Network layer

Network Layer

4-1

Dove siamo?

Network Layer

4-2

application

transport

network

link

physical

P1

application

transport

network

link

physical

application

transport

network

link

physical

P3

P4

host 1

Router

host 2

= process

= socket

= TCP <-> IP interface

Lo strato di rete

• trasporta datagrammi da mittente a destinatario
• i segmenti TCP vengono spezzettati (se necessario) in datagrammi IP alla partenza
• dall’altro lato avviene la ricomposizione e la consegna allo strato superiore
• Ogni nodo intermedio interviene solo a livello di rete
• I router guardano dentro le intestazioni dei datagrammi e decidono cosa farne
• Primitive fornite: send() e receive()

​

​

​

​

Network Layer

4-3

Modello di servizio

Network Layer

4-4

Q: Che caratteristiche fornisce questo strato al livello superiore (Trasporto)?

Funzionalità di questo strato

• forwarding: inoltro dei pacchetti non direttamente destinati all’host in cui ci si trova
• routing: determinazione del percorso completo da sorgente a destinazione
• Esempio di forwarding�Forwarding
• Algoritmi di routing

​

Network Layer

4-5

analogia:

• routing: processo di pianificare un viaggio completo da sorgente a destinazione
• forwarding: atto di prendere una singola coincidenza aerea

​

Panoramica del Layer 3

Host, router network layer functions:

Network Layer

4-6

Livello trasporto: TCP, UDP

Livello Data Link

Livello Fisico

Network

layer

↑ Control plane

Data plane🡪

​

Funzioni di un router

• Fa girare algoritmi di routing (RIP, OSPF, BGP)
• Inoltra i datagrammi in base alla sua tabella di routing corrente

Network Layer

4-7

Network Layer

4-8

Code di input

Routing decentrato:

• dalla tabella, il router deduce dove inoltrare il pacchetto
• obiettivo: non compromettere la banda
• accodamento: nel caso in cui i datagrammi arrivino più velocemente rispetto a quanti se ne possono processare

Network Layer

4-9

Livello fisico:

ricezione di bit

Livello data-line:

es. Ethernet,

collegamento

diretto PPP

Code di output

• Buffering richiesto se arrivano più datagrammi di quanti ne possano partire
• Scheduling: è possibile in teoria dare priorità a determinati pacchetti.

Network Layer

4-10

Perchè le perdite di pacchetti?

• Le code sono necessarie per regolare i flussi
• I buffer hanno dimensione limitata
• Head-of-the-Line (HOL) blocking: le code possono congestionarsi a vicenda
• Le perdite sono dovute a code che si riempiono totalmente! Perdite

Network Layer

4-11

Formato di un datagramma

Network Layer

4-12

Quanto overhead con TCP/IP?

• 20 bytes di TCP
• 20 bytes di IP
• = 40 bytes + overhead appl.

Frammentazione

• Ogni link ha una sua MTU (max.transfer unit) .
• tipi di link differenti, hanno differenti MTU
• I datagrammi vengono spezzettati da un link a un altro
• 1 datagramma diviso in più datagrammi
• riassemblato solo a destinazione
• I bit di controllo dell’intestazione ci dicono come riassemblare un datagramma

Network Layer

4-13

frammentazione:

in: 1 datagramma grande

out: 3 datagrammi piccoli

reassembly

Riassemblaggio

Network Layer

4-14

Esempio

• datagramma da 4000 byte
• MTU = 1500 bytes

​

1480 bytes in �data field

offset =

1480/8

Indirizzamento

• IP address: un indirizzo a 32 bit per ogni interfaccia
• interfaccia: connessione verso un altro host, router. DIRETTA.
• I router hanno di solito più interfacce
• gli host ne hanno di solito una attiva, ma spesso anche di più

​

Network Layer

4-15

223.1.1.1

223.1.1.3

223.1.1.4

223.1.2.9

223.1.1.1 = 11011111 00000001 00000001 00000001

223

1

1

1

Sottoreti

• Indirizzo IP
• Parte sottorete (high order bits)
• Parte numero di host (low order bits)
• Cos’è una sottorete ?
• un insieme di host/interfacce che hanno lo stesso identificativo di subnet
• Le sottoreti di livello più basso normalmente possono interfacciarsi tra di loro senza fare uso di un router (usando il link diretto, o il protocollo di livello 2)

Network Layer

4-16

223.1.1.1

223.1.1.2

223.1.1.3

223.1.1.4

223.1.2.9

223.1.2.2

223.1.2.1

223.1.3.2

223.1.3.1

223.1.3.27

network consisting of 3 subnets

subnet

Sottoreti

​

​

Ricetta

• Per determinare le sottoreti di livello più basso, ogni interfaccia viene distaccata dal router.
• Si creano poi delle “bolle” di sottoreti isolate. Ogni sottorete di livello più basso è detta “dominio di collisione”.

Network Layer

4-17

Maschera di

sottorete: /24

Domini di col.

Quanti?

Network Layer

4-18

223.1.1.1

223.1.1.3

223.1.1.4

223.1.2.2

223.1.2.1

223.1.2.6

223.1.3.2

223.1.3.1

223.1.3.27

223.1.1.2

223.1.7.0

223.1.7.1

223.1.8.0

223.1.8.1

223.1.9.1

223.1.9.2

Modalità di assegnazione

CIDR: Classless InterDomain Routing

• L’identificativo di sottorete può essere di lunghezza arbitraria (da 1 a 31 bit)
• Formato indirizzo: a.b.c.d/x, dove x è il numero di bit che costituiscono l’identificativo di sottorete

Network Layer

4-19

Allocazione degli indirizzi

• A livello di organizzazione
• Assegnazione per subnet 🡪 Registro Whois

​

• A livello di singola utenza
• DHCP esterno
• DHCP interno

Network Layer

4-20

Assegnazione di subnet IP

Normalmente c’è un ISP (Internet Service Provider) che si occupa di distribuire i numeri alle sue sottoreti

​

Esempio:

Network Layer

4-21

UNICAL 10100000 01100001 00000000 00000000 160.97.0.0/16

​

DIMES 10100000 01100001 00011000 00000000 160.97.24.0/24

Matematica 1 10100000 01100001 00101111 00000000 160.97.47.0/24

Matematica 2 10100000 01100001 00111001 00000000 160.97.57.0/25

Labmat 10100000 01100001 00111001 10000000 160.97.57.128/25 …. ...

​

Indirizzamento gerarchico:�aggregazione per gruppi di indirizzi

Network Layer

4-22

Riceve tutto quello

che inizia per

200.23.16.0/20

Fly-By-Night-ISP

Organization 0

Organization 7

Internet

Organization 1

ISPs-R-Us

Riceve tutto

quello che inizia per

199.31.0.0/16

Organization 2

Le tabelle di forwarding non hanno un rigo per ogni IP, ma per ogni

sottorete: questo consente una più efficiente gestione delle tabelle

Indirizzamento

D: Ma come fa un ISP ad avere degli indirizzi?

R: ICANN: Internet Corporation for Assigned

Names and Numbers

• Alloca gli indirizzi
• Gestisce i DNS top level
• Risolve le dispute e assegna i domini
• Il servizio WHOIS consente di accedere al database delle subnet assegnate

Network Layer

4-23

DHCP

Network Layer

4-24

Come farsi assegnare un indirizzo IP?

• Fissato staticamente
• Windows: Connessioni di rete->Proprietà->TCP/IP -> Proprietà.
• ipconfig
• Linux: /etc/network... (dipende dalla distr.)
• ifconfig
• DHCP: Dynamic Host Configuration Protocol:
• Ottiene un indirizzo “usa e getta” (validità limitata nel tempo) da un server.
• Non avendo l’host ancora un indirizzo IP valido, DHCP usa indirizzi IP anonimi (0.0.0.0). Le stazioni vengono identificate con l’indirizzo L2 (il MAC address)

​

Network Layer

4-25

DHCP: Dynamic Host Configuration Protocol

Network Layer: 4-26

goal: host dynamically obtains IP address from network server when it “joins” network

• can renew its lease on address in use
• allows reuse of addresses (only hold address while connected/on)
• support for mobile users who join/leave network

​

DHCP overview:

• host broadcasts DHCP discover msg [optional]
• DHCP server responds with DHCP offer msg [optional]
• host requests IP address: DHCP request msg
• DHCP server sends address: DHCP ack msg

​

DHCP client-server scenario

Network Layer: 4-27

223.1.1.1

223.1.1.3

223.1.1.4

223.1.2.9

223.1.2.2

223.1.2.1

223.1.3.2

223.1.3.1

Typically, DHCP server will be co-located in router, serving all subnets to which router is attached

DHCP client-server scenario

Network Layer: 4-28

DHCP server: 223.1.2.5

Arriving client

The two steps above can be skipped “if a client remembers and wishes to reuse a previously allocated network address” [RFC 2131]

ICMP

• E’ un protocollo di servizio L3 senza numeri di porta
• I suoi pacchetti vengono intercettati e processati prima di essere smistati a un socket
• Ping fa uso di ICMP, per misurare il round trip time, ma anche, in teoria, per controllare altri parametri di TCP.
• I pacchetti ICMP contengono un codice messaggio, una checksum ed eventuali dati.

Network Layer

4-29

NETWORK ADDRESS TRANSLATION - NAT

Network Layer

4-30

Alcuni fatti

• Una stazione che voglia dialogare in rete deve possedere un indirizzo IP pubblico univoco
• Tuttavia gli indirizzi IP privati non sono univoci e sono riutilizzati un po’ ovunque
• Perchè?
• Come è possibile che l’infrastruttura L3 sia in grado di raggiungere l’indirizzo 192.168.0.1 “giusto” tra le migliaia di host che lo utilizzano?

Network Layer

4-31

NAT: Network Address Translation

Network Layer

4-32

10.0.0.1

10.0.0.2

10.0.0.3

10.0.0.4

138.76.29.7

rete locale

(es., rete casalinga)

10.0.0.0/24

resto�di Internet

Internamente i datagrammi

vengono scambiati usando gli

indirizzi locali

del tipo 10.0.0.0/24

Il router RISCRIVE i pacchetti!

Tutti i datagrammi in uscita dalla

rete locale hanno lo stesso indirizzo sorgente NAT: 138.76.29.7,

ma possono avere numeri di

porta sorgente differenti

NAT: Network Address Translation

• Vantaggi: la rete locale usa un solo IP per comunicare con l’esterno:
• non è più necessario richiedere un IP per ogni host collegato
• posso cambiare gli indirizzi interni senza che il mondo esterno ne risenta
• posso cambiare ISP senza dover cambiare gli IP di tutte le macchine
• è una prima forma di firewalling: i dispositivi interni non sono direttamente raggiungibili (192.168.0.1 oppure 10.0.0.1 non sono indirizzi validi all’esterno).

​

Network Layer

4-33

NAT: Network Address Translation

Network Layer

4-34

10.0.0.1

10.0.0.2

10.0.0.3

10.0.0.4

138.76.29.7

NAT translation table

WAN side addr LAN side addr

138.76.29.7, 5001 10.0.0.1, 3345

…… ……

3: Arriva risposta

destinata a:

138.76.29.7, 5001

4: Il router NAT cambia

l’indirizzo e porta di destinazione

138.76.29.7, 5001 to 10.0.0.1, 3345

​

NAT: Network Address Translation

Implementazione: Un router NAT deve:�

• datagrammi uscenti: cambiare IP sorgente, numero di porta con (Indirizzo router NAT, nuovo num. di porta)

i client remoti rispondono credendo di avere a che fare con una connessione aperta su

(Indirizzo router NAT, nuovo num. di porta)

​

• ricordare (in una tabella speciale detta NAT translation table)

ogni coppia (indirizzo interno, porta) <->(nuova porta) �

• datagrammi entranti: cambiare

(Indirizzo router NAT, nuova porta) nei campi destinazione in base alla tabella di traduzione

​

Network Layer

4-35

NAT: Network Address Translation

• NAT è un meccanismo ibrido:
• I router dovrebbero solo veicolare i protocolli di livello 4 (trasporto)
• Come mappare ICMP? Come mappare GRE?
• I P2P soffrono. E in generale ci può essere un solo server su ogni porta (e.g. un solo server web su porta 80, ecc.)
• Risolve temporaneamente il problema dei pochi indirizzi

​

Network Layer

4-36

Port Forwarding

Network Layer

4-37

10.0.0.1

10.0.0.2

10.0.0.3

10.0.0.4

138.76.29.7

NAT forwarding table

WAN side addr LAN side addr

138.76.29.7, 80 10.0.0.1, 80

…… ……

1: Arriva richiesta

destinata a:

138.76.29.7, 80

2: Il router NAT cambia

l’INDIRIZZO di destinazione

138.76.29.7 a 10.0.0.1

​

Questa tabella è fissata manualmente. Il server interno deve avere IP FISSATO.

Port forwarding

Network Layer

4-38

​

Chain PREROUTING �target prot opt source destination

DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.10

​

NAT e connessioni P2P

• Considerate due peer, Alice e Bob
• Alice e Bob fuori NAT (con IP pubblico):
• Possono aprire liberamente connessioni reciproche
• Alice e Bob dentro NAT (senza IP pubblico o Port Forwarding):
• I due non possono aprire una mutua connessione TCP, né dialogare direttamente via UDP
• Alice dentro NAT, Bob fuori NAT
• Alice può aprire connessioni verso Bob, non viceversa (ma Bob può usare il “callback” via server)
• Possibilità di NAT traversal
• (e.g. STUN+ICE)

​

Network Layer

4-39

Indirizzi Broadcast e altri indirizzi speciali

• 192.168.0.0/16 – 172.16.0.0/12 - 10.0.0.0/8
• Sono indirizzi riservati a reti locali. Impossibile usarli pubblicamente.
• Indirizzi multicast: da 224.0.0.0/4
• Tutti i bit riservati al numero host posti a 1:
• Broadcast nella sottorete di appartenenza!
• es. 160.97.47.0/24 ha indirizzo broadcast 160.97.47.255
• «ping 160.97.47.255» è da intendersi come destinato a tutti i membri della subnet 160.97.47.0/24
• Numero host = 0 🡪 Riservato
• N. Host assegnabili in subnet di maschera N<32 => 2^32-N-2 �(tolti i due indirizzi riservati)
• Maschera 31: non utilizzabile (2^32-31-2 = 0)
• Maschera 32: fa eccezione alla regola e indica un unico host.

​

​

​

​

Network Layer

4-40

ICMP

• E’ un protocollo senza numero di porta
• I pacchetti ICMP in ingresso vengono intercettati e processati prima di essere smistati a un socket specifico
• Ping fa uso di ICMP, per misurare il round trip time, ma anche, in teoria, per controllare altri parametri di funzionamento della rete.
• I pacchetti ICMP contengono un codice messaggio, una checksum ed eventuali dati.
• Esempi: echo-request, echo-reply, destination unreachable, ttl-exceeded…

41

ALCUNI PROBLEMI DI SICUREZZA

Network Layer

4-42

Alcune minacce

• Attacchi broadcast smurf-like:
• Fingere di avere l’IP della vittima (IP spoof)
• Mandare dei ping broadcast a suo nome
• Le risposte raggiungono la vittima e non l’aggressore
• Necessità delle condizioni adatte (di solito l’aggressore sta fisicamente nella stessa sottorete della vittima)

​

​

​

Network Layer

4-43

Aggressore

IP falso: 192.168.0.1

Rete

Vittima

IP: 192.168.0.1

Ignari host della

sottorete

Alcune minacce

• Man-in-the-middle
• Interporsi tra la vittima e il resto del mondo
• Funzionamento simile a un router NAT
• Deve interporsi fra il mondo e la vittima: un router potrebbe farlo, ma ci sono altre condizioni in cui si può fare man-in-the-middle (ARP spoofing, DHCP spoofing, etc.)

​

Network Layer

4-44

Vittima

192.168.0.1

Aggressore

192.168.0.2

Dati per 192.168.0.1

Dati da 192.168.0.2

(ma apparentemente da 192.168.0.1)

Dati per 192.168.0.1

(modificati)

Dati da 192.168.0.2

(ma apparentemente da 192.168.0.1)