Eksamensprediksjon 9 av 11 · våren 2026 · MOCK

Prediksjon 9 — «Mock vår 2026 — eks_5-skinnen»

Hvis fagstaben har en fast skinne — og det har de — så er det eks_5 (vår 2025) som er malen for vår 2026. Strukturen er nesten identisk år for år: én stor flervalgsblokk, så fire–fem åpne oppgaver i en bestemt rekkefølge. Dette settet kopierer strukturen til eks_5 nøyaktig, men bytter alle tall, navn og scenarier slik at du ikke kan svare fra hukommelse — du må kjøre formelen. Wireshark er fjernet (eks-info bekrefter at det ikke kommer i år) og erstattet med en NTNU-protokollkjede-oppgave. Total: 100 poeng på 4 timer.

Strategi for dette settet
  • Tid: 4 timer for 100 poeng = 2,4 min/poeng. Del I (48p) skal ta ca. 60 min — 4 min per spørsmål. Hvis du står fast: gjett, marker, gå videre.
  • Skriv formel-bannerne: L/R, (N+P−1)·L/R, 232−x−2, N(N−1)/2, F/us, F/dmin, NF/(us+Σui), NF/us. Legg dem synlig på pulten først.
  • De fem returoppgavene i Del II: Flow vs Congestion (8p), NTNU-protokollkjede (12p), Lengste prefiks-match + forwarding/routing-forskjeller (12p), HTTP-ytelse i tre modi (12p), Brannmur (6p). Disse fem dekker mer enn 50 % av Del II-poengene historisk.
  • Realitetssjekk: hvis svaret ditt på en P2P-oppgave er < 0,1 s eller > flere timer for normale tall — du har sannsynligvis blandet enheter (Mbit vs Mbyte vs MB).

Del I — Flervalg (Q1)

16 spørsmål · 3 poeng per spørsmål · 48 poeng

Eks_5 hadde 25 flervalg i Q1 (50p). Vi har komprimert til 16 (3p hver) som dekker samme bredden — fire per kapittel-blokk: Kap 1, Kap 2–3, Kap 4–5, Kap 6–7, Kap 8–9.

Spørsmål 1 3 poeng Kap. 1 · Pakke- vs kretskobling

Hvilket utsagn om pakkesvitsjede vs kretssvitsjede nett er korrekt?

  • A Et kretssvitsjet nett kan ikke garantere endelig båndbredde for varigheten av en samtale; et pakkesvitsjet nett kan.
  • B Forsinkelses­variasjonen mellom pakker i et kretssvitsjet nett er typisk større enn i et pakkesvitsjet nett.
  • C Både kretssvitsjede og pakkesvitsjede nett kan tilby forbindelses­orienterte tjenester.
  • D Pakkesvitsjing og kretssvitsjing bruker ende­system­adressen på samme måte.
Vis fasit
Riktig svar: C

Kretsen i kretssvitsjing er forbindelses­orientert per definisjon (krever oppsett før data sendes). TCP er forbindelses­orientert over et pakkesvitsjet nett — så pakkesvitsjede nett kan også tilby forbindelses­orienterte tjenester på transportlaget.

A er motsatt: kretssvitsjede nett gir båndbredde­garanti, ikke pakkesvitsjede. B er motsatt: kretsens dedikerte ressurs gir liten jitter; det er pakkesvitsjede nett som har stor varias­jon. D er feil — pakkesvitsjing bruker destinasjons­adresse i hver pakke; kretssvitsjing bruker den bare ved oppsett.

Pensum: Kap. 1.3 — Pakke- vs kretskobling

Spørsmål 2 3 poeng Kap. 1 · Throughput

En klient laster ned en fil fra en server gjennom én ruter. La R1 være raten mellom server og ruter, og R2 raten mellom ruter og klient. Server-til-klient maks gjennom­strømning er:

  • A (R1 + R2) / 2
  • B R1 + R2
  • C max(R1, R2)
  • D min(R1, R2)
Vis fasit
Riktig svar: D — min(R1, R2)

Båndbredden langs en sti er bestemt av flaske­halsen — den minste lenken. Hvis R1 = 1 Gbps og R2 = 100 Mbps, kan hele stien aldri levere mer enn 100 Mbps i steady state, fordi ruteren ikke får sendt raskere enn R2.

Felle: A og B antar at ressursene «summerer seg» — det gjør de bare ved parallelle stier (multipath), ikke en enkelt sti.

Pensum: Kap. 1.4 — Throughput

Spørsmål 3 3 poeng Kap. 1 · Linjesvitsj-tid

En fil på 2 millioner byte sendes over et kretssvitsjet nett. Det tar 0,8 s å sette opp en ende-til-ende-krets. Kretsen går gjennom 3 lenker, og hver lenke gir kretsen en rate på 200 kbps. Propagering ignoreres. Minste tid?

  • A 80,8 s
  • B 240 s
  • C 240,8 s
  • D 0,8 + 6,67 s ≈ 7,5 s
Vis fasit
Riktig svar: A — 80,8 s

I en krets er raten dedikert ende-til-ende — du betaler L/R kun én gang for hele filen, ikke per lenke (kretsen sender kontinuerlig).

Setup = 0,8 s. L/R = 2·106·8 / 200·103 = 16·106 / 200·103 = 80 s. Total = 0,8 + 80 = 80,8 s.

Felle: B og C ganger med antall lenker (3·80 = 240) — det ville være pakke­svitsjet store-and-forward, ikke krets.

Pensum: Kap. 1.3 — Krets-svitsjing

Spørsmål 4 3 poeng Kap. 1 · Lagdeling

Hvorfor brukes protokoll-lagdeling i datanett?

  • A Det forhindrer at ett lag dupliserer funksjonalitet fra et lavere lag.
  • B Kapsling er den mest effektive måten å overføre data på.
  • C Det gjør gjenbruk og oppdatering av komponenter enkelt — modulær struktur.
  • D Det holder nettet strukturert slik at det kjører raskere.
Vis fasit
Riktig svar: C

Lagdeling = modulær abstraksjon. Hvert lag løser sin oppgave, eksponerer et grensesnitt opp, bruker tjenestene under. Du kan bytte ut TCP med en annen transport uten å røre HTTP — eller bytte ut WiFi med Ethernet uten å røre IP. Dette gjør utvikling og evolusjon mulig.

Felle: D er en utbredt misforståelse. Lagdeling gir strukturell klarhet, men kan faktisk være en ytelses­overhead (kapsling/dekapsling per lag). Den gjør ikke nettet raskere.

Pensum: Kap. 1.5 — Protokoll-lagdeling

Spørsmål 5 3 poeng Kap. 2 · Applikasjonsprotokoller

Hvilken av følgende er ikke en applikasjonslag-protokoll?

  • A SMTP
  • B DNS
  • C ARP
  • D FTP
Vis fasit
Riktig svar: C — ARP

ARP (Address Resolution Protocol) sitter i lenkelaget — det oversetter IP til MAC innen et lokalt subnett. ICMP er også ikke applikasjon (det er nettverkslag, bæres direkte i IP).

SMTP, DNS og FTP er applikasjons­protokoller. Andre eksempler: HTTP, IMAP, POP3, SSH, BitTorrent.

Pensum: Kap. 2 — Applikasjons­laget

Spørsmål 6 3 poeng Kap. 2 · P2P

Distribuér en fil F = 200 Mbit til N = 50 peers i et P2P-nett. Server­opplastning us = 50 Mbps, hver peer har ui = 4 Mbps og di = 8 Mbps. Minste distribusjons­tid?

  • A 4 s
  • B 25 s
  • C 40 s
  • D 200 s
Vis fasit
Riktig svar: C — 40 s

Dp2p = max(F/us, F/dmin, NF/(us+Σui)).

  • F/us = 200/50 = 4 s
  • F/dmin = 200/8 = 25 s
  • NF/(us+N·ui) = 50·200/(50 + 50·4) = 10 000/250 = 40 s

Maks = 40 s. Total system­opplastning er flaskehalsen her.

Pensum: Kap. 2.6 — P2P-fildistribusjon

Spørsmål 7 3 poeng Kap. 3 · TCP-segmenter

Host A og B kommuniserer over TCP. B har mottatt alle byte opp til byte 600. A sender to segmenter back-to-back. Første segment: sekvensnr=601, kilde-port=4000, dest-port=80, og 80 byte data. Andre segment: 120 byte data. Hva er (sekvensnr, kilde-port, dest-port) i andre segment?

  • A (681, 4000, 80)
  • B (681, 80, 4000)
  • C (801, 4000, 80)
  • D (601, 4000, 80)
Vis fasit
Riktig svar: A — (681, 4000, 80)

Sekvensnr i andre segment = sekvensnr1 + lengde1 = 601 + 80 = 681. Begge segmenter går samme retning (A→B), så portene er uendret.

Felle: B er ACK-en B→A (motsatt retning); C teller med begge segment­lengder; D er identisk med første.

Pensum: Kap. 3.5 — TCP-segmenter

Spørsmål 8 3 poeng Kap. 3 · UDP/TCP

Hvilken av følgende påstander er SANN?

  • A FTP bruker UDP som underliggende transport.
  • B Både UDP og TCP gir pålitelig data­overføring.
  • C Både UDP og TCP er forbindelses­orienterte protokoller.
  • D I Go-Back-N kan avsenderen sende flere pakker (når tilgjengelig) uten å vente på ACK fra mottakeren.
Vis fasit
Riktig svar: D

GBN er nettopp et glide­vindu-skjema: avsenderen kan ha N usent-bekreftede pakker «in flight» samtidig. Det er det som skiller det fra Stop-and-Wait.

A er feil — FTP bruker TCP. B er feil — UDP gir best effort, ikke pålitelighet. C er feil — UDP er forbindelses­løs.

Pensum: Kap. 3.4 — Reliable Transfer / GBN

Spørsmål 9 3 poeng Kap. 4 · IP-adressering

Den binære representasjonen av IP-adressen 129.241.103.12 er:

  • A 10000001 11110001 01100111 00001100
  • B 10000001 11110001 01100110 00001100
  • C 10000001 11100001 01100111 00001100
  • D 10000001 11110001 01100111 00001000
Vis fasit
Riktig svar: A
  • 129 = 128 + 1 = 10000001
  • 241 = 128 + 64 + 32 + 16 + 1 = 11110001
  • 103 = 64 + 32 + 4 + 2 + 1 = 01100111
  • 12 = 8 + 4 = 00001100

Felle: C bytter én bit i andre oktett (241 vs 225); B endrer tredje (103 vs 102); D endrer fjerde (12 vs 8).

Tips: husk vekting 128-64-32-16-8-4-2-1 og bygg hver oktett separat.

Pensum: Kap. 4.3 — IP-adressering

Spørsmål 10 3 poeng Kap. 4 · Subnetting

Du har fått blokken 200.23.16.0/23. Du vil tildele et subnett som rommer minst 120 grensesnitt. Hvilken /x-tildeling fungerer (a.b.c/x)?

  • A 200.23.16.0/26
  • B 200.23.16.0/25
  • C 200.23.17.0/25
  • D Både B og C
Vis fasit
Riktig svar: D — Både B og C

Behovet er minst 120 brukbare verts­adresser. /25 gir 27−2 = 126 brukbare. /26 gir bare 62. Så det må være minst /25.

Begge B (200.23.16.0/25) og C (200.23.17.0/25) er gyldige tildelinger innenfor 200.23.16.0/23 (som dekker 16.0 – 17.255 = 512 adresser, splittbar i to /25-er).

Felle: A har for få verter (62 < 120).

Pensum: Kap. 4.3 — CIDR og VLSM

Spørsmål 11 3 poeng Kap. 4 · DHCP

Hvilket utsagn om DHCP er FEIL?

  • A DHCP er en klient-server-protokoll.
  • B DHCP lar en host motta en IP-adresse automatisk.
  • C DHCP gjør det umulig for en host å motta samme IP hver gang den kobles til.
  • D DHCP bruker lenkelags-broadcast ved oppstart.
Vis fasit
Riktig svar: C — DET ER FEIL

DHCP gir typisk samme IP til samme host ved «sticky» lease (basert på MAC). Det er mulig å få samme IP hver gang. Påstand C er altså usann — derfor er den «feil»-utsagnet.

A, B, D er alle korrekte. DHCP discover sendes som broadcast fordi klienten ikke har IP enda.

Pensum: Kap. 4.3 — DHCP

Spørsmål 12 3 poeng Kap. 4 · IPv4/IPv6

Hvilket utsagn om IPv4 og IPv6 er FEIL?

  • A IPv6 har et mye større adresserom enn IPv4.
  • B IPv4-headeren har et checksum-felt; IPv6-headeren har det ikke.
  • C IPv6 er mindre pålitelig enn IPv4 til å transportere datagrammer.
  • D Både IPv4 og IPv6 er forbindelses­løse.
Vis fasit
Riktig svar: C — DET ER FEIL

Begge er forbindelses­løse, begge gir best effort. IPv6 er ikke mindre pålitelig — den er like best-effort som IPv4. Pålitelighet er TCPs ansvar i begge tilfeller.

A, B, D er alle korrekte. IPv6 lar heller ikke mellomliggende rutere fragmentere; det er kun avsenderen som kan, basert på Path MTU Discovery.

Pensum: Kap. 4.3 — IPv6

Spørsmål 13 3 poeng Kap. 6 · ARP

Det er ____ sin oppgave å oversette mellom IP-adresser og MAC-adresser.

  • A ARP (Address Resolution Protocol)
  • B DNS (Domain Name System)
  • C NAT (Network Address Translator)
  • D ICMP
Vis fasit
Riktig svar: A — ARP

ARP er en lenkelag-protokoll som vedlikeholder en lokal IP→MAC-tabell. Når en host vil sende til IP X i samme subnett, ARP-broadcaster den «hvem har IP X?». Hosten med IP X svarer med sin MAC. Så kan rammen sendes lag-2 med korrekt MAC.

Felle: DNS oversetter navn til IP, ikke IP til MAC. NAT oversetter mellom IP-adresser (privat/offentlig).

Pensum: Kap. 6.4 — ARP

Spørsmål 14 3 poeng Kap. 7 · 802.11 MAC

Hvilket av følgende elementer er IKKE en del av 802.11 MAC for trådløse LAN?

  • A CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)
  • B CSMA/CD (Carrier Sense Multiple Access with Collision Detection)
  • C Eksplisitt ACK
  • D RTS/CTS (Request-to-Send / Clear-to-Send)
Vis fasit
Riktig svar: B — CSMA/CD

WiFi bruker CSMA/CA, ikke CSMA/CD. To grunner: (1) signal-asymmetri — mottatt signal er typisk mye svakere enn sendt, så det er kostbart å detektere kollisjon mens man sender, og (2) skjult terminal og fading betyr at en kollisjon ved mottakeren ikke nødvendigvis kan oppdages av senderne.

CSMA/CD er for kabel-Ethernet, hvor sender kan lytte mens den sender og avbryte raskt ved kollisjon.

A, C og D er alle del av 802.11. DIFS (Distributed Inter-Frame Space) er også med.

Pensum: Kap. 7.3 — 802.11 MAC

Spørsmål 15 3 poeng Kap. 8 · Sikkerhetsmål

Hvilket av følgende er IKKE en ønsket egenskap for sikker kommunikasjon?

  • A Konfidensialitet
  • B Meldings­integritet
  • C Endepunkt-autentisering
  • D Offentlig­nøkkel-kryptografi
Vis fasit
Riktig svar: D — Offentlig­nøkkel-kryptografi

Offentlig nøkkel er et verktøy til å oppnå konfidensialitet/integritet/autentisering — ikke et mål i seg selv. Du kan også oppnå disse målene med symmetrisk kryptografi.

De fire klassiske sikkerhetsmålene er: konfidensialitet, meldings­integritet, autentisering, og operasjonell sikkerhet (tilgjengelighet, beskyttelse mot DoS).

Felle: D «høres bra ut» fordi PKI er sentralt i moderne sikkerhet, men spørsmålet ber om mål, ikke teknikker.

Pensum: Kap. 8.1 — Hva er sikkerhet

Spørsmål 16 3 poeng Kap. 9 · Playout-buffer

En videoserver sender første blokk på tid t0, andre på t0, tredje på t0+2Δ, … Når klienten har plukket opp avspilling skal hver blokk spilles av Δ tids­enheter etter forrige. Klient starter avspilling ved t1+2Δ — altså med 2Δ playout-forsinkelse mer enn første blokks ankomsttid t1. Hvilke av blokkene 1–8 (1-indekserte) rekker frem i tide for sin avspilling, gitt at blokk i ankommer i intervallet [t1 + (i−1)Δ, t1 + (i−1)Δ + jitteri] der jitter (i tids­enheter Δ) for de 8 blokkene er hhv. 0, 1, 4, 1, 2, 0, 3, 1?

  • A Bare blokk 1
  • B Blokkene 1, 2, 4, 5, 6, 8 (alle med jitter ≤ 2Δ)
  • C Blokkene 1, 2, 4, 6, 8
  • D Alle 8 blokkene
Vis fasit
Riktig svar: B — Blokkene 1, 2, 4, 5, 6, 8

Avspillingstid for blokk i = t1 + 2Δ + (i−1)Δ. Forventet ankomst = t1 + (i−1)Δ. Tilgjengelig buffer = avspilling − forventet ankomst = .

En blokk «rekker frem» hvis jitter ≤ 2Δ:

  • Blokk 1 (jitter 0): ✓
  • Blokk 2 (jitter 1): ✓
  • Blokk 3 (jitter 4): ✗ for sent
  • Blokk 4 (jitter 1): ✓
  • Blokk 5 (jitter 2): ✓ (akkurat på grensen)
  • Blokk 6 (jitter 0): ✓
  • Blokk 7 (jitter 3): ✗ for sent
  • Blokk 8 (jitter 1): ✓

Tips: playout-buffer = «forsinkelses­putten» som tillater jitter opp til buffer­størrelsen.

Pensum: Kap. 9.3 — Playout-buffer

Del II — Åpne oppgaver

5 oppgaver · 52 poeng totalt

Følger eks_5-skinnen: Q2 Flow vs Cong, Q3 protokoll-kjede (erstatter Wireshark), Q4 forwarding/routing, Q5 HTTP, Q6 brannmur. Vis utregning — sensor gir delpoeng for korrekt metode selv ved tallfeil.

Oppgave 1 10 poeng Kap. 3 · Flow vs Congestion

a) Forklar kort tre nøkkelforskjeller mellom flytkontroll og overbelastnings­kontroll i TCP. (6p)

b) Foruten transport­laget — hvilke andre lag (fysisk, lenke, nettverk) har lignende konsept(er)? Begrunn kort. (4p)

Vis fasit

a) Tre forskjeller flow vs congestion control:

  1. Hvem styres: flytkontroll regulerer avsenderen mot mottakeren (mottakers buffer skal ikke fylles); overbelastnings­kontroll regulerer avsenderen mot nettverket (rutere/lenker skal ikke overbelastes).
  2. Signal: flytkontroll bruker rwnd-feltet i ACK-headeren — mottakeren sier eksplisitt hvor mye plass den har. Overbelastnings­kontroll bruker indirekte signaler — pakketap (timeout/3 dup ACK) og evt. ECN.
  3. Mekanisme: flytkontroll er en hard øvre grense (sender følger rwnd direkte). Overbelastnings­kontroll er probing — TCP øker cwnd til den ser tap, så reduserer (AIMD: additive increase, multiplicative decrease).

b) Andre lag:

  • Lenke­laget har flytkontroll i pålitelige protokoller — Stop-and-Wait, Go-Back-N, Selective Repeat — der mottakers vindu begrenser senderen. Overbelastnings­kontroll-lignende konsept finnes i ATM-ABR (Available Bit Rate), som var et tidlig eksempel på eksplisitt rate-feedback. Også 802.11 har back-off ved kollisjon, som er en form for adaptive rate-regulering.
  • Nettverkslaget har ECN (Explicit Congestion Notification) som et signal som rutere kan sette i IP-headeren — TCP-mottakeren reflekterer dette tilbake til avsender. Klassisk drop-tail og RED i ruter-køer er også «trafikk­regulering» i en bredere forstand.
  • Fysisk lag har ingen direkte analog. Adaptiv modulasjon og koding (WiFi/4G/5G) er rate-tilpasning til kanal­kvalitet, ikke trengsels­håndtering i streng forstand.

Pensum: Kap. 3.7 — TCP overbelastnings­kontroll

Oppgave 2 12 poeng Kap. 2–8 · Protokollkjede

Du er nyansatt på NTNU og kommer til kontoret for første gang. Du plugger inn nettverks­kabelen i veggen, åpner Outlook og sender en e-post til kompis@uib.no. Beskriv stegene fra du plugger inn kabelen til e-posten er på vei mot UiB. For hvert steg, oppgi:

  • Hovedprotokollen som brukes
  • Hvilket lag protokollen tilhører
  • Hva som oppnås

Inkluder minst de stegene som trengs for å få: (i) IP-konfigurasjon, (ii) lenkelags-adresse til første hopp, (iii) IP-adresse til UiB sin mailserver, (iv) selve e-post-overføringen. Hvordan henter mottakeren ut e-posten?

Vis fasit

Steg-for-steg-kjede:

  1. DHCP — applikasjonslag (over UDP). Klienten broadcaster DHCP discover på lenke­laget. NTNU sin DHCP-server svarer med tilbud (offer); klient ber om (request); server bekrefter (ack). Klient mottar IP-adresse, subnet-maske, default gateway-IP og IP til DNS-server. (4-stegs handshake.)
  2. ARP — lenkelag. Klienten skal sende ut til DNS-server eller default gateway, men har bare deres IP, ikke MAC. ARP-broadcast «hvem har IP X?» og hosten/ruteren svarer med MAC. ARP-tabellen blir cachet.
  3. DNS — applikasjonslag (over UDP). Klienten spør sin DNS-server: «hva er MX-recordet for uib.no?» (mailserver-record). Lokal DNS-server kontakter rotservere → no-TLD-server → autoritativ DNS for uib.no → returnerer mailserverens hostname og IP. Klienten kan nå nå SMTP-serveren for utsendelse.
  4. SMTP — applikasjonslag (over TCP, port 25/587). Outlook (eller NTNU sin SMTP-relayer) åpner TCP til smtp.uib.no og bruker SMTP-kommandoer (HELO, MAIL FROM, RCPT TO, DATA). Vanligvis går mailen via NTNU sin egen SMTP-tjener først, som gjør et nytt SMTP-oppslag mot uib.no sin innkommende SMTP/MX.
  5. (Valgfritt): Hvis NTNU bruker autentisering på SMTP-relayen og kryptering — det skjer typisk via SMTP submission på port 587 + STARTTLS, eller via SMTPS på port 465. Da brukes TLS (kap 8.6) på toppen av TCP for konfidensialitet.
  6. IMAP eller POP3 (eller HTTP over webmail) — applikasjonslag, over TCP. Mottakeren på UiB henter mailen fra sin egen mailserver enten ved hjelp av IMAP (lar mailen ligge på server, mappe-orientert), POP3 (last ned + slett), eller HTTPS hvis han bruker webmail.

Lag-oversikt (fra topp):

  • Applikasjon: DHCP, DNS, SMTP, IMAP/POP3/HTTP
  • Transport: UDP (DHCP, DNS), TCP (SMTP, IMAP, HTTP)
  • Nettverk: IP, ICMP
  • Lenke: Ethernet/802.3 (eller WiFi/802.11), ARP

Pensum: Kap. 2 — E-post · Kap. 4.3 — DHCP · Kap. 6.4 — ARP

Oppgave 3 12 poeng Kap. 4–5 · Forwarding & Routing

En ruter har følgende videresendings­tabell:

Adresse/maskeNeste hopp
129.241.0.0/16Interface 0
129.241.100.0/22Interface 1
129.241.103.0/24Interface 2
10.0.0.0/8Interface 3
DefaultInterface 4

a) For hver av følgende destinasjons-IP, hvilket interface velges? Vis hvilket prefiks som matcher og hvorfor det er lengst. (6p)

  1. 129.241.103.55
  2. 129.241.101.10
  3. 129.241.50.5
  4. 10.20.30.40
  5. 8.8.8.8

b) List tre nøkkelforskjeller mellom forwarding og routing. (6p)

Vis fasit

a) Lengste prefiks-match:

IPMatchende prefiks(er)LengstInterface
129.241.103.55/16, /22, /24/24Interface 2
129.241.101.10/16, /22/22Interface 1
129.241.50.5/16/16Interface 0
10.20.30.40/8/8Interface 3
8.8.8.8(ingen)defaultInterface 4

Forklaring 129.241.101.10: 101 er ikke i 103.0/24, men 101 er i 100.0/22 (som dekker 100, 101, 102, 103). Så /22 matcher, /24 ikke.

b) Tre nøkkelforskjeller forwarding vs routing:

  1. Tids­skala: forwarding skjer per pakke i nanosekunder (datapath, ASIC/maskinvare). Routing kjører i bakgrunnen i sekunder eller minutter (kontroll­plan, programvare).
  2. Lokasjon i ruteren: forwarding skjer i datapath (input port → switch fabric → output port). Routing skjer i kontroll­planet, hvor ruteren snakker med andre rutere via OSPF/BGP/RIP og bygger ruting­tabellen.
  3. Avhengighets­retning: routing fyller videresendings­tabellen; forwarding bruker den. Forwarding er lokal (denne ruterens valg av utport for én pakke). Routing er global (banevalg gjennom hele nettet).

Pensum: Kap. 4.1 — Forwarding · Kap. 5 — Routing

Oppgave 4 12 poeng Kap. 2 · HTTP-ytelse

Du klikker en lenke. Side er 300 kbit og inneholder 10 innebygde objekter à 100 kbit. Server har RTT = 200 ms til klienten. Lenke = 50 Mbps. GET-meldingen har neglisjerbar overførings­tid. Inkluder TCP-håndtrykket (1 RTT) for hver ny forbindelse.

a) Non-persistent HTTP, ingen parallelle. Vis utregningen for total responstid. (4p)

b) Non-persistent HTTP, parallelle (én forbindelse per innebygd objekt; base først). (4p)

c) Persistent HTTP uten pipelining. (4p)

Vis fasit

Forarbeid:

  • Lbase/R = 300·103 / 50·106 = 6 ms
  • Lobj/R = 100·103 / 50·106 = 2 ms

Per objekt non-persistent: 1 RTT (TCP-oppsett) + 1 RTT (request-respons setup) + L/R = 2·RTT + L/R. Det er den klassiske formelen: 2·RTT + L/R.

a) Non-persistent uten parallell:

Total = (2·RTT + Lbase/R) + 10·(2·RTT + Lobj/R) = (400 + 6) + 10·(400 + 2) = 406 + 4 020 = 4 426 ms ≈ 4,4 s.

b) Non-persistent med parallell:

Base hentes alene (ingen alternativ): 2·RTT + Lbase/R = 406 ms. Så åpnes 10 parallelle forbindelser samtidig for de 10 innebygde objektene. Hver tar 2·RTT + Lobj/R = 402 ms (parallell tid = max-tid for én av dem, ikke sum).

Total = 406 + 402 = 808 ms.

Forenkling: her tilgir vi at de 10 parallelle TCP-strømmene må dele 50 Mbps-lenken. Hvis vi tar høyde for at båndbredde deles, kan total overførings­tid for innebygde objekter justeres opp.

c) Persistent uten pipelining:

1 TCP-oppsett (1 RTT = 200 ms) + base (1 RTT + Lbase/R = 206) + 10·(1 RTT + Lobj/R = 202).

Total = 200 + 206 + 10·202 = 200 + 206 + 2 020 = 2 426 ms ≈ 2,4 s.

Oppsummering: Non-persistent uten parallell (4 426) → med parallell (808) → persistent uten pipelining (2 426). Med pipelining ville persistent vært enda kjappere: 200 + 200 + 6 + 10·2 = 426 ms.

Pensum: Kap. 2.2 — HTTP-ytelse

Oppgave 5 6 poeng Kap. 8.9 · Brannmur

a) En brannmur har tre mål. Hva er de? (3p)

b) Forklar kort forskjellen mellom traditional (stateless) packet filter og stateful packet filter. Hvorfor er stateful tryggere mot scenarier der angriperen prøver å «sneake inn» på en eksisterende forbindelse? (3p)

Vis fasit

a) Tre mål for en brannmur:

  1. All trafikk inn/ut må gjennom brannmuren — det skal ikke være alternative stier rundt.
  2. Bare autorisert trafikk slipper gjennom — definert av en lokal sikkerhets­policy (ACL: tillat HTTP/HTTPS inn til DMZ-server, blokker SMB inn fra Internett, …).
  3. Brannmuren selv må være motstands­dyktig mot kompromittering — herdet OS, minimalt med kode, oppdatert, ikke offentlig­vendt admin-grensesnitt.

b) Stateless vs stateful packet filter:

  • Stateless: hver pakke evalueres isolert mot ACL-en. ACL ser typisk på (kilde-IP, dest-IP, kilde-port, dest-port, TCP-flagg, protokoll). Det vet ikke om pakken hører til en eksisterende forbindelse.
  • Stateful: brannmuren holder en connection table over etablerte forbindelser. Når en TCP SYN går ut innenfra, registreres flow-en. Returpakker (med ACK) sjekkes mot tabellen — bare pakker som hører til en kjent flyt slipper inn.

Hvorfor stateful er tryggere: en angriper utenfra kan sette TCP-flagg som ACK manuelt for å imitere «svar på etablert forbindelse». En stateless-filter som tillater «alle pakker med ACK-flagg» slipper dem inn. Stateful sjekker i tillegg om det faktisk finnes en flyt — og blokkerer ellers.

Pensum: Kap. 8.9 — Brannmurer