Vezeték nélküli előfizetői hurok(VLL):

Hasonló a mobil telefonokhoz, de itt az előfizető nem mozog, tehát a szolgáltatás ugyanúgy helyhez kötött, mint a kábeles rendszereknél. 198 MHz-es mikrohullámú hálózatokat alakítottak ki, melyet MMDS-nek (többcsatornás többpontos elosztási szolgáltatás), valamint LMDS-nek (helyi többpontos elosztási szolgáltatás) nevezzük.

Az MMDS-t és az LMDS-t MAN-nak tekintjük. Előnye, hogy olcsó, gyorsan kialakítható, viszont a szerény sávszélességnek köszönhetően, sok felhasználó osztozik rajta ez az MMDS, az LMDS alacsonyabb frekvencián működik, így a sávszélesség már 1,3 GHz. Az LMDS viszont érzékenyebb az árnyékokra, (l: fa) egyenes rálátásra van szükség.

A VLL szabványa az IEEE 802.11 vagy WIFI.

Mobiltelefon rendszer:

3 generáció:

1G: Analóg beszédtovábbítás (korlátozott kapacitású à AMPS)

2G: Digitális beszédtovábbítás (GSM,CDMA) (20Kb/s)

3G: Digitális beszéd és adattovábbítás (3g; CDMA àszélessávú) (2Mb/s)

Az Európában használt digitális mobil hálózatok szabványa a GSM.

A GSM frekvenciaosztásos multiplexelést használ.

A mobil hálózatok 832 csatornára osztják a frekvenciát, majd a csatornákat 4 felé.

1. Vezérlés (bázistól mobil felé)

2. Hívás (bázistól mobil felé)

3. Hozzáférés (kétirányú)

4. Adat (kétirányú)

CDMA: teljes frekvencián ad, a több párhuzamos átvitelt kódelmélet segítségével bontják le.

GSM(Global System Mobilcommunication)

1: 800-900 MHz

2: ~ 1800 MHz

GSM – GPRS ~ 56 Kb/s

EDGE ~ 200Kb/s

3G (HSDPA, UMTS) ~ néhány Mb/s

Kábel TV rendszer:

Egy olyan rendszer, amely a nagy távolságok áthidalásához optikai kábelt, a házakhoz koaxiális kábelt használ (HFC-nek, Hybrid Fiber Coax) hybridnek nevezzük.

Az internetezéshez kábelmodemre is szükség van. Ha a modem végzett a távolság becslésével, megkapja a fel és letöltési csatornát (összességében inicializálás) elküldi az első csomagot az Internet-szolgáltatónak, és IP címet kér. Az IP címeket a DHCP nevű protokoll segítségével osztják ki.

Bluetooth:

A rendszer alapja mikrohálózat 1 mester és max 7 szolga, 10 m-en belül. 13 konkrét alkalmazást (profilt) tesz lehetővé, pl: sorosport-kábel helyettesítése, LAN hozzáférés, Fax stb.

Bruttó 1Mb/s sebességre képes, viszont engedély nélküli frekvenciát használ.

1.0: 10 m hatótáv

2.0: elméletben 100 m, fizikailag ~ 20m.

Infravörös:

Jól irányítható, olcsó, könnyen előállítható, viszont szilárd testeken nem képes áthatolni, tehát rálátás szükséges, viszont ez nem csak hátrány, hanem biztonsági szempontból előny is.

Lézer átvitel:

Nagy sávszélességgel rendelkezik, és olcsó. Viszont a sugarakat szét kell szórni, mert mindössze 1mm a sugár szélessége. A légturbolencia eltéríti, esőben és ködben elvész.

Vezeték nélküli hálózatok:

PAN: az ember mozgásterén belül à IEEE 802.15, Bluetooth(2Mb/s), Irda(4Mb/s)

LAN: épületen vagy épületen belülà IEEE 802.11, Wifi, HyperLAN

MAN: városon belül à IEEE 802.16, WiMax

WAN: világszerte à 2G, 3G

Kapcsolat típusok:

1. közvetlen kábelkapcsolat (helyi hálózatoknál)

2. nagytávolságú kábelezés (drága azért ritka)

3. optikai kábelezés (drága, de megbízható és gyors)

4. mikrohullámú lánc (ahol a kábelezés nem megoldható)

5. műholdas kapcsolat (a mikrohullám műholdas változata)

6. ISDN vonal

7. bérelt vonali összeköttetés (állandó kapcsolathoz)

8. kapcsolt vonali összeköttetés (telefonvonalon modemmel)

Szabványok:

Internetes szervezetek:

IAB- Internet Activities Board, Internet koordinációs testület

RFC- Request for Comments, POP3, SMTP szabványok

IETF- Internet Engineering Task Force, mérnököket összefogó szervezet

ICANN- az a szervezet osztja az IP címeket és a domain neveket

Szabványszervezetek:

ISO: nemzetközi szabványügyi hivatal, International Standards Organization

ITU: nemzetközi távközlési szervezet, International Telecommunication Union

ANSI: amerikai szabványügyi hivatal

NIST: országos szabványügyi és technológiai intézet, National Institute Standards and Tenchnology

IEEE: nemzetközi villamos és elektromérnökök szervezete

IEEE 802-es szabványok:

802.1 x, i, p, w : a LAN-ok áttekintése és felépítése

802.2 logikai kapcsolatvezérlés

802.3 Ethernet szabvány

802.5 vezérjeles gyűrű (IBM LAN megoldása)

802.6 DQDB korai városi hálózat

802.11 vezeték nélküli hálózatok

802.12 igények prioritása

802.13 senkinek sem kellett

802.14 kábelmodemek

802.15 személyi hálózatok (Bluetooth)

802.16 szélessávú vezeték nélküli hálózatok

Ethernet (kábel) szabványok:

10Base5 vastag koax max 500m 100 csomópont

10Base2 vékony koax max 185m 30 csomópont

10BaseT vastag érpár max 100m 1024 csomópont

10BaseF optikai max 2000m 1024 csomópont

100BaseT4 csavart érpár max 100m (4-es: 4 sodrott érpár)

100BaseTX csavart érpár max 100m (x=Duplex egyszerre ad-vesz)

100BaseFX optikai max 2000m (x=Duplex)

100BaseT2 csavart érpár max 100m (2 db sodrott érpár)

1000BaseSX optikai max 550m (több módusú)

1000BaseLX optikai max 5000m (egy- vagy több módusú)

1000BaseCX 2 pár STP max 25m (árnyékolt sodrott érpár)

1000BaseT 4 pár UTP max 100m (5-ös cat UTP)

Utolsó 4 az már gigabites

10 BASE/BROAD 5-2 T/F

Sebesség; alapsáv/ szélessáv; ~100m; (telefon) csavart érpár/ fibre optik

A BASE szabvány hosszúságokra beleszámolják az elosztótól a központi csatlakozóig (5m) lévő távolságot is.

Az 1000Base SX szabványt a vízszintes rövid szakaszokra találták ki, csak több módusú lehet.

Az 1000Base LX függőleges szakaszokra lett kifejlesztve, a több módusú ua., mint az SX azaz 550m, az egymódusú 5000m.

Az 1000Base CX kapcsolók, útválasztók és elosztókhoz való réz vezeték.

Az 1000BaseT, mind a 4 pár kábelén egyidejű adás és vétel zajlik, ellentétben a 100Base-TX rendszerrel, ahol az adás-vételnek külön párok felelnek meg.

Csavartérpár bekötési szabványai

IEEE 802.3 10Base5

IEEE 802.3a 10Base2

IEEE 802.3b 10Broad36

IEEE 802.3i 10BaseT

IEEE 802.3j 10BaseF

IEEE 802.3u 100Base-TX;T4;FX

IEEE 802.3y 100Base-T2

IEEE 802.3z 1000BaseX ?

IEEE 802.3ab 1000BaseT

IEEE 802.3ae 10GBase-SR; LR; ER; SW; LW; EW

IEEE 802.3ak 10GBaseCX – csavartérpár (2 pár)

IEEE 802.3aq 10GBase LRM (optikai)

Fentiek nem mind csavartérpár szabvány!

Adatkapcsolati réteg

(DATA-LINK)

Feladata: -a hálózati rétegtől kapott adatcsomagok keretezése, átvitele,

fogadása és a fizika rétegnek továbbítása,

-kapcsolattartás a hálózati- és fizikai réteggel,

-átviteli hibák kezelése:

· hibadetektálás,

· hibajavítás,

-adatforgalom szabályozása.

Keretezés: KERET

Fejrész

Adatcsomag

Lábrész

ADATMEZŐ

Ahhoz hogy a kapott csomagokat keretezni tudja, az adatkapcsolati rétegnek tudnia kell a csomag méretét.

Szállítási réteg Szegmens Hálózati réteg Csomag Adatkapcsolati réteg Keret Fizikai réteg

A bitfolyamot keretekbe tördeli és kiszámolja az ellenőrző összeget, melyet a vevő újra számol, eltérés esetén a keretet kidobja.

Keret (FRAME) méretek:

· 1522 bájt (VLAN) 802.1q

· 1518 bájt (ETERNET) 802.3

· 5000 bájt (VEZÉRJELES GYŰRŰ) 802.5

· 8192 bájt (VEZÉRJELES GYŰRŰ) 802.4

· 53 bájt (ATM)

Tördelés módszerei:

1) Karakterszámlálás,

2) Karakter beszúrása kezdő- és végső jelzésnek,

3) Bitbeszúrás kezdő- és végső jelzésnek,

4) Fizikai rétegbeli kódolás sértés.

1.- A keretben lévő karakterek számának megadása, mely a fejlécbe kerül:

1-es keret 2-es keret 3-as keret stb.

karakterszám

2.- Az első és az utolsó karakter jelzőként szolgál. Ha a jelző az adatok között is előfordul, akkor a jelzőt megismétli, majd a vevő a minden másodikat kidobja, így visszakapja az eredeti adatot.

3.- Ugyan az, mint az előző, csak karakterek helyett, biteket használ.

4.- Olyan jel jelenik meg az adatok között, amely nem fordulhatna elő, így jelzésként szolgál: eleje, vége. Az adatbit fizikai kódolása:

magas alacsony

„1”-es bit= „0”-ás bit=

alacsony magas

Jelzőbit= vagy=

alacsony magas

Szolgálatai:

1. nyugtázatlan összeköttetés nélküli szolgálat, (lokális hálózatoknál)

2. nyugtázott összeköttetés nélküli szolgálat, (megbízhatatlan hálózat.)

3. nyugtázott összeköttetés alapú szolgálat. (vez.-nél hálózatoknál)

Az adatkapcsolati réteg alrétegei:

A hálózatok kétpontos vagy adatszóró csatornákat használnak. Az adatszóró csatornákon az ütközés szinte elkerülhetetlen ezért az adatkapcsolati réteget két alrétegre bontották:

· a MAC-alréteghez (Médium Access Control – közegelérési alréteg) tartoznak azok a protokollok, amelyek a közeg használatának vezérléséért felelősek.

· a LLC-alréteg (Logical Link Control - logikai kapcsolatvezérlés) képes hibajavításra és forgalomszabályozásra, és még arra is képes, hogy teljesen eltakarja a különböző 802-es hálózatokat azzal, hogy egységes formátumot és felületet biztosít a hálózati rétegek számára.

LLC

DATA-LINK

MAC

Hibakezelés: Ha hibás egy keret, vagy eldobásra került, az adónak értesülnie kell róla, különben nem tudja kezelni. Ezért az adótól nyugtázást vár. Viszont ha egy keret elvész, nincs mit nyugtázni, ennek megoldása az időzítő. Ha az időzítő lejár, és nem érkezik nyugta, akkor az adó újra küldi a keretet, már másik sorszámmal, hogy a vevő is értesüljön róla: ez egy ismételt keret és nem egy újabb.

Hibajelzés és –javítás:

Analóg és vezeték-nélküli hálózatoknál a hibák igen gyakoriak, melyet kezelni kell. Ebben a két esetben a hibák általában csoportosak, melyek a hálózat megbízhatatlanságából ered, ezért egyszerűbb a hibás adatokat kijavítani, mint újra küldeni.

Optikai- és digitális hálózatoknál a hibák ritkák, és mivel ezek a hálózatok igen gyorsak egyszerűbb az adatokat újraküldeni, mint hibajavítással bajlódni.

Hibakódok:

1) Hibajelző-kód (Error- detecting):

Annyi redundáns információ mellékelése, melyből a hiba megállapítható.

2) Hibajavító-kód (Error-corregting):

Annyi redundáns információ mellékelése, melyből a hiba kijavítható.

A hiba felderítésének mértéke a Hamming-távolság (HD). Az adatbit (üzenetbit) és a redundánsbit (ellenőrzőbit) összegét kódszónak nevezzük, és az olyan helyek számát, ahol a két kódszóban különböző bitek állnak, a két kódszó közötti távolságot Hamming-távolságnak nevezzük. Minél magasabb a HD érték, annál megbízhatóbb az adatátvitel. A HD függ attól, hogy egy kód hibajavító, vagy hibajelző.

Forgalomszabályozás (Flow Control):

A torlódások kezelésére legelterjedtebben két megoldást használnak:

1. Visszacsatolás alapú (Feedback-Based):

A vevő visszajelzést küld mennyi adatot képes fogadni.

2. Sebesség alapú (Rate-based):

Protokoll segítségével az adó és a vevő előre egyeztet a sebességről, de később nincs visszacsatolás.

ÖCsúszóablakos protokoll (sliding window):

Minden csúszóablakos protokoll lényege az, hogy az adóállomás folyamatosan karbantart egy sorszámhalmazt, amely az elküldhető kereteknek felel meg. Azt mondjuk, hogy ezek a keretek az adási ablakba (sending window) esnek. Hasonlóan a vevő is karbantart egy vételi ablakot (receiving window), amely azoknak a kereteknek felel meg, amelyeket vehet. A küldő ablakába eső sorszámok azokat a kereteket jelképezik, amelyeket már az adó elküldött, vagy amelyek elküldhetők, de a vevő még nem nyugtázta. Amikor egy új csomag érkezik a hálózati rétegtől, az megkapja a következő legmagasabb sorszámot, és az ablak felső széle eggyel előre ugrik. Amikor egy nyugta érkezik, akkor az ablak alsó széle lép egyet előre. Ezzel a módszerrel az ablak a még nem nyugtázott keretek listáját tartja folyamatosan karban.

ÖNyugtaráültetés (piggybacking):

Amikor egy adatkeret megérkezik, ahelyett, hogy azonnal küldene egy külön vezérlő keretet, a vevő türtőzteti magát, és megvárja, hogy a hálózati réteg átadja neki a következő csomagot. A nyugtát hozzácsatolja a kimenő adatkerethez (a fejrész ack mezőjét használva). Valójában a nyugta így ingyen utazik a következő kimenő adatkerettel, ráültetésként ismert.

Alkalmazott protokollok:

Ö HDCL (High-level Data Link Control - magas szintű adatkapcsolat-vezérlés): bit alapú, és bitbeszúrást alkalmaz a kódfüggetlenség érdekében. Ahhoz a konvencióhoz tartja magát, hogy az utolsó hibátlanul vett keret sorszáma helyett az első nem vett keret sorszámát (azaz következő várt keretét) ülteti rá a visszirányú adatra. Ezenkívül csúszóablakot is használ. Háromféle keret van: információs (Information), felügyelő (Supervisory) és számozatlan (Unnumbered).

Ö PPP (Point-to-Point Protocol - pont-pont protokoll) az Interneten használatos kétpontos protokoll: A PPP három dolgot biztosít:

1. Olyan keretezési módszert, amely egyértelműen ábrázolja a keret végét és a következő keret kezdetét. A keretformátum megoldja a hibajelzést is.

2. Kapcsolatvezérlő protokollt a vonalak felélesztésére, tesztelésére, az opciók megbeszélésére és a vonalak elegáns elengedésére, amikor már nincs rájuk szükség. Ezt a protokollt LCP-nek (adatkapcsolat-vezérlő protokoll - Link Control Protocol) nevezik. Támogatja a szinkron és aszinkron áramköröket, valamint a bájt és bit alapú kódolásokat.

3. Olyan módot a hálózatiréteg-opciók megbeszélésére, amely független az alkalmazott hálózatiréteg-protokolltól. A választott módszer az, hogy különböző NCP (hálózati vezérlő protokoll - Network Control Protocol) van mindegyik támogatott hálózati réteghez.

A PPP keretszerkezetét a tervezők a HDLC keretszerkezetéhez nagyon hasonlónak választották, mivel nem volt semmi okuk arra, hogy újra feltalálják a kereket. A legfőbb különbség a PPP és a HDLC között az, hogy a PPP karakter alapú, a HDLC pedig bit alapú. Ez például abban nyilvánul meg, hogy a PPP bájtbeszúrást használ a modemek betárcsázó telefonvonalain, így minden keret egész számú bájtot tartalmaz.

Az ütközés: Amikor ugyanabban az időpillanatban két keret is megpróbálja elfoglalni a csatornát, ütközés lép fel, és mindkét csomag megsérül. A két keret akkor is használhatatlanná válik, ha az egyik első bitje éppen hogy ütközik a másik utolsó bitjével, így később mindkét keretet újra kell majd küldeni. Az ellenőrző összeg nem képes megkülönböztetni (és nem is feladata) a teljes ütközést a részlegestől. Ami hibás, az hibás.

Véletlen hozzáférésű protokollok:

ÖEgyszerű ALOHA (pure ALOHA): az ALOHA-rendszer alapötlete, hogy engedjük a felhasználót adni, amikor csak van továbbítandó adata. Az ALOHA figyelheti a csatornát, vagy ha valamilyen okból kifolyólag nem lehetséges az átvitel közben figyelni, akkor nyugtákra van szükség. Ha a keret megsérült, a küldő egyszerűen véletlenszerű ideig várakozik, majd ismét elküldi a keretet.

A várakozási időnek véletlenszerűnek kell lennie, különben ugyanazok a keretek ütköznének újra és újra szabályos időközönként. Azokat a rendszereket, amelyekben a közös csatorna használata konfliktus helyzetek kialakulásához vezethet, versenyhelyzetes (contention) rendszereknek nevezzük.

Ö Réselt ALOHA (slotted ALOHA): egyszerű ALOHA rendszerével ellentétben, a terminálok nem kezdhetnek el adni bármikor, amikor leütik a kocsi-vissza billentyűt, hanem meg kell előbb várniuk a következő időrés kezdetét. Ezáltal a folyamatos egyszerű ALOHA diszkrétté alakul. Az időréseket központi órajel határozza meg.

Csatornafigyelő protokollok:

Azokat a protokollokat, amelyekben az állomások figyelik a csatornán folyó forgalmat, és ennek megfelelően cselekszenek, csatornafigyelő protokolloknak vagy vivőjel-érzékeléses protokollnak (carrier sense protocols) nevezik.

Ö Perzisztens és nemperzisztens CSMA: Az első csatornafigyelő protokoll az 1-perzisztens CSMA (Carrier Sense Multiple Access - vivőjel-érzékeléses többszörös hozzáférés). Amikor egy állomás adni készül, először belehallgat a csatornába, hogy eldönthesse, használja-e azt éppen egy másik állomás. Ha a csatorna foglalt, akkor addig vár, amíg az ismét szabad nem lesz. Amikor az állomás szabad csatornát érzékel, elküld egy keretet. Ha ütközés következik be, akkor az állomás véletlen hosszúságú ideig vár, majd újból elölről kezdi az egészet. A protokollt, 1-perzisztensnek nevezik, mivel a várakozó állomás 1 valószínűséggel adni kezd, amint üresnek érzékeli a csatornát.

Ö Nemperzisztens CSMA (nonpersistent CSMA): Ebben a protokollban tudatosan arra törekedtek, hogy az állomások ne legyenek mohók. Küldés előtt az állomás megfigyeli a csatornát. Ha senki sem forgalmaz, akkor az állomás elkezdhet adni. Ha azonban foglalt a csatorna, nem folytatja folyamatosan a megfigyelést, hogy a forgalom megszűntével azonnal megkezdje az adást, hanem véletlen hosszúságú ideig várakozik, és ekkor elölről kezdi az algoritmust.

Ö A p-perzisztens CSMA (p-persistent CSMA) protokoll: Réselt csatornát alkalmaz, és a következőképpen működik. Amikor egy állomás, adásra kész állapotba kerül, megvizsgálja a csatornát. Ha az szabad, akkor p valószínűséggel forgalmazni kezd, vagy q = 1 - p valószínűséggel visszalép szándékától a következő időrésig. Ha a következő időrésben a csatorna még mindig szabad, akkor ismét p, illetve q valószínűséggel ad vagy visszalép.

Ö CSMA/CD (Carrier Sense Multiple Access with Collision Detection - ütközésérzékeléses CSMA): ha két állomás tétlennek érzékelve a csatornát egyszerre kezd adni, majd érzékelik az ütközést, akkor nem fejezik be a már visszavonhatatlanul sérült keretek csatornára küldését, hanem az ütközés érzékelését követően azonnal felfüggesztik tevékenységüket. A sérült keretek küldésének megszakítása időt és sávszélességet takarít meg. Elterjedten használják LAN-ok MAC-protokolljaként.

Ütközésmentes protokollok:

Ö Egy bittérkép (helyfoglalásos) protokoll (basic bit-map method): Ha a 0-s

állomás adni szeretne, akkor l-es bitet küld a 0-s (első) versengési időrésben. Ez alatt

az időrés alatt másik állomások nem használhatják a csatornát. A 0-s állomástól függetlenül, az l-es állomásnak szintén megvan a lehetősége, hogy az l-es (második)

időrés jelzőbitjét l-re állítsa, ha van kész kerete. Általánosan a j-edik állomás a j időrésben jelezheti egy l-es bittel, ha van elküldésre váró kerete. Az N darab időrés elküldése után, mindegyik állomás pontosan tudja, hogy mely állomások szeretnének

forgalmazni. Ekkor számsorrendben megkezdhetik a tényleges adattovábbítást.

Adatkeretek

8 versengési időrés 8 versengési időrés

Ö Bináris visszaszámlálás (binary countdown): a forgalmazni kívánó állomás elkezdi a bináris címét, a legnagyobb helyi értékű bittel kezdve, mindenkinek szétküldeni. A versenyben a logikai „1” a nyerő, minden helyi értéknél. Az az állomás kezdhet először adni, amelyiknek azonos helyi értéken előbb van „1”-es bitje. Így a csatorna 100%-os kihasználtságú. Virtuális címek használatával azonban elkerülhető, hogy az alacsonyabb prioritású állomások kimaradjanak az adásból.

Ö WDMA (Wavelength Division Multiple Access - hullámhosszosztásos többszörös hozzáférés): Ahhoz, hogy egyszerre több átvitel is történhessen, a színspektrumot csatornákra (hullámhossztartományokra) kell osztani. Minden állomáshoz két csatornát rendelnek. Egy keskeny csatorna szolgál az állomás felé érkező vezérlőjelek átvitelére, míg egy szélesebb csatorna az állomás adatkereteinek továbbítására.

Ö DWDM- (Dense Wavelength Division Multiplexing - nagysűrűségű hullámhosszosztásos multiplex): nagyon nagyszámú frekvenciát használnak.

Kettes exponenciális visszalépés (binary exponential backoff): véletlenszám-generálás intervalluma az egymást követő ütközések hatására exponenciálisan nő, az algoritmus biztosítja azt, hogy kevés ütköző állomás esetén viszonylag kis késleltetés következzen be, ugyanakkor nagyszámú állomás esetén az ütközés még belátható időn belül feloldódjon.

Vezeték nélküli LAN (WLAN)-protokollok:

Ha egy vevő két aktív adónak is a hatósugarán belül tartózkodik, akkor az ilyenkor vett jel általában zavaros és használhatatlan lesz. A hálózat nagyban különbözik a LAN-októl, ezért a LAN-oknál bevált protokollok WLAN-ok esetében használhatatlanok.

Problémák:

A rejtett állomás problémájának (hidden station problem) nevezik azt, amikor egy állomás nem képes érzékelni egy potenciális versenytársát, mivel az túl messze van tőle.

Megvilágított állomás problémájáról (exposed station problem) beszélünk abban az esetben, ha az adó, egy másik adó és vevő között zajló forgalomról azt feltételezi, hogy foglalt a csatorna.

Protokollok:

Ø MACA (Multiple Access with Collision Avoidance - többszörös hozzáférés ütközések elkerülésével) egy vezeték nélküli LAN-ok számára tervezett korai protokoll. A protokoll mögött rejlő alapötlet az, hogy az adónak rá kell vennie a vevőt, hogy adjon ki egy rövid keretet, amely következtében a hatósugarában tartózkodó állomások nem adnak a következő (hosszabb) adatkeret időtartama alatt.

Ø MACAW (MACA for Wireless - vezeték nélküli MACA): MACA esetében, az adatkapcsolati rétegben implementált visszajelzések hiányában az elveszett keretek újraküldése nem történik meg addig, amíg a szállítási réteg észre nem veszi azok hiányát, ami sokkal később következik csak be. A problémát úgy oldották meg, hogy bevezettek egy ACK (nyugta) keretet minden sikeresen továbbított adatkeret után. Észrevették azt is, hogy a CSMA rendelkezik egy hasznos képességgel - nevezetesen azzal, hogy egy állomás nem kezd RTS (megszakítás) üzenet küldésébe addig, amíg észleli más állomások azonos célállomás irányába történő hasonló tevékenységét, így hát a protokollhoz adták a vivőérzékelést is. Elhatározták továbbá, hogy a visszalépéses algoritmust nem állomásonként, hanem adatfolyamonként (forrás-cél páronként) futtatják, ami a protokoll fair mivoltát növeli. Végül a rendszer teljesítményének növelése érdekében az állomásokhoz hozzáadtak egy mechanizmust, amellyel az állomások megoszthatják egymással torlódási információikat, valamint kidolgoztak egy módszert, amelynek köszönhetően a visszalépéses algoritmus kevésbé hevesen reagál az időszakos problémákra.

Keretformátumok:

Bitalapú:

BITEK

8 8 8 =>0 16 8

01111110

(jelző)

Cím

Vezérlés

(sorszám, nyugtaszám)

Adat

Ellenőrzőösszeg

(CRC)

01111110

PPP

BÁJTOK

1 1 1 1v.2 =>0 2v.4 1

01111110

(jelző)

11111111

(cím)

00000011

(vezérlő)

Protokoll

Adat

Ellenőrzőösszeg

01111110

(jelző)

ETERNET

BÁJTOK

8 6 6 2 0-1500 0-46 4

Előtag

Célcím

Forráscím

Típus

Adat mező

Kitöltés

Ellenőrzőösszeg

IEEE 802.3

BÁJTOK

7 1 6 6 2 0-1500 0-46 4

Előtag

SOF

Célcím

Forráscím

Hossz

Adat mező

Kitöltés

Ellenőrzőösszeg

VLAN keret

BÁJTOK

7 1 6 6 2 4 0-1500 0-46 4

Jelző

SOF

Cél-cím

Forrás-cím

VLAN

Protokoll

Cimke

Hossz

Adat mező

Kitöltés

Ellenőrzőösszeg

A hálózati réteg

1 Feladata:

csomagok összeállítása,

címzés,

forgalomirányítás.

2 Tárol-és-továbbít típusú csomagkapcsolás:

A hosztok az elküldeni kívánt csomagokat a saját LAN-on vagy a szolgáltató felé vezető pont-pont kapcsolaton keresztül a legközelebbi routerhez továbbítják. A router tárolja a csomagot, amíg az teljes egészében be nem érkezik, hogy ki lehessen számítani az ellenőrző összeget. Ezután a csomag mindig a soron következő routerhez kerül, míg el nem éri a címzett hosztot. Ezt hívják tárol-és-továbbít típusú csomagkapcsolásnak.

3 A szállítási rétegnek nyújtott szolgálatok:

1. A szolgálatoknak függetleneknek kell lenniük az alhálózat kialakításától.

2. A szállítási réteg elől el kell takarni a jelenlevő alhálózatok számát, típusát és topológiáját.

3. A szállítási réteg rendelkezésére bocsátott hálózati címeknek egységes számozási rendszert kell alkotniuk, még LAN-ok és WAN-ok esetén is.

4 Az összeköttetés nélküli szolgálat:

Az összeköttetés nélküli szolgálat esetében az alhálózatba érkező csomagok egyenként kerülnek továbbításra. A csomagokat datagramoknak (datagrams, DG), az alhálózatot, pedig datagram alhálózatnak (datagram subnet) nevezik.

Összeköttetés alapú szolgálat esetén, a forrás és a cél router között előre ki kell építeni az útvonalat. Ezt a kapcsolatot virtuális áramkörnek (virtual circuit, VC) nevezzük. Az alhálózat neve, pedig ebben az esetben virtuális áramkör alhálózat (virtual circuit subnet).

Az alhálózat minden routerének van egy belső táblázata (ARP (Adress Resolution Protocol) tábla), mely címeket tartalmaz, amely címeket, folyamatosan frissíti. Azt az algoritmust, mely a táblázatok karbantartását végzi és meghozza a forgalomirányítási döntéseket, forgalomirányító algoritmusnak (routing algorithm) nevezzük.

· A virtuális áramkör és a datagram alapú alhálózatok összehasonlítása:

Virtuális áramkörök esetén a csomagoknak csak áramkörszámokat kell tartalmazniuk teljes célcímek helyett. A virtuális áramkörök használata megkövetel egy összeköttetés-felépítési fázist, amely időbe kerül, és erőforrásokat igényel.

A virtuális áramkörök a szolgálatminőségi garanciák és az alhálózaton belüli torlódásvédelem területén rendelkeznek némi előnnyel, mert az erőforrásokat (puffereket, sávszélességet, processzoridőt) előre, a kapcsolat felépítésekor le tudják foglalni. Mire a csomagok megérkeznek, a szükséges sávszélesség és routerkapacitás már rendelkezésre fog állni.

5 Forgalomirányító algoritmusok

A forgalomirányító algoritmus (routing algorithm) a hálózati réteg szoftverének azon része, amely azért a döntésért felelős, hogy egy bejövő csomag melyik kimeneti vonalon kerüljön továbbításra.

Ha az alhálózat belül virtuális áramköröket használ, a forgalomirányító döntéseket csak akkor hozzák meg, ha új virtuális áramkör épül fel: viszony-forgalomirányításnak (session routing) nevezik.

Tulajdonságok forgalomirányító algoritmus esetében: helyesség, egyszerűség, robusztusság, stabilitás, igazságosság, optimalitás és hatékonyság.

A forgalomirányító algoritmusok két nagy osztályba sorolhatók: adaptív (dinamikus) és nem-adaptív (statikus) algoritmusok.

A statikus algoritmusok (nonadaptive algorithms) nem támaszkodnak döntéseikben mérésekre vagy becslésekre az aktuális forgalomról és topológiáról. Ehelyett a használandó útvonalat előre, off-line módon számolják ki, és a hálózat indításakor letöltik a routerekbe. Ezt az eljárást statikus forgalomirányításnak (static routing) nevezik.

Az adaptív algoritmusok, helyileg, a szomszédos routerektől vagy minden routertől kapják az információikat. Optimalizáláshoz távolságot, ugrások számát vagy becsült áthaladási időt használnak. Ezt az eljárást dinamikus forgalomirányításnak nevezzük (Dynamic routing).

Statikus forgalomirányítás:

· Legrövidebb útvonal (shortest path) alapú forgalomirányítás:

Egy út hoszszát mérhetjük a megtett ugrások számával, vagy a földrajzi távolság kilométerekben.

· Elárasztás: statikus algoritmus az elárasztás (flooding), amelyben minden bejövő csomagot minden kimenő vonalon kiküldünk, kivéve azon, amelyiken beérkezett. Az elárasztás végtelen számú kettőzött csomagot eredményez mely ugrásszámlálóval kivédhető.

Dinamikus forgalomirányítás:

· A távolságvektor alapú forgalomirányítás (distance vector routing) alapja, hogy minden routernek egy táblázatot (vagyis egy vektort) kell karbantartania, amelyben minden célhoz szerepel a legrövidebb ismert távolság, és annak a vonalnak az azonosítója, amelyiken a célhoz lehet eljutni. A táblázatokat a szomszédokkal való információcsere útján frissítik.

· Kapcsolat alapú forgalomirányítás: biztonság, sebesség, távolság, költség…stb., súlyozott átlaga.

Dinamikus forgalomirányítás esetén, felügyeleti joggal kell rendelkezni a router felett, másképpen nem lehet megadni neki a kívánt útvonalat.

Egyéb forgalomirányítások:

1. A szelektív elárasztás (selective flooding) esetén, a bejövő csomagot, csak azokon, vonalokon küldi ki, amelyek megközelítőleg jó irányba mutatnak.

2. A többesküldés (multicasting), csoportnak történő üzenetküldés, és az ehhez tartozó forgalomirányító algoritmus a többesküldéses forgalomirányítás (multicast routing).

3. Egyesküldés (unicast)

4. Adatszórásnak (broadcasting) nevezzük, egy csomag mindenhová történő egyidejű elküldését.

Torlódás védelem:

Ha túl sok csomag van jelen az alhálózatban, akkor a forgalom visszaesik, ezt nevezzük torlódásnak.

Okai:

· túl sok csomag

· kevés a router memóriája

· lassú processzor

· kis sávszélesség

a torlódás megelőzés (nyílthurkú Open loop):

· megelőzési algoritmussal (csomag élettartam, nyugta ráültetés)

· ha késik, vagy nem jön nyugta, akkor a küldő hoszt kevesebb csomagot küld

· prioritásos átvitel: fontos csomagok előre engedése

A torlódás kezelése (zárthurkú closed loop)

· belépés ellenőrzése (admission control) torlódás esetén nem építünk fel több virtuális áramkört, amíg a probléma meg nem szűnik.

· visszajelezés az adónak, ami lehet:

ü figyelmeztető bit: lassítás

ü lefojtó csomag (choke packet): leállítás

ü A terhelés eltávolítása (load shedding): csomagok eldobása

ü Átirányítás

· Lyukas vödör (Leaky bucket) algoritmus: puffer telítődésnél túlcsordul, és a csomag eldobódik

Routerek:

Belső hálózati: INTERIOR Routolási gateway

Külső hálózati: EXTERIOR protokoll

INTERIOR: RIP Vektoros

IGRP

OSPF Kapcsolat alapú

EXTERIOR: BGP Távolság vektoros

-RIP:

-IGRP:

-OSPF: Open Shortest Past Fist (Legrövidebb út megnyitása először)

Ha a legrövidebb útvonalon torlódás van, akkor a második legrövidebb útvonalat válassza, ellentétben a többi protokollal.

-BGP: Border Ggateway Protocol (Határátjáró protokoll)

Egy külső átjáró protokoll és az AS-ek közötti forgalomirányítás a feladata.

Csak a belső routerek cserélnek ARP táblát.

Az összekapcsolt hálózatok közül mindegyik hálózat független az összes többitől, melyeket autonóm rendszereknek (Autonomous System, AS) nevezünk.

Konvergencia: akkor beszélhetünk róla, ha a frissítés a hálózat minden routeréhez eljutott.

Irányítási hurok: meghibásodás esetén egy router rossz irányt ad meg.

Végtelenig való számlálás: A távolságvektor alapú forgalomirányítás elméletben működik, de gyakran hurok képződik, vagyis, gyorsan reagál a jó hírekre, de ráérősen a rosszakra. Minden router újra és újra elküldi a csomagot.

Hurkok kezelése RIP-pel: (belső átjáró protokoll)

RIP (Routing Information Protocol)

A frissítő üzeneteket 30 másodpercenként küldik a router-ek, kis varianciával, hogy elkerüljük a szinkronizációt, azaz azt, hogy minden router egyszerre küldje frissítő üzeneteit. Maximum 15 ugrást engedélyez, egyébként a csomagot eldobja.

RIP₁: távolságvektor alapú forgalomirányításnál

30 másodpercenként frissítő üzenetek

maximum 15 ugrás

osztályos (alhálózati maszkot nem visz)

RIP₂: osztálymentes (alhálózati maszkot is visz)

hitelesítő információt hordozhatnak

IGRP (Internet Getaway Routing Protocol): Útvonalszámító protokoll (CISCO)

Sávszélesség

Késleltetés átlagolás,

Terhelés kisebb szám, jó útvonal

Megbízhatóság

6 Az IP protokoll feladatai:

· az üzenetek darabolása és a darabok összerakása;

· osztott forgalomirányítás (ARP, RARP, IGP, EGP);

· hibajelentés (ICMP)

(IGP: Internet Getaway Protocol); (EGP: Exterior Getaway Protocol)

ARP (Adress Resolution Protocol – Internet-vezérlő Üzenet protokoll)

Osztott algoritmus, mely alkalmas az ismeretlen címek megszerzésére. Ennek két fajtája van:

α) A „kérdező” broadcast message-t küld. Ennek szövegrésze fogja tartalmazni azon IP címet, akinek az Ethernet címére szükség van. Azon host, aki felismeri a saját IP címét, az válaszol, és a válaszban elküldi az Ethernet címet.

β) Proxy-ARP

RARP (Reverse Adress Resolution Protocol)

Itt az Ethernet cím az ismert és az IP címre van szükség. Ezért az algoritmus az ARP algoritmus fordítottja.

ICMP (Internet Control Message Protocol)

Ez nem egy önálló protokoll, hanem olyan csomag generálódik, mely a hibajelentéseket tartalmazza. A hibajelentések fajtái a következők lehetnek:

• a csomag eldobásra került;

• a csomag áthaladása során időtúllépés történt;

• a csomag valamely paraméterét a router nem ismerte fel.

• elérhetőségi vizsgálat;

• torlódás elkerülésére vonatkozó üzenet;

• útvonalváltozás jelentése az érdekelteknek;

• alhálózat címzése.

Az ICMP tulajdonképpen az IP felügyeleti protokollja, úgy viselkedik, mintha magasabb szintű protokoll lenne, de az IP integráns része. A két kommunikáló fél ennek segítségével küldi egymásnak a beállítandó paramétereket, valamint hibajelzésre is szolgál. Természetesen ez is IP csomag formájában közlekedik a hálózaton, az adatmezőbe van beírva az üzenet. Az adatmezőben van két darab byte, amely az üzenet azonosítására szolgál. Ezt követi az ellenőrzőösszeg, majd opcionálisan az egyéb paraméterek. Az ICMP üzeneteket típus szerint két csoportra oszthatjuk: 1. hibaüzenetekre és a 2. az információs üzenetekre.

Az ICMP lehetővé teszi, hogy hosztok vagy router-ek hiba vagy vezérlő üzenetet küldjenek más hosztoknak vagy router-eknek. Az ICMP mindig két gép IP szoftvere között biztosít kommunikációt.

ICMP üzenetet a következő helyzetekben küldenek:

A címzett elérhetetlen. A routerek küldik a feladónak, ha a cél nem létezik, vagy a hálózat végtelen távolságban van.
Lejárt a csomag élettartama. A routerek küldhetik, ha a TTL nullára csökkent, vagy a címzett, ha a fragmentek összevárására kijelölt idő letelt és még nem érkezett meg az összes darab.
Hibás IP csomagot adnak fel.
Átirányítás (Redirect). Más irányba küldjük inkább az ehhez a címzetthez küldendő csomagjainkat, mert arra rövidebb az út. Ezt routerek küldhetik az állomásoknak a hálózat működésének javítása érdekében.
Időbélyeg kérés és válasz. Ez az állomások óráinak szinkronizálására használatos.

Pingelés (visszhangkérés): protokollja az ICMP

Saját IP címmel a hálókártyáig, pingelhető a vezeték, driverek, az átjáró külső és belső lába. Pingelhető: IP-vel, a hoszt nevével, vagy az elérési címével.

7 Az IP- (Internet Protocol) fejrésze:

32 bit

verzió IHL Szolgálat típusa Teljes hossz

Azonosítás D M Darabeltolás

F F

Élettartam TTL Protokoll Fejrész ellenőrző összeg

Forrás címe

Cél címe

Opciók és kitöltés (0 vagy több)

Verzió: Az IP verzió száma és a fejléc típusa

IHL: A fejléc hosszát határozza meg

Szolgálat típusa: Mely szolgáltatás a fontosabb (gyorsaság vagy pontosság)

Teljes hossz: Az adatcsomag teljes hossza (adat+fejléc)

Azonosítás: Tördelés esetén a töredékek sorszáma. Egy datagram minden darabja ugyanazt az Azonosítás értéket tartalmazza.

Üres 1 bites mező: Foglalt, értéke=0

DF: Tördelés engedélyezése: 0=igen, 1=nem

MF: töredékek, 0=utolsó töredék, 1= további töredékek

Darabeltolás: max. darabok száma 2¹³-en bájt, min. 8 bájt.

Élettartam: minden útválasztó az értéket 1-gyel csökkenti, ha az értrék=0, a csomagot eldobja.

Protokoll: mely szállítási folyamat kapja meg a csomagot: ARP (Adress Resolution Protokoll (mely IP címhez mely MACADRESS tartozik), RARP (mely MACADRESS-hez mely IP cím tartozik)

Fejrész ellenőrző összeg: Csak a fejrész ellenőrző összege, mely, pl. az élettartam mező miatt változó lehet.

Célcím, Forráscím: 32 bites IP címek.

Opciók és kitöltés: Forgalomirányítás kitöltés stb.

AZ IP csomag max. mérete:64 KB

8 IP-címek:

Az Interneten minden hosztnak és routernek van egy IP-címe, amely hálózat számát és a hoszt számát kódolja. A kombináció egyedi: elméletileg nincs két olyan gép, amelynek ugyanaz az IP-címe. Minden IP-cím 32 bit hosszú és az IP-csomagok Forrás címe és Cél címe mezőikben hordozzák.

Az IP-címeket öt kategóriába sorolt kiosztása: az osztályos címzés.

Osztály 32 bit Hoszt címek tartománya

1.0.0.0-tól

A 0 Hálózat Hoszt 127.255.255.255ig

B 10 Hálózat Hoszt 128.0.0.0-tól

191.255.255.255.-ig

192.0.0.0-tól

C 110 Hálózat Hoszt 223.255.255.255-ig

D 1110 Többküldéses cím 224.0.0.0-tól

239.255.255.255-ig

E 1111 Jövőbeni felhasználásra fenntartva

240.0.0.0-tól

255.255.255.255-ig

A hálózatszámokat az ICANN (Internet Corporation for Assigned Nantes and Numbers, Kiosztott Nevek és Számok Internet Társasága) nevű nonprofit szervezet kezeli.

A hálózati címeket, amelyek 32 bites számok, rendszerint pontokkal elválasztott decimális jelölésrendszerben (dotted decimai notation) írják. Ebben a formátumban minden 4 bájtot tízes számrendszerben írnak ki, 0-tól 255-ig, például a C0290614 hexadecimális címet 192.41.6.20-ként írják. A legkisebb IP-cím a 0.0.0.0 és a legnagyobb a 255.255.255.255.

A 0.0.0.0 IP-címet a hosztok az elindulásuk alatt használják. Az olyan IP-címek, amelyeknek a hálózatszáma 0, az aktuális hálózatra vonatkoznak. Ezek a címek lehetővé teszik a gépeknek, hogy a saját hálózatukra hivatkozzanak anélkül, hogy tudnák a számát. (De az osztályát ismerniük kell, hogy tudják, hány 0-t tegyenek az elejére). A csupa 1-ből álló cím az adatszórást teszi lehetővé a helyi hálózaton, jellemzően egy LAN-on.

Új hálózati címhez nem könnyű hozzájutni, ezért a megoldás az, hogy megengedjük, hogy egy hálózat a belső felhasználás szempontjából több részre osztódjon, miközben a külvilág számára továbbra is egyetlen hálózatként látszik.

Ezen hálózat részeit alhálózatoknak (subnets) nevezik.

Minden Ethernet-hálózatnak saját routere van, amivel a központi routerhez kapcsolódik.

Amikor beérkezik egy csomag, honnan fogja tudni a központi router, hogy melyik alhálózatnak (Ethernetnek) kell átadnia? Az alhálózatokra osztás megvalósításához a központi routernek szüksége van egy alhálózati maszkra (subnet mask), ami a hálózat- és alhálózatszám, valamint a hosztszám közötti felosztást jelzi. Az alhálózati maszkok szintén a pontozott decimális jelölésrendszerben íródnak, kiegészítve egy / jellel és azt követően a hálózati + az alhálózati rész bitjeinek számával. A hálózaton kívül nem látszik az alhálózatokra való felosztás, így egy új alhálózat kialakításához nem kell felvenni a kapcsolatot az ICANN-nel, vagy megváltoztatni bármilyen külső adatbázist. Amikor az alhálózatokra osztást bevezetik, a forgalomirányító táblázatokat is megváltoztatják, (saját hálózat, alhálózat, 0) és (saját hálózat, saját alhálózat, hoszt) alakú bejegyzések hozzáadásával. Így az alhálózaton lévő router tudni fogja, hogy hogyan érheti el a többi alhálózatot, valamint az alhálózaton lévő hosztokat.

9 Privát IP címek:

Osztály	Kezdőcím	Zárócím	Előtag	Hosztok száma
A	10.0.0.0	10.255.255.255	/8	16 777 216
B	172.16.0.0	172.31.255.255	/12	1 048 576
C	192.168.0.0	192.168.255.255	/16	65 536

Localhost: sajátgép

Broadcast: minden gép

10 IP-címszámítás:

• Mindengépet a hálózaton egy egyedi cím azonosít: az IP cím

• Formája: 4 db ponttal elválasztott decimális szám 0 és 255 között
(pl.: 192.168.1.1)

• Bitekben kifejezve: 32 bit
(pl.: 11000000 10101000 00000001 00000001)

• Az IP cím két részből áll: az első rész a hálózatot, a második a gépet azonosítja

• Az, hogy mennyi bit szolgál az egyik ill. másik azonosítására, alapesetben a cím osztálya (A-E) dönti el

• Például: a 192.168.1.1 C osztályú cím első 3 oktettje azonosítja a hálózatot (192.168.1) az utolsó (1) a gépet az adott hálózaton belül
(Bitekben: 11000000 10101000 00000001 - hálózat, 00000001 - gép)

• Mivel az előbbi felépítés nem mindig érvényes, a hálózattal közölni kell a tényleges, aktuális felépítést

• Erre szolgál az alhálózati maszk

• Ahol ez bináris alakban 1-est tartalmaz, ott az IP cím a hálózatot azonosítja, ahol 0-t, ott a gépet

• Kiszámításához az IP címet és a maszkot logikai ÉS kapcsolatba kell hozni egymással

IP cím: 192.168.1.140 bin.: 11000000 10101000 00000001 10001100

Maszk: 255.255.255.0 bin.: 11111111 11111111 11111111 00000000

ÉS

A hálózat: 192.168.1.0 bin.: 11000000 10101000 00000001 00000000

Ha egy adott hálózat esetén több kisebb alhálózatra van szükségünk, akkor lehetőség van az IP cím és a hálózati maszk olyan felosztására is, amelyik nem oktetthatáron vált.

IP cím: 192.168.1.140 bin.: 11000000 10101000 00000001 10001100

Maszk: 255.255.255.240 bin.: 11111111 11111111 11111111 11110000

ÉS

A hálózat: 192.168.1.128 bin.: 11000000 10101000 00000001 10000000

Ekkor megnő az alhálózataink száma, hiszen eddig volt 1 db alhálózatunk, most pedig van 16 db, viszont az alhálózatokban az eddigi 254 helyett egyenként csak 14 gép lehet.

A számítás módja:

Alhálózatok száma: 2⁽^{kölcsönvett
bitek száma)}

Gépek száma alhálózatonként: 2⁽^{megmaradt bitek száma)} – 2

Példa:

Szükségünk van egy olyan hálózati felépítésre, ahol 5 különálló hálózati szegmensben 20-20 számítógép dolgozik.

Megoldás:

A 192.168.0.0 C osztályú címet használva az utolsó oktett alapesetben 0 lenne az alhálózati maszkban (255.255.255.0), ez azonban nem lenne megfelelő az alapprobléma megoldásához. Ha azonban az utolsó oktettből 3 bitet kölcsönveszünk az egyes alhálózatok azonosítására, akkor:

• Az alhálózati maszk 255.255.255.224 lesz

• 3 bit kölcsönvételével 2³ = 8 alhálózat alakítható ki – Ez nekünk jó!

• Az 5 megmaradt bit segítségével hálózatonként 2⁵ - 2 = 30 gép címezhető meg – Ez is jó!

A CIDR (Classless InterDomain Routing, osztálynélküli körzetek közti forgalomirányítás). Az RFC 1519 szabványban leírt CIDR mögött az alapötlet áll, hogy a maradék IP-címeket változó méretű blokkokban osszák ki, osztályokra való tekintet nélkül. Feladata, a szabványos A,B,C IP osztályok helyett tetszőleges feldarabolást engedélyező IP osztályok, azaz szórási tartományok kialakítására.

11 NAT (Network Adress Translation)- hálózati címfordítás

Az IP-címek szűkös erőforrások. Ha egy internetszolgáltatónak mondjuk /16 (régebben B osztályú) címe van, akkor ezzel 65 534 darab hosztszámhoz jut. Ha ennél több ügyfele van, bajban van. Az otthoni, tárcsázós kapcsolattal rendelkező előfizetők esetében a probléma megkerülhető azzal, ha a bejelentkező számítógép dinamikusan kap IP-címet, amit vissza is vesznek, amikor a kapcsolat véget ér. Ily módon egyetlen /16-os címmel akár 65 534 aktív felhasználó is kiszolgálható, ami valószínűleg egy több százezer előfizetővel rendelkező internetszolgáltató számára is elegendő. Amikor egy kapcsolat lebomlik, az IP-címet egy másik hívónak adják. Ez a stratégia működik ugyan az olyan szolgáltatóknál, melyeknek közepesen sok otthoni felhasználójuk van, de csődöt mond azoknál, akik elsősorban üzleti felhasználókat szolgálnak ki.

Az Internethez kapcsolódó hálózati eszköznek (router, tűzfal) a „külső” lábához (portjához) egy publikus IP címet rendelünk, majd a „belső” lábához egy privát IP címet. A hálózati eszközünk feladata, hogy a bentről érkező IP datagrammokat úgy módosítsa, hogy külső IP címet ír a forrás mezőjébe, így azt továbbítják majd a routere-ek az Interneten. Majd visszaküldik rá a választ, amit majd a hálózati eszközünk meg kap, a NAT táblájából kikeresi, hogy ki volt az eredeti küldő és cél IP címet beleírja a datagrammba és a „belső” lábán lévő hálózatra teszi, ahonnan eljut az eredeti küldőhöz.

IPv6

Bár a CIDR-rel és a NAT-tal nyerhetünk még egy pár évet, mindenki világosan látja, hogy az IP napjai a jelenlegi formájában (IPv4) meg vannak számlálva.

A fő célok a következők voltak:

1. A több milliárd hoszt támogatása, még nem hatékony címtartomány-hozzárendelés árán is.

2. A forgalomirányító táblázatok méretének csökkentése.

3. A protokoll egyszerűsítése, lehetővé téve ezzel a routereknek a csomagok gyorsabb feldolgozását.

4. A jelenlegi IP-nél jobb biztonság (hitelesítés és titkosság) biztosítása.

5. Nagyobb figyelem szentelése a szolgálat típusának, különösen a valós idejű adatoknál.

6. A többesküldés segítése, hatósugarak megadásának lehetővé tételével.

7. Lehetőség arra, hogy egy hoszt a címének megváltoztatása nélkül barangoljon.

8. A protokoll fejlődésének lehetővé tétele.

9. Az új és a régi protokoll még évekig egymás mellett létezhessen.

Sok vita, módosítás és pozícióharc után kiválasztották a Deering- és a Francis-féle javaslatok egy módosított kombinációját, amelyet ekkor már SIPP-nek (Simple Internet Protocol Plus) hívtak, és az IPv6 jelölést adták neki.

Az IPv6 egészen jól megfelel a célnak. Megtartja az IP jó tulajdonságait, elveti, vagy kevésbé hangsúlyossá teszi a rosszakat, és újakat is hozzáad, ahol szükség van rá. Általánosságban, az IPv6 nem kompatibilis az IPv4-gyel, de az összes többi Internet-protokollal igen, beleértve a TCP-, UDP-, ICMP-, IGMP-, OSPF-, BGP- és DNS-protokollokat, néhol úgy, hogy kisebb módosításokra van szükség (főleg a hosszabb címek kezelése miatt).

16 bájt hosszúak, amely megoldja azt a problémát, amelyet az IPv6-nak meg kell: egy gyakorlatilag végtelen Internet-címellátmányt biztosít.

Az IPv6 második fő fejlesztése a fejrész egyszerűsítése. Csak 7 mezőt tartalmaz

(ezzel szemben az IPv4 13-at). Ez a változás lehetővé teszi a routereknek, hogy gyorsabban dolgozzák fel a csomagokat, és ez által, javítsák az átbocsátást.

A harmadik fő fejlesztés az opciók jobb támogatása. Ez a változás szükségszerűen együtt jár az új fejrésszel, mert a korábban megkövetelt mezők most opcionálisak lettek. Ezenkívül, az opciók megjelenésének a módja is más, így a routereknek egyszerű átlépni a nem nekik szánt opciókon. Ez a tulajdonság a csomag-feldolgozási időt gyorsítja fel.

A negyedik terület, ahol az IPv6 jelentős előrelépést jelent, a biztonság. Az IETF-nek elege volt azokból az újságtörténetekből, ahol koraérett 12 évesek a személyi számítógépeikkel bankokba és katonai bázisokba törnek be az Interneten. Erősen érezhető volt, hogy valamit kell tenni a biztonság javítása érdekében. A hitelesítés és titkosság az új IP kulcstulajdonságai. Ezeket aztán visszamenőleg az IPv4-be is beépítették, így a biztonság területén a különbségek ma már nem olyan jelentősek.

Végül, több figyelmet szenteltek a szolgálatminőségnek is.

A szállítási réteg

Feladata: hogy megbízható, gazdaságos adatszállítást biztosítson a forráshoszttól a célhosztig, függetlenül magától a fizikai hálózattól vagy az aktuálisan használt kommunikációs alhálózatoktól.

A szállítási réteg szolgálata:

· összeköttetés alapú szállítási szolgálat

· összeköttetés nélküli szállítási szolgálat

Különbségek a hálózati réteg és a szállítási réteg szolgálatai között: a szállítási réteg kódja teljes egészében a felhasználók gépein fut, szemben a hálózati réteggel, ami nagyrészt a routereken, a routereket pedig a szolgáltató üzemelteti (legalábbis a nagy kiterjedésű hálózatokban). A szállítási réteg létezése lényegében azt teszi lehetővé, hogy a szállítási szolgálat megbízhatóbb lehessen annál a hálózati szolgálatnál, amelyre ráépül. A szállítási réteg képes felfedezni, és kiegyenlíteni az elveszett csomagok, és a csonkolt adatok okozta hibákat.

A szállítási rétegen belül azt a hardver és/vagy szoftver elemet, amely a munkát végzi, szállítási funkcionális elemnek vagy szállítási entitásnak (transport entity) nevezzük. Ez lehet az operációs rendszer magjának (kernelének) része, önálló felhasználói folyamat, egy hálózati alkalmazáshoz tartozó könyvtár vagy a hálózati illesztő kártya.

A szállítási rétegnek köszönhetően az alkalmazások programozói egy szabványos primitívkészletre írhatják a kódot, és az így megírt programok a hálózatok széles skáláján működnek. Mindezt anélkül, hogy a programozóknak a különféle alhálózati interfészekkel és a megbízhatatlan átvitellel törődniük kellene. Ha minden létező hálózat tökéletes lenne, és mindegyik egy olyan közös szolgálatprimitív-készletet használna, amely garantáltan soha de soha nem változik, akkor lehet, hogy nem lenne szükség a szállítási rétegre. A gyakorlati életben azonban azt a kulcsfontosságú feladatot teljesíti, hogy elszigeteli a magasabb rétegeket a műszaki megoldásoktól és az alhálózat tökéletlenségeitől.

A fenti ok miatt sokan megkülönböztetik az 1-4. rétegeket a 4. feletti réteg(ek)től. Az alsó négy réteget tekinthetjük a szállítási szolgáltatónak (transport service provider), míg a magasabb réteg(ek)et tekinthetjük a szállítási szolgálat felhasználójának (transport service user). A szolgáltató és a felhasználó ezen elkülönítése jelentős hatással van a rétegek kialakítására, és kulcsfontosságú helyzetbe hozza a szállítási réteget, mivel ez alkotja a fő határvonalat a szolgáltató és a megbízható adatátviteli szolgálat felhasználója között.

A valódi hálózatok nem hibamentesek, de pontosan a szállítási réteg feladata az, hogy egy nem megbízható hálózatra épülve megbízható szolgálatot nyújtson.

A szállítási protokollok feladata: hibakezelés, sorszámozás és forgalomszabályozás.

Az Internet szállítási protokolljai:

ü az összeköttetés nélküli protokoll az UDP,

ü az összeköttetés alapú protokoll a TCP.

UDP (User Datagram Protocol - felhasználói datagram protokoll).

Az UDP olyan alkalmazásoknak kínálja a szolgálatát, amelyek összeköttetés kiépítése nélkül akarnak beágyazott IP-datagramokat küldeni.

Az UDP olyan szegmenseket (segment) használ az átvitelhez, amelyek egy 8 bájtos fejrészből, valamint a felhasználói adatokból állnak.

Az UDP-fejrész:

32bit

UDP Forrásport	UDP Célport
UDP szegmens hossza	UDP ellenőrző összeg
ADAT
OPCIÓK

Az UDP használatának a legnagyobb előnye a nyers IP használatával szemben, hogy a fejrészben megtalálható a feladó és a címzett portszáma is. A portszámokat tartalmazó mezők nélkül a szállítási réteg nem tudná, hogy mit kezdjen a csomaggal. A segítségükkel azonban helyesen tudja kézbesíteni a szegmenseket.

Az UDP nem végez forgalomszabályozást, hibakezelést vagy újraküldést egy rossz szegmens vétele esetén. Viszont biztosít egy interfészt az IP-protokoll használatához, azzal a többletszolgáltatással, hogy a portok használatával egyszerre több folyamatot képes demultiplexelni. Az olyan alkalmazásoknak, amelyeknek fontos a csomagforgalom, a hibakezelés vagy az időzítés precíz ellenőrzése, az UDP pontosan azt nyújtja, amire szükségük van.

Minden olyan programnak, amely valamely hoszt neve (pl.www.cs.berkeley.edu) alapján akarja kikeresni a hoszt IP-címét, egy UDP-csomagot kell elküldenie valamelyik DNS-szervernek. A szerver egy olyan UDP-csomaggal válaszol, amely a hoszt IP-címét tartalmazza. Nincs szükség előzetes összeköttetés létesítésre, sem az összeköttetés lebontására az átvitel után. A hálózaton csak két üzenet halad át.

DNS: (Domain Name System - körzeti névkezelő rendszer)

A szükséges információt a hívótól a hívott felé a paraméterekben, visszafelé pedig az eljárás eredményében lehet átvinni, a programozó elől azonban minden üzenetváltás rejtve marad. Ezt a módszert RPC-nek (Remote Procedure Call - távoli eljáráshívás) nevezték el és sok hálózati alkalmazás alapjául szolgált már. A hívó folyamatot hagyományosan kliensnek, a hívott folyamatot, pedig szervernek hívják.

A kliens-szerver RPC egy olyan terület, amelyen az UDP széles körben használatos.

Egy másik ilyen a multimédiás alkalmazásoké. Ahogyan az internetes rádió, az

internetes telefon, a hálózati zeneszolgáltatás (music-on-demand), a videokonferencia és más multimédiás alkalmazások egyre elterjedtebbé váltak, a tervezők észrevették, hogy minden egyes alkalmazáshoz többé-kevésbé ugyanazt a valós idejű szállítási protokollt találták fel újra és újra.

Egy általános, több célra alkalmazható valós idejű szállítási protokoll a napjainkban, széles körben használatos RTP (Real-Time Transport Protocol - valós idejű szállítási protokoll).

Az RTP alapvető feladata az, hogy több valós idejű adatfolyamot multiplexeijen

UDP-szegmensek egyetlen folyamába. Az UDP-folyamot egy címre (egyesküldés), vagy több címre (többesküldés) is feladhatja. Mivel az RTP csak a szabványos UDP-t használja, a blokkjait a routerek nem kezelik különleges módon.

RTP nem használ forgalomszabályozást, hibakezelést, nyugtázást és újraküldést, kérő megoldásokat.

A TCP-t (Transmission Control Protocol - átvitel-vezérlési protokoll)

- feladata: bitfolyamok biztonságos átvitele megbízhatatlan összeköttetéses hálózaton

- hoszt azonosítása: IP cím + TCP portcím

- a küldő és a vevő között az adatok szegmensekben mennek

- TCP szegmens: 20 bájt fejléc + nem kötelező opcionális rész + adatok

Kifejezetten arra tervezték, hogy megbízható bájtfolyamot biztosítson a végpontok között egy egyébként megbízhatatlan összekapcsolt hálózaton.

A TCP-t arra tervezték, hogy dinamikusan alkalmazkodjon az összekapcsolt hálózatok tulajdonságaihoz, valamint hogy nagymértékben ellenálló legyen sokféle meghibásodással szemben. Pozitív nyugtázást és csúszóablakot használ.

Minden TCP-t támogató gép rendelkezik egy TCP szállítási entitással, amely lehet egy könyvtári eljárás, egy felhasználói folyamat vagy a kernel része. A TCP-folyamokat és az IP-réteg felé használható interfészeket minden esetben a TCP-entitás kezeli. A helyi folyamatoktól kapott felhasználói adatfolyamokat a TCP-entitás 64 KB-ot meg nem haladó méretű darabokra szedi szét (a gyakorlatban sokszor 1460 adatbájtos darabokra, mert így az IP- és TCP-fejrészekkel együtt is beleférnek egy Ethernet-keretbe). Az egyes darabokat önálló IP-datagramokban küldi el. Amikor egy géphez TCP-adatokat tartalmazó datagram érkezik, az a TCP-entitáshoz kerül, amely visszaállítja az eredeti bájtfolyamokat.

A TCP szolgálati modell:

A TCP-szolgálat úgy valósul meg, hogy mind a küldő, mind a fogadó létrehoz egy csatlakozónak (socket) nevezett végpontot. Minden csatlakozónak van egy száma, azaz csatlakozócíme, ami a hoszt IP-címéből és egy hoszton belül érvényes 16 bites számból, a port azonosítójából tevődik össze.

Egy csatlakozó egyidejűleg több összeköttetés kezelésére is használható. 65536 port van, az 1024 alatti portokat jól ismert portoknak (well-known port) hívják.

A TCP fejrésze:

32bit

Forrásport							Célport
Sorszám
Nyugtaszám
Eltolás	URG	ACK	PSH	RST	SYN	FIN	Ablakméret
Ellenőrzőösszeg							Sürgősségi mutatók

Opciók (0 vagy több 32 bites szó)
Adatok (opcionális)

Forrásport: a forráskapu száma

Célport: a célkapu száma

Sorszám: a szegmens első adatbájtjának sorszáma

Nyugtaszám: a következő várt bájt sorszáma

Eltolás: TCP fejrész hossz, hány 32 bites szóból áll a TCP-fejléc

Foglalt: későbbi használatra fenntartott üres mező

U: URG: sürgős

A: ACK: érvényes nyugtázás

P: PSH: késedelem nélküli adattovábbítás (pufferelés tiltva)

R: RST: kapcsolat megszakítása

S: SYN: sorszámok összehangolása, összeköttetés létesítésére szolgál

- háromutas kézfogás:

- SYN = 1, ACK = 0: kapcsolat felépítésének kezdeményezése

- SYN = 1, ACK = 1: kapcsolat elfogadása

- SYN = 0, ACK = 1: kapcsolat nyugtázása

F: FIN: küldés vége, utolsó adat

Ablakmére (Unused): mennyi adat vételére képes a vevő

Ellenőrzőösszeg: a fejléc és az adatok ellenőrző összege

Sürgősségi mutatók: ha az URG=1 akkor a sürgős adatok a keret elejére kerülnek

Opciók és kitöltés (0 vagy több): Forgalomirányítás kitöltés stb.

TCP portok:

Az általánosan használt módszer az, hogy külön szállítási címeket definiálunk az egyes folyamatok részére, amelyeken várhatják az összeköttetési kéréseket. Az Interneten ezeket a végpontokat portoknak hívják.

Amikor egy folyamat egy TCP-kapcsolatot szeretne kiépíteni egy másik, távoli folyamattal, akkor hozzácsatolja magát egy addig a saját gépén nem használt TCP-porthoz. Ezt nevezzük forrás portnak (source port), és ez mondja meg a TCP-szoftvemek, hogy hová küldje az adott kapcsolathoz tartozó bejövő csomagokat. A folyamat megad egy cél portot (destination port) is, hogy megmondja, kinek kell a csomagokat adni a távoli oldalon. A 0-1023-ig terjedő portokat a jól ismert szolgáltatások számára tartották fenn. A webkiszolgálók például a 80-as portot használják, így a távoli kliensek könnyen megtalálják őket. Minden kimenő TCP-üzenet tartalmaz egy forrás és egy cél portot is. Ez a két port együtt azonosítja a kapcsolatot, használó folyamatokat mindkét végponton.

Mivel a TCP Forrás port 16 bites, legfeljebb 65 536 gépet lehet egy IP-címhez rendelni.

Port	Protokoll	Alkalmazás
20-21	FTP	Fájlátvitel (20-adatátvitel, 21-vezérlő)
22	SSH	Titkosított távoli parancssoros bejelentkezés
23	TELNET	Távoli parancssoros bejelentkezés
25	SMTP	E-levelezés (TCP)
53	DNS	Névkezelés (UDP)
69	TFTP	Trivial FTP (Egyszerűbb fájlátvitel)
67	DHCP	IP-címkérés
80	HTTP	WEB
110	POP₃	Levelezés
135-139	NETBIOS	Windows
143	IMAP₄	Levelezés
443	HTTPS	Biztonságos WEB
445	MS-DS	Microsoft nyitott portja

A küldő és a vevő TCP-entitások az adatokat szegmensekben viszik át egymás között. A TCP-szegmensek (TCP segment) egy rögzítetten 20 bájtos fejrészből (és egy nem kötelező, opcionális részből), valamint 0 vagy több adatbájtból állnak.

A szegmensek méretének két korlátja van. Egyrészt, minden szegmensnek a hozzá tartozó TCP-fejrésszel együtt bele kell férnie a 65 515 bájtos IP-adatmezőbe. Másrészt, minden hálózaton meghatározzák az úgynevezett legnagyobb átvihető adategységet (Maximum Transfer Unit - MTU), amelybe minden szegmensnek bele kell férnie.

A TCP-entitások egy csúszóablakos protokoll-változatot használnak. A küldő minden szegmens feladásakor egy időzítőt is elindít. Amikor a szegmens megérkezik a célhoz, a vevő TCP-entitás visszaküld egy olyan szegmenst (adatokkal tele, ha van elküldendő adat, egyébként üresen), amelyben a következőnek várt szegmens sorszámával visszaigazolja az adást. Ha a küldő oldalon az időzítő a nyugta vétele előtt lejár, akkor a küldő entitás újra elküldi a szegmenst.

Teljesítőképesség:

1. A teljesítőképesség problémái.

2. A hálózat teljesítőképességének mérése.

3. Rendszertervezés a teljesítőképesség növelésére.

4. Gyors TPDU-feldolgozás.

5. A jövő nagy teljesítményű hálózati protokolljai.

Összefoglalás

A szállítási réteg megértése kulcsfontosságú a rétegekbe szervezett protokollok megértéséhez. Számos különböző szolgálatot kínál, amelyek közül a legfontosabb a végpontok közötti, összeköttetés alapú, megbízható bájtfolyam a küldőtől a vevőig. Ehhez egy olyan szolgálatprimitív-készlet segítségével lehet hozzáférni, amely az összeköttetések kiépítését, használatát és lebontását teszi lehetővé. Egy gyakran alkalmazott szállítási réteg interfész a Berkeley-csatlkozók (sockets) által nyújtott interfész.

A szállítási protokolloknak képesnek kell lenniük arra, hogy összeköttetés-kezelést végezzenek egy megbízhatatlan hálózaton. Az összeköttetések kiépítését az olyan késleltetett és megkettőzött csomagok léte nehezíti, amelyek teljesen váratlan pillanatokban újra felbukkanhatnak. Emiatt háromutas kézfogásra van szükség az összeköttetések felépítéséhez. Az összeköttetések bontása könnyebb, mint a kiépítésük, de a két hadsereg problémája miatt még így is távol áll a triviálistól.

A szállítási rétegnek még akkor is sok dolga van, ha a hálózati réteg teljesen megbízható. Kezelnie kell az összes szolgálatprimitívet, az összeköttetéseket és az időzítőket, valamint adási jogokat kell adnia és felhasználnia.

Az Internet két fő szállítási protokollt használ, az UDP-t és a TCP-t. Az UDP egy összeköttetés nélküli protokoll, amely lényegében egy olyan héj az IP-csomagok körül, amely lehetővé teszi több folyamat multiplexelését és a demultiplexelését egyetlen IP-címen. Az UDP kliens-szerver párbeszédek lefolytatására alkalmas, például RPC használatával. Felhasználható még az RTP-hez hasonló valós idejű protokollok építőelemeként. Az Internet fő szállítási protokollja a TCP, amely megbízható, kétirányú bájtfolyamot biztosít. Minden szegmensben 20 bájtos fejrészt alkalmaz. A szegmenseket az Interneten belüli routerek feldarabolhatják, ezért fontos, hogy a hosztok képeseknek legyenek a darabok újbóli összerakására. Nagymennyiségű munka fekszik a TCP teljesítmény-optimalizálásában, amely Nagle, Clark, Jacobson, Karn és mások algoritmusait használja fel. A vezeték nélküli összeköttetések használata számos módon bonyolítja a TCP alkalmazását. A tranzakciós TCP a TCP olyan kiterjesztése, amely kevesebb csomaggal valósítja meg a kliens-szerver párbeszédeket.

A hálózat hatékonysága általában főként a protokoll és a TPDU-feldolgozás kommunikációs költségén múlik, és a sebesség növelésével a helyzet egyre romlik. A protokollokat arra kell tervezni, hogy a lehető legkevesebbre csökkentsék a felhasznált TPDU-k, a szükséges környezetváltások és az egyes TPDU-k lemásolásainak számát. A gigabites hálózatok egyszerű protokollokat igényelnek.

TPDU (Transport Protocol Data Unit - szállítási protokoll adategység)

CR: CONNECTION REQUEST (összeköttetés kérése)

CA: CONNECTION ACCEPTE (összeköttetés elfogadva)

Megjelenítési réteg

A megjelenítési réteg felelős az információ megjelenítéséért és egységes értelmezéséért, a feladata a szállított információ jelentéséhez kapcsolódik: az adatábrázoláshoz, adattömörítéshez és a hálózati biztonsághoz és védelemhez.

Adatábrázolás

Különféle számítógépek különböző adatábrázolási módokat használnak. Ez karakterek esetén lehet különböző kódrendszerek használata (az IBM nagy gépek EBCDIC-kódja vagy az ASCII kód), de lehetnek a számábrázolásban is különbségek. Ha két gép között ilyen eltérések vannak, akkor a hálózati kapcsolat során átvitt adatokat átalakítani, konvertálni kell.

Adattömörítés

Gazdaságossági szempontból fontos, hogy időegység alatt mennyi információt viszünk át a hálózaton. Az adatok ábrázolása általában redundáns, ezért lehetséges a tömörítés.

A tömörítési eljárás lehet:

- szimmetrikus: azonos idejű a kódolás és a dekódolás,

- aszimmetrikus: a dekódolás (kicsomagolás) rövidebb.

Néhány tömörítési eljárás:

Darabszám-kódolás: Ha egy adathalmazban sok egymás után következő azonos szimbólum fordul elő, célszerű egy külön szimbólumot fenntartani az ismétlődés jelzésére, és utána következik az ismétlődő szimbólum, míg az azt követő számérték jelzi az ismétlődő szimbólumok számát. Például a felkiáltójel, legyen az ismétlődés jelző. Ekkor !A30 azt jelenti, hogy 30 A betű következik egymás után.

Szimbólumsor-helyettesítés: gyakori azonos szimbólumsor helyett egy speciális szimbólum. Pl.: a tabulátor, amely 8 szóközt ér.

Mintahelyettesítés: gyakori szimbólumsorozat helyettesítése speciális szimbólummal

Statisztikai kódolás: a kódhossz a kód előfordulási gyakoriságától függ. Jó példa erre a Morse ABC. Itt az angol szövegek leggyakoribb betűjének az „e”-nek a kódja a legrövidebb: a pont.

Transzformációs kódolás: pl. Fourier transzformáció, fraktális kódolás.

ALKALMAZÁSI RÉTEG

Az alkalmazási réteg alatt található egyéb rétegek a megbízható szállítási szolgálatot biztosítják, de a felhasználó számára nem végeznek tényleges munkát, ellentétben az alkalmazás réteggel: levelezés, multimédia, letöltések stb.

Feladata: interfészt biztosít a többi réteg felé, valamint felhasználói felületet.

A programok elvileg a hálózati (pl. IP) címük segítségével is hivatkozhatnának a hosztokra, levelesládákra és más erőforrásokra, de ezeket a címeket az emberek nemigen tudják megjegyezni. Ezért ASCI-neveket vezettek be, hogy különválasszák a gépek neveit a gépek címeitől. A hálózat persze továbbra is csak a numerikus címeket érti meg, tehát valamilyen mechanizmusra van szükség, ami átalakítja az ASCI-karakterláncokat hálózati címekké, ezt a DNS protokoll végzi el.

Név: www.cicamica.futrinkautca.hu

Gépnév. Alhálózat neve. Másodlagos körzet. Országkód

(host neve.) (tartomány.) ( al domain.) (elsődleges domain)

Az ország körzeteket az ISO 3166 szabvány tartalmazza.

Elsődleges körzetek:

-Általános (com, edu, org)

-Ország körzetek (hu, nl)

DNS (Domain Name System vagy Server):

1- egy gépnév megfeleltetése (erőforrás-bejegyzés (resource record)) IP címnek (címkersési-zóna), általában ezt használják 53 -as UDP porton

2- egy IP cím megfeleltetése névnek (névkeresési zóna)

3- körzetalapú (domain = körzet) hierarchikus névkiosztáson alapuló osztott adatbázis

A névkomponensek maximum 63 karakter hosszúak lehetnek, és az egész útvonalnév nem haladhatja meg a 255 karaktert.

- Működése:

1. a felhasználói program a keresett névvel (ez a paraméter) lehívja a címfeloldási eljárást,

2. a címfeloldó elküld egy UDP csomagot a helyi DNS szervernek,

3. a szerver megkeresi a névhez tartozó IP címet,

4. és visszaküldi azt a címfeloldónak, amely továbbítja a felhasználónak

5. az IP cím birtokában a felhasználói gép kiépítheti a TCP kapcsolatot

- ha a helyi DNS szerveren nincs meg a keresett IP cím, akkor a DNS szerver a ".hu" domainhoz küldi a kérést.

-Elsődleges DNS szerver: primery

-Másodlagos DNS szerver: secondary

-Zónát nem tartalmazó szerver (átjátszó): cacheonly

A címkeresési zóna csak a primery szerveren állítható be, a másik lemásolja.

Az erőforrás-bejegyzés (resource record) egy adatötösből áll. Annak ellenére, hogy az erőforrás-bejegyzéseket a hatékonyság miatt binárisan tárolják, a legtöbb ismertetőben az erőforrás-bejegyzések ASCI-formában szerepelnek, bejegyzésenként egy sorban. Az általunk használt formátum a következő:

Körzetnév Élettartam Osztály Típus Érték

TÍPUS	JELENTÉS	ÉRTÉK
SOA	Lista kezdete	Ehhez a zónához tartozó paraméterek
A	Egy hoszt IP-címe	32 bites egész (címkeresés)
MX	Levél csere	Prioritás, a levelező szerver neve
NS	Névszerverek	Egy ehhez a körzethez tartozó szerver neve
CNAME	Kanonikus név	Körzetnév
PTR	Egy hoszt neve	Tartománynév egy IP-címhez (névkeresés)
HINFO	Hoszt leírás	Hoszt információk ASCI-formában
TXT	Szöveg	Tetszőleges ASCII-szöveg

A Körzetnév jelenti azt a körzetet, amelyhez a rekord tartozik. Normális esetben minden körzethez sok bejegyzés tartozik, és az adatbázis minden másolata több, körzettel kapcsolatos információt hordoz. Ez a mező az elsődleges kulcs a kereséshez. A bejegyzések sorrendje nem érdekes az adatbázisban.

Az Élettartam mezőjelzést ad arról, hogy a bejegyzés mennyire stabil. A nagyon stabil információkhoz magas értékek tartoznak, mint a 86 400 (1 nap másodpercekben). Azokhoz az információkhoz, amelyek erősen ingatagok, kis értékek tartoznak, mint a 60 (1 perc

Az Osztály. Az Internethez tartozó információknál ez mindig IN. A nem internetes információkhoz más kódokat lehet rendelni, de a gyakorlatban ilyet ritkán lehet látni.

A Típus mező a bejegyzés értékének típusára vonatkozik.

Az Érték mező: ez a mező tartalmazhat egy számot, egy körzetnevet vagy egy ASCII-karakterláncot. A szemantika a bejegyzés típusától függ.

A Típus mező bejegyzései:

Az SOA bejegyzés megadja az elsődleges információforrás nevét a zónához tartozó névszerverről, az adminisztrátor e-levél címét, egy egyedi sorozatszámot, valamint különböző jelzőket és időzítőket.

Az A bejegyzés, a legfontosabb bejegyzés (cím) típus. Egy 32 bites IP-címet tartalmaz valamely hoszthoz. Minden internethosztnak legalább egy IP-címmel kell rendelkeznie, hogy más gépek kommunikálhassanak vele. Egyes hosztok kettő vagy több hálózati csatlakozással is rendelkeznek, ebben az esetben minden hálózati csatlakozáshoz pontosan egy „ típusú rekord” tartozik (és ily módon minden IP-címhez is).

A DNS-t úgy is be lehet állítani, hogy körben menjen végig ezeken a rekordokon, és az elsőt adja vissza az első kérésre, a másodikat a második kérésre és így tovább.

Az MX bejegyzés, a második legfontosabb bejegyzéstípus. Ez tartalmazza annak a hosztnak a nevét, amely kész a körzethez tartozó levelek fogadására. Azért használják, mert nincs minden gép felkészülve e-levél fogadására. Ha valaki e-levelet szeretne küldeni, például a bill@microsoft.com címre, akkor a küldő hosztnak találnia kell egy levelezőszervert a microsoft.com körzetben, amelyik hajlandó fogadni az e-levelet. Az MX bejegyzés erről tud információt adni.

Az NS bejegyzések névszervereket adnak meg. Például rendszerint minden DNS-adatbázis tartalmaz egy bejegyzést minden elsődleges körzethez. Többek között ez teszi lehetővé, hogy a névfa távoli részeibe is lehessen e-levelet küldeni

A CNAME bejegyzések segítségével álneveket lehet létrehozni. Például, ha valaki, aki ismeri az internetes névkonvenciókat, egy levelet szeretne küldeni valakinek, akinek a login neve paul az M.I.T. Informatika tanszékén, akkor úgy gondolhatja, hogy a paul@cs.mit.edu cím valószínűleg megfelelő. Valójában azonban ez a cím nem jó, mert az M.I.T. Informatika tanszékének körzete lcs.mit.edu. Az M.I.T. azonban, azok részére, akik ezt nem tudják, segítségképpen létrehozhat egy CNAME bejegyzést, ami átirányítja az embereket és programokat a helyes útra. Ezt megteszi, pl. a következő bejegyzés: cs.mit.edu 86400 IN CNAME lcs.mit.edu

A CNAME-hez hasonlóan a PTR (pointer record) is egy másik névre mutat. A CNAME-e\ ellentétben azonban, ami tulajdonképpen csak egy makró, a PTR egy valódi DNS-adattípus. A gyakorlatban majdnem mindig arra használják, hogy egy nevet megfeleltessenek egy IP-címnek, hogy lehetővé váljon az IP-címek szerinti keresés, ahol a keresett gép neve az eredmény. Ezt hívják fordított keresésnek (reverse lookup). Az álnév létrehozása lehetővé teszi, hogy anélkül cseréljük le Világháló (World Wide Web) szerverét, hogy érvénytelenné válna a cím, amit az emberek az eléréshez használnak.

A HINFO bejegyzések lehetővé teszik bárki számára annak megállapítását, hogy a kérdéses körzet milyen gépet és operációs rendszert használ.

Végül a TXT bejegyzések arra szolgálnak, hogy a körzetek tetszés szerinti módon is azonosíthassák magukat. Ez utóbbi két bejegyzés a felhasználók kényelmét szolgálja. Nem is kötelező jellegűek, azaz a programok nem számíthatnak rá, hogy megkapják őket (és ha mégis megkapják, valószínűleg nem tudnak mit kezdeni velük).

Az egyetlen szerver miatt adódó problémák elkerülése végett a DNS-névtér egymást nem fedő zónákra (zones) van osztva.

(TLD) A legutolsó (legnagyobb) tartomány: legfelső szintű tartománynév – Top Level Domain

Gyakori TLD-k:

országnevek (ccTLD – Country Cod Top Level Domain): hu , de , en , it , at , ru stb.

nemzetközi (gTLD – Generic Top Level Domain):

com : kereskedelemi (commercial)

edu : oktatási intézmények

gov : kormány (USA)

org : szervezetek

net : infrastrukturális (hálózat –network)

gTLD, mint második szintű domén: pl. google.co.hu

gazdagépnév + összes tartománynév: teljes minősített tartománynév – FQDN (Fully Qualiﬁed Domain Name)

- Névszerver:

- 13 db gyökér DNS szerver van a világon + az ország szerverek, kb. 200 db.

- minden internet szolgáltatónak van 2 db (primary és secondary) DNS szervere, a két DNS szerver között átvitel (transfer) van, ezek a névfeloldásban segítenek

- vannak legfelső szintű domain -ek, ezeknek vannak tetszőleges számú aldomain -jaik, és ezeknek is vannak további aldomain -jaik, és így tovább, ez egy fastruktúra.

Statikus DNS szerver: kézi beállítású

Dinamikus DNS szerver: szoftveres beállítású

Ha a keresett körzet a névszerver hatáskörébe tartozik, akkor az visszaküldi a hiteles erőforrás-bejegyzéseket. A hiteles bejegyzés (authoritative record) azt jelenti, hogy a bejegyzés attól a szervtől származik, amelyik azt a bejegyzést kezeli, tehát mindig helyes.

Ha azonban egy távoli körzetről van szó, amelyről nincsen információ a helyi adatok közt, akkor a névszerver elküld egy lekérdező üzenetet a szóban forgó körzetet tartalmazó elsődleges körzetnek. Az eljárást rekurzív lekérdezésnek

(recursive query) nevezik, mert minden szerver, amely nem rendelkezik a keresett információval, tovább keresi azt máshol, majd beszámol az eredményről.

A DNS ugyan elengedhetetlenül fontos az Internet helyes működéséhez, de valójában nem tesz mást, mint hogy leképezi a gépek szimbolikus neveit IP-címekre. Nem segít megtalálni embereket, erőforrásokat, szolgáltatásokat, sem általában vett objektumokat. Ezek felkutatására egy másik könyvtárszolgáltatást vezettek be, melyet LDAP-nak (Lightweight Directory Access Protocol - könnyű könyvtárelérési protokoll) neveznek.

A protokoll az információkat egy fába rendezi, és lehetővé teszi a különböző komponensek szerinti kereséseket. Tekinthetjük úgy is, mint egy „arany oldalak" telefonkönyvet.

DHCP (Dynamic Host Configuration Protocol – Dinamikus Hoszt-konfigurációs Protokoll):

Ideiglenes IP címkérés (0.0.0.0-val)

- DHCP szerver meghatározott IP tartományból IP címeket, és egyéb adatokat szolgáltat a DHCP kliensnek (egyéb adat: pl.: átjáró cím)

- a DHCP szerver szórt üzenetekkel érhető el, a gateway nem engedi át a szórt üzenetet.

-DISCOVER: kérés

-OFFER: ajánlat

-REQEST: elfogadás (kérés)

-ACK: nyugtázás

- Működés:

- Discover (kérelem): a DHCP kliens szórt üzenetként IP címet kér a DHCP szerverektől

- Offer (ajánlat): a DHCP szerver ajánlatként küld egy IP címet és egyéb járulékos adatokat a kliensnek

- Request (kérés): a kliens a legelső Offer -re küld egy kérést, bérlési igényt, egy adatszórással szétküldött Request üzenetben

- ACK (nyugta): az érintett DHCP szerver az adott IP címet hozzárendeli a klienshez, és erről nyugtát küld

- Bérleti jog:

- a DHCP kliens a bérleti idő alatt mindig ugyanazt az IP címet kapja

- az IP címet a MAC cím alapján kapja a kliens

- a bérleti jog megszakítását a kliens kérheti a szervertől (ip config/ release)

- új IP cím kérése (ip config/ renew)

A kliens a legelső ajánlatot fogadja el, ez főleg vezeték-nélküli hálózatoknál problémát okozhat, mert nem biztos, hogy a mi routerünk küldte.

TCP/IP segédprogramok:

-IPCONFIG: Megmutatja az állomás összes TCP/IP beállítását, és kapcsolatba léphetünk a DHCP kiszolgálóval, hogy megújítsuk IP cím bérlését.

Parancssori elérése: C:\WINDOWS.000>ipconfig

A válaszok pl. a következők lehetnek: - alapértelmezett átjáró

- DNS cím

- DNS tartomány név

-PING (visszhangkérés)

Pingelés (visszhangkérés): protokollja az ICMP

Saját IP címmel a hálókártyáig, pingelhető a vezeték, driverek, az átjáró külső és belső lába. Pingelhető: IP-vel, a hoszt nevével, vagy az elérési címével.

Parancssori elérése: C:\WINDOWS.000>ping

Echo Reply = hívás

Echo Request = válasz

A hálózatiproblémák feltárásához nyújt segítséget az echo request és echo reply üzenet. Minden gép, amely kap egy echo request üzenetet, egy echo reply üzenetben megválaszolja. Ezzel tesztelhető a hálózati alrendszer.

A legtöbb operációs rendszer a ping programmal teszi ezt a mechanizmust közvetlenül elérhetővé a felhasználók számára.

NetBIOS: az RPC megvalósítása

A szükséges információt a hívótól a hívott felé a paraméterekben, visszafelé pedig az eljárás eredményében lehet átvinni, a programozó elől azonban minden üzenetváltás rejtve marad. Ezt a módszert RPC-nek (Remote Procedure Call - távoli eljáráshívás) nevezték el és sok hálózati alkalmazás alapjául szolgált már.

A NetBIOS a Network Basic Input/Output System kifejezésből készült betűszó. A NetBIOS API lehetővé teszi az egyes számítógépek számára a helyi hálózaton keresztül történő kommunikációt. Általában TCP/IP protokollra épülve működik (NetBIOS TCP/IP fölött), és a hálózat minden számítógépének kioszt egy NetBIOS nevet és egy IP címet is. Régebbi operációs rendszerek a NetBIOS-t a NetBEUI fölött alkalmazzák. A NetBIOS az OSI modell-beli viszony (session) réteggel kapcsolatos szolgáltatásokat nyújt.

egyedi név - kizárólag egyetlen végállomás regisztrálhatja. Ha egy egyedi névből több példány is van, akkor névütközés áll elő, amit a NetBIOS-nak kezelnie kell. Minden végállomásnak állandó egyedi névvel kell rendelkeznie.
csoportnév - több végállomás is regisztrálhatja a nevet, így a végállomásokat csoportokba lehet sorolni.

- IBM fejlesztés, csak a Microsoft használja

- Microsoft -os hosztok között ez biztosítja a névfeloldást

- maximum 16 karakter lehet a név, de ebből 1 foglalt, így 15 karakter használható, a névben szóköz nem lehet.

- szórt üzenettel kommunikál

- NetBIOS által használt portok: 135, 137, 139

A NETBIOS neveket a WINS felelteti meg TCP/IP címeknek.

- WINS: segédprogram

- NetBIOS név és IP cím egyeztetése

- ez egy adatbázis a WINS kiszolgálón, mely tartalmazza a gép- és az IP címeket

- WINS szolgáltatásai:

- NetBIOS címek feloldása IP címekké

- azonos gépnév adásának megakadályozása

- nem csak szórt üzenettel kommunikál, így IP útválasztón keresztül is tud működni

- az üzenetszórás csökkenése miatt javul a hálózat teljesítménye

- a WINS egy kliens - szerver alapú alkalmazás, a WINS kiszolgálónak statikus IP címmel kell rendelkeznie, melyet minden kliensnek rögzítenie kell a TCP/IP beállításai között.

- WINS névbejegyzés:

- a WINS ügyfél első bekapcsoláskor megkísérli a névbejegyzést a WINS szerveren

- az ügyfél küld egy névbejegyzési kérelmet UDP csomag formájában a szervernek

- a szerver ellenőrzi, hogy az adott NetBIOS név valóban a hálózaton van

- ha a bejegyzés sikeres volt, akkor a szerver küld egy nyugtázó üzenetet

- sikertelen névbejegyzés esetén a WINS szerver elutasító üzenetet küld az ügyfélnek

- ha a WINS ügyfél befejezi a működését, akkor elengedési üzenetet küld a szervernek

- WINS névfeloldás:

- a WINS ügyfél a NetBIOS név alapján jut hozzá az IP címhez

- hibrid csomóponti névfeloldási módszer:

- ellenőrzi, hogy a névkérelem nem saját magára mutat -e

- egyezést keres saját névfeloldási gyorstárában

- közvetlen névkérelmet küld a WINS szervernek, ha az megtalálta a megfelelő IP címet, akkor visszaküldi az eredményt

- ha a WINS szerver nem találja a keresett nevet, akkor a kérelmet szétküldi a hálózaton

- ha továbbra sincs eredmény, akkor az ügyfél utánanéz az IP címnek a saját IMHOSTS állományában

- végül, ha még mindig nincs eredmény, akkor megnézi a helyi HOSTS fájlt, illetve megkérdezi a gépnevet a DNS szervertől, ha ez be van állítva.

SNMP (Simple Network Management Protocol) Egyszerű Hálózat-felügyeleti Protokoll:

Feladata:

- hálózati felügyelet, illetve felügyeleti adatok cseréje hálózati eszközök között

- a rendszerfelügyelők számára lehetőséget biztosít a hálózat teljesítményének a szabályozására, hibák felderítésére, javítására.

Az SNMP, szerver - kliens alapú: szerveren fut maga a program, a hosztokon pedig az ügyfélprogram.

Verziói: SNMPv1, SNMPv2, SNMPv3

Működése: ha a hálózaton bármilyen esemény következik be, akkor a kliens szoftverjelentést küld a felügyelő szoftvernek az eseményről.

- menedzselhető = konfigurálható, beállítható

- az SNMP eszközök nagyon drágák

- SNMP részei:

- Felügyelt eszközök:

- olyan hálózati csomópontok, melyek SNMP ügynököt futtatnak, és a felügyelt hálózatban vannak,

- ezek gyűjtik a felügyeleti adatokat, és küldik a felügyeleti SNMP rendszernek

- ilyen eszközök lehetnek: routerek, nyomtatók, elosztók, hosztok, útválasztók, hidak, kapcsolók.

- Ügynökök:

- a felügyelt eszközökön működő hálózatfelügyeleti programok

- Hálózat-felügyeleti rendszerek: futtatják az alkalmazásokat, melyek az eszközöket figyelik. Ilyen, pl. a NMS (Network Management System).

NMS (Network Management System - Hálózat Felügyeleti Rendszer)

Kétnyelvű protokoll (SNMPv1; SNMPv2)

- ez futtatja azokat az alkalmazásokat, mely a felügyelt eszközöket figyelik

- felügyelt hálózatokban legalább 1 NMS -re szükség van.

- Felügyeleti adatbázisok (MIB):

- minden ügynökhöz tartoznak tulajdonságok, melyek egy adatbázisban (MIB) tárolódnak.

- a felügyeleti adatbázisok hierarchikusan elrendezett adatgyűjtemények.

- adatbázis összetevői: felügyelt objektumok, objektumazonosítók.

- SNMP biztonsága:

- az SNMP nem rendelkezik hitelesítési lehetőségekkel, így elég sebezhető, emiatt kizárólag LAN -okon használják.

A Levelezés protokolljai:

A modern e-levél rendszerekben a boríték (envelope) és a tartalom külön van választva. A boríték magába foglalja az üzenetet. Tartalmazza az üzenet továbbításához szükséges információkat, mint a címet, a prioritást és biztonsági szintet, amelyek mindegyike az üzenettől teljesen elkülönül. Az üzenettovábbító ügynökök, a postához hasonlóan, a borítékot használják az útvonal meghatározására.

A borítékon belüli üzenet két részből áll: a fejrészből (Header) és a szövegrészből vagy törzsből (body). A fejrész, vezérlési információkat tartalmaz a felhasználói ügynökök részére. A szövegrész teljesen az emberi címzettnek szól.

E-levél küldése

Egy e-levél elküldéséhez a felhasználónak meg kell adnia magát az üzenetet, a címzettet, és esetleg még egyéb paramétereket. Az üzenet elkészíthető egy külön kis szerkesztővel vagy szövegszerkesztő alkalmazással, esetleg egy erre kialakított, a felhasználói ügynökkel egybeépített szerkesztővel. A címzett címének olyan alakúnak kell lennie, hogy azt a felhasználói ügynök kezelni tudja. Sok felhasználói ügynök a felhasználó® dns-cím formában várja a címeket, azonban más címzési formák is léteznek

Minden sorban több mező van, amelyek a megfelelő levél borítékjából vagy a fejrészéből származnak. Az egyszerűbb e-levél rendszerekben a programba beépített mezők jelennek meg. A kifinomultabb rendszerekben a felhasználó beállíthatja, hogy mely mezők jelenjenek meg, egy felhasználói profil (user profilé) megadásával, ami egy, a megjelenítési formát tartalmazó fájl

SMTP (Simple Mail Transfer Protocol):

- TCP/IP üzenetátvitelét kiszolgáló protokoll (levél küldése)

- szerver - kliens alapon működik: SMTP ügyfél a levelet küldi, míg az SMTP kiszolgáló a levelet fogadja

- Működés:

- a forrásgép TCP kapcsolatot teremt a célgép 25 -ös portjával.

- ezt a portot egy démon figyeli, mely ismeri az SMTP nyelvét.

- a küldő kliens vár, míg a szerver vissza nem jelez

- a szerver küld egy sornyi szöveget, melyben azonosítja magát, és megadja az engedélyt a levél küldésének, vagy elutasítja

- ha a levél küldhető, akkor a kliens megadja, hogy kitől és kinek megy a levél

- ha a címzett létezik, akkor, a szerver nyugtáz és fogadja a kapcsolatokat, és kimásolja a megfelelő postafiókokba az üzeneteket

- verziói: v1, v2

Az SMTP szervert úgy kell beállítani, hogy csak hitelesített leveleket fogadjon.

Az SMTP parancssori elérése 1-es verzió: HELO, 2-es verzió: EHLO.

POP3 (Post Office Protocol v3, postahivatal protokoll):

- ez a protokoll lehetővé teszi, hogy a felhasználó ügyfél kapcsolatba lépjen a szerver ügynökével, és átmásolhassa a leveleket a szolgáltató szerveréről a saját gépére

TCP-t használ a 110-es porton.

- Működése:

- a felhasználó elindítja a levelező programot

- a levelező létrehoz egy TCP kapcsolatot a kiszolgáló ügynökkel a 110 -es porton

- összeköttetés felépülése után:

- engedélyezés: felhasználó beléptetése

- tranzakció: levelek letöltése, törlése

- frissítés: a levelek ténylegesen törlődnek

MTA mail transfer agent (levélküldő program)

Rövidítve MTA. Az a program, amely az e-mailek továbbításáért felelős. Amint üzenetet kap egy felhasználói levelezőprogramtól vagy egy másik MTA-tól, átmenetileg helyben tárolja azt, megvizsgálja a címzettet és vagy kézbesíti a levelet (helyi címzett esetén), vagy továbbadja egy másik MTA-nak. Mindkét esetben szerkesztheti és/vagy kiegészítheti a levél fejlécét. Az egyik legszélesebb körben használt MTA Unix környezetben a sendmail.

MUA mail user agent (felhasználói levelezőprogram)

Rövidítve MUA. Az a program, amely lehetővé teszi a felhasználó számára, hogy elektronikus leveleket szerkesszen és olvasson. A MUA közvetít a felhasználó és a levélküldő program (Mail Transfer Agent, MTA) között. A kimenő levelek átadódnak egy MTA-nak kézbesítésre, míg a bejövő leveleket onnan veszi fel a program, ahol az MTA hagyta őket (noha az egyfelhasználós gépeken futó felhasználói levelezőprogramok - MUA - POP segítségével is begyűjthetik a leveleket). Ismert programok: pine, elm, mutt.

IMAP (Internet Message Access Protocol):

- POP3 és SMTP szerver egyben (143-as TCP port)

- a felhasználónak nem kell a saját gépére letölteni a leveleit, hanem azok a szerveren tárolódnak, ott lehet rajtuk műveleteket végezni, így a felhasználó levelei egy helyen vannak, és bármilyen gépről elérhetővé vállnak

MIME (Multipurpose Internet Mail Extensions - többcélú hálózati levelezés-kiterjesztés):

- ékezetes betűkre, fájlok csatolására, fejrészmező tartalmának bővítésére nyújt megoldást.

A MIME kódolása:

ASCII-alapkódolás,

Base 64-bővített kódolás (ékezetes betűkhöz)

QPE idézett nyomtatható karakteres kódolás (quoted-printable encoding) több mint az ASCII, de kevesebb, mint a Base64.

Szerver oldali scriptek

HTTP (Hyper Text Trasport Protocol): szerveroldali scriptje a CGI valósítja meg.

- hiperszöveg átviteli protokoll

- ez teszi lehetővé a kapcsolatot a webszerver és az ügyfél között

- a HTTP protokollal, HTML (Hyper Text Marcup Language; felhasználóbarát nyelvű programozó nyelv, jelölő-, megjelenítő nyelv) dokumentumok használhatóak.

- a HTML dokumentum fordítását, értelmezését az ügyfél gépén lévő böngészőprogram végzi

- a böngésző TCP összeköttetést épít ki a webszerver 80 -as portjával

Az űrlapok és más interaktív weboldalak kezelését hagyományosan a CGI (Common Gateway Interface - általános átjáró interfész) nevű rendszer végzi. Ez egy szabványos interfész, mely lehetővé teszi, hogy a webszerverek olyan kiszolgáló oldali programokkal és szkriptekkel beszéljenek, melyek valamilyen bemenetet fogadnak el (pl. űrlapokból), és válaszul HTML-oldalakat állítanak elő. Ezeket a kiszolgáló oldali szkripteket általában Perl nyelven írják, mert Perl szkripteket könnyebben és gyorsabban lehet írni, mint programokat (főleg, ha valaki tud Periben programozni). Ezek a szkriptek szokás szerint egy cgi-bin nevű könyvtárban helyezkednek el; ez az URL-ben is látszik. Néha a Perl helyett egy másik szkriptnyelvet, a Pythont használják.

A HTTP és a HTML együtt URL.

Ahhoz, hogy meg tudja jeleníteni az új oldalt (vagy bármelyik oldalt), a böngészőnek értenie kell az oldal formátumát. Az oldalakat egy HTML nevű, weboldalakat leíró, szabványosított nyelven írják, hogy minden böngésző megértsen minden weboldalt. HTML nyelven írják le a képeket, szöveget stb.

Nem minden oldal tartalmaz HTML-t. Egy oldal lehet PDF formátumú formázott dokumentum, GIF formátumú ábra, JPEG formátumú fénykép, MP3 formátumú zene, MPEG formátumú film, vagy bármi a további több száz állománytípus közül. Mivel a szabványos HTML ezek közül bármelyikre hivatkozhat, a böngészőnek gondjai lesznek, amikor olyan oldallal találkozik, amit nem tud értelmezni.

A különböző állománytípusok száma rohamosan nő. A legtöbb esetben ezért, ahelyett hogy újabb és újabb értelmezők beépítésével egyre nagyobbá tették volna a böngészőket, egy sokkal általánosabb megoldást választottak. Amikor a kiszolgáló elküld egy oldalt, egyúttal elküld némi járulékos információt is az oldalra vonatkozóan. Ez az információ tartalmazza az oldal MIME-típusát. A HTML utódja az XML eXtensible Marcup Language –adatrendező, jelölőnyelv.

Az oldalakat egy böngészőnek (browser) nevezett programmal tekinthetjük meg, mint amilyen például a népszerű Internet Explorer vagy a Firefox.

URL: (Uniform Resource Locator - egységes erőforrás-meghatározó) valójában egy mutató mely megkeresi az oldalon található hivatkozásokat.

Az URL-nek három része van: a protokoll neve (http), annak a gépnek a DNS-neve, ahol az oldal megtalálható (www.abcd.com), és (általában) az oldalt tartalmazó állomány neve (products.html). http://www.abcd.com/products.html = URL

Amikor a felhasználó rákattint egy hiperhivatkozásra, a böngésző lépéseket tesz annak érdekében, hogy előhozza a hiperhivatkozás által mutatott oldalt.

A böngésző lényegében egy olyan program, mely képes megjeleníteni egy weboldalt és kezelni a megjelenített oldalon lévő elemekre történt kattintásokat. Amikor egy elemet kiválasztanak, a böngésző követi a hiperhivatkozást és letölti a kiválasztott oldalt. Az oldalakat URL-ek segítségével nevezik meg

Kliens oldali scriptek

Programozó nyelvek

A Java-kisalkalmazások apró Java-programok, melyeket egy veremorientált, JVM

(Java Virtual Machine - Java virtuális gép) nevű gépi nyelvre fordítottak le. Ezeket egy weboldalon is el lehet helyezni, ekkor az oldallal együtt ezek is letöltődnek. A letöltés után a kisalkalmazások (animációk, hangok) egy böngészőn belüli JVM-értelmezőbe kerülnek

Java:

A Java egy objektumorientált programozási nyelv, amelyet a Sun Microsystems fejleszt a 90-es évek elejétől kezdve napjainkig. A Java alkalmazásokat jellemzően bytecode formátumra alakítják, de közvetlenül natív (gépi) kód is készíthető Java forráskódból. A bytecode futtatása a Java virtuális géppel történik, ami vagy interpretálja a bytecode-ot vagy natív gépikódot készít belőle, és azt futtatja az adott operációs rendszeren. Létezik közvetlenül Java bytecode-ot futtató hardver is, az úgynevezett Java processor.

A Java nyelv szintaxisát főleg a C és a C++ nyelvektől örökölte, viszont a Java sokkal, egyszerűbb objektummodellel rendelkezik, mint a C++.

-Programozónyelv

-Kisalkalmazások animációkhoz, hangokhoz

-Zárt forráskódú

JavaScript parancsnyelv:

A Javascript szintaxisa és neve hasonló ugyan a Javahoz, de nincs közvetlen köze egymáshoz a két nyelvnek.

A JavaScript programozási nyelv egy objektumalapú szkript nyelv, amelyet weblapokon elterjedten használnak.

Az interpreter (értelmező) viszont nem állít elő gépi kódot, a beírt kód végrehajtása lényegében a kód utasításonkénti értelmezésével történik. Ebben az esetben a kód futtatásához tehát egy külön futtató környezet szükséges, ami gyakran azonos a fejlesztői környezettel.

- Könnyebben kezelhető programozó nyelv

-A világháló Parancsnyelve

-Nyílt forráskódú

Valójában a programok vezérlését teszi lehetővé.

Megfelelnek az ECMA szabványnak, de attól eltérő eljárásokat is támogatnak.

Ecma International (Európai informatikai és kommunikációs rendszerek szabványosítási szövetsége, European association for standardising information and communication systems)

Multimédia

1. hangátvitel (VoIP): (telefonálás)

a. H323

b. SIP

2. video: a. Stream PUSH

-Realvideo (RA (realaudio), RM (realmedia)

-Windows ASF

-Flash FLV

3. multimédiás tömörítések: -MPEG

a. SH video

b. DVD

c. MP3 csak audio

d. film, MP4 kódolások

-xVID

-DIVIX

1. a. A H323 az ITU-T által kidolgozott szabványcsoport, amely audio és vizuális kommunikációt tesz lehetővé egy számítógépes hálózatban. A H323 egy viszonylag régi protokoll és jelenleg a SIP helyettesíti. A SIP egyik előnye, hogy sokkal kevésbé bonyolult és hasonlít a HTTP / SMTP protokollokra. Ezért a jelen pillanatban elérhető legtöbb VOIP berendezés a SIP szabványt követi. A régebbi VOIP berendezések azonban a H 323 szabványt követik.

1.b. A SIP (Session Initiation Protocol - Híváskezdeményező protokoll) rövidítése és egy IP telefonjel-átviteli protokoll, amelyet VOIP telefonhívások létrehozására, módosítására és bontására használnak. A SIP protokollt az IETF fejlesztette ki és RFC 3261 név alatt tette közzé.

A SIP a telefonhívás létrehozásához szükséges kommunikációt írja le. A további részleteket az SDP protokoll írja le.

A SIP szélviharként hatott a VOIP világra. A protokoll hasonlít a HTTP protokollhoz, szövegalapú és rendkívül nyitott és rugalmas. Ezért majdnem teljesen helyettesítette a H323 szabványt.

(Az SDP a Session Description Protocol rövidítése, és az internetes közvetítés inicializálási paramétereit leíró formátum. Az IETF tette közzé az RFC 4566 szabványnév alatt. Az internetes közvetítés olyan tartalom, amely szállítás közben látható, illetve hallható.)

2. Stream PUSH az Interneten használatos, valós idejű és hívásra érkező hang- és mozgóképátvitelt szolgáló médiumok; az internet hálózaton csomagokban érkező adatokat folyamatos felépítésűre, azonnal követhetőre változtatják, megelőző teljes letöltést nem igényelnek; az így érkező a hang- és videofolyamok már az átvitel alatt hallgathatók ill. nézhetők, ellentétben, pl. az AU és WAV hang-, valamint a MOV és AVI, stb. video állományokkal, melyeket lejátszásuk előtt teljes tárolást igényelnek.

Realvideo egy egyszerű modemes telefon-összeköttetésnél (pl. 28,8 kbps), névjegy nagyságú képeknél elfogadható képminőséget eredményező, valós idejű, digitális video-átvitel; ellentétben, pl. MPEG és más video-kódolással, a RealVideo-nál nem kell megtekintés előtt az egész anyagot letölteni (de lehet).

Windows ASF: (Advanced Systems Format – fejlett rendszerformátum) a Windows Media által használt fájlformátum. Az ASF-fájlokban különféle kodekek használatával tömörített hang- és/vagy videotartalmakat lehet tárolni, és a Windows Media Player használatával lejátszani (ha a megfelelő kodekek telepítve vannak), a Windows Media Services használatával adatfolyamként továbbítani, vagy szükség szerint a Windows Media jogkezelővel csomagolni.

Adobe Flash egy szoftver, amely az Adobe Systems termékcsaládba tartozik. Adobe Flash Player szükséges a videóinak lejátszásához. A program profi szinten való alkalmazása az ActionScript teljes ismeretét követeli meg. Sokan azt hiszik, hogy a Flash csak egy banner- és animáció készítő program, pedig ennél sokkal többre képes. A Flash technológiák a weboldalaktól kezdve, az online alkalmazásokon át, a mobil eszközökig, segítik az online tartalom fejlesztését. A Flashnek köszönhetően látványosabb, interaktívabb és elérhetőbb weboldalakat lehet tervezni bármely ágazat számára, legyen az a szórakoztatóipar, fogyasztási cikkek, közigazgatás vagy oktatás. A Flash révén olyan vektor-animációs eszköz került a fejlesztőkhöz, felhasználókhoz, amely először tette lehetővé az akkor még statikus weben a mozgó grafika egyszerű bevezetését. 2006-ra a Flash átfogó fejlesztési környezetté nőtte ki magát, amelynek segítségével bármilyen tartalmat létre lehet hozni, legyen szó internetes alkalmazásokról vagy mobil tartalomról.

A Flash-sel komplett weboldal készíthető, animációkkal együtt, eredetileg képi elemek készítésére fejlesztették ki.

3. MPEG: hatékony hang/zenetömörítő eljárás; az MP3 állományt *.mp3 kiterjesztéssel jelölik; az MPEG munkacsoport által kidolgozott MP3 kódolás közel CD hangminőség mellett a hagyományos CD-felvétel tárterületének csak 1/10-ét igényli, egy MP3-CD tehát 10 hagyományos CD zeneanyagát képes tárolni;

-xVID: Az XviD egy GPL nyílt forráskódú MPEG-4 képtömörítési algoritmus, amely eredetileg az OpenDivX-en alapul. Az XviD-et egy önkéntes programozókból álló csapat készítette, miután az OpenDivX-et lezárták.

-DIVIX: a DivXNetworks cég MPEG-4 kódolású videokhoz fejlesztett 'kodek' programja. A DivX videó kodek (mozgókép-tömörítési eljárás), amely főleg arról ismert, hogy képes jelentősen összetömöríteni terjedelmes videókat, és így az írásvédett DVD-k sokszorosításával és kereskedelmével, kapcsolatos botrányokkal került az érdeklődés középpontjába. Az újabb DVD-lejátszók már képesek lejátszani a DivX-es filmeket is.

Az AVI egy keretezési eljárás, melynek fejléce hordozza a kódolás típusát.

Keretez az MPEG, MKV. Kiterjesztéseik: avi, mpeg, mkv.

Mindegyik aszimmetrikus: a becsomagoláshoz és a kicsomagoláshoz más-más kódoló kell. A codekpack csak kitömörít.

Digitális jelfeldolgozásnak (angolul Digital Signal Processing, DSP) vagy digitalizálásnak nevezzük azt a folyamatot, amikor egy fizikai tárgyat valamilyen módon számítógéppel feldolgozhatóvá teszünk. A digitalizálás szó a digitális szóból ered, „átalakítás digitális formátumúra” jelentéssel. A fizikai dolgokat (melyek „analóg”, számítógépek által közvetlenül nem kezelhető formában léteznek) valamilyen módon jellemezni kell digitális formában ahhoz, hogy azokkal a számítógépek dolgozni tudjanak. A digitalizálás nagyon tág fogalom: a digitalizálás pontos módja nem csak a fizikai dologtól függ, hanem attól is, hogy azt milyen célból vagy módon akarjuk számítógéppel felhasználni. A digitális jelfeldolgozás három fő témaköre a digitális hangfeldolgozás, digitális képfeldolgozás és a digitális beszédfeldolgozás. Meghatározott időközönként jelet vesznek az analóg jelekből 44KHz tartományban, ez adja a digitális jelet.

-mono 1 hangcsatorna

-sztereo 2 hangcsatorna

-kvadro 4 hangcsatorna

Torrent protokoll: egy olyan peer to peer fájltovábbítási módszer, aminek segítségével csökkenthető a szerverek terhelése, ezáltal a költség csökkentése úgy, hogy nemcsak a szerver, hanem a kliensek között is folyik adattovábbítás. Az első klienst, a BitTorrentet, Python nyelven írták. Később a protokoll nyílt forráskódja miatt rengeteg egyéb kliensprogram jelent meg különböző platformokra, különböző programozási nyelvekre.

Letöltő protokoll: LEECH

Feltöltő protokoll: SEED

Kliens programok:

· Azureus, JAVA nyelv, multiplatform.

· BitTorrent, multiplatform.

· BitComet, C++, Windows.

· BitLord, Windows.

· KTorrent, Linux

· µTorrent, (magyar oldal), Windows. (ejtése helyesen: mikro-torrent)

CGI programok: PHP

Nyelvezete: PERL

PYTON

REXX

TCL/TK

Az intranet az Internet mellett, időben utána megjelent fogalom. Az intranet elnevezés a hálózaton belüli hálózat megjelölésére szolgál (intra: valamin belüli). Tipikus intranet egy vállalat belső hálózata, amely általában az internet részeként működik, de attól tűzfal választja el. Az internet felől közvetlenül az intranet berendezéseit nem lehet elérni, csak a tűzfalon keresztül, aminek feladata, hogy védelmet nyújt a belső gépek és az adatforgalom számára. Belső internet egy cég vagy szervezet saját belső hálózata, ahol a különböző internet alapú szolgáltatásokat csak a belső számítógépekről lehet igénybe venni.

Az extranet - Internet protokollokkal működő, biztonságos, privát, intranet hálózat. a legtöbb esetben egy vállalat belső intranet hálózata, kibővítve a legfontosabb üzleti partnereik kapcsolatával. Olyan hálózat, amely internetprotokollok segítségével teszi lehetővé a különböző helyszínek közötti adatmegosztást. A hozzá kapcsolódó egy vagy több honlaphoz csak az extranet használói férnek hozzá.

FQDN:Full domain név

Cookie: txt állományok melyek, a weben a szolgáltató által az ügyfélről tárol információt.

NEWS: NNTP protokoll hírolvasásra.

CGI: egy szabvány mely az eredményként létre jövő HTML-t tölti le.

LEASE IP: meghatározott idejű IP címek.

IP szerkesztés: parancssorban: ipconfig

Open Relay: nyitott SMTP szerver (feketelista)

Hálózati biztonság

Napjainkban, amikor hétköznapi emberek milliói használják a hálózatokat banki műveletek közben, vásárláshoz és adóbevallásuk elkészítéséhez, a hálózati biztonság kérdése komoly problémaként dereng fel a láthatáron.

A hekkelések 80%-a, a hálózaton belülről történik.

A hálózati biztonsággal kapcsolatos problémák négy területre oszthatók:

o titkosság (secrecy vagy confidentiality),

o hitelesség (authentication),

o letagadhatatlanság (nonrepudiation) és

o sértetlenség (integrity).

Megfelelő lépések és kockázatbecslés

Jogosultságok beállítása (lehetőleg csoportok és nem felhasználók szintjén)
Védelmi eszközök karbantartása
Házirendek létrehozása és ellenőrzése, a felhasználók oktatása
Forgatókönyvek készítése vész- és katasztrófahelyzetekre.

Egy informatikai biztonságot növelő intézkedés csak akkor lehet hatékony, ha nem okoz aránytalanul nagyobb többletmunkát, költséget vagy kényelmetlenséget, és ha azt a felhasználók megértik és betartják. A biztonság és a használhatóság egyensúlyának megtalálása mindig az adott helyzettől függ.

A károkozás lehet még:

· DoS (Denial of Service - szolgálat megtagadása): olyan nagy számban zúdítják az egyébként legális csomagjaikat a céljukra, hogy az összeomlik a terhelés alatt.

· DDoS (Distributed Denial of Service - szolgálat elosztott megtagadása): a támadó már világszerte több száz másik számítógépbe tört be, majd mindegyiket arra utasítja, hogy egyszerre indítsanak támadást ugyanazon célpont ellen.

A hálózatba kötött gépeket összekötő kommunikációs csatorna lehet:

nem biztonságos csatorna: a támadó csatlakozni tud a csatornához, ott adatokat képes megváltoztatni, törölni vagy beszúrni.
biztosított csatorna: a csatornának nincs fizikai védelme, így a támadónak lehetősége van hozzáférni a csatornához, de a kapcsolatban lévő felek olyan protokollok segítségével kommunikálnak, melyek védelmet nyújtanak az adatok törlése, beszúrása vagy olvasása ellen.
fizikailag biztonságos csatorna: a támadónak nincs lehetősége a csatlakozásra csak akkor, ha a fizikai védelmet megbontja, fizikailag megrongálja. Szabotázs-védelemmel figyelhető.

· abszolút biztonságos csatorna azonban nem létezik, és tökéletesen biztonságos kódoló algoritmus sincs, amivel el lehetne érni az abszolút biztonságot.

Tűzfalak (Firewall)

Az a képesség, hogy bármely számítógépet, bárhol, bármely másik számítógéphez csatlakoztatni lehet, nem csak áldás. Az információ kiszivárgásának veszélye mellett fennáll az információ beszivárgásának a veszélye is. Különösen a vírusok, férgek és más digitális kártevők lékelhetik meg a biztonságot, pusztíthatnak el értékes adatokat.

Olyan módszerekre van szükség, melyek segítségével a „jó" biteket bent, a „rosszakat" pedig kint tarthatjuk.

Ez egy olyan program, vagy célhardver, mely szabályok alapján engedi, vagy nem engedi a hálózati forgalmat ki vagy be.

Lehet személyi tűzfal, vagy amely teljes hálózatot véd.

Minden csomagszűrő (packet filter) egy szabályos router, pár külön feladatkörrel ellátva. A külön feladatkör megengedi, hogy minden kimenő vagy bejövő csomagot megvizsgáljon. A bizonyos feltételeket, kielégítő csomagokat továbbítja. Amelyek nem mennek át a teszten, azokat eldobja.

A tűzfal mechanizmusának második része az alkalmazási átjáró (application gateway). A nyers csomagok nézegetése helyett az átjáró az alkalmazási szinten működik. Például felállítható egy levelezési átjáró, hogy minden bemenő vagy kijövő üzenetet megvizsgáljon. Mindegyikre egy döntést hoz, hogy továbbítsa-e vagy eldobja, a fejrész mezőire, az üzenet méretére, vagy akár a tartalomra alapozva.

A hálózati rétegben tűzfalakat telepíthetünk, hogy egyes csomagokat a hálózaton belül vagy másokat azon tartsunk. Az IP-s biztonsági funkciók szintén ebben a rétegben működnek. A szállítási rétegben teljes összeköttetéseket titkosíthatunk, végponttól végpontig, vagyis alkalmazási folyamattól alkalmazási folyamatig. A maximális biztonság eléréséhez ilyen végponttól végpontig terjedő eljárásokra van szükség.

Csomagszűrő tűzfalak: elsőgenerációs tűzfal programok, amelyek a bejövő IP adatcsomagok fejlécét (itt található a cél, valamint a forrás gép IP címe) vizsgálják, hogy megfelelnek-e az előre rögzített szabályok valamelyikének. Ha igen, akkor az adatcsomag tovább haladhat a feldolgozási helyére.
SOCKS tűzfalak: második generációs tűzfalak, ezek a programok elsősorban a kapcsolat védelmét szolgálják a gép és a szerver között, miután a kapcsolat létrejött a beérkező és kimenő adatokon csak felületes vizsgálat történik.
Proxy tűzfal: a proxy két logikai szegmensből áll, egy proxy szerverből és egy proxy kliensből. A szerver lényege, hogy a külső hálózatból befutó kérések nem közvetlenül a célgéphez futnak be, hanem a szerverhez, amely eldönti a kérőről, hogy megfelel-e a protokolljaiban leírtaknak. Pozitív elbírálás esetén a proxy kliens veszi fel a kapcsolatot a kérővel. A kérőtől visszajövő adat természetesen áthalad a proxy szerveren is.
Dinamikus csomagszűrő tűzfal: negyedik generációs tűzfalak csoportja. Minden kapcsolatról egy feljegyzés készül egy állapottáblázatba. Egy külső adatcsomag csak akkor haladhat át, ha valamelyik kapcsolathoz tartozik, és megfelelő státusszal rendelkezik (nincs-e letiltva felhasználó által a bejövő, illetve a kimenő adatforgalma az adott kapcsolatnak).

- Részei:

- Csomagszűrő filter (Packet Filter): egy router amely minden kimenő és bejövő csomagot megvizsgál. A szabályoknak megfelelő csomagokat átengedi, a nem megfelelőeket eldobja. A csomagszűrőket rendszeradminisztrátori táblázatok vezérlik, itt fel vannak sorolva azon helyek, ahonnan jöhet csomag, és ahová mehet, és ennek az ellenkezője is (a táblázatban a gépek IP cím alapján vannak felsorolva).

- SPI (Stateful Packet Inspection): állapotfigyelő tűzfalak

- Alkalmazási átjáró (Application Gateway): alkalmazási szinten működik, ezt az átjárót alkalmazásonként külön - külön lehet beállítani.

Az adatkapcsolati titkosítás (link encryption): Az adatkapcsolati rétegben két végpont között haladó csomagokat elkódolhatjuk, amikor elhagyja a küldőt és visszakódolhatjuk, amikor a másikra megérkezik. A probléma, hogy a routeren belül nem véd.

*Tűzfalak*	*Fajtái*	*Megjegyzés*
1 PF	PF (Packet Filter)	Forrás- és cél IP alapján
1 PF	SPI (Stateful Packet Inspection)	IP alapján, de portot is figyel
2 AG	Proxy Server	Alkalmazási átjáró
2 AG	Application Gateway (2)	Alkalmazói rétegben

- Főbb tűzfalak:

- Kerio, Zonealarm, Comodo, Norton Internet Security, Outpost

Transzparens proxy:

Lan

Wan Router Server Lan

Lan

Proxy tűzfal: a proxy két logikai szegmensből áll, egy proxy szerverből és egy proxy kliensből. A szerver lényege, hogy a külső hálózatból befutó kérések nem közvetlenül a célgéphez futnak be, hanem a szerverhez, amely eldönti a kérőről, hogy megfelel-e a protokolljaiban leírtaknak. Pozitív elbírálás esetén a proxy kliens veszi fel a kapcsolatot a kérővel. A kérőtől visszajövő adat természetesen áthalad a proxy szerveren is.

Az alkalmazás-szintű tűzfal integrált proxyt használ, ami a munkamenetének helytállósága alapján építi fel a kliensekkel és a célrendszerekkel a kapcsolatot. A szervernek csak a proxy IP-címe lesz látható, mint feladó, nem, pedig a kliensé. Így a helyi hálózat struktúrája nem lesz felismerhető az Internet felől.

Anonim proxy: Az eredeti webező identitásának elrejtésére, a webszerver és a böngésző közti kommunikációba harmadik félként beépül olyan módon, hogy valójában ő tölti le a kiszolgálóról a kliens által kért weblapokat. Ezeket továbbítja, így a tényleges kliens identitása (IP címe) a szerver elől rejtve marad.

WEB Proxy: a routeren, vagy egy másik Proxy szerepét betöltő gépen tárolódnak a letöltött oldalak, így nem kell újra kapcsolódni a WEB-hez.

SOCKS Proxy (zokni proxy): hitelesítésre is képes.

Egy tűzfal a tartalomszűrő használatával egy kapcsolat hasznos adatait, kiértékelni ill. az áthaladó adatokat ellenőrizni tudja.

az URL-szűrés és a vírusfigyelés. Mindkét feladathoz többnyire kiegészítő programokra (URL-szűrőre, víruskeresőre) van szükség, a tűzfalak általában nem tartalmazzák ezeket a lehetőségeket
a lekért weboldalakról az ActiveX és/vagy JavaScript kiszűrése
bizalmas céginformációk kiszűrése (például: Mérleg-adatok)
kulcsszavak alapján nem kívánt weboldalak zárolása
nem kívánt alkalmazás-protokollok (például: filemegosztási) blokkolása

Hálózati címfordítás (Network Adress Translation, NAT)

Lehetővé teszi belső hálózatra kötött saját nyilvános IP cím nélküli gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel. Vagyis, hogy több számítógépet egy routeren keresztül kössünk az Internetre. Az elsődleges cél ez esetben az, hogy egy nyilvános IP-címen keresztül több privát IP-című számítógép csatlakozhasson az Internethez. A belső gépekről érkező csomagok feladójaként saját magát tünteti fel a tűzfal (így elrejthető a védett host igazi címe), a válaszcsomagok is hozzá kerülnek továbbításra, amiket – a célállomás címének módosítása után – a belső hálózaton elhelyezkedő eredeti feladó részére továbbít. Egy proxy-val ellentétben itt a csomagokat, csak továbbküldik, és nem analizálják a tartalmukat. Másik formája a PAT – Port Adress Translation.

Demilitarizált zóna (DMZ) (demilitarized zone):

A személyes vagy vállalati hálózatok megbízhatatlan külső, és a megbízható belső része között elhelyezkedő terület. A benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízható belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra.

A jó tűzfal:

A tűzfalnak figyelnie kell az egyes portokon folyó forgalomra. Érzékelnie kell, ha valaki végigpásztázza a nyitott portokat (ún. port scanning), képesnek kell lennie az egyes portok lezárására, valamint fel kell tudni figyelnie az egyes portokon jelentkező „gyanús” forgalomra is.

Behatolás érzékelés:

IDS (Intrusion Detection System), olyan rendszerek, amelyek a számítógép erőforrásokon specális események, nyomok után kutatnak, amelyek rosszindulatú tevékenységek, illetve támadások jelei lehetnek (például hirtelen megnőtt adatforgalom).

Titkosítási eljárások:

1) Fizikai védelem (tűzjelző, szünetmentes, riasztó stb.).

2) Logikai védelem (titkosítás, szűrő, vírusirtó stb.).

Titkosítási algoritmusból alapvetően kétfélét ismerünk: a szimmetrikus és az aszimmetrikus fajtát. A szimmetrikus, vagy más néven egykulcsú titkosítás jellemzője, hogy ugyanaz a kulcs nyitja a ládikát, mint amelyikkel korábban bezártuk. Ezek az algoritmusok azonban igen nehézkesen használhatók napjaink hálózatain, mert borzasztó kényelmetlen előre leosztani a titkosítási kulcsokat. A hálózatot nem használhatjuk kulcstovábbításra.

A nyíl kulcsú, vagy aszimmetrikus titkosítási algoritmusok két kulcsot használnak. Amit az egyik zár, azt a másik nyitja és vica versa.

A kriptográfia (cryptography) elnevezés a görög „titkos írás" szavakból ered. A szakértők különbséget tesznek a rejtjel és a kód között. A rejtjel (cipher) egy karakterről karakterre vagy bitről bitre történő átalakítást takar, mely nem veszi figyelembe az üzenet nyelvi szerkezetét. Ezzel szemben a kód (code) egy szót helyettesít egy másik szóval vagy szimbólummal. A kódok ma már nem használatosak.

A titkosírás megfejtésének mesterségét kriptoanalízisnek (cryptoanalysis) hívjuk.

A titkosító eljárások kifejlesztésének tudománya (kriptográfia) és azok feltörése (kriptoanalízis) együttesen a kriptológia (cryptology) témakörét alkotják.

· nyílt szöveg (plaintext),

· kulcs (key),

· titkosított szöveg (ciphertext),

· támadó (intruder).

A kriptográfia alaptörvénye szerint feltételezzük a kriptoanalitikusról, hogy ismeri a kódoláshoz használt módszer algoritmusát.

Kerckhoff elve: Minden algoritmusnak nyilvánosnak kell lennie; csak a kulcsok titkosak. A kereskedelemben az ismeretlenség biztonsága (security by obscurity) néven ismert fogalom, vagyis az, hogy az algoritmust megpróbáljuk titokban tartani, sosem vezet célra. Az eljárás publikálása viszont azt is lehetővé teszi, hogy a kriptográfus több elméleti szakemberrel ismertesse módszerét, akik aztán megpróbálják feltörni azt, hogy publikációkat írhassanak ravaszságuk demonstrálására. Ha számos szakértőnek sem sikerül 5 év próbálkozás után az algoritmus feltörése, akkor az már egészen megbízhatónak tekinthető.

Mivel az igazi titkosság a kulcsban rejlik, annak hossza alapvető fontosságú tervezési kérdés.

Szteganográfia (rejtés):

A mai alkalmazásai: kereskedelmi, copy right információk elrejtése (képben, mozgóképben, hangfájlokban. Elektronikus vízjel. Igen fejlett technikák vannak rá, amelyek „kibírják” a fedő kép, hang szöveg szerkesztését, másolását is.

Helyettesítő kódolók (statikus):

Egy helyettesítő kódolóban (substitution cipher) minden betű vagy betűcsoport egy másik betűvel vagy betűcsoporttal helyettesítődik a titkosság elérése érdekében. Az egyik legrégebbi ismert módszer a Caesar-titkosító (Caesar cipher), mely nevét Július Caesarról kapta.

Egy kicsit fejlettebb módszer, amikor a nyílt szöveg minden szimbólumához egy másik karaktert rendelünk, egybetű-helyettesítéses titkosításnak (monoalphabetic substitution) nevezzük.

Keverő kódolók (transposition ciphers) (dinamikus) nem keresnek másik betűalakot, viszont az eredeti sorrendet átalakítják.

Egyszer használatos bitminta (one-time pad): a feltörhetetlen kódhoz válasszunk kulcsnak egy véletlen bitsorozatot, ezután a kódolandó üzenetet szintén alakítsuk át bitsorozattá, majd számoljuk ki a két sorozat KIZÁRÓ VAGY (XOR) művelettel adott eredményét bitről bitre. Az így kapott üzenet feltörhetetlen, mivel egy kellően hosszú üzenetmintában minden egyes karakter előfordulási valószínűsége azonos lesz.

Az egyszer használatos bitminták elvileg nagyszerűek, de a gyakorlatban számos hátrányuk van. Először is, a kulcsot nem lehet megjegyezni, ráadásul az elküldhető üzenet hosszát is korlátozza a rendelkezésre álló kulcs hossza.

A kriptográfia első alapelve: Az üzeneteknek valamilyen redundanciát kell tartalmazniuk, vagyis, olyan információt kell hordozniuk, ami nem szükséges az üzenet megértéséhez.

A kriptográfia második alapelve: Kell egy módszer az ismétléses támadások meghiúsítására, azaz frissesség. A kriptográfiai algoritmusokat (a sebesség érdekében) hardveresen és (a rugalmasság miatt) szoftveresen is meg lehet valósítani.

- Kriptográfia (titkosítás):

- rejtjel (chiper): karakterről karakterre, bitről bitre történő átalakítás, az üzenet nyelvi szerkezetét nem veszi figyelembe.

- kód (code): egy szót helyettesít egy másik szóval, vagy szimbólummal.

- Részei:

- nyílt szöveg (plaintext): kódolandó szöveg.

- kulcs (key): egy függvény, mellyel a nyílt szöveget fordítjuk, ennek paramétere a kulcs.

- titkosított szöveg: ez az egész titkosító eljárás kimenete.

- támadó (intruder): a támadó belehallgathat a kommunikációs csatornába, az adatokat rögzítheti is, de a titkosított adatot dekódolni, nem tudja, mert nincs meg hozzá a kulcs.

- kriptoanalízis (cryptoanalysis): titkosított adatok megfejtése.

- kriptológia (cryptology): titkosító eljárások kifejlesztésének a tudománya.

4. generációs titkosítás: szimmetrikus, aszimmetrikus.

1. Szimmetrikus kulcsú algoritmusok (symmetric-key algorithms): ugyanazt a kulcsot használják a titkosításhoz és a visszafejtéshez is.

- DES (Data Encryption Standard) - az adattitkosítási szabvány, IBM által kifejlesztett szorzat típusú kódoló (algoritmus).

- az adatot 64 bites blokkokban 56 bites kulccsal kódolják (ezért blokk kódoló)

- elég egyszerű elemi áramkörökből áll, és elég gyors, mérete fix: 56 bit

- feltörése: BRUTE FORCE (nyers erő), az összes létező variációt végigpróbálása. A DES-t hosszú szövegek kódolására a legegyszerűbben úgy alkalmazhatjuk, hogy a szöveget felbontjuk egymást követő 8 bájtos (64 bites) blokkokra és azokat sorban ugyanazzal a kulccsal titkosítjuk. Az utolsó blokkot szükség esetén kiegészítjük, hogy elérje a 64 bites hosszt. Ezt az eljárást ECB módnak (Electronic Code Book mode - elektronikus kódkönyv mód) nevezzük.

- 3DES:

- két kulcsot használ: k1, k2

- kódol - dekódol - kódol algoritmust, használ: EDE (Encrypt Decrypt

Encrypt - kódol, dekódol, kódol)

- először a nyílt szöveget k1 kulccsal kódoljuk

- másodszor k2 kulccsal dekódoljuk a szöveget

- harmadszor a dekódolt szöveget ismét a k1 kulccsal kódoljuk

- ez a sorrend a régi DES -el való kompatibilitás miatt kell

- dekódolás folyamata:

- dekódol - kódol - dekódol

- ez a titkosítás kizárólag csak a BRUTE FORCE -al törhető fel

- AES (Advanced Encryption Standard) - fejlett titkosítási szabvány:

- Rijndael elvén működik

- a DES -nél újabb kódolási eljárások

- itt minden művelet bájtokra vonatkozik

A Rijndael 128-tól 256 bitig terjedő kulcsokat és blokkokat támogat, 32 bites lépésekben. A kulcsok, és a blokkok hosszúságát egymástól függetlenül lehet megválasztani. Az AES viszont rögzíti, hogy a blokknak 128, a kulcsnak, pedig 128, 192 vagy 256 bitesnek kell lennie.

AES (akárcsak a DES vagy bármelyik hasonló blokk-kódoló) alapjában véve csak egy egybetű-helyettesítéses kódoló, ami elég nagy karaktereket használ, ugyanaz a nyílt szövegblokk mindig ugyanazt a titkosított blokkot, eredményezi. A kódfejtő kihasználhatja ezt a tulajdonságot a kód feltörésére.

- TWOFISH: 128 bites szimmetrikus kulcsú blokk-kódoló algoritmus, többféle kulcshosszúságot támogat 256 bitig. A Blowfish tovább fejlesztett, nagyon erős változata.

- IDEA: A PGP a titkosításhoz az IDEA nevű (International Data Encryption Algorithm - nemzetközi adatkódoló algoritmus) blokk-kódolót használja, ami 128 bites kulcsokkal dolgozik.

- Blowfish: elavult, ma már nem használják.

- RC4: folyamkódoló a többi folyamkódolóhoz hasonlóan a következőképpen működik: egy pár byte méretű titkos kulcs, jelen esetben a WEP kulcs segítségével, egy jóval hosszabb álvéletlen byte sorozatot állítanak elő (kódoló algoritmus). Annak elkerülése érdekében, hogy minden üzenetváltáskor ugyanazt a titkos kulcsot használjuk, a WEP kulcs mindig kiegészítésre kerül egy "IV¹²"-vel, mely üzenetenként változik.

- RC5: az RC4 erősebb változata.

A folyam kódolók a folyamatában érkező üzenetet kisebb egységenként (pl. bájt) képesek kódolni. Ilyen algoritmus például az RC4, a RC5.

Folyam kódoló

2. Asszimetrikus kulcsú algorimus (asymmetric-key algorithms):

- nyilvános kulcsú titkosítás (public-key cryptography): Ma már minden operációs rendszer ezt használja. A kommunikáció résztvevői rendelkeznek egy nyilvános, és egy titkos kulccsal, az egymásnak küldött üzeneteket egymás nyilvános kulcsával kódolják, de dekódolni csak a saját titkos kulcsaikkal tudják.

RSA (Rivest, Shamir, Adleman)

1024 bites kulcsokat igényel,

Két 1024 bites prímszám számelméletén alapszik.

A legfőbb hátránya az, hogy a kielégítő biztonság érdekében legalább 1024 bites kulcsokat igényel (szemben a szimmetrikus kulcsú algoritmusok 128 bites kulcsaival), ami meglehetősen lassúvá teszi.

DSA (): a RSA ingyenes változata.

Digitális aláírások:

Céljai:

- a fogadó ellenőrizze a küldő valódiságát,

- a küldő később ne tudja letagadni az üzenet tartalmát,

- a fogadó ne tudjon más nevében üzenetet küldeni.

- a fogadó saját maga ne rakhassa össze az üzenetet.

Lényege:

- a feladó elküldi az üzenetet + még egyszer ugyanazt az üzenetet a saját titkos kulcsával kódolva, ez az egész egy csomagban van, és a cél nyilvános kulcsával van kódolva,

- a cél dekódolja a csomagot, és elolvassa az üzenetet, és a feladó titkos kulcsával kódolt szöveg azonosítja a feladót.

Két főbb fajtája létezik a digitális aláírásoknak. Ezek a Szimmetrikus kulcsú aláírások és a Nyilvános kulcsú aláírások

Szimmetrikus kulcsú aláírások:

- a kommunikáló felek között működik egy hitelesítő szerv (BB - Big Brother),

- ebben a hitelesítő szervben mindenki megbízik,

- minden felhasználó a saját titkos kulcsát átadja a hitelesítő szervnek,

- saját kulcsával kódolja a feladó az üzenetét, melyben szerepel egy feladó által választott véletlen szám is. Majd a BB ezt dekódolja és átkódolja azt a cél kulcsával, és a BB saját kulcsával is így a cél el tudja olvasni az üzenetet. A benne szereplő véletlen szám azonosítja a feladót, a BB által kódolt üzenet, pedig a hitelességet igazolja.

Üzenet pecsét (MD Message digests)(hibrid titkosítás):

Lényege: nem kell az egész üzenetet tikosítani, így sokkal gyorsabb.

Ez egy hash függvény, ha az eredeti adathoz képest a kimeneti adatban akár 1 bitnyi különbség van, akkor a függvény eredménye nem ugyanaz, és minden tetszőlegesen hosszú szöveghez, egy bitfüzért generál. Az üzenetpecsétek kiszámolása sokkal gyorsabb, mint a szöveg kódolása – dekódolása.

Fajtái:

MD5: úgy működik, hogy a biteket megfelelően komplikált módon tördeli úgy, hogy a kimeneti bitek mindegyike függ minden bemeneti bittől. 512 bitenként dolgozza fel a bemenetet, 128 bitet generál.

SHA-1 (Secure Hash Algorithm 1 - l-es biztonságos hash algoritmus): 512 bites blokkokban dolgozza fel a bemenetet, de 160 bites pecsétet állít elő. A bemenetet kódolatlan szöveg képezi.

SHA-2 az SHA-1 újabb változatainak kidolgozása is, melyek 256, és 512 bites pecséteket állít elő.

NTLM: Windows-os változat.

SSL (Secure Sockets Layer): ez egy biztonsági réteg az alkalmazási, és a szállítási réteg között, mely egy meglévő szállítási rétegbeli protokollt biztonságosan továbbít, és biztonságos összeköttetést hoz létre két csatoló között.

A biztonságos kapcsolat kiépítése után a fő feladat a tömörítés és titkosítás.

A születésnap támadás: egy 64 bites üzenet pecsét nagy valószínűséggel feltörhető, ha generálunk 232 db üzenetet, és keresünk kettőt, aminek ugyanaz az üzenet pecsétje.

Tanúsítványok:

A nyilvános kulcsú kriptográfia lehetővé teszi, hogy azok is biztonságosan kommunikálhassanak, akik nem rendelkeznek közös kulccsal. Viszont a nyilvános kulcsok cseréje esetén, egy idegen is elfoghatja a kulcsot, és sajátjára cserélheti azt. A megoldás: egy olyan központ, amely hitelesíti az egyes személyekhez, vállalatokhoz és más szervezetekhez tartozó nyilvános kulcsokat.

Ez a szervezet a CA (Certification Authority - tanúsító hatóság).

A tanúsítványok szokásos feladata a nyilvános kulcsok és a főszereplők egymáshoz rendelése, de ezen kívül arra is fel lehet használni őket, hogy egy nyilvános kulcshoz egy attribútumot (attribute) rendeljenek. Egy tanúsítvány például azt is kimondhatja: ez a nyilvános kulcs olyasvalakihez tartozik, aki már elmúlt 18 éves.

A tanúsítványokra vonatkozó szabvány: X. 509.

A PKI fastuktúrája: CA (gyökér)"RA"CA (kiadja az X.509-t.

A gyökérhez visszavezető tanúsítványok láncát bizalmi láncnak (chain of trust), vagy tanúsítvány-útvonalnak (certification path) is nevezik.

A modern böngészőkbe valójában több mint 100 gyökér nyilvános kulcsa van eleve beépítve - ezekre bizalmi horgony (trust anchor) néven is szoktak hivatkozni. Ily módon tehát nincs szükség egyetlen, világszerte bizalmat élvező hatóságra. CRL-t (Certificate Revocation List - tanúsítvány-visszavonási lista).

IPsec (IP security - IP-s biztonság) (IPv6-hoz): az IPsec egy többféle szolgáltatásból, algoritmusból és felbontásból álló keretrendszer. A többféle szolgáltatást az indokolja, hogy nem mindenki akarja az összes szolgáltatás állandó használatának terhét magára venni, ezért az egyes szolgáltatások „a la carte" is kérhetők.

Az összeköttetéseket az IPsec környezetében SA-nak (security association - biztonsági kapcsolat) nevezik. Az SA egy szimplex összeköttetés a két végpont között, melyhez egy biztonsági azonosítót is rendeltek. Ha mindkét irányban biztonságos forgalomra van szükség, akkor két biztonsági kapcsolatot kell alkalmazni. Az ilyen biztonságos összeköttetéseken utazó csomagok hordozzák azokat a biztonsági azonosítókat, melyeket a kulcsok és más fontos információk kikeresésére használnak a csomag megérkezésekor.

IPsecnek két fő része van. Az első két új fejrészt ír le, melyek a csomagokban a biztonsági azonosítót, a sértetlenséget biztosító adatokat, és az egyéb információkat hordozzák. A másik rész, az ISAKMP (Internet Security Association and Key Management Protocol - internetes biztonsági kapcsolat- és kulcskezelő protokoll) a kulcsok kezelésével foglalkozik.

Az IPsecet a két módon lehet használni.

1) A szállítási módban (transport mode).

2) Alagútmódban (tunnel mode).

A (titkosított vagy hagyományos) csomagok áramlási mintájának elemzését forgalomanalízisnek (traffic analysis) nevezzük.

E-levelek biztonsága:

l PGP (Pretty Good Privacy – elég jól biztosított személyiségi jog)

l A PGP támogatja az üzenetek

- Titkosítását,

- Tömörítését,

- Aláírását,

- és átfogó kulcskezelési szolgáltatásokat nyújt.

Nagy előnye, hogy ingyenes.

l Megjelentek újabb változatai

- Open PGP

- GNU Privacy Guard

GPG használata:

l kulcspár generálása: gpg --gen-key

l kulcs importálása: gpg --import [fájlnév]

l kulcs exportálás: gpg --export -a -o [fájlnév]

l grafikus kezelőprogram: GNU Privacy Assistant

-PEM – hasonlít a PGP-hez, de más algoritmusokat használ, és a kulcsok kezelése sokkal szervezettebb.

-S/MIME – a MIME-hoz jól illeszkedik, mindenféle üzenet titkosítható vele.

SSH (Secure Shell): a legismertebb titkosításra alkalmas hálózati protokoll. Célja a távoli gépek között biztonságos kapcsolat tartása, amelyben nem csak az adat, hanem a felhasználónév, és a jelszó is titkosított csatornán utazzon. Kliens- szerver alapú.

Kiépítésekor három feladatot lát el:

Hosztazonosítás: feladata megbizonyosodni, hogy a cél valóban az, akinek kiadja magát.
Titkosítás: olyan végponttól végpontig való kapcsolat kiépítése, amelyben egy harmadik személy "hallgatózása" esetén se kerüljön az információ biztonsága veszélybe.

· Jogosultságellenőrzés: felhasználó ellenőrzés, amely általában felhasználónév és jelszó megadásával történik.

Putty: program, IP címre vagy névre bejelentkezés.

SSL (Secure Socket Layer) vagy újabban TLS (Transport Layer Security):

(Biztonságos Csatlakozóréteg) vagy (Szállítási Rétegbeli Biztonság):

Az SSL biztonságos összeköttetést hoz létre két csatlakozó között, vagyis egy-egy kommunikációs csatornát véd, ellentétben az IPsec-el, amely egy teljes hálózatot. A szállítási és az alkalmazási réteg között helyezkedik el. Kliens-szerver alapú. SSL-t használó HTTP: HTTPS.

Az SSL a következő lehetőségeket kínálja:

1. Paraméterek egyeztetése az ügyfél és a kiszolgáló között.

2. Kölcsönös hitelesítés az ügyfél és a kiszolgáló között.

3. Titkos kommunikáció.

4. Az adatok sértetlenségének biztosítása.

Virtuális magánhálózatok

A virtuális magánhálózat (Virtual Private Network - VPN): olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy szervezet által kizárólag saját céljaira kialakított és fenntartott, privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet), amelyben nem bíznak meg.

Egy VPN kialakítása úgy néz ki, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat (security gateway) helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.

A Road Warriorok fogalma:

A VPN alapértelmezésben bizonyos hálózatrészek, összekapcsolását jelenti. Ennek speciális esete, amikor nem, vagy nem csak hálózatrészeket kapcsolunk össze, hanem hálózatrészt, vagy részeket egy konkrét géppel. A "Road Warrior" (utcai harcos) tipikusan olyan utazó, aki laptopról kapcsolódik a privát hálózatba. Adminisztratív szempontból ez megegyezik azzal az esettel, amikor valaki otthoni gépéről próbál bejutni az irodai hálózatba úgy, hogy nem rendelkezik fix IP címmel.

VPN alaptípusok, előnyeik és hátrányaik:

1 Hardware közeli megoldások:

A legtöbb hardware alapú megoldás tulajdonképpen olyan router-ek alkalmazását jelenti, amelyek képesek az adatforgalom titkosítására. Használatuk egyszerű, mivel ez a megoldás áll a legközelebb a 'plug and play' titkosítás megvalósításához. A legmagasabb fokú hálózati áteresztőképességet (throughput) nyújtják az összes többi megoldással szemben, hiszen nem emésztenek fel fölösleges erőforrásokat plusz operációs rendszer és segédalkalmazások kiszolgálására. Mindezen jó tulajdonságaik ellenére korántsem olyan rugalmasak, mint például a software alapú megoldások, éppen ezért a legjobb hardware alapú VPN rendszerek a hozzáférés vezérlés egy részét átengedik, vagy megosztják más korlátozó eszközökkel, mint amilyen a tűzfal (Firewall). A legnagyobb gyártók, akik ilyen jellegű megoldásokkal

szolgálnak: Cisco, Ascend (Lucent), Bay Networks, 3Com, SMC

2 Tűzfal alapú megoldások:

A tűzfal alapú megoldások kihasználják a tűzfal biztonsági mechanizmus előnyeit, mint például a hozzáférés korlátozását bizonyos hálózatrészek között, a címfordítást (NAT: Network Address Translation), megfelelő azonosítási mechanizmusok, kiterjedt (extensive) logolás, valós idejű riasztás. A legtöbb üzleti célú tűzfal alkalmazás operációs rendszerében a kernelbe való beavatkozásokkal (patch) is fokozzák a biztonsági szintet. A VPN szerverek általában a tűzfalakhoz hasonlóan lecsupaszított kiszolgálók, amiken lehetőség szerint semmilyen más alkalmazás nem fut, csak a célhoz szükséges eszközök, a minél kisebb támadási felület mutatása érdekében. Fontos figyelembe venni a VPN teljesítményre gyakorolt csökkentő hatását (főként egy meglévő, amúgy is terhelt tűzfalon veszélyes lehet), habár a legtöbb gyártó itt is célhardver elemeket kínál az általános processzorokon nagy teljesítményt igénylő alkalmazásokhoz, mint amilyen maga a titkosítás. A legnagyobb gyártók, akik ilyen jellegű megoldásokkal szolgálnak: Borderware, Ashley Laurent, Watchguard, Injoy.

3 Software közeli megoldások:

A software alapú megoldások abban az esetben ideálisak, ha a VPN egy-egy határvonala más-más szervezet tulajdonában van (tipikusan terméktámogatás, vagy üzletféli kapcsolatok esetén), vagy abban az esetben, ha ugyanaz a tulajdonos, de eltérő a használt eszközök típusa a szervezeten belül. Manapság a VPN menedzselésére a legrugalmasabb megoldásokat a software alapú termékek nyújtják. A legtöbb ilyen programcsomag lehetőséget ad a csomagok címzés, vagy protokoll szerinti tunneling-jére (a csomagok újracsomagolódnak egy PPP szekvenciába és így jutnak el a célhoz, ahol a fogadó visszabontja), ellentétben a hardware alapú megoldásokkal, amelyek általában a protokollra való tekintet nélkül minden forgalmat tunelleznek. Ez a tulajdonság hasznos lehet abban az esetben, ha a távoli gépeknek kétféle minőségű adattal kell dolgozniuk, olyanokkal, amelyeket a VPN-en keresztül kell küldeniük (pl adatbázis bejegyzések a főnökségnek) és olyanokkal, amelyeket nem (web böngészés). Előny még, hogy jól skálázható, hátrány viszont, hogy több háttértudás szükséges a beállításához, mint amilyen a kiszolgáló operációs rendszer széles körű ismerete. Az operációs rendszerek túlnyomó része, pedig ma már önmagában is ad valamilyen szintű támogatást. Ezek az operációs rendszerek a következők (a nevezett verziótól kezdve, újabb verzió esetén valószínűleg szintén tartalmaznak támogatást): Microsoft Windows 2000, Apple Mac OS X, IBM OS390, Sun Solaris 8, HP Unix, Linux + FreeSwan, *BSD + Kame. Természetesen az idő előre haladtával a fent említett határvonalak is egyre inkább elmosódnak, hiszen a hardware gyártók is adnak software-eket, hogy minél rugalmasabbá tegyék termékeiket, illetve a software megoldást kínálók is igyekeznek bevonni speciális hardware elemeket a teljesítmény növelése érdekében.

Az IPSec szabvány bevezetése is segíti ezen eszközök vegyes alkalmazását.

VPN kialakítására alkalmas protokollok, szabványok:

Alagút protokollok:

vpn2

*Utas protokoll: adatcsomag titkosítás: IPX, NetBEUI.

*Csomagoló protokoll: csomagot csomagoló protokoll: IPsec.

*Hordozó protokoll: átviteli protokoll: IP.

Az utas csomagot bezárjuk a csomagoló protokollba, melyet a hordozó protokoll a saját fejrészébe helyezve továbbít.

PPTP - A Point to Point Tunneling Protocol eredetileg az Ascend Communications, 3Com, ECI Telematics, U.S. Robotics és a Microsoft által fejlesztett szabványról van szó. Az alapvető cél az volt, hogy nem TCP/IP-t, mint amilyen az IPX át lehessen vinni az Interneten keresztül GRE (Generic Routing Encapsulation) segítségével. A specifikáció elég általános, így megenged szinte bármilyen titkosítási és azonosítási eljárást. Megjegyzendő, hogy ezek kezdetben nem voltak részei a szabványnak, hanem később kerültek alkalmazásra.

Több gyártó is készített PPTP-re terméket, de jellemzően Microsoft verziója terjedt el.

• PPTP szerver NT 4.0 vagy újabb verzió

• PPTP kliens WFW, Win 95 vagy újabb,

• Macintosh (más gyártó termékével együtt)

PPP (Point-to-Point Protocol -pont-pont protokoll): A PPP kezeli a hibák felderítését, több protokollt is támogat, lehetővé teszi, hogy az IP-címekről a felek az összeköttetések kiépítésekor egyezkedjenek, megengedni a hitelesítést és még sok más lehetőséget is tartalmaz.

A PPP három dolgot biztosít:

1. Olyan keretezési módszert, amely jelzi a keret végét és a következő keret kezdetét és megoldja a hibajelzést is.

2. Kapcsolatvezérlő protokollt (LCP-t - adatkapcsolat-vezérlő protokoll - Link Control Protocol) a vonalak felélesztésére, tesztelésére, az opciók megbeszélésére és a vonalak elegáns elengedésére, amikor már nincs rájuk szükség. Támogatja a szinkron és aszinkron áramköröket, valamint a bájt és bit alapú kódolásokat.

3. Különböző NCP-t (hálózati vezérlő protokoll - Network Control Protocol) mindegyik támogatott hálózati réteghez.

Az MPLS VPN, azaz a Multiprotokoll Label Switching VPN különösen az

ISP-k (Internet Service Provider) körében elterjedt virtuális magánhálózati megoldás. Ez a protokoll a gerinchálózatot alkotó útválasztókon (router) fut, és magas színvonalú szolgáltatásokat nyújt.

Layer 2 Tunneling Protocol (L2TP): saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az „L2TP over IPSec”, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. Az L2TP használatát a Windows 2000 és Windows XP kiszolgálók illetve ügyfelek támogatják.

IKE (InternetKey Exchange): Internetes Kulcs-csere, hibrid protokoll, a SKEME és Oakly biztonságos kulccsere protokollokat, valamint az ISAKMP kulcskereső protokollt használ. Kétirányú protokoll.

IPsec (IP security) IP-s biztonságos keretrendszer.

A VPN kapcsolat elemei:

l VPN szerver: számítógép mely elfogadja a VPN kapcsolódási kérést a klienstől. Majd biztosít egy távoli hozzáférést, vagy router-to-router kapcsolatot.

l VPN kliens: számítógép mely kezdeményezi a kapcsolatot. VPN kliens lehet egy egyedi számítógép mely egy távoli hozzáférési (Remote Access) VPN kapcsolatot kezdeményez, illetve egy router, ez esetben router-to-router VPN kapcsolatról beszélünk.

l Csatorna: A bújtatott (újracsomagolt, tömörített és titkosított) csomagokat a rendszer az alagút belsejében továbbítja a hálózaton keresztül.

l Tunneling protokoll: kommunikációs protokoll mely biztosítja a csomagok beágyazását, az útvonalválasztást és a beágyazás megszüntetését a célállomáson.

l Átvivő hálózat: osztott vagy nyilvános hálózat mely a titkosított adatcsomagokat, továbbítja (leggyakrabban Internet)

WEP (Wired Equivalent Privacy - vezetékessel egyenértékű biztonság) adatkapcsolati szintű biztonsági protokoll. A WEP-et viszont könnyebben meglehet támadni, mint a vezetékes hálózatokat, még akkor is ha minden felhasználónak saját kulcsa van. Mivel a kulcsok rendszerint hosszabb ideig változatlanok maradnak.

A Bluetooth:

A Bluetooth több rétegben is nyújt biztonsági funkciókat. A Bluetooth-eszközök belépőkulcsokat (passkey) használnak, melyeket össze kell párosítani.

A Bluetooth csak az eszközöket hitelesíti, nem a felhasználókat, viszont felsőbb rétegekben is tartalmaz biztonsági funkciókat, ezért az adatkapcsolati szintű védelem áttörése után is nyújt még némi biztonságot, különösen az olyan alkalmazásoknál, ahol egy PIN-kódot kell valamilyen billentyűzetről kézzel

begépelni a tranzakció lebonyolításához.

A WAP 2.0:

A WAP 2.0 már zömében szabványos protokollokat használ az összes rétegben, és ez alól a biztonság sem kivétel. A biztonsági megoldás IP alapú, ezért teljes mértékben támogatja az IPsec-et a hálózati rétegben. A szállítási rétegben a TCP-összeköttetéseket a TLS nevű IETF-szabvány révén védik. A sértetlenség és a letagadhatatlanság biztosításáról alkalmazási szintű kriptográfiai könyvtárak gondoskodnak.

A hálózati biztonság megvalósításában használt néhány alkalmazás és biztonsági eszköz:

Szoftver kiegészítések és frissítések,

Vírusvédelem,

Kémprogramok elleni védelem,

Levélszemét szűrők,

Előugró-ablak blokkolók,

Tűzfalak,

NIST (National Institute of Standards and Technology - Nemzeti Szabványügyi és Technológiai Intézet)

PKI (Public Key Infrastructure - nyilvános kulcs infrastruktúra).

RA (Régiónál Authorities - regionális hatóságok)

Piggyback: jogtalan hozzáférés, más felhasználón keresztül.

Social Engineering, Social Hacking: feltörés, behatolás a felhasználó jelszavával.

Sniffer programok: szaglászó programok, csomagok átvizsgálásához (pl. WINPCAP).

Accouting: hozzáférés, naplózás

Authenticationing: hitelesítési folyamat

Auditing: naplózás

Informatikai Szabályzat: Az informatikai eszközökre terjed ki, része a Biztonsági Szabályzat.

TIVOLI: Felügyeleti, hibakereső program (nagyon fizetős).

NESSUS: Felügyeleti, hibakereső program (ingyenes).

VEZETÉK NÉLKÜLI TECHNOLÓGIÁK,ESZKÖZÖK

A vezetékes hálózatokon kívül számos olyan technológia létezik, mely lehetővé teszi az eszközök közötti átvitelt kábelek használata nélkül. Ezeket vezeték nélküli technológiáknak nevezzük.

A vezeték nélküli eszközök elektromágneses hullámokat használva cserélik az információkat egymás közt. Egy elektromágneses hullám ugyanaz a közeg, mint amely a rádiójeleket is szállítja az éteren keresztül.

Az elektromágneses frekvencia spektrumba tartoznak a rádiós és televíziós műsorszórások frekvenciái, a látható fény, a röntgen és a gamma sugarak is. Ezek közül mindegyik külön hullámhossz tartománnyal és megfelelő energiaszinttel rendelkezik, ahogy az ábrán is látható.

Bizonyos típusú elektromágneses hullámok nem alkalmasak adatátvitelre. A frekvenciatartomány más részei állami szabályozás alatt vannak, és használatuk különféle szervezetek számára engedélyezett meghatározott tevékenységek ellátására. A tartomány bizonyos részeit közhasználatra tartják fenn, anélkül, hogy engedélyekhez kötnék használatukat. A nyilvános vezeték nélküli kommunikációra használt leggyakoribb hullámhosszok közé tartozik, az Infravörös és Rádiófrekvenciás (RF) tartomány.

Infravörös

Az Infravörös (IR) kommunikáció viszonylag alacsony energiaszintű, és jelei nem képesek áthatolni falakon vagy egyéb akadályokon. Ennek ellenére gyakran használják olyan eszközök közötti kapcsolat létrehozására és adatmozgatásra mint személyes digitális titkár (Personal digital Assistent, PDA) és PC-k. Az eszközök közötti információcseréhez az IR egy infravörös közvetlen hozzáférésként (Infrared Direct Access, IrDA) ismert különleges kommunikációs portot használ. Az IR csak pont-pont típusú kapcsolatot tesz lehetővé.

Gyakran IR-t használnak a távirányítók, a vezeték nélküli egerek és a billentyűzetek is. Általában kis hatótávolságú, rálátást igénylő kommunikációra használják. Mindamellett reflexiós megoldásokkal az IR jelek hatóköre kiterjeszthető. Nagyobb távolságok esetén, magasabb frekvenciájú elektromágneses hullámok használatára van szükség.

Rádió frekvencia (RF)

A rádió frekvenciás hullámok képesek áthatolni a falakon és más akadályokon, valamint az IR-hez képest jóval nagyobb a hatótávolságuk.

A rádiófrekvenciás (RF) tartomány bizonyos részeit szabadon használható eszközök működésére tartják fenn, ilyenek például a zsinór nélküli telefonok, vezeték nélküli helyi-hálózatok és egyéb számítógépes perifériák.

Ilyen frekvenciák a 900 MHz, 2.4 és 5 GHz-es sávok. Ezen frekvenciák az Ipari, Tudományos és Orvosi sávokként (ISM) ismertek, és csekély megszorítások mellett használhatóak.

A Bluetooth egy kommunikációs technológia, mely a 2.4 GHz-es sávon működik. Korlátozott sebességű, és rövid hatótávolságú, de megvan az az előnye, hogy egyidejűleg több eszköz kommunikációját teszi lehetővé. Utóbbi előnyös tulajdonsága emelte a Bluetooth technológiát az Infravörös fölé, a számítógépes perifériák (nyomtatók, egerek és billentyűzetek) kapcsolatainak létrehozása esetében.

Egyéb technológiák, melyek a 2.4 és 5 GHz-es frekvenciákat használják, a különböző IEEE 802.11-es szaványoknak megfelelő modern vezeték nélküli hálózatok (WLAN). Abban különböznek a Bluetooth-tól, hogy magasabb teljesítményszinten továbbítanak, mely nagyobb hatótávolságot biztosít számukra.

A vezeték nélküli hálózatok némely esetben előnyösebbek a hagyományos vezetékes hálózatokkal szemben.

Az egyik fő előnyük, hogy bárhol és bármikor lehetővé teszik a hálózati kapcsolódást. A vezeték nélküli hálózatok széleskörű megvalósítása a nyilvános helyeken, melyeket forrópontoknak (hotspot) hívunk, lehetővé teszi az emberek számára, hogy könnyen csatlakozzanak az Internetre, adatokat töltsenek le, levelet váltsanak és állományokat küldjenek egymásnak.

A vezeték nélküli hálózatok telepítése meglehetősen könnyű és olcsó. A otthoni és üzleti felhasználású WLAN eszközök ára folyamatosan csökken. Az árak csökkenése ellenére, ezen eszközök adatátviteli sebessége és képességük egyre növekszik, lehetővé téve a még gyorsabb és megbízhatóbb vezeték nélküli kapcsolatokat.

A vezeték nélküli technológia lehetővé teszi a hálózatok könnyű bővíthetőségét, a kábeles kapcsolatok okozta hátrányok nélkül. Az új és visszalátogató ügyfelek könnyen és gyorsan tudnak kapcsolódni.

A vezeték nélküli hálózatok előnyei és rugalmassága ellenére korlátaival és használatának kockázatával is számolnunk kell.

Először is, a Vezeték nélküli LAN (WLAN) technológiák a rádiófrekvenciás spektrum szabadon használható sávjait használják. Mivel e sávok használata nem szabályozott, számos eszköz üzemel ezeken a frekvenciákon. Ennek eredményeképpen ezek a frekvenciasávok nagyon zsúfoltak, és a különböző eszközök jelei gyakran zavarják egymást. Ezen kívül számos eszköz, mint például a mikrohullámú sütők vagy zsinórnélküli telefonok használhatják ezeket a sávokat, és interferálhatnak a WLAN kommunikációval.

Másodszor, a vezeték nélküli hálózatok fő problémája a biztonság. A WLAN-ok könnyű hálózati hozzáférést biztosítanak, amelyet az adatoknak sugárzással törénő továbbítása tesz lehetővé. Ez a tulajdonsága azonban korlátozza a vezeték nélküli technológia által nyújtott bitonság mértékét is. Bárki megfigyelheti a kommunikációs adatfolyamot annak ellenére, hogy nem neki szánták. E biztonsági problémákra válaszul, a vezeték nélküli átvitel védelme érdekében különböző technikákat fejlesztettek ki, például titkosítás és hitelesítés.

A vezeték nélküli hálózatok három fő csoportba sorolhatók: vezeték nélküli személyi hálózatok (WPAN), vezeték nélküli helyi hálózatok (WLAN) és vezeték nélküli nagy kiterjedésű hálózatok (WWAN).

E csoportosítás ellenére, nehéz meghatározni egy-egy vezeték nélküli hálózati megvalósítás hatókörét. Ennek oka, hogy a vezetékes hálózatokkal ellentétben, a vezeték nélküli hálózatoknak nincsenek pontosan meghatározott határai. A vezeték nélküli átvitel hatótávolságát számos tényező befolyásolja. Egyaránt érzékenyek a természetes és mesterséges eredetű zavarásokra. A hőmérséklet és páratartalom ingadozásai jelentősen befolyásolják a lefedettségi terület nagyságát. A vezeték nélküli környezetben található akadályok is csökkentik a hatótávolságot.

A WPAN a legkisebb méretű hálózattípus, melyet általában olyan perifériális eszközök számítógéphez való csatlakoztatására használnak, mint például egerek, billentyűzetek és PDA-k. Ezen eszközök mindegyike kizárólag egy állomáshoz csatlakozik, és általában IR vagy Bluetooth technológiát használ.

A WLAN-t általában a vezetékes helyi hálózatok határainak kiterjesztése érdekében használják. A WLAN RF technológiát használ, és megfelel az IEEE 802.11-es szabványoknak. Számos felhasználó számára teszi lehetővé a vezetékes hálózathoz való csatlakozást egy hozzáférési pontként (Acces Point, AP) ismert eszközön keresztül. A hozzáférési pont kapcsolatot biztosít a vezeték nélküli állomások és az Ethernet kábeles hálózat állomásai között.

A WWAN hálózatok óriási méretű területeken biztosítanak lefedettséget. Ilyenek például a mobiltelefonos hálózatok. Olyan technológiákat használnak mint a kódosztásos többszörös hozzáférés (Code Division Multiple Access, CDMA) vagy a Mobil kommunikáció globális rendszere (Global System for Mobile Communication, GSM), melyek használatát gyakran kormányzati szervek szabályozzák.

Számos szabványt fejlesztettek ki annak érdekében, hogy a vezeték nélküli eszközök kommunikálni tudjanak egymással. Ezek meghatározzák a használt frekvencia tartományt, az adatátviteli sebességet, az információátvitel módját, stb.. A vezeték nélküli technikai szabványok létrehozásáért felelős elsődleges szervezet az IEEE.

Az IEEE 802.11-es szabvány határozza meg a WLAN környezeteket. Négy fő ajánlása létezik az IEEE 802.11 szabványnak, mely különböző jellemzőket ad meg a vezeték nélküli kommunikáció számára. A jelenleg létező ajánlások a 802.11a, 802.11b, 802.11g és 802.11n (a 802.11n a szöveg írásának idején még nem jóváhagyott). Összefoglaló néven, ezeket a technológiákat Wi-Fi-nek (Wireless Fidelity) nevezzük.

Egy másik szervezet, melyet Wi-Fi Szövetség néven ismerünk, a különböző gyártók WLAN eszközeinek teszteléséért felelős. Egy eszközön szereplő Wi-Fi embléma azt jelenti, hogy az eszköz megfelel a szabványoknak és képes más, ugyanezen szabványt használó eszközökkel való együttműködésre.

802.11a:

Az 5 GHz-es frekvencia tartományt használja.

Nem kompatibilis a 2.4 GHz-es sávot használó 802.11 b/g/n eszközökkel.

Hatótávolsága nagyjából a 802.11 b/g hálózatok hatótávolságának 33%-a.

Más technológiákhoz képest viszonylag költségesebb a megvalósítása.

Egyre nehezebb 802.11a-nak megfelelő eszközt találni.

802.11b:

A 2.4 GHz-es technológiák első képviselője.

Maximális adatátviteli sebessége 11 Mbit/s.

Beltérben maximálisan 46 méter (150 láb), kültéren 96 méter (300 láb) a hatótávolsága.

802.11g:

2,4 GHz-es technológia

54 Mbit/s a maximális adatátviteli sebessége

Hatótávolsága a 802.11b-val megegyezik

Felülről kompatibilis a 802.11b-vel

802.11n:

A legújabb, fejlesztés alatt álló szabvány

2,4 GHz-es technológia (a szabvány tervezet az 5 GHz támogatását is említi)

Megnövekedett hatótávolsággal és átbocsátóképességgel rendelkezik.

Felülről kompatibilis a meglévő 802.11g és 802.11b eszközökkel (a szabványtervezet a 802.11a támogatását is megemlíti)

Mihelyt egy szabványt elfogadnak, alapvető fontosságú, hogy a WLAN minden összetevője megfeleljen, vagy legalább kompatibilis legyen vele. Ez számos WLAN összetevőt érint, köztük a következőket: vezetéknélküli ügyfél vagy ún. STA, hozzáférési pont (AP), vezeték nélküli híd és antenna.

Wlan összetevők:

Antennák:

Az AP-k és vezeték nélküli hidak esetében használják.

Megnövelik a vezeték nélküli eszköz által kibocsátott jelek erősségét.

Fogadják más eszközök, például STA-k jeleit.

Az antennák által okozott jelerősség növekedést más néven erősítésnek nevezzük.

A nagyobb erősítés rendszerint megnövekedett hatótávolságot jelent.

Az antennákat, a jelek sugárzásának a módja alapján osztályozzuk. Az irányított antennák egy irányba koncentrálják a jelek energiáját. Az irányítatlan antennákat arra tervezték, hogy minden irányba azonos erősséggel sugározzanak.

A jelek egy irányba való koncentrálásával, az irányított antennák nagy átviteli távolság elérésére képesek. Az irányított antennákat általában áthidalási problémák esetén használják, míg az irányítatlan antennákat a hozzáférési pontoknál (AP) találjuk meg.

Egy Wi-Fi hálózat építésekor, fontos tényező, hogy az egyes összetevők a megfelelő WLAN-hoz csatlakozzanak. Erről a Szolgáltatáskészlet azonosító (Service Set Identifier, SSID) használatával gondoskodhatunk.

Az SSID érzékeny a kis és nagy betűkre, maximum 32 alfanumerikus karakterből áll. A WLAN-ban küldött minden keret fejlécében megtalálható. Az SSID-t arra használjuk, hogy a vezeték nélküli eszközöknek megmondjuk, melyik WLAN-hoz tartoznak és mely más eszközökkel kommunikálhatnak.

Tekintet nélkül arra, hogy milyen típusú WLAN kiépítésről van szó, a kommunikáció érdekében a WLAN minden vezeték nélküli eszközét ugyanarra az SSID-re kell beállítani.

Alapvetően két különböző WLAN kiépítési forma létezik: Ad-hoc és infrastruktúrális mód.

Ad-hoc

A vezeték nélküli hálózatok legegyszerűbb formája, amikor két vagy több vezeték nélküli állomást kapcsolunk össze egyenrangú hálózatot létrehozva. Az ilyen hálózatokat ad-hoc vezeték nélküli hálózatoknak nevezzük, és hozzáférési pontot (AP) nem tartalmaznak. Egy ad-hoc hálózat minden állomása a hálózat egyenrangú résztvevője. A hálózat által lefedett terültet Független Alapvető Szolgáltatáskészletként (Independent Basic Service Set, IBSS) ismert. Az egyszerű ad-hoc hálózatokkal az eszközök állományokat és egyéb információkat cserélhetnek anélkül, hogy hozzáférési pont (AP) vásárlásának költségeivel és konfigurálásának bonyolultságával számolni kellene.

Infrastruktúrális mód

Bár az ad-hoc szervezés megfelelő lehet kisebb hálózatok esetén, nagyobb hálózatoknál egy önálló eszköz alkalmazása szükséges a vezeték nélküli cellában zajló kommunikáció irányításához. Ezt a szerepet a hozzáférési pont látja el, amely eldönti, ki és mikor kommunikálhat. Az infrastruktúrális módként ismert szervezési eljárást az otthoni és az üzleti környezetekben egyaránt a leggyakrabban használják. Egy ilyen típusú vezeték nélküli hálózatban, az egyes STA-k nem képesek egymással közvetlenül kommunikálni. A kommunikációhoz minden eszköznek engedélyt kell kérnie az AP-től. Az AP irányít minden kommunikációt és törekszik arra, hogy minden STA-nak egyenlő joga legyen a közeghez való hozzáféréshez. Egy egyedüli AP által lefedett terültetet alapvető szolgáltatáskészletként (Basic Service Set, BSS) vagy cellaként ismerünk.

Az alapvető szolgáltatáskészlet (Basic Service Set, (BSS) a WLAN hálózatok legkisebb építőeleme. Egy AP által lefedett terület nagysága korlátozott. A lefedettségi terület kibővítéséhez több BSS is összeköthető egymással egy elosztórendszer (Distribution system, DS) használatával. Ezzel egy Extended Service Set (ESS) jön létre. Egy ESS több hozzáférési pontot használ. Az egyes AP-k különálló BSS-ben vannak.

Azért, hogy a cellák között a jelek elvesztése nélkül biztosítsuk kapcsolatot, az egyes BSS-ek között megközelítőleg 10% átfedésnek kell lennie. Ez lehetővé teszi az ügyfelek számára, hogy azelőtt csatlakozzanak a másik AP-hez mielőtt az első AP-ről lecsatlakoztak.

A legtöbb otthoni és kisvállalati környezet összesen egy BSS-ből áll. Azonban, ha az igényelt lefedett terület mérete és a kapcsolódni kívánó ügyfelek száma növekszik, akkor szükséges lehet egy ESS létrehozása.

Vezeték nélküli csatornák

Ha egy IBSS, BSS vagy ESS területén belül a vezeték nélküli ügyfelek kommunikálnak egymással, a küldő és fogadó állomások közötti párbeszédet irányítani kell. Az egyik módszer, mely ezt megvalósítja, a csatornák használata.

A csatornák a rendelkezésre álló RF tartomány részekre bontásával jönnek létre. Az egyes csatornák különböző párbeszédek bonyolítására alkalmasak. Ez hasonló ahhoz, amikor több televíziós csatornát szolgáltatnak egyetlen átviteli közegen keresztül. Több hozzáférési pont képes egymáshoz közel üzemelni, amíg azok eltérő csatornát használnak a kommunikációra.

Sajnos egyes csatornák által használt frekvenciák átfedésben lehetnek mások által használt csatornákkal. A különböző párbeszédeknek egymást nem átfedő csatornákon kell zajlaniuk. A csatornák felosztása és száma a felhasználási területtől és a technológiától is függ. Egy bizonyos kommunikációra használt csatorna kiválasztása kézire illetve automatikusra állítható, olyan tényezőktől függően, mint a terhelés mértéke és a rendelkezésre álló áteresztőképesség.

Normál esetben minden egyes vezeték nélküli párbeszédhez különálló csatornákat használnak. Néhány újabb technológia képes a csatornák kombinálására, létrehozva egy szélesebb átviteli csatornát, amely nagyobb sávszélességget és megnövekedett adatátviteli sebességet biztosít.

Egy WLAN-on belül, a cellák közötti jól meghatározott határvonalak hiánya miatt lehetetlen az átvitel során fellépő ütközések észlelése. Ezért, olyan közeghozzáférési módszert kell használni a vezeték nélküli hálózatokban, amely biztosítja, hogy ne forduljanak elő ütközések.

A vezeték nélküli technológia az úgynevezett vivőérzékeléses többszörös hozzáférésű - ütközés elkerüléses (Carrier Sense Multiple Access with Collision Avoidance, CSMA/CA) közeghozzáférési módszert használja. A CSMA/CA lefoglalja a párbeszédre használandó csatornát. Amíg a foglalás érvényben van, más eszköz nem adhat ugyanazon csatornán, így a lehetséges ütközések elkerülhetők.

Hogyan működik ez a foglalási folyamat? Ha egy eszköz egy bizonyos kommunikációs csatornát szeretne használni egy BSS-ben, először az AP engedélyét kell kérnie. Ezt a folyamatot küldéskérésként (Request to Send, RTS) ismerjük. Ha a kívánt csatorna elérhető, az AP a Küldésre kész (Clear to Send, CTS) választ adja a kliensnek, amely azt jelzi, hogy az eszköz használhatja a csatornát. Egy CTS válasz szórás formájában minden eszközhöz eljut a BSS területén. Így a BSS cella minden eszköze tudomást szerez arról, hogy csatorna jelenleg foglalt.

Miután a párbeszéd befejeződött, a csatornát lefoglaló eszköz egy másik üzenetet küld az AP-nek, melyet nyugtakéntként (Acknowledgement, ACK) ismerünk. Az ACK jelzi a hozzáférési pontnak, hogy a csatorna foglaltsága felszabadítható. Ezt az üzenetet a WLAN minden eszköze megkapja üzenetszórás formájában. A BSS cella minden eszköze fogadja az ACK üzenetet, tudomást szerezve arról, hogy a csatorna ismét elérhető.

Hozzáférési pont konfigurálása

Miután megtörtént a használandó vezeték nélküli szabvány kiválasztása, az eszközök elrendezése és a csatorna hozzárendelés is már kész, itt az ideje a hozzáférési pont (AP) konfigurálásának.

A legtöbb integrált forgalomirányító lehetőséget ad vezetékes és vezeték nélküli kapcsolódásra, és AP-ként is szolgál a hálózatban. Az olyan alapvető beállítások, mint a jelszavak, az IP címek és DHCP beállítások megegyeznek attól függően, hogy az eszközt vezetékes vagy vezeték nélküli állomás csatlakoztatására használjuk. Az olyan alapvető konfigurációs feladatokat, mint az alapértelmezett jelszó megváltoztatása, az AP éles hálózatba történő bekötése előtt kell elvégezni.

Ha egy integrált forgalomirányító vezeték nélküli funkcióját használjuk, olyan további beállítások szükségesek, mint a vezeték nélküli mód, az SSID és a használt csatorna konfigurálása.

Vezeték nélküli mód

A legtöbb otthoni AP többféle módot támogathat, leggyakrabban: 802.11b, 802.11g, 802.11n. Bár ezek mind a 2.4 GHz-es tartományt használják, más más technológiát használnak a maximális áteresztőképesség eléréséhez. Az engedélyezett mód határozza meg, milyen típusú állomások csatlakozhatnak az AP-hez. Ha csak azonos típusú állomások csatlakoznak a hozzáférési ponthoz, állítsuk arra a módra, melyet az állomások használnak. Többféle típusú eszköz esetén állítsuk vegyes (mixed) módra a hálózatot. Mindegyik mód használata bizonyos mértékű többletterhelést okoz. A vegyes (mixed) mód beállításával a hálózati teljesítmény csökkenni fog az összes üzemmód támogatása által okozott többletterhelés miatt.

SSID

Az SSID-t a WLAN azonosítására használják. Az összes eszköznek, amely egy hálózatban szeretne működni, ugyanazon SSID beállítással kell rendelkeznie. Ahhoz, hogy az ügyfelek könnyen észleljék a hálózatot, a hozzáférési pontok szórásos üzenetekkel terjesztik az SSID-t. Lehetőség van az SSID szórásának kikapcsolására is. Ilyenkor azonban a vezeték nélküli ügyfeleknél kézzel kell beállítani ezt az értéket.

Vezeték nélküli csatorna

Az AP számára történő csatornaválasztásnak a környezetben működő más vezeték nélküli hálózatokhoz viszonyítva kell megtörténnie. A szomszédos BSS-eknek egymást nem átfedő csatornát kell használniuk az optimális áteresztőképesség biztosítása érdekében. Ma már a legtöbb AP esetén lehetőség van a kézi csatornabeállításra, vagy engedélyezhetjük az automatikus kiválasztást is, amely a legkevésbé leterhelt vagy a legnagyobb áteresztőképességű csatorna használatát teszi lehetővé.

Vezeték nélküli ügyfél konfigurálása

Vezeték nélküli állomásnak vagy STA-nak nevezünk minden olyan eszközt, amely tartalmaz valamilyen vezeték nélküli hálózati csatolót (NIC) és ennek működéséhez szükséges ügyfélprogramot. Az ügyfélszoftver teszi lehetővé, hogy a hardver a WLAN része legyen. STA-k közé tartozó eszközök például: PDA-k, laptopok, asztali PCk, nyomtatók, projektorok és Wi-Fi telefonok.

Ahhoz, hogy egy STA a WLAN-hoz csatlakozzon, az ügyfélprogram konfigurációjának meg kell egyeznie a hozzáférési pontéval. Ezek közé tartozik az SSID, a biztonsági beállítások, és a csatorna adatok, akkor ha nem automatikus csatorna kiválasztás van beállítva. Ezen beállítások az ügyfél kapcsolatát irányító kliens szoftverben kerülnek megadásra.

A használt ügyfélprogram lehet az eszköz operációs rendszerébe integrált vagy lehet különálló, letölthetö szoftver, melyet kizárólag bizonyos vezeték nélküli NIC kezelésére terveztek.

Beépitett vezeték nélküli segédprogramok

A Windows XP vezeték nélküli kliens szoftvere egy példa azokra a népszerű ügyfélprogramokra, melyet az eszköz operációs rendszere részeként mellékelnek. Ez az ügyfélprogram egy alapvető kezelőprogram, amely képes ellenőrizni a legtöbb vezeték nélküli ügyfélkonfigurációt . Felhasználóbarát és egyszerűvé teszi a kapcsolódási folyamatot.

A különálló vezeték nélküli szoftverek

Az olyan vezeték nélküli segédprogramokat, mint amiket a vezeték nélküli hálózati kártyákhoz is mellékelnek, úgy tervezték, hogy csak meghatározott hálózati csatolóval (NIC) működjön. Rendszerint a Windows XP beépített programjához képest továbbfejlesztett funkciókra képesek, többek között:

Kapcsolat információ - megjeleníti a vezeték nélküli jel aktuális erősségét és minőségét

Profilok - lehetővé teszik különböző vezeték nélküli hálózatokhoz egyedi beállítások megadását: SSID, csatorna száma, stb.

Helyszínek vizsgálata (Site Survey) - lehetővé teszi a környék összes vezeték nélküli hálózatának észlelését.

Nem lehetséges, hogy a vezeték nélküli segédprogram és a Windows XP beépített programja egyszerre kezelje a hálózati kapcsolatokat. A legtöbb esetben a Windows XP integrált szoftvere megfelel az elvárásoknak. Ha több hálózati profilt kell létrehozni a különböző hálózatok számára, vagy speciális konfigurációs beállításokra van szükség, jobb ha a hálózati kártyához mellékelt programot használjuk.

Miután az ügyfél szoftvert beállítottuk, ellenőrizzük a kliens és az AP közötti kapcsolatot.

Nyissuk meg a vezeték nélküli kapcsolat információs ablakát, amely olyan információkat jelenít meg, mint a kapcsolat adatátviteli sebessége, a csatlakozás állapota és a használt csatorna. A kapcsolat információ menüpont, ha rendelkezésre áll, megjeleníti a vezeték nélküli jel erősségét és minőségét.

A kapcsolat ellenőrzéséhez győződjünk meg arról is, hogy továbbíthatóak-e az adatok. Az egyik leggyakrabban használt módszer az adatátvitel ellenőrzésére a Ping-teszt. Ha a ping-teszt sikeres, az adatátvitel lehetséges.

Ha a forrás és célhely között a teszt sikertelen, pingessük meg az AP-t a vezeték nélküli állomásról a kapcsolódás tényleges ellenőrzéséhez. Ha ez sem sikerül, a probléma az állomás és a hozzáférési pont között van. Ellenőrizzük a beállításokat és próbáljuk helyreállítani a kapcsolatot!

Ha a vezeték nélküli ügyfél sikeresen csatlakozott az AP-hez, próbáljuk tesztelni a következő ugrást az AP-től a célállomás felé vezető úton. Ha ez is sikeres, akkor a probléma valószínűleg nem az AP beállításaival van, hanem a célhoz vezető út valamelyik eszközével vagy magával a céleszközzel.

Miért támadják a WLAN-okat?

A vezeték nélküli hálózatok egyik legnagyobb előnye, hogy az eszközök egyszerű és kényelmes csatlakozását teszik lehetővé. Sajnos a kapcsolódás egyszerűsége és annak ténye, hogy az információ a levegőn keresztül kerül átvitelre, sebezhetővé teszi hálózatunkat a behatolásokkal és támadásokkal szemben.

A vezeték nélküli kapcsolódás miatt, a támadónak nem szükséges fizikailag csatlakozni számítógépünkhöz vagy hálózatunk bármely eszközéhez. Lehetséges az, hogy egy támadó ráhangolódjon hálózatunk vezeték nélküli jeleire, épp úgy, mint amikor behangolunk egy rádió állomást.

A támadó a lefedettségi területen belül képes hozzáférni hálózatunkhoz. Miután bejutott, ingyen használhatja az Internet kapcsolatot, valamint kárt tehet a hálózathoz csatlakozó más számítógépek adataiban vagy ellophat személyes információkat.

A vezeték nélküli hálózatok sebezhetősége miatt a WLAN támadások elleni védekezés érdekében speciális biztonsági szolgáltatásokra és megvalósítási módszerekre van szükség. Ezek közé tartoznak a vezeték nélküli eszköz előzetes beállításakor elvégzendő egyszerű teendők ugyanúgy, mint a jóval fejlettebb biztonsági konfigurációk.

Az egyik egyszerű módszer egy vezeték nélküli hálózatba való bejutáshoz, ha tudjuk a hálózat nevét, az SSID-t.

A hálózathoz csatlakozó minden számítógépnek ismernie kell az SSID-t. Alapértelmezés szerint, a vezeték nélküli forgalomirányítók és hozáférési pontok a lefedettségi terület minden állomása felé szórják az SSID-t. Az SSID szórás bekapcsolásával, bármely vezeték nélküli ügyfél észlelheti és csatlakozhat a hálózathoz, ha nincsenek érvényben egyéb biztonsági beállítások.

Az SSID szórása kikapcsolható. Ha ki van kapcsolva, a hálózat létezése többé nem nyilvános. Bármely csatlakozni kívánó számítógépnek ismernie kell az SSID-t.

Továbbá, fontos az alapértelmezett beállítások megváltoztatása. A vezeték nélküli eszközök bizonyos beállításai előre konfiguráltak, például az SSID, jelszavak és az IP címek. Ezen alapértelmezett adatok használata egyszerűvé teszik egy támadó számára a hálózat azonosítását és az abba való behatolást.

Még ha az SSID szórás ki is van kapcsolva, elég valószínű, hogy valaki jól ismert SSID-kkel próbálkozva bejut hálózatunkba. Ezenkívül, ha az egyéb alapértelmezett beállítások, mint jelszavak és IP címek nem kerülnek megváltoztatásra, akkor a támadók hozzáférhetnek az AP-hez és változtatásokat eszközölhetnek rajta. Az alapértelmezett adatokat érdemes valamilyen biztonságosabb, egyedi értékre változtatni.

A fenti változtatások önmagukban nem védik meg hálózatunkat. Például az SSID-k titkosíttatlan szöveg formájában kerülnek átvitelre. Vannak olyan eszközök, amelyek képesek elfogni a vezeték nélküli jeleket és a titkosítattlanul küldött adatokat. Így, még ha az SSID szórását ki is kapcsoltuk és megváltoztattuk a gyári értékeket, a támadók a vezeték nélküli jeleket elfogva és feldolgozva ki tudják deríteni hálózatunk azonosítóját, és felhasználhatják a hálózathoz való csatlakozáshoz. Csak többféle módszer együttes alkalmazásával védhetjük meg WLAN-unkat.

Egy WLAN elérésének korlátozása

A vezeték nélküli hálózat használata korlátozásának egyik módszere, hogy pontosan megmondjuk, mely eszközök csatlakozhatnak. Ezt a MAC-címek szűrésével érhetjük el.

MAC cím szűrés

A MAC cím szűrés a MAC címeket használja annak eldöntéséhez, hogy mely eszközök engedélyezettek a hálózat elérésére. Ha egy vezeték nélküli állomás megpróbál csatlakozni vagy társítást kezdeményezni egy AP-val, elküldi saját MAC cím információját. Ha a MAC cím szűrés be van kapcsolva, a vezeték nélküli forgalomirányító, illetve a hozzáférési pont megkeresi a kliens MAC címét egy előre létrehozott listában. Csak azon eszközök engedélyezettek a csatlakozásra, melyek MAC címeit előzetesen rögzítették a forgalomirányító adatbázisába.

Ha a MAC cím nem található a listában, akkor az eszköz nem csatlakozhat vagy veheti igénybe a hálózatot.

Ezzel a biztonsági módszerrel is van azonban néhány probléma. Az egyik, hogy a hálózathoz csatlakozni kívánó összes eszköz MAC címének rögzítve kell lennie az adatbázisban, mielőtt a csatlakozási próbálkozások megtörténnének. Ha egy eszköz nincs azonosítva az adatbázisban, akkor nem fog tudni csatlakozni. A másik probléma az, hogy a támadó felhasználhatja egy hozzáféréssel rendelkező, engedélyezett eszköz MAC címét.

Hitelesítés vezeték nélküli hálózatban

Egy másik módszer a csatlakozások szabályozásához a hitelesítés alkalmazása. A hitelesítés az a folyamat, mely során hitelesítési információk alapján dől el a belépés engedélyezése. Annak eldöntésére használják, hogy a kapcsolódni kívánó eszköz megbízható-e.

Jelszó és felhasználói név használata a hitelesítés leggyakoribb formája. Egy vezeték nélküli környezetben, a hitelesítési folyamat biztosítja a csatlakozó állomás megbízhatóságát, de a felülvizsgálati folyamat kissé eltérő módon zajlik. A hitelesítés folyamat, ha engedélyezve van, még azelőtt megtörténik, mielőtt az ügyfél beléphetne a WLAN-ba. Három különböző típusú vezeték nélküli hitelesítési módszer létezik : a nyílt hitelesítés, a PSK és az EAP.

Nyílt hitelesítés

Alapértelmezés szerint a vezeték nélküli eszközök nem igényelnek hitelesítést. Minden hálózati eszköz képes a társításra, tekintet nélkül arra, hogy melyek azok valójában. Minden hálózati eszköz képes a csatlakozásra függetlenül attól, ki is valójában. A nyílt hitelesítést közhasznú hálózatok esetén érdemes alkalmazni, például amelyek iskolákban vagy éttermekben találhatóak. Akkor is használható, ha a hálózatba való belépés után más eszközökkel végezzük a hitelesítési eljárást.

Előre megosztott kulcs (PSK)

PSK használata esetén az AP-n és az ügyfél eszközön ugyanazzt a kulcsot vagy titkos szót kell beállítani. Az AP egy véletlenül generált bájtsorozatot küld az ügyfélnek. Az ügyfél fogadja a bájtsorozatot, a kulcs alapján titkosítja (kódolja), és visszaküldi a hozzáférési pontnak. Az AP fogadja a kódolt üzenetet, és a saját kulcsát használva visszafejti (dekódolja). Ha a visszafejtett bájtsorozat megegyezik az eredetileg küldöttel, az ügyfél kapcsolódhat a hálózatra.

A PSK egyutas hitelesítést végez, azaz csak az állomás hitelesíti magát a hozzáférési ponton. A PSK nem hitelesíti az AP-t az ügyfél eszközön, és nem azonosítja az állomás tényleges felhasználóját sem.

Kiterjeszthető Hitelesítési Protokoll (EAP)

Az EAP kölcsönös vagy kétutas hitelesítést biztosít, és lehetővé teszi a felhasználó azonosítását is. Ha EAP-ot használó programot telepítettek egy állomásra, az ügyfél egy kiszolgáló oldali hitelesítő szerverrel kommunikál, mint például a távoli hitelesítés behívásos felhasználói szolgáltatás (Remote Authentication Dial-in User Service, RADIUS). Ez a kiszolgáló oldali szolgáltatás különválasztva működik a hozzáférési pontoktól és adatbázist tart fenn a hálózatot használni jogosult felhasználókról. Amikor EAP-ot használnak, a felhasználónak - nem csak az állomásnak - meg kell adnia az azonosítóját és a jelszavát, melyek érvényességét a RADIUS adatbázisban ellenőrzik. Ha az adatok érvényesek, a felhasználó hitelesítése sikeres.

Ha valamilyen hitelesítés be van állítva, a hitelesítés módjától függetlenül, az ügyfélnek előbb sikeresen át kell esnie a hitelesítésen, mielőtt az AP-al való társítási folyamat elkezdődne. Ha a hitelesítés és a MAC-cím szűrés egyaránt be van állítva, a hitelesítési folyamat zajlik le először.

Ha a hitelesítés sikeres, az AP ellenőrzi a MAC címet. Ha a cím érvényes, a hozzáférési pont az állomás táblájába teszi az ügyfél MAC címét. Az állomást ekkor tekintjük társítottnak a hozzáférési ponthoz (AP), és használhatja a hálózatot.

Titkosítás WLAN-on

A hitelesítés és a MAC cím szűrés megakadályozhatja a támadók hálózathoz való hozzáférését, de nem előzik meg az átvitt adatok elfogásának lehetőségét. Mivel egy vezeték nélküli hálózatnak nincsenek pontosan definiálható határai és az adatátvitel a levegőn keresztül történik, egy támadó számára egyszerű a vezeték nélküli keretek elfogása vagy más néven lehallgatása (sniffing). A titkosítási folyamat az adatok átalakítását jelenti, így az elfogott információk használhatatlanok lesznek.

Vezetékessel egyenértékű protokoll (Wired Equivalency Protocol, WEP)

A Vezetékessel Egyenértékű titkosítási Protokoll (WEP) egy fejlett biztonsági lehetőség, mely a levegőben áthaladó hálózati forgalom titkosítását végzi. A WEP előre beállított kulcsok használatával kódolja és fejti vissza az adatokat.

A WEP-kulcsokat szám- vagy betűsorozat formájában használják, többnyire 64 vagy 128 bit hosszúsággal. Némely esetben a 256 bit hosszú kulcsok is támogatottak. Ezen kulcsok létrehozásának és beírásának egyszerűsítése végett számos eszköz felkínálja a Jelmondat (Passphrase) lehetőségét. A passphrase segítségével könnyen észben tarthatunk egy szót vagy kifejezést, melyet a kulcsok automatikus létrehozásához használhatunk.

Annak érdekében, hogy a WEP működjön, a hozzáférési pontnál és az összes engedélyezett állomáson ugyanazon WEP kulcsot kell megadni. Ezen kulcs nélkül, az eszközök nem tudnák értelmezni az átvitelt.

WEP egy nagyszerű mód arra, hogy megakadályozzuk a támadókat a jelek elfogásában. Azonban megvannak a WEP hátrányai is, például, hogy az összes WEP állomáson statikus (állandó) érvényű kulcsokat használ. Léteznek olyan alkalmazások, melyek segítségével a támadók kideríthetik a WEP kulcsot. Ezek a programok hozzáférhetőek az Interneten. Miután a támadó kinyerte a kulcsot, teljes hozzáférést szerez az összes továbbított információhoz.

A sebezhetőség elkerülésének egyik módja a WEP kulcsok gyakori megváltoztatása. A másik módszer egy jóval fejlettebb és biztonságosabb titkosítási eljárás, a Wi-Fi Védett Hozzáférés (WPA) alkalmazása.

Wi-Fi Védett Hozzáférés (WPA)

A WPA is 64 és 256 bit közötti hosszúságú kulcsokat használ. A WPA azonban a WEP-pel ellentétben új, dinamikus kulcsokat hoz létre minden alkalommal, amikor egy állomás kapcsolódik a hozzáférési ponthoz. Éppen ezért a WPA jóval biztonságosabb mint a WEP, mivel sokkal nehezebb feltörni.

Forgalomszűrés WLAN-on

Annak szabályozásán kívül, hogy ki fér hozzá a WLAN-hoz, és ki használhatja fel a továbbított adatokat, fontos, hogy a WLAN-on keresztül továbbított hálózati forgalom típusát is szabályozni lehessen. Ezt forgalomszűrés segítségével valósítják meg.

A forgalomszűrés letiltja mind a hálózatba belépő, mind a hálózatot elhagyni kívánó nemkívánatos forgalmat. A szűrést az AP végzi el, miközben a forgalom áthalad rajta. A szűrés arra használható, hogy bizonyos forrásállomás felől jövő vagy célállomás felé igyekvő forgalmat MAC vagy IP címek alapján kiszűrjünk. Ezen kívül számos alkalmazás működését blokkolhatjuk a megfelelő portszámok letiltásával. Azáltal, hogy eltávolítjuk a nemkívánatos, haszontalan és gyanús adatforgalmat a hálózatból, jóval nagyobb sávszélesség áll rendelkezésre a fontos adatok átvitelére, ami a WLAN teljesítményének növekedését eredményezi. Például, a forgalomszűrést használhatjuk arra, hogy letiltsunk minden olyan Telnet forgalmat, amely egy meghatározott számítógépre, például egy hitelesítő kiszolgálóra irányul. Bármely próbálkozás, amely telnet segítségével próbálja elérni a hitelesítő szervert, gyanús hálózati forgalomnak számít és le lesz tiltva.

WLAN tervezése

Egy vezeték nélküli hálózat megvalósításakor a telepítést gondos tervezésnek kell megelőznie. Ezek közé tartozik:

A használandó vezeték nélküli szabvány meghatározása

Az eszközök leghatékonyabb elhelyezésének meghatározása

Egy telepítési és biztonsági terv elkészítése

A vezeték nélküli eszközök firmware-jének mentési és frissítési stratégiája

Vezeték nélküli szabványok

Tekintettel kell lennünk számos tényezőre, mielőtt egy WLAN szabvány használata mellett döntenénk. A legfontosabb tényezők közé tartozik: sávszélességi követelmények, lefedettségi területek, meglévő hálózatok szabványa, költségek. Ezen információkat a végfelhasználói igények megismerésével gyűjthetjük össze.

Ennek legegyszerűbb formája, ha kérdéseket intézünk a felhasználók felé.

Jelenleg mekkora sávszélességet igényelnek a hálózaton futtatott programok?

Összesen hány felhasználó használná a WLAN-t?

Mekkora lefedettségi területre van szükség?

Milyen a meglévő hálózati kiépítés?

Mekkora a költségvetés?

A BSS cellában elérhető maximális sávszélességet az adott BSS felhasználói között meg kell osztani. Még ha a használt alkalmazások nem is igényelnek nagy sávszélességet, egy nagyobb sebességű technológia valamelyikére lehet szükség, ha egyidőben több felhasználó is csatlakozik a hálózathoz.

A különböző szabványok eltérő méretű lefedettségi területet biztosítanak. A 802.11 b/g/n technológiák által használt 2,4 GHz-es jelek nagyobb hatótávolságúak, mint a 802.11a szabvány 5 GHz-es jelei. Ezért a 802.11 b/g/n szabványok nagyobb területű BSS-ek kialakítására alkalmasak. Emiatt kevesebb eszközt kell beépíteni, ami alacsonyabb megvalósítási költséggel jár.

A létező hálózatok ugyancsak befolyásolják a telepítésre kerülő WLAN szabványok kiválasztását. Például a 802.11n szabvány felülről kompatibilis a 802.11g és 802.11b szabványokkal, de a 802.11a-val nem. Ha a meglévő hálózati infrastruktúra és a használt berendezések a 802.11a szabványt támogatják, akkor az új megvalósításnak is támogatnia kell ezt a szabványt.

Az ár nem elhanyagolható tényező. Ha a költségeket vesszük figyelembe, számoljunk összköltséggel (TCO), mely magában foglalja a beszerzési és telepítési költségeket is. Egy közepes vagy nagyméretű vállalati környezetben az összköltségnek (TCO) sokkal nagyobb súlya van a választott WLAN szabványra nézve, mint az otthoni vagy kisvállalati környezetekben. Ez azért van, mert a nagyobb vállalatok esetében, több berendezésre és telepítési tervekre van szükség, melyek növelik a költségeket.

A vezeték nélküli eszközök telepítése

Az otthoni vagy kisvállalati környezetben, a telepítés általában csekély számú eszköz felszereléséből áll, melyek könnyen áthelyezhetőek az optimális lefedettség és áteresztőképesség eléréséhez.

A nagyvállalati környezetekben, a berendezéseket nem egyszerű áthelyezni és a lefedettségnek tökéletesnek kell lennie. Meg kell határozni a lefedettséghez szükséges hozzáférési pontok optimális számát és elhelyezését a lehető legalacsonyabb költség befektetésével.

Ezen célok eléréséhez, általában helyszíni felmérést (Site Survey) végeznek. A helyszíni felmérést végző személynek jól kell értenie a WLAN tervezéshez és számos bonyolult műszer segítségével meg kell tudnia állapítani a jelerősségeket és az interferencia mértékét. A telepítendő WLAN hálózat méretének függvényében ez nagyon költséges folyamat lehet. Kisebb méretű hálózatok esetén a helyszíni felmérést a vezeték nélküli állomással és a legtöbb vezeték nélküli hálózati csatolóhoz (NIC) adott segédprogram használatával végzik el.

Mindegyik esetben figyelembe kell venni az ismert zajforrásokat, például magas feszültségű vezetékeket, motorokat és egyéb vezeték nélküli berendezéseket, a WLAN eszközök helyének kiválasztásakor.

Egy AP telepítése és beállításai

Miután meghatároztuk a legmegfelelőbb technológiát és az AP helyét, szereljük fel, és készítsük el a biztonsági beállításait. A biztonsági óvintézkedéseket még azelőtt meg kell tervezni és alkalmazni, mielőtt az AP-t az ISP-hez vagy a hálózathoz csatlakoztatnánk.

Néhány alapvető biztonsági intézkedés:

A gyári értékek megváltoztatása az SSID, felhasználó nevek és jelszavak esetében.

Az SSID szórásának letiltása

MAC cím szűrés beállítása.

Néhány fejlett biztonsági intézkedés:

WEP vagy WPA titkosítás használata

Hitelesítés beállítása

Forgalomszűrés alkalmazása

Tartsuk észben, hogy egyetlen biztonsági óvintézkedés önmagában nem képes teljesen megvédeni a hálózatot. Többféle technika együttes alkalmazása elősegíti a biztonsági terv integritását.

Amikor az állomások konfigurálására kerül sor, nagyon fontos, hogy az SSID-k megegyezzenek az AP-n beállított SSID-vel. Ezen kívül a titkosítási és hitelesítési kulcsoknak is meg kell egyezniük.

Konfiguráció biztonsági mentése

Amikor a vezeték nélküli hálózat már megfelelően működik, érdemes az összes eszköz konfigurációs állományáról biztonsági mentést készíteni. Ez különösen akkor fontos, amikor testreszabott konfigurációkkal dolgozunk.

A legtöbb otthoni és kisvállalati felhasználásra forgalmazott integrált forgalomirányító esetén ez egyszerűen elvégezhető a megfelelő menü Backup Configurations (Konfiguráció biztonsági mentése) opciójának és az állomány mentési helyének kiválasztásával. Az integrált forgalomirányítók alapértelmezett néven mentik a konfigurációs állományt. Ennek az állománynak a nevét meg lehet változatni.

A visszaállítási folyamat is hasonlóan egyszerű. Válasszuk ki a Restore Configurations (konfiguráció visszaállítása) lehetőséget. Aztán, egyszerűen keressük az előzőleg mentett konfigurációs állományt. Ha az állományt kiválasztottuk, kattintsunk a Start to Restore (visszaállítás megkezdése) gombra a feltöltés megkezdéséhez.

Némely esetben szükséges lehet a gyári alapértelmezett beállítások betöltése. Ennek eléréséhez vagy válaszzuk ki a megfelelő menü Restore Factory Defaults (Gyári beállítások visszaállítása) gombját vagy nyomjuk le és tartsuk lenyomva 30 másodpercig az eszköz RESET nyomógombját. Az utóbbi lehetőség különösen akkor hasznos, ha nem tudunk az integrált forgalomirányító hozzáférési pontjához hálózaton keresztül csatlakozni, de fizikailag hozzáférünk az eszközhöz.

A Firmware frissítése

A legtöbb intergrált forgalomirányító operációs rendszere firmware-ben van tárolva. Amikor új szolgáltatásokat fejlesztenek ki, vagy a meglévő firmware hibáit javítják ki, szükségessé válhat az eszköz firmware-jének frissítése.

Az integrált forgalomirányítók, mint amilyen a Linksys, firmware frissítési folyamata elég egyszerű. Fontos azonban tudnunk, hogy ha egyszer a folyamatot elkezdtük, nem szabad megszakítani. Ha a frissítési folyamat befejezés előtt megszakad, az eszköz működésképtelenné válhat.

Határozzuk meg az eszköz aktuálisan használt firmware verzióját. Ezt az információt általában a konfigurációs képernyőn vagy a kapcsolat állapota ablakban láthatjuk. Ezután, nézzünk utána a gyártó weboldalán és az ehhez kapcsolódó internetes híroldalakon, az újabb firmware szolgáltatások, a frissítéssel kapcsolatos garanciális problémák és a lehetséges frissítések meglétéről.

Töltse le az új firmware változatot, és mentse el egy az integrált forgalomirányítóval közvetlen kapcsolatban lévő számítógép merevlemezére. Előnyösebb, ha a számítógép kábel segítségével közvetlenül kapcsolódik a forgalomirányítóhoz. Ezzel megelőzhető, hogy a frissítési folyamat megszakadjon a vezeték nélküli kapcsolat bizonytalansága miatt.

Válassza ki a Firmware Upgrade lehetőséget a grafikus felületen (GUI)! Keresse meg a megfelelő állományt a közvetlenül kapcsolódó eszközön és indítsa el a frissítést!

IEEE SZABVÁNYOK

IEEE 802 az IEEE szabványoknak a helyi hálózatokkal és a városi hálózatokkal foglalkozó szabványainak egy csoportja. Több speciális, IEEE 802 szabvány a változó csomag-hosszúságú hálózatokra szorítkozik csak. Az IEEE 802 szerinti szolgáltatások és protokollok a hét rétegű OSI modell szerinti alsó két rétegre (adatkapcsolati- és fizikai réteg) hálzati referncia modeljéhez tartoznak. Tény, hogy a IEEE 802 az OSI adatkapcsolati rétegét két al-rétegre osztotta, amelyeket logikai kapcsolat vezérlésnek (LLC) és média hozzáférés vezérlésnek (MAC) nevezett el, így a rétegek a következők lettek:

adatkapcsolati réteg (Data link layer)

LLC Sublayer (Logical Link Control)
MAC Sublayer (Media Access Control)

fizkai réteg (Physical layer)

Az IEEE 802 szabvány családot az IEEE 802 LAN/MAN Standards Committee (LMSC) gondozza. A legszélesebb körben használt szabványok az Ethernet család, a IEEE 802.3, a token ring, a vezeték nélküli LAN-ok a bridzselt és virtuálisan bridzselt LAN-ok.

A különböző munkacsoportok:

IEEE 802.1 Magas szintű LAN protokollok
IEEE 802.2 Logical link control és Media Access Control
IEEE 802.3 Ethernet
IEEE 802.4 Token bus (feloszlatva)
IEEE 802.5 Token Ring (vezérjeles gyűrű)
IEEE 802.6 Városi hálózatok (feloszlatva)
IEEE 802.7 Koaxiális kábelt használó alapsávi LAN-ok(feloszlatva)
IEEE 802.8 Fiber Optic TAG (feloszlatva)
IEEE 802.9 Integrált LAN szolgáltatások(feloszlatva)
IEEE 802.10 Együttműködő LAN-ok biztonsága(feloszlatva)
IEEE 802.11 Wireless LAN (Wi-Fi zárójelentés)
IEEE 802.12 igény prioritások
IEEE 802.13 (nem használt)
IEEE 802.14 kábel modemek (feloszlatva)
IEEE 802.15 Wireless PAN

IEEE 802.15.1 (Bluetooth zárójelentés)

IEEE 802.16 Alapsávi vezetéknélkü hozzáférés (WiMAX zárójelentés)

IEEE 802.16e (Mobil) alapsávi vezeték nélkül hozzáférés

IEEE 802.17 rugalmas csomag gyűrű
IEEE 802.18 Rádió szabályozási TAG
IEEE 802.19 Coexistence TAG
IEEE 802.20 Mobil alapsávi vezeték nélküli hozzáférés
IEEE 802.21 Média független kezelés
IEEE 802.22 Vezeték nélküli regionális hálózatok

Az IEEE 802.3 egy szabványgyűjtemény, ami az IEEE szabványokkal meghatározott, és Ethernet kábelezést használó fizikai rétegnek és adatkapcsolati rétegnek a megvalósításait írja le. Ez egy általánosan használt LAN technológia, néhány WAN alkalmazással. Fizikai kapcsolatot hoz létre a hálózati csomópontok és/vagy az infrastruktúra eszközei (hubok, switchek, routerek) között, különböző és sokféle réz- és optikai kábelek segítségével.

802.3 technológia támogatja az IEEE 802.1 szerinti hálózati architektúrát.

Az Ethernet maximális csomag mérete 1518 byte, ennek ellenére megengedi a "Q-tag" használatát a Virtual LANok és prioritás adatok használatát a 802.3ac szabványban, és a csomag méretének a 1522 byte-ra való bővítését. Ha az alsó szintű réteg protokollja egy PDU-t (Protocol data unit) küld, ami rövidebb, mint 64 byte, a 802.3 feltölti az adatmezőt, hogy az elérja a minimális 64 byte-os hosszúságot.

Bár technikailag nem helyes, a "csomag" kifejezést és a "keret" kifejezést gyakran összekeverik. A ISO/IEC 8802-3 ANSI/IEEE 802.3 szabvány szerint a MAC al-réteg kerete a "rendeltési hely cím", "forrás cím", "hossz/típus" és "FCS (keret sorrend ellenőrző összeg)" mezőkből áll. Az úgynevezett "Preambulum" és az "SFD (Start keret elválasztó)" (általában) egy MAC keret fejlécében helyezkednek el. Ez a fejléc, valamint a MAC keret alkot egy "csomag"ot.

A 802.3 verziók

Az eredeti Ethernetet "Kísérleti Ethernet"nek nevezik ma. Bob Metcalfe tervezte és a drótnélküli Alohanet protokollon alapult. Kevés helyen használták, de a gondolat többek fejében szeget ütött. Az első "Ethernet", amit a Xerox-on kívül használtak, a DIX Ethernet volt. Tulajdonképen, a DIX Ethernet a Kísérleti Ethernet "leszármazottja" lett, és a szabványok jelentős része a DIX Etherneten alapult, a technikai emberek pedig az Ethernet kifejezés használatát mindenre elfogadták. Ezért, az "Ethernet" kifejezés használható hálózatokra, a következő szabványokra, és funkcionalitásokra egyaránt:

Ethernet szabvány	Dátum	Meghatározás

Ethernet II (DIX v2.0)	1982	10 Mbit/s (1.25 MB/s) vékony (thin) koaxiális kábelen (thinnet) – A keretekben van Típus (Type) mező. Ez a keretformátum használatos az Internet protocol suite minden Ethernetes formájánál.
IEEE 802.3	1983	10Base5 10 Mbit/s (1.25MB/s) vastag koaxiális kábelen – azonos a DIX-el, kivéve, hogy a Típus (Type) mezőt a Hossz (Length) helyettesíti, és egy 802.2 LLC keret követi a 802.3 fejlécet
802.3a	1985	10Base2 10 Mbit/s (1.25 MB/s) vékony koaxiális kábelen (thinnet vagy cheapernet)
802.3b	1985	10Broad36
802.3c	1985	10 Mbit/s (1.25 MB/s) ismétlő egység meghatározás
802.3d	1987	FOIRL (Fiber-Optic Inter-Repeater Link)
802.3e	1987	1Base5 vagy StarLAN
802.3i	1990	10Base-T 10 Mbit/s (1.25 MB/s) csavart érpáron
802.3j	1993	10Base-F 10 Mbit/s (1.25 MB/s) optikai szálon
802.3u	1995	100Base-TX, 100Base-T4, 100Base-FX Fast Ethernet 100 Mbit/s(12.5 MB/s) auto-egyeztetéssel
802.3x	1997	Tlejesen duplex és adatáramlás ellenőrzéssel; együtt tud működni a DIX keretekkel
802.3y	1998	100Base-T2 100 Mbit/s (12.5 MB/s) alacsony minőségű csavart érpáron
802.3z	1998	1000Base-X Gbit/s-os Ethernet fényvezető szálon 1 Gbit/s (125 MB/s)
802.3-1998	1998	Az alap szabvány felülvizsgálata a fenti korábbi kiegészítésekkel és hibajavítások
802.3ab	1999	1000Base-T Gbit/s-os Ethernet csavart érpáron 1 Gbit/s (125 MB/s)
802.3ac	1998	A maximális keretméret bővítése 1522 byte-ra (a "Q-tag" megengedése). A Q-tag tartalmazza a 802.1Q VLAN információkat és a 802.1p szerinti prioritás információkat.
802.3ad	2000	Link aggregation párhuzamos kapcsolatokhoz
802.3-2002	2002	Az alap szabvány felülvizsgálata a három korábbi kiegészítéssel és hibajavítások
802.3ae	2003	10 Gbit/s (1,250 MB/s) Ethernet fényvezető szálon; 10GBASE-SR, 10GBase-LR, 10GBase-ER, 10GBase-SW , 10GBase-LW, 10GBase-EW
802.3af	2003	Power over Ethernet PoE, tápfeszültség szállítása Ethernet hálózaton
802.3ah	2004	Ethernet in the First Mile
802.3ak	2004	10GBase-CX4 10 Gbit/s (1,250 MB/s) Ethernet iker axiális kábelen
802.3-2005	2005	Az alap szabvány felülvizsgálata a négy korábbi kiegészítéssel és hibajavítások
802.3an	munkában	10GBase-T 10 Gbit/s (1,250 MB/s) Ethernet árnyékolatlan csavart érpáron (UTP)
802.3ap	munkában	Backplane Ethernet (1 and 10 Gbit/s (125 és 1,250 MB/s) nyomtatott áramköri lapokon)
802.3aq	munkában	10GBase-LRM 10 Gbit/s (1,250 MB/s) Ethernet többmódusú optikai szálon
802.3ar	munkában	torlódás menedzsment
802.3as	munkában	keret bővítés
802.3az	2007	Energy Efficient Ethernet, energiatakarékos Ethernet

Amit a korai IEEE 802.3 szabványok meghatároztak, az gyakran ellentétes a gyakorlatban használtakkal: a legtöbb Ethernetes hálózatban megtalálhatók a DIX keretek, azóta a internet protokoll használja ezt a formát, a típus mezőt a IETF protokoll szerinti típusokra állítják be. Az IEEE 802.3x-1997 megengedi egy 16-bites mezőt a MAC címekre (típus és hossz mezők), így a DIX keretek szintén érvényesek a 802.3 keretekként a 802.3x-1997-es és az IEEE 802.3 Ethernet szabvány későbbi változataiban.

Az IEEE 802.11 egy vezeték nélküli adatátviteli protokoll. Az OSI modell két legalsó rétegét, a fizikai és az adatkapcsolati réteget definiálja. Fizikai réteg szempontjából három lehetőséget határoz meg:

IR – infravörös, nincs szükség közvetlen rálátásra, csak beltérben használható, max. 2Mb/s
FHSS (Frequency Hopping Spread Spectrum) – frekvenciaugrásos szórt spektrum, 2,4GHz
DSSS (Direct Sequence Spread Spectrum) – 5GHz, redundancia a kódban (Barker sequence)

802.11

sávszélesség(max): 2Mb/s
használt frekvencia: 2,4GHz

802.11a

moduláció: OFDM
sávszélesség(max): 54Mb/s
használt frekvencia: 5GHz

802.11b

moduláció: DBPSK vagy DQPSK
sávszélesség(max): 5,5Mb/s vagy 11Mb/s
használt frekvencia: 2,4GHz

802.11g

A legelterjedtebb változat.

sávszélesség(max): 54Mb/s
használt frekvencia: 2,4GHz

A tobábbfejlesztett változatai: SuperG: 108Mb/s sebesség MIMO (multiple in, multiple out): több antennával a rádióhullámok visszaverődését is képes értelmezni, ezért nagyobb lefedettséget biztosít

802.11n (Draft 2.0)

sávszélesség(max): 240-300Mb/s
használt frekvencia: 2,4 és/vagy 5GHz
Várható véglegesítés: 2008 szeptember
tartalmazza a MIMO technológiát, ezért legalább 3 antennája van egy készüléknek; legjobb vételhez \ | / antennák 45°-os szögben állnak (ha több emeletet kell átfogni, akkor a középső antennát is hátra lehet dönteni 45°-kal.

Összesítő tábla

IEEE szabvány	Megjelenés ideje	Működési frekvencia (GHz)	Sebesség (jellemző) (Mbit/s)	Sebesség (maximális) (Mbit/s)	Hatótévolság beltéren (méter)	Hatótávolság kültéren (méter)
Eredeti 802.11	1997	2,4	0,9	2	~20	~100
802.11a	1999	5	23	54	~35	~120
802.11b	1999	2,4	4,3	11	~38	~140
802.11g	2003	2,4	19	54	~38	~140
802.11n	2008	2,4 / 5	74	248	~70	~250
802.11y	várhatóan 2000	3,7	23	54	~50	~5000

A Kapcsolat módjai:
Client server Alárendelt		Peer to peer Gép-gép alapú
Átviteli irány
Szimplex: Egyirányú: pl. TV	Half duplex: Kétirányú: pl. adó-vevő		Full duplex: Egyszerre ad és vesz: pl. telefon
Átvitel ütemezése
Aszinkron:		Szinkron:
Az adó és a vevő független egymástól		Egyeztet az adó és a vevő

Réteg modellek
OSI modell: 7 rétegű	TCP/IP modell: 4 vagy 5 rétegű
1. fizikai	1. hálózatfelületi réteg
2. adatkapcsolati	1. hálózatfelületi réteg
3. hálózati	2. Internet réteg
4. átviteli- szállítási	3. szállítási
5. viszony	4. feldolgozó és alkalmazás
6. megjelenítési
7. alkalmazási

Km		Típus	Műholdak száma
35000		GEO	3
	Felső Van Allen öv
15000		MEO	10
10000		MEO	10
5000	Alsó Van Allen öv	LEO	50