# Adressering(1): LAN

```{admonition} Concepten
MAC-adres, IP-adres, bus, Ethernet, WiFi, frame, collision, LAN-routering, switch, gateway
```

## Communicatie via fysieke verbindingen

```{sidebar} link-laag, hardware- of fysieke laag
In de internet protocol-stack heet de laag onder de netwerklaag met het IP-protocol, de *link-laag*.
Deze zorgt voor de daadwerkelijke fysieke verbinding.
Wij gebruiken hiervoor de term *fysieke laag* (of *hardware-laag*), omdat deze bestaat uit de hardware aangekleed met een protocol om deze bruikbaar te maken in de software. Dit is het laagste niveau dat gebruikt wordt door de software.
In de OSI protocol-stack bestaat deze laag uit de fysieke laag en de datalink-laag.
```

De eigenlijke communicatie gebeurt via de fysieke verbindingen (ook wel: link-laag), in het lokale netwerk Ethernet en WiFi.
Beide werken op basis van pakketcommunicatie, een Ethernet- of WiFi-pakket heet een *frame*.
Een Ethernet-frame bevat typisch maximaal ca. 1500 data-bytes.

Elk Ethernet- of WiFi-interface heeft een eigen MAC-adres: dit is een wereldwijd uniek adres, dat gebonden is aan dit interface (en daarmee aan het apparaat met dit interface).
Een apparaat kan meerdere netwerkinterfaces hebben, bijvoorbeeld een Ethernet-interface en een WiFi-interface. Zo'n apparaat heeft dan ook meerdere MAC-adressen.

Een Ethernet-frame bevat het MAC-adres van de afzender (source) en van de bestemming (destination). Met behulp van de *checksum* kan de bestemming controleren of het frame onbeschadigd ontvangen is.

```{figure} images/ethernet-frame.png
:width: 600px

Ethernet-frame
```

Ethernet werkt als een "bus": de "ether" is een gedeeld medium waar een apparaat als zender een bericht (frame) naar verstuurt dat door alle andere verbonden apparaten ontvangen wordt. Dit frame bevat het MAC-adres van de bestemming (destination) en van de afzender (source). De ontvanger met het bijbehorende bestemmings-MAC-adres verwerkt het bericht; de andere apparaten negeren het.

```{figure} images/ethernet-bus.png
:width: 600px

Ethernet als *bus*
```

Als de inhoud van een frame niet versleuteld is kunnen de andere apparaten in het lokale netwerk dit bericht afluisteren. Als je dat niet wilt, zul je versleuteling moeten gebruiken.

**Collisions.** Voordat een apparaat een bericht stuurt naar de Ethernet "bus", controleert dit eerst of deze vrij is. Pas als deze vrij is, mag het bericht verstuurd worden. Maar twee apparaten kunnen op hetzelfde moment concluderen dat de bus vrij is, en tegelijk een bericht versturen. In dat geval is er sprake van een botsing ofwel *collision*: het bericht van het ene apparaat verstoort dat van het andere apparaat. Beide apparaten kunnen detecteren dat er sprake is van zo'n collision (*collision detection*), en stoppen dan met het versturen. Daarna wachten beide apparaten *een random periode* voordat ze het opnieuw proberen.

Dergelijke collisions gebruiken de bus zonder dat er gegevens overgestuurd worden: de capaciteit van de Ethernet-verbinding neemt hierdoor af. Als er veel actieve apparaten op een Ethernet-verbinding aangesloten zijn, kan de normale communicatie sterk gehinderd worden door deze collisions. Een mogelijke oplossing is om de Ethernet-verbinding te splitsen in meerdere segmenten die verbonden worden door een *switch*. Berichten met een afzender en een bestemming binnen hetzelfde segment komen dan niet voorbij deze switch. Deze switch zorgt voor de "routering" van Ethernet-frames tussen de verschillende segmenten.

WiFi-communicatie gebeurt in grote lijnen op dezelfde manier: ook hier is sprake van een gedeeld medium, maar dan via radiocommunicatie.

**Time multiplexing en frequency multiplexing.** Het gebruik van pakketcommunicatie zorgt ervoor dat een verbinding "tegelijk" gebruikt kan worden voor meerdere communicaties. Bijvoorbeeld, PC-1 kan een bestand naar de printer sturen, terwijl "tegelijkertijd" PC-2 een bestand van de netwerijschijf (NAS) ophaalt. In werkelijkheid worden beide communicaties in kleinere pakketten (frames) gesplitst, die afwisselend de gedeelde Ethernetverbinding gebruiken. Deze vorm van delen van een gedeeld medium in de tijd heet ook wel *time multiplexing*. In het geval van WiFi komt daarbij ook nog *frequecy multiplexing*: er kunnen meerdere gelijktijdige communicaties plaatsvinden via verschillende *radiokanalen* (frequenties).

**Beveiliging van het netwerk.** Een bedraad Ethernet-netwerk is alleen toegankelijk voor apparaten die hiermee verbonden zijn. Een radionetwerk zoals WiFi wordt meestal afgeschermd door versleuteling met een wachtwoord. Zonder een dergelijke afscherming is het netwerk voor iedereen in de buurt toegankelijk. Deze WiFi-versleuteling verhinderd alleen dat apparaten ongewenst verbinding met het netwerk maken. Deze beschermt apparaten in het netwerk niet tegen elkaar.

In principe kan een apparaat in het netwerk alle berichten ontvangen. Alleen versleuteling van de data door een protocol van een hogere laag kan afluisteren van de inhoud voorkomen.

## Lokale IP-communicatie

De communicatie van IP-pakketten gebeurt in het lokale netwerk op basis van de Ethernet- en WiFi-verbindingen. Een IP-pakket wordt hiervoor ingepakt in een Ethernet- of WiFi-frame, wat voorzien moet worden van de juiste MAC-adresssen.

```{figure} images/ip-in-ethernet-frame.png
:width: 600px

IP-pakket ingepakt in een Ethernet frame
```

Bij het versturen van een IP-pakket vanuit een computer (host) moet eerst bepaald worden of dit een IP-adres in het lokale netwerk is, of een adres in een ander netwerk. Dit gebeurt aan de hand van het *netmasker*: dit geeft aan welke bits tot de netwerp-prefix van het adres horen, en welke het host-adres in het netwerk vormen.

Als de netwerk-prefix van de bestemming verschilt van de eigen netwerk-prefix van de host, dan is het pakket voor een ander netwerk bestemd. In dat geval wordt het IP-pakket ingepakt in een Ethernet- of Wifi-frame naar het MAC-adres van de lokale gateway gestuurd, die voor de verdere routering zorgt.

```{admonition} Voorbeeld
Hett netmasker is 255.255.255.0, en het IP-adres van de host is 192.168.3.42. Dit betekent dat de netwerkprefix 192.168.3.0 is, en het host-deel van het adres 42.

IP-adres 192.168.3.27 valt in hetzelfde netwerk. IP-adres 192.168.7.27 valt in een ander netwerk, net als 27.63.12.13. 
```

Een pakket voor het lokale netwerk wordt ingepakt in een Ethernet- of Wififrame direct naar het MAC-adres van de bestemming gestuurd.

Hoe weet een apparaat het MAC-adres van een ander apparaat in het lokale netwerk, op basis van het IP-adres daarvan?
Elk apparaat houdt daarvoor een tabel bij met lokale IP-adressen en bijbehorende MAC-adressen.
Om deze tabel te vullen voor een bepaald IP-adres, stuurt het apparaat een verzoek naar alle andere apparaten in het netwerk (*broadcast*), met daarin het gezochte IP-adres.
Het apparaat met dit gezochte IP-adres stuurt een antwoord terug met daarin het eigen MAC-adres ingevuld. (Address Resolution Protocol, ARP).

## Communicatie met het internet: NAT

Een IP-pakket bestemd voor een apparaat buiten het lokale netwerk wordt ingepakt in een Ethernet- of WiFi-frame naar de gateway. De gateway stuurt dit pakket dan via de WAN-verbinding van het ISP-netwerk door naar de eerstvolgende router/gateway in het pad naar de bestemming.

De lokale router/gateway gebruikt hierbij vaak Network Address Translation (NAT). In het lokale netwerk worden "private" IP-adresssen gebruikt, bijvoorbeeld 192.168.4.23. Zo'n adres is onbruikbaar in het publieke internet. De gateway vervangt daarom het afzender-IP-adres van een uitgaand pakket door het eigen IP-adres in het ISP-netwerk. Dit is wel een publiek IP-adres.

Op een uitgaand pakket volgt vaak een antwoord van het apparaat elders in het internet. Hoe kan de gateway er dan voor zorgen dat dit antwoord bij het juiste apparaat in het lokale netwerk terecht komt? Immers, alle lokale apparaten delen hetzelfde publieke IP-adres.

```{margin}
Bekende poortnummers zijn bijvoorbeeld 80 (HTTP: webserver), 443 (HTTPS: webserver), 22 (SSH: secure shell).
```

De oplossing hiervoor is om deze NAT-vertaling niet (alleen) op het niveau van IP-pakketten te doen, maar ook op het niveau direct daarboven: van de UDP-datagrammen (berichten) en TCP-segmenten. Deze "hoger-niveau pakketten" bevatten een extra adres: het host-poortnummer. Het UDP- of TCP-protocol gebruikt dit poortnummer om aan te geven welke toepassing op de host aan deze communicatie gekoppeld is.

```{figure} images/udp-in-ip-pakket.png
:width: 600px

UDP-datagram ingepakt in een IP-pakket
```

Bij de NAT-vertaling wordt de lokale combinatie (IP-adres, poortnummer) omgezet in een publieke combinatie (gateway publiek IP-adres, poortnummer). Bij ontvangst van een inkomend bericht voert de gateway de omgekeerde omzetting uit.

| lokaal IP-adres | lokaal poortnr | publiek IP-adres | publiek poortnr |
| --:             |  --:           |   --:            | --:             |
| 192.168.4.23    | 8010           | 94.231.226.38    | 8113            |
| 192.168.4.37    | 8010           | 94.231.226.38    | 8117            |
| 192.168.4.23    | 3712           | 92.231.226.38    | 8114            |
| 192.168.4.30    | 3720           | 92.231.226.38    | 3512            |

Zoals je ziet delen alle lokale computers hetzelfde publieke IP-adres: het adres van de gateway. Alleen aan de hand van de (UDP, TCP, etc.) poortnummers kan de gateway het onderscheid maken, bij het ontvangen van een pakket "van buiten".

Deze tabel wordt ingevuld door de gateway: voor een uitgaand pakket met een nieuwe (IP-adres, poortnummer) combinatie wordt een nieuw publiek poortnummer toegewezen.

### Van publiek internet naar lokaal netwerk

NAT-vertaling werkt op zich prima voor het lokale verkeer naar het internet, zoals bij het gebruik van (web)servers in het internet.
Maar op deze manier is een apparaat in het lokale netwerk niet van buiten te bereiken.
Dat kan een probleem zijn bijv. voor bepaalde games; of als je een lokale computer wilt gebruiken als web- of file-server in het publieke internet.

Een oplossing hiervoor is het *openzetten van een poort* (port sharing): je kunt voor de combinatie van een lokaal (IP-adres, poortnr) een publiek poortnr in deze tabel zetten.
Via deze publieke poort is je lokale apparaat dan van buiten bereikbaar.
Dit kan gevolgen hebben voor de veiligheid van het netwerk: als de besturing van een computer in het netwerk van buiten overgenomen kan worden, is het hele lokale netwerk toegankelijk.
 