Laboratorul nr.

7 Tuneluri (tunneling)

Subiect: conceptul de tunel i aplicaiile lui Cunotine necesare: cunotine elementare despre funcionarea reelelor de calculatoare Cuvinte cheie: protocol, ruter, tunel, TCP/IP, firewall, reea privat virtual, mbone, difuzare, mobile-IP

Conceptul de tunel
Calculatoarele care comunic sunt doi ceteni, iar Internetul este sistemul potal. nitatea de transmisiune este scrisoarea !pac"etul de date#. n ins pune scrisoarea la pota, iar apoi o armat de potai, oferi, aviatori, "amali, etc. mut scrisoarea la destinatar. $crisorile se pierd uneori, iar pota nu %aranteaz c ele vor a&un%e la destinaie' la fel se petrec lucrurile i (n Internet. $ ne ima%inm acum c avem de a face cu o ar care nu vrea s adere la conveniile potale internaionale, care nu recunoate timbrele, care trimite scrisorile (n pun%i (n loc de plicuri i la care plata se face direct funcionarilor. $ ne mai ima%inm c, din anumite motive, scrisorile noastre trebuie s traverseze aceast ar bizar !i nu avem un avion la dispoziie#. Ce ne facem) $istemul potal internaional ar putea crea (n acest scop o or%anizaie special, cu filiale la dou %ranie ale acestei ri. *tunci c(nd un plic trebuie s traverseze aceast ar, acesta este livrat la %rani, este b%at (ntr-o pun% i plata este fcut unui funcionar, cu ru%mintea de a trimite pun%a la cealalt %rani. C(nd pun%a a&un%e dincolo, cealalt filial e+tra%e din pun% plicul, dup care (l re-insereaz (n circuitul potal normal. Traseul potal (ntre cele dou filiale se numete (n terminolo%ia Internetului ,,un tunel--. .umele este destul de natural, pentru c obiectul de transportat !plicul# intr (ntr-o zon (ntunecoas !pun%a# i iese abia la captul cellalt la lumin, netulburat. /n %eneral, avem de a face cu un tunel c(nd datele !plicurile# trimise cu un anumit protocol sunt ,,(mpac"etate-- folosind un alt protocol de transmisiune !pun%ile#, i sunt despac"etate apoi la cellalt capt. /mpac"etarea pac"etelor se mai numete ncapsulare.

Aplicaii
Subreele speciale
Pentru o vreme (n arena reelelor de comunicaii s-a dus o lupt acerb (ntre protocoalele folosite (n Internet, bazate pe IP i TCP, i o serie de protocoale standardizate de or%anizaia mondial a telecomunicaiilor. 0upta a fost incert p(n (n urm cu doi-trei ani' pentru o vreme balana a (nclinat (n spri&inul reelelor de tip 1$I !1pen $2stem Interconnection3 denumirea standardelor or%anizaiei sus-menionate#' de cur(nd a devenit (ns evident c Internetul este, cel puin pentru urmtorii ani, te"nolo%ia (nvin%toare. /n afar de TCP/IP i reelele de tip 1$I, e+ist o sumedenie de alte feluri de reele de calculatoare, (n %eneral dezvoltate de marile companii de calculatoare, toate incompatibile (ntre ele. 4e pild I56 are propriul model, numit $.*, 4i%ital !acum Compa7# are 4ec.et, *pple are *ppletal8, etc. 4in cauza asta, la ora actual (n lume e+ist o baz mare instalat de reele care funcioneaz cu protocoale diferite. 4ar aceste reele nu sunt sortite s rm(n izolate' ele pot fi folosite ca puni de le%tur (n Internet folosind conceptul de tunel. 9i%ura : ilustreaz acest fenomen cu un caz real.

Figure : n tunel ;<= (ntre reeaua universitii Polite"nica din 5ucureti i reeaua niversitii din 5ucureti. Pac"etele IP de la Poli sunt ,,(mpac"etate-- de ctre un ruter multiprotocol !care tie at(t IP c(t i ;<=# ca date (n pac"etele ;<=, i sunt despac"etate de ruterul de la niversitate i transmise apoi (n reeaua local. 4in motive te"nice, la (nceputul formrii reelei universitare rom>ne, acum numit ?o@du.et, c(teva reele erau conectate (ntre ele folosind un protocol de comunicaii numit ;<=, care este un protocol 1$I. 0e%tura la Internetul mondial era oferit de Polite"nica din 5ucureti !P 53 ,,Polite"nica-- niversit2 of 5uc"arest, pub.ro' (ntre Pub i alte c(teva universiti era (ns instalat o reea ;<=' la Pub se afla un switc" ;<= !un switc" este un ruter, (n terminolo%ia ;<=#, la care se cuplau mai multe linii telefonice (nc"iriate, care veneau de la alte universiti. Ai la ora actual, niversitatea din 5ucureti !unibuc.ro# este cuplat (n acest fel. 0e%tura (ntre reeaua IP !Internet# i cea ;<= este fcut cu dou cutii care sunt numite rutere multiprotocol.

*ceste cutii tiu s converseze protocoale diferite pe interfee diferite' ruterul de la BPoliC vorbea IP cu lumea e+terioar i ;<= cu switc"-ul. Cele dou rutere de la e+tremitile reelei ;<= desc"ideau (ntre ele un circuit ;<=, prin care apoi transmiteau de la unul la altul pac"etele IP' acestea deveneau date ordinare pentru protocolul ;<=. *cesta nu este altceva dec(t un tunel, care transport IP prin ;<=. 4in punct de vedere al restului lumii, reeaua ;<= nici nu e+ist' toate celelalte calculatoare au impresia c ruterul de la Pub este cuplat direct printr-o s(rm cu ruterul de la ni5uc' toat reeaua ;<= este complet transparent !invizibil#. *cest fenomen se (nt(lnete foarte des' de e+emplu (n $tatele nite compania de telecomunicaii Sprint, care posed o mare parte din coloana vertebral a Internetului, folosete pentru asta reeaua proprie care ruleaz protocolul *T6' la capetele reelei *T6 se afl rutere multiprotocol IP/*T6, care formeaz tunele prin reeaua *T6 pentru a transporta traficul Internet.

!eele private virtuale

1 alt aplicaie interesant a tunelelor este folosit de corporaiile multi-naionale. 1 firm ca I56 are reele pe tot cuprinsul %lobului, aa c nu poate folosi o sin%ur subreea pentru a-i le%a toate departamentele. I56 (ns poate crea ceea ce se numete o reea privat virtual !Dirtual Private .etwor8, DP.#, cum ilustrm (n fi%ura <.

Figure ": 1 reea privat virtual. Cele dou sedii ale unei companii, pe dou continente diferite, sunt fiecare separate de Internet cu c(te un firewall. Cele dou reele sunt le%ate (ntre ele printr-un tunel care trece tot prin Internet, ceea ce permite calculatoarelor din aceste dou reele s comunice (ntre ele nestin%"erite. I56 asi%neaz adrese i construiete toate reelele ca i cum ar fi le%ate direct (ntre ele. $ presupunem c toate reelele de la I56 folosesc IP. *poi, pentru fiecare reea, ruterele de la mar%ine construiesc tunele. ?uterul din .ew-Eor8 desc"ide o le%tur la ruterul din 4el"i, form(nd un tunel. 4e aici (nainte toate pac"etele trimise de la .ew-Eor8 la 4el"i sunt (mpac"etate (n pac"ete IP i trimise prin tunel (n 4el"i. ?uterul din 4el"i le despac"eteaz, dup care le pune (n reeaua local, ca i cum lear fi primit de la vecinul imediat. *cesta este un fenomen foarte interesant, (n care date ale unui protocol sunt (mpac"etate (n pac"ete ale aceluiai protocolF /n analo%ia noastr anterioar, e ca i cum am de trimis cinci vederi din *merica (n 6oldova, dar pentru a nu plti cinci

timbre, le pun (ntr-un plic pe toate, le trimit cu pota unui amic din 6oldova, pe care (l ro% s le pun la Pota ?om>n, cu timbre mai ieftine. Protocolul folosit (n ambele cazuri e acelai, al sistemului potal, dar c(teodat transport scrisori (n scrisoriF n motiv pentru care corporaiile folosesc aceast metod, (n loc de a le%a direct cele dou reele prin Internet, este securitatea. *desea companiile restr(n% dramatic accesul la informaiile din interior, mai ales pentru a preveni pirateria informatic. *ccesul din e+terior (n reeaua I56 se poate face numai prin nite puncte (n%uste !ca punctul de vam de la frontier#, numite ,,perei de foc-- ! firewall#. n administrator permite un acces e+trem de limitat printr-un firewall, de pild doar pot electronic, dar nu i web sau ftp. Cu toate c accesul din e+terior !sau c"iar din interior spre afar# este strict limitat, datorit reelei private virtuale, calculatoarele din centrele I56 de pe cele dou continente pot comunica (ntre ele nestin%"erite, fr nici un fel de limitri cauzate de firewalls.

#$%&': reeaua de di(u)are

1 alt aplicaie e+trem de interesant a conceptului de tunel a fost construit prin teza de doctorat a lui $teve 4eerin%, la niversitatea $tanford. @ste vorba de difuzare. ?eeaua de televiziune funcioneaz prin difuzare !broadcast#3 un post emite i toat lumea recepteaz. /n cazul calculatoarelor comunicaia este punct-la-punct3 unul vorbete i unul sin%ur ascult. 4ar e+ist aplicaii ale calculatoarelor care ar beneficia de difuzare' de e+emplu teleconferinele (ntre mai muli participani. /n en%lez se face distincie (ntre difuzarea pe care o primete toat lumea !broadcast# i difuzarea pe care o primete doar o submulime dintre posibilii asculttori, de pild doar cei interesai. ltima se numete multicast. Implementarea difuzrii (n sine nu este o treab deosebit de %rea !vom vedea mai &os cum este ea realizat#' problema cea mai complicat este cum poate fi implementat difuzarea (n Internet, care este de&a construit i nu a fost conceput pentru a suporta aa ceva. *sta este o adevrat problem in%inereasc, pe care 4eerin% a rezolvat-o cu mult succes. $oluia lui 4eerin% cere cooperarea unora din ruterele din Internet, pentru a fi eficace. Pentru c nimeni nu poate sc"imba toate ruterele dintr-o reea cu :GG de milioane de calculatoare, care se (ntinde pe tot %lobul, soluia trebuie s funcioneze c"iar dac numai c(teva rutere sunt de acord s colaboreze, iar toate celelalte nu tiu nimic despre difuzare. Dom numi ruterele care particip la mbone rutere multicast. *ceste rutere sunt relativ puine, rsp(ndite (n toat lumea' sunt nite dispozitive e+perimentale. Totalitatea ruterelor multicast se numete ,,coloana vertebral de difuzare--, sau 6ulticast bac851.@, Mbone. 6bone este operaional din :HII !"ttp3//www.mbone.com#. Jarta curent a reelei este disponibil la "ttp3//www.cs.ber8ele2.edu/Kelan/mbone."tml. *i %"icit care este te"nolo%ia folosit) Cum se numete acest articol) 9i%ura L ilustreaz modul (n care funcioneaz 65one.

Figure *: ?eeaua virtual de difuzare 6ulticast 5ac85one. ?uterele care (nele% protocolul de rutare special folosit (n 6bone creaz (ntre ele tunele prin care-i trimit pac"etele de difuzare. n ruter din reeaua de difuzare multiplic un pac"et destinat mai multor calculatoare pentru fiecare vecin. Tunelurile !ilustrate cu linii %roase# formeaz o reea virtual, numit 6bone. ?uterele multicast sunt confi%urate de administratori s tie despre alte rutere multicast. 9iecare ruter multicast este confi%urat s comunice cu un anumit set de alte rutere multicast, BveciniiB si !de care se poate afla la distan foarte mare, de altfel#. n ruter multicast construiete c(te o le%tur virtual cu fiecare vecin, un tunel folosind protocolul IP. 4e aici (nainte ruterele multicast transmit pac"etele de difuzare numai prin aceste tunele. @le au impresia c sunt direct conectate unul cu altul, ca i cum restul Internetului nu ar mai e+istaF 4in cauza aceasta reeaua 65one este o reea virtual. Ca i reelele private virtuale, (n 65one doi vecini apareni pot fi de fapt la distane foarte mari, dar sunt le%ai de un tunel care le d iluzia de vecintate fizic. Principiile %enerale3 :. n anumit set de adrese din Internet, numite ,,adrese de clas 4-- sunt rezervate pentru difuzare. 9iecare adres de difuzare reprezint un %rup de asculttori ai unei sin%ure transmisiuni. <. 4ac un calculator vrea s asculte o anumit emisiune, tot ce are de fcut este s-i atribuie o astfel de adres i s anune ruterul cel mai apropiat din 6bone. L. ?uterele din 6bone (i transmit unul altuia informaii despre unde se afl calculatoare cu fiecare adres. /n fi%ura L, toate ruterele vor afla despre cele trei calculatoare cu adresa E.

M. $ presupunem c calculatorul * vrea s trimit o conferin video pentru adresa E. *tunci el trimite ruterului cel mai apropiat !?:# din 6bone pac"etele de transmis, folosind un tunel. =. *cest ruter tie care din vecinii lui au asculttori interesai de emisiune. /n fi%ura noastr acetia vor fi ?< i ?L. ?: ca atare face dou copii ale pac"etului iniial, i trimite c(te una fiecruia dintre vecini, prin tunelul stabilit. N. 9iecare ruter procedeaz mai departe, transmi(nd at(tea copii c(te tuneluri are, spre rutere interesate de pac"et. 4ac unul din vecinii unui ruter nu deservete nici un calculator cu adresa E !ca ?M din fi%ur#, atunci acel ruter nici nu primete o copie. O. Procesul se repet p(n pac"etele a&un% la toate destinaiile. 6etoda aceasta este deosebit de ele%ant, pentru c rezolv problema scalabilitii. 1bservai c efortul fiecrui participant pentru transmisiune este relativ mic pentru fiecare pac"et' (n nici un caz nu depinde de numrul de recipieni !ci doar de numrul de vecini#. Prin contrast, s ne ima%inm cum am fi rezolvat aceast problem dac nu aveam deloc rutere multicast la dispoziie. @i bine, atunci sursa trebuia s tie care sunt toi receptorii, i s desc"id c(te o le%tur pentru fiecare. *poi sursa trebuia s transmit fiecare pac"et de at(tea ori c(i receptori avea. *sta este clar o risip, pentru c cele mai multe pac"ete !identice# vor traversa aceleai le%turi (n mod inutil. 4ac sunt :G GGG de consumatori, aceasta ar depi capacitile at(t ale sursei, c(t i probabil ale le%turii sursei la reea.

#obile+,-: calculatoare .obile

/n fine, vom ilustra o ultim te"nolo%ie spectaculoas al tunelelor, cu o alt aplicaie care funcioneaz (n Internet i este (n curs de aprobare de ctre corpul de standardizare al Internetului, I@T9 !Internet @n%ineerin% Tas8 9orce#. Problema are de-a face cu calculatoarele care ,,se plimb--, care nu au o poziie fi+. 4e pild, dac zburm cu avionul cu un laptop, acest calculator ar putea fi (ntr-o zi (n @uropa, iar (n alta (n Paponia. Cum poate comunica acest calculator (n Internet ca i cum ar fi tot timpul le%at la aceeai reea) Problema provine din modul (n care adresele sunt atribuite i rutarea pac"etelor este fcut (n Internet' am consacrat un (ntre% articol (n trecut acestui subiect, aa (nc(t nu o s m repet aici. Ideea este c adresa unui calculator indic apro+imativ i locul %eo%rafic (n care acesta se afl' astfel, dac un calculator (i sc"imb poziia, pac"etele care-i sunt destinate nu (l mai pot %si. ! n calculator nu-i poate sc"imba adresa, pentru c asta este identitatea lui, dup care ceilali (l recunosc.# $oluia e+ist, este implementat, funcioneaz, i este ilustrat (n fi%ura M.

Figure /: 9uncionarea protocolului IP mobil3 un calculator mi%rator primete de la reeaua (n care a poposit o adres nou' ruterul de la reeaua lui de batin i de la reeaua %azd creaz un tunel prin care (i trimit pac"etele care i se cuveneau. Pentru a realiza comunicarea (n mod transparent cu un calculator mobil, ne trebuie colaborarea a dou rutere3 unul (n reeaua unde calculatorul se afl de obicei !reeauacas# i unul (n reeaua unde calculatorul se plimb !reeaua-%azd#. Iat cum funcioneaz protocolul, (n linii mari3 :. Calculatorul coboar din avion (n Paponia. @l emite un pac"et radio, zic(nd ,,cucu, am venit (n vizit din @uropa' e cineva acas)--' <. n ruter %azd aude acest pac"et. Prin anumite metode cripto%rafice, acest ruter se convin%e c, (ntr-adevr, acest calculator nu este un impostor, ci c"iar calculatorul european (n vizit' L. ?uterul-%azd ia le%tura cu ruterul-cas3 ,,"ai salut' un laptop de-al tu e pe la mine prin zon' m ocup eu de el--' prin anumite metode cripto%rafice ruterul cas se convin%e (ntr-adevr c nu vorbete nici el cu un impostor' M. ?uterul %azd (i rspunde calculatorului mobil3 ,,s-a aran&at3 de acum (nainte poi folosi adresa asta din Paponia, ca s primeti corespondena--' =. ?uterul-%azd i ruterul-cas construiesc un tunel (ntre ele' N. 4e fiecare dat c(nd ruterul-cas vede un pac"et pentru laptop-ul plecat, (n loc s-l trimit (n reeaua local, unde laptop-ul se afla iniial, (l ba% (n tunel, pentru ruterul Paponez' O. ?uterul &aponez e+tra%e din tunel pac"etele pentru vizitator i i le (nm(neaz la noua adres. 4in nou, analo%ia cu sistemul potal este perfect' este ca i cum vecinul de bloc are c"eia dvs. de la cutia potal, ia toate scrisorile pe care le primii, le ba% (ntr-un plic cu timbru de Paponia i le pune din nou la pot.

Conclu)ii
*m vzut (n acest te+t cum un mecanism e+trem de simplu IP, care transfer (n mod nefiabil date (ntre dou calculatoare, poate fi e+tins (n felurite moduri, pentru a construi mecanisme din ce (n ce mai sofisticate. *m vzut cum TCP ofer fiabilitate, tunelele ofer le%turi virtuale (ntre calculatoare distante, 6bone ofer difuzare cu cost redus, iar protocolul 6obile-IP ofer independen de poziie.