Netzwerktechnik

Netzwerktheorie

26. Januar 2021

Inhaltsverzeichnis

1. Einführung
1.1 Simplex - Halfduplex - Duplex
1.2 Netzwerktopologien
1.3 Leiterarten
1.4. Kabel vor Störungen schützen

2. Ethernetverkabelung
2.1 Der Kabelaufbau
2.2 Verdrahtung von Ethernetkabel
2.3 RJ45-Steckerherstellung
2.4 RJ45-Steckdosenherstellung
2.5 Straight Through oder Crossover
2.6 Ethernet-Medientypen
2.7 Universelle Gebäudeverkabelung
2.8 Das Logisches Layout und der Verkabelungsplan

3. Grundlagen zu Netzwerke betreiben
3.1 Das Medienzugriffsverfahren CSMA/CD
3.2 Der Hostname
3.3 Die MAC-Adresse (Physikalische Adresse)
3.4. Die IP-Adresse (Logische Adresse)
3.5 IPv4-Adressen /8 /16 und /24 (Historisch Klasse A, B und C)
3.6 Öffentliche und private IPv4-Adressbereiche
3.7 Broadcast- Netzwerk- und Loopbackadresse
3.8 IPv4-Adressbeispiele
3.9 IPv4-Adressklassen und Subnetzmaskenvarianten
3.10 Netze verbinden
3.11 Zeroconf oder APIPA
3.12 Ports (Protokoll)
3.13 IPv6 (Der Nachfolger von IPv4)
3.14 IPv6-Addresse automatisch beziehen
3.15 Die IPv6-Addresse im Detail
3.16 Der Internetzugang
3.17 Datenpakete adressieren (1)
3.18 Datenpakete adressieren (2) - Spezialfall Intranet zu Internet
3.19 Das OSI-Schichtenmodell und der TCP/IP-Stack
3.20 IP-Attribut TTL
3.21 Netzwerkkopplung auf OSI-Layer 2 (Switch/Hub)
3.22 Die Switching-Tabelle oder Source Address Table (SAT)
3.23 Eigenschaften von Switches
3.24 Netzwerkkopplung auf OSI-Layer 3 (Router)
3.25 Fehlersuche im Netzwerk

4. Bandbreitenabschätzung
4.1 Fallunterscheidungen
4.2 Bandbreitenreduktion am Switch
4.3 Bandbreitenreduktion im Netzwerk
4.4 Zusammenfassung Bandbreitenabschätzung

5. Subnetting
5.1 Die IPv4 Subnetzmaske
5.2 Definition der Netzwerk- und Broadcastadresse
5.3 Die CIDR-Schreibweise der Subnetzmaske
5.4 Ein /16-er-Netz in vier /24-er-Netze aufteilen
5.5 Ein /24-er-Netz in vier gleich grosse Teile aufteilen
5.6 Ein /24-er-Netz in vier ungleich grosse Teile aufteilen
5.7 Das Muster-Kreisdiagramm
5.8 Die Netzmaskentabelle
5.9 Subnetzkombinationen
5.10 IP-Adressüberlappung

6. Routing
6.1 Router-Adressen
6.2 Der Zweck von TTL
6.3 Die Routingtabelle beim statischen Routing
6.4 Die Defaultroute beim statischen Routing
6.5 Die Defaultroute beim PC
6.6 Nützliche Betriebssystem-Kommandos (Konsolenbefehle)

7. Netzwerkdokumentation
7.1 Ziele einer Netzwerkdokumentation
7.2 Dokumentenstruktur

8. Netzwerkmanagement
8.1 Netzwerkmanagement mit SNMP
8.2 Die MIB-Struktur
8.3 Polling und Trap
8.4 Datenaustausch zwischen Agent und Managementkonsole
8.5 SNMP-Versionen
8.6 RMON, eine Erweiterung von SNMP
8.7 Syslog, ein weiteres Werkzeug für die Netzwerküberwachung
8.8 Networkmanagement-Tools

9. WLAN
9.1 WLAN-Betriebsarten
9.2 WDS (Wireless Distribution Repeater)
9.3 WLAN-Sicherheit
9.4 WLAN-Frequenzen und Kanäle
9.5 WLAN-Funkantennen
9.6 Dämpfung von WLAN-Funkwellen
9.7 WLAN-Fehlersuche und Verbesserungspotenzial im eigenen WLAN
9.8 Die WLAN-Norm IEEE 802.11
9.9 WLAN-Begriffe und Abkürzungen

10. Mobilfunk
10.1 Die Generationen beim Mobilfunk

11. VLAN
11.1 Einführung
11.2 Der Nutzen beim Einsatz von VLAN
11.3 VLAN-Switches verbinden
11.4 Portbasierte VLANs
11.5 Tagged VLANs
11.6 Statische VLANs
11.7 Dynamische VLANs
11.8 Router on a Stick

12. WAN
12.1 Einführung
12.2 Verbinden von Firmenstandorten
12.3 LAN to LAN über Internet
12.4 LAN-to LAN über Provider-Backbone
12.5 Evaluation eines Anbieters fü LAN-to-LAN Interconnection
12.6 WAN-Entscheidungskriterien

13. VPN
13.1 Einführung
13.2 Die VPN-Verbindungsarten
13.3 Das VPN-Protokoll IPsec
13.4 IPsec: Transportmodus versus Tunnelmodus / AH und ESP
13.5 Der Verbindungsaufbau - Kryptographische Funktionen von IPsec
13.6 VPN-Tunnel Adressierungsbeispiele
13.7 NAT-Traversal
13.8 Weitere VPN-Protokolle
13.9 VPN-Software

14. Erste Schritte mit dem Network-Sniffer «Wireshark»
14.1 Über Wireshark
14.2 Warum Wireshark?
14.3 Wireshark-Displayfilter anwenden
14.4 Wireshark und verschlüsselte Webseiten

1. Einführung

1.1 Simplex - Halfduplex - Duplex

Damit werden die drei verschiedene Arten der Punkt-zu-Punkt Datenübertragung und Richtungsabhängigkeit von Kommunikationskanälen beschrieben:

1.2 Netzwerktopologien

Die Topologie bezeichnet bei einem Computernetz die Struktur der Verbindungen mehrerer Geräte untereinander, um einen gemeinsamen Datenaustausch zu gewährleisten. Es fehlen in dieser Aufzählung die vermaschten Netzte (wie z.B das Internet) und baumartige Strukturen.

Historisches Ethernet entspricht einer Bus-Topologie (z.B. Yellow-Cable). Aktuelles Ethernet entspricht einer Stern/Baum-Topologie.

1.3 Leiterarten

Draht

  • Starr, bricht bei mehrmaligem Biegen
  • Billiger in der Produktion
  • Stabiler beim Verlegen durch Kabelkanäle
  • Lässt sich nicht crimpen (Siehe RJ45-Steckerherstellung)
  • Verwendung in UGV-Verkablungen: Universelle Gebäudeverkabelung = Strukturierte Verkabelung

Litze

  • Flexibel, bricht nicht bei mehrmaligem Biegen
  • Aufwändiger und darum teurer in der Produktion
  • Verlegen durch Kabelkanäle kaum möglich
  • Lässt sich crimpen (Siehe RJ45-Steckerherstellung)
  • Verwendung bei Patch-Kabeln

Glasfaser

  • Starres Kabel das bei zu engem Biegeradius bricht
  • Billiger in der Produktion aber teuer in der Weiterverarbeitung (Stecker)
  • Lässt eine hohe Datenübertragung zu

1.4. Kabel vor Störungen schützen

  • Abschirmung: [Shielding/Screening] Der Faradaysche Käfig ist eine allseitig geschlossene Hülle aus einem elektrischen Leiter (z. B. Drahtgeflecht oder Blech), die als elektrische Abschirmung wirkt.
  • Verdrillte Leitungspaare: [Twisted Pair] Störungen wirken auf beide Drähte gleichzeitig und heben sich dank der verdrillten Paar-Anordnung gegenseitig auf.

2. Ethernetverkabelung

Mit Ethernet meint man Hardware wie Kabel, Kopplungselemente etc. Software wie z.B. Protokolle. Ethernet ermöglicht den Datenaustausch in Form von Datenpaketen zwischen den in einem lokalen Netz (LAN) angeschlossenen Geräten wie PC, Server, Drucker etc. Derzeit sind Übertragungsraten von 10 Mb/s, 100 Mb/s (Fast Ethernet), 1000 Mb/s (Gigabit-Ethernet), 10, 40 und 100 Gb/s spezifiziert.

2.1 Der Kabelaufbau

  • U=Unshielded (Ungeschirmt)
  • S=Shielded oder Screened (Geflechtschirm, gegen niederfrequente Störungen)
  • F=Foiled (Folienschirm, gegen hochfrequente Störungen)
  • SF=Screened & Foiled
  • TP=Twisted Pair (Verdrillte Aderpaare)

Screened: Schirm über das ganze Kabel
Shielded: Schirm über die verdrillten Aderpaare

Beispiel:

  • S/STP = Screened / Shielded Twisted Pair
  • SF/STP = Screend-Foiled / Shielded Twisted Pair

2.2 Verdrahtung von Ethernetkabel

Gezeigt wird das sog. Farbschema T568B. Alternativ gibt es auch das Farbschema T568A, auf das hier nicht weiter eingegangen wird.

  • 100 BASE TX besteht aus TX-Leiterpaar (T=Transmit) und RX-Leiterpaar (R=Receive)
  • 1000 BASE T besteht aus 4 Leiterpaaren (D1+, D1-, D2+, D2-,D3+, D3-,D4+, D4-), welche die Daten Bi-Direktional übertragen.

Eine kleine Anekdote zu der etwas eigenartigen Verdrahtung des RJ45-Steckers
Wie aus dem obigen Bild ersichtlich, schiebt sich das blaue Aderpaar zwischen das Grüne. Elektrisch gesehen sicher kein Mehrwert. Woher kommt es dann? Wie oft bei solchen Dingen, ist dies mit einer historischen Entwicklung zu erklären:
Es war einmal die Telefon-Zweidrahtleitung. Beim Verdrahten des 2-poligen Telefonsteckers bzw. genormten Buchse oder auf Englisch Registered Jack, kurz RJ, musste der Elektriker sich nicht allzusehr darum kümmern, welche Drähte in welche Buchsen gestopft werden – es funktionierte immer. Als man dann zwei Telefongespräche über ein einziges Kabel schicken wollte, musste man nur um zwei Drähte aufstocken. Um sich nicht plötzlich über Falschverpolung zu sorgen, wurden die beiden Drähte einfach ausserhalb des ursprünglichen Kabelpaars angeordnet und man konnte den Stecker sozusagen unbeschwert auch verkehrt einstecken.  Als dann Ethernet in den Büros Einzug hielt, damals nur auf zwei Aderpaare beschränkt, wollte man Telefon und Ethernet über dieselbe Leitung betreiben, also fügte man links und rechts der bestehenden vier Verbindung je ein Aderpaar hinzu. Der 8-polige Stecker war erfunden und ist auch heute noch unter der Bezeichnung RJ45 bekannt. Dank der speziellen Verbindungsanordnung ist aber immer noch der «alte» Telefonstecker RJ11 ohne Probleme in eine RJ45-Buchse «mittig» einsteckbar. Das analoge Telefon hat ja bekanntlich zugunsten der IP-Telefonie ausgedient, die schräge Kabelanordnung ist aber geblieben und wenn sie nicht gestorben sind, dann leben sie noch heut‘

2.3 RJ45-Steckerherstellung

  • Die Kabel müssen aus Litze sein, sonst funktioniert das Crimpen nicht
  • Beim Einführen der Litzenkabeln unbedingt die Farbreihenfolge beachten
  • Die Litzen werden nicht abisoliert
  • Das fertige Kabel vor dem Einsatz testen

Geschirmte Kabel wie z.B. das S-UTP-Kabel (Screened Unshielded Twisted Pair) benötigen RJ45-Stecker mit Abschirmung. Man erkennt diese an den spiegelnden Oberflächen.
Bei ungeschirmten Kabeln wie das UTP-Kabel (Unshielded Twisted Pair) genügen RJ45-Stecker ohne Abschirmung. Man erkennt diese an ihren Oberflächen aus durchsichtigem Kunststoff.

2.4 RJ45-Steckdosenherstellung

Die RJ45-Steckdosen oder Buchsen sind Teil der Universellen Gebäudeverkabelung UGV, die mit Ethernet-Drahtkabel ausgeführt wird. Je nach Anwendung sind verschiedene Ausführungen erhältlich:

  • Leiterplattenmontage, Lötpins/fahne
  • Schraubverbindungen
  • IDC-Schneidklemmen (Insulation Displacement Connector / Isolierungsverdrängungsverbinder) bei Gerätebuchsen für Fronteinbau in Patchpanels

2.5 Straight Through oder Crossover

  • Kabel 1:1 (Straight Through) verdrahtet (PC zu Switch) bedeutet:
    Transmit-Pair: Senden mit Senden verbunden
    Receive Pair: Empfangen mit Empfangen verbunden
  • Kabel ausgekreuzt (Crossover) verdrahtet(Uplink oder PC zu PC) bedeutet:
    Senden verbunden mit Empfangen
    Empfangen verbunden mit Senden

2.6 Ethernet-Medientypen

Die verschiedenen Ethernet-Varianten unterscheiden sich in Übertragungsrate, den verwendeten Kabeltypen und der Leitungskodierung:

2.7 Universelle Gebäudeverkabelung

Die UGV (Universelle Gebäude Verkabelung) bzw. «Strukturierte Verkabelung» stellt einen einheitlichen Aufbauplan für Verkabelungen dar und ist Teil der technischen Infrastruktur einer Liegenschaft.

  • Der Primärbereich ist die Verkabelung der Gebäude eines Standortes untereinander und wird auch als Campusverkabelung bezeichnet.
  • Der Sekundärbereich ist die vertikale Stockwerkverkabelung, also die Verkabelung der Stockwerke eines Gebäudes untereinander und wird auch als Steigbereichverkabelung oder als Gebäudeverkabelung bezeichnet.
  • Der Tertiärbereich ist die horizontale Stockwerkverkabelung, also die Verkabelung innerhalb der Stockwerke eines Gebäudes und wird auch als Etagenverkabelung bezeichnet.
  • Patchpanels für Kupfer- und Glasfaserkabel sind verschieden grosse Verteilerfelder und stellen je nach benötigter Menge entsprechend viele Anschlüsse (Anschlussdosen) zur Verfügung.
  • Patchkabel für die Rangierungen zwischen Patchpanels oder Patchpanel und Switch's oder Anschlusssteckdose und Endgerät.

2.8 Das Logisches Layout und der Verkabelungsplan

In der Netzwerktechnik unterscheidet man zwei Arten von Topologien:  Die logische und physische Topologie. Man spricht auch von logischem Layout und physikalischem Layout (=Verkabelungsplan).
Das logisches Layout hat mehr den Aspekt eines logischen Aufbaus und soll aufzeigen, welche Komponenten (PC, Server, Switch, Router) wie miteinander verbunden sind. Die Kabelführung, UGV (Universelle Gebäudeverkabelung) oder Patchkabel ist hier nicht von Bedeutung. Anders sieht das beim Verkabelungsplan aus. Hier ist die Verkabelung anhand eines Gebäudegrundrisses dokumentiert. Es soll daraus auch ersichtlich sein, ob die Verbindung als UGV oder Patchkabel realisiert wird. Generell gilt: Festinstallationen werden als UGV ausgeführt und zwar von Netzwerksteckdose zu Netzwerksteckdose. Die Komponenten werden mit Patchkabeln an die Netzwerksteckdosen (oder Patchpanels) angeschlossen. Der Gebäudeverkabelungsplan soll dem Installateur aufzeigen, wie er das Gebäude zu verkabeln hat. Wichtig ist, dass logisches Layout und Verkabelungsplan übereinstimmen bezüglich Anschluss und Beschriftung der Komponenten.
Im folgenden  nun ein Beispiel:

Das logische Layout

Das entsprechende physikalische Layout:

Und der Verkabelungsplan (Auftrag für den Elektroinstallateur)


3. Grundlagen zu Netzwerke betreiben

3.1 Das Medienzugriffsverfahren CSMA/CD

Für das Ur-Ethernet 10BASE5 wird ein 10 mm dickes Koaxialkabel, genannt Yellowcable, verwendet. Zum Anschluss von Geräten muss mittels einer Bohrschablone ein Loch in das Kabel gebohrt werden, durch das ein Kontakt einer Spezialklemme des Transceivers eingeführt und festgeklammert wird. An diesen Transceiver (MAU=Media Access Unit) wird mittels der AUI (Attachment Unit Interface)-Schnittstelle über ein Verbindungskabel die Netzwerkkarte des Computers angeschlossen. Dieser Standard bietet 10 Mbit/s Datenrate bei Übertragung im Base-Band und 500 m Reichweite mit maximal 100 Teilnehmern. Die Leitung hat keine Abzweigungen, und an den Enden sitzen Abschlusswiderstände.

Alle Stationen «hören» am Kabel. Eine sendewillige Station schickt Daten mit Empfänger und Absender versehen auf das Kabel. Die betroffene Station «fischt» sich die Daten heraus. Diese Topologie erforderte eine Regelung wie kommuniziert werden soll. Diese Regelung nennt sich CSMA/CD und hat auch noch bei heutiger moderner Ethernetverkabelung seine Gültigkeit.

(Carrier Sense Multiple Access / Collision Detection zu Deutsch: Mehrfachzugriff mit Trägerprüfung und Kollisionserkennung)

Unter dem Jam-Signal ist ein eindeutiges Signal zu verstehen, das allen Maschinen verdeutlicht, dass eine Kollision stattgefunden hat uns sie sich zurückziehen sollten.

3.2 Der Hostname

Der Hostname ist die eindeutige Bezeichnung eines Host's wie z.B. PC, Server, Drucker etc. in einem Netzwerk. Die Umsetzung des Hostnamens in eine IP-Adresse erfolgt über das Domain Name System (DNS), früher über die hosts-Datei.

Die Namensvorgaben:

  • Länge 1..63 Zeichen
  • Buchstaben a..z oder A..Z (zwischen Gross- und Kleinbuchstaben wird nicht unterschieden, d.h. nicht case-sensitiv)
  • Die Zahlen 0..9
  • Bindestrich -

In einer grösseren IT-Umgebung empfiehlt sich ein geeignetes Namenskonzept. Der Hostname eines Geräts kann z.B. einen Hinweis auf seinen Standort enthalten. Dies erleichtert das Aufsuchen eines Geräts im Fall von Troubleshooting oder Wartungsarbeiten.

3.3 Die MAC-Adresse (Physikalische Adresse)

Die MAC-Adresse (Media Access Control) ist die physikalishe Adresse bzw. Hardware-Adresse jedes einzelnen Netzwerkadapters, die als eindeutiger Identifikator des Geräts in einem Rechnernetz dient.

Format der MAC-Adresse: xx-xx-xx-yy-yy-yy (48 Bit oder 6 Byte)

  • Die vorderen 3 Bytes (x) entsprechen dem Vendor-Code, Herstellercode oder OUI (Organizationally Unique Identifier)
  • Die hinteren drei Bytes (y) entsprechen einer Serien-Nummer
  • Die MAC-Adresse wird üblicherweise hexadezimal geschrieben
  • Die MAC-Adresse ff-ff-ff-ff-ff-ff wir als Broadcastadresse verwendet
  • Die MAC-Adresse(n) kann man sich unter Windows mit folgenden Systemkommandos anzeigen lassen:
    ipconfig /all
    getmac /s <ip-adresse>
    arp -a (Aktuelle Einträge in der ARP-Tabelle)

3.4. Die IP-Adresse (Logische Adresse)

Warum eine weitere Adresse?

Warum braucht es neben der MAC-Adresse, die ein Endgerät ja schon eindeutig identifiziert, noch eine zweite, die IP-Adresse?

  • Eine hohe Anzahl Netzwerkteilnehmer generiert viel Traffic und damit auch viele Kollisionen, was zu einer schlechten Performance führt.
    Aus diesem Grund wurde das Netzwerk in Netzwerksegmente aufgeteilt und somit der Datenverkehr etwas separiert. Damit aber Datenpakete in und über fremde Netzwerksegmente geleitet werden können, braucht es eine Netzwerkadresse mit einer zusätzlichen Information, nämlich ihr angestammtes Netzwerksegment.
  • Der MAC-Adresse wurde die IP-Adresse zur Seite gestellt, wobei die MAC-Adresse für die lokale Zustellung innerhalb des Netzwerksegments und die IP-Adresse für die globale Zustellung über vermaschte Netwerksegmente hinweg relevant ist.
  • Würde nur eine vom Hersteller dem Produkt zugeordnete MAC-Adresse existieren, wäre eine Netzwerksegmentierung (Aufteilung in Form von Netz-ID, Host-ID) nicht realisierbar. Es bräuchte zusätzliche Angaben. Also sind wir wieder bei der individuell zuteilbaren IP-Adresse, die dank einer ebenfalls individuell zuteilbaren Subnetzmaske Netz-ID von Host-ID trennt.
  • Würde nur die individuell zuteilbare IP-Adresse bestehen, wäre es nicht ohne weiteres möglich, Adressen wie bei DHCP automatisch zu vergeben. Dies darum, weil bei einer Adressanfrage eines Clients an einen entsprechenden Server (DHCP-Dienst), der Client nicht eindeutig identifizierbar wäre, weil er ja eben noch keine Adresse besitzt. Würde man dies mit einer Art Seriennummer lösen, wären wir exakt wieder bei der bereits bestehenden Lösung mit der MAC-Adresse.
Ursprünglich wies die sogenannte Netzwerkklasse (A, B, C) darauf hin, in welchem Netzwerksegment sich der Host befindet. Dies erwies sich aber als unflexibel und Verschwenderisch bezüglich der Ressource «IP-Adresse», so dass die 32 bittige IP-Adresse ab 1985 mit einer 32 bittigen Subnetzmaske ergänzt wurde. Die Unterteilung in Netzwerkklassen wurde 1993 fallen gelassen. Trotzdem werden die Klassenbezeichnungen im IT-Bereich umgangssprachlich noch genutzt, wenn man z.B. von einer «Privaten Klasse-A Adresse» spricht.

Die IP-Adresse wird durch die Subnetzmaske in zwei Teile geteilt:

  • Vorderer Teil: Netz-ID (= Netzwerksegment)
  • Hinterer Teil: Host-ID (= Host-Nr. innerhalb des Netzwerksegments)

3.5 IPv4-Adressen /8 /16 und /24 (Historisch Klasse A, B und C)

Klasse-A: NETZ-ID = 10 / HOST-ID = 0.0.9

Klasse-B: NETZ-ID = 172.16 / HOST-ID = 20.161

Klasse-C: NETZ-ID = 192.168.5 / HOST-ID = 33

Ist so nicht möglich.

Netzwerkadresse = 10.0.0.208. Siehe Subnetting auf dieser Webseite.

3.6 Öffentliche und private IPv4-Adressbereiche

Die öffentlichen IP-Adressen werden ausschliesslich im Internet (WW=World Wide Web) genutzt und von der IANA (Internet Assigned Numbers Authority) verwaltet bzw. die Verwaltung für Europa an RIPE (Réseaux IP Européens) delegiert.

Die privaten IP-Adressen sind für’s Intranet reserviert. Dessen Betreiber ist selber für die Adressverwaltung verantwortlich. Dabei kann der Einsatz eines sog. DHCP-Servers (Dynamic Host Configuration Protocol) das Risiko von Adressdoppelbelegungen mindern, aber nicht ausschliessen. Der DHCP-Server wird auf dieser Webseite bei den Serverdiensten besprochen.

3.7 Broadcast- Netzwerk- und Loopbackadresse

  • Broadcastadresse: Wird als Empfänger die Broadcast-Adresse angegeben, sind alle Geräte im entsprechenden Subnetz angesprochen.
    Regel: Alle Hostbits = 1
  • Netzwerkadresse: Adresse des Netzwerks. Einem Host darf keine Netzwerkadresse zugewiesen werden. Netzwerkadressen werden z.B. in Routingtabellen bei Routern verwendet bzw. eingetragen, damit die IP-Pakete an’s richtige Ziel finden.
    Regel: Alle Hostbits = 0
  • Loopback-Adresse:  Dient zu Prüfzwecke, um die eigene Netzwerkkarte zu prüfen und ist bei jedem Host 127.0.0.1

3.8 IPv4-Adressbeispiele

  • Netz-Klasse A
    Standard-Subnetzmaske: 255.0.0.0
    Netzwerkadresse  x.0.0.0
    Broadcastadresse  x.255.255.255
    Loopbackadresse 127.0.0.1
  • Netz-Klasse B
    Standard-Subnetzmaske: 255.255.0.0
    Netzwerkadresse  x.y.0.0
    Broadcastadresse  x.y.255.255
    Loopbackadresse 127.0.0.1
  • Netz-Klasse C
    Standard-Subnetzmaske: 255.255.255.0
    Netzwerkadresse  x.y.z.0
    Broadcastadresse  x.y.z.255
    Loopback-Adresse  127.0.0.1

Da die privaten IP-Adressen im Internet nie in Erscheinung treten, können diese in jedem Intranet frei verwendet werden. Die Adresse 192.168.1.1 ist dementsprechend so ziemlich in jedem lokalen Netzwerk anzutreffen. Wie diese Host's sich trotzdem mit dem Internet verbinden können, wird im Fachbeitrag zum Internetzugang beschrieben. (Stichwort: NAT)

3.9 IPv4-Adressklassen und Subnetzmaskenvarianten

Die bisher besprochenen Subnetzmasken der A,B und C-Klasse-Netzwerke sind sogenannte Standard-Subnetzmasken. Unter der einschränkenden Vorgabe (wie z.B. in Modul 117), die Subnetzmasken auf Oktettgrenzen zu beschränken, können die Netze z.B. auch so aufgeteilt werden:

  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.0.0.0 (Standard)
  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.255.0.0
  • A-Klasse (Privat) 10.y.y.y mit Subnetmaske 255.255.255.0
  • B-Klasse (Privat) 172.x.y.y mit Subnetzmaske 255.255.0.0 (Standard)
  • B-Klasse (Privat) 172.x.y.y mit Subnetmaske 255.255.255.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetzmaske 255.255.255.0 (Standard)

(Wobei gilt: x=16..31 und y=0..255)

Folgendes ist allerdings nicht möglich:

  • B-Klasse (Privat) 172.x.y.y mit Subnetmaske 255.0.0.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetmaske 255.0.0.0
  • C-Klasse (Privat) 192.168.y.y mit Subnetmaske 255.255.0.0

Weitere Subnetzmasken, nämlich solche, die nicht auf einer Oktettgrenze liegen, sind auch möglich, werden aber erst in Modul 129 eingeführt. Siehe den Fachbeitrag zu Subnetting auf dieser Webseite.

3.10 Netze verbinden

Wer kommuniziert nun mit wem? (ohne Router)

Verschiedene Subnetze müsssen gekoppelt werden. Dazu dient der Router. Der Router überträgt nur IP-Pakete ins benachbarte Netz, die dieses auch betreffen. Somit hat der Netzwerkverkehr im einen Subnetz keinen Einfluss auf das Nachbarnetz. Der Router verschickt keine Broadcast’s in andere Subnetze. Geroutete Netze haben auch noch andere Vorteile: So lassen sich in vermaschten Netzwerken wie z.B. das WWW (World Wide Web) je nach Traffic und Verfügbarkeit alternative Routen wählen. Wie z.B. vor ihren Sommerferien, wo sie je nach Staulage den Gotthardtunnel oder San Bernardino-Tunnel als Reiseroute in den Süden wählen.

Subnetting und Routing werden später in diesem Dokument ausführlich behandelt.

3.11 Zeroconf oder APIPA

Zeroconf oder Zero-Configuration-Networking bzw. APIPA (Automatic Private IP Addressing) dient der selbständigen Konfiguration von Rechnernetzen z.B. bei einem Ausfall eines DHCP-Servers. Dabei handelt es sich um einen auf dem ARP-Protokoll (Address Resolution Protocol) aufbauenden Mechanismus, um für eine Netzwerkschnittstelle automatisch eine freie IP-Adresse auszuwählen. Für genau diesen Zweck ist dafür von der IANA der Adressbereich 169.254.0.0/16 vorgesehen.

3.12 Ports (Protokoll)

Ein Port ist der Teil einer Netzwerk-Adresse, der die Zuordnung von TCP- und UDP-Verbindungen und -Datenpaketen zu Server- und Client-Programmen durch Betriebssysteme bewirkt. Zu jeder Verbindung dieser beiden Protokolle gehören zwei Ports, je einer auf Seiten des Clients und des Servers.

Gültige Portnummern sind 0 bis 65535.

  • Ports sind ein Merkmal zur Unterscheidung mehrerer Verbindungen zwischen demselben Paar von Endpunkten (z.B. mehrere gleichzeitig geöffnete Webbrowser)
  • Ports können Netzwerkprotokolle und entsprechende Netzwerkdienste identifizieren (Well-Known-Ports)
  • System-Ports oder Well known Ports: 0 bis 1023
    z.B.: 7: ECHO / 20/21: FTP / 25: SMTP / 80: HTTP / 110: POP3 etc.
  • Registered-Ports: 1024 bis 49151
  • Dynamic-Ports: 49152 bis 65535

Hinweis: Dem Begriff Port begegnet man auch an anderen Orten, wobei dieser dann eine andere Bedeutung hat als die hier beschriebene. Zum Beispiel spricht man bei Computer-Hardware von Port’s und meint dann den USB-Port, einen PCI-Port etc.. Bei Switches spricht man bei den Hardware-Schnittstellen bzw. RJ45-Buchsen auch von Ports.

3.13 IPv6 (Der Nachfolger von IPv4)

Das aus den frühen 1970er Jahre stammende Internet Protocol Version 4 (IPv4) ist Basis für beinahe sämtliche Internet-Kommunikation. Seit 2011 ist aber der verfügbare Adresspool aufgebraucht und ein Übergang zum Internet Protocol Version 6 (IPv6) ist unvermeidbar (Die Version 5 wurde übrigens ausgelassen.). Dies bedeutet nicht, dass bestehende IPv4-Netze nun sofort auf IPv6 umgestellt werden müssen. Der Übergang kann schrittweise erfolgen bzw. die Protokolle können während der Übergangsphase parallel genutzt werden (Dual Stack).

In IPv6-Netzen kommt den Routern eine wichtigere Rolle zu als früher bei IPv4-Netzen. Der Router kann die Aufgabe übernehmen, die angeschlossenen Geräte mit IP-Adressen zu versorgen. Im Folgenden eine kurze Übersicht zu IPv6.

Einige Unterschied von IPv4 zu IPv6

  • IPv6 hat eine Länge von 128 Bit, IPv4 hat eine Länge von 32 Bit
    Der Adressraum von IPv6 ist gross genug, um auf absehbare Zeit für alle mit dem Internet verbundenen Geräte global eindeutige Adressen zur Verfügung zu stellen.
  • Jedes Gerät wird auf diese Weise potenziell global adressierbar. Ausser bei Spezialfällen ist somit kein NAT mehr erforderlich.
  • IPv4-Broadcast's sind IPv6-Multicast's gewichen: FF00:-Adressen
  • Layer3 zu Layer2-Auflösung (IP zu MAC) einheitlich (ARP-Protokoll wird durch NDP-Protokoll Neighbor-Discovery-Protokoll ersetzt, welches auf ICMPv6 basiert)
  • Statisches Routing von IPv6 wird wie bei IPv4 eingerichtet. Bei dynmaischem Routing ergeben sich Änderungen gegenüber IPv4.

3.14 IPv6-Addresse automatisch beziehen

  • Stateless Address Autoconfiguration (SLAAC)
    Bei Netzen mit hoher Fluktuation und ohne strenge Zugangskontrolle teilt ein entsprechend konfigurierter Router den angeschlossenen Geräten mit, welches Präfix er für das angeschlossene Netz anbietet. Alle angeschlossenen Geräte konfigurieren ihre Netzwerkschnittstellen selbstständig (ähnlich APIPA) und ohne die Notwendigkeit einer zentralen Verwaltung (wie DHCP) indem sie eine für das betreffende Netz passende Adresse erzeugen und prüfen, ob diese bereits verwendet wird. Ist dies der Fall, wird so lange eine neue Adresse gesucht und getestet, bis eine unbenutzte gefunden wurde. Anfangs war es nicht vorgesehen, im Rahmen von SLAAC den angeschlossenen Geräten weitere Informationen wie die Adresse eines DNS-Servers zu übermitteln. Diese Möglichkeit wurde aber inzwischen geschaffen, so dass SLAAC eine vollwertige Methode zur Netzwerkkonfiguration darstellt.
  • Stateless DHCP
    Das am Netz angeschlossene Geräte konfiguriert seine IPv6-Adresse per SLAAC, beziehen aber weitere Informationen wie z.B. DNS-Server-Adresse von einem DHCP-Server.
  • Stateful DHCP
    Für Netze, bei denen eine sehr enge administrative Kontrolle über ans Netz angeschlossene Geräte erforderlich ist, steht DHCP in einer zu in IPv4-Netzen verwendeten DHCP funktional äquivalenten Variante auch unter IPv6 zur Verfügung.

3.15 Die IPv6-Addresse im Detail

Adresstypen

  • IPv6-Global-Unicast-Adressen entsprechen den öffentlichen IPv4-Adressen. (Kein NAT mehr notwendig.)
  • IPv6-Unique-Local-Adressen entsprechen den privaten IPv4-Adressen und werden nicht global geroutet.
  • IPv6-Link-Local-Adressen habe ihre Gültigkeit innerhalb eines gemeinsamen Netzsegments bzw. VLANs und werden nicht geroutet: FE80:-Adressen.

Adressnotation

  • Die IPv6-Adressen werden hexadezimal notiert zu je 8 Blöcken mit 4 Hexziffern (=16Bit) und durch Doppelpunkte getrennt. (IPv4: Dezimal und Punkte)
    Beispiel:
    2001:0db8:85a3:08d3:1319:8a2e:0370:7344
  • Führende Nullen können ausgelassen werden.
    Beispiel:
    2001:0db8:0000:08d3:0000:8a2e:0070:7344 wird zu 2001:db8:0:8d3:0:8a2e:70:7344
  • Mehrere aufeinander folgende Blöcke mit 0 dürfen ausgelassen werden, indem zwei aufeinander folgende Doppelpunkte notiert werden.
    Beispiel:
    2001:0db8:0:0:0:0:1428:57ab wird zu
    2001:db8::1428:57ab
    wobei höchstens eine zusammenhängende Null-Gruppe mit Doppel-Doppelpunkten ersetzt werden darf!
  • Für die letzten beiden Blöcke (4Bytes=32Bit) darf auch die herkömmliche dezimale Notation verwendet werden.
    Beispiel:
    ::ffff:7f00:1 wird zu
    ::ffff:127.0.0.1 (=IPv4-Einbettung in IPv6)

URL-Notation

Die IPv6-Adresse wird in eckige Klammern eingeschlossen und eine allfällige Portnummer wie bei IPv4 hinter einem Doppelpunkt angehängt.
Beispiel:
http://[2001:0db8:85a3:08d3::0370:7344]:8080/

Netznotation

In der CIDR-Notation wie bei IPv4.
Beispiel:
2001:0db8:1234::/48 steht für
2001:0db8:1234:0000:0000:0000:0000:0000 bis 2001:0db8:1234:ffff:ffff:ffff:ffff:ffff.
Die Standard-Präfixlänge ist /64.

Segmentierung

  • Network Prefix (Subnet Prefix)
  • Interface Identifier

Der Provider konfektionieren Business-Anschlüsse mit IPv6 so, dass Administratoren über 8 bis 16 Bit Adressraum freie Hand haben (Subnet-ID), um damit ihre Netze segmentieren zu können.



Dual-Stack-Adressbeispiel IPv4 und IPv6

Dieses Beispiel bezieht sich auf die fiktive Firma Muster GmbH mit folgenden Vorgaben:

  • Die IPv4-LAN-Netzwerkadresse der Firma lautet: 192.168.1.0/24
  • Die Firma hat als Internet-Service-Provider die Firma Swisscom inkl. dem Swisscom-Standard-VDSL-Router
  • Die PC's der Firma werden mit WIN10 betrieben. WIN10 unterstützt IPv6
Die folgenden Bilder beziehen sich auf den lokalen PC mit der IPv4-Adresse 192.168.1.111

Netzwerktopologie (Dual-Stack-Mode → IPv4 parallel zu IPv6):
Webbrowser → Durch Webseitenaufruf IP-Adressen überprüfen: Man erkennt dabei folgendes:
  • Öffentliche IPv4-Adresse des Routers 92.104.142.137
  • IPv6-Global-Unicast-Adresse des Routers WAN-seitig 2a02:...

Netzwerkparameter mit ipconfig /all ermitteln: Man erkennt dabei folgendes:
  • IPv4-Adresse des Hosts (PC) 192.168.1.111
  • IPv6-Link-Local-Adresse des Hosts (PC) fe80:...
  • IPv6-Global-Unicast-Adresse des Hosts (PC) 2a02:...
  • IPv4-Adresse des Routers 192.168.1.1
  • IPv6-Link-Local-Adresse des Routers fe80:...
  • IPv6-Global-Unicast-Adresse des DNS (Swisscom VDSL-Internetzugang inkl. DNS und Router etc.) 2a02:...

Angaben im VDSL-Router von Swisscom: Man erkennt dabei folgendes:
  • Öffentliche IPv4-Adresse des Routers 92.104.142.137
  • IPv6-Global-Unicast-Adresse des Routers LAN-seitig 2a02:...
  • IPv4-Adresse des Routers LAN-seitig 192.168.1.1
IPv6-Adressbereich und Subnetting:
Die whois-Abfrage für die IPv6-Adresse 2a02:1204:b778:4c20:a7db:d2ef:de32:a30c ergibt das folgende Resultat:
  • inet6num: 2a02:1200::/28
  • netname: SWISSCOM-6RD
  • descr: Swisscom (Schweiz) AG
  • descr: This range is used for dynamic customer pools with 6RD
  • country: CH
Die Bedeutung von 2a02:1200::/28
2   a   0   2   :   1   2   0     /28
4b  4b  4b  4b      4b  4b  4b    =28Bit
(Eine Hex-Ziffer entspricht 4Bit)
Typischerweise bekommt ein InternetServiceProvider (ISP) wie die Swisscom die ersten 32 Bit (bei Swisscom 28 Bit) als Netz von einer Regional Internet Registry (RIR) zugewiesen. Dieser Bereich wird vom Provider weiter in Subnetze aufgeteilt. Die Länge der Zuteilung an Endkunden wird dabei dem ISP überlassen. Vorgeschrieben ist die minimale Zuteilung eines /64-Netzes.
MusterGmbH hat von Swisscom das folgende IPv6-Netz erhalten: 2a02:1204:b778:4c20::/64



3.16 Der Internetzugang

Die Marketingabteilungen dieser Geräte geben ihnen eine unpräzise Bezeichnung, nämlich xDSL-Router. Es handelt sich dabei aber um mehr als nur einen Router. Der Router verbindet einzig und allein IP-Netze, arbeitet somit auf OSI-Layer 3 bzw. Network-Layer. xDSL-Router verfügen aber meist über viel mehr Funktionen wie Modem, Router, DNS, DHCP, NAT, Firewall, WLAN und Switch. Oft gehören auch USB- und DECT-Schnurlos-Telefonanschlüsse dazu. Es handelt sich also vielmehr um ein Multifunktionsgerät als nur um einen simplen Router. Im Fachhandel sind selbstverständlich auch Router im Angebot, die diesen Namen verdienen, weil sie ausschliesslich diese eine Funktion beherrschen.

Die meist anzutreffenden Funktionen in einer Übersicht:

  • Modem xDSL: Für den Signalaustausch über das Telefonnetz. Analog oder ISDN.
    xDSL steht für:
    ADSL : Asymmetric Digital Subscriber Line und bedeutet, dass der Uplink nicht dieselbe Bandbreite aufweist – meist langsamer – als der Downlink.
    SDSL : Symmetric Digital Subscriber Line und bedeutet, dass Uplink und Downlink dieselbe Bandbreite aufweisen. Dies ist z.B. für LAN-WAN-LAN-Verbindungen erforderlich.
  • Router: Der Router verbindet das Intranet mit der Aussenwelt bzw. routet Datenpakete vom und zum Internet.
  • DHCP-Dienst: Für eine automatische Zuweisung von IP-Adressen an die PC’s.
  • DNS-Dienst: Für die Namensauflösung URL zu IP-Adresse.
  • NAT: Network-Adress-Translation. Übersetzt interne (private) IP-Adressen in eine externe (öffentliche) IP-Adresse und umgekehrt.
  • Firewall: Für einen «einfachen» Schutz vor unerwünschten Datenpaketen.
  • WLAN: Wireless Local Area Network, Drahtloses lokales Netzwerk.
  • Switch: Drahtgebundene Netzwerkvermittlungsstelle

3.17 Datenpakete adressieren (1)

Anfrage (Absender zu Empfänger):

Die Antwort auf die obige Anfrage:

3.18 Datenpakete adressieren (2) - Spezialfall Intranet zu Internet

Im Intranet haben die Host’s eine IP-Adresse aus dem privaten IP-Adressbereich. Der xDSL-Router erhält seine öffentliche IP-Adresse vom DHCP-Server des ISP's (Internet Service Provider). Werden Datenpakete ins Internet versandt, müssen die internen privaten IP-Adressen in öffentliche IP-Adressen «umgewandelt» werden. Dafür ist ein Verfahren zuständig, das NAT (Network Address Translation) genannt wird.

Anfrage (Absender im Intranet zu Empfänger im Internet):

Die Antwort auf die obige Anfrage:

(Source-)NAT (Network Address Translation) bezeichnet das Verfahren, das automatisiert Adressinformationen in Datenpaketen durch andere ersetzt, um verschiedene Netze zu verbinden. Zentrale Aufgabe ist das Ersetzen der privaten Absender-IP durch die öffentliche. Damit das bei einem Intranet mit mehreren Teilnehmer reibungslos funktionieren kann, muss von jedem Datenpaket woher es kommt in der NAT-Tabelle gespeichert werden, damit die Serverantwort wieder zum richtigen Adressaten zurückfindet. Dies löst man, indem man das IP-Paket mit modifizierter Absender-Portnummer an den Webserver schickt und dessen Antwort gemäss NAT-Tabelle wieder in die ursprüngliche Portnummer des Absenders im Intranet zurückwandelt.

Ergänzung: Im Gegensatz zu Source NAT wo der Quellport des internen Clients durch einen freien Port des Routers ersetzt wird, ist bei Destination NAT der Vorgang so, dass der Zielport des verbindungsaufbauenden Clients durch einen freien Port des Routers ersetzt wird. Interessant ist dies für die Portweiterleitung, wo eingehenden Datenpakete per Destination NAT und  ausgehenden Pakete per Source NAT maskiert werden.

3.19 Das OSI-Schichtenmodell und der TCP/IP-Stack

Ein fiktives Schichtenmodell als Erklärungsversuch:
Jedes Frachtgut kann in einen Behälter seiner Wahl gesteckt und dieser auf das Wunschtransportmittel gepfropft werden, wobei natürlich nicht jede Kombination sinnvoll oder erwünscht ist. Wichtig ist aber, dass die Schnittstellen zwischen den Schichten klar definiert sind. Zum Beispiel müssen die Befestigungspunkte des Behälters auf dem Transportmittel bekannt sein.

Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (Layers) mit jeweils eng begrenzten Aufgaben. In der gleichen Schicht mit klaren Schnittstellen definierte Netzwerkprotokolle sind einfach untereinander austauschbar, selbst wenn sie wie das Internet Protocol eine zentrale Funktion haben.

  1. Layer (Physical)
    Massnahmen und Verfahren zur Übertragung von Bitfolgen: Die Bitübertragungsschicht definiert die elektrische, mechanische und funktionale Schnittstelle zum Übertragungsmedium. Die Protokolle dieser Schicht unterscheiden sich nur nach dem eingesetzten Übertragungsmedium und -verfahren. Das Übertragungsmedium ist jedoch kein Bestandteil der Schicht 1.
  2. Layer (Data Link)
    Logische Verbindungen mit Datenpaketen und elementare Fehlererkennungsmechanismen: Die Sicherungsschicht sorgt für eine zuverlässige und funktionierende Verbindung zwischen Endgerät und Übertragungsmedium. Zur Vermeidung von Übertragungsfehlern und Datenverlust enthält diese Schicht Funktionen zur Fehlererkennung, Fehlerbehebung und Datenflusskontrolle. Auf dieser Schicht findet auch die physikalische Adressierung von Datenpaketen statt.
  3. Layer (Network)
    Routing und Datenflusskontrolle: Die Vermittlungsschicht steuert die zeitliche und logische getrennte Kommunikation zwischen den Endgeräten, unabhängig vom Übertragungsmedium und der Topologie. Auf dieser Schicht erfolgt erstmals die logische Adressierung der Endgeräte. Die Adressierung ist eng mit dem Routing (Wegfindung vom Sender zum Empfänger) verbunden.
  4. Layer (Transport)
    Logische Ende-zu-Ende-Verbindungen: Die Transportschicht ist das Bindeglied zwischen den transportorientierten und anwendungsorientierten Schichten. Hier werden die Datenpakete einer Anwendung zugeordnet.
  5. Layer (Session)
    Prozess-zu-Prozess-Verbindungen: Die Kommunikationsschicht organisiert die Verbindungen zwischen den Endsystemen. Dazu sind Steuerungs- und Kontrollmechanismen für die Verbindung und dem Datenaustausch implementiert.
  6. Layer (Presentation)
    Ausgabe von Daten in Standardformate: Die Darstellungsschicht wandelt die Daten in verschiedene Codecs und Formate. Hier werden die Daten zu oder von der Anwendungsschicht in ein geeignetes Format umgewandelt.
  7. Layer (Application)
    Dienste, Anwendungen und Netzmanagement: Die Anwendungsschicht stellt Funktionen für die Anwendungen zur Verfügung. Diese Schicht stellt die Verbindung zu den unteren Schichten her. Auf dieser Ebene findet auch die Dateneingabe und -ausgabe statt.
  • Das OSI-Modell (Open Systems Interconnection Model) ist ein Referenzmodell für Netzwerkprotokolle als Schichtenarchitektur. Es wurde ab 1977 entwickelt und soll die Kommunikation über unterschiedlichste technische Systeme und Medien ermöglichen. Dazu sieht dieses Modell sieben aufeinander folgende Schichten mit jeweils eng begrenzten Aufgaben vor. In der gleichen Schicht mit klaren Schnittstellen definierte Netzwerkprotokolle sollen einfach untereinander austauschbar sein.
  • Grundlage der Internetprotokollfamilie bzw. TCP/IP-Stack war aber das Ende der 1960er Jahre entstandene DoD-Schichtenmodell, welches nur vier Schichten vorsah. Somit bilden z.B. im TCP/IP-Stack die Upper-Layers nur eine Schicht.
  • Die Netzwerkkopplungselemente arbeiten auf den entsprechenden Schichten.
  • Beispiel von zwei OSI-Layer und Protokollübersichten: Protokoll-Poster 1 und Protokoll-Poster 2

Im Folgenden das Beispiel einer Webseitenabfrage von einem Webbrowser aus:

Die Schnittstellen der Schichten des TCP/IP-Stacks (Die Protokollheader sind in der folgenden Skizze nicht vollständig dargestellt):

3.20 IP-Attribut TTL

TTL bedeutet Time to Live.
Beim Internet Protocol (IP) legt die TTL fest, wie viele Zwischenstationen (Hops) ein Datenpaket im Internet passieren darf. Die maximale Anzahl der Hops beträgt 255. Mit jedem Hop wird die TTL um 1 herabgesetzt. Wenn ein Datenpaket nach Ablauf seiner TTL noch nicht sein Ziel erreicht hat, wird es verworfen und der Absender erhält die Rückmeldung „Host unreachable“ (Dies wird übrigens vom Programm Traceroute ausgenutzt!)

3.21 Netzwerkkopplung auf OSI-Layer 2 (Switch/Hub)

Die Topologie in modernen LAN's (Intranet) ist sternförmig. Host im selben LAN-Segment werden mit Switch's, früher Hub's, verbunden. Sollte man in einer alten Netzwerkumgebung noch ein Hub antreffen, kann dieser 1:1 durch einen Switch's ersetzt werden.

Wie funktioniert ein Hub

Hub-Intern kann man sich eine Bus-Topologie vorstellen, wie sie beim damaligen Ethernet mit Yellow-Cable anzutreffen war. Der ganze Hub bildet eine Kollisionsdomäne (siehe CSMA/CD), was ihn bei Traffic zwischen mehreren angeschlossenen Host nicht besonders effizient werden lässt. Beim Hub läuft man Gefahr, durch eine Drittperson abgehört zu werden. (Network-Sniffer wie z.B. Wireshark)

Ein Hub arbeitet auf dem OSI-Layer 1 und ist somit für die OSI-Layer 2-7 protokolltransparent. Ein Hub wirkt auch als Repeater bzw. Signalaufbereiter. Damit ist es möglich, mit einem weiteren Netzwerkkabel den Aktionsradius von ursprünglich 100 Meter um weitere 100 Meter zu erhöhen.

Wie funktioniert ein Switch

Beim Switch werden die verschiedenen Host's direkt miteinander verbunden. Genau so, wie bei der hier gezeigten Tefonzentrale, wo die einzelnen Gesprächsteilnehmer per Patchkabel direkt zusammengeschaltet werden und somit eine exklusiv von ihnen nutzbare Verbindung entsteht, die darüber hinaus auch nicht ohne weiteres abhörbar ist. Zwei Teilnehmer bilden somit eine eigene Kollisionsdomäne.

Ein Switch arbeitet auf dem OSI-Layer 1&2 und ist somit für die OSI-Layer 3-7 protokolltransparent. Ein Switch wirkt wie der Hub auch als Repeater bzw. Signalaufbereiter. Damit ist es möglich, mit einem weiteren Netzwerkkabel den Aktionsradius von ursprünglich 100 Meter um weitere 100 Meter zu erhöhen.

3.22 Die Switching-Tabelle oder Source Address Table (SAT)

Ein Switch muss nicht konfiguriert werden. Empfängt er ein Frame nach dem Einschalten, speichert er die MAC-Adresse des Senders mit der entsprechenden Switch-Schnittstelle in der Source Address Table (SAT). Falls die Zieladresse noch nicht in der SAT ist, muss das Frame an alle anderen Schnittstellen weitergeleitet werden. Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies kann sich ein Angreifer mit dem sogenanten MAC-Flooding zu Nutze machen, indem er den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.

Neben MAC-Flooding gibt es bei Switchs weitere Gefahrenquellen:

  • MAC-Spoofing: Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender. Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
  • ARP-Spoofing: Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.

3.23 Eigenschaften von Switches

  • Untersucht Datenframes auf Layer 2
  • Anzahl der physischen Ports: z.B. 5..94
  • Unterstützte Übertragungsgeschwindigkeiten 10Mbps, 100Mbps, 1Gbps, 10Gbps, 16Gbps etc.
  • Autosensing/Autonegation Ports (Max. Geschwindigkeit ermitteln): Dies bezeichnet ein Verfahren, das es zwei miteinander verbundenen Ethernet-Netzwerkports (z. B. den Netzwerkports eines Computers und denen des Routers, Hubs oder Switches, mit dem dieser z. B. verbunden ist) erlaubt, selbständig die maximal mögliche Übertragungsgeschwindigkeit und das Duplex-Verfahren miteinander auszuhandeln und zu konfigurieren. Das Verfahren gilt nur für Mehrdrahtverbindungen (Twisted-Pair-Kabel) – nicht aber für WLAN-, Glasfaser- oder Koaxialkabelverbindungen.
  • Uplink Ports (Diese werden prior behandelt): In einem Telekommunikationsnetz bezeichnet der Uplink die Verbindung mit der Datenflussrichtung, welche aus der Sicht eines Endgerätes in Richtung Server oder Telekommunikationsnetz geht
  • MDI-X, AUTO-MDI-X (Medium Dependent Interface): Heutige Switches und Netzwerkkarten beherrschen die Fähigkeit, selbstständig die Sende- und Empfangsleitungen des angeschlossenen Gerätes zu erkennen und sich darauf einzustellen. Dies bezeichnet man als Auto MDI-X. Hierbei ist die Verwendung des Kabeltyps (gekreuzt oder ungekreuzt) egal.
  • PoE-Ports: Die Stromversorgung über Ethernet, englisch Power over Ethernet (PoE), bezeichnet ein Verfahren, mit dem netzwerkfähige Geräte über das achtadrige Ethernet-Kabel mit Strom versorgt werden können.
  • Modularer Aufbau (Erweiterbar mit Einschüben): SFP (Small Form-factor Pluggable) sind kleine standardisierte Module (Optische oder elektrische Transceiver) für Netzwerkverbindungen, die im Fehlerfall Hot-Swap austauschbar sind.
  • Managementoptionen wie Fehlerüberwachung und -signalisierung, Port-basierte VLANs, Tagged-VLANs, VLAN Uplinks, Link Aggregation, Meshing, Spanning Tree Protocol , Bandbreitenmanagement usw. (Diese Funktionen werden meist über ein Webinterface konfiguriert. Dazu erhält der Switch eine IP-Adresse.)
  • Spanning Tree Protocol: Um Pakete eindeutig weiterleiten zu können, muss die Ethernet-Technologie sicherstellen, dass zwischen zwei Rechnern jeweils nur ein Datenpfad existiert. Die Vermeidung von Effekten wie Broadcast-Stürmen wird nur erreicht, wenn ein Algorithmus existiert, der die Schleifenfreiheit der Topologie sicherstellt. Der Spanning-Tree-Algorithmus sorgt nun dafür, dass es keine unerwünscht kreisenden Pakete gibt. Er identifiziert Mehrfachwege, indem er Topologien mit redundanten Wegen durch eine logische Blockierung bestimmter Pfade in eine Baumtopologie überführt, die keine Schleifen besitzt. Dazu werden auf den Switches mit mehreren Verbindungen zu anderen Switches alle bis auf eine Verbindung blockiert. Bei Ausfall der primären Verbindung können diese sofort aktiviert werden und erzeugen auf diese Weise ein hohes Maß an Fehlertoleranz.
  • Link-Aggregation (Port-Trunking): Verfahren zur Bündelung mehrerer physischer LAN-Schnittstellen zu einem logischen Kanal.
  • VLAN (Virtual-LAN): Dies ist ein logisches Teilnetz innerhalb eines Switches bzw. eines gesamten physischen Netzwerks.
  • IGMP: Das Internet Group Management Protocol dient zur Organisation von Multicast-Gruppen. Damit ist die Nachrichtenübertragung von einem Punkt zu einer Gruppe gemeint und kommt z.B. bei Online-Streaming-Video und Gaming zur Anwendung.
  • Stackable Switch: Geräte des meist selben Typs, die stapelbar sind und wo die Backplane's mit den schnellen Datenbussen auch quasi «direkt» miteinander verbunden werden können. Damit ist der Switch z.B. skalierbar, bzw. den wachsenden Netzwerkanforderungen anpassbar. Der Stack ist auch als eine Einheit verwaltbar. Allerdings ist es auch mit modularen Switch's möglich, ökonomisch auf wechselnde Bedürfnisse zu reagieren.
  • Aufbau und max. Grösse der Source-Address-Table (Switchingtabelle): Anzahl verwaltbare MAC-Adressen.
  • Forwarding Rate (Durchleitrate): Gibt an, wie viele Frames pro Sekunde eingelesen, bearbeitet und weitergeleitet werden können.
  • Filter Rate (Filterrate): Anzahl der Frames, die pro Sekunde bearbeitet werden.
  • Backplanedurchsatz (Switching fabric): Den Kern eines Switches bildet das Switching Fabric, durch welches die Frames vom Eingangs- zum Ausgangsport transferiert werden. Das Switching Fabric ist vollständig in Hardware implementiert, um geringe Latenzzeiten und hohen Durchsatz zu gewährleisten. Zusätzlich zur reinen Verarbeitungsaufgabe sammelt es statistische Daten, wie die Anzahl der transferierten Frames, (Frame-)Durchsatz oder Fehler.

Bemerkungen zu STP → Spanning Tree Protocol

Das 1990 in der IEEE-Norm 802.1D standardisierte Spanning Tree Protocol verhindert in Netzwerken mit mehreren Switches parallele Verbindungen und unterbindet dadurch die Bildung von Schleifen. STP funktioniert in beliebig vermaschten Netzstrukturen und erzeugt eine Baumtopologie mit eindeutigen Verbindungspfaden. Netzwerkphänomene wie beispielsweise Broadcast-Stürme lassen sich durch STP vermeiden.
Jeder vernetzte Punkt ist von einem anderen vernetzten Punkt über die bestmögliche Verbindung erreichbar. Kommt es zu einer Unterbrechung einer Verbindung oder zum Ausfall eines Switches, reorganisiert das Spanning Tree Protocol den Baum und ermittelt neue Verbindungspfade.
Die Kommunikation der Switches oder Bridges untereinander erfolgt über so genannte BPDUs oder Bridge Protocol Data Units, die in kurzen Abständen ausgetauscht werden. Ein Ausbleiben von BPDUs interpretieren die Switches als Verbindungsausfall.
Um eine Baumtopologie zu etablieren, existieren verschiedene Portzustände. Switches mit mehreren Ports zu einem Ziel blockieren bis auf eine Verbindung alle restlichen Ports. Erster Schritt beim Aufbau eines Verbindungsbaums ist die Wahl der Root Bridge. Anschliessend sorgt der STP-Algorithmus dafür, dass die Verbindungspfade durch das Aktivieren oder Blockieren von Ports gemäss der Baumtopologie aufgebaut werden.

Die verschiedenen Zustände eines Port-Switches im Spanning Tree: Ein Switchport in einem Spanning Tree kennt insgesamt fünf verschiedene Portzustände. Diese Zustände sind:

  • Forwarding
  • Blocking
  • Learning
  • Listening
  • Disabled
Ports im Zustand Forwarding leiten Frames weiter, empfangen BPDUs und lernen Adressen. Sie sind komplett aktiv. Blocking Ports verwerfen Frames, lernen keine Adressen, empfangen aber BPDUs. Diese Ports sind nicht an der Frameweiterleitung beteiligt. Nach der Aktivierung des STP durchlaufen die Ports eines Switches abhängig von der Position im Spanning Tree die Zustände Blocking, Listening, Learning und Forwarding. Timer und BPDUs sorgen für den Übergang der einzelnen Zustände und bestimmen die Konvergenzzeit, die benötigt wird, um den Spanning Tree zu berechnen oder bei einem Verbindungsausfall neu zu bestimmen.

Das Bestimmen der Root Bridge: Bevor die Baumtopologie entstehen kann, ist als erster Schritt die so genannte Root Bridge zu wählen. Die Root Bridge bildet quasi die Wurzel des Baums und ist bestimmendes Element im Netz. Sie wird von allen im Netzwerk vorhandenen Switches nach einem definierten Verfahren bestimmt. Hierfür tauschen die Switches über Multicastnachrichten ihre BID oder Bridge-ID aus. Es handelt sich um eine acht Byte lange Information bestehend aus einer Priorität, System-ID und MAC-Adresse. Der Switch mit der niedrigsten Priorität wird zu Root Bridge. Sind die Prioritäten gleich, entscheiden die weiteren Kriterien wie die MAC-Adresse. Es ist zu empfehlen, einen leistungsfähigen Switch mit einer aktuellen Software über das manuelle Setzen der Priorität zur Root Bridge zu machen.

Die Bildung des Spanning Trees: Nach der Wahl der Root Bridge können die Berechnung und der Aufbau der Baumtopologie erfolgen. Von der Root Bridge aus werden die Wege bestimmt, über die andere Switches zu erreichen sind. Existieren mehrere Pfade, deaktivieren die Switches die Pfade mit den ungünstigsten Pfadkosten.
Die Pfadkosten setzen sich unter anderem aus der Bandbreite des Links und der Anzahl zu überwindender Knoten zusammen. Der IEEE-Standard definiert die Pfadkosten, ermöglicht es aber auch, sie manuell zu setzen. Der Administrator kann dadurch selbst Einfluss auf den Spanning Tree nehmen. Im Endzustand ist jedes Teilnetz nur noch über einen Pfad erreichbar.
Kommen nach dem Aufbau des Spanning Trees Hello-Pakete der Switche nicht mehr an, geht der Algorithmus von einem Ausfall einer Teilstrecke oder eines Switches aus. In diesem Fall reorganisiert sich die Baumtopologie neu. Während der Reorganisation können die Switches keine Pakete weiterleiten. Erst wenn der Spanning Tree wieder vollständig etabliert ist, ist das Netzwerk funktionsfähig. Häufige Ausfälle einzelner Teilstrecken und Komponenten oder gefälschte Pakete des Spanning Tree Protocols können das komplette Netzwerk über längere Zeiträume ausser Betrieb setzen.
Rapid Spanning Tree Protocol und Multiple Spanning Tree Protocol sind Weiterentwicklungen des Spanning Tree Protocols.


3.24 Netzwerkkopplung auf OSI-Layer 3 (Router)

Ein Router arbeitet auf dem OSI-Layer 3 und ist somit für die OSI-Layer 4-7 protokolltransparent. Der Router verbindet Subnetze, die sonst gegenseitig nicht erreichbar wären. Dafür muss bei jedem Host im Subnetz die Routeradresse angegeben werden. Bei MS-Windows spricht man dann von der Standardgateway-Adresse.

Das statische Routing inkl. der Routingtabelle wird im Fachbeitrag «Bandbreite, Subnetting & Routing» speziell behandelt.

Aufgaben und Zweck von Routern bzw. Abgrenzung gegenüber dem Switch

  • Untersucht Datenpakete auf Layer 3 und leitet sie an Nachbarnetze weiter
  • Benötigt dafür mehrere Netzwerkschnittstellen
  • Pakete müssen je nach Zielnetz mehrere Router passieren
  • Jeder Router muss wissen, wie er die Pakete weiterleiten soll
  • Das Routing (Weiterleitung) kann statisch (fixe Routen) oder dynamisch (über sich situationsbedingt anpassende Routen) erfolgen
  • Bildet Subnetze und unterbricht damit z.B. Broadcast‘s
  • Für den Anschluss an’s Internet
  • Für die Verbindung zweier LAN’s über ein WAN
  • Für die Fernüberwachung (Remote-Access) eines LAN’s
  • Für die Bildung des Internet Backbone’s (WWW)
  • Kann Firewallfunktionen enthalten

3.25 Fehlersuche im Netzwerk

Wie man einem Netzwerkfehler auf die Spur kommt:

  • Ethernet-Verkabelung überprüfen
  • Status-LED’s an NIC’s und Switch’s überprüfen
  • Installierte NIC-Treiber aktualisieren
  • Netzwerk-Interfacekonfiguration: IP-Adresse, MAC-Adresse, Default-Gateway, DNS-Server (Betriebssystemkommando «ipconfig», «ifconfig»)
  • ARP-Cache leeren (Betriebssystemkommando «arp»)
  • Netzwerkschleifen d.h. redundante Pfade vermeiden
  • Erreichbarer DHCP-Server bei dynamischer IP-Adresszuteilung
    (Eine APIPA-Adresse weist auf einen nichterreichbaren DHCP-Server hin)
  • Default Gateway und statische Routen überprüfen (Betriebssystemkommando «route»)
  • Erreichbarkeit der Host’s überprüfen. Firewalleinstellungen beachten (Betriebssystemkommando «ping»)
  • Alle Zwischenstationen bzw. Router auf dem Weg in’s Zielnetz überprüfen (Betriebssystemkommandos « «tracert», «traceroute» und «pathping», «tracepath»)
  • Firewalleinstellungen überprüfen (ICMP-Meldungen werden vom Router meist defaultmässig blockiert - Der ping ist ein ICMP-Paket)
  • Bestehende TCP/UDP-Verbindungen überprüfen (Betriebssystemkommando «netstat»)
  • Aus Sicherheitsgründen nicht verwendete Port’s schliessen (Überprüfen mit einem Portscanner wie «nmap» www.nmap.org)
  • Ein- und ausgehende Internetpakete untersuchen (Mit einem Network-Sniffer wie «Wireshark» www.wireshark.org)

4. Bandbreitenabschätzung

Ziel ist die Vermeidung von Engpässen bei der Netzwerkverkabelung:

4.1 Fallunterscheidungen

  1. Das schwächste Glied in der Kette bestimmt den Datendurchsatz: Die langsamste Teilstrecke für eine Verbindung bestimmt die Verbindungsgeschwindigkeit.
    Beispiel: Die langsamste der drei Teilstrecken zwischen PC2 und PC8 ist 10 MB/s, deshalb beträgt die Bandbreite zwischen den beiden PC's 10 Mbit/s.
  2. Geteilte Bandbreite auf derselben Verbindung: Wenn mehrere PC's über dieselbe Verbindung, also demselben Kabel, kommunizieren wollen, teilt sich die Bandbreite zwischen diesen auf. (Unabhängig davon ob Switch oder Hub)
    Beispiel: PC6, PC7 und PC8 am Switch2 wollen alle mit dem Server1 kommunizieren. Wegen der gemeinsamen 100 Mbit/s-Verbindung vom Server1 zum Switch1 steht jedem dieser PC's nur 33 Mbit/s zur Verfügung. (Trotz der 1Gbit/s-Verbindung zwischen den Switch’s.)
  3. Geteilte Bandbreite in derselben Kollisionsdomäne (an einem Hub): Wenn mehrere Stationen in derselben Kollisionsdomäne senden wollen, teilt sich die Sendebandbreite zwischen diesen auf.
    Beispiel: Da PC1, PC2, PC3 und PC4 am Hub1 in derselben Kollisionsdomäne sind, steht jedem dieser PC's nur je 2.5Mbit/s zum Senden zur Verfügung. Und weil das schwächste Glied in der Kette den Datendurchsatz bestimmt, ergeben sich bei Verbindungen zu allen weiteren PC's und Servern nicht mehr als diese 2.5 Mbit/s.

Bei der Beurteilung der Bandbreite müssen selbstverständlich alle diese drei Kriterien berücksichtig werden. Von Fall zu Fall ist das eine ode andere Kriterium dasjenige, das die Geschwindigkeit am stärksten begrenzt.

4.2 Bandbreitenreduktion am Switch

4.3 Bandbreitenreduktion im Netzwerk

  • Einem der 15 PC's an Switch1 steht eine theoretische Bandbreite von…
    100 * r1 * r2 = 100 * 0.667 * 0.714 = 47.6 Mbit/s zur Verfügung
  • Einem der 4 PC's an Switch2 steht eine theoretische Bandbreite von…
    100 * r2 = 100 * 0.714 = 71.4 Mbit/s zur Verfügung
  • Immer als Worst-Case-Betrachtung bzw. unter der Voraussetzung, dass alle PC's voll aktiv sind.

Achtung → Immer eine ganzheitliche Betrachtung:

  • Gegenüber der vorangegangenen Situation sind nun an Switch1 7 PC's ausgeschaltet.
  • Einem der verbliebenen 8 PC's an Switch1 steht nun neu eine theoretische Bandbreite von…
    100 * r1 * r2 = 100 * 1 * 0.833 = 83.3 Mbit/s zur Verfügung
  • Einem der 4 PC's an Switch2 steht nun neu eine theoretische Bandbreite von…
    100 * r2 = 100 * 0.833 = 83.3 Mbit/s zur Verfügung
  • Immer als Worst-Case-Betrachtung bzw. unter der Voraussetzung, dass die erwähnten PC's voll aktiv sind.

4.4 Zusammenfassung Bandbreitenabschätzung

  • Die Bandbreitenabschätzung ist eine theoretische Betrachtung unter der Annahme, dass alle Stationen voll am senden sind
  • Die Bandbreitenreduktion wird mit dem Reduktionsfaktor r angegeben
  • Der Faktor r reduziert die Bandbreite
  • r ist grösser 0 und kleiner/gleich 1 (r kann somit nie grösser als 1 werden)
  • Die Gesamt-Bandbreitenreduktion entspricht dem Produkt der einzelnen Bandbreitenreduktionsfaktoren

5. Subnetting

Warum Subnetze? Mit den 32 Bit’s einer IPv4-Adresse lassen sich ca. 4.3 Milliarden Bit-Kombinationen realisieren, was rein rechnerisch 4.3 Milliarden Host’s entspräche. Man stelle sich eine solch grosse Menge an Geräten in einer einfachen Bustopologie vor. Mit dem üblichen Medienzugriffsverfahren CSMA/CD wäre eine flüssige Kommunikation nicht möglich, weil alle Teilnehmer am selben Bus hingen und niemals zwei Stationen gleichzeitig senden dürften. Um den Traffic zu separieren, trennt man den Bus in Teilnetze auf. Lokaler Datenverkehr wird nun «sein» Teilnetz nie verlassen. Datenpakete die an Teilnehmer eines anderen Teilnetzes adressiert sind, werden an den jeweiligen Router geschickt, der die Teilnetze verbindet. Jetzt müssen die Teilnetze aber adressmässig unterschieden werden können. Dazu wird die IP-Adresse mittels der Subnetzmaske in einen Netzanteil (Subnetzadresse) und Hostanteil (Gerätenummer im Subnetz) unterteilt.

5.1 Die IPv4 Subnetzmaske

  • Ist exakt gleich lang wie die IPv4-Adresse, nämlich 32 Bit
  • Teilt die IP-Adresse in einen Netzanteil und einen Hostanteil

Ursprüngliche Subnetzte, gebildet durch die Netzwerkklassen:

  • 255.0.0.0 (Standard Subnetzmaske eines Klasse-A-Netzwerks)
  • 255.255.0.0 (Standard Subnetzmaske eines Klasse-B-Netzwerks)
  • 255.255.255.0 (Standard Subnetzmaske eines Klasse-C-Netzwerks)

Die Netz-ID zu Host-ID Unterteilung durch die Subnetzmaske ist aber seit der Einführung um 1993 von CIDR (Classless Inter-Domain Routing) nicht von der Netzwerkklasse (A,B,C) abhängig bzw. auf die Oktettgrenzen beschränkt. Seither muss aber neben der IP-Adresse immer auch die Subnetzmaske mit angegeben werden.

5.2 Definition der Netzwerk- und Broadcastadresse

  • Bei der Netzwerkadresse sind alle Bit’s des Hostanteils der IP-Adresse = 0
  • Bei der Broadcastadresse sind alle Bit’s des Hostanteils der IP-Adresse = 1

5.3 Die CIDR-Schreibweise der Subnetzmaske

Bei CIDR (Classless Inter-Domain Routing) führte man als neue Notation so genannte Suffixe ein. Das Suffix gibt die Anzahl der 1-Bits in der Netzmaske an. Diese Schreibform, z. B. 172.17.0.0/17, ist viel kürzer und im Umgang einfacher als die Dotted decimal notation wie 172.17.0.0/255.255.128.0 und ebenfalls eindeutig.

Beispiel für die Netzwerkadressierung eines PC’s mit der IP-Adresse 192.168.1.33

  • Dazugehörende Subnetzmaske: 255.255.255.0 oder als CIDR-Suffix: /24
  • Netzanteil der IP-Adresse: 192.168.1
  • Hostanteil der IP-Adresse: 33
  • Netzwerkadresse (Alle Host-Bit’s sind 0): 192.168.1.0
  • Broadcastadresse (Alle Host-Bit’s sind 1): 192.168.1.255 (Binär 1111’1111 = Dezimal 255)

5.4 Ein /16-er-Netz in vier /24-er-Netze aufteilen

Im Folgenden möchten wir ein /16-Netz bzw. Standard Klasse B-Netz betrachten: Netzwerkadresse: 172.16.0.0/16 (/16 ist bekanntlich das CIDR-Suffix bzw. die Subnetzmaske und bedeutet in Dezimalschreibweise 255.255.0.0). Dieses Netz soll nun in vier Subnetze unterteilt werden. Die neue Subnetzmaske lautet nun 255.255.255.0 (Oder in der CIDR-Notation /24).
Das logische Layout:

  • Netz «Rot»: Netzanteil: 172.16.1. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Grün»: Netzanteil: 172.16.2. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Blau»: Netzanteil: 172.16.3. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)
  • Netz «Violett»: Netzanteil: 172.16.4. Der Adressbereich beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)

Alle vier Netzte sind nun eigene Subnetze und müssen über einen Router verbunden werden.

Bemerkung: Das Ausgangsnetz könnte auf diese Weise sogar in 256 Subnetze unterteilt werden, wovon jedes einzelne einen Hostanteil von 256 IP’s enthält:

  • Netz 1: 172.16.1
  • Netz 2: 172.16.2
  • Netz 256: 172.16.256

5.5 Ein /24-er-Netz in vier gleich grosse Teile aufteilen

Es ist folgendes Netzwerk gegeben: 172.16.1.0/24
(/24 ist das CIDR-Suffix und entspricht der Subnetzmaske 255.255.255.0)
Dieses Netz soll nun in vier gleich grosse Subnetze aufgeteilt werden.
Das logische Layout:

1. Variante: Lösung mit Kreisdiagramm

Die Netzwerkaufteilung kann anhand eines Kreisdiagramms aufgezeigt bzw. gelöst werden. Da das Ausgangsnetz 172.16.1.0/24 lautet und somit Platz für 256 IP-Adressen bietet, beginnt der Kreis oben mit dem Wert 0 und endet mit dem Wert 255.

  • Netz «Rot»: Beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 63 (=Broadcastadresse)
  • Netz «Grün»: Beginnt mit IP-Adresse 64 (=Netzwerkadresse) und endet mit der IP-Adresse 127 (=Broadcastadresse)
  • Netz «Blau»: Beginnt mit IP-Adresse 128 (=Netzwerkadresse) und endet mit der IP-Adresse 191 (=Broadcastadresse)
  • Netz «Violett»: Beginnt mit IP-Adresse 192 (=Netzwerkadresse) und endet mit der IP-Adresse 255 (=Broadcastadresse)

Die Subnetzmaske aller vier Teilnetzte lautet nun 255.255.255.192 oder als CIDR-Suffix /26

2. Variante: Lösung durch Berechnung

Die vorgegebene IP-Adresse 172.168.1.0 lautet in Binärschreibweise: 10101100.10101000.00000001.00000000

Die dazugehörige Subnetzmaske 255.255.255.0 (als CIDR-Suffix /24) lautet in Binärschreibweise: 11111111.11111111.11111111.0000’0000

Da das bestehende Netz in 4 Subnetze unterteilt werden soll, rückt die «Grenze» der Subnetzmaske 2 Bit nach rechts und es entstehen dabei die Subnetze 00, 01, 10 und 11.
(Hinweis: 2 Bit ergeben 4 Subnetze)

11111111.11111111.11111111.1100’0000
Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
(Hinweis: Binär 1100’0000 ergibt Dezimal 192)

Netz «Rot» 00

  • Von: 10101100.10101000.00000001.0000’0000 (=0)
  • Bis: 10101100.10101000.00000001.0011’1111 (=63)

Netz «Grün» 01

  • Von: 10101100.10101000.00000001.0100’0000 (=64)
  • Bis: 10101100.10101000.00000001.0111’1111 (=127)

Netz «Blau» 10

  • Von: 10101100.10101000.00000001.1000’0000 (=128)
  • Bis: 10101100.10101000.00000001.1011’1111 (=191)

Netz «Violett» 11

  • Von: 10101100.10101000.00000001.1100’0000 (=192)
  • Bis: 10101100.10101000.00000001.1111’1111 (=255)

Das logische Layout

5.6 Ein /24-er-Netz in vier ungleich grosse Teile aufteilen

Es ist folgendes Netzwerk gegeben: 172.16.1.0/24
(/24 ist das CIDR-Suffix bzw. die Subnetzmaske 255.255.255.0)
Dezimal 172.16.1.0 ergibt Binär: 10101100.10101000.00000001.00000000

Dieses Netz soll nun in vier ungleich grosse Subnetze aufgeteilt werden, wobei ein Netz 60 PC’s, ein nächstes 50 PC’s, ein weiteres 17 PC’s und schlussendlich das letzte 12 PC’s enthalten muss.

Es gilt folgendes zu beachten: Der erforderliche Adressbereich setzt sich zusammen aus:

  • IP-Adressen für die verlangte Anzahl PC's
  • Netzwerkadresse
  • Broadcastadresse
  • Routeradresse (mindestens eine)

Somit ergibt sich:

  • Netz «Rot»:
    60PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 63 IP’s
    Erfordert ein 64-er Netz
  • Netz «Grün»:
    50PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 53 IP’s
    Erfordert ein 64-er Netz
  • Netz «Blau»:
    17PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 20 IP’s
    Erfordert ein 32-er Netz
  • Netz «Violett»:
    12PC’s + Netzwerkadresse + Broadcastadresse + Routeradresse = 15 IP’s
    Erfordert ein 16-er Netz

In einem /24-er Netz sind nur 4-er, 8-er, 16-er, 32-er, 64-er und 128-er Teilnetze möglich. (2n wobei n=2,3,4,5,6,7)

1. Variante: Lösung mit Kreisdiagramm

Die Netzwerkaufteilung kann wiederum anhand eines Kreisdiagramms aufgezeigt bzw. gelöst werden. Da das Ausgangsnetz 172.16.1.0/24 lautet und somit Platz für 256 IP-Adressen bietet, beginnt der Kreis oben mit dem Wert 0 und endet mit dem Wert 255.
Damit keine Adressüberlappungen entstehen können, sollen die Teilnetze im Uhrzeigersinn der Grösse nach geordnet eingezeichnet werden: Bei 12 Uhr beginnend mit dem grössten Netz, danach die immer kleineren.

  • Netz «Rot»: Beginnt mit IP-Adresse 0 (=Netzwerkadresse) und endet mit der IP-Adresse 63 (=Broadcastadresse)
    64-er Netz ergibt Subnetzmaske: 255.255.255.192
  • Netz «Grün»: Beginnt mit IP-Adresse 64 (=Netzwerkadresse) und endet mit der IP-Adresse 127 (=Broadcastadresse)
    64-er Netz ergibt Subnetzmaske: 255.255.255.192
  • Netz «Blau»: Beginnt mit IP-Adresse 128 (=Netzwerkadresse) und endet mit der IP-Adresse 159 (=Broadcastadresse)
    32-er Netz ergibt Subnetmaske: 255.255.255.224
  • Netz «Violett»: Beginnt mit IP-Adresse 160 (=Netzwerkadresse) und endet mit der IP-Adresse 175 (=Broadcastadresse)
    16-er Netz ergibt Subnetzmaske: 255.255.255.240

2. Variante: Lösung durch Berechnung

Die vorgegebene IP-Adresse 172.168.1.0 lautet in Binärschreibweise: 10101100.10101000.00000001.00000000

Die dazugehörige Subnetzmaske 255.255.255.0 (CIDR-Suffix /24) lautet in Binärschreibweise:
11111111.11111111.11111111.00000000

Netz «Rot» 00

  • Aufteilung in 64-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 2 Bit nach rechts rücken: 11111111.11111111.11111111.1100’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
    (Hinweis: Binär 1100’0000 ergibt Dezimal 192)
  • Die IP-Adressen beginnen hier bei 0.
    Von: 10101100.10101000.00000001.0000’0000 (=0)
  • Die letzte Adresse dieses 64-er Netz ist 63 höher als die erste Adresse in Netz «Rot»
    Bis: 10101100.10101000.00000001.0011’1111 (=63)

Netz «Grün» 01

  • Aufteilung in 64-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 2 Bit nach rechts rücken: 11111111.11111111.11111111.1100’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.192
    (Hinweis: Binär 1100’0000 ergibt Dezimal 192)
  • Die erste Adresse in Netz «Grün» folgt nach der letzten Adresse des Netz «Rot»
    Von: 10101100.10101000.00000001.0100’0000 (=64)
  • Die letzte Adresse dieses 64-er Netz ist 63 höher als die erste Adresse in Netz «Grün»
    Bis: 10101100.10101000.00000001.0111’1111 (=127)

Netz «Blau» 100

  • Aufteilung in 32-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 3 Bit nach rechts rücken: 11111111.11111111.11111111.1110’0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.224
    (Hinweis: Binär 1110’0000 ergibt Dezimal 224)
  • Die erste Adresse in Netz «Blau» folgt nach der letzten Adresse des Netz «Grün»
    Von: 10101100.10101000.00000001.1000’0000 (=128)
  • Die letzte Adresse dieses 32-er Netz ist 31 höher als die erste Adresse in Netz «Blau»
    Bis: 10101100.10101000.00000001.1001’1111 (=159)

Netz «Violett» 1010

  • Aufteilung in 16-er Netz lässt die «Grenze» der Subnetzmaske im letzten Oktett 4 Bit nach rechts rücken: 11111111.11111111.11111111.1111′0000
  • Die neue Subnetzmaske lautet in Dezimalschreibweise: 255.255.255.240
    (Hinweis: Binär 1111’0000 ergibt Dezimal 240)
  • Die erste Adresse in Netz «Violett» folgt nach der letzten Adresse des Netz «Blau»
    Von: 10101100.10101000.00000001.1010′0000 (=160)
  • Die letzte Adresse dieses 16-er Netz ist 15 höher als die erste Adresse in Netz «Violett»
    Bis: 10101100.10101000.00000001.1010′1111 (=175)

Das logische Layout

5.7 Das Muster-Kreisdiagramm

5.8 Die Netzmaskentabelle

Beim Bestimmen der Subnetzmaske kann diese Tabelle behilflich sein:

5.9 Subnetzkombinationen

Wir haben gelernt, dass im Kreisdiagramm die Netzwerke der Grösse nach eingezeichnet werden, damit garantiert werden kann, dass keine Adressüberlappungen entstehen. (Im Uhrzeigersinn Gross zu Klein). Diese Empfehlung soll in unserem Unterricht auch als Vorgabe verbindlich sein. Der vollständigkeithalber sei erwähnt, dass eine Anordnung nach folgendem Schema auch möglich wäre:

5.10 IP-Adressüberlappung

Wie in vorangegangenen Kapiteln schon angedeutet, sollten im Kreisdiagramm um Überlappungen zu vermeiden die Netzwerke der Grösse nach eingezeichnet werden: Ab "12:00 Uhr" im Uhrzeigersinn vom grössten zum kleinsten. Selbstverständlich sind auch andere Unterteilungen möglich. Dann muss man aber genau wissen, was man macht. Einen Hinweis, welche Aufteilungen auch noch denkbar sind zeigt die Tabelle "Subnetzkombinationen" auf.
Im folgenden soll ein ungültiges Subnetting mit Netzwerküberlappung rechnerisch aufgezeigt werden:

Negativbeispiel "Netzwerk mit IP-Adressüberlappung"

  • Ausgangsnetzwerk: 192.168.1.0/24
  • Subnetz-A: (64-er Netz)
    Netzwerkadresse: 192.168.1.0
    Broadcastadresse: 192.168.1.63
    Subnetzmaske: 255.255.255.192 oder /26
    Hosts: 192.168.1.0 bis 192.168.1.62
  • Subnetz-B: (128-er Netz)
    Netzwerkadresse: 192.168.1.64
    Broadcastadresse: 192.168.1.191
    Subnetzmaske: 255.255.255.128 oder /25
    Hosts: 192.168.1.65 bis 192.168.1.190

Warum es nicht funktionieren wird:

Subnetz-A wäre soweit in Ordnung. Aber:

  • Untersuchen wir zwei beliebig ausgewählte PCs im Subnetz-B:
  • Voraussetzung: Beide PCs sollten sich im selben Subnetz befinden, d.h. ihre Netz-ID muss übereinstimmen.
  • PC-B1: 192.168.1.120 → Das letzte Oktett in Binärschreibweise: 12010 = 0111 10002
  • PC-B2: 192.168.1.140 → Das letzte Oktett in Binärschreibweise: 14010 = 1000 11002
  • Subnetzmaske 255.255.255.128 → Das letzte Oktett in Binärschreibweise: 12810 = 1000 00002
Schlussfolgerung: Wäre PC-B1 im selben Subnetz wie PC-B2, müsste die Netz-ID übereinstimmen. Tut sie aber nicht! (Für die Subnetzmaske /25 bedeutet dies im letzten Oktett eine Verschiebung der Grenze "Netz-ID - Host-ID" um ein Bit nach rechts bzw. von /24 auf /25). Das erste Bit im letzten Oktett ist bei PC-B1 "0" und bei PC-B1 "1" → Somit sind die beiden PC NICHT im selben Subnetz bzw. alle PCs von 192.168.1.65 bis 192.168.1.127 sind nicht im selben Subnetz wie die PCs von 192.168.1.128 bis 192.168.1.190!

Folgendes würde allerdings funktionieren, weil es in diesem Fall zu keiner Adressüberlappung kommt:

  • Ausgangsnetzwerk: 192.168.1.0/24
  • Subnetz-A: (64-er Netz)
    Netzwerkadresse: 192.168.1.0
    Broadcastadresse: 192.168.1.63
    Subnetzmaske: 255.255.255.192 oder /26
    Hosts: 192.168.1.0 bis 192.168.1.62
  • Subnetz-B: (128-er Netz)
    Netzwerkadresse: 192.168.1.128
    Broadcastadresse: 192.168.1.255
    Subnetzmaske: 255.255.255.128 oder /25
    Hosts: 192.168.1.129 bis 192.168.1.254
    Beispiel PC-B1: 192.168.1.140 → 14010 = 1000 11002
    Beispiel PC-B2: 192.168.1.240 → 24010 = 1111 00002
    Subnetzmaske 255.255.255.128 → 12810 = 1000 00002

6. Routing

Was bedeutet "Routing"?

  • Router untersucht Datenpakete auf Layer 3 und leitet sie entsprechend weiter
  • Router benutzt dazu eine Routing Tabellen
  • Routing Tabellen Einträge von «Hand» in einer Tabelle erstellt: Statisches Routing
  • Automatisches Erstellen von Routing Tabellen: Dynamisches/adaptives Routing
    Damit können Datenpakete automatisch um ein beschädigtes, überlastetes oder fehlerhaftes Netzwerkelement herumgeführt werden.
    Netzwerkprotokolle für adaptives Routing:
    RIP (Routing Information Protocol)
    OSPF (Open Shortest Path First)
    IS-IS (Intermediate System to Intermediate System Protocol)
    IGRP/EIGRP (Interior Gateway Routing Protocol / Enhanced Interior Gateway Routing Protocol)
    (Adaptives Routing wird in Modul 129 nicht weiter behandelt)
  • Router bildet verschiedene Kollisionsdomänen
  • Router unterbricht MAC-Broadcast‘s (FF FF FF FF FF FF) und entlastet somit Netze
  • LAN Anbindung ans Internet über WAN
  • Unterteilung eines grösseren LAN’s in Subnetze
  • Verbindung zweier LAN’s über WAN
  • Remote Access in ein LAN
  • Internet Backbone
  • Router benötigt mehrere Netzwerkschnittstellen bzw. Interfaces (Ethernet: eth#, Serial; s#)
  • WAN-Anbindung über Serial Line Schnittstelle (s#) am Router

6.1 Router-Adressen

Best practice: Die Router IP-Adresse(n) sind im IP-Adressbereich des Subnetzes immer die ersten oder letzten Adressen.
(Technisch wäre selbstverständlich jede Adresse innerhalb des Subnetzes möglich)
Beispiel 1: Netzwerkadresse = 10.18.33.0/24 Router-IP = 10.18.33.1 oder 10.18.33.254
Beispiel 2: Netzwerkadresse = 10.18.33.128/26 Router-IP = 10.18.33.129 oder 10.18.33.190
Im logischen Layout ist die Router-IP-Adresse anzugeben! Wichtig für die Netzwerkkonfiguration der PCs, wo Routeradressen eingetragen werden müssen. (Standardgateway bei WIN-PCs)

6.2 Der Zweck von TTL

Mit jedem Hop (=durchlaufener Router) wird TTL (Time To Live) um 1 dekrementiert. Falls TTL=0 gibt es eine Rückmeldung an den Absender: «Host unreachable». Dieser Effekt wird übrigens von Traceroute ausgenutzt.

6.3 Die Routingtabelle beim statischen Routing

  • Jedes Router-Interface hat eine IP-Adresse
  • Jedes Interface liegt in einem anderen Netz
  • Verbindungen zwischen Routern sind IP-Netze
  • Alle Verbindungen an einem Interface sind im selben IP-Netz
  • Zur Netzadresse immer auch die Netzmaske angeben

Hinweis: Im obigen Beispiel könnte man anstelle der beiden Routern auch nur ein zentraler Router verwenden, der drei Schnittstellen besitz und dadurch direkt mit den drei Netzwerken verbunden ist.

6.4 Die Defaultroute beim statischen Routing

Die Defaultroute wird mit 0.0.0.0 beschrieben und die dazugehörende Subnetzmaske lautet 0.0.0.0. Sämtliche IP-Pakete, deren Zielnetzwerkadresse keine Entsprechung in der Routingtabelle haben, werden an den Router in der Defaultroute-Zeile geschickt. Um keine redundanten Einträge zu erhalten, sollte ein Netzwerk, dass über die Defaultroute zu erreichen ist, nicht auch noch zusätzlich in der Routingtabelle aufgelistet sein.

6.5 Die Defaultroute beim PC

Damit Datenpakete die meinen PC verlassen und nicht an einen Empfänger innerhalb meines Subnetzes gelangen sollen ihr Ziel erreichen, müssen sie dem Netzwerkrouter zugestellt werden. Dieser ist dann dafür besorgt, dass die Pakete ins richtige Netz weitergeleitet werden. Allerdings bedingt dies, dass mein PC die Adresse des Routers kennt. Man nennt diese PC-Netzwerkeinstellung «Defaultroute». Windows spricht hier allerdings von einem «Standardgateway». Im folgenden zwei Beispiele, wo drei Netzwerke durch Router verbunden sind. Man beachte die Standardgateway-Einstellungen: Im oberen Beispiel muss man sich beim PC-2 für den Router1-2 oder Router2-3 entscheiden.

Diese Filius-Projektdatei können sie hier downloaden: RouterImSubnetz.fls

6.6 Nützliche Betriebssystem-Kommandos (Konsolenbefehle)

Voraussetzung für Routing: IP-Forwarding ist aktiviert. Dies erreicht man folgendermassen:

  • Unix: /etc/rc.config: IP_FORWARD=yes oder echo 1 > /proc/sys/net/ipv4/ip_forward
    Überprüfen: cat /proc/sys/net/ipv4/ip_forward (muss den Wert 1 anzeigen)
  • Windows: regedit HKEY_LOCAL_MACHINESYSTEMCurrentControlset ServicesTcpip Parameters > RMB IPEnableRouter Modify Edit DWordValue: IPEnableRouter; ValueData: 1. Danach ist ein Reboot nötig.

Netzwerkstatistiken anzeigen:
Mit dem Konsolenbefehl «netstat» kann man herausfinden, welche Ports geöffnet sind oder welche Verbindungen zu entfernten Rechnern bestehen. Für bestehende Verbindungen lässt sich unter anderem die Adresse der Gegenstelle ablesen. Als Sicherheitssoftware birgt netstat auch Missbrauchspotential durch Hacker (z. B. Identifikation offener Ports).


7. Netzwerkdokumentation

Grundsätzlich sollten lnformationen über das bestehende Netzwerk und alle erfolgten Aktivitäten resp. Änderungen am Netzwerk gesammelt werden. Wichtig ist:

  • Die Daten unmittelbar bei Arbeiten am Netzwerk zu sichern, damit die Dokumente aktuell sind.
  • Die Dokumente zu datieren und die Personen, welche Arbeiten ausgeführt haben anzugeben, damit Rückfragen möglich sind.
  • Diese lnformationen geeignet zu strukturieren und übersichtlich zu gestalten, damit die Dokumente für den Benutzer einen optimalen Nutzen erzeugen.
  • Den Aufwand möglichst klein zu halten, damit die Motivation zum Erstellen und Nachführen von Änderungen nicht verloren geht.

7.1 Ziele einer Netzwerkdokumentation

Netzwerkdokumentationen sollten zwei grundsätzliche Ziele erfüllen:

  • Visualisierung komplexer System- und Netzwerkumgebungen mit dem Ziel, möglichst schnell einen Überblick zu gewinnen bzw. diesen nicht zu verlieren. «Ein Bild sagt mehr als tausend Worte»
  • Speicherung wichtiger Systeminformationen mit dem Ziel der raschen und verlässlichen Verfügbarkeit dieser lnformationen in bestimmten Situationen z.B. zur Unterstützung der Fehlersuche in einem Netzwerk, Planung von Netzwerkerweiterungen etc.

7.2 Dokumentenstruktur

Die Netzwerkadministration hat ähnliche lnformationsbedürfnisse wie die Systemadministration. Für die grundlegenden konzeptionellen Vorgaben des Netzwerks ist die Systemadministration zuständig, die auch die Dokumente herausgibt. Diese Dokumente sind für die Netzadministratoren verbindlich. Zu den vorhandenen Dokumenten der Systemadministration benötigt das Netzwerkmanagement zusätzliche Dokumente, welche die Eigenschaften der Netzwerkkomponenten schriftlich festhalten.

DOKUMENT HERAUSGEBER (Verantwortlich) HAUPTINHALT des Dokuments AUFGABE des Dokuments
Dokumentenliste IT-Leitung Auflistung aller IT-Dokumente. Zuständigkeiten und Auf bewahrungsort. Übersicht über alle Systembeschreibungen.
Inventarliste Hardware IT-Leitung Alle HW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Life-Cycle-Management (Produktelebenszyklus)
Inventarliste Software IT-Leitung Alle SW-Komponenten innerhalb der IT-Infrastruktur. Dient als Grundlage für:
  • Accounting-Management
  • Anlagebuchhaltung
  • Lizenzverwaltung
Inventar IT-Verträge IT-Leitung Übersicht über alle Verträge mit IT-Dienstleistern. Dient als Grundlage für:
  • Accounting-Management
  • Service-Level-Management z.B. SLA's
Netzwerkdiagramm (Logische Netzwerkstruktur) Netzwerkadministration Grafische Darstellung aller Netzkomponenten, der Server/Workstations mit den wichtigsten Daten. Übersicht über alle Netzkomponenten und Systeme im Netzwerk.
Verkabelungsplan inkl. Anlagedokumentation (physikalische Netzwerkstruktur) Netzwerkadministration Informationen über die tatsächliche Verkabelung des Nelzwerks.
Belegungsplan der Switchs (Switch-Port-Nr, VLAN-Nr., PoE ja/nein, Zielsteckdose etc.)
Belegungsplan weiterer Netzwerkkomponenten wie Router etc.
Dient als Grundlage für:
  • Configuration-Management z.B. weitere Ausbauten
  • Fault-Management
Liste der Netzwerkdienste Netzwerkadministration Konfigurationsangaben über die eingesetzten Netzwerkdienste. Dient als Grundlage für:
  • Configuration-Management
  • Fault-Management
  • Performance-Management
  • Security-Management
Adressierungskonzept Netzwerkadministration Richtlinien für die Adressierung (Identifikation) von Netzwerkkomponenten. Dient als Grundlage für:
  • Configuration-Management z.B. IP-Adressierung
  • Fault-Management
Namenskonzept Systemadministration Richtlinien für die Benennung von Geräen, Benutzerkonten, etc. Dient als Grundlage für das Configuration-Management z.B. Namensvergabe.

8. Netzwerkmanagement

Das OSI-Modell kategorisiert fünf Funktionsbereiche des Netzwerkmanagements:

  • Fehler (Schwellwerte, Problembestimmung & Diagnose; z.B. mit SNMP)
  • Konfiguration (Inventarisierung, Veränderungen)
  • Performance (Analyse und Tuning, Statistische Auswertungen; z.B. mit SNMP)
  • Accounting (Kostenverrechnung, Ressourcenutzung, Passwortverwaltung)
  • Sicherheit (Sichere Datenübertragung gewährleisten; z.B. mit VPN)

Dabei stehem folgende Fehlerursachen im Vordergrund:

  • OSI-Layer-1: Fehlerhafte Kabel; Elektrische Störungen; Kollisionen usw.
  • OSI-Layer-2: 802.x-Inkompatibilitäten; Falsch konfigurierte HW-Adressen; Broadcaststorms
  • OSI-Layer-3: Falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcastadressen; Falsche Routingtabellen bzw. Einträge; Protokollinkompatibilitäten
  • OSI-Layer4-7: Unkorrekt implementierte Protokolle

Was kann alles überwacht werden?

Was für Komponenten im Netzwerk und was kann dabei getestet werden? (Allgemein, Erreichbarkeit, Dienst läuft, Datenströme…)

8.1 Netzwerkmanagement mit SNMP

  • SNMP bedeutet Simple Network Management Protocol, was soviel heisst, wie «Einfaches Netzwerkverwaltungsprotokoll»
  • Mittels geeigneter Überwachungswerkzeuge werden Betriebszustände und Kenngrössen von Netzwerkkomponenten effizient abgefragt
  • SNMP bietet ein einheitliches Managementprotokoll bei unterschiedlichen System- und Netzwerkkomponentenhersteller
  • SNMP ermöglicht den Austausch von Informationen zwischen Managementkonsole wie z.B. ihr PC und den Agenten auf den entsprechenden Geräten
  • Allerdings muss das System- bzw. die Netzwerkkomponente SNMP-fähig sein (Agent)
  • Die Managementkonsole speichert Informationen der zu verwaltenden Objekten MO (Managed Objects) zentral in einer MIB (Management Information Database) ab und kann bei Unregelmässigkeiten reagieren
  • Auf dem Markt werden unter anderem folgende Produkte angeboten: IBM Tivoli, HP OpenView, Nagios (OpenSource-SW)

8.2 Die MIB-Struktur

  • Die MIB hat eine baumartige bzw. hierarchische Struktur
  • Der OID (Object Identifier) bezeichnet einen Pfad zu einem bestimmten Objekt
  • Man kann durch den MIB-Baum mittels Pfadnummern navigieren
  • Es existiert eine globale MIB und Verzweigungen von diesem globalen Baum, nämlich die produktspezifischen MIB-Module

8.3 Polling und Trap

  • Polling: Die Managementkonsole fordert periodisch den Status der überwachten Geräte an, belastet damit je nach Abfragehäufigkeit das Netzwerk und hat den Nachteil, das Fehler die sich zwischen den Abfrageintervallen ereignen, vorerst unentdeckt bleiben
  • Trap: Diese werden auf der Ziel-HW implementiert, werden ausgelöst, wenn ein vordefiniertes Ereignis eintritt und schicken sofort eine Meldung an die Managementkonsole

8.4 Datenaustausch zwischen Agent und Managementkonsole

  • get / getnext / getbulk: Datensatz abfragen
  • set: Informationen eines Datensatzes ändern
  • response: Antwort auf get
  • trap: Unaufgeforderte Nachricht bei bestimmtem Ereignis

8.5 SNMP-Versionen

  • SNMPv1: 1988, schwache Sicherheitsmerkmale, Passwörter im Klartext
  • SNMPv2: 1993, verbesserte Sicherheitsfunktionen, neu: getbulk
  • SNMPv3: 2002, starke Sicherheitsfunktionen, wesentlich komplexer als v2 und abwärtskompatibel!

8.6 RMON, eine Erweiterung von SNMP

  • Einführung 1992 - Motiviert durch die Gegebenheit, dass SNMP durch ständiges Abfragen viel Netzwerktraffic generiert
  • RMON ist ein verteiltes, kostengünstiges Instrument der Netzwerküberwachung
  • RMON ermöglicht das Sammeln von Statistiken durch die Analyse jedes Paketes auf einem LAN-Segment oder Switch-Port
  • RMON nutzt SNMP als Transportprotokoll

8.7 Syslog, ein weiteres Werkzeug für die Netzwerküberwachung

  • Standard zur Übermittlung von Log-Meldungen
  • Der Begriff «syslog» wird oft sowohl für das eigentliche syslog-Netzwerkprotokoll als auch für die Anwendung oder Bibliothek benutzt, die syslog-Meldungen sendet oder empfängt

8.8 Networkmanagement-Tools

iReasoning MIB-Browser Printscreen:


9. WLAN

9.1 WLAN-Betriebsarten

WLAN (Wireless Local Area Network) gibt es in den folgenden Betriebsarten:

9.2 WDS (Wireless Distribution Repeater)

Ein als WDS konfigurierter Access Point ist eine WLAN-Basisstation, die schwache Funksignale empfängt, neu aufbereitet und verstärkt wieder abstrahlt. WLAN-Repeater vergrössern im Prinzip die Reichweite einer einzelnen Basisstation, die sie über ihre Hardware-Adresse (MAC) identifizieren. Bei der Repeater-Funktion handelt es sich praktisch um eine Funkverlängerung. Der WLAN-Repeater verteilt dabei die Datenpakete per Broadcast an alle WLAN-Teilnehmer und erzeugen damit eine Datenflut im WLAN.

AP und Repeater haben dieselbe SSID, denselben WPA/WEP-Schlüssel und denselben Funkkanal.

Da der AccessPoint und Repeater die gleiche SSID haben, können sich die WLAN-Clients wahlweise mit dem Repeater oder dem Access Point verbinden. Je nachdem, welches Funksignal stärker ist. WDS gibt es als Single-Radio-WDS (Ein Kanal für Weiterleitung an benachbarte AP’s und Clients) und Dual-Radio-WDS (Zwei Kanäle, davon einer für Weiterleitung an AP’s und ein weiterer für die Clients. Dieses Verfahren ist daher effizienter)

9.3 WLAN-Sicherheit

  • Die Sicherheit von WLANs basiert auf einer Kombination aus Authentifizierung und Verschlüsselung.
  • Ein offenes WLAN stellt sich wie ein offenes Scheunentor dar. Beim Surfen über das offene WLAN hinterlässt die IP-Adresse des WLAN-Betreibers eine Spur im Netz. Diese IP-Adresse kann im nachhinein dem Anschlussinhaber zugeordnet werden. Der Anschlussinhaber wird daher im Rahmen einer Rechtsverletzung als erster Verdächtiger ermittelt.
  • Wenn immer möglich mit WPA2 (WIFI Protected Access 2 – AES/CCMP/IEEE802.11i) verschlüsselt verbinden – WPA2 gilt als hinreichend sicher, wenn das WLAN-Passwort möglichst lang und komplex ist – Befindet sich das Passwort in einem Wörterbuch, dann bestehen gute Chancen, dass ein Angreifer das Passwort herauszufinden kann.
    WEP ist geknackt und sollte nicht mehr verwendet werden.
  • Im kommerziellen oder großräumigen Einsatz sollte ein WLAN immer im Enterprise Mode mit IEEE 802.1x gesichert werden.
  • WPS ausschalten.
  • Die WLAN-Reichweite bzw. Antenne und Sendeleistung den Bedürfnissen anpassen um ein «Mithören» nicht zu fördern.
  • Default-Admin-Passwort ändern.
  • Aktuelle Patches einspielen.
  • SSID wählen, die keine Rückschlüsse auf die Firma oder Namen zulässt.
  • MAC-Adressfilter einsetzen ist fraglich – Ein Hacker wird sich einfach seinen WLAN-Adapter mit der MAC-Adresse eines berechtigten WLAN-Adapters überschreiben und schon ist der MAC-Filter umgangen.
  • SSID-Broadcast verstecken ist fraglich und wird auch nicht offiziell unterstützt bzw. ist für Hacker kein wirkliches Hindernis, denn sobald sich ein Client an einem WLAN mit versteckter SSID anmeldet, wird dabei die SSID übertragen)
    (Es entsteht sogar eine Sicherheitslücke: Normalerweise würde der WLAN-Access-Point regelmässig über sein WLAN informieren. Wenn er das nicht tut, dann muss der WLAN-Client, der einmal damit verbunden war, aktiv nach diesem WLAN suchen. Deshalb broadcastet dieser Client regelmäßig die SSID von sich aus heraus. Er ruft praktisch ständig nach dem versteckten WLAN. Auch wenn das gar nicht in der Nähe ist.)
  • WLANs von anderen Netzwerk-Segmenten logisch trennen.
  • Firewall zwischen WLAN und LAN.
  • VPN einsetzen.
  • IDS (Intrusion Detection System) im WLAN aufstellen, um Angriffe zu erkennen.
  • Regelmässige Audits mit aktuellen Hacker-Tools.
  • Netzzugang regeln mit z.B. Radius-Server.
  • Wie man ein WLAN «hacken» kann, wird z.B. ausführlich auf www.elektronik-kompendium.de beschrieben. Stichwort: «WLAN-Hacking» oder hier der Direktlink.

9.4 WLAN-Frequenzen und Kanäle

Für WLAN sind die Frequenzbänder 2.4GHz (über 10 Kanäle) und
5GHz (über 20 Kanäle) reserviert. Die Kanalanzahl ist regional unterschiedlich.

Beispiel 2.4GHz:

Sowohl der 2.4GHz- wie auch im 5GHz Bereich ist in verschiedene Kanäle unterteilt. Ein Kanal hat eine Bandbreite von 20MHz, 22MHz oder 40MHz. Der AP sendet auf genau einem dieser Kanäle. Dies kann man am AP entsprechend konfigurieren. Benachbarte AP’s sollten aber nicht denselben Kanal benutzen, sonst kommt es zu einer Kanalüberlappung.

  • Bei 13 Kanälen (Europa) sind nur jeweils 3 Kanäle ohne Überlappung nutzbar.
  • Falls mehrerer Access Points geplant sind ist darauf zu achten, dass die genutzten Kanäle nicht zu dicht beieinander liegen.
  • Eine Kanalüberlappung ist unbedingt zu vermeiden, weil dies sonst zu einer geringeren Übertragungsrate führen würde.
  • Eine Kanalüberlappung ist nur bei AP’s zulässig, die mindestens 30 Meter auseinander liegen.
  • Ausserdem muss jeder PC die Übertragungsleistung auf dem selben Kanal mit anderen PC’s teilen (Shared Medium/Kollisionsdomäne)

9.5 WLAN-Funkantennen

  • Stabantenne oder Rundumstrahlantenne strahlt die elektromagnetischen Wellen gleichmässig in alle Richtungen ab. Dabei sollte die Antenne vertikal stehen. Stabantennen sind in Stabrichtung am wenigsten Effizient.
  • Richtantenne bündelt die Energie und strahlt die elektromagnetischen Wellen in eine bestimmte Richtung ab.
    Vorteil: Grössere Reichweite.
    Nachteil: Man muss die Antenne genau auf die Gegenstelle ausrichten
  • Sektorantenne zählt zur Gruppe «Richtantenne», weist aber einen etwas grösseren Öffnungswickel auf. Um verschieden Richtungen «auszuleuchten», setzt man mehrere Sektorantennen an einem Standort ein.

9.6 Dämpfung von WLAN-Funkwellen

  • Geringe Dämpfung:
    Holz, Gips, Glas (Möbel, Decken, Zwischenwände ohne Metallgitter, Fensterscheiben)
  • Mittlere Dämpfung:
    Wasser, Mauersteine (Mensch, feuchte Materialien, Aquarium, Wände Decken)
  • Hohe Dämpfung:
    Beton, Gips (Massive Wände, stahlarmierte Betonwände, Zwischenwände mit Metallgitter)
  • Sehr hohe Dämpfung:
    Metall (Liftschacht, Brandschutztüren, Stahlbetonkonstruktionen)

9.7 WLAN-Fehlersuche und Verbesserungspotenzial im eigenen WLAN

  • Überprüfen sie die Funksignalstärke am Empfangsort.
  • Überprüfen sie eine allfällige Überlappung aktiver Funkkanäle.
  • Überprüfen sie die Anzahl verbundener Geräte und beachten sie, dass der Funkkanal eine einzige Kollisionsdomäne bildet und somit jeder weitere Teilnehmer die am AP zur Verfügung stehende Netzwerkbandbreite proportional reduziert (so ähnlich wie beim Hub)
  • Nutzen sie, sofern ihr AP das zulässt, die zurzeit noch weniger genutzten Kanäle im 5GHz-Bereich.
  • Für mehr Verbindungsqualität und Reichweite Client und Access Point in Sichtlinie aufstellen.
  • Access Point leicht erhöht aufstellen oder wenn möglich an Wand oder Decke anbringen.
  • Empfangsverbesserung bei WLAN über mehrere Etagen durch Schrägstellen der Antenne.
  • Mit der Antennenausrichtung experimentieren. Das Umsetzen oder Drehen der Basisstation kann die Verbindung deutlich verbessern.
  • Wände in Leichtbauweise stellen kein Problem dar. Wände und Decken aus Stahl oder Beton, sowie Brandschutztüren schränken die Reichweite des WLAN ein.
  • Fenster lassen zwar Licht durch, dämpfen aber das WLAN-Signal, insbesondere bei Wärmeschutzverglasung.
  • Ecken und Nischen meiden. Dort bilden sich häufig Funklöcher.
  • Zur Reichweitenerhöhung im Aussenbereich Aussenantennen verwenden.
  • Mehrere Access Points mit ausreichendem Abstand zueinander aufstellen.

9.8 Die WLAN-Norm IEEE 802.11

  • 802.11: Bruttodatenrate: 2MBit/s / Nettodatenrate: max. 1MBit/s
    Frequenzband: 2.4-2.4835 GHz
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100mW
  • 802.11a: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband Europa: 5.47-5.735GHz / Bandbreite: 20MHz
    Kanäle: 19 (alle überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 2km
    Max. Sendeleistung Europa: 1W
  • 802.11c: Wireless Bridging zwischen Access Points
  • 802.11d: Länderspezifische Anpassungen: Funkkanäle, Frequenzbereich etc.
  • 802.11e: Erweitert WLAN um Quality of Service (QoS)
  • 802.11f: Regelt die Interoperabilität zwischen Basisstationen – Roaming
  • 802.11g: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband: 2.4-2.4835 GHz / Bandbreite: 20MHz
    Kanäle: 13 (davon 4 überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100mW
  • 802.11i: Sicherheit/Verschlüsselung WPA2
  • 802.11n: Bruttodatenrate: 65-600MBit/s / Nettodatenrate: 30-240MBit/s
    Frequenzband: 2.4-2.4835 GHz (3 Kanäle) oder 5.47-5.735GHz (19 Kanäle)
    Reichweite aussen: bis 100m
  • 802.11p: Drahtloser Funkzugriff von Fahrzeugen aus
  • 802.11r: Fast Roaming beim Wechsel zwischen AP’s (VoIP)
  • 802.11s: Regelt den Aufbau von Wireless Mesh Networks
  • 802.11t: Wireless Performance Prediction (WPP), legt unter anderem Testverfahren fest
  • 802.11u: Behandelt das Zusammenspiel mit anderen nicht 802-konformen Netzen (z.B. den zellularen Handy-Netzen)
  • 802.11v: Wireless-Network-Management
  • 802.11w: Protected Management Frames
  • 802.11ac: Bruttodatenrate: bis zu 6.9GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 5.47-5.735GHz / Bandbreite: 80/160MHz
  • 802.11ad: Bruttodatenrate: bis zu 6.7GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 60GHz / Bandbreite: 2GHz
    Reichweite: wenige Meter

9.9 WLAN-Begriffe und Abkürzungen

  • WLAN: Wireless LAN (Drahtloses lokales Netzwerk nach IEEE 802.11)
  • WIFI: Wireless Fidelity (Firmenkennzeichnung für IEEE 802.11-Kompatibilität)
  • AP: Access Point (OSI-Layer 1-2; Bridge. AP im Client-Mode ist nur ein einfacher WLAN-Adapter)
    • Access-Point-Betriebsart
    • Client-Betriebsart PC-WLAN
    • Repeater-Funktion (Reichweitenerhöhung / Netzwerkkopplung)
  • WLAN-Router: WLAN-Router mit AP und meistens auch xDSL (OSI-Layer 1-3)
  • BSS: Basic Service Set (WLAN-Zelle mit Access Point oder ohne=IBSS)
  • IBSS: Independend BSS (Ad hoc WLAN ohne AP’s, Tipp: Besser via Bluetooth!)
  • ESS: Extended Service Set (Verknüpfung von mehreren BSS-Zellen)
  • DS: Distribution System (für drahtgebundene WLAN-Reichweitenerweiterung; LAN verbindet AP’s, BSS wird zu ESS)
  • WDS: Wireless Distribution System (für drahtlose WLAN Reichweitenerweiterung; Funkstrecke verbindet AP’s; weniger
    nutzbare Bandbreite)
    Single-Radio-WDS: Ein Kanal für Weiterleitung an benachbarte AP’s und
    Clients
    Dual-Radio-WDS: Ein Kanal für Weiterleitung an AP’s, ein weiterer für die
    Clients
    WDS-Bridging: Direktverbindung zwischen zwei AP’s (Weitere Clients können
    sich nicht verbinden)
    WDS-Repeating: Mehrere AP’s und Clients über WDS verbunden
    WDS Alternative: Universal-Repeating-Mode (Proprietärer Standard)
    Für «Repeating» notwendig:
    ◊ Den AP’s müssen die BSSID’s der anderen AP’s bekannt sein
    ◊ Dieselbe SSID
    ◊ Denselben WPA-Schlüssel
    ◊ Denselben Funkkanal
  • WPS: Wi-Fi Protected Setup (Ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung)
  • SSID: Service Set Identifikation (Name des Service-Set’s)
  • BSSID: Basic SSID (MAC-Adresse des AP’s. CSMA/CA Carrier Sense Multiple Access/Collision Avoidance. Kollisionsvermeidung bei WLAN’s, bei Ethernet ist es CSMA/CD!)
  • MIMO: Multiple Input Multiple Output (Nutzung mehrerer Sende- und Empfangsantennen zur Verbesserung der Übertragungsleistung; höherstufiges Modulationsverfahren. Vgl. Antenna Diversity)
  • QoS: Quality of Service (Dienstgüte / Dienstqualität)
  • WEP: Wired Equivalent Privacy (unsicheres WLAN-Verschlüsselungsprotokoll)
  • WPA: WIFI Protected Access (ältere WLAN Verschlüsselung mit RC4, TKIP und MIC)
  • WPA2: WIFI Protected Access 2 (aktuelle WLAN Verschlüsselung mit AES und CCMP, 802.11i)
  • PSK: Pre Shared Key (Symmetrisches Verschlüsselungsverfahren zur Teilnehmer- authentifizierung, vgl. PKI)
  • RC4: Ron’s Code 4 (Stromchiffre)
  • TKIP: Temporal Key Integration Protocol (Sicherheitsprotokoll)
  • MIC: Message Integrity Check (Verfahren zur Überprüfung der Vertrauenswürdigkeit)
  • AES: Advanced Encryption Standard (Blockchiffre)
  • CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (Sicherheitsstandard)
  • IKE: Internet Key Exchange (Schlüsseltausch bei IPsec)
  • PKI: Public Key Infrastuktur (System, das digitale Zertifikate ausstellt, für asymmetrische Verschlüsselungsverfahren)
  • ISM: Industrial, Scientific and Medical Band (Gebührenfreie und freigegebene Frequenzbereiche, die in Industrie, Wissenschaft, Medizin, in häuslichen und ähnlichen Bereichen genutzt werden, wie z.B. das 2.4GHz-WLAN)
  • IDS: Intrusion Detection System (Angrifferkennungssystem zur Dedektierung von Angriffen gegen ein Computersystem oder Rechnernetz)

10. Mobilfunk

10.1 Die Generationen beim Mobilfunk

1. Generation (1G)

Analoge Systeme, z.B. C-Netz (CH-Natel)

2. Generation (2G)

GSM = Global System for Mobile Communications (früher Groupe Spécial Mobile)
Datenübertragungsraten bei 2G bis zu 53.6 kbit/s, bei 2G+ bis zu 256 kbit/s.
GSM ist der erste Standard der zweiten Generation, Nachfolger der analogen Systeme der ersten Generation und der weltweit am meisten verbreitete Mobilfunk-Standard.
Später sind Erweiterungen des Standards HSCSD, GPRS und EDGE zur schnelleren Datenübertragung hinzugekommen. (EDGE = Enhanced Data Rates for GSM Evolution / GPRS = General Packet Radio Service)
Ein Mobiltelefon, dass auf drei Frequenzen sendet und empfängt, nennt man «Tri-Band», ein solches, mit vier Frequenzen «Quad-Band». Bei globalem Einsatz wird «Quad-Band» empfohlen.

  • 850 MHz
  • 900 MHz
  • 1800 MHz
  • 1900 MHz

Situation Schweiz: Swisscom wird die in die Jahre gekommene 2G-Technologie (GSM) ab Ende 2020 nicht mehr unterstützen, um genügend Frequenzen und Kapazitäten für zukünftige Kundenbedürfnisse bei der Telefonie und Datenkommunikation zu erhalten!

3. Generation (3G)

UMTS = Universal Mobile Telecommunications System
Datenübertragungsraten bei 3G+ bis zu 42 Mbit/s mit HSPA+, sonst bei 3G max. 384 kbit/s.
HSDPA, HSUPA

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 8: 900 MHz (E-GSM)
  • Band 19 (vormals Band 6): 800 MHz (nur Japan)

4. Generation (4G)

LTE - FDD = Long-Term-Evolution - Frequency Division Duplexing
Bandbreite bei 4G bis zu 150 Mb/sec und bei 4G+ bis zu 1000 Mb/s. FDD-LTE gilt dabei als die moderne 4G-Variante und ist weltweit am meisten verbreitet. (Stand 2018)

  • Band 1: 2100 MHz (IMT)
  • Band 2: 1900 MHz (PCS)
  • Band 3: 1800 MHz (DCS)
  • Band 4: 1700 MHz (AWS)
  • Band 5: 850 MHz (CLR)
  • Band 7: 2600 MHz (IMT-E)
  • Band 8: 900 MHz (E-GSM)
  • Bands 12-17: 700 MHz (USMH, LSMH) *
  • Band 20: 800 MHz (EUDD)
  • Band 28: 700 MHz (APT)*

* «700 MHz / Band 12-17» findet man vorwiegend in den; USA und Kanada und ist nicht kompatibel mit «700 MHz / Band 28» welches in Europa, Südamerika, Asien und Australien verbreitet ist.

LTE - TDD = Long-Term-Evolution - Time Division Duplexing
TDD-LTE ist heute vor allem in China und Indien verbreitet.

  • Band 38: 2600 MHz (IMT-E)
  • Band 40: 2300 MHz
  • Band 41: 2500 MHz
  • Band 42: 3500 MHz
  • Band 44: 700 MHz (APT)

5. Generation (5G)

Datenübertragungsraten bei 5G aktuell bis zu 3 Gbit/s. Die 5. Generation des Mobilfunks soll aber Datenraten von bis zu 10 Gbit/s erreichen. Einführung bei Swisscom 2018-2020.


11. VLAN

VLAN → Virtual Local Area Network

11.1 Einführung

Ohne VLAN:

IP-Netzwerke werden mit auf OSI-Ebene 2 arbeitenden Switches aufgebaut und mit Router verbunden. Jedes an einem Standort erforderliche Netzwerk muss physikalisch dorthin gebracht werden, was einen nicht unerheblichen Verkabelungsaufwand bedeuten kann.

Mit VLAN:

Ein VLAN ist ein logisches, virtuelles Teilnetz innerhalb eines physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Man kann sich das VLAN in einem Kabel oder einer Glasfaser so vorstellen, dass innerhalb eines Kupferdrahtes mehrere virtuelle Kupferdrähte angeordnet sind und im Innern des Switches jeder Kupferdraht separat geswitcht wird. Jeder Port des Switches hat somit unterschiedliche VLANs aufgeschaltet. Aus diesem Grund darf niemals ein Kabel von einem Port am VLAN-Switch ohne Rekonfiguration der Ports am Switch umgesteckt werden. Sonst kann es geschehen, dass die VLANs an die falschen Geräte und Switches weitergeleitet werden und die Dienste nicht dort zur Verfügung stehen, wo sie sollten. Jedes VLAN bildet (wie ein normales, physisch separiertes Netzwerksegment) eine eigene Broadcast-Domäne.

Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3-Switch.

11.2 Der Nutzen beim Einsatz von VLAN

  • Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung: Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren: Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

11.3 VLAN-Switches verbinden

Der Switch muss VLAN’s unterstützen. Neuere Netzwerkkarten in Server/PC sind meist auch VLAN-fähig (und somit über verschiedene VLAN’s erreichbar).

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz. (Das Verfahren entspricht einem asynchronen Multiplexing. Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLAN’s über eine einzige Verbindung weiterzuleiten.).
IP-Subnetze bzw. Teilnetze können auf verschiedene Arten den VLANs zugeordnet werden:

  • Portbasiert
  • Tagged
  • Statisch
  • Dynamisch

11.4 Portbasierte VLANs

Die Urform des VLAN's. Ältere VLAN-fähige Switches beherrschen nur portbasiertes VLAN, das statisch konfiguriert werden muss. Hier wird ein managebarer Switch portweise in mehrere logische Switches segmentiert – alternativ können sich portbasierte VLAN’s auch über mehrere Switches hinweg ausdehnen. Ein Port gehört dann immer nur zu einem VLAN oder ist ein Trunk-Port. Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz. Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLAN’s und zu den tagged VLAN’s. Überall dort, wo eine bessere Übersicht gefordert ist und ein höherer Ressourcenverbrauch (Platz, Energie) vermieden werden muss, kommen statische, portbasierte VLAN’s zum Einsatz.

11.5 Tagged VLANs

Das heute fast ausschliesslich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag:

Die paketbasierten tagged VLAN’s stehen im Unterschied zu den älteren markierungslosen, portbasierten VLAN’s. (Der Ausdruck tagged leitet sich vom englischen Ausdruck «Material Tags» ab was einem Anhänger entspricht, mit dem man eine Ware markiert). Es handelt sich also bei tagged VLAN’s um Netzwerke, die Netzwerkpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen. Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLAN’s z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt. Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q. Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
(Bei portbasierten VLAN’s (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört. Der Switch auf Empfängerseite muss dieses wieder entfernen. Bei Tagged VLAN’s nach IEEE 802.1q hingegen werden die Pakete entweder vom Endgerät (z. B. Taggingfähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen. Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1q, kann auch dieser es unverändert weiterleiten. Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann muss das Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen). Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.)
Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-ID’s, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLAN’s konfiguriert. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden). Das automatische Lernen der zu den VLT’s (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können. Das Erlernen der VLT’s erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switches ohne Verwaltungsmöglichkeit bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind. Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden. Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung). Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen. Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden. Man kann aber auch direkt bei der Verkabelung ansetzen. Es gibt beispielsweise Messklemmen als Zubehör zu Profi-Netzwerkanalysegeräten, die äusserlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen. So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden. Dagegen hilft nur eine starke Verschlüsselung (z.B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren.

11.6 Statische VLANs

Hier wird einem Switch-Port fest eine VLAN-Konfiguration zugeordnet. Er gehört dann zu einem portbasierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört. Die Konfiguration eines Ports ist bei statischen VLAN’s fest durch den Administrator vorgegeben. Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLAN’s unveränderlich fest. Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLAN’s möglich. Gehört ein Port zu mehreren VLAN’s, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLAN’s über mehrere Switches hinweg.Durch die Möglichkeit, einen Port mehreren VLAN’s zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLAN’s angebunden werden, ohne dass für jedes Teilnetz eine physische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLAN’s miteinander kommunizieren können. Diese VLAN-Trunk’s dürfen nicht mit den Trunk’s im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

11.7 Dynamische VLANs

Bei der dynamischen Implementierung eines VLAN’s wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLAN’s verzichtet werden. Dynamische VLAN’s stehen im Gegensatz zu den statischen VLAN’s. Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern. In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN. Durch Dynamische VLAN’s kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs in ein spezielles VLAN zu leiten.

11.8 Router on a Stick

Router haben üblicherweise mindestens zwei Netzwerkanschlüsse, denen unterschiedliche Netze zugeordnet sind. Bei «Router on a Stick» führt nur eine Verbindung (Stick bzw. Stock) an den Router: Zwei unterschiedliche Netze als VLANs über dieselbe Leitung. Der Router muss dafür natürlich VLAN-Tags verstehen. Dank des Routers können nun die VLANs gegenseitig erreichbar gemacht werden. Nachteil dieser Lösung: Flaschenhals bzw. reduzierte Bandbreite, da auf der einen physikalischen Leitung zwei Netzwerke übertragen werden müssen (Hin und zurück). Besser wäre die Verwendung eines L3-Switchs (Layer3-Switch) wo die Routing-Funktion bereits im «Switch» implementiert ist.


12. WAN

WAN → Wide Area Network

12.1 Einführung

WAN's werden benutzt, um verschiedene LAN's, aber auch einzelne Rechner miteinander zu vernetzen. Einige WANs gehören bestimmten Organisationen und werden ausschließlich von diesen genutzt. Andere WAN's werden durch Internetdienstanbieter errichtet oder erweitert, um einen Zugang zum Internet anbieten zu können.

Eigenschaften von LANs:

  • Übertragung von Daten in einem begrenzten Bereich. z.B. Gebäude, Firmengelände, Campus.
  • Tendenziell schnell, 100 Mbps bis 16 Gbps.
  • Im Besitz des Benutzers (Privates Gelände)
  • Keine Kosten für den Datentransport.

Eigenschaften von WANs:

  • Übertragung von Daten über weite Entfernungen / Ausdehnung unbeschränkt über Länder, Kontinente oder auch weltweit.
  • Tendenziell langsam, 64 Kbps bis 622 Mbps, bzw. 10 Gbps
  • Im Besitz öffentlicher oder privater Betreiber (Carrier/Provider) (öffentliches Gelände)
  • Kosten In Abhängigkeit von Bandbreite, Distanz etc.

12.2 Verbinden von Firmenstandorten

Nahe beieinanderliegende Standorte:

Die einfachste und billigste Variante, zwei nahe beieinanderliegende Standorte zu verbinden, ist die Funkbrücke (WLAN-Bridging)

  • Für Distanzen im Kilometerbereich
  • Den öffentlichen Raum mit Funk «überbrücken»

Entfernte Standorte:

Sollen zwei entfernte Firmenstandorte (Sites/LAN’s) wie z.B. den Haupsitz in Ortschaft A und die Filiale in Ortschaft B verbunden werden (LAN-Interconnection), kann dies auf folgende Arten realisiert werden:

  • Verbinden der Sites über eine Stand/Miettelefonleitung
    (Nur für kleine Bandbreiten und daher veraltet. Ist aber als Verbindungsbackup oder bei gelegentlichem Verbindungsaufbau, Fernwartung allenfalls noch von Interesse)
  • Verbinden der Sites über das Internet mit je einem Internetzugang
    (Wegen dem abhör- und manipulierbaren WorldWideWeb muss die Übertragung verschlüsselt mit VPN erfolgen)
  • Verbinden der Sites über den Backbone (Core-Network) eines Service-Providers
    (Man nutzt dieselbe Infrastruktur/WAN/Core-Network wie das Internet, ist allerdings von diesem getrennt, ausser das sei explizit erwünscht)

Die beiden LAN’s erhalten je einen privaten IP-Adressbereich und dürfen sich nicht im selben Subnetz befinden. Zwischen den LAN’s wird geroutet, wobei LAN1, LAN2 und die WAN-Strecke je ein Subnetz bilden.

12.3 LAN to LAN über Internet

  • Benötigt einen Internetzugang bzw. einen Internet-Service-Provider (ISP)
    Zugang zum ISP per Kabelnetze (UPC etc.) oder Telefonleitung (Swisscom etc.) PSTN/ISDN und SDSL/VDSL.
    (ADSL ist ungeeignet, da Uploadgeschwindigkeit und Downloadgeschwindigkeit ungleich)
  • Zugang zum ISP über Glasfaseranschluss (Direktanschluss)
    (Siehe auch LAN-to-LAN über Provider-Backbone mit Anbindung an das Internet)
  • Benötigt wegen unsicherem Internet einen schutzbietenden VPN-Tunnel (In diesem Fall: Site-to-Site)

12.4 LAN-to LAN über Provider-Backbone

  • Benötigt einen Zugang zu einem Netzbetreiber/Service-Provider:
    Früher: Analoge Miet/Standleitungen
    Heute: Access-Network oder Direktanschluss
  • Access-Network: LastMile, Teilnehmerkabelanschluss, analog PSTN mit SDSL/VDSL, oder digital ISDN (ISDN ist bereits veraltet)
  • Direktanschluss (Direkter Glasfaser-Anschluss ins Core-Network)
  • PoP: Point-of- Presence bzw. Knotenpunkt innerhalb eines Kommunikationssystems
  • Das Core-Network (Provider-Backbone) ist das Kernstück des Telekommunikationsnetzwerks, welches von den Verbindungsnetzwerkbetreibern unterhalten wird, und bietet den Teilnehmern/Kunden, welche über das Access-Network angeschlossen sind, verschiedene Dienstleistungen an.
    • Aufbau: Glasfaser
    • OSI-Layer: 1/2/(3)
    • Früher: X25, ATM, FrameRelay
    • Heute: Ethernet MPLS,PDH,SDH
  • Mit einem WAN-Anschlussgerät wird man mit dem Core-Network verbunden. Es kann optional auch eine Verbindung ins Internet erstellt werden. Dieser Zugang sollte aber speziell abgesichert sein. (Firewall)

12.5 Evaluation eines Anbieters fü LAN-to-LAN Interconnection

LAN-Interconnect-Projekte mit z.B. Swisscom gestalten sich heutzutags etwa wie folgt: (Stand 2016)

Der Kunde formuliert seine Bedürfnisse und der Anbieter bietet einen kompletten LAN-Interconnect-Service auf einer dedizierten MPLS Plattform (=sicher und internetunabhängig) an. Das beinhaltet u.a.:

  • Access-Typ des Service-Access-Point’s (EnterpriseAccess bis 10Gbps über Glasfaser / BusinessAccess mit xDSL über Glas- oder Kupferkabel / MobileVPNAccess über Mobilfunknetz etc.)
  • Service Elemente gem. Service-Level-Agreement (SLA) (98.9..100% Mtl. Verfügbarkeit / Max. Summe der Ausfallzeiten 0..8h / Access Redundanz / 11..24h Support etc.)
  • Design, Engineering, Projekt Management, Implementierung (u.a. Planung, Konfiguration und Dokumentation der Zugangsleitung und gelieferten Kundenausrüstung/Anschlussgerät)
  • Konfigurationsänderungen, Migrationen von alten WAN-Zugängen
  • Optional: Direkter firewallgeschützter Internetzugang

Der Kunde erhält eine LAN-Schnittstelle mit IP-Protokoll und muss sich nicht um den WAN-Teil kümmern.

Ein Beispiel einer WAN-Offerte für eine LAN-Interconnection finden sie hier: Standortverbindung.pdf

12.6 WAN-Entscheidungskriterien

Für die Auswahl eines WAN-Dienstes beurteile man folgende Kriterien:

  • Bandbreite (maximale, durchschnittliche)
  • Distanz
  • Erhältlichkeit (wo überall, verschiedene Länder?)
  • Kosten
  • Sicherheit
  • Support / Service
  • Zuverlässigkeit, Verfügbarkeit
  • Skalierbarkeit (Flexibilität für Änderungen z.B. bei Wachstum/Ausbau)

Heutzutage wird man auf dem Internet kaum mehr konkrete WAN-Angebote mit Preisangaben finden. Die Anbieter lassen sich nicht von ihren Mitbewerbern in die Karten blicken und ermitteln die individuellen Bedürfnisse gleich direkt beim Kunden um ihm dann massgeschneiderte Angebote offerieren zu können.

Denken Sie bei WAN in den OSI-Layers und unterscheiden Sie Angebote, Dienste und Technologien:

  • Q: «Als Verbindung zwischen den zwei Standorten würde ich eine ADSL-Standleitung nehmen…»
    A: «Standleitung» hat mit Internet nichts zu tun. (Ausserdem sind Standleitung kaum noch erhältlich) ADSL (Asymmetric Digital Subscriber Line) ist wegen der Asymmetrie Upload/Download für LANVerbindungen ungeeignet. Besser SDSL. Bei ADSL gibt es übrigens einen Verbindungsaufbau.
  • Q: «Wir bestellen bei einem Internetprovider eine sichere WANVerbindung… »
    A: Auf die Abhörsicherheit einer WAN-Verbindung haben sie keinen Einfluss, ausser sie verschlüsseln ihre Daten bei Verlassen ihres LAN’s und entschlüsseln sie erst wieder bei Eintritt in das Partner-LAN. Man erstellt damit ein VPN (Virtual Private Network) VPN ist Software!
  • Q: «Für die Verbindung der zwei Standorte werden zwei Server für diesen Datenstrom gekauft…»
    A: Dafür müssen nicht zwei Server sondern zwei Router, bzw. Anschlussgeräte in Form von xDSL oder Fibre-Direktanschluss gekauft werden. Heutzutags wird dies allerdings als Gesamtpaket vom Serviceprovider (Swisscom etc.) geliefert.

13. VPN

VPN → Virtual Private Network

13.1 Einführung

Das Internetprotokoll IPv4 stammt aus dem Jahre 1974. Damals ahnte noch niemand den durschschlagenden und weltweiten Erfolg von TCP/IP und dass dieser auch unlautere Akteure anziehen werde. Darum weist das IPv4-Protokoll bis heute gravierende Sicherheitsmängel auf wie:

  • fehlende Verschlüsselung um Daten vor neugierigen Blicken zu schützen (Nutzdaten werden transparent bzw. im Klartext übermittelt und sind damit für Network-Sniffern wie Wireshark einsehbar)
  • die Möglichkeit von «Man-in-the-Middle» Angriffen (um z.B. Passwörter auszuhorchen)
  • mit Spoofing etwas «vorgaukeln» (IP/Port-Adressen verfälschen und Daten des Angreifers somit verschleiern)
  • keine Garantie über die Identität des Kommunikationspartners
  • keine Garantie über die Echtheit der Pakete

Was möchte man gerne:

  • Vertraulichkeit (Verschlüsselung)
  • Datenintegrität (Digitale Signierung)
  • Authentifizierung (Server und Client sind verifiziert)
  • Implementierung in der Netzwerkschicht, damit die Kommunikationsendpunkte nichts davon merken (z.B. IPsec arbeitet auf Layer3 und betrifft höhere Layer nicht. Aber: Netzwerkendpunkte müssen IPsec auch unterstützen)

Die Lösung ist VPN: VPN bedeutet ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz, das ein bestehendes Kommunikationsnetz als Transportmedium verwendet.

13.2 Die VPN-Verbindungsarten

13.3 Das VPN-Protokoll IPsec

Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPSec (IP Security). IPsec ist eine Protokoll-Suite, die eine gesicherte Kommunikation über potentiell unsichere IP-Netze wie das Internet ermöglichen soll. IPsec arbeitet direkt auf der Internetschicht (Internet Layer) des Protokollstapels und ist damit für die Anwendung transparent.
Mittlerweile findet man es so gut wie in jedem Firewall-Produkt, einige Heim-Router im oberen Preissegment haben es eingebaut und seit Windows 2000 ist es Bestandteil von Microsofts Betriebssystem.

13.4 IPsec: Transportmodus versus Tunnelmodus / AH und ESP

IPSec bietet zwei Sicherungsarten:

  • AH (Authentication Header)
    (Mit AH kann der Anwender nur die Integrität und Echtheit der Daten sicherstellen. Das heisst: AH stellt sicher, dass keine Datenveränderung zwischen Absender und Empfänger erfolgen kann. AH wird allerdings nur selten eingesetzt, da es kaum Anwendungen gibt, in denen nur die Integrität zählt.)

  • ESP (Encapsulation Security Payload)
    (ESP stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Die Nutzdaten werden verschlüsselt übertragen.)

jeweils in Kombination mit einem der beiden Betriebsmodis

  • Tunnelmodus: Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Der neue (äussere) IP-Header dient dazu, die Tunnelenden zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router usw. auf dem Weg zwischen den Tunnelenden nur Nutzlast dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.
    Im Tunnelmodus sind Site-to-Site Verbindungen (Gateway-Gateway) oder auch End-to-Site Verbindungen (Peer-Gateway) möglich. Wenn an jeweils einer Seite Tunnelende und Kommunikationsendpunkt auf demselben Rechner zusammenfallen, sind auch im Tunnelmodus End-to-End Verbindungen (Peer-Peer) möglich. Ein Vorteil des Tunnelmodus ist, dass bei Site-to-Site Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung.
    Tunnelmodus bedeutet also, dass ein IP-Paket in einem weiteren IP-Paket «gekapselt» wird.
    Üblicherweise kommt die Kombination ESP und Tunnelmode auf VPN-Gateways zum Einsatz, wenn entfernte Subnetze miteinander über ein unsicheres Netz gekoppelt werden.

  • Transportmodus: Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Der Transportmodus wird verwendet, wenn die «kryptographischen Endpunkte» auch die «Kommunikations-Endpunkte» sind. Nach dem Empfang des IPsec-Paketes werden die ursprünglichen Nutzdaten (TCP-/UDP-Pakete) ausgepackt und an die höherliegende Schicht weitergegeben. Der Transportmodus wird vor allem für End-to-End Verbindungen (Host-Host) oder End-zu-Router-Verbindungen zwecks Netzwerkverwaltung verwendet.
    Üblicherweise kommt die Kombination ESP und Transportmode zum Einsatz, wenn zwei Rechner miteinander über IPSec im LAN kommunizieren sollen.

13.5 Der Verbindungsaufbau - Kryptographische Funktionen von IPsec

Die kryptographischen Funktionen von AH und ESP beruhen auf symmetrischen Schlüsseln. Um diese nicht vorab austauschen zu müssen, handelt das IKE-Protokoll (Internet Key Exchange) diese beim Aufbau der Verbindung dynamisch aus. Nebenbei erledigt IKE auch noch die Authentifizierung der Teilnehmer und das Aushandeln der Security Associations (SA), in denen die Konfiguration der Verbindung festgehalten wird.
Beim Verbindungsaufbau durchläuft IKE zwei Phasen:

  • In Phase 1 (Main Mode) tauschen die Partner in vier Nachrichten Schlüsselmaterial aus, um sich auf einen gemeinsamen symmetrischen Schlüssel (SKEYID) zu einigen. Aus SKEYID werden ein Schlüssel zur Authentisierung und einer zur Verschlüsselung der weiteren IKE-Nachrichten abgeleitet sowie ein Schlüssel für die spätere Phase 2.
    (Alternative zu Main Mode: Aggressive Mode)
  • Anschließend in Phase 2 (Quick Mode) erfolgt über zwei weitere, nun verschlüsselte Nachrichten die Authentifizierung der VPN-Teilnehmer durch digitale Signaturen, RSA-Schlüssel (X509-Zertifikate) oder PSK (Pre-Shared Keys). Letztere sind nichts anderes als geheime Passwörter, die auf beiden Seiten der IPSec-Verbindung identisch sein müssen. (Bei Actctiv-Directory: Kerberos)

PSKs sind wesentlich einfacher zu handhaben als Zertifikate, haben aber im Main Mode einen entscheidenden Nachteil: Sie funktionieren nur mit statischen IP-Adressen.

13.6 VPN-Tunnel Adressierungsbeispiele

End-to-End Tunneling:

Es werden zwei Endpunkte direkt miteinander verbunden. Auf beiden Endgeräten muss eine VPN-Software installiert sein.

Site-to-End Tunneling:

Damit kann ein externer Rechner mit dem Firmennetzwerk verbunden werden z.B. für Remoteverwaltung oder Homeoffice. Der Tunnelmodus verbindet ein IP-Netz und ein Endpunkt. Die Tunnelendpunkte bilden somit der VPN-Gateway und der VPN-Client. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header. Der VPN-Client muss mit einer entsprechenden VPN-Software ausgerüstet sein.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Der hier rot dargestellte VPN-Client bzw. VPN-Endpunkt erhält seine IP-Adresse aus dem hier blau dargestellten LAN1-Bereich. Der VPN-Client besitzt nun zwei Netzwerkadressen. Die eine im eigenen LAN und die andere in der VPN-Applikation mit einer IP-Adresse aus dem Site-LAN-Bereich.

Site-to-Site Tunneling:

Damit verbindet man zwei private Netzwerke über ein drittes, meist unsicheres Netzwerk. Man kann hier von einer Art LAN-to-LAN Interconnection sprechen.
Der Tunnelmodus verbindet zwei IP-Netzen. Die Endpunkte bilden zwei VPN-Gateways, dazwischen verläuft der Tunnel. Die IP-Pakete erhalten bei IPsec ESP einen neuen, weiteren IP-Header.
Die Unverfälschbarkeit des transportierten Daten ist hier gewährleistet. Ebenso der Schutz vor Verfälschung der IP-Adressen. Da der Inhalt verschlüsselt übertragen wird, sind sogar die IP-Adressen der Endgeräte «unsichtbar».
Wäre das LAN2 im selben Netz wie LAN1, würden z.B. Pakete aus LAN1 mit Bestimmung LAN2 nie dort ankommen, weil sie ja nicht geroutet würden. Ein Paket in LAN1 findet erst dann zu «seinem» VPN-Gateway, wenn das Zielnetzwerk nicht das eigene ist.

13.7 NAT-Traversal

IPSec hat immense Probleme mit dem heute in vielen Netzen eingesetzten NAT, weil dabei das IPSec-Paket verändert wird. Je nach NAT-Art erhält ein Paket eine neue IP-Adresse und gegebenenfalls noch eine neue Quell-Portnummer. AH, egal ob im Transport- oder Tunnel-Mode, streckt hier sofort die Waffen. Weil der Paket-Header verändert wurde, stimmt der HMAC nicht mehr. Bei ESP ist es etwas komplizierter: Um Ports umzuschreiben, müsste ein NAT-Router den TCP/UDP-Header lesen können. Der Original-Header ist aber verschlüsselt, sodass eine Zuordnung unmöglich ist. Mit ESP im Tunnelmode würde NAT zwar klappen, vorher scheitert aber schon IKE an NAT. Denn IKE kommuniziert fest über den UDP-Quell- und Zielport 500. Wird der verändert, kommt keine Verbindung zu Stande. Einige Router unterstützen deshalb das IPSec-Passthrough-Verfahren, bei dem die IKE-Ports nicht verändert werden. Zudem leitet der Router ESP-Pakete damit richtig weiter. Da die ESP-Pakete nur einer Verbindung zugeordnet werden können, funktioniert Passthrough nur mit einem einzigen Client. Um sich nicht auf den Router verlassen zu müssen, ist das ursprüngliche IPSec daher kaum noch gebräuchlich. Vielmehr setzt man es mit der IPSec-Erweiterung NAT-Traversal ein. Dabei tauschen beide Seiten über das NAT-Traversal-Protokoll verschiedene Informationen aus. Anschließend werden ESP-Pakete in UDP-Pakete verpackt und über Port 4500 verschickt. Nun können NAT-Router ohne Probleme sowohl IP-Adressen als auch Ports umschreiben.

13.8 Weitere VPN-Protokolle

(Mit IPsec haben wir die sicherste VPN-Variante, doch auch eine eher schwierige Konfiguration.)

  • SSL/TLS (Secure Sockets Layer / Transport Layer Security)
    • Sicherheitsmechanismen für z.B. HTTP (HTTPS)
    • Zunehmend auch „einfachere“ Alternative zu IPsec bei VPN’s
    • SSL/TLS: Arbeitet ab Layer4
    TLS hat SSL abgelöst. SSL wird nicht mehr weiter entwickelt!
    • Site-to-Site / End-to-Site, OpenVPN, Schwachstellen!?
  • PPTP (Point to Point Tunneling Protocol) Ist aber geknackt!
    Einfach einzurichten aber schwache Authentifizierung
  • L2TP (Layer 2 Tunneling Protocol; mit IPsec-Verschlüsselung)
    PAP/ CHAP/IPsec, Mühsame Installation
  • SSTP (Secure Socket Tunneling Protocol; nur Microsoft)
  • getVPN (Group Encrypted Transport VPN; von CISCO)

13.9 VPN-Software

  • OpenVPN: Freie Software zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung wird die Bibliothek OpenSSL benutzt. OpenVPN verwendet wahlweise UDP oder TCP zum Transport.
    Link: www.openvpn.net
  • WireGuard: WireGuard ist eine sehr leicht verständliche und moderne VPN Lösung. Es setzt sich zum Ziel, schneller, einfacher und schlanker als IPsec zu sein. Dabei möchte es auch deutlich performanter als OpenVPN sein. Im Gegensatz zu OpenVPN wird auf eine reduzierte Anzahl von (state-of-the-art) Kryptografiemethoden gesetzt. WireGuard ist als universelles VPN für den Betrieb auf Embedded Devices und Supercomputern konzipiert.
    Link: www.wireguard.com
  • OpenSSL: Freie Software für TLS (Transport Layer Security). OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschlüsselungen sowie das Programm openssl für die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten.
    Link: www.openssl.org
  • OpenSSH: Programmpaket zur Dateiübertragung. Dazu nutzt es Secure Shell (SSH) inklusive SSH File Transfer Protocol und beinhaltet dafür Clients, Dienstprogramme und einen Server.
    Link: www.openssh.com
  • STUNNEL: Kommunikationsschnittstelle mit TLS-Verschlüsselungsfunktionalität die OpenSSL nutzt.
    Link: www.stunnel.org
  • PuTTY: Freie Software zum Herstellen von Verbindungen über Secure Shell, Telnet, Remote login oder serielle Schnittstellen. Dabei dient PuTTY als Client und stellt die Verbindung zu einem Server her.
    Link: www.chiark.greenend.org.uk
  • Shrew-Soft VPN-Client: VPN-Client für Windows und Linux
    Link: www.shrew.net
  • pfSense: Firewall-Distribution auf der Basis des Betriebssystems FreeBSD und des Paketfilters pf. PfSense verwendet OpenSSL.
    Link: www.pfsense.org

14. Erste Schritte mit dem Network-Sniffer «Wireshark»

14.1 Über Wireshark

  • Wireshark ist ein freies Programm zur Analyse und grafischen Aufbereitung von Datenprotokollen (Sniffer / Netzwerkmonitor).
  • Findet man als Programm oder PortableAPP auf https://www.wireshark.org
  • Bei Verwendung von Wireshark die rechtliche Situation beachten: Aus Gründen des Datenschutzes ist das Abhören oder Protokollieren von fremden Funkverbindungen verboten, sofern es vom Netzbetreiber nicht explizit erlaubt wurde. Darum: In der Lehrfirma unbedingt vorher um Erlaubnis fragen.
  • Die erfassten Datenpakete werden in TCP/IP-Stack Schichten grafisch dargestellt:
    Netzzugang (MAC) / Network (IP) / Transport (Port) / Applikation (zB. HTTP)
    Wireshark zeigt bei einer Aufnahme sowohl die Protokoll-Header als auch den transportieren Inhalt an.
  • Promiscuous Mode: Wireshark schneidet sämtlichen Datenverkehr mit. D.h. er zeichnet auch Datenpakete auf, die nicht an den eigenen PC gerichtet sind. Geräte innerhalb der Kollisionsdomäne können somit abgehört werden.
  • Switches sorgen dafür, dass Netzwerkpakete dezidiert an den tatsächlichen Empfänger gesendet werden. Das erreichen sie, indem sie sich merken, an welchem Port welche MAC-Adresse zu finden ist. Demzufolge "sieht" auch eine Netzwerkkarte im Promiscuous Mode nur noch Broadcasts und an sie gerichtete Pakete. Somit ist es in solchen Netzen nicht ohne weiteres möglich, fremde Rechner auszuhorchen, ausser ihr Switch bietet  Port Mirroring an. Kein Problem hat man allerdings beim Einsatz von Hub's, da diese immer nur eine Kollisionsdomäne bilden.
  • In WLAN's den Netzwerkverkehr von fremden Personen abzuhören, geht nur in gänzlich unverschlüsselten WLAN's, wie z.B. öffentlichen Hotspots. Sobald WEP oder WPA implementiert ist, sieht man zwar die Verbindung (MAC, IP, Port), was aber in der Applikationsschicht vor sich geht, bleibt verborgen.
    Hinweis: WEP sollte nicht mehr verwendet werden, weil gehackt und unsicher.
  • Wireshark bietet Displayfilter und Capturefilter. Filter: Syntax für Filterregeln (Verknüpfungen).
  • Bei WLAN kann allenfalls der WLAN-Adapter für das Sniffing ungeeignet sein. Im Normalzustand wird jeder WLAN-Adapter nur die Datenpakete durchleiten, die an ihn adressiert sind. Hier sollte der WLAN-Adapter aber den Monitor Mode und Injections beherrschen.
  • Nutzen sie Wireshark als Diagnosetool und nicht als Spyware!

Falls Wireshark nicht funktionieren sollte oder blockiert ist, probieren sie folgendes aus: Suchen sie im Wireshark-Ordner (zu finden im Ordner «Programme») das Programmfile «wireshark.exe» und führen sie es als Administrator aus (Rechtsklick «Als Administrator ausführen»)


14.2 Warum Wireshark?

  • Um die Frage zu klären, wer auf meinem PC nach Hause "telefoniert".
  • Zur Fehlersuche oder bei der Bewertung des Kommunikationsinhalts.
  • Welcher Dienst geht über welche IP-Adresse und Portnummer
  • Der häufigste Grund, einen Netzwerkmonitor einzusetzen, sind Firewalls und andere Sicherheitsprogramme, die auch legitime Kommunikation unterbinden, wenn sie nicht richtig konfiguriert sind. Derartige Probleme lassen sich mit einem Sniffer in vielen Fällen erkennen und lösen.
  • Zu Schulungszwecken um das TCP/IP-Protokoll besser zu verstehen.

Verschlüsselte Informationen/Pakete bleiben geheim (HTTPS, TLS, SSL)


14.3 Wireshark-Displayfilter anwenden

Um mit Wireshark etwas vertraut zu werden, sollen die folgenden Praxisbeispiele nachvollzogen werden:

  • Installieren sie Wireshark auf ihrem Notebook.
  • Erstellen sie eine Zusammenfassung über Wireshark, insbesondere den Filterfunktionen.
  • Analysieren sie eine Passworteingabe über ein sicheres und ein unsicheres Webformular.
    Welche Schlüsse ziehen sie daraus?
  • Analysieren sie mit Wireshark einen eigenen Webseitenaufruf.
  • Verbinden sie sich mit einem WLAN-AP und beobachten sie die Aktivitäten der anderen Teilnehmer. Handelt es sich um ein geschütztes WLAN? Was ist sichtbar und was bleibt allenfalls geheim?
  • Analysieren sie einen ARP-Broadcast (Address Resolution Protocol).
    Löschen sie dazu auf dem WIN-PC zuerst den ARP-Cache und «pingen» anschliessend einen für sie erreichbaren Host an (z.B. ein Router oder DNS-Server, der den «Echo-Request» ping nicht ignoriert)
    cmd> arp -a (ARP-Cache anzeigen)
    cmd> arp -d (ARP-Cache löschen)
    cmd> ping 192.168.1.1 (Router anpingen)

Um die Datenflut etwas einzudämmen, sollte man, wie bereits erwähnt, Filter einsetzen. Im Internet findet sich dazu viel entsprechendes Material. Hier ein paar nützliche Displayfilter:

(Hinweis: Capture-Filer haben eine andere Syntax als Displayfilter)

Capture-Fenster löschen, ohne Wireshark neu zu starten und Filter neu setzen: (3 Versionen!)
→ Auf die grüne Haifischflosse neben der roten "Stop" Taste klicken
→ Menü Aufzeichnen > Neustart
→ Ctrl-R

Zeigt nur den Datenverkehr im 192.168.1.0-Netzwerk:
ip.src==192.168.1.0/24 and ip.dst==192.168.1.0/24

Zeigt nur den Datenverkehr von und zu dieser IP-Adresse:
ip.addr == 192.168.1.15 ist identisch mit
ip.src == 192.168.1.15 or ip.dst == 192.168.1.15 Zeige allen Datenverkehr ausser den von und zu dieser IP-Adresse ! ( ip.addr == 192.168.1.15 ) Zeigt nur SMTP (Port25) und ICMP-Datenverkehr tcp.port eq 25 or icmp
Zeigt nur SMTP (Port25) und ICMP-Datenverkehr Zeigt nur DHCP-Datenverkehr: dhcp.option.type == 53 DNS Anftage für edu.juergarnold.ch dns.qry.name == "edu.juergarnold.ch" dns and ip.dst==159.25.78.7 or dns and ip.src==159.57.78.7 Zeigt «Post» von einem (unverschlüsselten!) Webseitenformular: http.request.method == "POST"

14.4 Wireshark und verschlüsselte Webseiten

Beim Aufruf von verschlüsselten Webseiten wirkt oberhalb TCP das Verschlüsselungsprotokoll SSL/TLS (Heutzutags TLS, SSL war sein Vorgänger). Das bedeutet, dass Wireshark oberhalb TLS nichts anzeigen kann, da verschlüsselt. Dies ist auch erwünscht, weil dabei für Drittpersonen nicht einsehbar ist, was Webclient und Webserver miteinander austauschen, insbesondere Formulare, Passwörter etc. Ab HTTP 1.1 wird bei einem Webseitenaufruf die URL mitgegeben, weil es ja durchaus üblich ist, dass unter einer IP-Adresse mehrere Webseiten gehostet werden und darum der Server wissen muss, welche Webseite nun gemeint ist. Nun könnte man meinen, mit TLS wäre es nicht mehr möglich herauszufinden, welche Webseite aufgerufen wurde, weil sich diese Angabe nur im Application-Layer befindet. Dem ist aber nicht so. Im TLS-Layer findet man nämlich auch einen entsprechenden Hinweis. Und das geht so:

  • Wireshark-Displayfilter: ssl.handshake.extensions_server_name (Zeigt alle "Client Hello")
  • Eine der angezeigten Zeilen auswählen und TLS (Transport Layer Security) aufklappen.
  • Danach: TLSv1.x Record Layer: Handshake Protocol: Client Hello
  • Danach: Handshake Protocol: Client Hello
  • Danach: Extension: server_name
  • Danach: Server Name Indication extension
  • Und man erhält: Server Name: xxxxxx.yyyyy.zzz
  • Nun könnte man Rechtsklick → "Als Spalte anwenden" und hätte im oberen Fenster alle URLs angezeigt.
Hintergrund-Info: Server Name Indication (SNI) ist eine Erweiterung von TLS, um mehrere verschlüsselte Webseiten auf einem Server aufzurufen. Jede Domain hat ein anderes Zertifikat und der Server muss wissen, welches er liefern muss. Das wird ihm unverschlüsselt über die SNI vom Client geliefert.