3. Az IPv6 bemutatása

Az IPv6 bemutatása legegyszerűbben az IPv4-hez képesti újdonságokon és különbségeken keresztül mutatható be.

3.1. Címzési architektúra

Az IPv4-hez hasonlóan az IPv6-ban is hálózati interfészekhez rendelünk IP-címeket, nem gépekhez, csomópontokhoz. Egy interfésznek több IP címe is lehet. Ez IPv4-ben a routerek kivételével eléggé szokatlan eset volt, de IPv6-ban nem csak általános, de bizonyos funkciók alapvető feltétele.

Az IPv6-os címeket három fő típusba sorolhatjuk annak megfelelően, hogy milyen útválasztást alkalmazunk rájuk. A címeket ezen kívül különböző formátumuk alapján is csoportosíthatjuk. Ezen fő két szempontunk nem teljesen független egymástól. [RFC2373]

3.1.1. Címtípusok

Az IPv6-os címeket három csoportba gyűjthetjük annak alapján, hogy a hálózaton hogyan történik egy csomag továbbküldése:

3.1.1.1. Unicast cím

Leginkább ez a típus hasonlít az IPv4-ben használatos címekre. Az ilyen címekre küldött csomagok arra az egyetlen interfészre fognak megérkezni, amelyhez ez a cím van hozzárendelve. Az unicast cím egyértelműen meghatároz egy interfészt (az adott területen belül: globálisan, linkre vagy site-ra korlátozottan), és egy hozzá tartozó hosztot.

3.1.1.2. Anycast cím

Anycast címeket interfész-csoportokhoz rendelhetünk. Ezeknek nem feltétlenül kell ugyanazon a gépen lenniük, sőt akár egymástól távol is lehetnek. A forgalmat, amit ilyen címre küldünk, legalább egy interfész meg fog kapni az ezzel a címmel rendelkező csoportból. Az útválasztáskor általában a legközelebbi interfészre irányítjuk ezeket a csomagokat.

Az anycast és az unicast címek formátuma teljesen megegyezik, szintaktikailag tehát nem, csak a hálózati konfiguráció alapján lehet meghatározni az anycast/unicast címeket.

3.1.1.3. Multicast cím

Multicast címeket is interfész-csoportokhoz rendelhetünk, hasonlóan az anycast címekhez, azonban itt a csoport minden tagja megkapja a küldött csomagokat. Az IPv4-es broadcast címek helyett IPv6-ban ilyen címeket használunk.

A multicast címek egyértelműen megkülönböztethetőek az uni- és anycast címektől a formátumuk alapján.

3.1.2. Formátumok

Az IPv4-es címeket osztályokba (A, B, ...) soroljuk attól függően, hogy a cím mekkora része van kihasználva. Az IPv4-es cím MSB bitjei azonosítják az osztályt. IPv6 esetén nincs ilyen alapú osztályozás (IPv4 esetén is főleg címhiány okozta kényszermegoldás volt ez).

IPv6 esetén a prefix határozza meg a különféle formátumokat. A prefix az MSB-nél kezdődik és típusonként eltérő hosszúságú lehet.

Ezen kívül vannak speciális címek. Például a meghatározatlan (::0), a loopback (::1), és az IPv4-es beágyazott (embedded) címek.

3.1.2.1. Unicast címormátumok

IPv6-ban sokféle unicast cím létezik: az NSAP és IPX kompatibilitási címek, az Aggregatable Global Unicast (aggregálható, globális, egyedi címek), a Link és Site Local címek.

Az IPv6-os cím legegyszerűbb formájában strukturálatlanul 128 bitből áll. Gyakorlati felhasználás szempontjából ez csak a legritkább esetekben hatékony. Általában (nem IPv4-es beágyazott cím esetén) az IPv6-os cím áll egy hálózati részből, és egy interfész-azonosító részből. A hálózati rész közvetlenül a prefix után következik és változó hosszúságú lehet (hasonlóan az IPv4-es CIDR formátumhoz). A hálózati rész, amit hálózati prefix-nek hívnak (nem összekeverendő a formátum prefix-el), strukturált lehet, hasonlóképp az Aggregatable Global Unicast címhez.

Formátum Prefix Cím
0000 0000 Foglalt
0000 0001 Nem használt
0000 001 NSAP-nak foglalt
0000 010 IPX-nek foglalt
0000 011 Nem használt
0000 01 Nem használt
0001 Nem használt
001 Aggregatable Global Unicast
010 Nem használt
011 Nem használt
100 Nem használt
101 Nem használt
110 Nem használt
1110 Nem használt
1111 0 Nem használt
1111 10 Nem használt
1111 110 Nem használt
1111 1110 0 Nem használt
1111 1110 10 Link-Local unicast
1111 1110 11 Site-Local unicast
1111 1111 Multicast
3-1 táblázat: Jelenleg definiált formátum prefixek

3.1.2.2. Interfész ID

Sok IPv6 unicast cím (köztük az Aggregatable Global Unicast és a Link/Site Local címek) 64 bites interfész ID-t használnak. Ez az ID EUI-64-es formátumú [EUI64]. Az interface ID-t valamilyen interfész azonosítóból generáljuk, mint például Ethernet esetén a 48 bites MAC címből. Amennyiben nincs ilyen, úgy más módon, például véletlengenerátorral vagy kézzel állíthatunk elő egyedi ID-ket.

3.1.2.3. Link-Local, Site-Local címek

Ez a címtípus azért került bele az IPv6-ba, hogy lokálisan egyszerűbben lehessen kommunikálni. Ezek a címek csak egy linken, illetve site-on belül egyediek, ezért nem használhatók globális kommunikációra. Ez azt jelenti, hogy nem is szabad kiengedni az ilyen címeket a routereken.

Ezek a címek automatikusan generálódnak és felkonfigurálódnak. Fő céljuk, hogy a hoszt külső beavatkozás nélkül a hálózathoz csatlakozás után kommunikálni tudjon. Ezek után már ezen az IP-címen tud minden egyéb konfigurációs lépést megtenni. Mivel ezeket már IP-szinten tudja megtenni, így médiafüggetlen tud lenni, sőt ki tudja használni az IPSec lehetőségeit már konfiguráció során.

Minden interfésznek rendelkeznie kell tehát egy link-local címmel. [RFC2373]

1111 1110 10 formátum prefix 54 bitnyi 0 64 bit interface ID
3-2 táblázat: Link-local címformátum
1111 1110 11 formátum prefix 38 bitnyi 0 16 bitnyi subnet ID 64 bit interface ID
3-3 táblázat: Site-local címformátum

3.1.2.4. Aggregatable Global Unicast Cím

Az AGU (Aggregatable Global Unicast) címeket használjuk globális kommunikáció esetén IPv6-ban. Ez a cím is tartalmaz hálózati részt, ami 61 bites, illetve a 64 bites EUI-64 formátumú interfész ID-t. [RFC2374]. A hálózati prefix részt az aggregáció miatt négy további részre bonthatjuk:

001 f.p. 13 bit TLA ID 8 bit res 24bit NLA ID 16 bit SLA ID 64 bit interface ID
3-4 táblázat: Aggregatable Global Unicast címformátum

Ez a struktúra lehetővé tesz szolgáltató szerinti és egyéb csatlakozásalapú aggregációt. Az egyes hálózati prefixek jelentése:

A hálózati topológia tükröződése a címzésben jelentősen leegyszerűsíti a útvonalválasztást, és további nagy előnye, a újraszámozás (renumbering) kifejezett támogatása. Amikor internet-szolgáltató váltás történik, csak a hierarhiában magasan elhelyezkedő (TLA, vagy NLA) azonosítókat kell módosítani, a Site szintű struktúra és címzés változatlan maradhat.

3.1.2.5. Visszafelé kompatibilásra fenntartott címek

Jelenleg beágyazott (embedded) IPv4-es címeket használunk, ezen kívül NSAP és IPX címeket is definiál a szabvány[RFC1888]. Kétféle formátum használatos jelenleg, az egyiket az [RFC1993] definiálja az IPv4 feletti automatikus IPv6 tunelezésre. Itt a végpont beágyazott IPv4 címmel rendelkezik, amit IPv4 kompatibilis IPv6 címnek hívunk. Ennek a formátuma látható alább:

96 bitnyi 0 32 bit-es IPv4-es cím
3-5 táblázat: IPv4 kompatibilis IPv6 cím

A másik formátumot IPv6 mapped IPv4-nek hívjuk amelyet az áttérési mechanizmusokban alkalmazzák. Ennek a formátuma a következő:

80 bitnyi 0 16 bitnyi 1 32 bit-es IPv4-es cím
3-6 táblázat: IPv6 mapped IPv4 cím

NSAP és IPX címeket úgyszintén definiáltak IPv6 alatt, ezeknek a formátum prefixe 0000 001, illetve 0000 010. Az NSAP-pal az [RFC1888] foglalkozik, míg az IPX kompatibilitás még nincs kidolgozva.

3.1.2.6. Multicast címek

Az IPv4-el ellentétben IPv6 alatt a multicast címeknek saját formátumuk van, amely az alábbi:

1111 1111 f.p 4 bit flag 4 bit scope 112 bit Group ID
3-7 táblázat: Multicast cím

A flag-bitek a multicast címek kiosztásának módját határozzák meg. A 0000 az állandóan meglévő (ezeket jólismert címeknek hívjuk), míg a 0001 a tetszőlegesen kiosztható címeket jelöli. A többi állapot fenntartott.

A scope bitek a cím érvényességi tartományát határozzák meg. Jelenleg az alábbi lehetőségeket határozzák meg:

0000 Fenntartott
0001 Node local, egy gépen belüli
0010 Link local, egy linken belüli
0101 Site local, egy site-on belüli
1000 organization local, egy szervezeten belüli
1110 globális
1111 Fenntartott
3-8 táblázat: Multicast Scope bitek

A Group ID azonosítja a fenti bitek után a multicast csoportot.

Több jólismert IPv6-os multicast cím van, amelyek érvényesek scope-tól függetlenül, ezek az [RFC2375]-ben vannak definiálva. Például az FF02:0:0:0:0:0:0:1 jelöli egy linken belül az összes csomópontot megcímző multicast címet.

Az FF02:0:0:0:0:1:FF00::/104 prefixű multicast cím a preferált cím, amely megcímzi az összes csomópontot. A csomópontok unicast címének alsó 24 bitje hozzácsatolódik az előbb említett prefixhez, és így alkotják preferált csomóponti multicast címet. Az olyan több unicast címmel rendelkező gépek, amelyeknek a címei eltérő aggregációban vannak (eltérő prefixűek), ugyanahhoz a preferált csomóponti multicast címhez csatlakoznak, mert csak az alsó biteket használjuk az ilyen címek kialakításakor. Így a node-ot anélkül megcímezhetjük, hogy kiválasztanánk akár egy prefixét is. Minden csomópontnak csatlakoznia kell a preferált csomóponti multicast csoporthoz.

3.1.2.7. Anycast címek

Ezeket a címeket konfigurálás útján tudjuk előállítani egyszerű unicast címekből. Így ránézésre nem is lehet megállapítani egy ilyen címről, hogy anycast cím lenne-e. Az anycast címek felhasználása még mindig fejlesztés alatt áll. Globális felhasználásuk erősen korlátozott az ilyen címek útvonalválasztási korlátai miatt.

Az anycast címek egy lehetséges felhasználása, hogy egy domain határán levő routereket azonosítják.

Vannak előredefiniált anycast címek. Egy ilyen a subnet-routerek címe. Az erre a címre küldött csomagok az alháló egyik routerére fognak megérkezni. Egy másik jólismert anycast cím a Mobil IPv6-os honi ágensek (Home-Agentek) címe, amely egy hálózaton levő Home-Agenteket éri el. Ehhez egy speciális EUI-64-es interface ID használatos: fdff:ffff:ffff:fffe. Ez, és más egyéb jól-ismert anycast címek az [RFC2526]-ban vannak definiálva.

3.1.3. IPv6 címek írásmódjai

Az IPv6-os címeket hexadecimális számok csoportjaiként szoktuk leírni. Nyolc darab 16 bites (négyjegyű) csoportból áll, amelyeket kettőspont választ el egymástól. Például: 3ffe:2f00:0000:0000:0200:c0ff:fec6:068b.

Egy csoportban az elöl álló nullák elhagyhatók. Gyakran előfordul a címekben, hogy sok nulla van egymás mellett, amennyiben egymás melletti csoportokban csak és kizárólag nullák fordulnak elő, azok elhagyhatók, és helyettük egy kettőspont írható. Például: 3ffe:2f00::200:c0ff:fec6:68b.

Amennyiben szeretnénk jelölni, hogy a hálózati prefix hány bit hosszú, ezt a cím után tehetjük meg egy per ('/') jel után: 3ffe:2f00::200:c0ff:fec6:68b/64.

Ha csak a hálózati címet szeretnénk ábrázolni, akkor a fentihez hasonló módon tehetjük meg, az interface részt elhagyva belőle: 3ffe:2f00::/24.

A beágyazott IPv4-es címeket vegyes írásmódban használhatjuk, ahol az IPv4-es címet decimális formátumban, egymástól pontokkal választjuk el. Például: ::ffff:152.66.243.148.

Az 3.2. IPv6 fejléc szerkezete

Az IPv6 fejléc egyszerűbb lett, mint az IPv4-es.Az alapesetben csak az útvonalválasztáshoz szükséges információkat tartalmazza, a megfelelő QoS paraméterekkel kiegészítve.A fejléc nagy részét a forrás és cél állomások 128 bites címei teszik ki.Az IPv6 alap fejlécben található mezők:

3-9 táblázat: IPv6 csomag felépítése

Version

Traffic Class

Flow Label

Payload Length

Next header

Hop Limit

Source Address

Destination Address

Az IPv4-hez képest bizonyos mezők kimaradtak a fejlécből és opcionális fejlécbe kerültek át. Így a fejlécek feldolgozása egyszerűsödött.

3.2.0.1. Tördelés (Fragmentation)

Csak a végpontokon levő állomások tördelhetik szét és állíthatják ismét össze a csomagokat, a közbeesők nem. Az útközbeni tördelés komoly erőforrás igényeket támaszt a routerekkel szemben, ez a módszer azonban kiküszöböli ezt a problémát. A forrás állomás meghatározza a maximálisan átvihető méretű egységet (MTU), és ha kell tördelést végez. Ekkor az összeillesztéshez szükséges információkat a Fragmentation Header nevű kiegészítő fejlécben tárolja el, mely csak ebben az esetben van jelen a csomagban.

3.2.0.2. Opciók (Options)

Mivel az IPv6 erre külön fejlécet hozott létre (Option Extension Header) értelemszerűen nem kapott helyet az alap fejlécben.

3.2.0.3. Fejléc ellenörző összeg (Header Checksum)

Ennek kihagyása több szempontból is indokolt volt. Egyrészt a checksum számolás jelentős többletidőt igényel és csak kis haszonnal jár. Másfelől a magasabb szintű protokollok amúgy is végeznek hasonló célú ellenőrzéseket, ráadásul a modern hálózati technológiák viszonylag alacsony hibaaránnyal rendelkeznek. Ha mégis szükséges a csomagok integritásának ellenőrzése ezen a szinten, akkor az IPSec Authentication Header vagy az Encapsulating Security Payload mechanizmus használható.

3.3. Kiegészítő Fejrészek (Extension Header-ek)

Bizonyos opcionális információk nem az alap, hanem valamely kiegészítő fejlécben kapnak helyet, melyek az IPv6 és a felsőbb protokollok fejlécei között találhatók. Rendszerint csak a célállomás dolgozza fel a bennük levő információkat, de vannak amelyek útközbeni (hop-by-hop) feldolgozást igényelnek. Ezek közvetlenül az IPv6 fejléc után következnek, míg az előbbiek csak utánuk. Ez lehetővé teszi, hogy a routereknek csak a csomag elejét kelljen átnézniük, egyszerűbb feldolgozást téve lehetővé különösen az IPv4-hez képest, ahol a fejléc hossza a különböző opcióktól függően változott.

3-10 táblázat: IPv6 csomag kiegészítő fejlécekkel

IPv6 Header

next-header=routing

Routing Header

next-header=fragment

Fragment Header

next-header=tcp

Fragment of upper layer

protocol packet

...

Az IPv6 kiegészítő fejlécei (extension headerei) sorrendben:

3.4. A Környezet Felmérő protokoll (Neighbor Discovery)

A környezet felmérő protokoll a hálózatban elhelyezkedő entitások (csomóponti gépek és útvonalválasztók) feltérképezésére szolgál. Információt szolgáltat az útvonalválasztóknak, munkaállomásoknak a környezetükben található gépek elérhetőségéről, címéről stb.

A protokoll konkrétan a következő problémákat igyekszik megoldani:

A környezet felmérő (Neighbor Discovery: ND) protokoll ICMP (Internet Control Message Protocol: ICMPv6) csomagokat felhasználva oldja meg a fent említett feladatokat. Az IPv6 természetesen tartalmazza az összes IPv4-ben megszokott ICMP üzeneteket, mint például a visszhang kérést (echo request) és visszhang választ (echo reply) stb. A környezet felmérés céljaira öt féle ICMPv6 csomagot definiáltak. Ezek a következők: útvonalválasztó kérelmezés és hirdetés (Router Solicitation, Router Advertisements), szomszéd kérelmezés és hirdetés (Neighbor Solicitation, Neighbor Advertisements) továbbá átirányítás (redirect) üzeneteket.

Ezek az üzenetváltások következők és a következő funkciókat látják el:

Azokon a hálózatokon ahol lehetőség van multicast (csoportos című) üzenetek küldésére, minden átirányító meghatározott időközönként küld egy útvonalválasztó hirdetés (csoport című) csomagot ezzel jelezve létét a hálózaton. A csomóponti gépek ezeknek az üzeneteknek a segítségével egy listát készíthetnek a létező átirányítókról. A periódikusan kiküldött üzenetek megfelelőek arra, hogy néhány perc alatt az összes csomóponti gép tudomást szerezzen az átirányítók létezéséről, viszont ahhoz nem elég gyakoriak, hogy az esetleges átirányítók kieséséről időben értesüljön mindenki.

Az útvonalválasztó hirdetés üzenet tartalmaz még előtagokat (prefix) is. Ezeket a csomóponti gépek az automatikus címkonfigurációnál, illetve az alhálózat meghatározásnál használhatják. A csomóponti gépek, a hirdetett előtagokból egy listát készítenek, amely segítségével meg tudják határozni egy csomagról, hogy az egy alhálózatból érkezett, hogy egy útirányítóról kívülről érkezett. Természetesen küldhetnek a csomóponti gépek előtagokkal nem rendelkező üzeneteket is alhálózaton belülre, ebben az esetben a router küld egy átirányítás (redirect) üzenetet a csomóponti gépnek.

Az útvonalválasztó hirdetés (router advertisement) üzenet lehetőséget nyújt a útvonalválasztóknak, hogy információt közöljön a csomóponti gépeknek segítve a cím-autókonfigurációt. A router meg tudja határozni, hogy a csomópontok állandó címeket, illetve automatikus címkiosztást (DHCP) használjanak.

Az üzenetek tartalmaznak még Internet paramétereket, úgy mint továbbítási korlát (hop limit: a csomag hány csomópontot érinthet maximálisan), avagy a kapcsolatra jellemző paramétereket, mint például a továbbküldhető maximális csomag méretét (MTU). Az üzenetek segítségével ezeket a fontos paramétereket elegendő csak a routerekben beállítani s a továbbiakban az egész hálózat értesül a beállításokról.

Az egyes csomópontok a cím feloldása a szomszéd kérelmezés (Neighbor Solicitation) üzenettel oldható meg. A csomóponti számítógép küld egy csoport-címzéssel szomszéd kérelmezés üzenetet a preferált csomóponti multicast címre megjelölve a célállomás címét, amelyre egy egyszerű egycímű szomszéd hirdetés üzenettel válaszol a megcímzett.

A címek többszöri felhasználásának detektálására is a szomszéd kérelmezés üzenetet használják.

3.5. Automatikus konfiguráció

Az automatikus konfiguráció célja a csomóponti eszközök egyszerű és gyors felcsatlakoztatása a hálózatra. Lehetővé tenni, hogy a hálózatra kapcsolt berendezés (számítógép) beavatkozás nélkül megkaphassa a főbb hálózati paramétereket: hálózati cím (link local address), valamint egyéb konfigurációs paramétereket. Három módszer van erre kidolgozva: “stateless” vagy állapotmentes, “stateful” módszerek és ezek kombinációja. Ezek a módszerek csak csomóponti számítógépekre érvényesek. A routerek automatikus konfigurációja más módszerrel történik.

A stateful automatikus konfigurációs módszer esetén a felcsatlakozott csomóponti számítógép az összes szükséges adatot (cím, konfigurációs információk, paraméterek stb.) egy kiszolgálótól (annak adatbázisából) kapja meg. Az adatok szigorú ellenőrzés alatt vannak, s a vezérlést például a DHCPv6 protokoll végezheti.

A stateless automatikus konfiguráció esetén nem szükséges a fenti feltétel. A felcsatlakozott számítógép a felcsatlakozásához szükséges adatokat a hálózatból nyeri ki (a már ismertetett hirdetési üzenetek segítségével). Az IPv6 címek csak egy meghatározott ideig érvényesek, azt követően más csomópontnak lesznek kiosztva.

A cím egy speciális címelőtagból (link-local address prefix: 10 bit) és egy a hálózati modult meghatározó címből (64 bit) lesz összekombinálva. Ezt követően a csomópont ellenőrzi (Neighbor Solicitation), hogy az így kialakított cím egyedüli-e a hálózaton. Amennyiben nem, akkor kézi beavatkozásra lehet szükség. Ha egyedüli a cím, akkor lehetséges felderíteni (Router Solicitation üzenet), hogy a hálózaton vannak-e routerek, ha nincs, akkor DHCPv6 protokoll igénybevételével a stateful automatikus konfigurációt lehet választani. A router hirdetési üzenetében (annak opcionális részében) minden további információ megtalálható: fizikai (Ethernet) cím, a maximálisan átvihető üzenethossz (MTU), és az adott hálózatra vonatkozó címelőtag (address prefix).

3.6. DHCPv6 protokoll (Dynamic Host Configuration Protocol)

Az előzőekből látható, hogy ha a hálózaton címütközés van, vagy nincs router, akkor a DHCP protokoll használatára lehet szükség. Azonban a IPv6 képes működni akkor is, ha nincsen router a hálózatban ilyenkor a link-local címekkel kommunikálhatnak a csomópontok. Címütközés esetén pedig lehetséges adminisztratív beavatkozás vagy DHCPv6 használata. Ez egy kliens és kiszolgáló programrészből álló protokoll, amely képes a címet és a hálózati paramétereket a felcsatlakozott számítógépnek megadni.

A DHCP üzenetek szerkezete azonos: üzenet típusa, információ leíró és maga az információ, amely tartalmazhat: az IP címet, időzónára vonatkozó információkat, névszerverre vonatkozó információt, hitelesítési, és más szerverekre vonatkozó információkat. [DHCPv6][DHCPv6_EXT]

3.7. DNS támogatás az IPv6-ban

Az IPv6 nagyobb cím mezejéhez természetesen a DNS-ben[RFC1034][RFC1035] is változtatásokat kellett végrehajtani [RFC1886]. A változtatás viszonylag kis mérvű volt, ami ezt jelenti, hogy az eddigi A rekordok mellett megjelentek az AAAA rekordok is, ami a nevekhez IPv6-os címek hozzárendelését teszi lehetővé. Az IPv6 címhez név rendelést a PTR rekordok látják el továbbra is, azzal a módosítással, hogy míg az IPv4 esetében ezek a viszont irányú bejegyzések az in-addr.arpa. domain alá kerülnek bejegyzésre addig itt az IPv6-nál az IP6.INT domain alá. Azonban az IPv6 egyszerű átszámozhatósága [RFC1887] és a multihome-ing [MULTIHOMED_INGRES] miatt szükség volt egy hierarchikusan jól karbantartható módosítására is a DNS-nek [RFC2874]. Ez a szabvány tovább bőviti a rekordokat olyan módon, hogy az AAAA rekordok mellett az A6 rekordok is alkalmasak hostnévből IPv6 cím leképzésre. Bevezetésre került a bitlabel típusú PTR rekord, ami azt teszi lehetővé, hogy tetszőleges inverz zónát lehessen delegálni és a DNAME rekord, ami egy tetszőleges DNS részfa, illetve zóna szimbólikus cimkézésre használható.

3.8. Mobilitás

A mobilitás célja annak a problémának a megoldása, hogy egy IPv6 eszköznek a globális címe - mellyel egyértelműen azonosítható az Interneten - tartalmaz hálózati részt, és ezért, ha az eszköz mobillá kíván válni, biztosítani kell, hogy a hálózat akkor is hozzá továbbítsa erre a címre érkező csomagokat, ha éppen más hálózatban tartózkodik. [MOBIL6]

3.8.1. Mobil működés

Minden mobilitásra képes IPv6 eszköznek van egy honos hálózata (home network). Az eszköz "otthon van", ha ehhez a hálózathoz csatlakozik, ekkor globális címével közvetlenül elérhető, működése nem különbözik a nem mobil IPv6 eszközökétől.

Mobillá válás esetén az eszköz lecsatlakozik honos hálózatáról és rácsatlakozik egy idegen hálózatra (foreign network). Globális címével továbbra is elérhető, ugyanis a mobil eszköz honi ágens (home agent) az idegen hálózatra továbbítja az ide érkező forgalmat. Ezt az által teheti meg, hogy a mobil csomópont az idegen hálózaton - rendszerint a szabványos IPv6 autokonfigurációs mechanizmusok segítségével - egy ideiglenes címet (care-of address) kap, amelyről értesíti ágensét, aki ide fogja irányítani a forgalmat.

3-1 ábra: Az mobil IPv6 architektúra

3.8.2. Részletes működés

A honos hálózaton tartózkodó eszköz működése megegyezik a normál (mobilitást nem alkalmazó) csomópontok működésével. Címét és egyéb hálózati paramétereit az IPv6 szabványos autokonfigurációs szolgáltatások segítségével állítja be. A globális címére érkező csomagokat hagyományos módon fogadja és a tőle kiinduló csomagoknak ez a cím lesz a forráscíme.

A mobilitás során az eszköz elhagyja a honos hálózatot és csatlakozik egy másik hálózatra. Az idegen hálózaton, ugyancsak a megfelelő autokonfigurációs mechanizmusok segítségével felvesz egy újabb, az idegen hálózat tartományába eső címet. Amint az ideiglenes cím érvényes, a mobil eszköz kötődési frissítés felhívást (Binding Update) küld honi ágensének. Saját honi ágensét a mobil állomás rendszerint ismeri, de bizonyos esetekben elképzelhető, hogy az eszköz áttelepülése során megváltozik az ágens. Ilyenkor a dinamikus honi ágens felderítés (Dynamic Home Agent Discovery) mechanizmusával a mobil eszköz először megkeresi az új ágenst azáltal, hogy a kötődési frissítést a honi ágensek anycast címére küldi a honos hálózaton.

A mobil csomópont ideiglenes címét, mint elsődleges távoli címet (Primary Care-of Address) a honi ágens regisztrálja, és erről kötődési visszaigazolást (Binding Acknowledgement) küld. Mind a változási felhívás, mind a visszaigazolás IPSec autentikációs eszközökkel hitelesített az illegális forgalomeltérítés megakadályozása érdekében.

Az új cím regisztrálása után az ágens proxy Neighbor Discovery segítségével a mobil eszköz honi címére érkező csomagokat átveszi és az elsődleges távoli címre továbbítja IPv6 beágyazás (encapsulation) segítségével.

Amennyiben a mobil eszköz egyik idegen hálózatból áttér egy másik idegen hálózatba, akkor is kötődési frissítés felhívást küld saját honi ágensének, továbbá hasonló felhívást intézhet az elhagyott hálózat routerjeihez, hogy azok ideiglenes honi ágensként továbbítsák számára a régi hálózatba érkező csomagokat. Ez utóbbi esetben a mobil eszköznek több ideiglenes címe lehet, amelyek közül mindig az az elsődleges, amely címhez tartozó hálózatban éppen tartózkodik.

A honos hálózatba visszatérő mobil állomás megfelelő kötődési frissítés küldésével tudatja a honos ágensét a visszatérésről.

Az IPv6 mobilitás nemcsak a mobil eszközök esetén jelent változást a normál működési módhoz képest, hanem mindazon csomópontoknál is, amelyek mobil állomással kommunikálnak. Ha egy másik csomópont (mobil vagy nem mobil) egy mobil állomással kommunikál, akkor kezdetben a mobil eszköz honos címére küldi a csomagokat. A fent leírt mechanizmusok segítségével ezek a csomagok eljutnak a mobil csomópontra, amely észleli, hogy a forgalom közvetve érkezik hozzá. Ekkor egy kötődési frissítési felhívást küld a forrásnak, aki eltárolja az ideiglenes címet és az eredeti honos címet. További kommunikációban, ha olyan címre irányul egy csomag, amely címhez létezik eltárolt ideiglenes cím, akkor az eszköz közvetlenül, a honi ágens nélkül fog kommunikálni a mobil csomóponttal. A mobil egységgel kommunikáló állomások bármikor kérhetnek kötődési frissítést a mobil eszköztől kötődési kérés (Bindig Request) formájában.

3-2 ábra: Mobil IPv6 jellemző szekvenciái

3.8.3. A "Home Address" opció

Mivel a mobil IPv6 eszközök minden körülmények között elérhetőek honos címükkel, ezért ennek a címnek kell szerepelnie minden, az adott eszköztől induló csomag forráscímében. Ez problémát jelent minden olyan hálózatnál, ahonnan nem engednek ki olyan csomagot, amely forráscíme nem a hálózat címtartományából van (ingress filtering). A megoldást egy új opcionális fejléc, a "Home Address" opció adja. Ezt az opciót minden IPv6 implementációnak ismernie kell. A mobil eszköz küldéskor az ideiglenes címet helyezi el az IPv6 csomag fejlécében forráscímnek, és a Home Address fejlécben jelzi honos címét. A célállomás a csomag vétele során felismeri a honos címet, és a vett csomagban behelyettesíti a forráscím helyére.

3.8.4. Különbségek az IPv4-hez képest

Az IPv4 mobilitás [RFC2002] utólag lett kifejlesztve, szemben az IPv6 integrált megoldásával. Ennek megfelelően több jelentős különbség fedezhető fel a két megoldás között.

3.8.5. Az IPv6 mobilitás által nem megoldott problémák

Bár az IPv6 által alkalmazott mobilitási megoldások igen átfogóak és hatékonyan kialakítottak, két lényeges kérdésre nem adnak választ:

Részleges elérhetőséggel rendelkező hálózati közegek. Olyan rendszerek, mint például a vezetéknélküli eszközök nem biztosítanak folyamatos hálózati jelenlétet. Előfordulhatnak olyan esetek, amikor az eszköz bizonyos időre nem csatlakozik egyik hálózathoz sem. Ezt a helyzetet és az ebből kifolyólag felmerülő más problémákat az IPv6 mobilitás egyelőre nem kezeli le.

Az IPv6 mobilitás megoldja a mobil eszköz mozgásával összefüggő hitelesitési (authentication) és partner-azonosítási (authorisation) kérdéseket a honos hálózat szempontjából, de nem foglalkozik az idegen hálózatokon alkalmazandó hozzáférési korlátozásokkal. Ezek egy részét más IPv6 funkciók, mint pl. az autokonfiguráció megoldják.

3.9. Biztonság

Az IP protokoll szintjén biztonsági szolgáltatásokról az IPSec programrendszer gondoskodik. Az IPSec értelmezett IPv4 és IPv6 esetén egyaránt: az alapvető különbség, hogy míg IPv4 esetén az IPSec csupán opcionális, addig IPv6 esetén az implementáció számára egy kötelezően megvalósítandó szolgáltatás.

3.9.1. IPSec

Az IPSec [Stallings] három fő biztonsági szolgáltatást tud nyújtani: csak hitelesítési (authentication) (AH fejléc), egy kombinált hitelesítés (authentication) és titkosítás (ESP csomagok) és a mindkettőt kiszolgáló kulcskezelés. Az IPSec egy meglehetősen bonyolult protokoll-együttes, amelyet több, alapvetően hét csoportba sorolható RFC ír le:

Az IPSec egyik kulcs-fogalma a Security Association (SA - Biztonságos Kapcsolat). Az SA egy egyirányú kapcsolat a kommunikáló partnerek között. Kétirányú biztonságos kapcsolatokhoz két SA szükséges. Egy SA vagy egy AH, vagy egy ESP által megvalósított egyirányú biztonságos kapcsolatot ír le. Ha egy kapcsolatban egyik irányban AH-t és ESP-t egyaránt akarnak használni, akkor mindegyikhez egy-egy SA szükséges. Egy SA-t három paraméter azonosít egyértelműen:

Az SA adatbázisban az SA-k és a hozzájuk tartozó, az adott SA működését leíró paraméterek találhatók:

A kulcskezelő eljárásokat csak az SPI köti össze az autentikációs és titkosító eljárásokkal, így az hitelesítés (authentication) és a titkosítás teljesen független bármilyen kulcskezelő mechanizmustól.

Az IPSec-nél nagyon rugalmasan határozhatjuk meg, hogy mely forgalomra milyen minőségű IPSec szolgáltatást szeretnénk használni. Ennek leírására a Security Policy Database (SPD - Biztonságpolitikai Adatbázis) szolgál. A legegyszerűbb formájában az IP forgalom azon részhalmazait határozza meg, amelyek egy-egy SA-hoz tartoznak. Bonyolultabb esetben több olyan részhalmaz is lehet, amely egy SA-ra mutat, vagy egy-egy részhalmaz, amely több SA-t igényel. A következő elemek határozzák meg az SPD bejegyzéseket:

A kimenő csomagoknak az SPD bejegyzések alapján való feldolgozása a következő módon történik:

3.9.1.1. Az AH protokoll

A hitelesítési fejléc (Authentication Header, AH) az egyes IP csomagok hitelesítése, a bennük lévő adat sértetlenségének az ellenőrzésére és ún. replay támadások elleni védelemre nyújt módot. A hitelesítés lehetővé teszi, hogy a csomag címzettje megbizonyosodjon az IP csomag feladójáról, ezzel téve lehetetlenné például a napjainkban oly könnyen megvalósítható IP-cím hamisítást. Az adatsértetlenség ellenőrzésével a címzett igazolhatja, hogy a csomagot annak feladása óta egy közbülső ponton nem módosították. A replay támadásoknál egy támadó az általa elfogott hitelesített csomag későbbi újraküldésével próbálja a rendszerek működését megzavarni - az AH-ban levő sorozatszám ez ellen nyújt bizonyos fokú védelmet.

Az AH fejlécet közvetlenül megelőző protokoll fejléc protokoll (IPv4) vagy következő fejléc (IPv6, IPv6 kiterjesztéses fejléc) mezőjében az AH fejléc azonosítójaként az 51-es szerepel.

Az hitelesítési fejléc (authentication header) a következő részekből áll:

3-3 ábra: IPSec AH-Authentication header/ Hitelesítési fejléc

Az SA tárolja annak az alkalmazott hitelesítési (authentication) algoritmusnak a típusát, amellyel a MAC kiszámítása történtik és amely lehet szimmetrikus titkosító algoritmus (pl DES) vagy egyirányú hash függvény (MD5 vagy SHA-1). A MAC kiszámítása során az IP csomag következő részeit veszik figyelembe:

IPv6 esetén az IP fejlécnek az út során nem változó mezői például a verzió, az adathossz, a következő fejléc mező, a forráscím és (routing fejléc hiányában) a célcím. Változó, de kiszámítható mező a célcím routing fejléc jelenlétében. Változó, ezért a MAC számítás során nullákkal kitöltött mezők a class, flow label és hop limit mezők.

A küldő a fenti logikai algoritmus alapján számolja ki a MAC értékét, amelyet azután az hitelesítési (authentication) adatmezőben helyez el. A fogadó szintén ezek alapján számolja ki a MAC értékét és veti össze az eredményt az hitelesítési (authentication) mezőben kapott értékkel. Ha a kettő megegyezik, a csomag feladójának az hitelesítése és a csomag integritásának az ellenőrzése sikeres volt.

A replay támadások elleni védekezésül a fejlécben levő sorszám szolgál. Amikor a rendszer egy új SA-t hoz létre, a feladó a sorszám kezdőértékét 0-ra állítja, és minden elküldött csomag előtt eggyel növeli az értékét. Így az első csomagban a sorszám értéke 1. Ha a replay elleni védekezés nincs kikapcsolva (amit csak a címzett kérhet), akkor a feladó nem engedheti, hogy a sorszám számláló a 2^32-1 értéket elérve körbeforduljon. Ezt a számot elérve a feladónak törölni kell az SA-t és egy új kulcssal egy újat kell létrehozni.

Mivel az IP egy kapcsolat-nélküli nem megbízható protokoll, ezért nem garantálja a csomagok sorrendben való megérkezését. Ezért a IPSec AH feldolgozásánál a fogadónak egy (default 64 csomagnyi) ablakban kell kezelnie a bejövő csomagokat. Az ablak jobb oldalát az eddig megkapott legmagasabb sorszámú csomag sorszáma határozza meg. A bejövő csomagok feldolgozása a következő módon történik:

3.9.1.2. Az ESP protokoll

Az ESP (Encapsulating Security Payload) titkosítási szolgáltatást nyújt, védve az üzenet tartalmát a lehallgatások ellen, valamint korlátozott védelmet tud nyújtani a forgalmi adat-analízisen alapuló támadások ellen. Az ESP opcionálisan az AH-hoz hasonló hitelesítési szolgáltatásokra is képes.

Az ESP csomagot közvetlenül megelőző protokoll fejléc protokoll (IPv4) vagy következő fejléc (IPv6, IPv6 kiterjesztéses fejléc) mezőjében az ESP csomag azonosítójaként az 50-es szerepel.

Az ESP csomag a következő részekből áll:

3-4 ábra: IPSec ESP titkosított csomag

Az adatmező, helykitöltés, helykitöltés hossza és következő fejléc mezőket az ESP az SA-ban tárolt szimmetrikus titkosító algoritmussal titkosítja, amely algoritmus default esetben a DES. Sok más titkosító algoritmus ESP-ben való használatát szabvánzosították, például: háromkulcsos háromszoros DES, RC5, IDEA, CAST, Blowfish. Az hitelesítési algoritmusként a AH-nál alkalmazottak használatók.

ESP esetében a két szolgáltatás - titkosítás és hitelesítés (authentication) - egymástól függetlenül kapcsolható be, de mindkettőt egyszerre kikapcsolni nem lehet. Mindkét szolgáltatás használata esetén az ESP először titkosítja a hasznos adat, helykitöltés, helykitöltés hossza és következő fejléc mezőket, majd hitelesítíti az ESP csomagot. Az ESP csomagot tartalmazó IP csomag fejléc-elemeinek az hitelesítését az ESP - az AH-val ellentétben - nem végzi el, ezért az ESP NULL titkosítás melletti autentikációs szolgáltatása nem teljesen azonos az AH szolgáltatásával.

3.9.1.3. Transzport mód

Az AH és ESP mindegyike két módban, transzport vagy tunnel módban használatók.

A transzport mód elsősorban a felsőbb szintű protokollok, azaz az IP csomag adatmezejének a védelmére szolgál. Ilyenek például a TCP vagy UDP szegmensek vagy az ICMP csomagok, amelyek közvetlenül az IP fölött vannak. A transzport mód tipikusan két host (IP kommunikációs szereplő) közti végpont-végpont kapcsolatokban használatos. Amikor egy host AH-t vagy ESP-t használ IPv4 fölött, akkor a hasznos adat az, ami az IP fejlécet követi. IPv6 esetén a adatmező az, ami az IP fejlécet és az IPv6 kiterjesztéses fejléceket követi, a címzett opcionális fejlécek nélkül, amelyek belefoglalhatók, vagy kihagyhatók az AH és ESP védelméből.

3-5 ábra: ESP transport és tunnel mód

Az ESP transzport módban az IP fejléc nélküli adatmezejétt titkosítja, opcionálisan hitelesíti. Az AH transzport módban az IP hasznos terhét és az IP fejléc bizonyos részeit hitelesíti. Az ESP transzport mód a következőkben foglalható össze:

A transzport módú működés bármely alkalmazás esetén használható. Ez a mód meglehetősen hatékony, mivel nem sokkal növeli meg az IP csomag méretét. Az eljárás egyetlen hátránya, hogy a hoszt-hoszt közti kommunikáció forgalmi analízise továbbra is lehetséges marad. (A forgalmi analízises támadásokat elsősorban (ipari) kémkedésekben használják általános következtetések levonására, azok más módon szerzett adatokkal való összevetésére. Például, ha A hoszthoz a partnerei általában FTP-vel kapcsolódnak hozzá, akkor az adatforgalom megfigyelésével egy támadó levonhatja azt a következtetést, hogy az X szervezet fő FTP szervere nagy valószínűséggel A, így a további adatszerzési erőfeszítéseit erre érdemes koncentrálni.)

3.9.1.4. Tunnel mód

Tunnel mód esetén az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (IP-IP tunnelezés), így biztosítva, hogy az egész eredeti csomag a (publikus) hálózaton való áthaladás közben változatlan marad. Mivel ESP esetén az eredeti IP fejléc a célcímen kívül tartalmazhat egyéb routing információkat is (source routing utasítások, hop-by-hop opciók), ezért nem lehet egyszerűen kiküldeni az ESP-vel titkosított tunnelezett IP csomagokat. Hogy a közbülső routerek képesek legyenek megfelelő módon kezelni a titkosított tunnelezett csomagot, olyan új IP fejlécbe kell azt becsomagolni, amelyik a megfelelő eredeti routing információkat tartalmazza.

A tunnel módot leginkább két biztonsági gateway (pl. tűzfal vagy router) között használják, amely esetben a két gateway között egy VPN-t (Virtual Private Network, virtuális magánhálózat) hoznak létre. Tunnel móddal a két gateway mögötti hosztok közti biztonságos kommunikáció valósítható meg anélkül, hogy az összes kommunikáló hoszton IPSec-et kellene implementálni.

Míg a transzport mód az ESP-képes hosztok közti kommunikáció védelmére alkalmazható a leginkább, a tunnel mód egész hálózatok közti forgalom védelmére képes. Mivel ezen utóbbi esetben a titkosítás és autentikáció csak a két gateway gépen történik, az leveszi a titkosítás terhét a hosztokról és a kisszámú résztvevő miatt egyszerűsíti a kulcskezelést. A VPN-ként használt tunneles ESP lehetetlenné teszi a forgalmi analízisen alapuló támadásokat.

3.9.2. Kulcskezelés

Az AH és ESP működése a kommunikálni akaró hosztok titkos kulcsain alapul: titkos kulcsok szükségesek az autentikációhoz és a titkosításhoz egyaránt. Az IPSec architektúrája című RFC [RFC2401] két kulcskezelő mechanizmus támogatását teszi kötelezővé:

Az IPSec default automatikus kulcskezelő protokollja az IKE (Internet Key Exchange - Internet Kulcs Csere). Az IKE standard eljárásokat fogalmaz meg az IPSec-et használó partnerek dinamikus autentikációjára, az igényelt biztonsági szolgáltatásoknak a partner képességei alapján való beállítására és kulcsok dinamikus generálására. Az IKE több különböző protokollból létrejött hibrid-protokoll. Része az ISAKMP (Internet Security Association and Key Management Protocol - Internet Biztonsági Kapcsolat és Kulcskezelő Protokoll), amely egyrészt egy keretrendszer a kulcskezelés számára, másrészt jól definiált protokoll támogatás az SA létrrehozására és paramétereinek a megállapítására; az IPSec DOI (Domain Of Interpretation - Interpretáció Területe) for ISAKMP, amellyel a meglehetősen absztrakt ISAKMP alkalmazhatóvá válik az adott területen; végül az Oakley kulcsmeghatározási protokoll (pontosabban azok egy csoportja), amellyel a kulcsokat hozzák létre.

Az IPSec RFC-k a kulcsok terjesztésére több protokollt/infrastruktúrát is definiálnak:

3.9.3. Problémák

Az IPSec - noha jelenleg az egyik legjobb biztonsági szolgáltatást nyújtó protokoll - néhány problémát is rejt magában [FerSch]:

Mindezek ellenére még egyszer hangsúlyoznunk kell: az IPSec jelenleg az egyik legjobb és legteljesebb biztonsági szoftver, amely napjainkban elérhető és használható.

3.10. QoS (Quality of Service) szolgáltatások.

A QoS kialakításának lehetőségét és problémáinak vizsgálatát IP hálózatokon a következők indokolják:

A fenti igény felveti azt a kérdést, hogy a jelenlegi IP hálózat alkalmas-e valós idejű szolgáltatások (hang és kép) lebonyolítására, illetve alkalmas-e megbízható kapcsolatok (pl. pénzügyi, államközi) kialakítására, ahol elsőrendű fontosságú a valós idejű adattovábbítás, illetve a biztonságos adatvédelem kialakítása. Arra, hogy a fenti problémákra választ lehessen adni a következő kérdéseket kell megvizsgálni, illetve a következő vizsgálatokat kell elvégezni:

Az IPv4-es protokoll tervezésekor is gondoltak arra, hogy egyes csomagokat a hálózaton különböző képen kell kezelni, azaz szükséges optimalizálni a teljesítményt, megbízhatóságot, költséget, s biztosítani (amennyire a hálózat forgalma megengedi) a kis késleltetést (pl. Telnet és FTP parancs funkciói esetén). Erre a célra az IP protokoll fejlécében 8 bit hosszúságú, a szerviz típusát meghatározó (type-of-service: TOS) bitek szolgálnak (ebből négy bit nem használt, mivel csak akkor van értelme ezeket a biteket használni, ha ezeket egységesen kezeli az összes csomópont és router).

Az IPv6 protokoll tervezésekor erre a célra két összesen 28 bit hosszúságú mezőt terveztek be az IPv6 protokoll fejlécében. Ez két mezőre van bontva. Egy 8 bit hosszúságú mező szolgál az IPv6 csomagok prioritásának meghatározására (class: prioritás szerinti osztályozására), míg 20 bit szolgál a folyamat azonosítójaként (flow label), a csomagok finomabb megkülönböztetésére.

A fentiek alapján látható, hogy mindkét Internet protokoll esetében gondoltak a csomagok prioritás szerinti kiszolgálásra, azaz a valós idejű szolgáltatásra. Az belátható, hogy ez valós idejű szolgáltatás megvalósítása nem csak ezen a protokollon múlik (ez csak egy lehetőség), amit igénybe vesznek (vehetnek) a felette lévő protokollok. Jelenleg ezeknek a lehetőségeknek elvi tisztázása folyik. Ugyanis az opciókat használó felhasználói protokollok kidolgozásával egyidejűleg szabályozni kell azokat az elveket, hogy hogyan lehet használni ezeket az opciókat, azaz jogosultságokat kell bevezetni. Ellenkező esetben a minőségi szolgáltatás nem azoknál a használóknál valósul meg, akikre ezt vonatkoztatni akarjuk. Így ez a szolgáltatás több megoldandó problémát felvet: felhasználói protokollok megváltoztatása (operációs rendszer vonzata is van a problémának), felhasználói jogok titkosítása, útvonalválasztók (router) megfelelő átalakítása. Az látható, hogy a IPv6 pontosabb megkülönböztetést tesz lehetővé az egyes kiemelt fontosságú csomagok között. A probléma, hogy IPv6-os rendszer (ez alatt az IPv6 alkalmazói protokolljait is értjük) jelenleg nagyon változatos képet mutat. Elvileg minden gyártó támogatja, de pontosabban vizsgálva a problémát, kiderül, hogy az alkalmazói protokollok hiányosak vagy nem is léteznek.

A forrás (f) és célállomás (v) közti vonalat jellemezhetjük a két állomás között (ábra) áthaladó csomagok késleltetésével (delay), a késleltetés változásával (jitter), valamint vonal adatvesztésével. Ezt a három mérőszámot nagyban befolyásolja a vonal sávszélessége (bandwidth), és függ a vonal csomópontjaiban üzemeltetett routerek képességeitől (ezt később részletezzük).

3-6 ábra: QoS architektúra

A továbbiakban megpróbálunk három módszert elemezni (s ezek hardver és szoftver vonzatát), amelyek megkísérlik lehetővé tenni a valósidejű szolgáltatásokat internet hálózatokon. Ezek:

Mindegyik alapja, hogy az internet szolgáltatóknak előre meg kell állapodni a forgalom nagyságában, illetve a forgalom minőségében (a forgalom teljesítésének idejében, csomagvesztés nagyságában és minden más, a forgalom minőségét meghatározó mutatóban). Természetesen minden minőségi követelmény bevezetésének anyagi (beruházási vonzata) is van, mivel a jelenlegi internet szolgáltatás (s az internet hálózat elemei, elsősorban itt a routerekre gondolunk) erre nem alkalmasak. Természetesen a minőségi szolgáltatást megfelelő díjazásban is kell részesíteni, hogy a beruházó pénze idővel megtérüljön. Az utóbbi felveti a minőségi szolgáltatást használók megkülönböztetését a “best-effort" szolgáltatók csoportjától, illetve annak megakadályozását, hogy az utóbbi csoport csalárd módon hozzá férhessen a minőségi szolgáltatásokhoz (ismerve az internet biztonsági problémáit az utóbbi kritérium nem lebecsülendő).

Mindegyik megoldásban igen komoly feladat hárul az routerekre, mivel minden egyes csomagot meg kell vizsgálni a következő szempontok szerint:

A fentiek alapján kell elvégezni a csomagok:

Ez az routerben speciális hardver tulajdonságokat feltételez (ami csak az újabb korszerű routerekben van meg), mivel a beérkezett nagy prioritású csomagokat prioritásuk sorrendjében azonnal továbbítani kell, míg a kisprioritású csomagokat időszakos tárolóban kell elhelyezni, s továbbítását késleltetni. Mivel a tárolókapacitás véges méretű, ezért a prioritás, célcím és forráscím alapján és a szolgáltató utasítása alapján az megfelelően osztályozott csomagok (egy korláton belül) kitörölhetők a tárolóból. Ez természetesen csomagvesztést eredményez, viszont biztosítja a nagyobb prioritású csomagok megállapodás szerinti továbbítását.

3.10.1. IntServ (Integrated Services) szolgáltatások

Az kidolgozott eljárás az internet hálózatot, amely több különálló internet hálózatot is tartalmazhat (egymástól távollévő és különböző szolgáltatók hálózata), egy egységes hálózatnak tekinti. Feltételezi, hogy a hálózatban lévő routerek rendelkeznek forgalomvezérlési tulajdonságokkal (osztályozás, ütemezés, tárolás). A feltételezés a jelenlegi helyzetben nem mindig teljesül. ezért a módszer igen korlátozottan alkalmazható. Az erőforrások menedzselését (lefoglalását) az erre a célra kidolgozott RSVP (Resource Reservation Protocol) végzi.

Az RSVP protokoll képes az routereknek jelezni a forgalommal kapcsolatos erőforrás igényeket (itt elsősorban a csomagok időszakos tárolására van szükség abban az esetben, ha a csomag azonnal nem továbbítható a célállomás irányába). Természetesen a sürgős csomagok valós idejű kiszolgálása (router) processzor teljesítmény igényt is jelent. Az RSVP protokoll a forrástól (f) kiindulva, végig haladva a célállomáshoz (v) vezető úton routereket értesíti a forgalom főbb paramétereiről. Abban az esetben, ha mindegyik router képes az adatforgalom lebonyolítására a kívánt minőségi paraméterekkel, akkor a kapcsolat felépülhet (ellenkező esetben hibajelzés keletkezik). A kapcsolat felépítése csak a forrástól a célállomásig történik meg, hasonló folyamatnak kell lezajlani a másik irányba is, a célállomástól a forrásállomásig.

3-7 ábra: IntServ (RSVP)

A módszer főbb tulajdonságai (előnyei és hátrányai) és a felmerült nehézségek:

3-8 ábra: IntServ szolgáltatás.

3.10.2. DiffServ (Differenciated Services) szolgáltatások

A fenti bonyolult eljárások kiküszöbölésére egy másik módszert is kidolgoztak, ez a DiffServ eljárás. A módszer mentesíti a routerek többségét a forgalom paramétereinek tárolásától, viszont nem mentesíti forgalmat jellemző paraméterek csomagonkénti feldolgozásától. A módszer lényege, hogy mivel a csomag tartalmazza a jellemző paramétereket (címek, prioritás, minőségi követelmények), ezen értékek és a forgalmi megállapodások alapján lehet a minőségi szolgáltatásokat biztosítani. Az internet szolgáltató három csoportba rendezi az routereket:

3-9 ábra: DiffServ szolgáltatás

Könnyen belátható, hogy a hálózat megfelelő tervezésével a rendszer könnyebben kézben tartható, mint az IntServ szolgáltatás, valamint a számlázás is megoldhatóbbnak tűnik (a belépő pontoknál kell figyelni a erre). A külső csomópontoknál a forgalom szabályozással meg lehet akadályozni a rendszer túlterheltségét, s az útvonalválasztók, valamint vonalak áteresztőképessége jobban tervezhetőbbé válik. Természetesen a kitüntetett szerepeket betöltő routereknek szintén komoly adminisztratív feladatot kell elvégezni.

3.10.3. MPLS (Multiprotocol Label Switching) eljáráson alapuló szolgáltatások.

Ez a megoldás egy új most kialakulóban lévő eljárás, amelyik több hálózaton is működik: IP, DECnet, ATM, FR stb. A hagyományos IP hálózatokban a csomagok irányítása a harmadik rétegben történik. Az MPLS eljárás alapján a csomagok irányítása a második rétegben történik, kiosztott címkék alapján. A csomagok a hálózatba lépéskor, a belépési pontokon osztályokba lesznek sorolódnak, a célcím (hálózatból való kilépés pontja), és a szolgáltatás szintje szerint. A cimkék 20 bites számok, melyek ezek után egyértelműen azonosítják az adott osztályba tartozó forgalmat. Az osztályokhoz természetesen szolgálatatási garanciákat lehet rendelni és ilyen módon biztosítani a QoS szolgáltatásokat. A címkék kiosztását és a forgalom irányítását a LDP jelzésprotokoll végzi.

3.10.4. QoS összegzés

Az előzőekből látható, hogy a valósidejű szolgáltatás megvalósítása internet hálózaton nem egy egyszerű feladat. Általános és teljes körű megoldás erre a célra nem adható. Az előzőekben vázlatosan ismertetett módszerek a probléma korlátozott megoldásának tekinthetők. Az is világos, hogy a megoldások új beruházást is igényelnek. A beruházások pedig csak abban az esetben történnek meg, ha lehetőség lesz a beruházott összegek megtérülésére, ez pedig csak akkor lehetséges, ha a díjtételek, illetve a számlázás megoldódik. Jelenleg az IntServ és DiffServ megoldások ilyen szempontból nem tekinthetők kiforrottnak.

A valósidejű szolgáltatásban használt protokollok az IPv4 és IPv6, UDP és RTP protokollok. Érdemes néhány szóban elemezni ezek hatását a valós idejű szolgáltatásra.


Copyright

$Id: 3.fejezet.html 24 2000-12-01 09:22:50Z mohacsi $