Netzwerktheorie Teil1

(Hinweis: Die Reihenfolge der Themen/Inhalte entspricht dem Ablauf, wie Netzwerktechnik im Sinne von M117 → M129 vermittelt wird.)

Inhalt

1. Einführung
1.1 Simplex - Halfduplex - Duplex
1.2 Netzwerktopologien
1.3 Leiterarten
1.4. Kabel vor Störungen schützen

2. Ethernetverkabelung
2.1 Der Kabelaufbau
2.2 Verdrahtung von Ethernetkabel
2.3 RJ45-Steckerherstellung
2.4 RJ45-Steckdosenherstellung
2.5 Straight Through oder Crossover
2.6 Ethernet-Medientypen
2.7 Universelle Gebäudeverkabelung
2.8 Das Logisches Layout und der Verkabelungsplan

3. Grundlagen zu Netzwerke betreiben
3.1 Das Medienzugriffsverfahren CSMA/CD
3.2 Der Hostname
3.3 Die MAC-Adresse (Physikalische Adresse)
3.4. Die IP-Adresse (Logische Adresse)
3.5 IPv4-Adressen der Klassen A, B und C
3.6 Öffentliche und private IPv4-Adressbereiche
3.7 Broadcast- Netzwerk- und Loopbackadresse
3.8 IPv4-Adressbeispiele
3.9 IPv4-Adressklassen und Subnetzmaskenvarianten
3.10 Netze verbinden
3.11 Zeroconf oder APIPA
3.12 Ports (Protokoll)
3.13 IPv6 (Der Nachfolger von IPv4)
3.14 IPv6-Addresse automatisch beziehen
3.15 Die IPv6-Addresse im Detail
3.16 Der Internetzugang
3.17 Datenpakete adressieren (1)
3.18 Datenpakete adressieren (2) - Spezialfall Intranet zu Internet (Hinweis: M117 bis hier!)
3.19 Das OSI-Schichtenmodell und der TCP/IP-Stack
3.20 IP-Attribut TTL
3.21 Netzwerkkopplung auf OSI-Layer 2 (Switch/Hub)
3.22 Die Switching-Tabelle oder Source Address Table (SAT)
3.23 Eigenschaften von Switches
3.24 Netzwerkkopplung auf OSI-Layer 3 (Router)
3.25 Fehlersuche im Netzwerk

4. Bandbreitenabschätzung
4.1 Fallunterscheidungen
4.2 Bandbreitenreduktion am Switch
4.3 Bandbreitenreduktion im Netzwerk
4.4 Zusammenfassung Bandbreitenabschätzung

5. Subnetting
5.1 Die IPv4 Subnetzmaske
5.2 Definition der Netzwerk- und Broadcastadresse
5.3 Die CIDR-Schreibweise der Subnetzmaske
5.4 Ein /16-er-Netz in vier /24-er-Netze aufteilen
5.5 Ein /24-er-Netz in vier gleich grosse Teile aufteilen
5.6 Ein /24-er-Netz in vier ungleich grosse Teile aufteilen
5.7 Das Muster-Kreisdiagramm
5.8 Die Netzmaskentabelle
5.9 Subnetzkombinationen

6. Routing
6.1 Der Zweck von TTL
6.2 Die Routingtabelle beim statischen Routing
6.3 Die Defaultroute beim statischen Routing
6.4 Die Defaultroute beim PC
6.5 Nützliche Betriebssystem-Kommandos (Konsolenbefehle) (Hinweis: M129 bis hier!)


1. Einführung

1.1 Simplex - Halfduplex - Duplex

Damit werden die drei verschiedene Arten der Punkt-zu-Punkt Datenübertragung und Richtungsabhängigkeit von Kommunikationskanälen beschrieben:

1.2 Netzwerktopologien

Die Topologie bezeichnet bei einem Computernetz die Struktur der Verbindungen mehrerer Geräte untereinander, um einen gemeinsamen Datenaustausch zu gewährleisten. Es fehlen in dieser Aufzählung die vermaschten Netzte (wie z.B das Internet) und baumartige Strukturen.

Historisches Ethernet entspricht einer Bus-Topologie (z.B. Yellow-Cable). Aktuelles Ethernet entspricht einer Stern/Baum-Topologie.

1.3 Leiterarten

Draht

  • Starr, bricht bei mehrmaligem Biegen
  • Billiger in der Produktion
  • Stabiler beim Verlegen durch Kabelkanäle
  • Lässt sich nicht crimpen (Siehe RJ45-Steckerherstellung)
  • Verwendung in UGV-Verkablungen: Universelle Gebäudeverkabelung = Strukturierte Verkabelung

Litze

  • Flexibel, bricht nicht bei mehrmaligem Biegen
  • Aufwändiger und darum teurer in der Produktion
  • Verlegen durch Kabelkanäle kaum möglich
  • Lässt sich crimpen (Siehe RJ45-Steckerherstellung)
  • Verwendung bei Patch-Kabeln

Glasfaser

  • Starres Kabel das bei zu engem Biegeradius bricht
  • Billiger in der Produktion aber teuer in der Weiterverarbeitung (Stecker)
  • Lässt eine hohe Datenübertragung zu

1.4. Kabel vor Störungen schützen

  • Abschirmung: [Shielding/Screening] Der Faradaysche Käfig ist eine allseitig geschlossene Hülle aus einem elektrischen Leiter (z. B. Drahtgeflecht oder Blech), die als elektrische Abschirmung wirkt.
  • Verdrillte Leitungspaare: [Twisted Pair] Störungen wirken auf beide Drähte gleichzeitig und heben sich dank der verdrillten Paar-Anordnung gegenseitig auf.

2. Ethernetverkabelung

Mit Ethernet meint man Hardware wie Kabel, Kopplungselemente etc. Software wie z.B. Protokolle. Ethernet ermöglicht den Datenaustausch in Form von Datenpaketen zwischen den in einem lokalen Netz (LAN) angeschlossenen Geräten wie PC, Server, Drucker etc. Derzeit sind Übertragungsraten von 10 Mb/s, 100 Mb/s (Fast Ethernet), 1000 Mb/s (Gigabit-Ethernet), 10, 40 und 100 Gb/s spezifiziert.

2.1 Der Kabelaufbau

  • U=Unshielded (Ungeschirmt)
  • S=Shielded oder Screened (Geflechtschirm, gegen niederfrequente Störungen)
  • F=Foiled (Folienschirm, gegen hochfrequente Störungen)
  • SF=Screened & Foiled
  • TP=Twisted Pair (Verdrillte Aderpaare)

Screened: Schirm über das ganze Kabel
Shielded: Schirm über die verdrillten Aderpaare

Beispiel:

  • S/STP = Screened / Shielded Twisted Pair
  • SF/STP = Screend-Foiled / Shielded Twisted Pair

2.2 Verdrahtung von Ethernetkabel

Gezeigt wird das sog. Farbschema T568B. Alternativ gibt es auch das Farbschema T568A, auf das hier nicht weiter eingegangen wird.

  • 100 BASE TX besteht aus TX-Leiterpaar (T=Transmit) und RX-Leiterpaar (R=Receive)
  • 1000 BASE T besteht aus 4 Leiterpaaren (D1+, D1-, D2+, D2-,D3+, D3-,D4+, D4-), welche die Daten Bi-Direktional übertragen.

Eine kleine Anekdote zu der etwas eigenartigen Verdrahtung des RJ45-Steckers
Wie aus dem obigen Bild ersichtlich, schiebt sich das blaue Aderpaar zwischen das Grüne. Elektrisch gesehen sicher kein Mehrwert. Woher kommt es dann? Wie oft bei solchen Dingen, ist dies mit einer historischen Entwicklung zu erklären:
Es war einmal die Telefon-Zweidrahtleitung. Beim Verdrahten des 2-poligen Telefonsteckers bzw. genormten Buchse oder auf Englisch Registered Jack, kurz RJ, musste der Elektriker sich nicht allzusehr darum kümmern, welche Drähte in welche Buchsen gestopft werden – es funktionierte immer. Als man dann zwei Telefongespräche über ein einziges Kabel schicken wollte, musste man nur um zwei Drähte aufstocken. Um sich nicht plötzlich über Falschverpolung zu sorgen, wurden die beiden Drähte einfach ausserhalb des ursprünglichen Kabelpaars angeordnet und man konnte den Stecker sozusagen unbeschwert auch verkehrt einstecken.  Als dann Ethernet in den Büros Einzug hielt, damals nur auf zwei Aderpaare beschränkt, wollte man Telefon und Ethernet über dieselbe Leitung betreiben, also fügte man links und rechts der bestehenden vier Verbindung je ein Aderpaar hinzu. Der 8-polige Stecker war erfunden und ist auch heute noch unter der Bezeichnung RJ45 bekannt. Dank der speziellen Verbindungsanordnung ist aber immer noch der «alte» Telefonstecker RJ11 ohne Probleme in eine RJ45-Buchse «mittig» einsteckbar. Das analoge Telefon hat ja bekanntlich zugunsten der IP-Telefonie ausgedient, die schräge Kabelanordnung ist aber geblieben und wenn sie nicht gestorben sind, dann leben sie noch heut‘

2.3 RJ45-Steckerherstellung

  • Die Kabel müssen aus Litze sein, sonst funktioniert das Crimpen nicht
  • Beim Einführen der Litzenkabeln unbedingt die Farbreihenfolge beachten
  • Die Litzen werden nicht abisoliert
  • Das fertige Kabel vor dem Einsatz testen

Geschirmte Kabel wie z.B. das S-UTP-Kabel (Screened Unshielded Twisted Pair) benötigen RJ45-Stecker mit Abschirmung. Man erkennt diese an den spiegelnden Oberflächen.
Bei ungeschirmten Kabeln wie das UTP-Kabel (Unshielded Twisted Pair) genügen RJ45-Stecker ohne Abschirmung. Man erkennt diese an ihren Oberflächen aus durchsichtigem Kunststoff.

2.4 RJ45-Steckdosenherstellung

Die RJ45-Steckdosen oder Buchsen sind Teil der Universellen Gebäudeverkabelung UGV, die mit Ethernet-Drahtkabel ausgeführt wird. Je nach Anwendung sind verschiedene Ausführungen erhältlich:

  • Leiterplattenmontage, Lötpins/fahne
  • Schraubverbindungen
  • IDC-Schneidklemmen (Insulation Displacement Connector / Isolierungsverdrängungsverbinder) bei Gerätebuchsen für Fronteinbau in Patchpanels

2.5 Straight Through oder Crossover

  • Kabel 1:1 (Straight Through) verdrahtet (PC zu Switch) bedeutet:
    Transmit-Pair: Senden mit Senden verbunden
    Receive Pair: Empfangen mit Empfangen verbunden
  • Kabel ausgekreuzt (Crossover) verdrahtet(Uplink oder PC zu PC) bedeutet:
    Senden verbunden mit Empfangen
    Empfangen verbunden mit Senden

2.6 Ethernet-Medientypen

Die verschiedenen Ethernet-Varianten unterscheiden sich in Übertragungsrate, den verwendeten Kabeltypen und der Leitungskodierung:

2.7 Universelle Gebäudeverkabelung

Die UGV (Universelle Gebäude Verkabelung) bzw. «Strukturierte Verkabelung» stellt einen einheitlichen Aufbauplan für Verkabelungen dar und ist Teil der technischen Infrastruktur einer Liegenschaft.

  • Der Primärbereich ist die Verkabelung der Gebäude eines Standortes untereinander und wird auch als Campusverkabelung bezeichnet.
  • Der Sekundärbereich ist die vertikale Stockwerkverkabelung, also die Verkabelung der Stockwerke eines Gebäudes untereinander und wird auch als Steigbereichverkabelung oder als Gebäudeverkabelung bezeichnet.
  • Der Tertiärbereich ist die horizontale Stockwerkverkabelung, also die Verkabelung innerhalb der Stockwerke eines Gebäudes und wird auch als Etagenverkabelung bezeichnet.
  • Patchpanels für Kupfer- und Glasfaserkabel sind verschieden grosse Verteilerfelder und stellen je nach benötigter Menge entsprechend viele Anschlüsse (Anschlussdosen) zur Verfügung.
  • Patchkabel für die Rangierungen zwischen Patchpanels oder Patchpanel und Switch's oder Anschlusssteckdose und Endgerät.

2.8 Das Logisches Layout und der Verkabelungsplan

In der Netzwerktechnik unterscheidet man zwei Arten von Topologien:  Die logische und physische Topologie. Man spricht auch von logischem Layout und physikalischem Layout (=Verkabelungsplan).
Das logisches Layout hat mehr den Aspekt eines logischen Aufbaus und soll aufzeigen, welche Komponenten (PC, Server, Switch, Router) wie miteinander verbunden sind. Die Kabelführung, UGV (Universelle Gebäudeverkabelung) oder Patchkabel ist hier nicht von Bedeutung. Anders sieht das beim Verkabelungsplan aus. Hier ist die Verkabelung anhand eines Gebäudegrundrisses dokumentiert. Es soll daraus auch ersichtlich sein, ob die Verbindung als UGV oder Patchkabel realisiert wird. Generell gilt: Festinstallationen werden als UGV ausgeführt und zwar von Netzwerksteckdose zu Netzwerksteckdose. Die Komponenten werden mit Patchkabeln an die Netzwerksteckdosen (oder Patchpanels) angeschlossen. Der Gebäudeverkabelungsplan soll dem Installateur aufzeigen, wie er das Gebäude zu verkabeln hat. Wichtig ist, dass logisches Layout und Verkabelungsplan übereinstimmen bezüglich Anschluss und Beschriftung der Komponenten.
Im folgenden  nun ein Beispiel:

Das logische Layout

Das entsprechende physikalische Layout:

Und der Verkabelungsplan (Auftrag für den Elektroinstallateur)


3. Grundlagen zu Netzwerke betreiben

3.1 Das Medienzugriffsverfahren CSMA/CD

Für das Ur-Ethernet 10BASE5 wird ein 10 mm dickes Koaxialkabel, genannt Yellowcable, verwendet. Zum Anschluss von Geräten muss mittels einer Bohrschablone ein Loch in das Kabel gebohrt werden, durch das ein Kontakt einer Spezialklemme des Transceivers eingeführt und festgeklammert wird. An diesen Transceiver (MAU=Media Access Unit) wird mittels der AUI (Attachment Unit Interface)-Schnittstelle über ein Verbindungskabel die Netzwerkkarte des Computers angeschlossen. Dieser Standard bietet 10 Mbit/s Datenrate bei Übertragung im Base-Band und 500 m Reichweite mit maximal 100 Teilnehmern. Die Leitung hat keine Abzweigungen, und an den Enden sitzen Abschlusswiderstände.

Alle Stationen «hören» am Kabel. Eine sendewillige Station schickt Daten mit Empfänger und Absender versehen auf das Kabel. Die betroffene Station «fischt» sich die Daten heraus. Diese Topologie erforderte eine Regelung wie kommuniziert werden soll. Diese Regelung nennt sich CSMA/CD und hat auch noch bei heutiger moderner Ethernetverkabelung seine Gültigkeit.

(Carrier Sense Multiple Access / Collision Detection zu Deutsch: Mehrfachzugriff mit Trägerprüfung und Kollisionserkennung)

Unter dem Jam-Signal ist ein eindeutiges Signal zu verstehen, das allen Maschinen verdeutlicht, dass eine Kollision stattgefunden hat uns sie sich zurückziehen sollten.

3.2 Der Hostname

Der Hostname ist die eindeutige Bezeichnung eines Host's wie z.B. PC, Server, Drucker etc. in einem Netzwerk. Die Umsetzung des Hostnamens in eine IP-Adresse erfolgt über das Domain Name System (DNS), früher über die hosts-Datei.

Die Namensvorgaben:

  • Länge 1..63 Zeichen
  • Buchstaben a..z oder A..Z (zwischen Gross- und Kleinbuchstaben wird nicht unterschieden, d.h. nicht case-sensitiv)
  • Die Zahlen 0..9
  • Bindestrich -

In einer grösseren IT-Umgebung empfiehlt sich ein geeignetes Namenskonzept. Der Hostname eines Geräts kann z.B. einen Hinweis auf seinen Standort enthalten. Dies erleichtert das Aufsuchen eines Geräts im Fall von Troubleshooting oder Wartungsarbeiten.

3.3 Die MAC-Adresse (Physikalische Adresse)

Die MAC-Adresse (Media Access Control) ist die physikalishe Adresse bzw. Hardware-Adresse jedes einzelnen Netzwerkadapters, die als eindeutiger Identifikator des Geräts in einem Rechnernetz dient.

Format der MAC-Adresse: xx-xx-xx-yy-yy-yy (48 Bit oder 6 Byte)

  • Die vorderen 3 Bytes (x) entsprechen dem Vendor-Code, Herstellercode oder OUI (Organizationally Unique Identifier)
  • Die hinteren drei Bytes (y) entsprechen einer Serien-Nummer
  • Die MAC-Adresse wird üblicherweise hexadezimal geschrieben
  • Die MAC-Adresse ff-ff-ff-ff-ff-ff wir als Broadcastadresse verwendet
  • Die MAC-Adresse(n) kann man sich unter Windows mit folgenden Systemkommandos anzeigen lassen:
    ipconfig /all
    getmac /s <ip-adresse>
    arp -a (Aktuelle Einträge in der ARP-Tabelle)

3.4. Die IP-Adresse (Logische Adresse)

Warum eine weitere Netzwerkadresse?
Eine hohe Anzahl Netzwerkteilnehmer generiert viel Traffic und damit auch viele Kollisionen, was zu einer schlechten Performance führt.
Aus diesem Grund wurde das Netzwerk in Netzwerksegmente aufgeteilt und somit der Datenverkehr etwas separiert. Damit aber Datenpakete in und über fremde Netzwerksegmente geleitet werden können, braucht es eine Netzwerkadresse mit einer zusätzlichen Information, nämlich ihr angestammtes Netzwerksegment. Der MAC-Adresse wurde die IP-Adresse zur Seite gestellt, wobei die MAC-Adresse für die lokale Zustellung innerhalb des Netzwerksegments und die IP-Adresse für die globale Zustellung über vermaschte Netwerksegmente hinweg relevant ist.

Ursprünglich wies die sogenannte Netzwerkklasse (A, B, C) darauf hin, in welchem Netzwerksegment sich der Host befindet. Dies erwies sich aber als unflexibel und Verschwenderisch bezüglich der Ressource «IP-Adresse», so dass die 32 bittige IP-Adresse ab 1985 mit einer 32 bittigen Subnetzmaske ergänzt wurde. Die Unterteilung in Netzwerkklassen wurde 1993 fallen gelassen. Trotzdem werden die Klassenbezeichnungen im IT-Bereich umgangssprachlich noch genutzt, wenn man z.B. von einer «Privaten Klasse-A Adresse» spricht.

Die IP-Adresse wird durch die Subnetzmaske in zwei Teile geteilt:

  • Vorderer Teil: Netz-ID (= Netzwerksegment)
  • Hinterer Teil: Host-ID (= Host-Nr. innerhalb des Netzwerksegments)

3.5 IPv4-Adressen der Klassen A, B und C

Klasse-A: NETZ-ID = 10 / HOST-ID = 0.0.9

Klasse-B: NETZ-ID = 172.16 / HOST-ID = 20.161

Klasse-C: NETZ-ID = 192.168.5 / HOST-ID = 33

Ist so nicht möglich.

Netzwerkadresse = 10.0.0.208. Siehe Subnetting auf dieser Webseite.

3.6 Öffentliche und private IPv4-Adressbereiche

Die öffentlichen IP-Adressen werden ausschliesslich im Internet (WW=World Wide Web) genutzt und von der IANA (Internet Assigned Numbers Authority) verwaltet bzw. die Verwaltung für Europa an RIPE (Réseaux IP Européens) delegiert.

Die privaten IP-Adressen sind für’s Intranet reserviert. Dessen Betreiber ist selber für die Adressverwaltung verantwortlich. Dabei kann der Einsatz eines sog. DHCP-Servers (Dynamic Host Configuration Protocol) das Risiko von Adressdoppelbelegungen mindern, aber nicht ausschliessen. Der DHCP-Server wird auf dieser Webseite bei den Serverdiensten besprochen.

3.7 Broadcast- Netzwerk- und Loopbackadresse

  • Broadcastadresse: Wird als Empfänger die Broadcast-Adresse angegeben, sind alle Geräte im entsprechenden Subnetz angesprochen.
    Regel: Alle Hostbits = 1
  • Netzwerkadresse: Adresse des Netzwerks. Einem Host darf keine Netzwerkadresse zugewiesen werden. Netzwerkadressen werden z.B. in Routingtabellen bei Routern verwendet bzw. eingetragen, damit die IP-Pakete an’s richtige Ziel finden.
    Regel: Alle Hostbits = 0
  • Loopback-Adresse:  Dient zu Prüfzwecke, um die eigene Netzwerkkarte zu prüfen und ist bei jedem Host 127.0.0.1

3.8 IPv4-Adressbeispiele

  • Netz-Klasse A
    Standard-Subnetzmaske: 255.0.0.0
    Netzwerkadresse  x.0.0.0
    Broadcastadresse  x.255.255.255
    Loopbackadresse 127.0.0.1
  • Netz-Klasse B
    Standard-Subnetzmaske: 255.255.0.0
    Netzwerkadresse  x.y.0.0
    Broadcastadresse  x.y.255.255
    Loopbackadresse 127.0.0.1
  • Netz-Klasse C
    Standard-Subnetzmaske: 255.255.255.0
    Netzwerkadresse  x.y.z.0
    Broadcastadresse  x.y.z.255
    Loopback-Adresse  127.0.0.1

Da die privaten IP-Adressen im Internet nie in Erscheinung treten, können diese in jedem Intranet frei verwendet werden. Die Adresse 192.168.1.1 ist dementsprechend so ziemlich in jedem lokalen Netzwerk anzutreffen. Wie diese Host's sich trotzdem mit dem Internet verbinden können, wird im Fachbeitrag zum Internetzugang beschrieben. (Stichwort: NAT)

3.9 IPv4-Adressklassen und Subnetzmaskenvarianten

Die bisher besprochenen Subnetzmasken der A,B und C-Klasse-Netzwerke sind sogenannte Standard-Subnetzmasken. Unter der einschränkenden Vorgabe (wie z.B. in Modul 117), die Subnetzmasken auf Oktettgrenzen zu beschränken, können die Netze z.B. auch so aufgeteilt werden:

  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.0.0.0 (Standard)
  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.255.0.0
  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.255.255.0
  • B-Klasse (Privat) 172.x.y.y mit Subnetzmaske 255.255.0.0 (Standard)
  • B-Klasse (Privat) 172.x.y.y mit Subnetmaske 255.255.255.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetzmaske 255.255.255.0 (Standard)

(Wobei gilt: x=16..31 und y=0..255)

Folgendes ist allerdings nicht möglich:

  • B-Klasse (Privat) 172.x.y.y mit Subnetmaske 255.0.0.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetmaske 255.0.0.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetmaske 255.255.0.0

Weitere Subnetzmasken, nämlich solche, die nicht auf einer Oktettgrenze liegen, sind auch möglich, werden aber erst in Modul 129 eingeführt. Siehe den Fachbeitrag zu Subnetting auf dieser Webseite.

3.10 Netze verbinden

Wer kommuniziert nun mit wem? (ohne Router)

Verschiedene Subnetze müsssen gekoppelt werden. Dazu dient der Router. Der Router überträgt nur IP-Pakete ins benachbarte Netz, die dieses auch betreffen. Somit hat der Netzwerkverkehr im einen Subnetz keinen Einfluss auf das Nachbarnetz. Der Router verschickt keine Broadcast’s in andere Subnetze. Geroutete Netze haben auch noch andere Vorteile: So lassen sich in vermaschten Netzwerken wie z.B. das WWW (World Wide Web) je nach Traffic und Verfügbarkeit alternative Routen wählen. Wie z.B. vor ihren Sommerferien, wo sie je nach Staulage den Gotthardtunnel oder San Bernardino-Tunnel als Reiseroute in den Süden wählen.

Subnetting und Routing werden später in diesem Dokument ausführlich behandelt.

3.11 Zeroconf oder APIPA

Zeroconf oder Zero-Configuration-Networking bzw. APIPA (Automatic Private IP Addressing) dient der selbständigen Konfiguration von Rechnernetzen z.B. bei einem Ausfall eines DHCP-Servers. Dabei handelt es sich um einen auf dem ARP-Protokoll (Address Resolution Protocol) aufbauenden Mechanismus, um für eine Netzwerkschnittstelle automatisch eine freie IP-Adresse auszuwählen. Für genau diesen Zweck ist dafür von der IANA der Adressbereich 169.254.0.0/16 vorgesehen.

3.12 Ports (Protokoll)

Ein Port ist der Teil einer Netzwerk-Adresse, der die Zuordnung von TCP- und UDP-Verbindungen und -Datenpaketen zu Server- und Client-Programmen durch Betriebssysteme bewirkt. Zu jeder Verbindung dieser beiden Protokolle gehören zwei Ports, je einer auf Seiten des Clients und des Servers.

Gültige Portnummern sind 0 bis 65535.

  • Ports sind ein Merkmal zur Unterscheidung mehrerer Verbindungen zwischen demselben Paar von Endpunkten (z.B. mehrere gleichzeitig geöffnete Webbrowser)
  • Ports können Netzwerkprotokolle und entsprechende Netzwerkdienste identifizieren (Well-Known-Ports)
  • System-Ports oder Well known Ports: 0 bis 1023
    z.B.: 7: ECHO / 20/21: FTP / 25: SMTP / 80: HTTP / 110: POP3 etc.
  • Registered-Ports: 1024 bis 49151
  • Dynamic-Ports: 49152 bis 65535

Hinweis: Dem Begriff Port begegnet man auch an anderen Orten, wobei dieser dann eine andere Bedeutung hat als die hier beschriebene. Zum Beispiel spricht man bei Computer-Hardware von Port’s und meint dann den USB-Port, einen PCI-Port etc.. Bei Switches spricht man bei den Hardware-Schnittstellen bzw. RJ45-Buchsen auch von Ports.

3.13 IPv6 (Der Nachfolger von IPv4)

Das aus den frühen 1970er Jahre stammende Internet Protocol Version 4 (IPv4) ist Basis für beinahe sämtliche Internet-Kommunikation. Seit 2011 ist aber der verfügbare Adresspool aufgebraucht und ein Übergang zum Internet Protocol Version 6 (IPv6) ist unvermeidbar (Die Version 5 wurde übrigens ausgelassen.). Dies bedeutet nicht, dass bestehende IPv4-Netze nun sofort auf IPv6 umgestellt werden müssen. Der Übergang kann schrittweise erfolgen bzw. die Protokolle können während der Übergangsphase parallel genutzt werden (Dual Stack).

In IPv6-Netzen kommt den Routern eine wichtigere Rolle zu als früher bei IPv4-Netzen. Der Router kann die Aufgabe übernehmen, die angeschlossenen Geräte mit IP-Adressen zu versorgen. Im Folgenden eine kurze Übersicht zu IPv6.

Einige Unterschied von IPv4 zu IPv6

  • IPv6 hat eine Länge von 128 Bit, IPv4 hat eine Länge von 32 Bit
    Der Adressraum von IPv6 ist gross genug, um auf absehbare Zeit für alle mit dem Internet verbundenen Geräte global eindeutige Adressen zur Verfügung zu stellen.
  • Jedes Gerät wird auf diese Weise potenziell global adressierbar. Ausser bei Spezialfällen ist somit kein NAT mehr erforderlich.
  • IPv4-Broadcast's sind IPv6-Multicast's gewichen: FF00:-Adressen
  • Layer3 zu Layer2-Auflösung (IP zu MAC) einheitlich (ARP-Protokoll wird durch NDP-Protokoll Neighbor-Discovery-Protokoll ersetzt, welches auf ICMPv6 basiert)
  • Statisches Routing von IPv6 wird wie bei IPv4 eingerichtet. Bei dynmaischem Routing ergeben sich Änderungen gegenüber IPv4.

3.14 IPv6-Addresse automatisch beziehen

  • Stateless Address Autoconfiguration (SLAAC)
    Bei Netzen mit hoher Fluktuation und ohne strenge Zugangskontrolle teilt ein entsprechend konfigurierter Router den angeschlossenen Geräten mit, welches Präfix er für das angeschlossene Netz anbietet. Alle angeschlossenen Geräte konfigurieren ihre Netzwerkschnittstellen selbstständig (ähnlich APIPA) und ohne die Notwendigkeit einer zentralen Verwaltung (wie DHCP) indem sie eine für das betreffende Netz passende Adresse erzeugen und prüfen, ob diese bereits verwendet wird. Ist dies der Fall, wird so lange eine neue Adresse gesucht und getestet, bis eine unbenutzte gefunden wurde. Anfangs war es nicht vorgesehen, im Rahmen von SLAAC den angeschlossenen Geräten weitere Informationen wie die Adresse eines DNS-Servers zu übermitteln. Diese Möglichkeit wurde aber inzwischen geschaffen, so dass SLAAC eine vollwertige Methode zur Netzwerkkonfiguration darstellt.
  • Stateless DHCP
    Das am Netz angeschlossene Geräte konfiguriert seine IPv6-Adresse per SLAAC, beziehen aber weitere Informationen wie z.B. DNS-Server-Adresse von einem DHCP-Server.
  • Stateful DHCP
    Für Netze, bei denen eine sehr enge administrative Kontrolle über ans Netz angeschlossene Geräte erforderlich ist, steht DHCP in einer zu in IPv4-Netzen verwendeten DHCP funktional äquivalenten Variante auch unter IPv6 zur Verfügung.

3.15 Die IPv6-Addresse im Detail

Adresstypen

  • IPv6-Global-Unicast-Adressen entsprechen den öffentlichen IPv4-Adressen. (Kein NAT mehr notwendig.)
  • IPv6-Unique-Local-Adressen entsprechen den privaten IPv4-Adressen und werden nicht global geroutet.
  • IPv6-Link-Local-Adressen habe ihre Gültigkeit innerhalb eines gemeinsamen Netzsegments bzw. VLANs und werden nicht geroutet: FE80:-Adressen.

Adressnotation

  • Die IPv6-Adressen werden hexadezimal notiert zu je 8 Blöcken mit 4 Hexziffern (=16Bit) und durch Doppelpunkte getrennt. (IPv4: Dezimal und Punkte)
    Beispiel:
    2001:0db8:85a3:08d3:1319:8a2e:0370:7344
  • Führende Nullen können ausgelassen werden.
    Beispiel:
    2001:0db8:0000:08d3:0000:8a2e:0070:7344 wird zu 2001:db8:0:8d3:0:8a2e:70:7344
  • Mehrere aufeinander folgende Blöcke mit 0 dürfen ausgelassen werden, indem zwei aufeinander folgende Doppelpunkte notiert werden.
    Beispiel:
    2001:0db8:0:0:0:0:1428:57ab wird zu
    2001:db8::1428:57ab
    wobei höchstens eine zusammenhängende Null-Gruppe mit Doppel-Doppelpunkten ersetzt werden darf!
  • Für die letzten beiden Blöcke (4Bytes=32Bit) darf auch die herkömmliche dezimale Notation verwendet werden.
    Beispiel:
    ::ffff:7f00:1 wird zu
    ::ffff:127.0.0.1 (=IPv4-Einbettung in IPv6)

URL-Notation

Die IPv6-Adresse wird in eckige Klammern eingeschlossen und eine allfällige Portnummer wie bei IPv4 hinter einem Doppelpunkt angehängt.
Beispiel:
http://[2001:0db8:85a3:08d3::0370:7344]:8080/

Netznotation

In der CIDR-Notation wie bei IPv4.
Beispiel:
2001:0db8:1234::/48 steht für
2001:0db8:1234:0000:0000:0000:0000:0000 bis 2001:0db8:1234:ffff:ffff:ffff:ffff:ffff.
Die Standard-Präfixlänge ist /64.

Segmentierung

  • Network Prefix (Subnet Prefix)
  • Interface Identifier

Der Provider konfektionieren Business-Anschlüsse mit IPv6 so, dass Administratoren über 8 bis 16 Bit Adressraum freie Hand haben (Subnet-ID), um damit ihre Netze segmentieren zu können.

3.16 Der Internetzugang

Die Marketingabteilungen dieser Geräte geben ihnen eine unpräzise Bezeichnung, nämlich xDSL-Router. Es handelt sich dabei aber um mehr als nur einen Router. Der Router verbindet einzig und allein IP-Netze, arbeitet somit auf OSI-Layer 3 bzw. Network-Layer. xDSL-Router verfügen aber meist über viel mehr Funktionen wie Modem, Router, DNS, DHCP, NAT, Firewall, WLAN und Switch. Oft gehören auch USB- und DECT-Schnurlos-Telefonanschlüsse dazu. Es handelt sich also vielmehr um ein Multifunktionsgerät als nur um einen simplen Router. Im Fachhandel sind selbstverständlich auch Router im Angebot, die diesen Namen verdienen, weil sie ausschliesslich diese eine Funktion beherrschen.

Die meist anzutreffenden Funktionen in einer Übersicht:

  • Modem xDSL: Für den Signalaustausch über das Telefonnetz. Analog oder ISDN.
    xDSL steht für:
    ADSL : Asymmetric Digital Subscriber Line und bedeutet, dass der Uplink nicht dieselbe Bandbreite aufweist – meist langsamer – als der Downlink.
    SDSL : Symmetric Digital Subscriber Line und bedeutet, dass Uplink und Downlink dieselbe Bandbreite aufweisen. Dies ist z.B. für LAN-WAN-LAN-Verbindungen erforderlich.
  • Router: Der Router verbindet das Intranet mit der Aussenwelt bzw. routet Datenpakete vom und zum Internet.
  • DHCP-Dienst: Für eine automatische Zuweisung von IP-Adressen an die PC’s.
  • DNS-Dienst: Für die Namensauflösung URL zu IP-Adresse.
  • NAT: Network-Adress-Translation. Übersetzt interne (private) IP-Adressen in eine externe (öffentliche) IP-Adresse und umgekehrt.
  • Firewall: Für einen «einfachen» Schutz vor unerwünschten Datenpaketen.
  • WLAN: Wireless Local Area Network, Drahtloses lokales Netzwerk.
  • Switch: Drahtgebundene Netzwerkvermittlungsstelle

3.17 Datenpakete adressieren (1)

Anfrage (Absender zu Empfänger):

Die Antwort auf die obige Anfrage:

3.18 Datenpakete adressieren (2) - Spezialfall Intranet zu Internet

Im Intranet haben die Host’s eine IP-Adresse aus dem privaten IP-Adressbereich. Der xDSL-Router erhält seine öffentliche IP-Adresse vom DHCP-Server des ISP's (Internet Service Provider). Werden Datenpakete ins Internet versandt, müssen die internen privaten IP-Adressen in öffentliche IP-Adressen «umgewandelt» werden. Dafür ist ein Verfahren zuständig, das NAT (Network Address Translation) genannt wird.

Anfrage (Absender im Intranet zu Empfänger im Internet):

Die Antwort auf die obige Anfrage:

(Source-)NAT (Network Address Translation) bezeichnet das Verfahren, das automatisiert Adressinformationen in Datenpaketen durch andere ersetzt, um verschiedene Netze zu verbinden. Zentrale Aufgabe ist das Ersetzen der privaten Absender-IP durch die öffentliche. Damit das bei einem Intranet mit mehreren Teilnehmer reibungslos funktionieren kann, muss von jedem Datenpaket woher es kommt in der NAT-Tabelle gespeichert werden, damit die Serverantwort wieder zum richtigen Adressaten zurückfindet. Dies löst man, indem man das IP-Paket mit modifizierter Absender-Portnummer an den Webserver schickt und dessen Antwort gemäss NAT-Tabelle wieder in die ursprüngliche Portnummer des Absenders im Intranet zurückwandelt.

Ergänzung: Im Gegensatz zu Source NAT wo der Quellport des internen Clients durch einen freien Port des Routers ersetzt wird, ist bei Destination NAT der Vorgang so, dass der Zielport des verbindungsaufbauenden Clients durch einen freien Port des Routers ersetzt wird. Interessant ist dies für die Portweiterleitung, wo eingehenden Datenpakete per Destination NAT und  ausgehenden Pakete per Source NAT maskiert werden.

3.19 Das OSI-Schichtenmodell und der TCP/IP-Stack

Ein fiktives Schichtenmodell als Erklärungsversuch:
Jedes Frachtgut kann in einen Behälter seiner Wahl gesteckt und dieser auf das Wunschtransportmittel gepfropft werden, wobei natürlich nicht jede Kombination sinnvoll oder erwünscht ist. Wichtig ist aber, dass die Schnittstellen zwischen den Schichten klar definiert sind. Zum Beispiel müssen die Befestigungspunkte des Behälters auf dem Transportmittel bekannt sein.

Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (Layers) mit jeweils eng begrenzten Aufgaben. In der gleichen Schicht mit klaren Schnittstellen definierte Netzwerkprotokolle sind einfach untereinander austauschbar, selbst wenn sie wie das Internet Protocol eine zentrale Funktion haben.

  1. Layer (Physical)
    Massnahmen und Verfahren zur Übertragung von Bitfolgen: Die Bitübertragungsschicht definiert die elektrische, mechanische und funktionale Schnittstelle zum Übertragungsmedium. Die Protokolle dieser Schicht unterscheiden sich nur nach dem eingesetzten Übertragungsmedium und -verfahren. Das Übertragungsmedium ist jedoch kein Bestandteil der Schicht 1.
  2. Layer (Data Link)
    Logische Verbindungen mit Datenpaketen und elementare Fehlererkennungsmechanismen: Die Sicherungsschicht sorgt für eine zuverlässige und funktionierende Verbindung zwischen Endgerät und Übertragungsmedium. Zur Vermeidung von Übertragungsfehlern und Datenverlust enthält diese Schicht Funktionen zur Fehlererkennung, Fehlerbehebung und Datenflusskontrolle. Auf dieser Schicht findet auch die physikalische Adressierung von Datenpaketen statt.
  3. Layer (Network)
    Routing und Datenflusskontrolle: Die Vermittlungsschicht steuert die zeitliche und logische getrennte Kommunikation zwischen den Endgeräten, unabhängig vom Übertragungsmedium und der Topologie. Auf dieser Schicht erfolgt erstmals die logische Adressierung der Endgeräte. Die Adressierung ist eng mit dem Routing (Wegfindung vom Sender zum Empfänger) verbunden.
  4. Layer (Transport)
    Logische Ende-zu-Ende-Verbindungen: Die Transportschicht ist das Bindeglied zwischen den transportorientierten und anwendungsorientierten Schichten. Hier werden die Datenpakete einer Anwendung zugeordnet.
  5. Layer (Session)
    Prozess-zu-Prozess-Verbindungen: Die Kommunikationsschicht organisiert die Verbindungen zwischen den Endsystemen. Dazu sind Steuerungs- und Kontrollmechanismen für die Verbindung und dem Datenaustausch implementiert.
  6. Layer (Presentation)
    Ausgabe von Daten in Standardformate: Die Darstellungsschicht wandelt die Daten in verschiedene Codecs und Formate. Hier werden die Daten zu oder von der Anwendungsschicht in ein geeignetes Format umgewandelt.
  7. Layer (Application)
    Dienste, Anwendungen und Netzmanagement: Die Anwendungsschicht stellt Funktionen für die Anwendungen zur Verfügung. Diese Schicht stellt die Verbindung zu den unteren Schichten her. Auf dieser Ebene findet auch die Dateneingabe und -ausgabe statt.
  • Das OSI-Modell (Open Systems Interconnection Model) ist ein Referenzmodell für Netzwerkprotokolle als Schichtenarchitektur. Es wurde ab 1977 entwickelt und soll die Kommunikation über unterschiedlichste technische Systeme und Medien ermöglichen. Dazu sieht dieses Modell sieben aufeinander folgende Schichten mit jeweils eng begrenzten Aufgaben vor. In der gleichen Schicht mit klaren Schnittstellen definierte Netzwerkprotokolle sollen einfach untereinander austauschbar sein.
  • Grundlage der Internetprotokollfamilie bzw. TCP/IP-Stack war aber das Ende der 1960er Jahre entstandene DoD-Schichtenmodell, welches nur vier Schichten vorsah. Somit bilden z.B. im TCP/IP-Stack die Upper-Layers nur eine Schicht.
  • Die Netzwerkkopplungselemente arbeiten auf den entsprechenden Schichten.
  • Beispiel von zwei OSI-Layer und Protokollübersichten: Protokoll-Poster 1 und Protokoll-Poster 2

Im Folgenden das Beispiel einer Webseitenabfrage von einem Webbrowser aus:

Die Schnittstellen der Schichten des TCP/IP-Stacks (Die Protokollheader sind in der folgenden Skizze nicht vollständig dargestellt):

3.20 IP-Attribut TTL

TTL bedeutet Time to Live.
Beim Internet Protocol (IP) legt die TTL fest, wie viele Zwischenstationen (Hops) ein Datenpaket im Internet passieren darf. Die maximale Anzahl der Hops beträgt 255. Mit jedem Hop wird die TTL um 1 herabgesetzt. Wenn ein Datenpaket nach Ablauf seiner TTL noch nicht sein Ziel erreicht hat, wird es verworfen und der Absender erhält die Rückmeldung „Host unreachable“ (Dies wird übrigens vom Programm Traceroute ausgenutzt!)

3.21 Netzwerkkopplung auf OSI-Layer 2 (Switch/Hub)

Die Topologie in modernen LAN's (Intranet) ist sternförmig. Host im selben LAN-Segment werden mit Switch's, früher Hub's, verbunden. Sollte man in einer alten Netzwerkumgebung noch ein Hub antreffen, kann dieser 1:1 durch einen Switch's ersetzt werden.

Wie funktioniert ein Hub

Hub-Intern kann man sich eine Bus-Topologie vorstellen, wie sie beim damaligen Ethernet mit Yellow-Cable anzutreffen war. Der ganze Hub bildet eine Kollisionsdomäne (siehe CSMA/CD), was ihn bei Traffic zwischen mehreren angeschlossenen Host nicht besonders effizient werden lässt. Beim Hub läuft man Gefahr, durch eine Drittperson abgehört zu werden. (Network-Sniffer wie z.B. Wireshark)

Ein Hub arbeitet auf dem OSI-Layer 1 und ist somit für die OSI-Layer 2-7 protokolltransparent. Ein Hub wirkt auch als Repeater bzw. Signalaufbereiter. Damit ist es möglich, mit einem weiteren Netzwerkkabel den Aktionsradius von ursprünglich 100 Meter um weitere 100 Meter zu erhöhen.

Wie funktioniert ein Switch

Beim Switch werden die verschiedenen Host's direkt miteinander verbunden. Genau so, wie bei der hier gezeigten Tefonzentrale, wo die einzelnen Gesprächsteilnehmer per Patchkabel direkt zusammengeschaltet werden und somit eine exklusiv von ihnen nutzbare Verbindung entsteht, die darüber hinaus auch nicht ohne weiteres abhörbar ist. Zwei Teilnehmer bilden somit eine eigene Kollisionsdomäne.

Ein Switch arbeitet auf dem OSI-Layer 1&2 und ist somit für die OSI-Layer 3-7 protokolltransparent. Ein Switch wirkt wie der Hub auch als Repeater bzw. Signalaufbereiter. Damit ist es möglich, mit einem weiteren Netzwerkkabel den Aktionsradius von ursprünglich 100 Meter um weitere 100 Meter zu erhöhen.

3.22 Die Switching-Tabelle oder Source Address Table (SAT)

Ein Switch muss nicht konfiguriert werden. Empfängt er ein Frame nach dem Einschalten, speichert er die MAC-Adresse des Senders mit der entsprechenden Switch-Schnittstelle in der Source Address Table (SAT). Falls die Zieladresse noch nicht in der SAT ist, muss das Frame an alle anderen Schnittstellen weitergeleitet werden. Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies kann sich ein Angreifer mit dem sogenanten MAC-Flooding zu Nutze machen, indem er den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.

Neben MAC-Flooding gibt es bei Switchs weitere Gefahrenquellen:

  • MAC-Spoofing: Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender. Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
  • ARP-Spoofing: Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.

3.23 Eigenschaften von Switches

  • Untersucht Datenframes auf Layer 2
  • Anzahl der physischen Ports: z.B. 5..94
  • Unterstützte Übertragungsgeschwindigkeiten 10Mbps, 100Mbps, 1Gbps, 10Gbps, 16Gbps etc.
  • Autosensing/Autonegation Ports (Max. Geschwindigkeit ermitteln): Dies bezeichnet ein Verfahren, das es zwei miteinander verbundenen Ethernet-Netzwerkports (z. B. den Netzwerkports eines Computers und denen des Routers, Hubs oder Switches, mit dem dieser z. B. verbunden ist) erlaubt, selbständig die maximal mögliche Übertragungsgeschwindigkeit und das Duplex-Verfahren miteinander auszuhandeln und zu konfigurieren. Das Verfahren gilt nur für Mehrdrahtverbindungen (Twisted-Pair-Kabel) – nicht aber für WLAN-, Glasfaser- oder Koaxialkabelverbindungen.
  • Uplink Ports (Diese werden prior behandelt): In einem Telekommunikationsnetz bezeichnet der Uplink die Verbindung mit der Datenflussrichtung, welche aus der Sicht eines Endgerätes in Richtung Server oder Telekommunikationsnetz geht
  • MDI-X, AUTO-MDI-X (Medium Dependent Interface): Heutige Switches und Netzwerkkarten beherrschen die Fähigkeit, selbstständig die Sende- und Empfangsleitungen des angeschlossenen Gerätes zu erkennen und sich darauf einzustellen. Dies bezeichnet man als Auto MDI-X. Hierbei ist die Verwendung des Kabeltyps (gekreuzt oder ungekreuzt) egal.
  • PoE-Ports: Die Stromversorgung über Ethernet, englisch Power over Ethernet (PoE), bezeichnet ein Verfahren, mit dem netzwerkfähige Geräte über das achtadrige Ethernet-Kabel mit Strom versorgt werden können.
  • Modularer Aufbau (Erweiterbar mit Einschüben): SFP (Small Form-factor Pluggable) sind kleine standardisierte Module (Optische oder elektrische Transceiver) für Netzwerkverbindungen, die im Fehlerfall Hot-Swap austauschbar sind.
  • Managementoptionen wie Fehlerüberwachung und -signalisierung, Port-basierte VLANs, Tagged-VLANs, VLAN Uplinks, Link Aggregation, Meshing, Spanning Tree Protocol , Bandbreitenmanagement usw. (Diese Funktionen werden meist über ein Webinterface konfiguriert. Dazu erhält der Switch eine IP-Adresse.)
  • Spanning Tree Protocol: Um Pakete eindeutig weiterleiten zu können, muss die Ethernet-Technologie sicherstellen, dass zwischen zwei Rechnern jeweils nur ein Datenpfad existiert. Die Vermeidung von Effekten wie Broadcast-Stürmen wird nur erreicht, wenn ein Algorithmus existiert, der die Schleifenfreiheit der Topologie sicherstellt. Der Spanning-Tree-Algorithmus sorgt nun dafür, dass es keine unerwünscht kreisenden Pakete gibt. Er identifiziert Mehrfachwege, indem er Topologien mit redundanten Wegen durch eine logische Blockierung bestimmter Pfade in eine Baumtopologie überführt, die keine Schleifen besitzt. Dazu werden auf den Switches mit mehreren Verbindungen zu anderen Switches alle bis auf eine Verbindung blockiert. Bei Ausfall der primären Verbindung können diese sofort aktiviert werden und erzeugen auf diese Weise ein hohes Maß an Fehlertoleranz.
  • Link-Aggregation (Port-Trunking): Verfahren zur Bündelung mehrerer physischer LAN-Schnittstellen zu einem logischen Kanal.
  • VLAN (Virtual-LAN): Dies ist ein logisches Teilnetz innerhalb eines Switches bzw. eines gesamten physischen Netzwerks.
  • IGMP: Das Internet Group Management Protocol dient zur Organisation von Multicast-Gruppen. Damit ist die Nachrichtenübertragung von einem Punkt zu einer Gruppe gemeint und kommt z.B. bei Online-Streaming-Video und Gaming zur Anwendung.
  • Stackable Switch: Geräte des meist selben Typs, die stapelbar sind und wo die Backplane's mit den schnellen Datenbussen auch quasi «direkt» miteinander verbunden werden können. Damit ist der Switch z.B. skalierbar, bzw. den wachsenden Netzwerkanforderungen anpassbar. Der Stack ist auch als eine Einheit verwaltbar. Allerdings ist es auch mit modularen Switch's möglich, ökonomisch auf wechselnde Bedürfnisse zu reagieren.
  • Aufbau und max. Grösse der Source-Address-Table (Switchingtabelle): Anzahl verwaltbare MAC-Adressen.
  • Forwarding Rate (Durchleitrate): Gibt an, wie viele Frames pro Sekunde eingelesen, bearbeitet und weitergeleitet werden können.
  • Filter Rate (Filterrate): Anzahl der Frames, die pro Sekunde bearbeitet werden.
  • Backplanedurchsatz (Switching fabric): Den Kern eines Switches bildet das Switching Fabric, durch welches die Frames vom Eingangs- zum Ausgangsport transferiert werden. Das Switching Fabric ist vollständig in Hardware implementiert, um geringe Latenzzeiten und hohen Durchsatz zu gewährleisten. Zusätzlich zur reinen Verarbeitungsaufgabe sammelt es statistische Daten, wie die Anzahl der transferierten Frames, (Frame-)Durchsatz oder Fehler.

Bemerkungen zu STP → Spanning Tree Protocol

Das 1990 in der IEEE-Norm 802.1D standardisierte Spanning Tree Protocol verhindert in Netzwerken mit mehreren Switches parallele Verbindungen und unterbindet dadurch die Bildung von Schleifen. STP funktioniert in beliebig vermaschten Netzstrukturen und erzeugt eine Baumtopologie mit eindeutigen Verbindungspfaden. Netzwerkphänomene wie beispielsweise Broadcast-Stürme lassen sich durch STP vermeiden.
Jeder vernetzte Punkt ist von einem anderen vernetzten Punkt über die bestmögliche Verbindung erreichbar. Kommt es zu einer Unterbrechung einer Verbindung oder zum Ausfall eines Switches, reorganisiert das Spanning Tree Protocol den Baum und ermittelt neue Verbindungspfade.
Die Kommunikation der Switches oder Bridges untereinander erfolgt über so genannte BPDUs oder Bridge Protocol Data Units, die in kurzen Abständen ausgetauscht werden. Ein Ausbleiben von BPDUs interpretieren die Switches als Verbindungsausfall.
Um eine Baumtopologie zu etablieren, existieren verschiedene Portzustände. Switches mit mehreren Ports zu einem Ziel blockieren bis auf eine Verbindung alle restlichen Ports. Erster Schritt beim Aufbau eines Verbindungsbaums ist die Wahl der Root Bridge. Anschliessend sorgt der STP-Algorithmus dafür, dass die Verbindungspfade durch das Aktivieren oder Blockieren von Ports gemäss der Baumtopologie aufgebaut werden.

Die verschiedenen Zustände eines Port-Switches im Spanning Tree: Ein Switchport in einem Spanning Tree kennt insgesamt fünf verschiedene Portzustände. Diese Zustände sind:

  • Forwarding
  • Blocking
  • Learning
  • Listening
  • Disabled
Ports im Zustand Forwarding leiten Frames weiter, empfangen BPDUs und lernen Adressen. Sie sind komplett aktiv. Blocking Ports verwerfen Frames, lernen keine Adressen, empfangen aber BPDUs. Diese Ports sind nicht an der Frameweiterleitung beteiligt. Nach der Aktivierung des STP durchlaufen die Ports eines Switches abhängig von der Position im Spanning Tree die Zustände Blocking, Listening, Learning und Forwarding. Timer und BPDUs sorgen für den Übergang der einzelnen Zustände und bestimmen die Konvergenzzeit, die benötigt wird, um den Spanning Tree zu berechnen oder bei einem Verbindungsausfall neu zu bestimmen.

Das Bestimmen der Root Bridge: Bevor die Baumtopologie entstehen kann, ist als erster Schritt die so genannte Root Bridge zu wählen. Die Root Bridge bildet quasi die Wurzel des Baums und ist bestimmendes Element im Netz. Sie wird von allen im Netzwerk vorhandenen Switches nach einem definierten Verfahren bestimmt. Hierfür tauschen die Switches über Multicastnachrichten ihre BID oder Bridge-ID aus. Es handelt sich um eine acht Byte lange Information bestehend aus einer Priorität, System-ID und MAC-Adresse. Der Switch mit der niedrigsten Priorität wird zu Root Bridge. Sind die Prioritäten gleich, entscheiden die weiteren Kriterien wie die MAC-Adresse. Es ist zu empfehlen, einen leistungsfähigen Switch mit einer aktuellen Software über das manuelle Setzen der Priorität zur Root Bridge zu machen.

Die Bildung des Spanning Trees: Nach der Wahl der Root Bridge können die Berechnung und der Aufbau der Baumtopologie erfolgen. Von der Root Bridge aus werden die Wege bestimmt, über die andere Switches zu erreichen sind. Existieren mehrere Pfade, deaktivieren die Switches die Pfade mit den ungünstigsten Pfadkosten.
Die Pfadkosten setzen sich unter anderem aus der Bandbreite des Links und der Anzahl zu überwindender Knoten zusammen. Der IEEE-Standard definiert die Pfadkosten, ermöglicht es aber auch, sie manuell zu setzen. Der Administrator kann dadurch selbst Einfluss auf den Spanning Tree nehmen. Im Endzustand ist jedes Teilnetz nur noch über einen Pfad erreichbar.
Kommen nach dem Aufbau des Spanning Trees Hello-Pakete der Switche nicht mehr an, geht der Algorithmus von einem Ausfall einer Teilstrecke oder eines Switches aus. In diesem Fall reorganisiert sich die Baumtopologie neu. Während der Reorganisation können die Switches keine Pakete weiterleiten. Erst wenn der Spanning Tree wieder vollständig etabliert ist, ist das Netzwerk funktionsfähig. Häufige Ausfälle einzelner Teilstrecken und Komponenten oder gefälschte Pakete des Spanning Tree Protocols können das komplette Netzwerk über längere Zeiträume ausser Betrieb setzen.
Rapid Spanning Tree Protocol und Multiple Spanning Tree Protocol sind Weiterentwicklungen des Spanning Tree Protocols.


3.24 Netzwerkkopplung auf OSI-Layer 3 (Router)

Ein Router arbeitet auf dem OSI-Layer 3 und ist somit für die OSI-Layer 4-7 protokolltransparent. Der Router verbindet Subnetze, die sonst gegenseitig nicht erreichbar wären. Dafür muss bei jedem Host im Subnetz die Routeradresse angegeben werden. Bei MS-Windows spricht man dann von der Standardgateway-Adresse.

Das statische Routing inkl. der Routingtabelle wird im Fachbeitrag «Bandbreite, Subnetting & Routing» speziell behandelt.

Aufgaben und Zweck von Routern bzw. Abgrenzung gegenüber dem Switch

  • Untersucht Datenpakete auf Layer 3 und leitet sie an Nachbarnetze weiter
  • Benötigt dafür mehrere Netzwerkschnittstellen
  • Pakete müssen je nach Zielnetz mehrere Router passieren
  • Jeder Router muss wissen, wie er die Pakete weiterleiten soll
  • Das Routing (Weiterleitung) kann statisch (fixe Routen) oder dynamisch (über sich situationsbedingt anpassende Routen) erfolgen
  • Bildet Subnetze und unterbricht damit z.B. Broadcast‘s
  • Für den Anschluss an’s Internet
  • Für die Verbindung zweier LAN’s über ein WAN
  • Für die Fernüberwachung (Remote-Access) eines LAN’s
  • Für die Bildung des Internet Backbone’s (WWW)
  • Kann Firewallfunktionen enthalten

3.25 Fehlersuche im Netzwerk

Wie man einem Netzwerkfehler auf die Spur kommt:

  • Ethernet-Verkabelung überprüfen
  • Status-LED’s an NIC’s und Switch’s überprüfen
  • Installierte NIC-Treiber aktualisieren
  • Netzwerk-Interfacekonfiguration: IP-Adresse, MAC-Adresse, Default-Gateway, DNS-Server (Betriebssystemkommando «ipconfig», «ifconfig»)
  • ARP-Cache leeren (Betriebssystemkommando «arp»)
  • Netzwerkschleifen d.h. redundante Pfade vermeiden
  • Erreichbarer DHCP-Server bei dynamischer IP-Adresszuteilung
    (Eine APIPA-Adresse weist auf einen nichterreichbaren DHCP-Server hin)
  • Default Gateway und statische Routen überprüfen (Betriebssystemkommando «route»)
  • Erreichbarkeit der Host’s überprüfen. Firewalleinstellungen beachten (Betriebssystemkommando «ping»)
  • Alle Zwischenstationen bzw. Router auf dem Weg in’s Zielnetz überprüfen (Betriebssystemkommandos « «tracert», «traceroute» und «pathping», «tracepath»)
  • Firewalleinstellungen überprüfen (ICMP-Meldungen werden vom Router meist defaultmässig blockiert - Der ping ist ein ICMP-Paket)
  • Bestehende TCP/UDP-Verbindungen überprüfen (Betriebssystemkommando «netstat»)
  • Aus Sicherheitsgründen nicht verwendete Port’s schliessen (Überprüfen mit einem Portscanner wie «nmap» www.nmap.org)
  • Ein- und ausgehende Internetpakete untersuchen (Mit einem Network-Sniffer wie «Wireshark» www.wireshark.org)

4. Bandbreitenabschätzung

Ziel ist die Vermeidung von Engpässen bei der Netzwerkverkabelung:

4.1 Fallunterscheidungen

  1. Das schwächste Glied in der Kette bestimmt den Datendurchsatz: Die langsamste Teilstrecke für eine Verbindung bestimmt die Verbindungsgeschwindigkeit.
    Beispiel: Die langsamste der drei Teilstrecken zwischen PC2 und PC8 ist 10 MB/s, deshalb beträgt die Bandbreite zwischen den beiden PC's 10 Mbit/s.
  2. Geteilte Bandbreite auf derselben Verbindung: Wenn mehrere PC's über dieselbe Verbindung, also demselben Kabel, kommunizieren wollen, teilt sich die Bandbreite zwischen diesen auf. (Unabhängig davon ob Switch oder Hub)
    Beispiel: PC6, PC7 und PC8 am Switch2 wollen alle mit dem Server1 kommunizieren. Wegen der gemeinsamen 100 Mbit/s-Verbindung vom Server1 zum Switch1 steht jedem dieser PC's nur 33 Mbit/s zur Verfügung. (Trotz der 1Gbit/s-Verbindung zwischen den Switch’s.)
  3. Geteilte Bandbreite in derselben Kollisionsdomäne (an einem Hub): Wenn mehrere Stationen in derselben Kollisionsdomäne senden wollen, teilt sich die Sendebandbreite zwischen diesen auf.
    Beispiel: Da PC1, PC2, PC3 und PC4 am Hub1 in derselben Kollisionsdomäne sind, steht jedem dieser PC's nur je 2.5Mbit/s zum Senden zur Verfügung. Und weil das schwächste Glied in der Kette den Datendurchsatz bestimmt, ergeben sich bei Verbindungen zu allen weiteren PC's und Servern nicht mehr als diese 2.5 Mbit/s.

Bei der Beurteilung der Bandbreite müssen selbstverständlich alle diese drei Kriterien berücksichtig werden. Von Fall zu Fall ist das eine ode andere Kriterium dasjenige, das die Geschwindigkeit am stärksten begrenzt.

4.2 Bandbreitenreduktion am Switch

4.3 Bandbreitenreduktion im Netzwerk

  • Einem der 15 PC's an Switch1 steht eine theoretische Bandbreite von…
    100 * r1 * r2 = 100 * 0.667 * 0.714 = 47.6 Mbit/s zur Verfügung
  • Einem der 4 PC's an Switch2 steht eine theoretische Bandbreite von…
    100 * r2 = 100 * 0.714 = 71.4 Mbit/s zur Verfügung
  • Immer als Worst-Case-Betrachtung bzw. unter der Voraussetzung, dass alle PC's voll aktiv sind.

Achtung → Immer eine ganzheitliche Betrachtung:

  • Gegenüber der vorangegangenen Situation sind nun an Switch1 7 PC's ausgeschaltet.
  • Einem der verbliebenen 8 PC's an Switch1 steht nun neu eine theoretische Bandbreite von…
    100 * r1 * r2 = 100 * 1 * 0.833 = 83.3 Mbit/s zur Verfügung
  • Einem der 4 PC's an Switch2 steht nun neu eine theoretische Bandbreite von…
    100 * r2 = 100 * 0.833 = 83.3 Mbit/s zur Verfügung
  • Immer als Worst-Case-Betrachtung bzw. unter der Voraussetzung, dass die erwähnten PC's voll aktiv sind.

4.4 Zusammenfassung Bandbreitenabschätzung

  • Die Bandbreitenabschätzung ist eine theoretische Betrachtung unter der Annahme, dass alle Stationen voll am senden sind
  • Die Bandbreitenreduktion wird mit dem Reduktionsfaktor r angegeben
  • Der Faktor r reduziert die Bandbreite
  • r ist grösser 0 und kleiner/gleich 1 (r kann somit nie grösser als 1 werden)
  • Die Gesamt-Bandbreitenreduktion entspricht dem Produkt der einzelnen Bandbreitenreduktionsfaktoren

5. Subnetting

Warum Subnetze? Mit den 32 Bit’s einer IPv4-Adresse lassen sich ca. 4.3 Milliarden Bit-Kombinationen realisieren, was rein rechnerisch 4.3 Milliarden Host’s entspräche. Man stelle sich eine solch grosse Menge an Geräten in einer einfachen Bustopologie vor. Mit dem üblichen Medienzugriffsverfahren CSMA/CD wäre eine flüssige Kommunikation nicht möglich, weil alle Teilnehmer am selben Bus hingen und niemals zwei Stationen gleichzeitig senden dürften. Um den Traffic zu separieren, trennt man den Bus in Teilnetze auf. Lokaler Datenverkehr wird nun «sein» Teilnetz nie verlassen. Datenpakete die an Teilnehmer eines anderen Teilnetzes adressiert sind, werden an den jeweiligen Router geschickt, der die Teilnetze verbindet. Jetzt müssen die Teilnetze aber adressmässig unterschieden werden können. Dazu wird die IP-Adresse mittels der Subnetzmaske in einen Netzanteil (Subnetzadresse) und Hostanteil (Gerätenummer im Subnetz) unterteilt.

5.1 Die IPv4 Subnetzmaske

  • Ist exakt gleich lang wie die IPv4-Adresse, nämlich 32 Bit
  • Teilt die IP-Adresse in einen Netzanteil und einen Hostanteil

Ursprüngliche Subnetzte, gebildet durch die Netzwerkklassen:

  • 255.0.0.0 (Standard Subnetzmaske eines Klasse-A-Netzwerks)
  • 255.255.0.0 (Standard Subnetzmaske eines Klasse-B-Netzwerks)
  • 255.255.255.0 (Standard Subnetzmaske eines Klasse-C-Netzwerks)

Die Netz-ID zu Host-ID Unterteilung durch die Subnetzmaske ist aber seit der Einführung um 1993 von CIDR (Classless Inter-Domain Routing) nicht von der Netzwerkklasse (A,B,C) abhängig bzw. auf die Oktettgrenzen beschränkt. Seither muss aber neben der IP-Adresse immer auch die Subnetzmaske mit angegeben werden.

5.2 Definition der Netzwerk- und Broadcastadresse

  • Bei der Netzwerkadresse sind alle Bit’s des Hostanteils der IP-Adresse = 0
  • Bei der Broadcastadresse sind alle Bit’s des Hostanteils der IP-Adresse = 1

5.3 Die CIDR-Schreibweise der Subnetzmaske

Bei CIDR (Classless Inter-Domain Routing) führte man als neue Notation so genannte Suffixe ein. Das Suffix gibt die Anzahl der 1-Bits in der Netzmaske an. Diese Schreibform, z. B. 172.17.0.0/17, ist viel kürzer und im Umgang einfacher als die Dotted decimal notation wie 172.17.0.0/255.255.128.0 und ebenfalls eindeutig.

Beispiel für die Netzwerkadressierung eines PC’s mit der IP-Adresse 192.168.1.33

  • Dazugehörende Subnetzmaske: 255.255.255.0 oder als CIDR-Suffix: /24
  • Netzanteil der IP-Adresse: 192.168.1
  • Hostanteil der IP-Adresse: 33
  • Netzwerkadresse (Alle Host-Bit’s sind 0): 192.168.1.0
  • Broadcastadresse (Alle Host-Bit’s sind 1): 192.168.1.255 (Binär 1111’1111 = Dezimal 255)

5.4 Ein /16-er-Netz in vier /24-er-Netze aufteilen

Im Folgenden möchten wir ein /16-Netz bzw. Standard Klasse B-Netz betrachten: Netzwerkadresse: 172.16.0.0/16 (/16 ist bekanntlich das CIDR-Suffix bzw. die Subnetzmaske und bedeutet in Dezimalschreibweise 255.255.0.0). Dieses Netz soll nun in vier Subnetze unterteilt werden. Die neue Subnetzmaske lautet nun 255.255.255.0 (Oder in der CIDR-Notation /24).
Das logische Layout:

  • Netz «Rot»: Netzanteil: 172.16.1. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Grün»: Netzanteil: 172.16.2. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Blau»: Netzanteil: 172.16.3. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Violett»: Netzanteil: 172.16.4. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)

Alle vier Netzte sind nun eigene Subnetze und müssen über einen Router verbunden werden.

Bemerkung: Das Ausgangsnetz könnte auf diese Weise sogar in 256 Subnetze unterteilt werden, wovon jedes einzelne einen Hostanteil von 256 IP’s enthält:

  • Netz 1: 172.16.1
  • Netz 2: 172.16.2
  • Netz 256: 172.16.256

5.5 Ein /24-er-Netz in vier gleich grosse Teile aufteilen

Es ist folgendes Netzwerk gegeben: 172.16.1.0/24
(/24 ist das CIDR-Suffix und entspricht der Subnetzmaske 255.255.255.0)
Dieses Netz soll nun in vier gleich grosse Subnetze aufgeteilt werden.
Das logische Layout:

1. Variante: Lösung mit Kreisdiagramm

Die Netzwerkaufteilung kann anhand eines Kreisdiagramms aufgezeigt bzw. gelöst werden. Da das Ausgangsnetz 172.16.1.0/24 lautet und somit Platz für 256 IP-Adressen bietet, beginnt der Kreis oben mit dem Wert 0 und endet mit dem Wert 255.

  • Netz «Rot»: Beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 63 (=Broadcastadresse)
  • Netz «Grün»: Beginnt mit IP-Adresse 64 (=Netzwerkadresse) und endet mit der IP-Adresse 127 (=Broadcastadresse)
  • Netz «Blau»: Beginnt mit IP-Adresse 128 (=Netzwerkadresse) und endet mit der IP-Adresse 191 (=Broadcastadresse)
  • Netz «Violett»: Beginnt mit IP-Adresse 192 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)

Die Subnetzmaske aller vier Teilnetzte lautet nun 255.255.255.192 oder als CIDR-Suffix /26

2. Variante: Lösung durch Berechnung

Die vorgegebene IP-Adresse 172.168.1.0 lautet in Binärschreibweise: 10101100.10101000.00000001.00000000

Die dazugehörige Subnetzmaske 255.255.255.0 (als CIDR-Suffix /24) lautet in Binärschreibweise: 11111111.11111111.11111111.0000’0000

Da das bestehende Netz in 4 Subnetze unterteilt werden soll, rückt die «Grenze» der Subnetzmaske 2 Bit nach rechts und es entstehen dabei die Subnetze 00, 01, 10 und 11.
(Hinweis: 2 Bit ergeben 4 Subnetze)

11111111.11111111.11111111.1100’0000
Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
(Hinweis: Binär 1100’0000 ergibt Dezimal 192)

Netz «Rot» 00

  • Von: 10101100.10101000.00000001.0000’0000 (=0)
  • Bis: 10101100.10101000.00000001.0011’1111 (=63)

Netz «Grün» 01

  • Von: 10101100.10101000.00000001.0100’0000 (=64)
  • Bis: 10101100.10101000.00000001.0111’1111 (=127)

Netz «Blau» 10

  • Von: 10101100.10101000.00000001.1000’0000 (=128)
  • Bis: 10101100.10101000.00000001.1011’1111 (=191)

Netz «Violett» 11

  • Von: 10101100.10101000.00000001.1100’0000 (=192)
  • Bis: 10101100.10101000.00000001.1111’1111 (=255)

Das logische Layout

5.6 Ein /24-er-Netz in vier ungleich grosse Teile aufteilen

Es ist folgendes Netzwerk gegeben: 172.16.1.0/24
(/24 ist das CIDR-Suffix bzw. die Subnetzmaske 255.255.255.0)
Dezimal 172.16.1.0 ergibt Binär: 10101100.10101000.00000001.00000000

Dieses Netz soll nun in vier ungleich grosse Subnetze aufgeteilt werden, wobei ein Netz 60 PC’s, ein nächstes 50 PC’s, ein weiteres 17 PC’s und schlussendlich das letzte 12 PC’s enthalten muss.

Es gilt folgendes zu beachten: Der erforderliche Adressbereich setzt sich zusammen aus:

  • IP-Adressen für die verlangte Anzahl PC's
  • Netzwerkadresse
  • Broadcastadresse
  • Routeradresse (mindestens eine)

Somit ergibt sich:

  • Netz «Rot»:
    60PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 63 IP’s
    Erfordert ein 64-er Netz
  • Netz «Grün»:
    50PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 53 IP’s
    Erfordert ein 64-er Netz
  • Netz «Blau»:
    17PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 20 IP’s
    Erfordert ein 32-er Netz
  • Netz «Violett»:
    12PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 15 IP’s
    Erfordert ein 16-er Netz

In einem /24-er Netz sind nur 4-er, 8-er, 16-er, 32-er, 64-er und 128-er Teilnetze möglich. (2n wobei n=2,3,4,5,6,7)

1. Variante: Lösung mit Kreisdiagramm

Die Netzwerkaufteilung kann wiederum anhand eines Kreisdiagramms aufgezeigt bzw. gelöst werden. Da das Ausgangsnetz 172.16.1.0/24 lautet und somit Platz für 256 IP-Adressen bietet, beginnt der Kreis oben mit dem Wert 0 und endet mit dem Wert 255.
Damit keine Adressüberlappungen entstehen können, sollen die Teilnetze im Uhrzeigersinn der Grösse nach geordnet eingezeichnet werden: Bei 12 Uhr beginnend mit dem grössten Netz, danach die immer kleineren.

  • Netz «Rot»: Beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 63 (=Broadcastadresse)
    64-er Netz ergibt Subnetzmaske: 255.255.255.192
  • Netz «Grün»: Beginnt mit IP-Adresse 64 (=Netzwerkadresse) und endet mit der IP-Adresse 127 (=Broadcastadresse)
    64-er Netz ergibt Subnetzmaske: 255.255.255.192
  • Netz «Blau»: Beginnt mit IP-Adresse 128 (=Netzwerkadresse) und endet mit der IP-Adresse 159 (=Broadcastadresse)
    32-er Netz ergibt Subnetmaske: 255.255.255.224
  • Netz «Violett»: Beginnt mit IP-Adresse 160 (=Netzwerkadresse) und endet mit der IP-Adresse 175 (=Broadcastadresse)
    16-er Netz ergibt Subnetzmaske: 255.255.255.240

2. Variante: Lösung durch Berechnung

Die vorgegebene IP-Adresse 172.168.1.0 lautet in Binärschreibweise: 10101100.10101000.00000001.00000000

Die dazugehörige Subnetzmaske 255.255.255.0 (CIDR-Suffix /24) lautet in Binärschreibweise:
11111111.11111111.11111111.00000000

Netz «Rot» 00

  • Aufteilung in 64-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 2 Bit nach rechts rücken: 11111111.11111111.11111111.1100’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
    (Hinweis: Binär 1100’0000 ergibt Dezimal 192)
  • Die IP-Adressen beginnen hier bei 0.
    Von: 10101100.10101000.00000001.0000’0000 (=0)
  • Die letzte Adresse dieses 64-er Netz ist 63 höher als die erste Adresse in Netz «Rot»
    Bis: 10101100.10101000.00000001.0011’1111 (=63)

Netz «Grün» 01

  • Aufteilung in 64-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 2 Bit nach rechts rücken: 11111111.11111111.11111111.1100’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
    (Hinweis: Binär 1100’0000 ergibt Dezimal 192)
  • Die erste Adresse in Netz «Grün» folgt nach der letzten Adresse des Netz «Rot»
    Von: 10101100.10101000.00000001.0100’0000 (=64)
  • Die letzte Adresse dieses 64-er Netz ist 63 höher als die erste Adresse in Netz «Grün»
    Bis: 10101100.10101000.00000001.0111’1111 (=127)

Netz «Blau» 100

  • Aufteilung in 32-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 3 Bit nach rechts rücken: 11111111.11111111.11111111.1110’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.224
    (Hinweis: Binär 1110’0000 ergibt Dezimal 224)
  • Die erste Adresse in Netz «Blau» folgt nach der letzten Adresse des Netz «Grün»
    Von: 10101100.10101000.00000001.1000’0000 (=128)
  • Die letzte Adresse dieses 32-er Netz ist 31 höher als die erste Adresse in Netz «Blau»
    Bis: 10101100.10101000.00000001.1001’1111 (=159)

Netz «Violett» 1010

  • Aufteilung in 16-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 4 Bit nach rechts rücken: 11111111.11111111.11111111.1111′0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.240
    (Hinweis: Binär 1111’0000 ergibt Dezimal 240)
  • Die erste Adresse in Netz «Violett» folgt nach der letzten Adresse des Netz «Blau»
    Von: 10101100.10101000.00000001.1010′0000 (=160)
  • Die letzte Adresse dieses 16-er Netz ist 15 höher als die erste Adresse in Netz «Violett»
    Bis: 10101100.10101000.00000001.1010′1111 (=175)

Das logische Layout

5.7 Das Muster-Kreisdiagramm

5.8 Die Netzmaskentabelle

Beim Bestimmen der Subnetzmaske kann diese Tabelle behilflich sein:

5.9 Subnetzkombinationen

Wir haben gelernt, dass im Kreisdiagramm die Netzwerke der Grösse nach eingezeichnet werden, damit garantiert werden kann, dass keine Adressüberlappungen entstehen. (Im Uhrzeigersinn Gross zu Klein). Diese Empfehlung soll in unserem Unterricht auch als Vorgabe verbindlich sein. Der vollständigkeithalber sei erwähnt, dass eine Anordnung nach folgendem Schema auch möglich wäre:


6. Routing

Was bedeutet "Routing"?

  • Router untersucht Datenpakete auf Layer 3 und leitet sie entsprechend weiter
  • Router benutzt dazu eine Routing Tabellen
  • Routing Tabellen Einträge von «Hand» in einer Tabelle erstellt: Statisches Routing
  • Automatisches Erstellen von Routing Tabellen: Dynamisches/adaptives Routing
    Damit können Datenpakete automatisch um ein beschädigtes, überlastetes oder fehlerhaftes Netzwerkelement herumgeführt werden.
    Netzwerkprotokolle für adaptives Routing:
    RIP (Routing Information Protocol)
    OSPF (Open Shortest Path First)
    IS-IS (Intermediate System to Intermediate System Protocol)
    IGRP/EIGRP (Interior Gateway Routing Protocol / Enhanced Interior Gateway Routing Protocol)
    (Adaptives Routing wird in Modul 129 nicht weiter behandelt)
  • Router bildet verschiedene Kollisionsdomänen
  • Router unterbricht MAC-Broadcast‘s (FF FF FF FF FF FF) und entlastet somit Netze
  • LAN Anbindung ans Internet über WAN
  • Unterteilung eines grösseren LAN’s in Subnetze
  • Verbindung zweier LAN’s über WAN
  • Remote Access in ein LAN
  • Internet Backbone
  • Router benötigt mehrere Netzwerkschnittstellen bzw. Interfaces (Ethernet: eth#, Serial; s#)
  • WAN-Anbindung über Serial Line Schnittstelle (s#) am Router

6.1 Der Zweck von TTL

Mit jedem Hop (=durchlaufener Router) wird TTL (Time To Live) um 1 dekrementiert. Falls TTL=0 gibt es eine Rückmeldung an den Absender: «Host unreachable». Dieser Effekt wird übrigens von Traceroute ausgenutzt.

6.2 Die Routingtabelle beim statischen Routing

  • Jedes Router-Interface hat eine IP-Adresse
  • Jedes Interface liegt in einem anderen Netz
  • Verbindungen zwischen Routern sind IP-Netze
  • Alle Verbindungen an einem Interface sind im selben IP-Netz
  • Zur Netzadresse immer auch die Netzmaske angeben

Hinweis: Im obigen Beispiel könnte man anstelle der beiden Routern auch nur ein zentraler Router verwenden, der drei Schnittstellen besitz und dadurch direkt mit den drei Netzwerken verbunden ist.

6.3 Die Defaultroute beim statischen Routing

Die Defaultroute wird mit 0.0.0.0 beschrieben und die dazugehörende Subnetzmaske lautet 0.0.0.0. Sämtliche IP-Pakete, deren Zielnetzwerkadresse keine Entsprechung in der Routingtabelle haben, werden an den Router in der Defaultroute-Zeile geschickt. Um keine redundanten Einträge zu erhalten, sollte ein Netzwerk, dass über die Defaultroute zu erreichen ist, nicht auch noch zusätzlich in der Routingtabelle aufgelistet sein.

6.4 Die Defaultroute beim PC

Damit Datenpakete die meinen PC verlassen und nicht an einen Empfänger innerhalb meines Subnetzes gelangen sollen ihr Ziel erreichen, müssen sie dem Netzwerkrouter zugestellt werden. Dieser ist dann dafür besorgt, dass die Pakete ins richtige Netz weitergeleitet werden. Allerdings bedingt dies, dass mein PC die Adresse des Routers kennt. Man nennt diese PC-Netzwerkeinstellung «Defaultroute». Windows spricht hier allerdings von einem «Standardgateway». Im folgenden zwei Beispiele, wo drei Netzwerke durch Router verbunden sind. Man beachte die Standardgateway-Einstellungen: Im oberen Beispiel muss man sich beim PC-2 für den Router1-2 oder Router2-3 entscheiden.

Diese Filius-Projektdatei können sie hier downloaden: RouterImSubnetz.fls

6.5 Nützliche Betriebssystem-Kommandos (Konsolenbefehle)

Voraussetzung für Routing: IP-Forwarding ist aktiviert. Dies erreicht man folgendermassen:

  • Unix: /etc/rc.config: IP_FORWARD=yes oder echo 1 > /proc/sys/net/ipv4/ip_forward
    Überprüfen: cat /proc/sys/net/ipv4/ip_forward (muss den Wert 1 anzeigen)
  • Windows: regedit HKEY_LOCAL_MACHINESYSTEMCurrentControlset ServicesTcpip Parameters > RMB IPEnableRouter Modify Edit DWordValue: IPEnableRouter; ValueData: 1. Danach ist ein Reboot nötig.

Netzwerkstatistiken anzeigen:
Mit dem Konsolenbefehl «netstat» kann man herausfinden, welche Ports geöffnet sind oder welche Verbindungen zu entfernten Rechnern bestehen. Für bestehende Verbindungen lässt sich unter anderem die Adresse der Gegenstelle ablesen. Als Sicherheitssoftware birgt netstat auch Missbrauchspotential durch Hacker (z. B. Identifikation offener Ports).