routing-Tabellen haben, die durch Verteilen von Labels mit Label Distribution Protocol (LDP), RSVP und Routing-Protokollen wie OSPF und BGP erstellt werden.

LSP (Label Switched Path): Tritt bei einer Übertragung in MPLS auf. Label Switched Paths (LSPs) werden vor der Übertragung der Daten oder der Erkennung eines bestimmten Datenflusses festgelegt.

LDP (Label Distribution Protocol): Eine Reihe von Verfahren, mit denen ein LSR einen anderen LSR über Label/FEC-Zuordnungen informiert. MPLS-Architekturkonzepte.