Schulung für die Netzwerktechnik Busch-ComfortPanel

Schulung für die
Netzwerktechnik
Busch-ComfortPanel
Busch-ComfortPanel
www.BUSCH-JAEGER.de
1
Netzwerktechnik
Dauer: 2 Tg (16 Ustd)
Inhaltsverzeichnis
1.
2
3
4
5
Einführung
1.1
Anwendungen im Heimnetz
1.2
Aufbau eines Heimnetzes
1.3
Komponenten im Heimnetz
1.4
Übertragungsmedien
1.5
Der DSL-Router
1.6
DSL / ADSL (Anhang)
Ethernet und Verkabelung
2.1
Ethernet / IEEE 802.3
Das Ethernet-Medienzugriffsverfahren CSMA/CD
2.1.1
Das Ethernet Datenpaket
2.1.2
Ethernet-Entwicklungen
2.1.3
100 Mbit/s Ethernet (Fast Ethernet)
2.1.4
1000 Mbit/s Ethernet (Gigabit Ethernet)
2.1.5
10 Gigabit/s -Ethernet (10GBit Ethernet)
2.1.6
Ethernet-Standards im Überblick
2.1.7
Zusammenfassung Ethernet
2.2
Hub und Switch
2.3
Verkabelung
2.3.1
Reichweiten und Datenübertragungsraten
2.3.2
Bandbreitenbedarf für Anwendungen
2.3.3
Übertragungsmedien
2.3.3.1
Kupfer-Kabel (Twisted Pair)
2.3.3.2
Drahtlos per Funknetz (WLAN, Wireless LAN)
2.3.3.3
Polymer Optical Fiber (POF)
Über das Stromnetz (Powerline)
2.3.3.4
2.3.3.5
Telefonnetz (HomePNA) Æ www.homepna.org
2.3.3.6
Kabel-TV-Netz (TV-Coax-LAN) Æ www.mocalliance.org
TCP/IP – Grundlagen
3.1.1
Das TCP-Protokoll
3.1.2
Das UDP-Protokoll
DHCP ( Dynamic Host Configuration Protocol)
4.1
Grundlagen
4.2
Konfiguration
4.2.1
DHCP-Client
4.2.2
DHCP-Server
4.3
DHCP-Client/Server-Kommunikation
DNS ( Domain Name System )
5.1
Einstieg
5.2
Wie ist DNS aufgebaut?
5.3
Der Domain-Namensraum
5.4
Domain Name
5.5
Der DNS-Server - Nameserver
5.6
Der DNS-Client - Resolver
5.7
DNS Namensauflösung - Forward Lookup
5.8
DNS Adressauflösung - Reverse Lookup
2
4
4
5
6
9
10
12
14
14
16
19
20
20
21
21
22
23
24
27
29
29
32
32
32
32
33
34
35
36
38
38
74
74
75
75
77
78
79
79
80
81
82
83
83
84
86
5.9
Historie: Namensauflösung in der Anfängen – über die Datei hosts
5.10 Zusammenfassung
6 TCP/IP-Konfiguration
6.1
Allgemeines (kurze komprimierte Wiederholung)
6.2
Erforderliche Einstellungen
6.3
Konfiguration
6.3.1
Konfiguration bei Windows
6.3.2 Konfiguration bei Ubuntu-Linux
6.4
Aktuelle Konfiguration ermitteln und anzeigen
6.4.1
Aktuelle TCP/IP-Konfiguration unter Windows anzeigen
6.4.2
Aktuelle TCP/IP-Konfiguration unter Ubuntu-Linux anzeigen
6.5
Überprüfen der Konnektivität mit ping
7 Funk-LAN (Wireless LAN, WLAN)
7.1
Allgemeines
7.1.1
Funknetzwerk nach dem IEEE 802.11-Standard
7.1.2
Die Betriebsart: Adhoc-Modus
7.1.3
Die Betriebsart: Infrastruktur-Modus
7.1.4
Netzwerksicherheit im Funknetz
7.1.4.2
Wi-Fi Protected Access (WPA) und TKIP-Verschlüsselung
7.1.4.3
Wi-Fi Protected Access 2 (WPA2) und AES Verschlüsselung
7.1.4.4
Der 802.1x-Standard
7.1.5
Extensible Authentication Protocol (EAP)
7.1.6
Wireless Distribution System (WDS)
7.2
Zur Praxis
7.3
WLAN einrichten
8 HTTP (Hypertext Transfer Protocol)
8.1
Das World Wide Web (WWW)
8.2
HTTP-Adressierung
8.3
HTTP-Client (Webbrowser)
8.4
HTTP-Server (Webserver)
9 E-Mail
9.1
E-Mail-Grundlagen
9.1.1
E-Mail-Protokolle
9.1.2
Der E-Mail-Account
9.1.3
E-Mail-Dienste per "Webmail"
10
LAN-Router
10.1 Leistungsmerkmale
10.2 Router-Konfiguration
10.3 Was kann alles konfiguriert werden?
11
Strategische Fehlersuche im TCP/IP-Netz
12
Tools für Diagnose und Fehlersuche
12.1 Aktuelle IP-Konfiguration anzeigen – ipconfig / ifconfig
12.2 Konnektivität überprüfen – ping
12.3 Namensauflösung überprüfen - nslookup
12.4 Routenverfolgung – tracert / traceroute
12.5 Das Netzwerk analysieren - Wireshark
12.6 Routingtabellen anzeigen netstat / route
13
Fernzugriff aus dem Internet auf das Heimnetz (DynDNS)
13.1 Prinzip Fernzugriff mit DynDNS
13.2 Konfiguration für den Fernzugriff - Was ist zu tun?
3
87
87
88
88
90
91
91
92
93
93
94
95
96
96
98
99
99
100
101
101
102
103
104
106
108
110
110
111
111
112
113
113
115
116
116
118
118
119
120
122
126
128
129
130
130
131
132
133
134
137
1. Einführung
Lernziele:
•
•
•
•
Vorteile und Nutzen eines Heimnetzes erkennen
Aufbau und Komponenten eines Heimnetzes kennen
Funktionsumfang eines DSL-Routers einschätzen können
Verwendete Übertragungsmedien angeben können
1.1 Anwendungen im Heimnetz
Die Vernetzung des eigenen Heims liegt voll im Trend und lässt sich nicht aufhalten.
Begriffe wie „Home-Entertainment“, „Home-Office“ und „Home-Automation“ sind in
aller Munde.
Eine Vernetzung ist z. B. erforderlich, wenn jedes Familienmitglied über einen
eigenen Rechner verfügt und der gleichzeitige Zugriff auf das Internet möglich sein
soll, oder alle den Familien-Farblaser-Drucker nutzen möchten. Häufig besteht auch
der Wunsch, die Daten der Familienmitglieder, egal ob herkömmliche
Textdokumente, Fotos, Audio- oder Videodateien, zentral an einer Stelle zu
speichern. Dadurch ist auch eine einfache Sicherung der Familiendaten, das so
genannte Backup, möglich.
In der folgenden Übersicht sind einige typische Anwendungen aufgelistet.
• Ressourcen Sharing
gemeinsames Nutzen von Geräten und Diensten
- ein Internetzugang für alle
- ein Farblaser-Drucker für die ganze Familie (Print Service)
- zentrale Datenablage und Datenaustausch (File Service)
• Audio / Video Streaming
- Abspielen von Musik und Videos über das Netz
• Internettelefonie (Voice over IP, VOIP)
Telefonieren über das Internet
• Internetradio (Webradio)
Radio hören über das Internet
• Überwachungskamera
Kontrolle und Fernsteuerung der Kamera über das Netz (Remote Control)
• Remotezugriff
Zugriff von außerhalb (unterwegs) auf zur Verfügung gestellte Ressourcen
- auf privaten Webserver im Heimnetz
- auf einen Rechner über sicheren Kanal (Virtual Private Network, VPN)
- auf die Überwachungskamera
- auf das Haussteuerungssystem (KNX)
Bild 1: Anwendungen im Heimnetz
Ein Blick in die Zukunft.
4
Heutzutage existieren sowohl im privaten wie im beruflichen Umfeld noch getrennte
Netze für Daten (IP-Netz), Sprache (Telefonnetz) und Fernsehen (TV-Netz).
Zukünftig wird, bei entsprechender Bandbreite, alles zusammengefasst und in einem
Netz, dem IP-Netz, integriert.
1.2
Aufbau eines Heimnetzes
Damit die gewünschten Dienste und Funktionalitäten im Heimnetz zur Verfügung
stehen, müssen entsprechende technische Voraussetzungen erfüllt sein. Ein
Netzwerk, das sich auf ein Gebäude beschränkt, wird als lokales Netz, im Englischen
als Local Area Network (LAN), bezeichnet. Ein Heimnetzwerk ist somit ein
typisches LAN.
Das einfachste Netzwerk besteht aus zwei Computern, die über eine
Direktverbindung (Crossover-Kabel) oder einem Kopplungselement (Switch)
miteinander verbunden sind. Auf diese Art und Weise ist der Zugriff von einem auf
den anderen Rechner möglich. Diese Variante kann z. B. zum direkten
Datenaustausch zwischen zwei Rechnern angewendet werden.
Üblich sind jedoch mehr als zwei vernetzte Geräte. So wird beispielsweise noch ein
DSL-Router benötigt, der den gleichzeitigen Zugriff auf das Internet ermöglicht. Ein
für alle Familienmitglieder zugänglicher Netzwerkdrucker und ein zentraler
Datenspeicher im Netzwerk zählen ebenso zu den üblichen Bestandteilen eines
Heimnetzes. Aus Effizienzgründen sind mehrere Funktionen im DSL-Router vereint.
So ist zum Beispiel der Switch im DSL-Router integriert (Näheres später). Bild 2
illustriert den typischen Aufbau eines Heimnetzes.
DSL-Router
DSL-Router
PWR
Link
100M
1000M
1 2 3 4
1 2 3 4
USB
WAN
Server
Client
100 Mbit/s
DSL
www.bfe.de
Splitter
Internet
NetzwerkSpeicher
Client
100 Mbit/s
Client
100
Mbit
/s
10 Mbit/s
Server
www.busch-jaeger.de
Client
NetzwerkDrucker
Bild 2: Aufbau eines Heimnetzes
5
1.3
Komponenten im Heimnetz
Die zu vernetzenden Geräte müssen über eine entsprechende Netzwerkschnittstelle
verfügen. Diese wird auch als LAN- bzw. Ethernet-Schnittstelle bezeichnet. Die
Geräte werden dann über ein LAN-Kabel mit dem zentralen Kopplungselement
(Switch) verbunden. Es gibt zurzeit Ethernet-Schnittstellen für die
Übertragungsgeschwindigkeiten 10 Mbit/s, 100 MBit/s und 1000 Mbit/s pro Sekunde,
wobei heutzutage 100 Mbit/s die übliche Variante darstellt. Genaueres wird im
Kapitel 2 „Ethernet und Verkabelung“ angesprochen.
Die Netzwerkschnittstelle kann auch als Funklösung (drahtloses LAN, Wireless
LAN) implementiert werden. Auch hier sind einige Dinge zu beachten, die später in
einem speziellen Kapitel behandelt werden.
Welche Komponenten gehören dazu?
• Client-Rechner (PC, Notebook) mit
Netzwerkschnittstelle
• Netzwerkdrucker
- idealerweise mit LAN-Schnittstelle
- per USB an DSL-Router
•
Netzwerkspeicher
- externer Medienspeicher
- Network Attached Storage (NAS)
•
•
•
Switch
- 4-Port, 8-Port, 16-Port, …
- Fast-Ethernet (100 Mbit/s)
- Gigabit-Ethernet (1000 Mbit/s)
DSL-Modem
Router (Internet Gateway)
•
Übertragungsmedium
DSL-Router
Bild 3: Komponenten im Heimnetz
Die Komponenten im Heimnetz sollen im Folgenden etwas näher betrachtet werden:
•
Rechner (PC oder Notebook) mit Netzwerkschnittstelle
Die Rechner benötigen eine LAN-Karte. Standard sind zurzeit Karten mit 100
Mbit/s (Fast Ethernet) und zunehmend auch 1000 Mbit/s (Gigabit Ethernet).
Bei langsameren Netzwerkpartnern wird die Geschwindigkeit automatisch auf
100 oder 10 Mbit/s reduziert. Notebooks enthalten meist zusätzlich eine
Funkkarte (WLAN-Adapter, Netzwerkkarte mit Antenne).
Die Rechner werden im Netzwerk auch häufig als Client bezeichnet, da sie
Dienste von anderen Geräten (z. B. Netzwerkdrucker , zentraler
Datenspeicher) in Anspruch nehmen.
6
•
Netzwerkdrucker
Netzwerkdrucker sind zentrale Drucker im Netz, auf die der Anwender von
seinem Rechner (Client) zugreifen kann. Der Netzwerkdrucker wird auch als
Print Server bezeichnet, da er anderen, den sogenannten Clients, seine
Druckdienste anbietet.
Ein Netzwerkdrucker lässt sich auf unterschiedliche Art im Netzwerk
implementieren. Die Konfiguration der Netzwerkdrucker erfolgt meistens per
Browser über eine Weboberfläche.
Folgende hard- und softwaremäßige Implementierungen für Netzwerkdrucker
sind möglich:
- Der Drucker verfügt über eigene Netzwerkschnittstelle (IP-Schnittstelle).
- Der Drucker ist per USB oder paralleler Schnittstelle an eine sogenannte
„Printerbox“ angeschlossen, die über eine LAN-Schnittstelle mit dem
Netzwerk
verbunden ist.
- Der Drucker ist per USB an einen modernen DSL-Router wie z. B. Fritz!Box
7170
angeschlossen, der als Zusatzfunktion die Print Server-Funktionalität enthält.
- Der Drucker ist an einem PC direkt angeschlossen und wird z. B. über die
WindowsFreigabe und laufendem Serverdienst anderen Benutzern im Netzwerk zur
Verfügung
gestellt.
•
Netzwerkspeicher
Der Netzwerkspeicher dient für die zentrale Datenablage im Netz. Hier kann
jedes Familienmitglied seine Medien in Form von Office-Dokumenten,
Musikdateien, Fotos, Videos etc. abspeichern. Der Netzwerkspeicher kann
auch für den Datenaustausch innerhalb der Familie verwendet werden. Das
Gerät, welches diese externe Datenablage zur Verfügung stellt, wird auch als
File Server bezeichnet.
Die Konfiguration erfolgt auch hier meist per Browser über eine
Weboberfläche.
Hardwaremäßig kann der Netwerkspeicher wie folgt realisiert werden:
- externe Festplatte mit LAN-Schnittstelle
Hierbei handelt es sich um ein eigenständiges Gerät, dass per Browser
konfiguriert
wird. Es können Bereiche auf der Festplatte eingerichtet werden, auf die nur
bestimmte Benutzer zugreifen können. Diese Art von Netzwerkspeicher wird
auch in
neudeutsch als Network Attached Storage (NAS) bezeichnet.
- externe Festplatte mit USB-Schnittstelle
7
Die USB-Festplatte kann wie der USB-Drucker an den DSL-Router
angeschlossen werden, der über entsprechende File Server-Funktionalität
verfügen
muss.
- ein spezieller Rechner im Netz stellt Festplattenspeicher anderen
Netzwerkbenutzern
zur Verfügung. Bei einem Windowsrechner wird das über die
Windowsfreigabe und
dem aktivierten Serverdienst realisiert.
•
Switch
Sämtliche Geräte des Netzwerkes werden an den Switch angeschlossen und
sind hierüber „verbunden“. Detaillierte Wirkungsweise und unterschiedliche
Anwendungsbereiche verbunden mit Produkttypenvielfalt machen Switches zu
einem komplexen Thema. In der Vielfalt liegen auch die großen
Preisunterschiede begründet. Da im Heimnetz jedoch keine besonderen
Anforderungen an einen Switch gestellt werden, reicht die Vorstellung, dass
der Switch im Prinzip die physikalische Verbindung zwischen den
kommunizierenden Geräten herstellt. Switches unterscheiden sich u. a. in der
Anzahl der vorhandenen Netzanschlüsse, die auch als Ports bezeichnet
werden. So gibt es 4-Port, 8-Port oder auch 16-Port-Switches. Werden mehr
Anschlüsse benötigt, als ein Switch zur Verfügung stellen kann, können
mehrere Switches miteinander verbunden (kaskadiert) werden. Dies ist
heutzutage problemlos möglich.
In marktüblichen DSL-Routern ist normalerweise ein 4-Port-Switch bereits
integriert.
•
DSL-Modem
Mit dem DSL-Modem erfolgt über das Telefonnetz die Anbindung des
Heimnetzes ans öffentliche Netz (Internet). Wenn das DSL-Modem als
externes Gerät vorhanden ist, verfügt es über zwei Anschlüsse. Es wird auf
der einen Seite am Splitter (TK-Netz) und auf der anderen Seite an den
Router (LAN) angeschlossen. Häufig ist das DSL-Modem bereits in einem
Kombigerät, das meist als DSL-Router bezeichnet wird, integriert.
Die Konfiguration erfolgt heutzutage meist per Browser. Hierbei müssen im
Wesentlichen die Kenndaten des Providers eingegeben werden. DSL und
deren Konfiguration ist nicht Bestandteil dieses Seminars. Am Ende dieses
Kapitels (1.6 DSL/ADSL) sind zusätzliche Hintergrundinformationen zum
Thema „DSL/ADSL“ angefügt.
•
Router
Der Router wird im Netzwerk benötigt, um die Datenpakete, welche nicht für
ein Gerät im Heimnetz bestimmt sind, in das öffentliche Netz (Internet)
weiterzuleiten. Der Router ermöglicht allen Geräten im Netzwerk den
gleichzeitigen Zugriff auf das Internet. Der Router kann zwar auch als
separates Gerät vorhanden sein, ist jedoch in Heimnetzen meistens im
Kombigerät „DSL-Router“ integriert.
8
1.4
Übertragungsmedien
Abhängig von den Gegebenheiten und den Anforderungen werden unterschiedliche
Übertragungsmedien eingesetzt. Hier soll zunächst nur eine Übersicht gegeben
werden. Einzelheiten folgen im nächsten Kapitel.
Übersicht – Übertragungsmedien
im Heimnetz
•
Drahtgebunden:
- Twisted Pair – Kabel (Cat5, Cat5e, Cat6)
- Kupferkabel
•
Drahtlos
- Wireless LAN (WLAN)
- Funk
- eingeschränkt auch BlueTooth möglich
•
Kunststofflichtleiter
- POF = Polymer Optical Fiber
- Licht (optisch)
•
Powerline
- huckepack übers Stromnetz
Bild 4: Übersicht – Übertragungsmedien für das Heimnetz
9
1.5
Der DSL-Router
Heutzutage sind das DSL-Modem und der Router meistens in einem Gerät integriert.
Diese werden dann auch als Kombigeräte bezeichnet. Das Kombigerät enthält
meistens zusätzlich einen 4-Port-Switch und eventuell noch eine Funk-Basisstation
(engl. Access Point). Die Bezeichnungen des Kombigerätes differieren. Es sind
Bezeichnungen wie einfach „DSL-Router“, „Internet-WLAN-Gateway“ oder „ADSLWLAN-Router“ üblich. Erst ein genauer Blick auf die Produktbeschreibung liefert
genaue Informationen über Funktionsumfang des Kombigerätes.
Der Vorteil eines Kombigerätes besteht in weniger Platzbedarf und geringerem
Stromverbrauch gegenüber Einzelkomponenten.
Allerdings muss man bei Ausfall einer Funktion auch gleich das ganze Gerät
tauschen.
Bild 5: T-Com Speedport W 701V
Bild 6: AVM Fritz!Box Fon 7170
DSL-Router enthält meistens bereits …
(Kombigerät)
•
•
•
•
•
•
DSL-Modem
Switch mit mehreren Netzwerkanschlüssen (LAN-Ports), üblich 4 PortSwitch
- Fast-Ethernet (100 Mbits/s)
- Giga-Ethernet (1000 Mbits/s)
DHCP-Server
Funk-Basisstation (WLAN-Access-Point)
Firewall
Anschluss für Internettelefonie
10
Bild 7: DSL-Router Ausstattungsmerkmale
DSL-Router Extras sind …
•
•
•
•
•
•
Telefonanlage für Internet und Festnetz
Anschluss für analoge und ISDN-Telefone
USB-Schnittstelle für Drucker Æ Konfiguration als Netzwerkdrucker
USB-Schnittstelle für externe USB-Festplatte Æ Konfiguration als Netzwerkspeicher
„Kindersurfsicherung“ über Webfilter und Zeittabellen
Konfigurationsmöglichkeiten für Remotezugriff, dazu zählen …
-Client für Adressdienste wie dyndns.org
Der Router trägt sich in einen Verzeichnisdienst ein, sodass er aus dem Internet
über einen leicht merkbaren Namen wie livestation.dyndns.org erreichbar ist.
- einstellbares Port-Forwarding
macht Dienste wie einen eigenen Webserver oder sicheren Zugang über ssh von
außen möglich
Bild 8: DSL-Router – Ausstattungsmerkmale Extras
An dieser Stelle sein schon ein Hinweis auf DSL-Router mit Wireless LANSchnittstelle erlaubt:
Die WLAN-Komponenten sollte mindestens dem aktuellen Standard 802.11g
entsprechen und eine sichere Verschlüsselung (WPA, Wi-Fi Protected Access)
beherrschen
11
1.6
DSL / ADSL (Anhang)
DSL ist die Abkürzung für "Digital Subscriber Line" und bezeichnet ein Verfahren zur
digitalen Datenübertragung über die Kupferleitungen des vorhandenen
Telefonnetzes. Dabei wird im Vergleich zu Analog- oder ISDN-Modems eine vielfach
höhere Datengeschwindig-keit erzielt. Eine Telefonverbindung nutzt nicht die
maximale Bandbreite der beteiligten Kabel. Da die größere Strecke der
Verbindungen zu den Ortsvermittlungsstellen der jeweiligen Telefongesellschaft
zumeist über Koaxialkabel oder sogar Glasfaserkabel geleitet werden, ist es
durchaus möglich, das Telefon-/ISDN-Netz im Huckepackverfahren für weitere
digitale Daten zu nutzen.
Diese Verfahren tragen den Oberbegriff xDSL, wobei das x für eines der
verschiedenen Unterverfahren steht. Bei DSL laufen, durch Filter und
Signalverteiler (Splitter) getrennt, sowohl Daten- als auch Telefonverbindungen
zeitgleich über dieselbe Leitung. Dafür notwendig ist ein DSL-Modem, das die Daten
für das Telefon- oder ISDN-Netz aufbereitet.
Die wichtigsten DSL-Verfahren sind ADSL, SDSL, HDSL und VDSL. ADSL
(Asymetric DSL) bietet eine höhere Datenrate vom Internet zum Anschluss als
umgekehrt. SDSL (Symetric DSL) dagegen bietet beim Senden und Empfangen die
gleiche Datenrate. ADSL und SDSL haben relativ geringe Anforderungen an die
Leitungsqualität und ermöglichen Geschwindigkeiten bis etwa 1,5 Mbit pro Sekunde.
HDSL (High Data Rate DSL) bietet
2 Mbit pro Sekunde und VDSL (Very High Data Rate DSL) bis 50 Mbit pro Sekunde
und stellen höchste Anforderungen an die Leitungsqualität.
Alle DSL-Verfahren nutzen die höheren Bereiche des Frequenzspektrums eines
Kabels. Dies hat zur Folge, dass die Leitungslänge einen bestimmten Wert nicht
überschreiten darf, damit die maximale Übertragungsgeschwindigkeit erreicht werden
kann. Das DSL-Signal kann durch Resonanzeffekte, Verzerrungen und
Fremdeinstrahlungen beeinträchtigt werden. Je länger eine Leitung ist, desto kleiner
ist die Datenrate.
DSL-Verfahren werden auf den Leitungen vom Endanwender zur nächsten
Vermittlungsstelle oder Verteilerknoten eingesetzt. Voraussetzung ist hierbei eine
digitale Vermittlungsstelle und eine Maximallänge der Kabelstrecke zwischen
Endanwender und Vermittlungsstelle. Aus diesem Grunde kann DSL vor allem in den
Ballungsräumen zum Einsatz kommen, in einigen ländlichen Gegenden jedoch nicht.
12
Heimnetz
Ortsvermittlungsstelle
Telefonnetz
Splitter
Splitter
Telefonkabel
Internet
ADSL Modem
Bild: Prinzip von ADSL
13
2 Ethernet und Verkabelung
Lernziele:
• Begriffe Ethernet und IEEE 802.3 einordnen
• Ethernet-Medienzugriffsverfahren CSMA/CD verstehen
• Gängige Datenübertragungsraten der Ethernet-Varianten kennen
• Verstehen, warum in der Praxis häufig nur geringere Übertragungsraten
erreicht werden
• Begriff MAC-Adresse anwenden können
• Begriffe Fast-Ethernet und Gigabit-Ethernet einordnen können
• Aufgaben eines Switch erläutern können
• Verkabelung bei Ethernet angeben können
2.1
Ethernet / IEEE 802.3
Die Anfänge der lokalen Netze gehen zurück bis in die 70er-Jahre. Die ersten
Entwicklungen waren geprägt durch firmenspezifische Lösungen. Es gab keine
Standards. Im Laufe der Zeit wurden unterschiedliche Technologien entwickelt. Zu
den gängigsten Technologien zählten und zählen Ethernet, Token Ring, Arcnet
und FDDI, wobei sich heute Ethernet im lokalen Netz (Local Area Network, LAN)
durchgesetzt hat. Ethernet ist die am meisten verwendete Technik für die
Datenübertragung im Netzwerk. Ob andere Techniken für diesen Zweck eventuell
besser geeignet sind, spielte dabei keine Rolle. Der „Markt“ hat diese Entscheidung
schlicht und einfach über den Preis getroffen.
Die Nachfrage nach Standards für lokale Netzwerke ließ die Organisation IEEE
(Institute of Electrical and Electronics Engineers) Ende der 70er Jahre eine
Arbeitsgruppe einrichten. Es wurde das Projekt 802 gegründet, welches
Netzwerkstandards auf den Schichten 1 und 2 des OSI-Referenzmodells festlegt
(Anmerkung: Das OSI-Referenzmodell ist ein Versuch, die Netzwerkkommunikation
in mehreren Schichten, genau genommen 7 Schichten, abzubilden). Im Projekt 802
gibt es die Arbeitsgrupe 802.3, die sich um Ethernet kümmert. Da das IEEE-Projekt
802 hauptsächlich Standards für Ethernet-Techniken festlegt, steht der Name
Ethernet als Synonym für alle unter der Arbeitsgruppe 802.3 vorgeschlagenen und
standardisierten Spezifikationen.
Bild 1 zeigt grob die Entwicklungsstufen bei Ethernet.
14
Ethernet - Entwicklungen
Anfänge 1973:
ALOHAnet
Funkbasiertes
(engl.Ethernet, dtsch. Äther-Netz)
10 Mbit/s
100 Mbit/s
Fast Ethernet
1000 Mbit/s = 1 Gbit/s
Gigabit Ethernet
10 Gbit/s (2006)
10Gigabit Ethernet
Bild 1: Entwicklungsstufen bei Ethernet
Angefangen hat es in den Achtzigerjahren mit dem 10-MBit-Ethernet über
Koaxialkabel, gefolgt vom Fast Ethernet mit 100 Mbit/s, dann Gigabit Ethernet mit
1000 Mbit/s bis hin zum 10Gigabit Ethernet mit 10.000 Mbit/s = 10 Gbit/s. Auch bei
den Übertragungsmedien erfolgte laufend eine Anpassung. Waren anfangs nur
Koaxialkabel standardisiert, gehören heute Twisted-Pair-Kabel, also verdrillte
Kupferkabel, unterschiedliche Lichtwellenleiter und auch Funk zum EthernetStandard.
Was definiert Ethernet?
Ethernet umfasst Festlegungen für Kabeltypen und Stecker, beschreibt die
Signalisierung für die Bitübertragungsschicht, Codierung,
Übertragungsgeschwindigkeit und legt Paketformate und Protokolle fest. Aus
Sicht des OSI-Modells spezifiziert Ethernet sowohl die physikalische Schicht (OSI
Layer 1) als auch die Data-Link-Schicht (OSI Layer 2). Ethernet ist weitestgehend
in der IEEE-Norm 802.3 standardisiert.
15
Praxis: Heutzutage werden Kabeltypen, Stecker etc. über die DIN-Norm EN50173-4
für strukturierte Verkabelung festgelegt.
Das Ethernet-Medienzugriffsverfahren CSMA/CD
In diesem Abschnitt soll kurz auf das Grundprinzip von CSMA/CD eingegangen
werden, mit dem Ziel, später besser den Unterschied zwischen den Begriffen Hub
und Switch zu verstehen.
CSMA/CD heisst Carrier Sense Multiple Access mit Collision Detection. Dieses
ist der Mechanismus, den Ethernet verwendet, um den Zugriff auf das gemeinsame
Transportmedium zu regeln.
Grundsätzlich geht er hierbei um das Problem, das mehrere Stationen ein
gemeinsames Übertragungsmedium nutzen, und Regelungen existieren müssen, wer
wann und wie lange das Transportmedium nutzen darf.
Zur Lösung dieses Problems gibt es verschiedene Ansätze, die sich früher auch in
Technologien wie z. B. Token Ring, Ethernet, FDDI usw. widerspiegelten. Das
nachfolgende Bild beschäftigt sich mit diesen unterschiedlichen Ansätzen.
Problem: Alle sind miteinander
vernetzt – Wer darf wann senden?
•
•
•
•
Media Access Control = Diskussionsregeln zum Benutzen des
Übertragungsmedium
Mögliche Modelle für Media Access Control:
- jeder darf nach belieben reden
- jeder darf reden, wenn nicht schon ein anderer redet
- jeder bekommt in vordefinierter Reihenfolge Redezeit zugeteilt
- ein Diskussionsleiter verteilt Redezeit
Diese „Diskussionsregeln“ werden von verschiedenen
Netzwerktechnologien verwendet
Gängigste Technologien
- Ethernet
- Token Ring
- FDDI
- Arcnet
Bild 2: Regeln für den Medienzugriff
So funktioniert Ethernet mit CSMA/CD:
Das Zugriffsverfahren auf das Übertragungsmedium von Ethernet ist CSMA/CD
(Carrier Sense Multiple Access with Collision Detection). Als
16
Mehrfachzugriffsnetz (Multiple Access) können mehrere Ethernet-Stationen
unabhängig voneinander auf das Übertragungsmedium zugreifen. Alle Stationen
hören permanent das Übertragungsmedium ab (Carrier Sense) und können
zwischen einer freien und besetzten Leitung unterscheiden. Bei einer freien Leitung
kann gesendet werden. Während der Datenübertragung wird überprüft, ob eine
andere Station gleichzeitig gesendet hat und eine Kollision der Daten aufgetreten ist
(Collision Detection). Ist keine Kollision aufgetreten wurde die Übertragung
erfolgreich abgeschlossen. Durch Kollision verloren gegangene Pakete werden
zunächst mehrfach wiederholt. Treten mehrfach Kollisionen auf, müssen verloren
gegangene Pakete durch übergeordnete Protokolle, wie z. B. TCP (Begriffsdefinition
erfolgt im nächsten Kapitel), neu angefordert werden. Treten Kollisionen häufiger auf,
drückt das auf die Performance des Netzwerkes. Bild 3 erläutert die
„Diskussionsregeln“ bei CSMA/CD.
„Diskussionsregeln“ bei Ethernet –
CSMA/CD
Carrier Sense, Multiple Access with Collision Detection
•
•
Gesprächsrunde ohne Diskussionsleiter.
Bei einer solchen Diskussionsrunde gelten folgende Regeln:
- Jeder Teilnehmer kann anfangen zu reden, wenn nicht schon ein
anderer redet (Carrier Sense)
- Sollten mehrere Teilnehmer zufällig gleichzeitig in einer
Gesprächspause anfangen zu reden (Multiple Access), so haben
sie alle sofort ihren Beitrag abzubrechen (Collision Detection).
- Durch zufällige Verzögerungen (oder Gesten) ergibt sich dann,
wer als nächster reden darf.
Bild 3: „Diskussionsregeln“ bei Ethernet – CSMA/CD
In einem Ethernet-Netzwerk (genau genommen mit einem Hub, Erklärung später)
kann also immer nur eine Station senden. Wenn zwei oder mehr Stationen zur
gleichen Zeit senden, kommt es zu einer Kollision der Pakete. Diese Pakete sind
17
dann verloren. Kollisionen gibt es in einem Ethernet allerdings des Öfteren. Je mehr
Stationen sich im Netz befinden, desto öfter kommt es auch zu Kollisionen. Dies wirkt
sich dann natürlich auf die Datenübertragungsrate aus.
Im Heimnetz können nur dann Performanceprobleme durch erhöhte Anzahl von
Kollisionen auftreten, wenn als zentrales Kopplungselement ein Hub und kein
Switch eingesetzt wird. Nähere Erläuterungen folgen im Abschnitt „Hub und
Switches“.
18
2.1.1 Das Ethernet Datenpaket
Ethernet ist ein paketvermittelndes Netzwerk. Die zu übertragenden Daten werden in
mehrere kleine Pakete aufgeteilt. Diese Pakete werden Frames (deutsch Rahmen)
genannt. In einem Frame sind neben den Daten auch die Zieladresse, die
Quelladresse und weitere Steuerinformationen verpackt. Als Adressen dienen die
MAC-Adressen. Das ist die einmalig hardwareseitig vom Hersteller konfigurierte
Adresse in der Netzwerkkarte. Diese Adresse sollte im Regelfall nicht verändert
werden.
Die maximale Länge/Größe eines Ethernet-Paketes beträgt 1526 Byte. Davon sind
1500 Byte Daten enthalten. Die minimale Länge beträgt 72 Byte, mit 46 Byte Daten.
Ist die zu übertragenden Datenmenge größer als 1500 Byte, so werden die Daten
voneinander getrennt, und in 1500 Byte-Blöcken übertragen. Das nachfolgende Bild
zeigt den Aufbau eines Ethernet-Paketes.
Aufbau eines Ethernet-Frames nach IEEE 802.3
Präambel
Zieladresse
Quelladresse
Typfeld
Datenfeld
Prüffeld
8 Byte
6 Byte
6 Byte
2 Byte
46 - 1500 Byte
4 Byte
Präambel
Dient der Synchronisation des Empfängers und zeigt den Start
des Ethernet-Paketes an
Zieladresse
Adresse des Empfängers (MAC-Adresse)
Quelladresse
Adresse des Senders (MAC-Adresse)
Typfeld
Gibt den Typ des Protokolls an (z. B. TCP/IP, IPX/SPX,
NetBEUI). Dieses Feld wird auch Längenfeld bezeichnet
Datenfeld
Hier stehen die zu übertragenen Daten
Prüffeld
Prüfsumme, um Übertragungsfehler zu erkennen
Bild 4: Aufbau eines Ethernet Paketes
Nach dem Senden eines Paketes erfolgt aus technischen Gründen eine
„Sendepause“ von 9,6 µs. Diese Pause wird auch als Inter Frame GAP bezeichnet.
Die technischen Details werden hier nicht weiter erläutert.
19
2.1.2 Ethernet-Entwicklungen
Das ursprüngliche Ethernet nutzte ein Koaxialkabel als Übertragungsmedium. Dabei
wurde mit einem Kabel jeweils eine Station mit mehreren anderen Stationen
verbunden. Das Netzwerk wurde dann als sogenannter Bus aufgebaut. Jeweils am
Kabelende wurde die Kabelstrecke mit einem Widerstand abgeschlossen, um SignalReflexionen zu vermeiden. Die Bus-Struktur wird als Bus-Topologie bezeichnet. Die
Bus-Topologie hat aber viele Nachteile. Zum Beispiel bricht das Netz zusammen,
wenn nur eine Kabelverbindung gelöst wird, oder wenn ein Abschlusswiderstand
fehlt. Wegen der Nachteile von Netzwerken mit der Bus-Topologie und dem
Koaxialkabel wurde Ethernet um den Einsatz von Twisted-Pair-Kabel der Kategorie 3
und 5 erweitert. Es handelt sich dabei um 8adrige Kabel, deren Adern jeweils
paarweise verdrillt sind. Die Leitungsführung ist als Stern-Topologie mit Switches
oder Hubs als Verteilstationen aufgebaut.
Twisted-Pair-Kabel haben allerdings eine Reichweite von nur 100 Metern, was es für
die Vernetzung von Gebäuden oder zur Verbindung von Netzstrukturen (Backbone)
ungeeignet macht. Aus diesem Grund wurde Ethernet auch für Glasfaserkabel
standardisiert. Heute spielt das Koaxialkabel keine Rolle mehr. Für Neuinstallationen
werden generell Twisted-Pair-Kabel nach Kategorie 5, 5e oder besser 6 (CAT5-,
CAT5e- oder CAT6-Kabel) eingesetzt. Bei CAT handelt es sich um Kabelstandards
nach dem System der „Strukturierten Verkabelung“ , die über die DIN EN 50173-4
genormt sind.
Zur Überbrückung von längeren Strecken wird Glasfaserkabel verwendet.
Die Ethernet-Standards für das 10 Mbit/s-Ethernet für Twisted-Pair-Kabel lautet
10Base-T, die für Koaxialkabel 10Base-5 und 10Base-2.
2.1.3 100 Mbit/s Ethernet (Fast Ethernet)
Fast Ethernet ist die Weiterentwicklung des Ethernet-Standards mit 100 Mbit/s über
Twisted-Pair-Kabel. Um die Übertragungsrate von 10 Mbit/s auf 100 Mbit/s
anzuheben wurden andere Codierungsverfahren eingesetzt. Die Reichweite blieb auf
nur 100 Meter beschränkt. 100Base-T lautet die allgemeine Bezeichnung für die drei
100-Mbit/s-Ethernetstandards über Twisted-Pair-Kabel: 100Base-TX, 100Base-T4
und 100Base-T2, wobei in Europa nur noch 100Base-TX eingesetzt wird.
20
2.1.4 1000 Mbit/s Ethernet (Gigabit Ethernet)
Hohe Netzlast, verursacht durch vielerlei Anwendungen (z. B. Internet, Multimedia,
elektronischer Dokumentenaustausch) macht es notwendig, zentrale EthernetStationen, wie z. B. Server und Switches mit mehr Bandbreite zu verbinden als die
übrigen Stationen.
Gigabit Ethernet wurde auf der Grundlage der ursprünglichen Norm entwickelt. Erst
für Glasfaserkabel, später auch für Twisted-Pair-Kabel der Kategorie 5. Beide
Varianten erlauben die Übertragung von Daten mit 1000 Mbit/s. Aufgrund der
geringeren Störanfälligkeit von Glasfaserverbindungen ist das Medium Glasfaser für
schnelle Übertragungen nach oben hin offen. Bei Twisted-Pair-Kabeln müssen
mehrere Tricks angewendet werden, um auf diese hohe Geschwindigkeit zu
kommen. Grundsätzlich nutzt Gigabit Ethernet über Twisted-Pair-Kabel alle 4
Adernpaare. Der Datenstrom wird mit PAM5x5 (Pulse Amplituden Modulation mit 5
verschiedenen Regeln) codiert. Außerdem kommt eine neue Fehlerkorrektur zum
Einsatz. Von Vorteil ist diese Technik bei einer vorhandenen strukturierten
Kupferverkabelung (Twisted Pair). Diese kann übernommen werden. Vorausgesetzt,
die Kabel sind dafür spezifiziert. Der Standard für Twisted Pair-Kabel ist 1000BaseT.
2.1.5 10 Gigabit/s -Ethernet (10GBit Ethernet)
Das 10-Gigabit-Ethernet ist erst seit 2006 standardisiert. Es ist sowohl für Glasfaser
als auch Kupferkabel (Twisted-Pair) standardisiert. Um den Standard flexibel zu
halten, unterstützt er gleich 7 verschiedene Glasfasertypen. Unabhängig vom
Glasfaserkabel kann 10-Gigabit-Ethernet eingesetzt werden.
Erstmals wurde bei Ethernet auf das Zugriffsverfahren CSMA/CD verzichtet. Der
Betrieb erfolgt ausschließlich im Vollduplex-Modus. Im Vollduplex-Modus können
beide Stationen gleichzeitig senden und empfangen. Die Pakete der beiden
Stationen werden dann nach einem festgelegten Schema zeitversetzt gesendet.
Halbduplex bezeichnet ein Verfahren, bei dem immer nur eine Station Pakete
senden kann und die andere Station Pakete empfängt. Dieses Verfahren findet bei
CSMA-/CD Anwendung.
Der Standard für Kupferkabel lautet 10GBase-T.
21
2.1.6 Ethernet-Standards im Überblick
Ethernet-Standards im Überblick
IEEE-Standard
Bezeichnung
Jahr
Datenrate
Kabel
802.3
10Base-5
1983
10 Mbit/s
Koaxialkabel (Yellow Cable), 500 m
802.3a
10Base-2
1988
10 Mbit/s
Koaxialkabel (BNC), 185 m
802.3i
10Base-T
1990
10 Mbit/s
Twisted-Pair-Kabel (RJ-45), 100 m
802.3j
10Base-FL
1992
10 Mbit/s
Glasfaserkabel
802.3u
100Base-TX
1995
100 Mbit/s
Twisted-Pair-Kabel (RJ-45), 100 m
802.3u
100Base-FX
1995
100 Mbit/s
Glasfaserkabel
802.3z
1000Base-SX
1000Base-LX
1998
1 Gbit/s
Glasfaserkabel
802.3ab
1000Base-T
1999
1 Gbit/s
Twisted-Pair-Kabel (RJ-45), 100 m
802.3ae
10GBase-SR
10GBase-SW
10GBase-LR
10GBase-LW
10GBase-ER
10GBase-EW
10GBase-LX4
2002
10 Gbit/s
Glasfaserkabel
802.3an
10GBase-T
2006
10 Gbit/s
Twisted-Pair-Kabel (RJ-45), 100 m
Bild 5: Ethernet-Standards im Überblick
Hinweis:
Die angegebene Datenübertragungsraten, auch als Brutto-Datenrate bezeichnet,
werden in der Praxis nicht erreicht. Durch den Protokoll-Overhead und die
Kollisionen im Netz wird die Datenübertragungsrate eingeschränkt und es ergibt sich
eine geringere Netto-Datenrate.
22
2.1.7
Zusammenfassung Ethernet
Ethernet dominiert den LAN-Bereich. Ethernet wurde ab den 1990ern zur
meistverwendeten LAN-Technik und hat alle anderen LAN-Standards wie Token
Ring, ARCNET oder FDDI zu Nischenprodukten für Spezialgebiete gemacht.
Ethernet wurde ursprünglich für eine Bus-Topologie mit Koaxialkabeln entwickelt.
Diese Technik, 10Base-5 bzw. 10Base2, erreichte eine maximale Übertragungsrate
von 10 Mbit/s. Die heute gebräuchlichsten Techniken für Twisted-Pair-Kabel 10BaseT (10 Mbit/s), 100Base-T (Fast Ethernet, 100 Mbit/s) und 1000Base-T (Gigabit
Ethernet, 1000 Mbit/s) arbeiten mit einer Sterntopologie.
Als Verteiler wird ein Switch eingesetzt.
Ethernet in seiner heutigen Form ist in dem Standard IEEE 802.3 festgelegt.
Die Verkabelung erfolgt mit Twisted-Pair-Kabel. Im Moment gibt es für das Heimnetz
diese Ethernet-Varianten:
•
•
•
•
10Base-T, mit einer Datenübertragungsrate von 10 Mbit/s, Kabel: min. CAT3
100Base-T (Fast Ethernet), mit einer Datenübertragungsrate von 100 Mbit/s,
Kabel: min CAT5
1000Base-T (Gigabit Ethernet), mit einer Datenübertragungsrate von 1000
Mbit/s = 1 Gbit/s, Kabel: min. CAT5e
PoF, preiswert gegenüber Lichtwellenleiter, dünn (besser zu verlegen), 100
Mbit/s
Die Datenübertragungsraten werden in der Praxis jedoch nicht erreicht. Durch den
Protokoll-Overhead und die Kollisionen im Netz (bedingt durch CSMA/CD) wird die
Datenübertragungsrate eingeschränkt.
Sind mehrere Geräte mit unterschiedlichen Datenübertragungsgeschwindigkeiten
miteinander verbunden, erfolgt automatisch eine Anpassung auf die niedrigere
Geschwindigkeit.
Das Gerät wird über eine Netzwerkkarte, auch LAN-Adapter genannt, an das
Netzwerk angeschlossen. Zur Identifizierung der Netzwerkkarte dient die MACAdresse (Medium Access Control), auch Hardwareadresse oder Ethernetadresse
genannt. Eine Station kann auch über mehrere Netzwerkkarten verfügen, wobei
dann jede Karte eine eigene MAC-Adresse hat. Beispiel: Notebook mit integrierten
LAN- und WLAN-Karte.
Die MAC-Adresse …
• ist (im Idealfall) einmalig auf der Welt
• besteht aus 6 Byte, wobei die ersten 3 Byte die Hersteller-ID und die letzten 3
Byte die Karten-ID bilden. Die MAC-Adresse ist auf der Karte fest verdrahtet.
• Die MAC-Adresse steht im Datenpaket (Frame), damit auch der richtige
Empfänger die Daten empfängt. Der Empfänger nimmt die Daten nur an,
wenn sie an seine MAC-Adresse gerichtet sind.
23
2.2 Hub und Switch
In den Anfängen der Ethernet-Verkabelung mit Twisted-Pair, also im 10 Mbit/sEthernet, wurden Hubs als Verteiler eingesetzt. Der Hub arbeitet meist nur mit einer
festen Übertragungsgeschwindigkeit und bewirkt ansonsten nur eine Verbesserung
des elektrischen Signals auf der Leitung. Gegenüber den heutigen Switches verfügt
er über keinerlei „Intelligenz“. Daher wird heute ein Hub rückblickend gerne als
„dummer Switch“ bezeichnet. So wie Switches verfügen Hubs über mehrere PortAnschlüsse. Reichen diese nicht aus, kann zum Anschluss weiterer Hubs entweder
ein spezieller Uplink-Port oder ein gekreuztes Kabel (Crossover Kabel) benutzt
werden. Auf diese Weise können mehrere Hubs verbunden, d. h. kaskadiert, werden.
Da sich beim klassischen Ethernet alle vernetzten Geräte das Übertragungsmedium
teilen (shared medium), ist die Performance gut, solange ein geringes
Verkehrsaufkommen im Netz herrscht. Wollen mehrere Stationen gleichzeitig
senden, steigt die Wahrscheinlichkeit für Kollisionen sprunghaft an und ein
vernünftiges Arbeiten ist nicht mehr möglich.
Um dies zu lösen und die verfügbare Bandbreite zu maximieren, wurde das
Switched Ethernet entwickelt. Im Switched Ethernet werden Hubs durch
Switching Hubs (Switches) ersetzt, die die Collision Domain in mehrere kleinere
Collision Domains (meist eine zwischen zwei Kommunikationspartnern) zerteilen,
was die Anzahl an Kollisionen reduziert bzw. Kollisionen gänzlich vermeidet. Bei
Verwendung von Switches ist auch eine Kommunikation im Full-Duplex-Modus
möglich, d. h. Daten können gleichzeitig gesendet und empfangen werden.
Der Switch registriert die MAC-Adressen der angeschlossen Stationen und
analysiert den Netzverkehr. Er leitet im Gegensatz zum Hub, der das Paket an alle
anderen Netzteilnehmer weiterleitet, die Daten nur an den Port, wo der Empfänger
angeschlossen ist, weiter. Somit wird quasi über den Switch eine Punkt-zu-PunktVerbindung zwischen Sender und Empfänger hergestellt und es können keine
Kollisionen in dieser Verbindung mehr auftreten. Darüber hinaus besitzt der Switch
weitere Eigenschaften, die hier nicht näher angesprochen werden sollen
In der Technikersprache lässt sich die Funktion von Switch und Hub wie folgt
beschreiben:
Ein Hub arbeitet nur auf der OSI-Schicht 1. Es findet eine reine Bitübertragung mit
Signalaufbesserung statt. Die Daten werden an alle Stationen im Netz gesendet, die
an dem Hub angeschlossen sind. Die Verkabelung ist zwar sternförmig, für die
Signalausbreitung bleibt es bei einer Busstruktur.
Ein Switch arbeitet auf der 1. und 2. OSI-Schicht. Die Bitübertragung und Signalaufbesserung findet natürlich auch statt. Aber der Switch sendet die Daten nur an die
MAC-Adresse, für die die Daten bestimmt sind. Die MAC-Adresse ist jedoch
Bestandteil der 2. Schicht. Der Switch baut eine Punkt-zu-PunktVerbindung zwischen
2 Geräten auf. Es soll an dieser Stelle nicht verschwiegen werden, dass es auch
Switches gibt, die zusätzlich auf der OSI-Schicht 3 arbeiten, hier aber nicht betrachtet
werden sollen.
Für uns ist das grundsätzliche Verständnis zur Funktion und Arbeitsweise des
Switches auch im Gegensatz zum Hub relevant.
24
Fazit: Heutzutage ist der Hub aufgrund seiner eingeschränkten Leistungsmerkmale
vom Switch verdrängt worden und sollte in einem Netzwerk aus
Performancegründen nicht mehr eingesetzt werden.
Kaskadierung von Switches
Übliche DSL-Router besitzen integriert einen Switch mit maximal 4 LANAnschlussmöglichkeiten, auch Ports genannt. Müssen mehr als 4 Geräte
angeschlossen werden, kann ein zusätzlicher Switch mit 8 oder 12 zusätzlichen LANPorts eingesetzt werden. Die Switches werden kaskadiert. Die Kaskadierung erfolgt
wie bei Hubs entweder über ein Crossover-Kabel (gekreuztes Kabel) oder einen
speziellen Anschluss. Das Bild zeigt die Kaskadierung eines Switch mit einem
Switch, der im DSL-Router integriert ist. Dadurch stehen dann insgesamt 10 Ports
zur freien Verfügung.
DSL-Router
Switc
Switc
PW
Lin
100
1000
1 2 3 4 5 6 7 8
1 2 3 4
DSL-
5 6 7 8
PW
Lin
100
1000
1 2 3 4
CrossoverKabel
Client
Client
1 2 3 4
US
WA
DS
Client
Server
…
Splitte
www.bfe.de
NetzwerkSpeicher
Server
WLA
www.busch-jaeger.de
NetzwerkDrucker
Bild 6: Kaskadierung von Switches
Dabei kann es bei älteren Switches zu der im Folgenden beschriebenen
Fehlersituation kommen:
Standard-Kabel werden 1-zu-1 gefertigt, also Pin 1 am einen Ende entspricht Pin 1
am gegenüberliegenden Ende. Damit der Sender der Netzwerkkarte nicht auf den
Sender des DSL-Routers bzw. Switches arbeitet, vertauschen letztere intern Sender25
mit Empfänger- Adernpaar. Zwischen Switch und PC funktioniert die
Datenübertragung dann einwandfrei. Zwischen Switch und Switch nicht, weil beide
Seiten Sender- mit Empfänger- Adernpaar vertauschen. Wenn nicht mindestens
einer der Switches dieses erkennen und automatisch beheben kann, muss entweder
ein gekreuztes Kabel (Crossover Kabel) für die Verbindung verwendet werden oder
auf einem der Switches ein besonderer Uplink-Anschluss genutzt bzw. ein
entsprechender Taster für den genutzten RJ45-Anschluss (MDIX) betätigt werden.
Tipp:
Das Leuchten der Link-LED auf den Netzwerkkarten und dem Switch/DSL-Router
zeigt an, dass die elektrische Verbindung steht. Dieses sollte immer als Erstes
kontrolliert werden, bevor man z.B. den Fehler in den IP-Adressen sucht. Eine
blinkende Link-LED signalisiert bei den meisten Geräten Datenverkehr.
26
2.3 Verkabelung
Im Heimnetzbereich kommen unterschiedliche Medien für die Datenübertragung zum
Einsatz. Das zu wählende Medium und die damit verbundene Verkabelungstechnik
hängen von vielen Faktoren ab. Entscheidend sind u. a. die lokalen Gegebenheiten
(vorhandene Infrastruktur) und die gewünschten Anwendungen.
Welche Übertragungsmedien werden im Heimnetz eingesetzt?
•
Drahtgebunden: Kupferkabel ÆTwisted Pair
Für Fast Ethernet (100 Mbit/s) ist mindesten CAT5-Kabel und für Gigabit
Ethernet (1000 Mbit/s) mindestens CAT5e- oder CAT6-Kabel erforderlich.
Die Verbindung zwischen Endgerät und Switch erfolgt über ein so genanntes
Patch-Kabel.
•
Drahtlos: per Funk (WLAN = Wireless LAN, Funknetz)
hier geschehen in Punkto Sicherheit und Geschwindigkeit die größten
Entwicklungen.
Aktuell ist der Standard WLAN 802.11g, der zukünftige ist WLAN 802.11n
Æ weitere Infos folgen im Kapitel „WLAN“
•
Optisch: Kunststofflichtleiter (POF = Polymer Optical Fiber)
Diese Technik ist noch recht jung. Zur Punkt-zu-Punkt-Verbindung und
anschließender Verteilung über Switch
•
Über das Stromnetz (230V-Netz): - Powerline
Wird vorzugsweise zur Ankopplung eines entfernten Raumes verwendet, wo
dann das Netzwerk mit einem Switch weiterverteilt werden kann
seltener
•
Telefonnetz
•
Kabel-TV
Am Häufigsten und angestrebt wird sicherlich eine drahtgebundene
Vernetzungslösung mit Twisted Pair-Kabeln. Als Ergänzung, zum Beispiel Surfen mit
Notebook im Wohnzimmer, dienen Funklösungen. Es kommen heutzutage
zunehmend unterschiedliche Medien im Heimnetz gleichzeitig zum Einsatz.
Welche Parameter sind bei der Wahl des Übertragungsmediums zu
berücksichtigen?
•
Anwendung und Bandbreite
Bei den Planungen des Heimnetzes ist einerseits entscheidend, welche
27
Anwendungen im Netz eingesetzt werden sollen, woraus sich dann die
erforderliche Bandbreite ableiten lässt. Anwendungen und ihre erforderlichen
Datenraten sind tabellarisch im Abschnitt 2.3.2 aufgelistet.
•
Entfernung
Ein weiterer wichtiger Gesichtspunkt sind die zu überbrückenden
Entfernungen, verbunden mit der Frage, ob alle Räume schon kabeltechnisch
vernetzt sind bzw. so erreicht werden können. Im Abschnitt 2.3.1 sind
Reichweite und Übertragungsgeschwindigkeit für die einzelnen Medien
gegenübergestellt.
•
Räumliche Gegebenheiten
Für die Vernetzung in Bereichen, in denen das Verlegen der etwas sperrigen
Twisted Pair-Kabel aufwändig ist, bieten sich 3 Alternativen an:
- Datenkommunikation per Funk, Wireless LAN (WLAN)
- Datenkommunikation über das Stromnetz, Powerline
- Datenkommunikation per Licht über dünnere Lichtwellenleiter aus Kunststoff,
Polymer Optical Fiber (POF)
28
2.3.1 Reichweiten und Datenübertragungsraten
Technik
Reichweite
Brutto-Datenrate
Nettorate
Fast Ethernet
100 m
100 Mbit/s
94 Mbit/s
Gigabit-Ethernet
100 m
1000 Mbit/s
940 Mbit/s
POF
30-50 m
100 Mbit/s
94 Mbit/s
WLAN 802.11g
10-300 m 1
54 Mbit/s
WLAN 802.11n 3
10–300 m
Powerline
1
2
3
4
4
1
10-200 m 1
2
5-25 Mbit/s 1
300 Mbit/s
5-120 Mbit/s 1
200 Mbit/s
15-85 Mbit/s 1
sehr stark von Umgebung (Gebäude bzw. Stromnetz) abhängig
mit proprietären Techniken mehr als 54 MBit/s
Entwurfsstatus, Standard voraussichtlich Sommer 2008
drei konkurrierende, nicht zueinander kompatible Standards
Bild 7: Reichweite und Datenübertragungsgeschwindigkeit
2.3.2 Bandbreitenbedarf für Anwendungen
Anwendung
Datenrate
Charakteristik
Chatten
< 1 kBit/s
schubweise
Telefonieren
16 bis 80 kBit/s
durchgehend
Internet-Radio / MP3Wiedergabe
unkomprimiertes Audio
32 bis 320 kBit/s
durchgehend
1500 kBit/s
durchgehend
Websurfen, E-Mail
1000 bis 6000 kBit/s
schubweise
DivX/XviD-Video
4000 bis 8000 kBit/s
durchgehend
DVD-Video
bis 10 000 kBit/s
durchgehend
HD-Video
bis 20 000 kBit/s
durchgehend
Daten kopieren,
Backups
100 000 bis 500 000 kBit/s
schubweise
Bild 8: Bandbreitenbedarf
29
Anhand eines Beispiels soll der sinnvolle Einsatz unterschiedlicher
Übertragungsmedien aufgezeigt werden. Dazu ist im nachfolgenden Bild der
Grundriss einer Wohnung mit der verwendeten Verkabelungstechnik dargestellt.
Bild 9: Verkabelungstechnik im modernen Heimnetz (Quelle c’t 2007 Heft 12)
Arbeitszimmer:
• Einziger Raum mit „klassischer“ Vernetzung per Kupferkabel, also TwistedPair
• Standort für DSL-Router mit Switch. Switch ist im Idealfall Gigabit Ethernettauglich
• Schnelle Verbindung (min 100 Mbit/s, besser 1000 MBit/s) zum
Netzwerkspeicher NAS, der auch als externer Medienspeicher dient
• Optional: hier steht auch der Familien-Farb-Laser-Drucker (nicht im Bild
enthalten)
• Von hier erfolgt die Ankopplung des Wohnzimmers als Punkt-zu-PunktVerbindung über POF bzw. Twisted Pair mit min. 100 Mbit/s
• Ankopplung von Gästezimmer und Küche an das Heimnetz per Powerline
Wohnzimmer:
• Direkt an Arbeitszimmer grenzend
• Über Punkt-zu-Punkt-Verbindung und eigenem Switch können weitere Geräte
eingebunden werden
• Medien Center für Video (erfordert hohe Bandbreite)
• Medien Center für Audio
30
Gästezimmer:
• Keine direkte Versorgung mit WLAN möglich
• Anbindung ans Heimnetz bequem über Powerline und Access Point im
Gästezimmer möglich
• Mobiler Arbeitsplatz wird über Funk eingebunden, ausreichend als klassischer
Arbeitsplatz wegen geringem Bandbreitenbedarf. Surfen und „Texten“ sind
problemlos möglich
Küche
• Anbindung des Webradios über WLAN, keine Bandbreitenproblem
Fazit: Das ideale Heimnetz entsteht durch geschickte Kombination unterschiedlicher
Techniken, etwa indem man WLAN nur für mobile Geräte oder Stationen mit geringer
Datenrate wie z. B. Internetradios hernimmt. Wo hohe Bandbreite erforderlich ist (z.
B. bei Videostreaming), sollten Punkt-zu-Punkt-Verbindungen mit LAN-Kabel bzw.
POF verwendet werden.
Da der Switch automatisch die Übertragungsgeschwindigkeit, ob 10, 100 oder sogar
1000 Mbit/s, erkennt, können problemlos Geräte mit unterschiedlichen
Netzwerkschnittstellen im Heimnetz verwendet werden. So kann z. B. ein etwas
älterer Rechner mit einer 10 Mbit/s-Netzschnittstelle und ein modernes System mit
einem 100/1000 Mbit/s-LAN-Adapter gemeinsam verwendet werden.
Die Verkabelung der erforderlichen Geräte stellt keine große Hürde dar. Dabei ist
hauptsächlich zu klären, mit welcher Datenübertragungsrate die Daten übertragen
werden sollen. Diese ergibt sich hauptsächlich aus den Anforderungen der PCNutzer, 100 Mbit/s sind für übliche Arbeiten ausreichend. Nur wenn z.B. häufig
große CAD-Zeichnungen oder Image-Dateien über das LAN-Netz transportiert
werden, sollte über Gigabit Ethernet nachgedacht werden.
Der Engpass liegt beim Internetanschluss. Die im LAN heute schon üblichen
100Mbit/s werden hier erst in einigen Jahren Standard sein.
31
2.3.3 Übertragungsmedien
2.3.3.1 Kupfer-Kabel (Twisted Pair)
•
Für Fast Ethernet (100 Mbit/s)Æ mindestens Cat5-Kabel (Class D)
Dieses Kabel ist heute Standard.
Die maximale Länge zwischen Switch und Endgerät beträgt wie bei 10Base-T
100 Meter. Die Steckverbindungen sind als 8P8C-Modularstecker und buchsen ausgeführt und werden häufig mit „RJ-45“ bzw. „RJ45“ bezeichnet.
•
für Gigabit Ethernet (1000 Mbit/s) Æ mindestens Cat6-Kabel (Class E)
2.3.3.2 Drahtlos per Funknetz (WLAN, Wireless LAN)
• Hier gibt es Standards, die ständig weiterentwickelt werden
• Das Funknetz gehört zum „ Shared Medium“. Es lassen sich mit WLAN mehr
als zwei Geräte vernetzen. Jedoch müssen die mit WLAN vernetzten
Endgeräte sich zum Datenaustausch das Übertragungsmedium Luft teilen.
Æ mehr Informationen folgen später im Kapitel „WLAN“
2.3.3.3 Polymer Optical Fiber (POF)
Seit Anfang 2007 etabliert sich ein gerade für den Heimnetzbereich interessantes
optisches Medium, der Kunststofflichtleiter. Andere Bezeichnungen sind Plastic
Optical Fibre oder Polymeroptische Faser (POF). Das Material ist günstiger als
Lichtleiter aus Kunststoff. Mit Fast Ethernet-Geschwindigkeit können über eine
Punkt-zu-Punkt-Verbindung Daten übertragen werden. Dazu wird über einen Adapter
das elektrische Fast Ethernet Signal in ein optisches Signal gewandelt. Leider gibt es
noch keine verbreiteten Standards, so dass der Anwender sich an einen Hersteller
binden muss.
Als Beispiel ist auf der nächsten Seite das T-Com Speedport OptoLAN Starterset
abgebildet. Dieses beinhaltet 30 m POF-Leitung und 2 Adapter, Transceiver
genannt. Ein Ende des POF-Kabels wird jeweils mit dem fiberoptischen Transceiver
verbunden, an dessen anderem Ende das Ethernet-Kabel und die Stromversorgung
angesteckt werden.
Zum Ablängen des Plastiklichtleiters, ist ein Schneidewerkzeug beigelegt. Die
Montage der Fasern erfolgt mit einem patentierten Klemmmechanismus von
Ratioplast Optoelectronic.
32
Bild 10: T-Com Speedport OptoLAN Starterset
2.3.3.4 Über das Stromnetz (Powerline)
Für stationäre Geräte bietet sich das Vernetzen über die Stromleitung mittels
Powerline Communications (PLC) an. Adapter in Steckernetzteilbauform
übertragen die Ethernet-Daten mit einem Kurzwellensignal über das heimische
Stromnetz. Hierbei sind zurzeit Übertragungsraten von bis zu 200 Mbit/s brutto (80
Mbit/s netto) möglich. Der Adapter verfügt jeweils über einen RJ45-LAN und einen
Anschluss ans Stromnetz.
Den einen Adapter platziert man in einer freien Steckdose beim Router, den anderen
beim zu vernetzenden Gerät. Letzteres kann auch ein günstiger Switch sein, an den
man dann wiederum mehrere LAN-Geräte vernetzen kann. So lässt sich die
Anschaffung weiterer teurer Powerline-Adapter vermeiden. Das folgende Bild zeigt
ein Powerline-Adapter-Paar.
33
Bild 11: Powerline Ethernet Bridge
Auch bei Powerline handelt es sich um ein Shared-Medium, d. h. mit PLC-vernetzte
Endgeräte müssen sich zum Datenaustausch das Übertragungsmedium teilen.
Daher sollte Powerline nur zur Anbindung entfernter Räume über eine Punkt-zuPunkt-Verbindung verwendet werden.
Die folgende Folie betrachtet einige Aspekte zur Powerline-Technologie.
Powerline
•
•
Ethernet über das Stromnetz
•
•
Adapter sind immer paarweise zu benutzen
Drei unterschiedliche Produkt-Familien (Hersteller)
- Home Plug AV, UPA, HD-PLC
- sind zueinander inkompatibel
- dürfen nicht gemischt verwendet werden
Übertragungsgeschwindigkeiten
- 200 Mbit/s (brutto) Æ netto bis 80 Mbit/s
- ältere Typen 14 bis 85 Mbit/s
•
•
•
Sichere Verschlüsselung
Preis pro Adapterpaarsatz: 70 bis 200 €
Nachteile: keine Standards, Mischen der Techniken
(unterschiedliche Hersteller, ältere mit neuen Typen) im gleichen
Stromnetz ist tabu, starke Herstellerbindung
Bild 12: Aspekte zu Powerline
Hinweis und Tipp:
Wer heute in Powerline-Adapter investieren will, muss sich für eine Familie
entscheiden und später sortenrein nachkaufen
2.3.3.5 Telefonnetz (HomePNA)
•
•
•
•
Æ www.homepna.org
Hat hierzulande Nischenstatus.
Setzt eine Telefonverkabelung in jedem Raum voraus.
Anwendungsbeispiel: in Hotels zur Versorgung der Gäste
Leistungsgeschwindigkeit max. 320 Mbit/s brutto (bei Spezifikation 3.1 von
12/2006)
34
Æ www.mocalliance.org
2.3.3.6 Kabel-TV-Netz (TV-Coax-LAN)
•
•
•
•
•
Hat hierzulande Nischenstatus
Setzt Kabel-TV-Verkabelung in jedem Raum voraus
Anwendungsbeispiel: in Hotels zur Versorgung der Gäste
Alle an einem Strang hängenden Stationen teilen sich den Durchsatz (wie bei
Powerline und WLAN)
Leistungsgeschwindigkeit bis zu 200 Mbit/s
35
3 TCP/IP – Grundlagen
Lernziele:
• Aufgaben und Funktion des TCP/IP-Protokolls erkennen
• Aufbau der IP-Adressen kennenlernen
• Netzwerke in Subnetze einteilen können
• Wirkung der Subnetzmaske
• Netzwerkklassen angeben können
• Prinzip des Routing verstehen
• Begriff Standardgateway oder Defaultgateway verstehen
• Bedeutung /Anwendung von ARP und ICMP
• Aufgaben von TCP und UDP verstehen
• Begriff Port als Nummer, die zur Identifizierung einer Netzanwendung dient,
zuordnen können
Motivation
Damit vernetzte Geräte wie PCs, Notebooks, Server-Rechner, Netzwerkdrucker, etc.
miteinander „sprechen“ können, müssen sie die gleiche Sprache sprechen. Die
weltweite „Standardsprache“ im Netzwerk ist TCP/IP. Die Abkürzung steht für
Transmission Control Protocol / Internet Protocol. Diese „Sprache“ wird auch von
je her im World Wide Web (WWW) gesprochen und hat andere „Sprachen“ wie
IPX/SPX, NetBEUI oder AppleTalk völlig vom Markt verdrängt.
Das Aufkommen des Internet hat TCP/IP zu einem ungeahnten Erfolg verholfen. Es
ist damit weltweit der Netzwerkstandard im LAN (Local Area Network) und im WAN
(Wide Area Network). Die Dominanz von TCP/IP ist auch daran zu erkennen, dass
zukünftig alle Netzwerkdienste, sei es Daten, Sprache oder Video/TV, über ein
TCP/IP-Netz übertragen werden.
Damit eine Netzwerkstation die „Sprache TCP/IP“ sprechen kann, muss die
Netzwerkkarte des entsprechenden Gerätes für das Protokoll TCP/IP konfiguriert
werden. Zur erfolgreichen Konfiguration und vor allem für die Fehlersuche ist
Basiswissen zum Themengebiet TCP/IP zwingend erforderlich, welches in diesem
Kapitel vermittelt werden soll.
Nach dem Ende dieses Kapitels sollten Ihnen Begriffe wie IP-Adresse,
Subnetmask, Standardgateway oder DNS-Server nicht mehr fremd sein. Diese
Parameter wollen erfolgreich konfiguriert sein, bevor das Gerät an der
Netzwerkkommunikation teilnehmen kann.
36
3.1 Definition und Vorteile von TCP/IP
Geschichte
Der Ursprung von TCP/IP und damit dem Internet liegt im militärischen Bereich. In
Zeiten des „kalten Krieges“ – in den 1960er Jahren – wurde von der amerikanischen
Regierung eine Forschergruppe (RAND Corp.) beauftragt, ein Netzwerk zu
entwerfen, welches einen Nuklearangriff überstehen könnte. Nach einem einfachen
Prinzip sollten Nachrichten in einzeln aufgeteilten und getrennt adressierten Paketen
so versandt werden, dass jedes Paket sich seinen eigenen Weg im Netzwerk suchen
kann. Selbst wenn ein Großteil des Netzwerks zerstört würde, wäre so eine
Kommunikation immer noch sichergestellt. Nach Vorstellung des ersten TestNetzwerks im Jahr 1968 wurde die Advanced Research Project Agency (ARPA) als
Abteilung des Verteidigungsministeriums der USA gegründet, um die sich nun
anschließende „echte“ Vernetzung umzusetzen. Unter dem Namen ARPANET
wurden in den 1970er Jahren immer mehr Computer vernetzt. Aus dem Protokoll des
ARPANETs, dass Network Control Protocol (NCP) genannt wurde, entwickelte sich
das TCP/IP-Protokoll und wurde 1978 erstmals der Öffentlichkeit vorgestellt. Nach
der Standardisierung des TCP/IP-Protokolls Anfang der 1980er Jahre durch die ISA
(International Standards Organization), begann der eigentliche Siegeszug des
Internets mit der Integration in unseren beruflichen und privaten Alltag, so wie wir es
heute kennen.
TCP/IP - Übersicht
•
•
•
•
TCP/IP sind mehrere Protokolle
•
UDP-Protokoll z.B. bei Audio-/VideoStreaming
Grundlage: IP-Protokoll
Darauf aufbauend: TCP bzw. UDP
Die meisten Anwendungen verwenden
das TCP-Protokoll
Bild 1: TCP/IP – Übersicht
TCP/IP sind mehrere Protokolle
TCP/IP ist eine Gruppe von Protokollen oder Regeln (Protokollfamilie), die 1984
37
eingeführt wurde, damit Computer im Netzwerk miteinander kommunizieren können.
Obwohl es üblich ist, „TCP/IP“ in einem Atemzug auszusprechen, sind TCP und IP
zwei unterschiedliche Protokolle: TCP (Transmission Control Protocol) und IP
(Internet Protocol). Genauer gesagt kommt noch ein drittes mit TCP
gleichberechtigtes Protokoll hinzu: UDP (User Datagram Protocol)
Grundlage: IP-Protokoll
Das IP-Protokoll stellt sicher, dass Datenpakete von einem Teilnehmer an einen
anderen verschickt werden und findet entsprechende Wege (Routen), um diese
Datenpakete mit möglichst optimalen Routen zu transportieren.
Darauf aufbauend: TCP bzw. UDP
3.1.1 Das TCP-Protokoll
Das TCP-Protokoll setzt auf dem IP-Protokoll auf und wird für viele bekannte
Anwendungen wie E-Mail oder das Browsen von Websites verwendet. Die meisten
Netzanwendungen verwenden das TCP-Protokoll. Das TCP-Protokoll baut dabei
eine feste und gesicherte Verbindung auf und erwartet, dass alle Datenpakete in der
richtigen Reihenfolge gesendet und vom Empfänger wieder zusammengesetzt
werden (verbindungsorientiertes Protokoll).
Das Internet Protocol (IP) ist für die Adressierung und für das Weiterleiten bzw.
Zustellen von Paketen, Routing genannt, zuständig. IP garantiert aber nicht die
korrekte Zustellung der Pakete. Dafür ist dann das Transmission Control Protocol
(TCP) in der höheren Schicht zuständig. IP selbst kümmert sich um jedes einzelne
Paket. Soll z. B. ein Datenblock im Netzwerk gesendet werden, wird dieser beim
Sender in einzelne Datenpakete unterteilt und jedes Paket „auf die Reise geschickt“.
Die einzelnen Datenpakete können dabei auf unterschiedlichen Wegen zum Ziel
gelangen. Es kann ohne weiteres vorkommen, dass die zu einem Datenblock
gehörenden Pakete unterschiedlich geroutet werden und in einer anderen
Reihenfolge beim Empfänger eintreffen. Auf der Empfängerseite überwacht TCP, ob
alle Datenpakete eintreffen und setzt die Teilpakete wieder in der richtigen
Reihenfolge zum Gesamtdatenblock zusammen. Der Datenblock wird dann an die
Anwendung weitergereicht.
Allerdings ist TCP/IP alles andere als eine effiziente Methode, um Daten zu
übertragen. Bei einer Nutzlast von nur wenigen Byte pro Datenpaket ergibt sich ein
sehr großer Verwaltungsanteil von mindestens 40 Byte pro Datenpaket. Nur, wenn
man große Datenpakete von einem KByte oder mehr verschickt, lässt sich der
prozentuale Anteil für Verwaltungsinformationen verringern.
3.1.2 Das UDP-Protokoll
Einige Applikationen wie Streaming Audio und Video benutzen das UDP-Protokoll
und können den gelegentlichen Verlust von Datenpaketen tolerieren. Beim UDPProtokoll gibt es keine gesicherte Verbindung, das erfolgreiche Zustellen der
Datenpakete wird also nicht kontrolliert (verbindungsloses Protokoll). Gegenüber
38
dem TCP-Protokoll hat das UDP-Protokoll den Vorteil, wesentlich schlanker und
schneller zu sein. Außerdem ist es in Anwendungen wie Sprach- und
Videoübertragungen kontraproduktiv, ein verloren gegangenes Paket z. B. nach 1s
zu wiederholen.
TCP/IP – IP-Adressierung
•
Jeder Teilnehmer benötigt eine logische
Adresse (IP-Adresse)
•
•
Die IP-Adresse muss eindeutig sein
•
Anwendungen teilen sich eine IPAdresse
Es sind spezielle Adressbereiche für
„private Netze“ (nichtöffentliche,Intranets) definiert
Bild 2: TCP/IP – IP-Adressierung
In einem IP-Netzwerk benötigt jeder Teilnehmer eine eindeutige logische Adresse.
Diese IP-Adresse setzt sich aus vier Bytes zusammen, jeweils mit einem Punkt
getrennt. Jedes Byte wird als Dezimalzahl dargestellt. Eine mögliche IP-Adresse
lautet beispielsweise 192.168.1.80.
Die IP-Adresse muss innerhalb des IP-Netzwerks eindeutig sein. Eine IP-Adresse für
das Internet muss daher weltweit, eine IP-Adresse für ein Intranet dagegen nur
innerhalb dieses Netzwerks eindeutig sein.
Um die Möglichkeit offen zu halten, Intranets an das Internet anzuschließen, wurden
Adressräume für Intranets definiert (RFC 1597). Der gängigste Adressbereich ist
192.168.0.0 bis 192.168.255.255.
Auf einem Computer arbeiten verschiedene Netzanwendungen wie zum Beispiel EMail-Programm und Browser gleichzeitig. Da der Computer nur eine IP-Adresse hat,
müssen Datenpakete für jede einzelne Netzanwendung unterschieden werden
können. Dazu wird an die IP-Adresse eine zusätzliche Nummer – der so genannte
Port – angefügt. Jede ausgeführte Netzanwendung erhält eine eindeutige Port39
Zuweisung und kann damit, die für sie zuständigen Datenpakete empfangen oder
senden.
Die wesentlichen Vorteile von TCP/IP sind:
Vorteile von TCP/IP
•
•
Keine Herstellerbindung
•
•
Einsetzbar in LAN und WAN
•
Für jedes Übertragungssytem geeignet
Kann auf unterschiedlichsten Geräten
implementiert werden
Macht Netzanwendung vom
Übertragungssystem unabhängig
Bild 3: Vorteile von TCP/IP
•
TCP/IP ist an keinen Hersteller gebunden
•
TCP/IP kann auf unterschiedlichsten Geräten (PCs, Netzwerkdruckern,
Panels, etc.) implementiert werden
•
TCP/IP ist in LANs und WANs nutzbar
•
TCP/IP macht die Netzwerkanwendung vom Übertragungssystem unabhängig
•
TCP/IP kann über jedes Übertragungssystem (Ethernet, Token Ring, etc.)
Daten übertragen, egal wo die Kommunikationspartner sich befinden. IP sorgt
dafür, dass das Datenpaket sein Ziel erreicht und TCP kontrolliert die
Datenübertragung und stellt den Datenstrom der Anwendung zu.
40
3.2 TCP/IP im Schichtenmodell
TCP/IP ist eine Protokoll-Kombination, die die Schichten Transport und Vermittlung
aus dem OSI-Schichtenmodell erfolgreich verbindet. Das Internet Protocol (IP) ist
auf der 3. Schicht, der Vermittlungsschicht des OSI-Schichtenmodells, angeordnet.
Das Transmission Control Protocol (TCP) ist auf der 4. Schicht, der
Transportschicht des OSI-Schichtenmodells, angeordnet.
Aufgaben und Funktion von TCP/IP lassen sich auch mit einem vereinfachten
Schichtenmodell, das aus 4 Schichten besteht, beschreiben. Dieses Modell ist älter
als das 7-schichtige OSI-Schichtenmodell, reicht aber für unsere Zwecke
vollkommen aus. Wir verwenden im Folgenden das einfachere Modell.
Das nachfolgende Bild zeigt die 4 Schichten mit den dazugehörigen Protokollen
sowie die Zuordnung der 4 Schichten zu dem OSI-Schichtenmodell. Die unterste
Schicht bildet die Netzzugriffs-/Netzwerkkartenschicht, vereinfacht auch als
Hardwareschicht bezeichnet. Darüber liegt die Internetschicht mit dem Internet
Protocol (IP). Es folgt darüber die Transportschicht mit dem Transmission
Control Protocol (TCP). Die oberste Schicht wird als Anwendungsschicht
bezeichnet.
Protokoll
Schicht
(engl.
Layer)
Bezeichnung
Anwendungsschicht
4
HTTP, FTP, NTP, SSH, …
(OSI 5,6,7)
TCP
(engl. Application Layer)
Transportschicht
3
UDP
(OSI 4)
ICMP
(engl. Transport Layer)
Internetschicht
2
IP
ARP
Ethernet (IEEE 802.3), Token Ring, FDDI,
PPP, …
(OSI 3)
1
(engl. Internet Layer)
Netzzugriffs- /
Netzwerkkartenschicht
(OSI 1,2)
(engl. Network Layer)
Hardwareschicht
Bild 4: TCP/IP-Protokollfamilie im 4-Schichtenmodell (unvollständig)
Auch, wenn dieses Bild verbunden mit den vielen neuen Begriffen auf den
Netzwerkeinsteiger anfangs verwirrend erscheint, macht es Sinn, Netzwerktechnik in
einem Schichtendenken zu begreifen, um die Zusammenhänge besser zu verstehen.
Erst so kann später eine systematische Fehlersuche im Netzwerk betrieben
werden.
41
Die Netzzugriffs-/Netzwerkkartenschicht (engl. Network Layer)
Eine Implementierung für die unterste Schicht haben wir mit Ethernet (IEEE 802.3)
bereits im Kapitel „Ethernet und Verkabelung“ kennengelernt. Alternativen zu
Ethernet sind FDDI, Token Ring, Arcnet, etc, die aber heutzutage nur
Nischenlösungen darstellen. Die unterste Schicht, auch Hardwareschicht genannt,
ist zuständig für die Steuerung der Netzwerkhardware und verantwortlich für die
Bitübertragung. Bezogen auf das OSI-Modell werden zwei Schichten zu einer
vereinigt.
Die Internetschicht (engl. Internet Layer)
Zur Internetschicht gehören u. a. die Protokolle IP (Internet Protocol), ICMP
(Internet Control Message Protocol) und ARP (Address Resolution Protocol).
Mit IP werden wir uns im Folgenden näher auseinandersetzen. Das Address
Resolution Protocol (ARP) dient zum Finden einer MAC-Adresse bei gegebener IPAdresse. Das Internet Control Message Protocol (ICMP) interessiert uns im
Zusammenhang mit dem ping-Kommando, welches wir noch unter anderem im
Abschnitt „Strategische Fehlersuche“ behandeln.
ARP nimmt eine vermittelnde Funktion zur Netzzugriffsschicht (unterste Schicht) und
ICMP eine vermittelnde Funktion zur Transportschicht ein.
Die Transportschicht (engl. Transport Layer)
Neben dem schon erwähnten Transmission Control Protocol (TCP) gibt es das
User Datagram Protocol (UDP). Mit TCP wird eine gesicherte Datenübertragung
realisiert. Es können unterwegs keine Pakete verlorengehen. Dafür werden
entsprechende Maßnahmen getroffen. Das entspricht einem Briefversand mit
Empfangsbestätigung. UDP garantiert keine sichere Übertragung. Der Brief wird
einfach abgeschickt, so wie wir gewöhnlich einen Brief versenden, in der Hoffnung
und mit dem Glauben, dass er auch beim Empfänger ankommt.
Die Anwendungsschicht (engl. Application Layer)
Hier gibt es eine Reihe von Anwendungen, die teilweise schon zur Verfügung stehen,
wenn das TCP/IP-Protokoll auf dem PC installiert ist. Dazu zählen u. a. telnet für die
Fernsteuerung von TCP/IP-Geräten und ftp für den Dateitransfer zwischen TCP/IPGeräten. Eine sichere Verbindung kann zwischen zwei Rechnern über das sshProtokoll aufgebaut werden. Das bekannteste Protokoll der Anwendungsschicht ist
sicherlich http zur Kommunikation eines Webbrowsers wie Firefox mit einem
Webserver.
42
Ein- und Auspacken von Daten
Sollen Daten über das Netzwerk gesendet werden, werden diese Schicht für Schicht
nach unten durchgereicht und dann über die Netzwerkhardware versendet. Die
höheren Schichten nehmen dabei die Dienste der darunterliegenden Schichten in
Anspruch. Die Daten der Anwendungsschicht werden dabei in kleinere Pakete
geteilt und erhalten dabei von jeder der darunterliegenden Schichten jeweils einen zu
dieser Schicht gehörenden Header (Vorspann) und teilweise auch Trailer
(Nachspann). Sie werden quasi in jeder Schicht neu verpackt. Beim Empfang werden
die Daten auf dem umgekehrten Weg, Schicht für Schicht bis zur
Anwendungsschicht nach oben durchgereicht und wieder entsprechend ausgepackt.
Das Ein- und Auspacken lässt kurz wie folgt beschreiben:
•
•
•
Senden
Beim Übergang von einer höheren Schicht zu einer darunterliegenden Schicht
werden die Daten der höheren Schicht in einen Rahmen verpackt
- es wird ein Header vorangestellt
- teilweise auch ein Trailer (z. B. Prüfsummenfeld-Feld)
Empfangen
“Auspacken“ auf der Empfangsseite
Beim Übertragen entsteht eine zusätzliche Netzbelastung zu den eigentlichen
Daten (Protocol Overhead)
Client empfängt angeforderte Webseite:
http://www.bfe.de/index.html
Daten (HTML-
Firefox
Webserver
http
Header
Anwendungsschicht
Anwendungsschicht
Daten
HTTP
HTTP
Anwendungs-Paket
Transportschicht
Transportschicht
tcp
Header
http
Header
Daten
TCP
TCP
TCP-Paket
Internetschicht
Ip
Header
tcp
Header
http
Header
Internetschicht
Daten
IP
IP
IP-Paket
Netzzugriffsschicht
Ethernet
Header
Ip
Header
tcp
Header
http
Header
Daten
Ethernet
Trailer
Netzzugriffsschicht
Ethernet
Ethernet
Ethernet-Paket (Frame)
Bild 5: Ein- und Auspacken beim Senden eines Datenpakets
43
3.3 Das Internet Protocol (IP)
Das Internet Protocol, kurz IP, ist Teil der Protokollfamilie TCP/IP. Es hat die
maßgebliche Aufgabe, Datenpakete zu adressieren und in einem paketorientierten
Netzwerk zu leiten und zu vermitteln, was als Routing bezeichnet wird. Dazu haben
alle Geräte im Netzwerk eine eigene Adresse, IP-Adresse genannt. Die Adresse
dient nicht nur zur Identifikation einer Station, sondern auch zum Erkennen eines
Teilnetzes, in dem sich eine Station befindet.
Der Header (Vorspann) eines IP-Paketes enthält u. a. folgende Einträge:
•
•
•
•
•
•
IP-Version
Paketlänge
Lebenszeit (engl. Time to live)
Prüfsumme
Senderadesse
Empfängeradresse
Die IP-Adressen gibt es heute für zwei Versionen, IP Version 4 (IPv4) und IP
Version 6 (IPv6). IPv4 ist die noch aktuelle Version. Sie wird auch als IP (ohne
Versionsangabe) abgekürzt.
Die IP-Adresse nach IP Version 4 ist 32 Bit groß. Sie wird in 4 Byte zerlegt, die
durch Punkte („.“)voneinander getrennt sind. Jedes Byte kann einen dezimalen Wert
zwischen 0 und 255 annehmen.
IPv6-Adressen bestehen aus 128 Bit und werden als Kette von 16 Bit-Zahlen in
Hexadezimalform, jeweils 2 Byte durch einen Doppelpunkt („:“) getrennt, dargestellt.
Eine Adresse besteht also aus 8 Blöcken mit je 16 Bit. Folgen von Nullen können
einmalig durch einen doppelten Doppelpunkt („::“) abgekürzt werden. Da in URLs der
Doppelpunkt mit der optionalen Portangabe kollidiert, werden IPv6-Adressen hier in
eckige Klammern eingeschlossen.
IP-Adresse nach
IPv4
IPv6
IPv6 in URL
127.0.0.1
FE80::0211:22FF:FE33:4454
http://[
FE80::0211:22FF:FE33:4454]:8080/
Wir werden uns in diesem Seminar ausschließlich mit IPv4 befassen.
44
3.3.1. IP-Adressen nach Version 4
Hauptbestandteil von IP sind die IP-Adressen, die alle Stationen im Netzwerk
eindeutig kenntlich machen. Pro Netzwerkadapter wird mindestens eine IP-Adresse
vergeben.
Die IP-Adresse ist mit den Angaben zu Straße, Hausnummer und Ort einer Anschrift
vergleichbar. Mit Hilfe der IP-Adressen lassen sich die Rechner im Netz eindeutig
identifizieren. Im gleichen Netzwerkbereich darf eine IP-Adresse aber nur einmal
existieren.
Jedem Rechner im Internet (Internet-Teilnehmer) wird eine, im weltweiten Internet
einmalige 32 Bit Adresse als Identifikation zugeordnet.
Die IP-Adresse ist 32 Bit (4 Byte) lang und kann wahlweise als binäre, hexadezimale
oder dezimale Zahlenkombination dargestellt werden. Zur einfachen Lesbarkeit wird
die 32 Bit-Adresse in jeweils 8 Bit (1 Byte) aufgeteilt und durch einen Punkt („.“)
getrennt.
Die folgende Tabelle stellt die gleiche IP-Adresse binär, hexadezimal und dezimal
dar.
Darstellung
binär
hexadezimal
dezimal
Bespiel IP-Adresse
11000000.
10101000.
C0.
A8.
192.
168.
00000001.
01.
1.
Tabelle: IP-Adresse in dezimaler und in binärer Darstellung
Jedes Byte kann einen dezimalen Wert von 0 bis 255 annehmen.
Üblich ist bei IP-Adressen die dezimale Darstellung.
45
01101110
CE
110
IP-Adressen nach Version 4
•
Adressstruktur
- 32 Bit-Adresse (4 Byte)
- Darstellung als binäre, hexadezimale oder dezimale Zahlenkombination
Æ üblich dezimal
- Vierergruppe von jeweils 8 Bit (1 Byte) durch Punkt getrennt
- Schreibweise als Quadrupel:
n . n. n. n
- Jede Ziffer n jeweils 8 Bit Æ n zwischen 0 und 255
- Adresse vergleichbar mit Anschrift: Straße, Hausnummer und Ort
- Adresse muß in einem Netzwerk einmalig sein
Bild 6: IP-Adressen nach Version 4
46
3.3.2. Subnetzmaske (engl. Subnetmask)
Jede IP-Adresse besteht aus zwei Teilen. Der vordere Teil repräsentiert die
Adresse für das Netzwerk, indem sich die Station befindet. Bezeichnungen hierfür
sind auch Netzwerkadresse, Subnetz (dtsch. Teilnetz) oder einfach Netzwerk. Der
hintere Teil stellt die Adresse für die Station dar. Wo sich die IP-Adresse teilt, wird
durch die Subnetzmaske (engl. Subnetmask) bestimmt. Die Subnetzmaske ist
eine 32 Bit Zahl und besteht aus einer geschlossenen Kette beginnend mit Einsen
und abschließenden Nullen.
•
Jedes Interface eines Netzknotens hat eine eigene im Netzwerk eindeutige
IP-Adresse
Æ jedes Gerät mit einer Netzwerkschnittstelle benötigt eine eigene IPAdresse
•
Die IP-Adresse wird in zwei Teile, in einen Netzanteil und in einen
Hostanteil unterteilt
•
Der Netzanteil (=Netzwerkadresse, Netzwerkkennung, Netznummer,
Netz-ID) identifiziert das betreffende Netzwerk
•
Der Hostanteil (=Stationsadresse, Hostkennung, Host-ID) identifiziert
den Host im betreffenden Netz
•
Netzanteil und Hostanteil werden über die Subnetzmaske (Subnetmask =
Netzmaske) festgelegt. Die Subnetmaske legt fest, welche Bit als
Netzwerkadresse verwendet werden
•
Alle Teile der Subnetmaske, die mit „1“ in der binären Darstellung belegt
sind, stellen den Netzanteil dar, folglich die Nullen den Hostanteil. Die
„1en“ in der Subnetzmaske müssen durchgehend sein.
•
Die Netzadresse wird aus der bitweisen UND-Verknüpfung zwischen IPAdresse und Subnetzmaske ermittelt.
Bild 7: Subnetzmaske (engl. Subnetmask)
Beispiel:
Wir betrachten die IP-Adresse 192.168.1.110. Die Subnetzmaske sei binär
11111111. 11111111. 11111111. 00000000. Das entspricht in Dezimaldarstellung
255.255.255.0. Legt man die Subnetzmaske wie ein Maske über die IP-Adresse,
ergibt sich folgenden Teilung:
47
Netzwerkkennung
Hostkennung
Rechner-IPAdresse
192. 168. 1.
110
11000000.10101000.00000001.01101110
Subnetmask
255. 255. 255. 0
11111111.11111111.11111111.00000000
Bitweises UND
Netzadresse
192.
168.
Stationsadresse
1.
11000000.10101000.00000001.00000000
0
110
Bild 8: Zerlegung der IP-Adresse
Der vordere Teil, die Netzadresse, lautet 192.168.1.0. Der hintere Teil, die
Stationsadresse in diesem Subnetz (dtsch.Teilnetz) lautet 110.
Durch Anwendung einer bitweisen logischen UND-Verknüpfung zwischen IPAdresse und Subnetzmaske erhält man die Netzadresse.
Wir haben also die IP-Adresse 192.168.1.110 mit der Netzmaske 255.255.255.0 und
erhalten durch Anwendung eines Bitweisen UND die Netzadresse 192.168.1.0 und
die Stationsadresse 110.
Nachfolgend sind einig gültige und ungültige Subnetmasksen aufgelistet.
Gültige Subnetzmasken
255.0.0.0
Ungültige Subnetzmasken
255.0.255.0
255.255.0.0
0.255.255.0
255.255.255.0
252.255.255.0
255.255.255.128
255.255.255.200
Bild 9: Gültige und ungültige Subnetzmasken
Die Netzadresse identifiziert also das Netzwerk. Für die Netzadresse gilt:
•
•
Die Netzadresse ist die niedrigste Adresse in einem Subnetz
Die Netzadresse darf nicht an einen Host vergeben werden
48
Die Größe eines Netzwerkes wird auch durch die Subnetzmaske bestimmt. Mit ihrer
Hilfe kann man die Anzahl der möglichen Hosts in einem Netzwerk ermitteln. Über
die Anzahl der binären „0“ wird die Anzahl der zur Verfügung stehenden IPAdressen im betreffenden Netzwerk ermittelt.
Subnetmask
255.
255.
255.
11111111.11111111.11111111.00000000
0
8 x „0“
Bei der Subnetzmakse 255.255.255.0 umfasst das Netzwerk 28 = 256 IP-Adressen.
Davon dürfen 2 Adressen nicht verwendet werden: die niedrigste, dieses ist die
Netzadresse, und die höchste, dieses ist die Broadcastadresse.
Netzadresse
Broadcastadresse
192.168.1.0
192.168.1.255
Es bleiben also 254 IP-Adressen übrig, die an Hosts vergeben werden können:
192.168.1.1 bis 192.168.1.254.
Formel: Berechnung der Netzwerkgröße
Anzahl Hosts = (2 Anzahl_der_Host_Bit ) - 2
Anmerkung:
Eine andere übliche Form zur Darstellung der Subnetzmaske erfolgt über die
Schreibweise der IP-Adresse.
Beispiel:
192.168.5.33/24
/24 kennzeichnet die Anzahl der „1“-Netzbit in der Subnetzmaske.
49
3.3.4. Netzwerkklassen (Netz-Klassen)
Die IP-Adressen werden in 5 Klassen eingeteilt, die mit Klasse A, Klasse B,
…,Klasse E bezeichnet werden. In jeder Klasse haben die Netz-ID und die Host-ID
unterschiedliche Gewichtungen. Jede dieser Klassen beinhaltet unterschiedliche
Netzwerkgrössen.
Klasse A Netze sind Netze mit einer großen Anzahl an Stationen. Das oberste Bit ist
immer 0. Der theoretische Adressbereich reicht von 0.0.0.0 bis 127.255.255.255. Der
effektive Adressbereich reicht von 1.0.0.1 bis 126.255.255.254. Insgesamt sind also
nur 126 Klasse A Netze möglich. Das ergibt eine rechnerische Anzahl von
16.774.214 möglichen Stationen pro Netz.
Klasse B Netze sind Netze mit einer mittleren Anzahl von Stationen. Die
höherwertigsten beiden Bit sind immer 10. Der theoretische Adressbereich reicht von
128.0.0.0 bis 191.255.255.255. Der effektive Adressbereich reicht von 128.0.0.1 bis
191.255.255.254. Insgesamt sind nur 16.384 Klasse B Netze möglich. Das ergibt
eine rechnerische Anzahl von 65.534 mögliche Stationen pro Netz.
Klasse C Netze sind Netze mit einer kleinen Anzahl an Stationen. Die
höherwertigsten 3 Bit sind immer 110. Der theoretische Adressbereich reicht von
192.0.0.0 bis 223.255.255.255. Der effektive Adressbereicht reicht von 192.0.0.1 bis
223.255.255.254. Insgesamt sind 2.097.152 Klasse C Netze möglich. Das ergibt
eine rechnerische Anzahl von 254 Stationen pro Netz.
Klasse D und Klasse E haben für den Anwender keine Bedeutung.
Anmerkung: Klasse A und B Netze werden häufig in weitere Subnetze unterteilt.
32 Bit Adresse
231
Klasse A
0
Klasse B
10
Klasse C
110
Klasse D
1110
Klasse E
11110
7 Bit Netz-Id
20
24 Bit Host-ID
14 Bit Netz-Id
16 Bit Host-ID
21 Bit Netz-ID
8 Bit Host-ID
28 Bit Multicast Group-ID
Reserviert für spätere Verwendung
Besondere Adressklasse: (siehe später im Kapitel)
Loopback
01111111
Bild 10: Netzwerkklassen
Nur die Netzwerkklassen A, B und C stellen Subnetze (Netzbereiche) zur Verfügung.
50
Klasse
A
B
C
Netzanteil
1 Byte
2 Byte
3 Byte
Hostanteil
3 Byte
2 Byte
1 Byte
Adressen
von
1.x.x.x
128.0.x.x
192.0.0.x
Subnetzmaske
bis
126.x.x.x
191.255.x.x
223.255.255.x
255.0.0.0
255.255.0.0
255.255.255.0
Bild 11: Adressebereiche der Netzwerkklassen
-
höherwertigstes Bit = 0
Netzanteil umfasst 1 Byte, Hostanteil 3 Byte
Netzadressen von: 0.0.0.0 bis 126.0.0.0
(Die 127 ist für die Loopbackadresse reserviert)
7 Bit für unterschiedliche Netzadressen, 24 Bit
Hostadresse
Anzahl Netze: 27 - 1 = 126
Anzahl Hosts pro Netzwerk: 224 – 2 = 16.777.214
Klasse B
-
höherwertigste 2 Bit = 10
Netzanteil umfasst 2 Byte, Hostanteil auch 2 Byte
Netzadressen von: 128.0.0.0 bis 191.255.0.0
14 Bit unterschiedliche Netzadressen, 16 Bit Hostadresse
Anzahl Netze: 214 = 16.384
Anzahl Hosts pro Netzwerk: 216 – 2 = 65.534
Klasse C
-
höherwertigste 3 Bit = 110
Netzanteil umfasst 3 Byte, Hostanteil 1 Byte
Netzadressen von : 192.0.0.0 bis 223.255.255.0
21 Bit für unterschiedliche Netzadressen, 8 Bit
Rechneradresse
Anzahl Netze: 221 = 2.097.152
Anzahl Hosts pro Netzwerk = (28 ) – 2 = 254
Klasse A
-
Klasse D
-
höherwertigste Bit = 1110
Adressbereich: 224.0.0.0 bis 239.255.255.255
IP-Multicasts
Mit Hilfe von Multicastadressen werden Datagramm an
mehrere Hosts gesendet, die zu einer Multicastgruppe
gehören
- höherwertigste Bit = 1111
- Adressbereich: 240.0.0.0 aufwärts
- Reserviert
Bild 12: Die Netzwerkklassen im Detail
Klasse E
Hinweise:
Jeweils die erste und letzte Adresse einer Netzwerkklasse sind als
Netzwerkadresse bzw. Broadcastadresse reserviert.
Æ Bei der Vergabe von Hostadressen dürfen nicht alle Bit der Hostkennung auf „0“
oder „1“ gesetzt werden.
51
3.3.4.1 Spezielle reservierte Adressen
Innerhalb des 32-Bit Adressbereiches sind eine Reihe von Adressbereichen bzw.
auch einzelne Adressen für spezielle Zwecke reserviert:
•
Broadcast-Adressen
Eine Broadcast-Adresse dient dazu, ein bestimmtes Datenpaket an alle
Rechner eines Netzwerkes zu versenden. Alle Bit für den Hostanteil werden
dazu auf „1“ gesetzt.
•
Netzdresse
Alle Bit für den Hostanteil werden dazu auf „0“ gesetzt.
Beispiele:
Netzadresse
192.168.1.0
135.107.0.0
•
Broadcast
192.168.1.255
135.107.255.255
Kommentar
Nicht geroutetes (privates) Klasse C Netz
Klasse B Netzwerk
Loopback – Adressen 127.x.x.x
Ein Loopback ist eine Schleifenschaltung. Hierbei sind Sender und Empfänger
identisch. Loopbacks können dazu benutzt werden, um die Erreichbarkeit
eines Ziels zu prüfen. Das Internet Protocol (IP) spezifiziert ein LoopbackNetzwerk. Speziell reservierte IP-Adressen sind der Adressraum von
127.0.0.1 bis 127.255.255.254, wobei meist 127.0.0.1 genutzt wird. Die
meisten IP-Umsetzungen unterstützen eine Loopback-Schleife, wobei
sämtliche Pakete, die ein Computerprogramm an diese Adresse sendet, an
denselben Computer adressiert sind. Der Standard für Domain Namen dieser
Adressen ist localhost. Die Loopback-Schnittstelle wird unter anderem von
Client-Software benutzt, um mit einem Server auf demselben Computer zu
kommunizieren. Da für Loopback kein physikalischer Netzwerkanschluss nötig
ist, ist eine Loopback recht hilfreich, um verschiedene Dienste zu prüfen.
Beispiel: Anwendungen für Loopback-Schnittstelle:
http://127.0.0.1 Æ URL zum Aufruf des lokalen Webservers
•
localhost
Die vordefinierte Adresse 127.0.0.1 bezeichnet den lokalen Rechner
(“localhost”): diese Adresse kann zur Kommunikation zwischen
Anwendungsinstanzen auf demselben IP-Knoten eingesetzt werden, ohne
dass die IP-Adresse der Netzschnittstelle des IP-Knotens bekannt sein muss
(bzw. ohne dass dieser überhaupt an ein Netz angeschlossen sein muss).
Diese IP-Adresse kann zum Testen verwendet werden, ob TCP/IP korrekt
installiert und konfiguriert wurde (korrekte Funktion des TCP/IP-Stacks).
Beispiel:
ping localhost Æ Prüfmethode zur korrekten Funktion des TCP/IP-Stacks
ping 127.0.0.1
•
private – nicht öffentliche - Adressen
Spezielle Adressbereiche sind privaten Netzen zugeordnet. Diese IPAdressen dürfen nicht im Internet zur Adressierung verwendet werden.
52
3.3.4.2 Private IP-Adressbereiche
Die Verwaltung von IP-Adressen unterliegt einer zentralen Organisation, dem
Network Information Center (NIC). Will man sich mit dem Internet verbinden, benötigt
man eine feste IP-Adresse, einen IP-Adressraum oder eine dynamisch von einem
Provider zugewiesene IP-Adresse. Speziell für kleine oder große private Netze
(nicht-öffentliche Netze = Intranets) gibt es Adressräume, die im Internet nicht
verwendet werden dürfen und frei genutzt werden können.
Klasse
A
B
C
Subnetzmaske
255.0.0.0
255.255.0.0
255.255.255.0
Von
10.0.0.0
172.16.0.0
192.168.0.0
bis
10.255.255.255.255
172.31.255.255
192.168.255.255
Bild 13: Private IP-Adressbereiche, dürfen im Internet nicht verwendet werden
Diese IP-Adressbereiche dienen zur ausschließlichen Nutzung in privaten IP-Netzen.
Die privaten Adressbereiche können unabhängig voneinander beliebig oft genutzt
werden, z.B. intern in Unternehmensnetzen. Die Adressvergabe wird hier nicht global
koordiniert. IP-Pakete für diese Adressen werden von einem Router im globalen
Internet auch nicht weitergeleitet, so dass die einzelnen privaten Netze
gegeneinander isoliert bleiben.
Lokale Netze, die im Internet nicht gesehen werden sollen, benötigen keine
einmalige, unverwechselbare Adresse. Deshalb wurden für diese Netze spezielle
Adressbereiche reserviert.
Adressen aus diesen Bereichen dürfen öffentlich nicht verwendet werden. Diese
Adressen werden im Internet auch nicht geroutet.
53
3.3.5 Das IP-Paketformat
Das IP-Datenpaket besteht aus einem Header (Kopf) und dem Bereich, in dem sich
die Nutzdaten befinden. Der Header ist den Nutzdaten vorangestellt. Der Header ist
jeweils in 32 Bit-Blöcke (4 Byte) unterteilt. Dort sind Angaben zu Servicetypen,
Paketlänge, Sender- und Empfängeradresse abgelegt. Ein IP-Paket muss
mindestens 20 Byte Header und 8 Byte Nutzdaten bzw. Nutz- und Fülldaten
enthalten. Die Gesamtlänge eines IP-Paketes darf 65.535 Byte nicht überschreiten.
Je nach Datenmenge und Übertragungsverfahren auf der Bitübertragungsschicht
müssen die Nutzdaten in mehrere IP-Pakete aufgeteilt, fragmentiert, werden.
Bild 14: Aufbau des IP-Paketes
Bedeutung der Felder im IP-Header
Version
Die ersten vier Bit des Headers geben die Versionsnummer
des IP-Protokolls an. Für IPv4 steht hier eine “4”
IHL
(IHL = Internet Header Length) gibt die Länge des IP-Headers
als Vielfaches von 32 Bit-Worten an. Der Maximalwert von Binär
1111(dez. 15) entspricht einer Header-Länge von 15 x 32 Bit = 60
Byte
Type of
Service
(TOS)
Legt die Qualität des angeforderten Dienstes fest. Das Feld
unterteilt sich in Priorität von 3 Bit und Eigenschaften für die
Übertragung von 5 Bit
Total Length
(Paketlänge)
Paketlänge, enthält die Gesamtlänge des IP-Paketes (max.
65.535). Abzüglich des IHL ergibt sich die Länge der reinen
Nutzdaten.
54
Identification
(Kennung)
Der Wert wird zur Nummerierung der Datenpakete verwendet. Die
Kennung ist eindeutig und fortlaufend. Die eindeutige Nummer ist
für die Zuordnung der Fragmente zu einem Paket notwendig.
Æ zur Reihenfolgeermittlung
Flags
Da die Nutzdaten in der Regel nicht in ein IP-Paket hineinpassen,
werden die Daten zerlegt und in mehrere IP-Pakete verpackt und
verschickt. Man spricht dann von Fragmentierung.
Die Flags dienen zur Steuerung der Fragmentierung
Fragmentierung zulassen/nicht zulassen, letztes Fragment/weitere
Fragemente folgen
1.Bit unbenutzt
2.Bit don’t fragment: = 1 bedeutet, Paket darf nicht fragmentiert
werden
3.Bit more fragments
= 1 weitere Fragmente folgen
= 0 nicht fragmentiert oder letztes Fragment
Fragment
Offset
Enthält ein IP-Paket fragmentierte Nutzdaten, steht in diesem Feld
die Position der Daten im ursprünglichen IP-Paket
Time to Live
Das Time-to-Live (TTL)-Feld dient der Vermeidung von endlos im
Internet kreisenden Paketen (und damit ebenfalls der Robustheit
des Netzes). Es wird vom Absender eines IP-Paketes auf einen
von ihm festzulegenden Wert gesetzt. Auf dem Weg durch das
Internet verringert jeder Router den Wert dieses Feldes um “1”
(und ändert die Prüfsumme entsprechend). Erreicht das TTL-Feld
den Wert 0, so wird das Paket verworfen. In diesem Fall wird der
Absender allerdings hierüber benachrichtigt.
Allgemein sind TTL-Werte zwischen 30 und 64.
Wozu?
Maßnahme gegen Schleifen
- sind bei Fehlkonfigurationen möglich
- jeder Router dekrementiert TTL-Feld
- Pakete mit TTL=0 werden verworfen
- Der verwerfende Router sendet Fehlermeldung an den
Absender
Anwendung:
- ermitteln der Route auf einem Weg durch das Netz
- durch Test-Pakete mit TTLs 1,2,3,…
- und warten auf Fehlermeldungen
- Programme: traceroute (Ubuntu) bzw. tracert.exe
(Windows)
Protocol
Das zu übertragende Protokoll. Angabe des nächst höheren
Protokolls
- TCP (6)
55
-
UDP (17)
Header
Checksum
Enthält eine 16-Bit-Prüfsumme nur über die Felder des IPHeaders, inklusive eventueller Optionsfelder, aber ohne die
Nutzdaten. Es wird verwendet, um bei der Übertragung im IPHeader vielleicht aufgetretene Bitfehler zu erkennen. Wird ein
solcher Fehler erkannt, wird das IP-Paket einfach verworfen, um
eine Bearbeitung auf der Basis fehlerhafter Informationen zu
vermeiden. Der Sender des Paketes erfährt davon nichts
Source IP
Address
Destination IP
Address
Options
Quell-IP-Adresse, Absender Adresse
Ziel-IP-Adresse, Empfänger Adresse
Weitere Optionen möglich, werden aber nicht genutzt
Die Felder Identification, Flags und Fragmentation Offset dienen der Aufteilung
eines IP-Datagramms auf mehrere IP-Pakete zur Übertragung über ein Netz. Als
Voraussetzung dafür, dass ein IP-Paket fragmentiert werden kann, weist der
Absender dem Paket im Feld Identification einen 16-Bit-Bezeichner zu: Dies
ermöglicht es dem Empfänger später, Fragmente unterschiedlicher Datagramme
voneinander zu trennen (und jeweils nur die zueinander passenden
zusammenzusetzen).
56
3.3.6 Routing
Sollen Datenpakete versendet werden, ist es entscheidend, ob sich die
Empfängerstation im gleichen Teilnetz befindet oder nicht. Liegt die Empfangsstation
im gleichen Netz, kann das Datenpaket direkt zugestellt werden. Befindet sich das
Datenpaket in einem anderen Netz, wird das Datenpaket an ein spezielles Gerät,
Router genannt, geschickt, der es dann in das entsprechende Netzwerk weiterleitet.
Zwei Netzwerke mit unterschiedlichen Netwerkadressen können über einen Router
miteinander verbunden werden. Dazu muss der Router entsprechend konfiguriert
werden. Der Router muss allerdings wissen, wohin er das Paket senden soll. Die
Konfiguration eines Routers ist keine triviale Angelegenheit und nicht Bestandteil
dieses Seminar. Zu einem Netzwerk können auch mehrere Router gehören. Ebenso
ist es möglich, dass ein Router die Verbindung zu mehreren Netzwerken herstellen
kann.
Bild 15: Prinzip Routing
Lokale „Post“ kann direkt zugestellt werden, andere „Post“ wird zu einem Verteiler,
Router, gesendet, der sich um den weiteren Versand kümmert.
Der IP - Routingprozess
Die sendende Station muss die Entscheidung treffen, ob die „Post“ direkt zugestellt
werden kann, oder an den Router geschickt werden muss, der diese dann
weiterleitet. Die Sendestation ermittelt dazu anhand der Ziel-IP-Adresse und der
Subnetzmaske, ob sich die Zielstation im lokalen Netz befindet oder nicht. Lokale
„Post“ wird direkt adressiert.
Etwas technischer formuliert bedeutet dies:
Soll ein Datenpaket versendet werde, muss der zu sendende Host eine RoutingEntscheidung treffen. Eine Route ist ein Weg durch ein Netz (evt. über mehrere
Netzwerke) zu einem Zielhost. Routing-Entscheidungen werden vom Internet
Protocol (IP) durchgeführt. IP ermittelt dazu den Netzwerkanteil (Netzadresse) des
57
Zielhosts, um das Zielnetz zu bestimmen. IP sucht diese Netzadresse in der lokalen
Routing-Tabelle des Rechners. Ist kein passender Eintrag vorhanden, wird der
default-Eintrag gewählt.
Bezogen auf ein einfaches Heimnetz ist der Router bereits im „DSL-Router“
integriert. Damit dieser auch seine Aufgabe übernehmen kann, muss er in der IPKonfiguration der Station als so genanntes „Standardgateway“ (Default-Router)
eingetragen werden.
Situation: Einfaches kleines Firmennetz mit einem Router. Die Rechner haben nur
eine Netz-Schnittstelle.
Entscheidungsablauf auf einem Rechner oder Router ...
IP-Paket soll an Zielhost
verschickt werden
Zielnetz bestimmen
nein
Zielnetz
lokal?
nein
Zielnetz
in
Routing-
ja
Paket direkt an
Empfänger senden
nein
Default
Route
definiert?
ja
Fehlermeldun
g an Absender
ja
Paket an den
angegebenen
Router senden
An den Default
Router senden
Bild 16: IP-Routingprozess – Entscheidungsablauf auf einem Rechner oder Router
Fazit: Auf dem Rechner sollte ein Standardweg (Default Route) für unbekannte Ziele
konfiguriert werden.
58
Zusammenfassung Internet Protocol (IP)
•
•
•
•
•
•
•
•
•
•
Jede IP-Adresse hat einen Netz- und einen Hostanteil
Der Netzanteil identifiziert das Netzwerk, der Hostanteil den Host
Netzanteil und Hostanteil werden durch die Subnetmask (Netzmaske)
bestimmt.
Alle Teile der Subnetzmaske, die mit 1 in der binären Darstellung belegt sind,
stellen den Netzanteil dar, die Nullen den Hostanteil.
Die „1“ in der Subnetzmaske müssen durchgehend sein
Durch eine bitweise UND-Verknüpfung zwischen IP-Adresse und der
Subnetzmaske wird die Netzadresse ermittelt.
Die niedrigste Adresse im Netz ist die Netzadresse, diese darf nicht an einen
Host vergeben werden.
Die höchste Adresse im Netz ist die Broadcast-Adresse. Sie darf nicht an
einen Host vergeben werden.
Die Anzahl der Hosts in einem Netz ist (2Anzahl_der_Host_Bit) - 2
Nur Computer, die sich im gleichen Netzwerk befinden, können sich ohne
weitere Hilfsmittel gegenseitig „sehen“, also Daten miteinander austauschen.
59
3.4. Die Transportschicht (Transport Layer)
Über der Internetschicht (IP) liegt die Transportschicht mit den Protokollen TCP
(Transmission Control Protocol) und UDP (User Datagram Protocol). TCP ist
verbindungsorientiert und UDP verbindungslos.
Es folgt ein kurzer Überblick zu TCP und UDP, bevor die beiden Protokolle etwas
näher betrachtet werden.
•
TCP Æ verbindungsorientiert
Zwischen zwei vernetzten Rechnern wird eine feste Verbindung aufgebaut.
Die Verbindung bleibt so lange bestehen, bis alle Daten übertragen sind. Dies
ist für große Datenmengen geeignet. Die an der Übertragung beteiligten
Programme sind die ganze Zeit aktiv, bis die Übertragung abgeschlossen
wird. TCP garantiert eine sichere Übertragung.
Beispiel: HTTP, FTP
•
UDP Æ verbindungslos
Hierbei wird keine feste Verbindung aufgebaut. Die beteiligten Programme
kommunizieren nicht permanent. Diese Art der Datenübertragung wird
vorzugsweise für kleinere Datenmengen verwendet (z. B. bei DNS-Anfragen
oder Zeitsynchronisierung mit NTP). UDP garantiert keine sichere
Übertragung. Anwendungen, die UDP verwenden, müssen über eigene
Korrekturmaßnahmen für verlorene oder in falscher Reihenfolge eingetroffene
Pakete verfügen, da das UDP-Protokoll selbst nicht über diese Fähigkeiten
verfügt.
Beispiel: Der Client sendet eine Anfrage an den Server. Wird die Anfrage nicht
beantwortet, wiederholt der Client nach einem bestimmten Zeitintervall die
Anfrage, bis er eine Antwort erhält. Trifft innerhalb einer festgelegten Zeit
keine Antwort ein, wird eine Timeout-Meldung produziert.
Der Server sendet die Antwort, ohne sich darum zu kümmern, ob diese auch
den anfragenden Host erreicht.
Beispiel: DNS, NTP
•
Wer legt fest, ob TCP oder UDP verwendet wird?
Das Protokoll auf der Anwendungsschicht bestimmt, ob es sich um eine
verbindungsorientierte oder eine verbindungslose Übertragung handelt:
Æ siehe Abschnitt: Anwendungsschicht
60
3.4.1 TCP (Transmission Control Protocol)
In der TCP/IP-Protokollfamilie übernimmt TCP als verbindungsorientiertes Protokoll
die Aufgabe der Datensicherheit, der Datenflusssteuerung und ergreift Maßnahmen
bei einem Datenverlust. Die Funktionsweise von TCP besteht darin, den Datenstrom
von den Anwendungen aufzuteilen, mit einem Header zu versehen und an das
Internet Protocol (IP) zu übergeben. Beim Empfänger werden die Datenpakete
sortiert und wieder zusammengesetzt.
In Bild 17 sind die Aufgaben und Funktionen von TCP dargestellt.
•
•
•
•
•
•
•
•
•
•
gesicherte Übertragung
Multiplexen von Verbindungen Æ gleichzeitiger Zugriff auf die
Transportschicht
von mehreren Anwendungen
Ende-zu-Ende-kontrollierte Verbindung
- Quittung
- Wiederholung von Paketen
Verbindungsmanagement
- Verbindungsaufbau
- Datenübertragung
- Verbindungsabbau
Flusskontrolle Æ Durchnummerierung der Datenpakete
Zeitüberwachung der Verbindung
- Quittierung der Daten nach einer festgelegten Zeit, sonst Wiederholung
Fehlerbehebung
- Überprüfung der Daten
- Weiterleitung von Fehlermeldungen
- Anforderung von fehlenden Paketen
Socket-Konzept
- dient der eindeutigen Identifikation eines Dienstes auf einem Rechner
Prozess – Port
- auf einem Rechner durch eindeutige Portnummer identifiziert
Formal
- eine TCP-Verbindung wird durch eine 5 Werte (Tupel) charakterisiert:
{Protokoll; lokale Adresse; lokaler Port; entfernte Adresse; entfernter Port}
Beispiel:
Bild 17: Aufgaben und Funktionen von TCP
61
Jedes Datenpaket, das TCP an IP weiterreicht, wird ein Header vorangestellt, der u.
a. die folgenden Informationen enthält:
•
•
•
•
•
Sender Port (Source Port)
Empfänger-Port (Destination Port)
Paket-Reihenfolge (Sequence Number)
Prüfsumme (Checksum)
Quittierungsnummer (Control)
Das nachfolgende Bild zeigt den Aufbau des TCP-Pakets.
0
31
Source Port
Destination Port
Sequence Number
Acknowlegment Number
DO
Reserved Control
Checksum
Window Size
Urgent Pointer
Options
Padding
Daten
Bild 18: Aufbau des TCP-Rahmens
Source Port
Sendeport des Prozesses des Absenders
Destination Port Zielport, für welchen Prozess die Daten bestimmt sind
Sequence
Number
Acknowlegment
Number
DO
Fortlaufende Nummerierung der Datenpakete
Reserved
Nicht benutzte Felder
Control
Flags für den Auf- und Abbau von Verbindungen
- URG = 1
markiert Vorrangdaten Urgent Pointer beachten
- ACK = 1
bestätigt den Empfang von Daten
- Push = 1
sofortige Weiterleitung der Daten (bei Telnet
immer 1)
Angaben, welche Datenpakete (Sequence number) empfangen
wurden
Data Offset: Beginn des Datenfeldes
62
- RST = 1
- SYN = 1
- FIN = 1
Sender will die Verbindung beenden
Verbindung soll synchronisiert werden
Verbindung ist abgebaut
Window Size
Rahmen der Datenpakete, die nicht bestätigt werden müssen
Checksum
TCP-Headerüberprüfung
Urgent Pointer
Anzeige für den Vorrang der Daten
Ports
Wie bereits zu Beginn dieses Kapitels erwähnt, wird jeder auf einem Rechner
laufenden Netzanwendung eine zusätzliche Nummer – ein sogenannter Port –
zugeordnet. Auf diese Weise ist es möglich, dass mehrere Netzanwendungen
gleichzeitig auf einem System laufen. Mehrere Anwendungen können so gleichzeitig
über das Netzwerk Verbindungen zu ihren Kommunikationspartnern aufbauen. Die
unterschiedlichen Datenströme werden durch Ports voneinander getrennt.
Datenpakete, die über IP ihr Ziel erreichen, werden von TCP zusammengesetzt und
über die Port-Nummer an eine Anwendung übergeben. Dieser Port wird ständig von
der laufenden Anwendung, auch Prozess oder Dienst genannt, abgehört.
Die Port-Nummer kann Werte zwischen 0 und 65535 annehmen. Ein Teil der Ports
ist vergeben und fest einer Anwendung, Dienst oder einem Protokoll zugeordnet. Sie
liegen zwischen 0 und 1023. Die Verwaltung dieser Ports übernimmt die Internet
Assigned Numbers Authority (IANA).
PortNum
mer
Dienst
Beschreibung
20
FTP-Data
Dateitransfer (Datentransfer vom Server zum
Client)
21
FTP
Dateitransfer (Initiierung der Session und
Senden der FTP-Steuerbefehle durch den
Client)
22
SSH
Secure Shell
25
SMTP
E-Mail-Versand
80
HTTP
Webserver
(Protokoll)
63
110
POP3
Client-Zugriff für E-Mail-Server
123
NTP
Zeitsynchronistion zwischen Computern
443
HTTPS
Verschlüsselte Webserver Übertragung, meist
mit SSL- oder TLS-Verschlüsselung
Bild 19: Beispiele bekannter Ports
64
3.4.2. UDP (User Datagram Protocol)
Das User Datagram Protocol (UDP) ist ein minimales verbindungsloses Protokoll.
Im Gegensatz zu TCP wird die Datenübertragung nicht gesichert. Dafür ist es
wesentlich schlanker und ermöglicht eine schnellere Datenübertragung.
Wesentliche Eigenschaften von UDP sind:
•
•
•
•
•
Ungesichertes Transportprotokoll
Effizienter als TCP im LAN-Bereich
Keine Flusskontrolle
Anwendung muss Datenverluste selbst behandeln
Einsatz für Multimedia-Anwendungen
31
0
Source Port
Destination Port
Length
Checksum
Daten
Bild 20 : Aufbau des UDP-Rahmens (UDP-Frame)
Source Port
Quell-Port, Port-Nummer des sendenden Prozesses
(optional)
Destination Port
Ziel-Port, Adresse des Empfängerports, gibt an, welcher
Prozess das Paket empfangen soll
Längenfeld, Länge des gesamten UDP-Frames
Length
Checksum
Daten
Prüfsummenfeld, Checksumme des UDP-Header, wenn die
anderen Systeme dieses Feld unterstützen
UDP-Daten, Nutz-Daten für die höheren Protokolle
Max. ca. 64 kByte
65
3.5 Die Anwendungsschicht (Application Layer)
Die Programme der Anwendungsschicht verwenden die darunterliegenden
Protokolle, um über das Netz zu kommunizieren. Es handelt sich meist um Client/Server-Anwendungen. Diese Programme arbeiten mit Ports. Dies ist ein Zusatz zum
Protokoll, der die Anwendung identifiziert. Eine HTTP-Verbindung kommuniziert z. B.
standardmäßig auf Port 80, Mail mit SMTP auf Port 25 und POP3 auf Port 110.
Bei solch einer Client-/Server-Anwendung wird die Kommunikation im Allgemeinen
vom Client eröffnet. Der Server „horcht“ an einem bestimmten Port. Der Client nimmt
eine Verbindung zum Server auf, initiiert also die Verbindung. Dazu verwendet er
einen Port > 1024 und tritt mit dem betreffenden Port des Servers in Verbindung.
Danach geht die Initiative an den Server über. Dieser verbindet sich jetzt über seinen
Port mit dem Port des Clients.
Beispiel: HTTP-Kommunkation zwischen Client (Browser) und Server (Webserver)
HTTP-Client
(Browser, z. B. Firefox)
Port 1047
HTTP-Server
(Webserver, z.B. Apache)
Initiierung
---------------------------->
Port 80
Antwort
Port 1047
<---------------------------
Port 80
Für jede Kommunikation bilden sich dann Paare aus der IP-Adresse und der
Portnummer. Diese Paare werden Sockets genannt und bilden die Endpunkte der
Kommunikation.
3.5.1. Protokolle der Anwendungsschicht basierend auf TCP
ssh
Port 22/tcp
ftp
Ports 20/
tcp, 21/tcp
Secure Shell
• Sicherer Zugriff auf entfernte Rechner. Authentifizierung
und Datenübertragung erfolgen verschlüsselt
• Wirkt wie ein angeschlossenes Terminal
File Transfer Protocol
• Datenübertragung von/zu einem entfernten Rechner
• Arbeitet mit 2 Ports
• Aktiver Modus: Port 21 Kommandos (Steuerport)
66
•
smtp
Port 20 Daten
Passiver Modus: Datenport > 1023 wird ausgehandelt
Simple Mail Transfer Protocol
• Elektronische Post zum Versenden von E-Mail
Port 25/tcp
http
Port 80/tcp
https
Port 443/tcp
pop3
Port 110/tcp
imap
Port 143/tcp
nntp
Hyptertext Transfer Protocol
• Das World Wide Web (WWW), zum Übertragen von
Webseiten, die mit der Seitenbeschreibungssprache (x)html
formatiert sind.
Hypertext Transfer Protocol Secure
• Verschlüsselt die Daten und bietet damit eine höhere
Sicherheit gegenüber http
Post Office Protocol
• Zum Abholen der E-Mails vom Mail-Server. Aufgrund seiner
Beschränkungen erlaubt es nur die E-Mail abzuholen oder
auf dem Server zu löschen.
Æ wird zunehmend durch imap abgelöst
Internet Message Access Protocol
• Zum Abholen und Verwalten von E-Mails im Netz. Im
Gegensatz zu POP3 können die E-Mails auf dem Server
verbleiben. Dies ermöglicht dann den Zugriff mit
unterschiedlichen Rechnern auf dasselbe Postfach
Network News Transfer Protocol
• Dieses Protokoll wird von Newsgroups verwendet
Port 119/tcp
3.5.2. Protokolle der Anwendungsschicht basierend auf UDP
ntp
Port 123/udp
dns
Port
53/udp/tcp
Network Time Protocol
• Über dieses Protokoll können Hosts die genaue Zeit
von hochpräzisen Zeitgebern, wie z. B. der
Physikalisch-Technischen Bundesanstalt (PTB)
empfangen
Domain Name System
• Zur Namensauflösung, übersetzen von Domain-Namen in
IP-Adressen (forward lookup) bzw. umgekehrt IP-Adressen
in Domain-Namen (reverse lookup)
Hinweis: Abhängig von der Paketgröße wird udp bzw. tcp
verwendet
67
3.6 ARP (Address Resolution Protocol)
Das ARP-Protokoll übermittelt dem Internet Protocol (IP) die 48 Bit (6 Byte, 12 HexZiffern) lange Hardwareadresse (MAC-Adresse) der Netzwerkkarte. ARP legt dabei
eine Tabelle aller bekannten Hardwareadressen im LAN an. Diese Tabelle steht IP
für die Datenübermittlung zur Verfügung.
•
•
Zielrechner
IP: 192.168.1.117
MAC: 08:00:20:97:1f:60
Finden der MAC-Adresse zu einer IP-Adresse
Vorgehen:
- Ausgangsrechner: Broadcast senden mit Inhalt
… eigene IP-Adresse
… eigene MAC-Adresse
… Ziel-IP-Adresse
… Dummy-MAC-Adresse
- Anwort vom Zielrechner (oder einem Proxy-ARP-Server) mit Inhalt
… eigene IP-Adresse
… eigene MAC-Adresse
… Quellen-IP-Adresse
… Quellen-MAC-Adresse
•
Speicherung einmal ermittelter Umsetzungen (ARP-Cache, mit
Alterungsfunktion)
•
ARP baut nicht auf IP auf
Bild 21: Funktion von ARP
PC
PC
Wer ist 192.168.1.117
PC
PC
Ausgangsrechner
PC
PC
PC
Zielrechner
IP: 192.168.1.117
MAC: 08:00:20:97:1f:60
Ich bin192.168.1.117 mit 08:00:20:97:1f:60
PC
Ausgangsrechner
68
ARP löst IP-Adressen in MAC-Adressen (Hardware-Adressen) auf.
Ethernet (IEEE 802.3) kennt keine IP-Adressen, sondern arbeitet mit MAC-Adressen
der Netzwerkkarten. Demzufolge können Daten an einen anderen Computer nur
zugestellt werden, wenn dessen MAC-Adresse bekannt ist. Die TCP/IP-Datenpakete
enthalten jedoch nur die IP-Adresse des Empfängers. Hier kommt ARP ins Spiel. Der
Sender des Paketes versendet einen ARP-Request als Broadcast. Diese Anfrage
enthält die Quell-MAC-Adresse, die Quell-IP-Adresse und die Ziel-IP-Adresse.
Alle Computer, die sich im gleichen Subnetz befinden, erhalten diese Anfrage, aber
nur der Host mit der Ziel-IP-Adresse sendet ein ARP-Reply an den Quell-Host. Der
Quell-Host kann das Paket jetzt versenden.
Damit diese Anfragen nicht jedes Mal neu versendet werden müssen, werden die
Antworten für eine gewisse Zeit im ARP-Cache beim Quell- und beim Ziel-Host
zwischengespeichert.
Auf der Kommandozeile von Windows (in einem Konsolenfenster) steht der Befehl
arp zu Verfügung, um den Inhalt des ARP-Caches einzusehen und darin Einträge zu
bearbeiten. Hierzu muss der arp-Befehl mit entsprechenden Optionen aufgerufen
werden, die der Online-Hilfe zu entnehmen sind.
Bild 22: Anzeigen des ARP-Cache auf einem Windows-Rechner in einem KonsolenFenster
Da ARP ganz vollautomatisch funktioniert und sich der ARP-Cache ständig selber
bereinigt, ist das Arbeiten mit dem Befehl arp nicht notwendig. Probleme oder Fehler
mit ARP kommen normalerweise im Netzwerk nicht vor.
69
3.7 ICMP (Internet Control Message Protocol)
Das Internet Control Message Protocol (ICMP) ist Bestandteil des Internet
Protocols (IP) und stellt quasi ein Hilfsprotokoll für IP dar. Das ICMP dient im
Netzwerk zum Austausch von Meldungen (Status- und Fehlerinformationen) über IP.
Die ICMP-Meldungen werden zwischen Rechnern und aktiven Netzknoten, wie z. B.
Router, benutzt, um sich gegenseitig Probleme mit Datenpaketen mitzuteilen.
Jeder Rechner und aktiver Netzknoten im TCP/IP-Netz beherrscht das ICMPProtokoll.
Die meisten ICMP-Pakete enthalten Diagnose-Informationen. Sie werden z. B. vom
Router zur Quelle zurückgeschickt, wenn der Router Pakete verwirft, etwa weil das
Ziel nicht erreichbar ist, die Time to Live (TTL) abgelaufen ist usw.
Der Aufbau einer ICMP-Nachricht lässt sich wie folgt darstellen:
Bit 0–7 Bit 8–15 Bit 16–23 Bit 24–31
Typ
Code
Prüfsumme
Daten (optional)
Bild 23: ICMP-Frame
Wichtige ICMP-Pakettypen
ICMP arbeitet mit verschiedenen Nachrichtentypen (Typ-Feld). Einige von diesen
besitzen auch noch ein Code-Feld, um die Nachricht genauer zu spezifizieren. Das
Feld „Typ“ gibt dabei die Klasse der ICMP-Nachricht an, das Feld „Code“ spezifiziert
die Art der Nachricht genauer.
Typ
Bezeichnung
Beschreibung
8
Echo Request („PING“)
Die Echoanforderung wird von dem Befehl
ping verwendet. Mit Hilfe dieses Befehls wird
ermittelt, ob ein Host über die angefragte IPAdresse erreichbar ist
0
Echo Reply („PONG“)
Dies ist die Antwort auf den Ping. Die Antwort
erfolgt, wenn der Zielhost auf dieser IPAdresse erreichbar ist. Da heute immer öfter
der Echo Reply von Firewalls abgeblockt
wird, sagt dies jedoch nicht unbedingt etwas
über die Erreichbarkeit des Rechners aus.
Dieser kann sehr wohl noch, z. B. auf Port 80
(HTTP) erreichbar sein.
3
Destination
Unreachable
Diese Nachricht kommt zurück, wenn ein
Router feststellt, dass der Host bzw. das
Netz nicht existiert oder außer Reichweite
liegt. Ein Host sendet diese Antwort, wenn er
70
auf dem angeforderten Protokoll oder Port
nicht ansprechbar ist.
4
Source Quench
Wenn auf einem Router die Kapazität des
Puffers nicht ausreicht, um die Pakete an
den nächsten Router bzw. den Host
weiterzureichen, wird diese Nachricht an den
Quellhost gesendet. Dies ist eine
Aufforderung, die Datenübertragunsrate zu
senken.
5
Redirect
Hierüber können alternative
Routeninformationen an einen Host
gesendet werden.
11
Time Exceeded
Wenn die TTL (Time To Live) überschritten
ist, wird das Paket vom Router verworfen
und diese Nachricht an den Quellhost
gesendet.
12
Parameter Problem
Wenn das Paket wegen Problemen mit den
Header-Parametern nicht verarbeitet werden
kann, wird diese Nachricht an den Quellhost
gesendet.
13
Timestamp Request
14
Timestamp Reply
17
Address Mask Request
18
Address Mask Reply
Bild 24: Typ-Feld, wichtige ICMP-Pakettypen
Die nachfolgende Tabelle kennzeichnet z. B. den Inhalt des Code-Feld, wenn das
„Ziel nicht erreichbar“ ist. Hierbei handelt es sich um den Nachrichtentyp 3
„Destination Unreachable“
Code-Feld
Beschreibung
0
Network unreachable
1
Host unreachable
2
Protocol unreachable
3
Port Unreachable
4
Fragmentation needed, DF set
5
Source route failed
6
Destination network unknown
7
Destination host unknown
71
8
Source host isolated
9
Communication with destination network prohibited
10
Communication with destination host prohibited
11
Network unreachable for type of service
12
Host unreachable for type of service
Bild 25: ICMP Code-Werte für den Nachrichtentyp 3 „Destination Unreachable“
Anwendung von ICMP
Die meisten Anwender kommen mit ICMP selten direkt in Kontakt. ICMP-Meldungen
werden von Netzwerkstationen verursacht, die Probleme mit IP-Paketen der
auslösenden Station mitteilen wollen.
Auch Netzwerkanalyse-Tools benutzen ICMP. Zum Beispiel stellt TCP/IP stellt auf
jedem Rechner Tools, die zur Netzwerkanalyse dienen, zur Verfügung.
Das wohl bekannteste Tool, das ICMP verwendet, ist der ping-Befehl. Hier kann die
ICMP-Nachricht sowohl eingehend als auch ausgehend sein. Wenn ein Host ein
PING versendet (Quellhost), erhält er einen PONG als Antwort von dem Rechner
(Host), der „angepingt“ wurde (Zielhost). Für den Zielhost ist es genau umgekehrt. Er
empfängt einen PING (eingehend) und versendet einen PONG (ausgehend).
Ein zweites Netzwerkanaylse-Tool ist traceroute (unter Linux) bzw. tracert.exe
(unter Windows), mit dem ermittelt werden kann, über welche Router Datenpakete
bis zum Ziel-Rechner vermittelt werden. Es handelt sich hierbei um ein Tool zur
Routenverfolgung.
72
Funktionen
• Test der Netzfunktionalität
- Echo Request
- Echo Reply
- mit ping-Kommando
•
Fehlermeldungen
- Destination unreachable (vom Router)
- Source quench (vom Router bei Überlastung)
- Redirect (vom Router: anderen Router benutzen)
- Time Exceeded (TTL war 0)
- Parameter Problem (Formatfehler im Header)
•
Informationsdienste
- Information request/reply (IP-Adresse für sich selbst erfragen)
- Address mask request/reply (Subnetmaske erfragen)
- Timestamp request/reply (Zeitmarkierung)
•
Allgemein: Fehler- und Kontroll-Meldungen
•
Typ-Feld, Code-Feld
Bild 26: Aufgaben von ICMP
73
4 DHCP ( Dynamic Host Configuration Protocol)
Lernziele:
• Funktionsprinzip von DHCP verstehen
• Aufgaben und Arbeitsweise des DHCP-Servers angeben können
• Angeben können was passiert, wenn ein DHCP-Client keinen DHCP-Server
erreicht
• Konfigurationsparameter des DHCP-Servers angeben können
• Grundkonfiguration des DHCP-Servers durchführen können
4.1
Grundlagen
Um ein TCP/IP-Netzwerk aufzubauen, ist es notwendig, jede einzelne Station zu
konfigurieren. Dazu benötigt jeder Rechner mindestens eine eindeutige IP-Adresse
und eine Subnetzmaske, um mit den anderen Geräten im gleichen Netzwerk zu
kommunizieren. Hinzu kommen gewöhnlich die Adressen vom Standardgateway
und von den Namensservern (DNS-Server). Bei größeren Netzwerken ist die
Planung, Konfiguration und Pflege sehr aufwendig.
Um diesen Aufwand zu reduzieren, wird ein zentraler Serverdienst (DHCP-Server)
für die vollautomatische Konfiguration von TCP/IP verwendet.
Schon in einem kleineren Netzwerk lohnt es sich, die Adressenvergabe durch einen
zentralen DHCP-Server zu steuern. Vorteile: Die Pflege ist weniger zeitaufwendig,
da keine Arbeiten an den einzelnen Clients erforderlich sind. Adresskonflikte gehören
der Vergangenheit an, da der DHCP-Server die Vergabe der IP-Adressen zentral
steuert.
Funktionsprinzip von DHCP
DHCP-Discover
DHCP-Offer
DHCPServer
DHCP-Client
DHCP-Request
DHCP-Ack
Bild 1: Funktionsprinzip von DHCP
DHCP ist eine Client-Server-Architektur. Der DHCP-Server verfügt über einen Pool
von IP-Adressen, die er den DHCP-Clients frei zuteilen kann. Über einen
mehrstufigen Prozess (DHCP-Discover, DHCP-Offer, …) erhält der DHCP-Client
74
vom DHCP-Server für einen bestimmten Zeitraum (Lease Time) dynamisch eine IPAdresse mit Subnetzmaske zugewiesen.
Auf Wunsch überträgt der DHCP-Server weitere Parameter wie zum Beispiel
Standard-Gateway und die Adressen der Nameserver (DNS-Server). Dadurch
werden weitere Fehlerquellen minimiert.
Auf dem DHCP-Server sind die Hardware-Adresse (MAC-Adresse) des Clients,
zugewiesene IP-Adresse und die Gültigkeitsdauer (Lease Time) gespeichert.
Eine zusätzliche Konfigurationsmöglichkeit des DHCP-Servers besteht darin,
bestimmten Clients immer dieselbe IP-Adressen zu vergeben, wodurch diese eine
quasi statische IP-Adresse erhalten. Dies funktioniert über eine so genannte MACAdressen-Reservierung.
4.2
Konfiguration
4.2.1 DHCP-Client
Die Konfiguration des DHCP-Clients unter Windows ist in der Regel gar nicht
notwendig. Bei der normalen Grundinstallation von Windows 2000/XP/Vista ist die
Netzwerkumgebung schon so vorkonfiguriert, dass der Client alle Informationen vom
DHCP-Server bezieht. Sofern ein DHCP-Server installiert und erreichbar ist, holt
sich das Betriebssystem die notwendigen IP-Konfigurationsdaten beim Systemstart
automatisch.
Damit der Windows-Rechner als DHCP-Client arbeitet, muss die Netzwerkumgebung
wie folgt konfiguriert werden:
Start Æ Programme Æ Systemsteuerung Æ Netzwerkverbindung Æ Kontext der
LANVerbindung Æ Eigenschaften Æ Internetprotokoll TCP/IP Æ Eigenschaften
75
Bild 2: Nutzung des DHCP Dienstes unter Windows
Die aktuelle TCP/IP-Konfiguration können Sie sich auch in einem Terminalfenster
anzeigen lassen.Mit dem Kommandozeilenbefehl ipconfig /all können die aktuellen
IP-Konfigurationsdaten angezeigt und überpüft werden.
Häufige Fehlerquelle
Wenn der PC eine Adresse aus dem Bereich 169.254.0.1 ... 169.254.255.254
erhalten hat, ist dies ein Hinweis darauf, dass der PC die IP-Adressen automatisch
beziehen möchte, hat aber keinen DHCP-Server gefunden hat.
Wenn ein auf automatische IP-Adressen-Zuweisung eingestellter PC keinen DHCPServer findet, vergibt er sich selbst eine zufällig gewählte Adresse aus dem Bereich
169.254.0.0/16. Bevor er sich endgültig für diese Adresse entscheidet, setzt er einen
ping mit der gewählten Adresse als Ziel ab. Folgt keine Antwort, geht der PC davon
aus, dass diese Adresse noch frei ist. Dieses Verfahren trägt die Bezeichnung
Automatic Private IP Addressing (APIPA).
Hinweis:
Mit den Kommandozeilenbefehlen ipconfig /release und ipconfig /renew kann
die erneute Suche nach einem DHCP-Server angestoßen werden. Voraussetzung:
Sie müssen mit Adminstratorrechten an Ihrem Windows-Rechner angemeldet
sein.
76
4.2.2 DHCP-Server
Für die automatische IP-Adressen-Vergabe ist ein so genannter DHCP-Server
erforderlich, der seinen Dienst den DHCP-Clients zur Verfügung stellt. Die Geräte
erhalten beim Booten vom DHCP-Server aus einem definierten Adressen-Pool ihre
IP-Adresse. Heutzutage bieten die meisten Hardware-DSL-Router einen DHCP
Dienst an. In der folgenden Abbildung wird die Einrichtung dieses Dienstes am
Beispiel der Fritz!Box 7170 gezeigt.
Dem DSL-Router selbst muss eine statische LAN-IP-Adresse zugewiesen werden
und es wird der IP-Adress-Pool definiert. Weitere Maßnahmen sind für die
Grundkonfiguration des DHCP-Servers nicht erforderlich.
77
4.3
DHCP-Client/Server-Kommunikation
Ein als DHCP-Client konfiguriertes Betriebssystem (bei Windows XP oder 2000
beispielsweise die Standardeinstellung) hat nach dem Start nur die Information, dass
das TCP/IP-Protokoll verwendet werden soll, mit welcher Netzwerkkarte es
verwendet werden soll und dass ein DHCP-Server alle weiteren Informationen
bereitstellt.
Der DHCP-Client muss also zunächst den DHCP-Server finden. Er startet eine
Abfrage an alle angeschlossenen Rechner des Netzwerkes und bekommt nur vom
DHCP-Server die passende Antwort, nämlich eine IP-Adresse.
Eh, wer hat mal
eine IP Adresse
für mich ???
Ich kann helfen,
hier kommt die IP Adresse. Darfs
vielleicht noch ein bisschen mehr sein
? Vielleicht Standard Gateway ?
Was geht
mich das
an ?
Client mit TCP/IP
Client mit TCP/IP
DHCP-Server
Ethernet
Puh! der
schon
wieder
Ich hab'
eigene
Sorgen
Client mit TCP/IP
Client mit TCP/IP
Bild 4: Ablauf: DHCP-Client/Server-Kommunikation
Der DHCP-Server verwaltet eine Datendatei, die zum einen die für jeden Client
gültigen Informationen enthält und zweitens einen Bereich von IP-Adressen, die für
Clients freigegeben sind. Fragt nun ein Client beim Server nach einer IP-Adresse,
stellt der Server anhand der Netzwerkkartenadresse (auch MAC-Adresse genannt)
fest, ob dieser Computer schon einmal eine IP-Adresse erhalten hat. Ist dies der Fall,
wird dem Client diese Adresse wieder zugeteilt und mit den allgemeinen
Informationen übermittelt. Ist jedoch der Client nicht bekannt oder die früher
zugeteilte Adresse in der Zwischenzeit wieder vergeben worden, wird eine freie
Adresse aus dem Pool vergeben.
78
5
DNS ( Domain Name System )
Lernziele:
Aufgaben und Funktion von DNS verstehen
Vorteile von Domain Name gegenüber IP-Adressen erkennen
Bedeutung und Auswertung von Fully Qualified Domain Name (FQDN) kennen
Wesentlich Komponenten von DNS angeben können
Erforderliche Konfigurationsparameter beim DNS-Client angeben können
5.1 Einstieg
Die Kommunikation mit einem Rechner im Internet erfolgt über die IP-Adresse. Für
den Menschen ist es jedoch nicht erstrebenswert, sich diese „Zahlenkolonne“ zu
merken. Er möchte vielmehr nur mit symbolischen Namen arbeiten. In Bild 1 sind
einige Unterschiede zwischen IP-Adresse und symbolischen Namen, die hier als
Domain Name bezeichnet werden, dargestellt.
Vergleich IP-Adresse mit Domain Name
IP-Adresse
• Die Kommunikation erfolgt über IP-Adressen
• sind für Menschen schwer zu merken
• ändern sich (zwangsläufig beim Providerwechsel)
Domain Name
• Namen sind für den Menschen einfacher zu merken und zu
verstehen z.B. www.bfe.de Æ Webserver des bfe
• Müssen zur Kommunikation in IP-Adressen umgewandelt
werden
Æ automatische Umwandlung über Domain Name Service (DNS)
Bild 1: Vergleich IP-Adresse mit Domain Name
Das Domain Name System (DNS) ist einer der wichtigsten
Dienste im Internet. Seine Hauptaufgabe ist die Beantwortung
von Anfragen zur Namensauflösung. In Analogie zu einer
Telefonauskunft soll DNS
bei Anfrage mit einem Rechnernamen (Hostname), dem
„Adressaten“ im Internet – zum Beispiel www.busch-jaeger.de
als Antwort die zugehörige IP-Adresse, die „Anschlussnummer“
– zum Beispiel 129.35.205.133
nennen.
Weitere Eigenschaften und Leistungsmerkmale von DNS
lassen sich anhand folgender Punkte darstellen:
DNS - Hierachisch verteilte Datenbank
Das DNS ist eine weltweit auf tausende von Servern verteilte
hierarchische Datenbank, die den Namensraum des Internets
verwaltet. Dieser Namensraum ist in so genannte Zonen
79
unterteilt, für die jeweils unabhängige Administratoren
zuständig sind. Für lokale Anforderungen – etwa innerhalb
eines Firmennetzes – ist es auch möglich, ein vom Internet
unabhängiges DNS zu betreiben.
Hauptfunktion von DNS – Umwandlung Domain Name in IPAdresse
Hauptsächlich wird das DNS zur Umsetzung von Domainnamen
in IP-Adressen („forward lookup“) benutzt. Dies ist vergleichbar
mit einem Telefonbuch, das die Namen der Teilnehmer in ihre
Telefonnummer auflöst. Das DNS bietet somit eine
Vereinfachung, weil Menschen sich Namen weitaus besser
merken können als Zahlenkolonnen. So kann man sich den
Domainnamen www.busch-jaeger.de in der Regel leichter
merken als die dazugehörende IP-Adresse 129.35.205.133.
Auch möglich mit DNS – Umwandlung von IP-Adresse in
Domain Name
Mit dem DNS ist auch eine umgekehrte Auflösung von IPAdressen in Namen („reverse lookup“) möglich. In Analogie
zum Telefonbuch entspricht dies einer Suche nach dem Namen
eines Teilnehmers zu einer bekannten Rufnummer, was
innerhalb der Telekommunikationsbranche unter dem Namen
Inverssuche bekannt ist.
Ein Vorteil von DNS – einfache IP-Adressenänderung
Ein weiterer Vorteil ist, dass die IP-Adressen – etwa von WebServern – relativ risikolos geändert werden können. Da
Internetteilnehmer nur den (unveränderten) DNS-Namen
ansprechen, bleiben ihnen Änderungen der untergeordneten
IP-Ebene weitestgehend verborgen. Da einem Namen auch
mehrere IP-Adressen zugeordnet werden können, kann sogar
eine Lastverteilung (Load Balancing) realisiert werden.
Ursprüngliche Aufgabe von DNS – Ablösung der Datei „hosts“
Ursprüngliche Aufgabe war es, die lokalen hosts-Dateien
abzulösen, die bis dahin für die Namensauflösung zuständig
waren und die der enorm zunehmenden Zahl von Neueinträgen
nicht mehr gewachsen waren.“
5.2 Wie ist DNS aufgebaut?
Das DNS besteht aus den drei Haupkomponenten
•
•
•
Domain-Namensraum (Domain Namespace)
Nameserver (DNS-Server)
Resolver (DNS-Client)
80
5.3 Der Domain-Namensraum
Um die Namensauflösung bei DNS zu verstehen, sollte der Aufbau des DomainNamensraum bekannt sein. Ausgehend von einer Wurzel (root), die die
Bezeichnung „.“ trägt, sind die Domains in einer baumartigen Struktur organisiert. Die
der Wurzel folgende Ebene umfasst die so genannten Top Level Domains (TLD’s).
Eine Ebene tiefer folgen die Second Level Domains, denen entweder unmittelbar
die Rechnernamen (Hostnames) folgen, oder aber eine weitere Ebene lokaler
Domains, unterhalb derer dann die Rechnernamen liegen.
DNS - Root
„.“
com
de
org
Second Level Domain
busch-jaeger
bfe
www
Top Level Domain
Hostname
www
Bild 2: Domain Namensraum
Bei den Top Level Domain wird nach geographischen und nach organisatorischen
Typen unterschieden.
Domain
.at
.ch
.de
.fr
Land
Österreich
Schweiz
Deutschland
Frankreich
Domain
.biz
.com
.coop
.edu
.gov
.mil
.net
.org
Organisationsform
Business, für große und kleinere Unternehmen
Kommerzielle Domain
Kooperationen, Genossenschaften
Schulen, Universitäten, Bildungseinrichtungen
Regierungsstellen der Vereinigten Staaten von
Amerika
Militär der Vereinigten Staaten von Amerika
Netzspezifische Dienste und Angebote
Nichtkommerzielle Unternehmungen und
Projekte
Bild 3: Beispiele für Top Level Domains (TLD’s)
81
Eine vollständige Liste als TLD’s wird vom Internet Assigned Numbers Authority
(IANA), der Dachorganisation des Internets, verwaltet.
Second Level Domains haben einen beliebigen, aber innerhalb ihrer Top Level
Domain einzigartigen Namen. Das jeweils für die Second Level Domain
verantwortliche Network Information Center (NIC) verwaltet die Second Level
Domains. Die DENIC eG (Deutsches Network Information Center) ist z. B. die
zentrale Registrierungsstelle für Domains unterhalb der Top-Level-Domain .de (für
Deutschland).
Unterhalb der Second Level Domain können weitere Sub Level Domains
(Subdomains) vorhanden sein, für die der Inhaber der Second Level Domain
verantwortlich ist.
An letzter Stelle, in der untersten Ebene, steht der Rechnername auch Hostname
genannt.
5.4 Domain Name
Ein kompletter Domain Name besteht aus der Verkettung aller Ebenen. Die
einzelnen Ebenen werden durch Punkte voneinander getrennt. Ein Domain Name
wird mit einem Punkt abgeschlossen. Der hinterste Punkt wird normalerweise
weggelassen, gehört aber rein formal zu einem vollständigen Domain Name. Der
vollständige Domain Name wird auch als Fully Qualified Domain Name (FQDN)
bezeichnet. Ein korrekter und vollständiger Domain Name lautet z. B. www.buschjaeger.de. (Anmerkung: der letzte Punkt gehört zum Domain Name).
Ein Domain Name wie beispielsweise www.busch-jaeger.de. wird immer von rechts
nach links aufgelöst. Beginnend mit der Wurzel „.“ führt der Zweig „de“ (TLD) zum
Zweig „busch-jaeger“ (registrierte Domain), der wiederum im Punkt „www“ (Name
eines Rechners der Domain „busch-jaeger“) endet. Die Suche nach einem
entsprechenden System erfolgt also stets baumabwärts beginnend mit dem RootVerzeichnis.
Hostname
www.
www.
Second Level Domain
busch-jaeger.
bfe.
First Level Domain
de.
de.
Bild 4: Vollständiger Domain Name - Korrekterweise müsste ein Domain Name
immer mit einem abschließenden Punkt, der das Root-Verzeichnis repräsentiert,
geschrieben werden.
82
5.5 Der DNS-Server - Nameserver
Ein DNS-Server tritt niemals alleine auf. Es gibt immer einen Primary und einen
Secondary Nameserver. Sie sind voneinander unabhängig und redundant ausgelegt,
so dass mindestens immer ein Server verfügbar ist. Der Secondary Nameserver
gleicht in regelmäßigen Abständen seine Daten mit dem Primary Nameserver ab und
dient so als Backup-Server.
Damit nicht bei jeder DNS-Anfrage das Netzwerk belastet werden muss, hat jeder
DNS-Server einen Cache, in dem er erfolgreiche DNS-Anfragen abspeichert. Bei
nochmaligem Aufruf holt er bereits erfolgreich aufgelöste Domain-Namen aus dem
Cache. Die gespeicherten Daten haben eine Lebensdauer (Time-To-Live, TTL) von
ca. 2 Tagen. Wird eine IP-Adresse durch den Umzug eines Domain-Namens
geändert, ist somit die Domain nach spätestens 2 Tagen wieder im ganzen Internet
erreichbar.
Neben den ganz normalen DNS-Servern gibt es auch die Root-Server, von denen es
weltweit nur 13 Stück gibt. 10 davon stehen in den USA. Die 3 anderen befinden sich
in London, Stockholm und Tokyo.
5.6 Der DNS-Client - Resolver
Der DNS-Client (Resolver) ist direkt in TCP/IP integriert und steht dort als SoftwareBibliothek für die DNS-Namensauflösung zu Verfügung. Der DNS-Client wird als
Resolver bezeichnet und ist der Mittler zwischen DNS und dem
Anwendungsprogramm. Er liefert die IP-Adresse eines Domain-Namens bzw. den
Domain Namen einer IP-Adresse zurück.
Damit der Resolver arbeiten kann benötigt er die IP-Adresse von einem, besser von
zwei DNS-Server, die in den TCP/IP-Einstellungen eingetragen oder über DHCP
angefordert werden müssen.
Hier müssen die beiden DNSServer eingetragen werden.
Meistens steht hier nur die IPAdresse des DSL-Routers.
Bild 5: Konfiguration des DNS-Client
83
Zum Testen von DNS kann das Kommandozeilentool nslookup verwendet werden.
Wer ist mein DNS-Server?
Welche IP hat der Domain Name?
C:> nslookup
C:> nslookup www.busch-jaeger.de
5.7 DNS Namensauflösung - Forward Lookup
Benötigt man zu einem Rechnernamen die zugehörige IP-Adresse (z.B. von
www.busch-jaeger.de ), so wird zunächst im Cache und dann die lokale Datei hosts
nach entsprechenden Einträgen durchforstet. Wird man dort nicht fündig, reicht das
System die Anfrage an den zuständigen Nameserver weiter (in Bild 4 als »lokaler
Nameserver« bezeichnet). Jeder Nameserver verfügt über einen Cache, in dem er
die Daten der zuletzt recherchierten Anfragen eine Zeit lang zwischenspeichert. Erst,
wenn der lokale Nameserver die Adresse nicht in seinem Cache und auch nicht in
einer von ihm verwalteten Zone hat, beginnt der mit der Auflösung des Namens von
hinten, d. h. er fordert einen der Rootserver auf (eine Liste solcher hält der
Nameserver in seiner Konfigurationsdatei bereit), der ihm die Adresse des für die
Domain »de« zuständigen Nameservers mitzuteilen. An die gelieferte Adresse
sendet er die folgende Anfrage nach der Adresse des für »busch-jaeger.de«
zuständigen Nameservers. Bei letzterem Server erhält er schließlich die
gewünschten Informationen, die er sowohl in seinen Cache einträgt, als auch zum
anfragenden Clientrechner weiterleitet (Ablauf siehe Bild 6). Auf dem Rechner kann
mit dem Konsolenbefehl nslookup www.busch-jaeger.de diese Beispielabfrage
durchgeführt werden (Siehe Bild 7)
84
Arbeitsplatzrechner
1)
Anfrage: Welche IP hat die DNS-Adresse www.ewetel.de
8) Antwort: Adresse ist: "82.165.87.242" ?
.
2) Anfrage: Wer verwaltet "de" ?
3) Antwort: Adresse des Nameservers für "de" ?
lokaler
Nameserver
"root"-Nameserver
4) Anfrage: Wer verwaltet "ewetel.de" ?
de
5) Antwort: Adresse von "ewetel.de" ?
"de"-Nameserver
6) Anfrage: Adresse von "www.ewetel.de" ?
ewe-tel
7) Antwort: Adresse ist: "82.165.87.242" ?
"ewetel.de"-Nameserver
Bild 6 : Prinzipieller Ablauf einer DNS-Anfrage
Bild 7: Namensauflösung mit Konsolenbefehl nslookup
85
www
5.8 DNS Adressauflösung - Reverse Lookup
Zur Auflösung in die Gegenrichtung (Adresse in Namen), das sogenannte Reverse
Lookup, wurde eine neue Domain »in-addr.arpa« (Address and Routing Parameter
Area domain) eingeführt. Unterhalb dieser speziellen Domain existieren 256
Subdomains (0..255). Insgesamt wiederholt sich diese Unterteilung viermal, bis die
32-Bit-Adresse vollständig dargestellt ist. In Bild 4 und 5 ist der Revers-Ablauf für den
Mailserver der Bfe-Oldenburg dargestellt.
.
arpa
in-arpa
212
6
91
101
Bild 8: Revers-Lookup-Ablauf der IP-Adresse: 212.6.91.101
Bild 9: Abfrage einer IP-Adresse mit Konsolenbefehl nslookup
86
5.9 Historie: Namensauflösung in der Anfängen – über die Datei
hosts
Als das ARPANET (Vorgänger des Internet) entstand, bestand es aus wenigen
hundert miteinander vernetzten Computern. Die Namen aller Computer waren
zusammen mit der dazugehörigen IP-Adresse tabellarisch in der Datei hosts
abgelegt. Der Inhalt der Datei wurde zentral vom Network Information Center (NIC)
des Stanford Research Institute (SRI) verwaltet. Die Administratoren schickten
Änderungen in ihren Teilnetzen per E-Mail an das NIC. Dieses pflegte die
Änderungen in die zentrale hosts-Datei ein und stellte regelmäßig eine aktuelle
Version der Datei hosts auf einem zentralen Computer zu Verfügung. Die lokalen
Administratoren konnten sich die Datei herunterladen und in ihre Systeme
einpflegen.
Diese Art der Verwaltung hatte mehrere Nachteile:
•
Das NIC hatte keinen Einfluss auf die Vergabe von Namen. Es war jederzeit
möglich, das ein Name doppelt vergeben wurde.
•
Mit zunehmend wachsenden ARPANET wurde die Verwaltung immer
aufwendiger.
•
Es war nicht möglich die Datei hosts im gesamten Netzwerk aktuell zu halten.
Um die Probleme zu lösen, wurden Nachfolger gesucht, bei der die Datenpflege lokal
vorgenommen werden konnte, die Daten aber global verfügbar waren. Außerdem
sollte sich das System selber dynamisch aktualisieren um die Eingriffe von außen so
gering wie möglich zu halten. Der Namensraum sollte hierarchisch angeordnet sein
und eindeutige Namen gewährleisten.
Daraus ist der heutige Domain Name Service bzw. das Domain Name System
(DNS) entstanden.
5.10 Zusammenfassung
Domain Name System (DNS) ist eine servergestützte Struktur zur Auflösung von
Namen in IP-Adressen. Der Client, der einen DNS-Namen in eine IP-Adresse
aufgelöst haben will, stellt eine Anfrage an den DNS-Server. Der DNS-Server
verwaltet IP-Adressen und die dazugehörigen Namen in einer Datenbank. Ist ein
Name dort nicht enthalten, befragt er einen übergeordneten DNS-Server, bis eine IPAdresse an den anfragenden Client zurück geliefert werden kann. Das Domain
Name System (DNS) ist ein verteiltes, hierarchisches System zur Auflösung von
Computernamen in IP-Adressen und umgekehrt. DNS geht auf die Datei hosts
zurück, deren Inhalt zur Namensauflösung im ARPANET (Vorläufer des Ethernets)
diente.
DNS kennt keine zentrale Datenbank. Stattdessen sind die Informationen über viele
tausend Nameserver (DNS-Server) verteilt. Die DNS-Datenbank ist eine in Zonen
aufgeteilte baumförmige Struktur. Sie beginnt im Root-Verzeichnis.
87
6 TCP/IP-Konfiguration
Lernziele:
• Angeben können, welche Einstellungen zur erfolgreichen TCP/IPKonfiguration erforderlich sind
• Dynamische und statische TCP/IP-Konfigurationen vornehmen können
• TCP/IP-Konfiguration an Geräten mit Netzwerk-Schnittstellen durchführen
können
• Betriebssystemspezifische Werkzeuge für die TCP/IP-Konfiguration kennen
• Werkzeuge zum Testen der TC/IP-Konfiguration kennen und anwenden
können
• Begriffe MAC-Adresse, IP-Adresse und Port anwenden können
Nachdem in den vorherigen Kapiteln die notwendigen Grundlagen für die TCP/IPKommunikation gelegt wurden, sollen jetzt die erforderlichen Konfigurationsschritte
und die Werkzeuge zur Konfiguration vorgestellt werden.
Die TCP/IP-Konfiguration wird beispielhaft anhand der Betriebssystem Windows
XP/2000 und Ubuntu-Linux vorgestellt.
6.1
Allgemeines (kurze komprimierte Wiederholung)
Damit die einzelnen Geräte Datenpakete austauschen können, müssen diese mit
Adressen versehen werden. Heute werden ausschließlich IP-Adressen (Internet
Protocol Address) verwendet. Derzeit in der Version 4. In Zukunft wird die neuere
Variante (Version 6) stärkere Verbreitung finden. Die 4 Byte einer IPv4-Adresse
werden jeweils durch einen Punkt getrennt und dezimal notiert, z.B. 192.168.40.8.
Eine vollständige IP-Adressen-Angabe für den Zugriff auf einen Web-Server im
Internet-Browser wäre z.B. http:// 192.168.40.8:80 (die Browser verzeihen das
Weglassen der letzen Angabe „:80“). Diese Adresse setzt sich, ähnlich wie im realen
Leben die Anschrift einer Firma, aus 3 Komponenten zusammen:
−
Netz (net), z.B. 192.168.40.0
vergleichbar mit der Straße, z.B. Isabellastr.
−
Knoten (node) oder host, z.B. 0.0.0.8 = 8
vergleichbar mit einer Hausnummer in der Straße, z.B. 8
−
Port oder Dienst (service), z.B. http (80)
vergleichbar mit einer Firma in dem Bürohaus, z.B. Steuerberater Helper
Hinweise:
Bei Netz-Angaben wird der Knotenteil auf 0 gesetzt.
Bei Knotenangaben wird der Netz-Anteil auf 0 gesetzt aber die führenden Nullen des
Netz-Anteils werden fortgelassen.
88
Beim Eintragen einer IP-Adresse auf einem PC muss zusätzlich noch die
Subnetzmaske angegeben werden. Damit wird die Grenze zwischen Netz-Anteil und
Knoten-Anteil festgelegt. Die „1“-en in der Maske kennzeichnen den Netz-Anteil in
der IP-Adresse, die „0“-en in der Maske kennzeichnen den Knoten-Anteil in der IPAdresse.
Beispiel 1 (kurze Straße mit wenigen Häusern = Knoten):
192.168.40.8 mit Subnetmaske 255.255.255.0 Î Netz=192.168.40.0 und Knoten=8
Beispiel 2 (lange Straße mit vielen Häusern = Knoten):
10.20.30.8 mit Subnetmaske 255.0.0.0 Î Netz=10.0.0.0 und Knoten=20.30.8
Hinweis:
Die Dezimalzahl 255 entspricht der Binärzahl 111111112. Also steht für
255.255.255.0 in 1en und 0en ausgedrückt für
11111111.11111111.11111111.000000002.
Zunehmend setzt sich eine modernere und einfachere Angabe der IP-Adressen
durch:
Beispiel 1:
192.168.40.8 mit Subnetzmaske 255.255.255.0 = 192.168.40.8/24
Beispiel 2:
10.20.30.8 mit Subnetzmaske 255.0.0.0 = 10.20.30.8/8
Die Zahl hinter dem Schrägstrich gibt von links gezählt die Anzahl der Bits, die zum
Netz-Anteil gehören an. Also im Beispiel 1 gehören die ersten 3 Byte zum Netz und
damit ergibt sich 3 x 8 = 24, im Beispiel 2 ist nur das erste Byte Netz, deshalb wird
hinter dem Schrägstrich 1 x 8 = 8 angegeben.
Der Port bzw. Dienst kennzeichnet den Prozess bzw. die laufenden Anwendung auf
dem Client- oder Server-PC. So könnten auf einem PC z. B. gleichzeitig ein WebProzess (z. B. Firefox-Browser) und ein E-Mail-Prozess (z. B. Thunderbird-Client)
laufen. Beide Services werden zwar mit derselben IP-Adresse angesprochen,
können aber durch die Ports, 80 für den Web-Prozess und 25 für den E-MailProzess, unterschieden werden. Die Port-Spezifikation wird mit einem Doppelpunkt
an die IP-Adresse angehängt. Ein Beispiel für die vollständige Angabe eines
Services, z.B. im Browser wäre dann 192.168.40.8:80. Die Ports für die wichtigsten
Services sind standardisiert und können unter http://www.iana.org/assignments/portnumbers oder dem Verzeichnis /etc der Betriebssysteme (File: /etc/services)
89
eingesehen werden. Für besondere Zwecke kann der Port für einen Dienst
abweichend vom Standard gewählt werden. Dabei ist allerdings die Bedingung
einzuhalten, dass Client und Server denselben Port verwenden müssen.
Die besprochenen IP-Adressen werden als Software-Adressen oder logische
Adressen bezeichnet und müssen für jedes Gerät vom Verwalter des Netzes
(Administrator) eingestellt werden. Alternativ kann der Administrator dafür sorgen,
dass die IP-Adressen von einem zentralen Dienst per DHCP-Server automatisch an
die anderen Netz-Geräte zugewiesen werden (DHCP-Verfahren). Der DHCP-Server
ist heutzutage üblicherweise im DSL-Router integriert und standardmäßig bereits
aktiviert.
Daneben besitzt jedes Gerät mit Netzwerkschnittstelle, sei es die Netzwerkkarte im
PC, der Netzwerk-Drucker, der DSL-Router, der WLAN-Access-Point, der WLANAdapter oder auch ein Bluetooth-Gerät, eine Hardware- oder PhysikalischeAdresse, die gleich beim Fertigungsprozess „eingebrannt“ wird und deshalb auch
nicht vom Administrator konfiguriert werden muss. Die Hersteller achten darauf, dass
diese so genannte MAC-Adresse weltweit einmalig ist. Die MAC-Adresse wird in
Hex-Zahlen angegeben und ist häufig auf dem Gerät aufgedruckt. Beispiel für eine
MAC-Adresse: 00-19-B9-52-ED-AA. Die aktuellen Adressen eines Windows-PCs
lassen sich mit dem Befehl ipconfig oder ausführlicher ipconfig /all in der
Eingabeaufforderung anzeigen. Unter Linux lautet der entsprechende Befehl
ifconfig.
6.2
Erforderliche Einstellungen
Folgende Einstellungen sind für die TCP/IP Kommunikation erforderlich:
•
•
•
•
IP-Adresse
Subnetzmaske (engl.: subnetmask)
Router (Standard-Gateway)
DNS-Server
Einstellungen am Rechner
• Pro Interface
- IP-Adresse
- Netzmaske
•
Pro Rechner
- Router (Standard-Gateway)
- DNS-Server
•
Oder DHCP (Dynamic Host Configurtion Protocol)
- macht dann alles alleine
TCP/IP muss auf einer Arbeitsstation mithilfe von Betriebssystemtools konfiguriert
werden. Bei Windows- und Ubuntu-Linux-Betriebssystemen ist die Vorgehensweise
dabei weitgehend identisch.
90
6.3
Konfiguration
6.3.1 Konfiguration bei Windows
Start Æ Programme Æ Systemsteuerung Æ Netzwerkverbindungen Æ Kontext der
LANVerbindung Æ Eigenschaften
Bild 1: Windows Eigenschaften vonLAN-Karte Bild 2: Windows TCP/IP-Konfiguration
Tipp:
Der Haken „Symbol bei Verbindung im Infobereich anzeigen“ und der Haken
darunter schaffen jederzeit Überblick über den aktuellen Status der LANVerbindung (Diese Einstellung ist bei Vista Standard).
91
6.3.2 Konfiguration bei Ubuntu-Linux
System Æ Systemverwaltung Æ Netzwerk
Bild 3: Ubuntu Netzwerkeinstellungen 1
2
Bild 4: Ubuntu Netzwerkeinstellungen
Bild 5: Ubuntu TCP/IP - Konfiguration
6.3.3 Vom DHCP-Server eine neue IP-Adresse anfordern
Per Konsolenkommandos
Windows (mit Administratorrechten)
Ubuntu-Linux
ipconfig /release
sudo /etc/init.d/networking restart
ipconfig /renew
92
6.4
Aktuelle Konfiguration ermitteln und anzeigen
6.4.1 Aktuelle TCP/IP-Konfiguration unter Windows anzeigen
ipconfig
Bild 6: IP-Konfiguration mit ipconfig anzeigen
ipconfig /all
Bild 7: Ausführliche TCP/IP-Konfiguration mit ipconfig /all anzeigen
93
Aktuelle TCP/IP-Konfiguration unter Ubuntu-Linux anzeigen
Entweder über die Konsolenbefehle
ifconfig und route -n
Bild 9: TCP/IP-Konfiguration bei Ubuntu anzeigen
Ubuntu bringt von Haus her schon ein Netzwerkdiagnose-Tool mit. Hierüber lassen
sich auch die Konfigurationsparameter anzeigen.
System Æ Systemverwaltung Æ Netzwerkdiagnose
Bild 10: TCP/IP-Konfiguration über mitgeliefertes Netzwerkdiagnose-Tool anzeigen
94
6.5
Überprüfen der Konnektivität mit ping
Die Netzwerkkonnektivität kann mit dem ping-Kommando getestet werden. ping ist
ein einfaches Programm, mit dem überprüft wird, ob eine bestimmte IP-Adresse
vorhanden ist und Anforderungen empfangen kann. Die Abkürzung „ping“ steht für
Packet Internet oder Packet Inter-Network Groper. Der Name wurde in Anlehnung
an die Bezeichnung erfunden, die U-Boot-Besatzungen für den Ton eines
Sonarimpulses verwenden, der von einem Unterwasserobjekt reflektiert wird.
Durch den Befehl ping werden spezielle IP-Pakete, so genannte ICMP-EchoAnfragen (Internet Control Message Protocol), an ein angegebenes Ziel gesendet.
Jedes gesendete Paket ist eine Anfrage für eine Antwort. Die auf einen ping-Befehl
gegebene Antwort enthält das Erfolgsverhältnis und die Rundreisezeit zum Ziel.
Anhand dieser Informationen lässt sich feststellen, ob eine Verbindung mit dem Ziel
möglich ist. Mit dem Befehl ping werden die Sende- und Empfangsfunktion der
Netzwerkkarte, die TCP/IP-Konfiguration und die Netzkonnektivität getestet.
Die folgenden Arten von ping-Befehlen sind möglich:
z
ping 127.0.0.1
– Dies ist ein eindeutiger ping-Befehl, der als interner Loopback-Test
bezeichnet
wird. Damit wird die TCP/IP-Netzkonfiguration überprüft.
z
ping IP-Adresse des Host-Computers
– Mit einem an einen Host-PC gesendeten ping-Befehl werden die für den
lokalen
Host konfigurierte TCP/IP-Adresse und die Konnektivität mit dem Host
überprüft.
z
ping IP-Adresse des Standard-Gateways
– Ein an den Standard-Gateway gesendeter ping-Befehl zeigt an, ob der
Router, der
das lokale Netz mit anderen Netzen verbindet, erreicht werden kann.
z
ping IP-Adresse des entfernten Ziels
– Mit einem an ein entferntes Ziel gesendeten ping-Befehl wird die Verbindung
mit
einem entfernten Host überprüft.
95
7 Funk-LAN (Wireless LAN, WLAN)
Wireless LAN = Drahtloses Netzwerk = FunkLAN = Funknetzwerk
Lernziele:
• Überblick über WLANs bekommen
• Die vielen Begriffe im WLAN-Umfeld einordnen können
• Wichtige WLAN-Standards einordnen können
• Grundkonfiguration von WLAN-Access-Point durchführen können
• Grundkonfiguration von WLAN-Adapter durchführen können
• Sicherheitsgrenzen bei WLAN-Techniken erkennen
7.1
Allgemeines
•
FunkLAN Standards
- Funknetzwerke sind standardisiert
- IEEE 802.11b, IEEE 802.11g demnächst auch IEEE 802.11n
•
Strukturen
- Funkbasisstationen, WLAN-Basisstation (AccessPoints,APs)
- Rechner mit FunkLAN-Adaptern
- evt. zusätzliche Antennen
- Shared Media Network wie beim klassischen Ethernet
Bild 1: WLAN-Access Point
am Beispiel Bild 2: WLAN-Router am Beispiel
T-Com Speedport W 100XR
AVM Fritz!Box Fon 7170
96
•
Reichweiten
- im Gebäude: stark vom Gebäude abhängig ca. 20 – 40 m
- bei Antennen >10dbi Gewinn bis zu 10 km
- im freien Gelände: ca. 200 – 400 m
- Die Sende-/Empfangsqualität ist wesentlich abhängig von …
… den räumlichenGegebenheiten (Gebäude)
… der Antennenkonstruktion
… Antennenkabel/Länge, Stecker etc.
… Interferenzen mit anderen Funknetzen
… freier Sicht (auf günstige Reflektionen kann man nicht hoffen)
•
Übertragungsleistung
- ist abhängig vom jeweiligen Standard, zum Beispiel bei IEEE 802.11.g
- brutto 54 MBit/s
- netto ca. 25 MBit/s
•
Sicherheit im FunkLAN
- Das Abhören ist strukturbedingt leicht möglich
- Das Netzwerk endet nicht an der Gebäudegrenze
Æ Verschlüsselung der Daten nötig
•
Istzustand
- Notebooks besitzen heute in der Regel ab Werk eine WLAN-Schnittstelle
- Viele Router enthalten eine WLAN-Basisstation (AP, Access Point)
- Aktuell sind WLAN-Geräte, die nach einem Entwurf (neudeutsch Draft) für
den
neuen Standard 802.11n funken
- Bei WLAN drohen immer Beeinträchtigungen und Durchsatzeinbrüche durch
andere
Funknetze. Ähnliches gilt für Powerline durch Störer im Stromnetz
•
Zur Konfiguration von FunkLANs
- viele neue Begriffe: SSID, WEP, WPA(2), TKIP, AES, EAP, usw.
- Zur WLAN-Konfiguration sind einige grundlegenden Kenntnisse erforderlich
Vorteile von WLAN
• Mobilität
Beispiel:
- Telefon: drahtloses Internettelefon
- Notebook: „Surfen“ vom Sofa ohne Kabel
• Keine Verkabelung erforderlich
Power over Ethernet
Die Energieversorgung von WLAN-Komponenten kann auch über das LAN-Kabel
erfolgen, so dass für die Energieversorgung keine zusätzliche Leitung verlegt werden
muss. Dies wird als Power over Ethernet (PoE) bezeichnet und ist im Standard
803.3af geregelt. Gerade im professionellen Umfeld hat sich die Versorgung der
WLAN Access Points per Power over Ethernet eingebürgert. Die maximale
Leistungsaufnahme ist im Standard mit 15,5 Watt definiert. Weiterhin werden zur
Implementierung spezielle Switches, so genannte PoE-Switch) benötigt.
97
Theoretische Grundlagen:
Quelle: Teilweise entnommen dem Handbuch „Wireless LAN“ von Fujitsu-Siemens
(440-N00558-Muli1.pdf)
7.1.1 Funknetzwerk nach dem IEEE 802.11-Standard
IEEE 802.11a
5,0 GHz-Band
54 MBit/s
Æ wird bei unseren WLAN-Geräten nicht
verwendet
IEEE 802.11b
2,4 GHz-Band
11 MBit/s
IEEE 802.11g
(akuell)
2,4 GHz-Band
Brutto: 54 MBit/s
Æ realer Durchsatz bei guten Verbindugen:
25 MBit/s
Reicht für schnelle DSL-Übertragung (DSL
16000)
IEEE 802.11n
(Draft 2.0)
2,4 GHz-Band
5 GHz-Band
Brutto: 144 MBit/s bis 300 MBit/s
Æ nutzt mehrere Antennen
Æ realer Durchsatz bis zu 120 MBit/s
Æ ca 5x schneller als der aktuelle Standard (bei
optimalen Rahmenbedingungen
Bild 3: Funknetzwerk nach dem IEEE 802.11-Standard
Neben der Beschreibung der Modulation und des Data Framing enthält die Norm ein
Authentifizierungs- und Verschlüsselungsverfahren mit der Bezeichnung Wired
Equivalent Privacy (WEP).
Der IEEE-Standard bietet zwei Betriebsarten an,
• den Adhoc-Modus (Peer-to-Peer)
und
• den Infrastruktur-Modus.
Woher rührt der Brutto-/Netto-Unterschied beim WLAN?
Die Übertragung auf dem Funkkanal läuft nach einem zeitgesteuerten Protokoll:
Die Datenpakete auf dem Medium laufen, tatsächlich mal mit 54 MBit/s, aber da
sie von steuernden Pausen unterbrochen werden, ist der effektive Durchsatz
stets deutlich niedriger. Bei schlechter Funkverbindung kann er auch mal auf 1
oder 2 MBit/s zurückfallen. Meist reicht der Durchsatz aber, um auch einen
DSL-6000-Anschluss auszureizen.
98
7.1.2 Die Betriebsart: Adhoc-Modus
Ein Wireless LAN im Adhoc-Modus, auch Peer-to-Peer-Modus genannt, besteht aus
einer einzelnen abgeschlossenen Funkzelle. Adoc-Funknetze entstehen, wenn sich
eine Arbeitsgruppe mit ihren Systemen zusammenfindet und diese sich zum
Datenaustausch vernetzen möchte. Systeme können zu einem Adhoc-Funknetz
beliebig hinzukommen und es wieder verlassen.
Damit sich mehrere Adhoc-Netzwerke nicht gegenseitig im Funkverkehr behindern,
gibt es einen eindeutigen Netzwerkname, die SSID (Service Set Identifier). Die SSID
wird zur Adressierung verwendet, sodass sich ein Datenpaket immer einer
bestimmten Funkzelle zuordnen lässt.
Wenn Sie sich in ein bestehendes Funknetzwerk einwählen wollen, benötigen Sie
den Netzwerknamen (SSID), den Sie in den Einstellungen für die Netzwerkkarte
eintragen. Die Netzwerkkarte sucht dann beim Start nach einem Funknetzwerk mit
dieser SSID. Wenn die Netzwerkkarte ein Funknetzwerk gefunden hat, klinkt sie sich
in dieses ein und Sie können dann mit den Systemen in diesem Funknetzwerk
kommunizieren. Wenn zwei Funkzellen sehr nah beieinander sind, sollten die
Funkkanäle dieser Netzwerke 4 bis 5 Kanäle auseinander liegen. Die gilt für die
Standards IEEE 802.11b, 802.11g und 802.11n.
7.1.3 Die Betriebsart: Infrastruktur-Modus
Im Infrastruktur-Modus existiert neben den beweglichen Stationen eine Basisstation,
die als AccessPoint bezeichnet wird. Der AccessPoint übernimmt die Funktion
eines „Wächters“. Im Gegensatz zum Adhoc-Modus muss sich jedes System bei
dem AccessPoint anmelden, bevor es Daten in der Funkzelle austauschen darf.
Eine weitere Aufgabe des AccessPoint ist die Verbindung der Funkzelle mit einem
kabelgebundenen Ethernet. Da der AccessPoint durch den Zwang zur Anmeldung
jederzeit genau weiß, welche Stationen sich auf der Funkseite befinden, kann er
exakt entscheiden, welche Daten durchgereicht werden müssen und welche nicht.
Diesen Vorgang bezeichnet man als Bridging.
Um die Reichweite eines Funknetzwerks zu vergrößern, können mehrere
AccessPoints mit der gleichen SSID verwendet werden.
Geht ein System ins Funknetzwerk, sucht es sich unter den erreichbaren
AccessPoints den mit dem stärksten Signal aus und meldet sich dort an. Zwei
Systeme, die an unterschiedlichen AccessPoints angemeldet sind, kommunizieren
so miteinander, auch wenn sie nicht in direkter Funkreichweite sind. Überwacht ein
System auch nach der Anmeldung kontinuierlich die Funksituation, kann es
erkennen, wie die Signale von einem AccessPoint schwächer und von einer
anderen stärker werden und sich für den Benutzer unmerklich ummelden. Diesen
Vorgang bezeichnet man als Roaming.
.
99
7.1.4 Netzwerksicherheit im Funknetz
802.11-NetzweNrkesticzhweerrhkesitcherheit
Seit dem Aufkommen der Funknetzwerke spielt Sicherheit in weit größerem Maße
eine kritische Rolle als früher, aus dem einfachen Grund, weil es Angreifer leichter
haben, diese Verbindungen anzuzapfen. Bei kabelgebundenen Netzwerken können
die meisten Unternehmen den Schutz ihrer Netzwerke gerätetechnisch sichern. Ein
Angreifer müsste in die Firmenräume gelangen, um sich in das LAN einzuschalten
und den Netzwerkverkehr auszuspionieren.
Alles was man zum Ausspionieren von Daten im Funknetzwerk braucht, ist ein
Computer mit einer Funknetzwerkkarte und eine geeignete Stelle draußen auf dem
Parkplatz oder im Büro nebenan.
Nachfolgend werden einige Voraussetzungen für die sichere Vernetzung
beschrieben:
•
Ein Benutzer muss vom Netzwerk authentifiziert werden, ehe ihm der Zugriff
genehmigt wird, damit das Netzwerk vor Eindringlingen sicher ist.
•
Das Netzwerk muss durch den Benutzer authentifiziert sein, ehe er seinem
Computer die Verbindung mit dem Netzwerk gestattet. Dadurch wird
verhindert, dass ein Funkgerät sich als legitimes Netzwerk ausgibt und Zugriff
auf den Computer des Benutzers erhält.
•
Die gegenseitige Authentifizierung zwischen Benutzer und Netzwerk muss
kryptographisch geschützt werden. Damit wird sichergestellt, dass Sie genau
mit dem gewünschten Netzwerk verbunden werden und nicht mit einem
falschen.
•
Die Funkverbindung zwischen einem Computer und dem AccessPoint muss
so verschlüsselt werden, dass Eindringlinge keinen Zugriff auf Daten erhalten,
die als vertraulich gelten.
Für diese Art sicherer Verschlüsselung über ein Funknetzwerk gibt es
zwei grundlegende Mechanismen:
•
Eine Methofe wird als WEP-Schlüssel bezeichnet, mit vorkonfigurierten
geheimen Angaben. WEP-Schlüssel halten nicht zugelassene Benutzer vom
Funknetzwerk fern und verschlüsseln die Daten legitimer Benutzer.
•
Die zweite Methode ist die Authentifizierung mit Hilfe eines 802.1xProtokolls. Hierbei werden vielfältige zugrunde liegende
Authentifizierungsprotokolle für die Zugangskontrolle zum Netzwerk
verwendet. Die stärksten dieser Protokolle können gegenseitige
Authentifizierung von Benutzer und Netzwerk sichern und können dynamisch
Schlüssel zur Verschlüsselung von Funkdaten erzeugen.
100
7.1.4.1.1 Wired-Equivalent Privacy (WEP) mit vorkonfigurierten
Schlüsselnn (WEP)
Mit vorkonfigurierten WEP-Schlüsseln (Wired-Equivalent Privacy) wird dem ClientComputer sowie dem AccessPoint derselbe Geheimschlüssel zugeordnet. Dieser
Schlüssel wird dazu verwendet, alle zwischen dem Computer und dem AccessPoint
ausgetauschten Daten zu verschlüsseln. Zusätzlich kann der WEP-Schlüssel zur
Authentifizierung des Client-Computers am AccessPoint benutzt werden. Falls der
Computer nicht nachweisen kann, dass er den WEP-Schlüssel kennt, wird ihm der
Zugang zum Netzwerk verwehrt.
•
Wenn der AccessPoint einen WEP-Schlüssel für die Authentifizierung
erfordert, müssen Sie die Zuordnung zum AccessPoint im Shared-Modus
vornehmen. Den Zuordnungsmodus stellen Sie in den NetzwerkEigenschaften ein.
•
Wenn der AccessPoint keinen WEP-Schlüssel für die Authentifizierung
erfordert, wird dies als offener Modus (open mode) bezeichnet. Den
Zuordnungsmodus stellen Sie in den Netzwerk- Eigenschaften ein.
7.1.4.2 Wi-Fi Protected Access (WPA) und TKIP-Verschlüsselung
Als Erweiterung der 802.11-Norm umfasst Wi-Fi Protected Access (WPA) eine
Reihe
von Sicherheitszusätzen über Wired-Equivalent Privacy hinaus.
WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch
dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP)
basieren, und bietet zur Authentifizierung von Nutzern Pre-Shared Keys (PSK) oder
Extensible Authentication Protocol (EAP) über IEEE 802.1x an.
TKIP verwendet wie WEP den RC4-Algorithmus für die Verschlüsselung. Der
Schlüssel
ändert sich temporär - daher auch der Name des Protokolls.
PSK ("vorher vereinbarter Schlüssel") bezeichnet allgemein ein
Verschlüsselungsverfahren,
bei dem die Schlüssel vor der Kommunikation beiden Teilnehmern bekannt sein
müssen, also ein symmetrisches Verfahren.
7.1.4.3 Wi-Fi Protected Access 2 (WPA2) und AES Verschlüsselung
Wi-Fi Protected Access 2 (WPA2) und AES Verschlüsselung ist die
Implementierung eines
101
Sicherheitsstandards für Funknetzwerke nach den WLAN-Standards IEEE 802.11a,
b, g, n und basiert auf dem Advanced Encryption Standard (AES). Er stellt den
Nachfolger von WPA dar.
Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES).
Zur Authentifizierung des Clients am AccessPoint und umgekehrt kann sowohl ein
geheimer Text, der "Pre-Shared-Key", als auch ein RADIUS-Server verwendet
werden (EAP Authentifizierung).
Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen,
also z.B. im Home-Bereich, benutzt. Diese Variante wird auch als "Personal"
bezeichnet.
In größeren Netzen ermöglicht die Verwendung von RADIUS eine zentrale
Benutzeradministration inkl. Accounting. Der AccessPoint leitet in diesem Fall die
Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt – je
nach Erfolg – den Zugriff zu.
Diese Variante von WPA2 wird oft als "Enterprise" bezeichnet.
Hinweis: WPA-fähige Geräte können in der Regel nicht per Firmware-Update auf
den WPA2
Standard gebracht werden. Aus diesem Grunde müssen Sie ihre komplette Wireless
LAN
Hardware auf WPA2 Hardware austauschen, um diesen Standard nutzen zu können.
7.1.4.4 Der 802.1x-Standard
Das IEEE 802.1x-Protokoll ermöglicht den authentifizierten Zugang zu einem LAN.
Diese Norm gilt sowohl für kabellose als auch kabelgebundene Netzwerke. Bei
einem Funknetzwerk erfolgt die 802.1x-Authentifizierung, nachdem die 802.11Zuordnung implementiert ist. Kabelgebundene Netzwerke verwenden die 802.1xNorm ohne 802.11-Zuordnung.
Das WEP-Protokoll, das vorkonfigurierte Schlüssel verwendet, weist verschiedene
Schwächen auf in Bezug auf einfache Verwaltung und Sicherheit. Um diese
Probleme zu lösen, hat IEEE eine weitere Norm eingeführt: 802.1x. 802.1x bietet
bessere Sicherheit als die vorkonfigurierten WEP-Schlüssel und ist einfach zu
handhaben, insbesondere bei großen Netzwerken.
Bei Anwendung vorkonfigurierter WEP-Schlüssel wird der kabellose Client-Computer
gegenüber dem Netzwerk authentifiziert. Bei 802.1x wird der Benutzer gegenüber
dem
Netzwerk mit den Berechtigungsnachweisen authentifiziert (Passwort, Zertifikat oder
Token-Karte). Die Authentifizierung wird nicht durch den AccessPoint
vorgenommen,
102
sondern vielmehr durch einen zentralen Server. Falls dieser Server das RADIUSProtokoll
benutzt, bezeichnet man ihn als RADIUS-Server.
Bei 802.1x kann ein Benutzer sich bei dem Netzwerk von jedem Computer aus
anmelden, und viele AccessPoints können gemeinsam einen einzelnen RADIUSServer
zur Authentifizierung benutzen. Dadurch ist es für den Netzwerkadministrator viel
einfacher, den Zugang zum Netzwerk zu kontrollieren.
7.1.5 Extensible Authentication Protocol (EAP)
802.1x benutzt das Protokoll mit der Bezeichnung EAP (Extensible Authentication
Protocol),
um die Authentifizierung vorzunehmen. EAP ist kein Authentifizierungsmechanismus
an sich, sondern ein gemeinsamer Rahmen für den Transport aktueller
Authentifizierungs-protokolle. Der Vorteil des EAP-Protokolls ist, dass der
grundlegende EAP-Mechanismus bei der Entwicklung neuer
Authentifizierungsprotokolle nicht geändert werden muss.
103
7.1.6 Wireless Distribution System (WDS)
•
•
•
Zum Erweitern der WLAN-Reichweite
Anwendung: DSL-Internetzugang ist nicht überall im Haus mit einem WLANRouter möglich
Sinnvoll für größere Häuser und Wohnungen
WLAN-Probleme sind oft Reichweitenprobleme. Manchmal genügt ein guter
Routerstandort eben nicht, um das WLAN dort zu empfangen, wo es gebraucht wird.
Es lässt sich dann am einfachsten per WDS (Wireless Distribution System) erweitern.
Durch Aufstellen eines WDS-Repeaters als zusätzliche WLAN-Basisstation kann
man die abgedeckte Fläche vergrößern. Dabei nimmt ein Router oder AccessPoint
(im Bild 3 der WDS-Router 2) das WLAN-Signal auf und gibt es weiter. Diese
Reichweitenverlängerung kostet aber Bandbreite: Der Accesspoint muss die
Verbindungen zum Netz und zum Client gleichzeitig per WLAN bedienen. Dadurch
wird die Nutzdatenrate halbiert. Dennoch reicht WDS locker aus, um z. B. den DSLInternetzugang über eine weite Strecke verfügbar zu machen.
Internet-Anschluss
WDS-Router 1
WDS-Router 2
(Basisstation)
(Repeater)
Bild 4: Mit WDS-fähigen Routern lässt sich ein WLAN leicht erweitern – leider auf
Kosten der Datenrate
104
Im WDS-Betrieb reichen Basisstationen Daten für andere auf demselben Funkkanal
weiter. Wichtig ist dabei, dass auch WDS mit sicherer WPA-Verschlüsselung arbeitet.
Leider schweigen sich die meisten Hersteller auf dem Karton oder in der
Bedienungsanleitung darüber aus. Meist funktioniert WDS mit WPA nur dann, wenn
Basisstation und Repeater vom selben Hersteller stammen, weil es für diese
Feature-Kombination keinen Standard gibt.
Der gravierende Nachteil von WDS ist, dass sich die nutzbare Datenrate auf dem
Funkkanal mindestens halbiert, weil jedes Datenpaket zweimal gesendet wird.
Alternative zur Erweiterung der Reichweite: Accesspoint via Kabel an den Router
anschließen Æ Volle Bandbreite
Eine weitere Möglichkeit, bei der sich die nutzbare Datenrate nicht verringert, besteht
darin, die zweite Basisstation über ein anderes Medium – Kabel, Powerline oder
Lichtleiter – ins Heimnetz anzubinden. Dabei verwenden die Access Points den
gleichen Funknetznamen, aber deutlich unterschiedliche Funkkanäle,
beispielsweise 1 und 11, damit sie sich nicht ins Gehege kommen.
Nachteil hier: Eine unterbrechungsfreie Übergabe des Clients – etwa, wenn man sich
mit dem Notebook bewegt – ist nicht möglich. Zwar verbinden sich aktuelle Rechner
ohne Probleme mit der neuen Funkzelle, laufende Datenübertragungen werden
jedoch abgebrochen. Da das Signal via Ethernet weitergegeben wird, verringert sich
die nutzbare Datenrate bei dieser Art der WLAN-Erweiterung nicht.
Wer alles will, also volle Geschwindigkeit sowie eine lücken- und unterbrechungsfreie
Verbindung, braucht Profi-Router, die WLAN-Roaming beherrschen und wesentlich
teurer als die Standard Router sind ( ab ca. 400,- € ,Anfang 2008).
105
7.2
Zur Praxis
Sicherheit: Verschlüsselungsmethoden bei WLANs
• Die aktuelle sichere Verschlüsselungsmethode istWPA (Wi-fi Protected
Access, auch WPA2)
•
WPA und WPA2 unterscheiden sich beim bevorzugten
Verschlüsselungsalgorithmus, aber nicht in der Sicherheit, solange man ein
nicht erratbares Passwort wählt.
•
Unsichere Verschlüsselungsmethode WEP
WEP ist überholt, weil seine Verschlüsselung innerhalb von Minuten
gebrochen werden kann.
•
WLAN-Basisstationen beherrschen heute üblicherweise die sicheren
Verschlüsselungsmethoden WPA bzw. WPA2
•
Aber längst nicht alle WLAN-Teilnehmer beherrschen diese (z. B. MP3Streaming-Clients). Problem: Möchte man sie einsetzen, muss man die
WLAN-Basisstation auf WEP zurückschalten, selbst wenn alle anderen
WLAN-Geräte WPA können.
Æ Tipp: keine reinen WEP-Geräte verwenden
Verzichtbare Sicherheit
•
Verstecken des WLAN-Namens (Abschalten des SSID Broadcast)
SSID = Service Set Identify
Windows XP verschweigt versteckte WLANs und ihren Kanal, sodass man im
Unklaren bleibt, mit welchem Nachbarn man sich auf eine überlappungs- und
damit störungsfreie Funkkanalbelegung einigen muss.
Æ provoziert Verbindungsprobleme
•
Adressfilter (MAC - Access Control List, MAC-ACL)
Der Filter für die MAC-Adressen der WLAN-Karten lässt sich leicht
umgehen: Ein „Funkschnorrer“ kann die verwendeten Adressen mit einem
Werkzeug wie Kismet leicht erlauschen und in seinem WLAN-Treiber
eintragen.
Æ gibt nur vermeintlichen Schutz
.
106
Begriffe (wichtig für Konfiguration)
SSID
Service Set Identifier = Netzwerkname
Jedes Funknetzwerk verfügt über seinen eigenen Namen. Sie
können das Funknetzwerk über seinen Namen auswählen.
Netzwerknamen ermöglichen den gleichzeitigen Betrieb
verschiedener Funknetzwerke nebeneinander in derselben
Umgebung, ohne das diese sich gegenseitig behindern. Der
Netzwerkname ist eine Folge von 32 Zeichen, wobei zwischen
Groß- und Kleinschreibung unterschieden wird.
WEP
Wired-Equivalent Privacy
WPA
Wi-Fi Protected Access
Als Erweiterung der 802.11-Norm umfasst Wi-Fi Protected Access
(WPA) eine Reihe von Sicherheitszusätzen über Wired-Equivalent
Privacy (WEP) hinaus
WPATKIP
WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen
Schutz durch dynamische Schlüssel, die auf dem Temporal Key
Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung
von Nutzern Pre-Shared Keys (PSK) oder Extensible Authentication
Protocol (EAP) über IEEE 802.1x an.
TKIP verwendet wie WEP den RC4-Algorithmus für die
Verschlüsselung. Der Schlüssel ändert sich temporär - daher auch
der Name des Protokolls.
Pre-Shared Key
PSK ("vorher vereinbarter Schlüssel") bezeichnet allgemein ein
Verschlüsselungsverfahren, bei dem die Schlüssel vor der
Kommunikation beiden Teilnehmern bekannt sein müssen, also ein
symmetrisches Verfahren.
PSK
EAP
Extensible Authentication Protocol
802.1x benutzt das Protokoll mit der Bezeichnung EAP, um die
Authentifizierung vorzunehmen.
WPA2
und AES
Wi-Fi Protected Access 2 (WPA2) und AES Verschlüsselung ist
die Implementierung eines Sicherheitsstandards für Funknetzwerke
nach den WLAN-Standards IEEE 802.11a, b, g, n und basiert auf
dem Advanced Encryption Standard (AES). Er stellt den Nachfolger
von WPA dar.
Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard
(AES).
Zur Authentifizierung des Clients am Access Point und umgekehrt
kann sowohl ein geheimer Text, der "Pre-Shared-Key", als auch ein
RADIUS-Server verwendet werden (EAP Authentifizierung).
WDS
Wireless Distribution System
Im WDS-Betrieb reichen Basisstationen Daten für andere auf
demselben Funkkanal weiter
107
7.3
WLAN einrichten
•
Einfach als Verschlüsselung WPA aussuchen (die Geschmackrichtungen
TKIP und AES sind gleich gut) und ein gutes Passwort (Pre-Shared Key,
PSK) eintragen. Das Kennwort darf ruhig etwas länger und komplizierter sein,
da man es ohnehin nur einmal beim ersten Kontakt zwischen WLAN-Basis
und PC eintippen muss.
•
SSID-Broadcast aktiv lassen
Damit Microsoft Betriebssysteme die Verbindung reibungslos herstellen, sollte
der „SSID-Broadcast“ aktiv bleiben. Als Netzwerkname (SSID) eignen sich
besonders Kontaktdaten wie eine E-Mail-Adresse oder Telefonnummer. Denn
so können sich die Nachbarn leicht melden, wenn ihr WLAN mit Ihrem
kollidiert oder Gäste um einen Internetzugang bitten.
•
Funk-Kanal festlegen
Bild 5: Grundeinstellungen für WLAN-Basisstation bei der Fritz!Box 7170
108
Bild 6: Sicherheitseinstellungen für WLAN-Basisstation konfigurieren bei der
Fritz!Box 7170
109
8 HTTP (Hypertext Transfer Protocol)
Lernziele:
•
•
•
•
•
8.1
HTTP-Protokoll als Anwendungsprotokoll im Netzwerkmodell einordnen
können
Aufbau der Uniform Resource Locator (URL) verstehen
Client/Server-Kommunikation des HTTP-Protokolls nachvollziehen können
Bedeutung des HTTP-Prokokolls zur Konfiguration von Geräten mit
Netzwerkschnittstelle erkennen
Begriff Plug-Ins verstehen und anwenden können
Das World Wide Web (WWW)
Das World Wide Web (WWW) ist neben E-Mail der meistgenutzte Dienst des
Internets. Im WWW bedient man sich eines Anwenderprogramms, Webbrowser
genannt, mit dem man Informationen in Form von Text, Bild, Video und Audio
abrufen kann. Die Informationen werden durch HTML (Hypertext Markup Language)
strukturiert im Browser dargestellt. HTML ist eine Beschreibungssprache, um
plattformübergreifende Dokumente zu erstellen. Zum Transport wird das Hypertext
Transport Protocol (HTTP) verwendet.
HTTP--Request
HTTP-Client
(Webbrowser
)
HTTP-Server
(Webserver)
http://busch-jaeger.de
Apache
Firefox
HTTP-Response
Datei:
index.html
Bild 1: Kommunikation Webserver mit Webbrowser
Die Übertragung findet nach dem Client-Server-Prinzip statt. Der HTTP-Client
(Webbrowser) sendet seine Anfrage an den HTTP-Server (Webserver). Dieser
bearbeitet die Anfrage und schickt seine Antwort zurück. Diese Kommunikation
zwischen Client und Server findet auf Basis von Meldungen im Text-Format statt. Die
Meldungen werden standardmäßig über TCP auf dem Port 80 abgewickelt. Die
Meldungen werden Request und Response genannt und bestehen aus einem
110
Header und den Daten. Der Header enthält Steuerinformationen. Die Daten
entsprechen einer HTML-Datei, die der Server an den Client schickt oder die
Einträge in ein HTML-Formular, die der Client an den Server übermittelt.
8.2
HTTP-Adressierung
Der HTTP-Client adressiert in seiner Anfrage eine Datei, die sich auf dem HTTPServer befinden muss. Dazu wird vom HTTP-Client eine Uniform Resource
Locator (URL) an den HTTP-Server übermittelt:
http://Servername.Domain-Name.Top-Level-Domain:Port/Pfad/Datei
Beispiel:
http://ilias.bfe.de:80/bfeintern/index.html
Die Angabe zum Port ist optional und nur erforderlich, wenn die Verbindung über
einen anderen Port, als dem Standard-Port 80 abgewickelt wird. Pfade und Dateien
sind durch den Slash "/" voneinander und von der Server-Adresse getrennt. Folgt
keine weitere Pfad- oder Datei-Angabe schickt der Server die Default-Datei der
Domain. Je nach Konfiguration handelt es sich um die Datei index.html oder
index.php. Sind Pfad und/oder Datei angegeben schickt der HTTP-Server diese
Datei zurück. Ist diese Datei nicht existent, versucht er es mit einer Alternative. Gibt
es keine, wird die Standard-Fehlerseite (Error 404) an den HTTP-Client übermittelt.
HTTP-Client (Webbrowser)
8.3
Der Nutzer des WWW kann zwischen verschiedenen Webbrowsern auswählen.
Manche Produkte stehen auch plattformübergreifend zur Verfügung.
•
•
•
•
•
Firefox (open source ÆLinux, Windows)
Internet Explorer (proprietär Æ nur Windows)
Opera (open source Æ Windows, Linux)
Safari (proprietär Æ nur MacOS)
Lynx (textbasiert, open source Æ Linux)
Plug-Ins:
Zum Anzeigen von Dateien in speziellen oder herstellerspezifischen Formaten, die
ein normaler Webbrowser nicht anzeigen kann, muss der Browser für Plug-InAnwendungen, so genannte Plug-Ins, konfiguriert werden. Mithilfe dieser
Anwendungen kann der Browser dann die für die Spezialdateien notwendigen
Programme aufrufen. Dazu zählen zum Beispiel:
•
Flash – gibt Multimedia-Dateien wieder, die mit Macromedia Flash erstellt
wurden
111
•
•
8.4
Quicktime – gibt von Apple erstellte Videodateien wieder
Real Player – gibt Audiodateien wieder
HTTP-Server (Webserver)
Bekannte Webserver sind:
• Apache (Open Source, diverse Plattformen)
• Internet Information Server (nur Microsoft)
Viele Geräte aus der Automatisierungstechnik lassen sich heute per Webbrowser
konfigurieren oder aktuelle Statusdaten können mit dem Webbrowser abgerufen
werden. Voraussetzung dafür ist natürlich ein implementierter laufender Webserver.
Diese sind bei Geräten mit Netzwerkschnittstelle, z. B. eine IP-Kamera, häufig in
Java programmierte Serverprogramme.
Die Webserver horchen meistens auf Port 80. Abweichungen hiervon sind der
Produktdokumentation zu entnehmen.
Bild 2: Auch auf dem DSL-Router läuft meistens ein kleiner Webserver
112
9 E-Mail
Lernziele:
•
•
Basiswissen zur Konfiguration eine E-Mail-Clients erwerben
Begriffe SMTP, POP3 und IMAP einordnen können
Die elektronische Post, kurz E-Mail, ist einer der meist genutzten Dienste im Internet.
In der Kommunikation von Unternehmen ist E-Mail nicht mehr weg zu denken. Per EMail werden Textnachrichten und Dateien von einem Sender an einen Empfänger
geschickt. Zwischen Absenden und Empfangen einer E-Mail vergehen meist nur
wenige Minuten – egal ob der Empfänger im Büro nebenan oder in Übersee sitzt.
Die Übermittlung einer Nachricht per E-Mail ist schneller und preiswerter als die
herkömmliche Briefpost oder die Übertragung per Fax. Zudem kann eine E-Mail
mittels HTML ansprechend gestaltet werden, sodass z. B. Textauszeichnungen,
Farbe und auch der Einsatz von (Hintergrund-)Bildern möglich sind. Als Anhang einer
E-Mail lassen sich Dokumente, Bilder, Video- oder Sounddateien verschicken.
In Berufs- und Privatleben nutzen zunehmend mehr Menschen diesen Weg des
Informations- und Datenaustauschs für eine weltweite Kommunikation.
9.1
E-Mail-Grundlagen
Das Versenden von Nachrichten über Netzwerke an eine oder mehrere Personen
heißt E-Mail (Electronic Mail, dt.: elektronische Post). Die Nachrichten bestehen in
der Regel aus reinem Text. Einer E-Mail können im Anhang (engl.:Attachement)
aber auch Dateien anderer Formate angefügt sein, z. B. Textdokumente, Bilder,
Audio oder Video.
Um E-Mail nutzen zu können, ist eine E-Mail-Adresse erforderlich. Ähnlich wie bei
der Briefpost muss es auch für die elektronische Post Angaben zu Sender und
Empfänger geben, damit eine Nachricht übermittelt werden kann.
E-Mail-Adressen, wie z. B. [email protected], sind nach einem einheitlichen
Schema aufgebaut. Sie bestehen aus einer Benutzerbezeichnung (hans), einem "AtZeichen" (@) und daran anschließend aus dem vollständigen Domänennamen
(example.de) nach dem Domain Name System (DNS). Das Zeichen @ (sprich:
englisch "at" entspricht deutsch "bei") wird im deutschen Sprachraum auch als
"Klammeraffe" bezeichnet.
113
Aufbau einer E-Mail
Das Format einer E-Mail ist in der RFC 2822
http://www.ietf.org/rfc/rfc2822.txtspezifiziert. Nachrichten sind nach RFC 2822
(Internet Message Format) zeilenweise aufgebaut; eine Zeile darf dabei nicht mehr
als 998 Zeichen enthalten, die empfohlene Maximallänge beträgt 78 Zeichen. Als
Zeichensatz wird US-ASCII verwendet. Zeilen werden mit CRLF (Carriage Return Line Feed d.h. Wagenrücklauf - Zeilenvorschub) abgeschlossen.
Grundsätzlich sieht das Internet Message Format eine Trennung einer Nachricht in
einen Header (Kopf) und einen Body (Körper) vor. Der Body enthält dabei den
eigentlichen Inhalt der Nachricht, während der Header die Metainformationen,
Zusatzinformatinen (Informationen über andere Daten), enthält.
Informationen im Header (Kopf) der E-Mail
Eine E-Mail ist ähnlich aufgebaut wie eine Postkarte: Es gibt eine Absenderangabe,
eine Empfängerangabe und schließlich den eigentlichen Text.
•
Die Absenderangabe ("Von") ist die E-Mail-Adresse des Versenders. Sie
kann vom Empfänger benutzt werden, um auf die Mail zu antworten. Sie wird
aber auch genutzt, um eine unzustellbare Mail zurückzuschicken. Der Grund
dafür ist sehr oft ein Schreibfehler, da die Adressen immer vollständig richtig
geschrieben werden müssen.
•
Die Empfängerangabe ("An") ist die E-Mail-Adresse des Empfängers. Damit
Sie einem Mail-Partner schreiben können, müssen Sie seine genaue E-MailAdresse kennen. Auch hier gilt: Vorsicht vor Tipp- oder Schreibfehlern.
•
Zu einer E-Mail gehört noch eine weitere wichtige Information: Der Betreff
(engl. = "Subject"), eine kurze, erklärende Zeile zum Inhalt der E-Mail.
Im Allgemeinen werden neben Absender, Empfänger und Betreff noch weitere
Header-Angaben verwendet, z. B. das Erstellungsdatum der E-Mail.
Eine E-Mail kann grundsätzlich an mehrere Empfänger versendet werden. Neben
dem oder den eigentlichen Empfänger/n sind auch Kopien an weitere Empfänger
möglich. Es gibt zwei Varianten, die mit den Kürzeln "Cc" und "Bcc" bezeichnet
werden:
•
"Cc" steht für "Carbon Copy" und ist die Adresse eines Zweitempfängers, der
eine Kopie der Mail erhält. Sie können auch hier beliebig viele Empfänger
angeben.
•
"Bcc" steht für "Blind Carbon Copy" und ist die Adresse eines
Zweitempfängers, der eine Kopie der Mail erhält. Sie können hier ebenfalls
beliebig viele Empfänger angeben. Im Unterschied zu "Cc" sind bei "Bcc" die
Adressen aller Empfänger unsichtbar; der Empfänger einer E-Mail weiß also
nicht, an wen diese Nachricht ebenfalls versendet wurde.
114
9.1.1 E-Mail-Protokolle
Für den E-Mail-Dienst werden im Internet drei Protokolle verwendet:
SMTP Simple Mail Transfer
Protocol
Ein Protokoll zur Übertragung (Senden
und Weiterleiten) von Nachrichten, z. B.
E-Mail
POP3
Post Office Protocol,
Version 3
Ein Protokoll, das den Zugriff auf einen
Server ermöglicht, der E-Mail bereitstellt.
Ein Protokoll zum Verwalten von
Postfächern für Rechner, die nicht
dauernd mit dem Internet verbunden sind
IMAP
Internet Mail Access Protocol Ein Protokoll zum entfernten Zugriff auf
Mail-Server.
Die aktuelle Version ist IMAP4
Versenden von E-Mails
SMTP ist ein Transportprotokoll über das Nachrichten abgesendet, weitergeleitet und
ausgeliefert werden. Ein E-Mail-Programm nutzt dieses Protokoll also nur zum
Versenden der Mails. SMTP ist in RFC 2821 spezifiziert.
Empfang von E-Mails
Um E-Mails zu empfangen wird das Post Office Protocol (POP3) genutzt. Beim EMail-Zugriff über POP3 speichert ein Mailserver die Nachrichten eines Benutzers
zunächst lokal in der Mailbox (dtsch.: Postfach, Briefkasten) eines Benutzers. Dieser
kann sich dann die vorhandenen Nachrichten anzeigen lassen, sie auf den eigenen
Rechner übertragen ("abholen") und Nachrichten löschen. Üblicherweise sind E-MailNutzer nur kurz mit dem Internet verbunden, "rufen E-Mails ab" und trennen die
Verbindung wieder.
Neben POP3 wird häufig auch das Internet Mail Access Protocol (IMAP) zum
entfernten Zugriff auf Mail-Server verwendet. Die aktuelle Version von IMAP ist als
IMAP4 in RFC 2060 definiert. Im Vergleich zu POP3 erlaubt IMAP4 verschiedene
Benutzungsmodelle: Es ist möglich, wie mit POP3 offline zu arbeiten, d.h. die
Nachrichten periodisch vom Mailserver auf den Rechner des Benutzers zu
verschieben, um sie dort zu lesen. Darüber hinaus bietet IMAP4 jedoch auch die
Möglichkeit, in einer Art online-Betriebsart die Nachrichten auf dem Server zu
belassen und sie nur bei Bedarf zu übertragen. Schließlich werden auch HybridBenutzungsarten unterstützt, bei denen ein Teil der Nachrichten online gelesen und
manipuliert wird, ein anderer Teil im offline-Modus, wobei im offline-Modus
115
vorgenommene Änderungen zu einem späteren Zeitpunkt auch noch auf dem Server
nachvollzogen werden können. Der Server bliebe im letztgenannten Fall der
hauptsächliche Aufbewahrungsort für die Nachrichten. Eine weitere Eigenschaft von
IMAP4 ist z. B. der gleichzeitige Zugriff auf von mehreren Benutzern bearbeitete
Mailboxen.
Hinweis:
Aufgrund der unterschiedlichen Protokolle für das Senden und Empfangen von EMail müssen in einem E-Mail-Programm verschiedene Eingaben getätigt werden,
bevor E-Mail vollständig genutzt werden kann. Ihr Internetprovider teilt Ihnen die
notwendigen Adressen und Authentisierungsdaten mit, wenn er Ihnen das E-MailKonto bereitstellt.
9.1.2 Der E-Mail-Account
Um E-Mails versenden und empfangen zu können, benötigen Sie
•
•
•
eine Verbindung zum Internet
ein E-Mail-Programm
ein E-Mail-Konto ("Account") mit eigener E-Mail-Adresse.
Das E-Mail-Konto wird Ihnen in der Regel von Ihrem Internetprovider zur Verfügung
gestellt. Ihnen werden dazu folgende Zugangsdaten mitgeteilt:
•
•
•
Benutzername
Passwort
Rechnername bzw. Adresse des SMTP- und des POP3 bzw.IMAP- Servers.
Um das E-Mail-Konto zu nutzen, müssen Sie diese Daten in Ihrem E-Mail-Programm
eintragen.
9.1.3 E-Mail-Dienste per "Webmail"
Außer dem E-Mail-Dienst, den Ihnen Ihr Internetprovider zur Verfügung stellt, gibt es
kostenlose oder zumindest kostengünstige webbasierte (engl. = "webbased") E-MailDienste (Webmail). Auf diese Dienste greifen Sie per Webbrowser über das WWW
zu und können somit von jedem beliebigen Computer mit Internetzugang – auch im
Ausland – Ihre persönlichen Mails versenden und empfangen.
Einige bekannte Webmail-Dienste sind:
•
•
•
GMX: (http://www.gmx.de)
Web.de: (https://freemail.web.de)
T-Online: (https://email.t-online.de )
116
E-Mail-Programme
Zur Verwaltung und zum Erstellen von E-Mails benötigen Sie ein E-Mail-Programm,
auch als E-Mail-Client bezeichnet. Hier steht eine große Auswahl zur Verfügung.
Neben den Microsoft-Produkten Outlook und Outlook Express existieren sehr
leistungsstarke OpenSource-Lösungen mit Thunderbird und Evolution.
Die E-Mail-Clients müssen anfangs mit den vom Provider zur Verfügung gestellten
Daten konfiguriert werden, damit der Zugriff auf „Ihr Postfach“ möglich ist bzw. Sie
auch in der Lage sind selbst E-Mails zu versenden. Entsprechende Anleitungen und
Hilfestellungen werden von der Providern zur Verfügung gestellt bzw. sind reichlich
im Internet zu finden.
Zum Leistungsumfang von E-Mail-Anwendungen zählen unter anderem:
•
Filter (Rules). Mit Filtern legen Sie Regeln fest, um gezielte Aktionen mit
eingehender oder ausgehender Post durchführen zu lassen. So können Sie z.
B. eingehende E-Mails nach Kriterien wie Absender oder Betreffzeile in
bestimmten Verzeichnissen ablegen lassen, um einen besseren Überblick zu
behalten.
•
Autoreply. Diese "Automatischen Antworten" sind vorbereitete
Antwortschreiben auf eingehende Post. Damit lassen sich z. B.
Empfangsbestätigungs-E-Mails bei eingehenden Kundenbestellungen
automatisch versenden. Die Autoreply-Funktion setzt in der Regel eine
Filtermöglichkeit voraus.
•
Multi-POP. Diese Funktionalität ermöglicht die Verwaltung mehrerer E-MailKonten. Es können mehrere Konten ("Account") hintereinander abgefragt
werden, ohne jedes Mal die Grundeinstellungen für SMTP- und POP-Server
neu einzugeben.
•
PGP (Pretty Good Privacy). Dieses Programm verschlüsselt Nachrichten, die
über das Internet übertragen werden. Das Authentifizierungs- und
Verschlüsselungsverfahren gilt als sehr sicher. Für Privatanwender ist die
Anwendung kostenlos, sie wird aber nicht von jedem E-Mail-Programm
unterstützt.
•
Templates. Diese "Vorlagen" sind Musterbriefen vergleichbar. Sie helfen die
Schreibarbeit zu rationalisieren. Zumeist bietet ein Programm einige StandardTemplates, die beliebig erweitert werden können.
•
Rechtschreibprüfung. Diese Funktion hat sich auch in der Textverarbeitung
bewährt. Sie sollte die neue deutsche Rechtschreibung und mehrere andere
Sprachen unterstützen.
117
10 LAN-Router
Lernziele:
• Leistungsmerkmale heutiger LAN-Router kennen
• Zugriffsmöglichkeiten zur Konfiguration und Diagnose auf LAN-Router kennen
• Zurücksetzen auf Werkseinstellungen (Factory reset) durchführen können
• Leistungsumfang eines Kombigerätes LAN-Router einschätzen können
Alternative Bezeichnungen für LAN-Router sind
•
•
•
•
DSL-LAN-Router
ADSL-WLAN-Router
Wireless-G
ADSL-Home-Gateway
Router für kleine Netzwerke stellen nicht nur die Internetverbindung bereit, sondern
dienen mit allerhand Zusatzfunktionen als Kommunikationszentrale des LAN. Diese
Kombigeräte integrieren zum Beispiel das DSL-Modem und/oder eine FunkBasisstation (WLAN-Access-Point). Das Kombigerät benötigt weniger Platz und
Strom als Einzelkomponenten. Allerdings muss bei Ausfall einer Funktion auch gleich
das ganze Gerät getauscht werden.
Die nachfolgenden Bilder zeigen zwei Vertreter von WLAN-Routern mit integriertem
DSL-Modem.
Bild 1: T-Com Speedport W 701V
Bild 2: AVM Fritz!Box Fon 7170
10.1 Leistungsmerkmale
Der LAN-Router enthält meistens bereits …
• ADSL-Modem
• mehrere Netzwerkanschlüsse (LAN-Ports), üblich 4 Port-Switch (früher Hub)
- Fast-Ethernet (100 MBits/s)
- Giga-Ethernet (1000 MBits/s)
118
•
•
•
•
DHCP-Server
Funk-Basisstation (WLAN-Basisstation oder WLAN-Access-Point)
Firewall
Anschluss für Internettelefonie (Voice over IP)
Weitere Router-Extras sind …
• Telefonzentrale, Anschluss für analoge Telefone
• USB-Schnittstelle für Drucker Æ Konfiguration als Netzwerkdrucker (Print
Server)
• USB-Schnittstelle für externe USB-Festplatte mit Samba-Server zur
„Windows-Dateifreigabe“
• „Kindersurfsicherung“über Webfilter und Zeittabellen
• Client für Adressdienste wie dyndns.org
Der Router trägt sich in einen Verzeichnisdienst ein, sodass er aus dem
Internet über einen leicht merkbaren Namen wie livestation.dyndns.org
erreichbar ist.
• einstellbares Port-Forwarding
macht Dienste wie einen eigenen Webserver oder sicheren Zugang über ssh
von außen möglich
• bei Router mit WLAN: es sollte mindestens dem aktuellen Standard 802.11g
entsprechen und eine sichere Verschlüsselung beherrschen
10.2 Router-Konfiguration
Durch Software-Assistenten soll die Einrichtung ganz einfach gelingen. Doch sind
gerade für die Sicherheitseinstellungen noch Handarbeiten erforderlich. Aktuelle
Router werden über den Webbrowser eingerichtet. Der Microsoft Internet Explorer
ist für diese Aufgabe die erste Wahl, weil viele Programmierer ihre Router-Seiten
offenbar nicht mit anderen Webbrowsern testen. Viele aktuelle Router benutzen
JavaScript, das folglich aktiviert werden muss. Auch Popups sollte man zulassen.
Die URL der Konfigurationsseiten und das auf der Login-Seite einzugebende
Standardpasswort stehen in der Dokumentation. Beim T-Com Speedport 701-V
geschieht dies z. B. über:
http://speedport.ip
und dem Standardpasswort: 0000
119
Bild: Aufruf der Konfigurationsseite beim Speedport 701V
Erscheint die Login-Seite, aber das Standardpasswort aus der Dokumentation öffnet
nicht den Eingang, sollte ein Zurücksetzen auf Werkseinstellungen (Factory
reset) mit Hilfe des Reset-Tasters zum Erfolg führen. Dazu muss man in der Regel
etwa eine halbe Minute den Reset-Taster gedrückt halten. Genaueres sollte im
Handbuch stehen.
10.3 Was kann alles konfiguriert werden?
•
Internetzugang
Æ Einstellungen für integriertes ADSL-Modem
VPI=1 VCI=32 Encapsulation=LLC
Einwahlmethode = PPOE (erxternes Modem erforderlich)
Benutzernamen und Kennwort (Providerdaten)
Hinweis: Diese Parameter werden im Rahmen dieses Seminares nicht besprochen
•
DHCP-Server
versorgt automatisch entsprechende Client-Systeme mit IPKonfigurationsparametern.
•
evt. Firmwareupgrade
im Konfigurationsprogramm auf die Firmware-Seite gehen, auf die
heruntergeladene Datei klicken und mit einem weiteren Klick das Update
starten. Nach dem Update erfolgt ein automatisch ein Reboot des Routers, so
dass der gesamte Vorgang schon mal 5 Minuten dauern kann.
Hinweis: ein Update ist auch bei neuen Geräten überraschend oft erforderlich
•
erste Sicherheitsmaßnahmen ergreifen. Dazu zählen …
… Standardpasswort der Konfiguration durch ein individuelles ersetzen
… Fernwartung (Remote Control oder Remote Configuration) deaktivieren
… Universal Plug&Play (UPnP) deaktieren, keine Port-Forwarding-Funktion
von
UPnP
… keine zusätzlichen Firewall-Regeln (NAT-Einträge, ausschließlich PortForwarding)
Network Address Translation (NAT) schützt schon vor direkten Angriffen
von
außen
•
Funknetz (WLAN)
hier sollte eine Verschlüsselung eingestellt sein. Bei vielen Routern wird durch
120
den Assistenten die Grundeinstellung ohne Verschlüsselung vorgenommen.
Hinweis: Wer sein WLAN unverschlüsselt betreibt, ist nach aktueller
Rechtssprechung mit verantwortlich, wenn jemand anders es für Straftaten
nutzt.
•
Zeitserver (NTP, Network Time Protocol)
Die Geräte synchronisieren ihre internen Uhren über das Internet mit
Zeitservern. Hier sind oft amerikanische oder taiwanische Server
voreingestellt. Um die Last auf diesen Servern zu verringern und die
Genauigkeit zur erhöhen, sollten Sie einen netzwerktechnisch näher
liegenden Server eintragen, zum Beispiel die von der Physikalische
Technischen Bundesanstalt (PTB) betriebenen ptbtime1ptb.de und
ptbtime2.ptb.de.
•
Dienste aus dem LAN für das Internet bereitstellen Æ DynamicDNS
Soll z. B. der Zugriff von außen (aus dem Internet) auf einen Webserver im
LAN (Heimnetz) erfolgen, sind spezielle Maßnahmen erforderlich. Hierbei sind
auch besondere Sicherheitsvorkehrungen zu treffen.
Das Thema wird in einem speziellen Kapitel betrachtet.
•
Voice-over-IP-Gateway (VOIP) aktivieren
Der Router hat auch Anschlüsse für analoge oder ISDN-Telefone. Folgende
Parameter sind noch zu konfigurieren: die vom VOIP-Provider zugeteilte
Rufnummer, Benutzername und Passwort sowie die beiden Server SIPRegistrar und SIP-Proxy (sind gewöhnlich identische Adressen). Bei einigen
Modellen legt man anschließend separat fest, unter welcher VOIP-Rufnummer
welches Telefon klingelt. Weiterhin sind Wahlregeln, Rufsperren und –
weiterleitungen konfigurierbar.
Das Thema VOIP ist nicht Bestandteil dieses Seminars.
Universal Plug & Play (UPnP)
Von Microsoft entwickeltes Protokoll, über das beliebige Programme auf einer Station im
LAN ohne jede Zugangskontrolle Porterweiterungen anlegen können. Gedacht für
Online-Spiele (zur Vereinfachung der Einrichtung), erlaubt auch Trojanern, sich als
Server im Internet anzubieten.
Über UPnP lässt sich auch der Online-Status des Routers abfragen, was
sicherheitstechnisch unkritisch ist. Bessere Router erlauben es, beide Funktionen
Network Translation Address (NAT)
Schützt vor direkten Angriffen von außen. Da der Router vom Provider bei der Einwahl
nur eine Adresse erhält, muss er die Anfragen aller PCs auf dem Heimnetz (LAN) auf
diese Adresse übersetzen und die Antworten aus dem Internet mit Hilfe einer Tabelle
wieder dem richtigen PC zuordnen. Nur wenn die Verbindung aus dem LAN heraus
aufgebaut wurde, gibt es einen Eintrag in der NAT-Tabelle. Daher verwirft der Router
Pakete, die ein Angreifer unaufgefordert aus dem Internet schickt, weil er sie mangels
NAT-Eintrag nicht an einen LAN-PC zustellen kann.
121
11 Strategische Fehlersuche im TCP/IP-Netz
Lernziele:
• Strategien zur Fehlersuche im TCP/IP-Netz kennenlernen und anwenden
• Netzwerkschichtenmodell zur strategischen Fehlersuche einsetzen
Verbindungs- bzw. Kommunikationsprobleme im Netzwerk können recht komplex
und vielschichtig sein. Bei der Fehlersuche ist besonders auf die systematische
Vorgehensweise zu achten. Hierbei spielt das Verständnis für das
Netzwerkschichtenmodell, so wie es im Kapitel „TCP/IP - Grundlagen“ betrachtet,
wurde eine wichtige Rolle.
Strategische Fehlersuche im
TCP/IP-Netz
•
•
•
•
•
•
•
•
Physikalische Verbindung prüfen
Aktuelle IP-Konfiguration überprüfen
Netz-Softwareschnittstelle testen
Netzwerkkarte und Treiber prüfen
- ist TCP/IP-Stack erfolgreich installiert?
Verbindung zu Rechnern im lokalen Netz prüfen
Verbindung zum Router (Standardgateway) prüfen
Routing testen - Verbindung zu Rechnern im entfernten Netz prüfen
Namensauflösung (DNS) testen
Bild 1: Übersicht der erforderlichen Schritte zur Fehlersuche im TCP/IP-Netz
Bei der Fehlersuche im TCP/IP-Netz sollte in der angegebenen Reihenfolge
vorgegangen werden. Die einzelnen Schritte werden im Folgenden detaillierter
betrachtet:
122
Schritt 0:
Physikalische Verbindung prüfen
Nein, Lösung
Verbindungsproblem
beseitigen
Leuchtet Link-LED an Netzwerkkarte u. Switch?
Ja
Link vorhanden
Schritt 1:
Aktuelle IP-Konfiguration prüfen
Anzeige über ipconfig /all (bzw. ifconfig)
Dynamische IP
ja
IP-Adresse und
Netzmaske korrekt?
Eindeutige Host-ID und
gleiche Netz-ID
APIPA?
Adresse: 169.254.xxx.yyy
Netzmaske: 255.255.0.0
nein
Keine „Betankung“ vom DHCP-Server
erhalten. Neue IP-Daten anfordern:
ipconfig /release
Ipconfig /renew
Ansonsten ist DHCP-Server nicht erreichbar
oder nicht aktiv Æ DHCP-Server überprüfen
Æ Notfalls statische IP-Adresse vergeben
Korrekte statische IP-Adresse und
Subnetzmask eintragen
nein
ja
IP-Konfiguration ist korrekt
Bild 2: Schritt 0 und Schritt 1
123
Schritt 2:
Netztreibersoftware prüfen
Fehler
ping 127.0.0.1 oder ping localhost
Netzwerkkartentreiber neu
installieren
Ok, TCP/IP-Stack
Schritt 3:
Netzwerkkarte und Treiber prüfen
Fehler
ping Eigene_IP_Adresse
Netzwerkkarte nicht in Ordnung oder
Treiber passt nicht zum Netzadapter.
Æ evt. Netzwerkkarte defekt, tauschen
Treiber und Netzwerkkarte
funktionieren
Schritt 4:
Verbindung zu anderen Rechnern im
gleichen (eigenen) Netz prüfen
Fehler
z. B. ping 192.168.1.110
Verkabelung, Hub, Switch oder
Gegenstelle (Remote Host) nicht in
Ordnung
Æ überprüfen
Lokale Rechner können
erreicht werden
Bild 3: Schritt 2 bis Schritt 4
Schritt 5:
Verbindung zum Standardgateway prüfen
Fehler
ping 192.168.1.1
Eventuell falsche IPAdresse angegeben
Æ IP-Adresse in RouterKonfiguration überprüfen
Router nicht betriebsbereit
„Das Tor zur weiten Welt
steht jetzt offen“
Schritt 6:
Verbindung zu Rechner in fremden Netzwerk
prüfen
Fehler
ping 129.35.205.133
Routingproblem oder Remote-Host nicht
erreichbar.
Die Gegenstelle erlaubt kein ping auf
eigenen Rechner.
Routing funktioniert
Schritt 7:
Verbindung zu anderen Rechnern im
gleichen (eigenen) Netz prüfen
Fehler
z. B. ping www.busch-jaeger.de
DNS funktioniert
Namensauflösung, Routing, DHCP und
Hardware sind in Ordnung
Bild 4: Schritt 5 bis Schritt 7
124
Problem mit der Namensauflösung:
- kein korrekter DNS-Server Eintrag
Test:
nslookup www.busch-jaeger.de
Ergänzende Hinweise:
Zu Schritt 0:
Das Leuchten der Link-LED auf den Netzwerkkarten und dem Switch/DSL-Router
zeigt an, dass die elektrische Verbindung steht. Dies sollte immer als erstes
kontrolliert werden, bevor man z.B. den Fehler in den IP-Adressen sucht. Eine
blinkende Link-LED signalisiert bei den meisten Geräten einen Datenverkehr.
Zu Schritt 1: APIPA (Automatic private IP Addressing):
Ist die Adresse 169.254.yyy.xxx mit der Subnetzmaske: 255.255.0.0: dann wurde am
Client Autoconf eingeschaltet, das dann zum Zuge kommt, wenn wiederholt der
DHCP-Server nicht erreicht werden kann. Das bedeutet nichts anderes, als dass der
Client den DHCP-Server noch nicht hören konnte.
Dieses Ereignis wird auch im Systemprotokoll der Ereignisanzeige bei Windows
XP/2000 mitprotokolliert und kann dort als “DHCP-Error“ eingesehen werden.
125
12 Tools für Diagnose und Fehlersuche
Lernziele:
• Wichtige Tools zur Fehlersuche im TCP/IP-Netz kennen und anwenden
können
• Diagnose-Tools für das TCP/IP-Netz kennen und anwenden können
• Einsatzmöglichkeiten und Grenzen der Tools erkennen
Zur Fehlersuche und Netzwerkanalyse im TCP/IP-Netz gibt es
•
•
•
Programme, die zum „TCP/IP-Paket“ gehören („Bordmittel“),
Software des Betriebssystemherstellers und
Tools von Drittanbietern. Diese sind zum Teil sehr komplex und benötigen
tiefgehende Netzwerkkenntnisse.
Die folgende Tabelle liefert eine Übersicht über die wichtigsten Tools.
Tool
Aktuelle IPKonfiguration
anzeigen
Konnektivität
Ubuntu
ifconfig
u.
route -n
ping 127.0.0.1
ping 192.168.2.55
ping 129.35.205.133
ping www.buschjaeger.de
Namensauflösung nslookup www.busch(DNS)
jaeger.de
Routenverfolgung traceroute
129.35.205.133
Arp-Tabelle
arp -a
anzeigen
(Auflösung IPAdresse in MACAdresse
Professioneller
Wireshark (früher
Netzwerkanalysator Ethereal)
Offene Ports
nmap localhost
anzeigen
Routing-Tabelle
route -n
anzeigen
Windows
ipconfig
bzw.
ipconfig /all
ping 127.0.0.1
ping 192.168.2.55
ping 129.35.205.133
ping www.buschjaeger.de
nslookup www.buschjaeger.de
tracert 129.35.205.133
arp -a
Wireshark (früher
Ethereal)
netstat
netstat -rn
Bild 1: Übersicht der Tools für Diagnose und Fehlersuche im TCP/IP-Netz
126
Auch Betriebssysteme enthalten teilweise bereits Softwaretools. So gehört zum
Beispiel zum Umfang von Ubuntu-Linux ein recht komfortables NetzwerkdiagnoseTool.
Bild 2: Zum Lieferumfang von Ubuntu-Linux gehört eine komfortables
Netzwerkdiagnosetools
127
12.1 Aktuelle IP-Konfiguration anzeigen – ipconfig / ifconfig
Bild 3: Aktuelle IP-Konfiguration mit ipconfig anzeigen
Bild 4: Ausführliche aktuelle IP-Konfiguration mit ipconfig /all anzeigen
128
12.2 Konnektivität überprüfen – ping
Ob die Geräte prinzipiell Daten untereinander austauschen können, lässt sich
einfach in der Eingabeaufforderung mit dem Ping-Befehl testen
Bild5: Überprüfung der Konnektivität mit dem befehl Ping.
Ist der Knoten 10.49.136.1 erreichbar.
Ping – Paket Internet Groper – ist das meistgenutzte Tool, um eine
Netzwerkverbindung zu einer anderen Station zu testen oder einfach nur, um den
lokalen TCP/IP-Stack zu prüfen. Bei der Ausführung des ping-Befehls wird ein
ICMP-Paket vom Typ ICMP Echo Request („PING“) an die Netzwerk-Station
gesendet. Wenn die Station das ICMP-Paket empfangen hat, sendet sie ein ICMPPaket vom Typ ICMP Echo Reply („PONG“) zurück.
Hinweis: Unter Windows führt das ping-Kommando den „PING“ nur insgesamt 4-mal
hintereinander aus. Bei Linux wird eine Dauer-„PING“ ausgeführt. Zum Abbruch
muss die Tastenkombination <Strg> + <C> gedrückt werden.
129
12.3 Namensauflösung überprüfen - nslookup
Mit dem Tool nslookup, gehört zum Lieferumfang von TCP/IP, kann die
Namenauflösung mit DNS überprüft werden.
Bild 6: Domain Name Service (DNS-Namensauflösung) überprüfen
12.4 Routenverfolgung – tracert / traceroute
(engl. Trace Route)
Mit dem Programm tracert (Windows) bzw. traceroute (Linux/Unix) bekommt man
noch mehr Informationen über die Netzwerkverbindung zwischen der lokalen und
einer entfernten Station. Mit Trace Route wird eine Routenverfolgung vorgenommen
und sichtbar gemacht.
Bild 7: Mit tracert /traceroute die Route zum Ziel ermitteln
Bei der Ausführung des Befehls tracert bzw. traceroute wird ein ICMP-Befehl (Ping)
mit einem auf „1“ gesetzten TTL-Wert an die Ziel-Adresse geschickt. Der Router, der
die abgelaufene Lebenszeit des Datenpaketes erkennt, verwirft das Paket und
schickt eine ICMP-Meldung vom Typ 11 Time Exceed zurück. Über den jedes Mal
ansteigenden TTL-Wert können alle Router auf der Route zum Ziel ermittelt werden.
130
12.5 Das Netzwerk analysieren - Wireshark
Wireshark (früher als Etheral bekannt) ist eine leistungsfähige Open Source
Netzwerkanalysesoftware, die sowohl für Linux, Mac OS als auch für Windows
erhältlich ist. Das beliebte Tool analysiert den Netzwerk-Verkehr auf Protokollebene.
Dabei geht der Sniffer tief ins Detail und erlaubt zum Beispiel auch Blicke in die
Protokoll-Header. Profis können mit diesem Werkzeug leicht auf Fehlersuche gehen.
Bild 8: Der Netzwerkanalysator Wireshark
131
12.6 Routingtabellen anzeigen netstat / route
Bild 9: Routingtabellen unter Windows anzeigen
Die Routing-Tabelle des lokalen Rechners kann unter Windows mit netstat –r(n) und
unter Linux mit route -n angezeigt werden.
Netstat bietet viele weitere Möglichkeiten.Mit dem Kommandozeilentool netstat
lassen sich alle aktiven TCP-, UDP- und IP-Verbindungen, die Routing-Tabelle und
eine detaillierte Statistik der TCP/IP-Daten abrufen.
Alle aktiven Verbindungen auflisten
Routing-Tabelle auflisten
Detaillierte Statistik der TCP/IP-Daten anzeigen
132
netstat -a
netstat -r[n]
netstat -s
13 Fernzugriff aus dem Internet auf das Heimnetz (DynDNS)
Lernziele:
• Prinzip von dynamischen DNS (DynDNS) verstehen
• Erforderliche Schritte zum Konfigurieren von DynDNS erkennen
• Dynamisches DNS für ein Heimnetz einrichten können
Motivation
Sie möchten, dass Ihr PC oder ein anderes IP-Gerät in ihrem Heimnetz vom Internet
aus stets unter derselben Webadresse (Domänenbezeichnung, Domain Name)
erreichbar ist, obwohl sich die von Ihrem DSL-Internetanbieter zugewiesene
öffentliche IP-Adresse ständig ändert.
Sie wollen z. B. aus dem Internet …
… per HTTP-Protokoll auf einen Webserver in ihrem Heimnetz zugreifen
… auf eine Überwachungskamera im Heim-/Firmennetz zugreifen
… den Remote-Desktop-Zugang zu einem Desktop-PC im Heimnetz ermöglichen
… per ssh zur Wartung auf einen heimischen Server zugreifen
… per FTP-Protokoll den Zugriff auf heimische Daten von unterwegs ermöglichen
… eine VPN-Verbindung auf einen Rechner im Heimnetz aufbauen
oder allgemein:
… einen Dienst aus dem Heimnetz für das Internet bereitstellen.
Dann müssen Sie einen dynamischen Namensservice im Internet, das so
genannte dynamische DNS (DynDNS), nutzen und für Ihr Heimnetz einrichten.
Mit Hilfe von Dynamic DNS können Sie sicherstellen, dass z. B. ein Web-Server auf
Ihrem PC (oder auch ein anderer Dienst) immer unter einer festen URL auf dem
Internet erreicht werden kann. Hierfür müssen Sie sich einmalig bei einem Dynamic
DNS-Anbieter im Internet anmelden und dort einen Domain Namen (z. B.
mycam.dyndns.org) reservieren. Eine Zusatzfunktion im DSL-Router gleicht dann die
aktuell vom Internetanbieter zugewiesene IP-Adresse bei jedem Aufbau der
Internetverbindung mit diesem Domain Name ab.
In diesem Kapitel werden die theoretischen Grundlagen und die praktische
Umsetzung für Dynamic DNS betrachtet.
DynDNS – kurz und bündig erklärt
Dynamisches DNS (DynDNS) ermöglicht es, über einen fest definierten Namen
auf einen Rechner mit sich ständig wechselnder IP-Adresse zuzugreifen. Das
wird z. B. dann benötigt, wenn Sie auf einen Server zugreifen möchten, der hinter
einem DSL-Router steht. Die WAN-Schnittstelle des DSL-Routers erhält jede 24
Stunden eine neue öffentliche IP-Adresse vom Internet-Provider zugewiesen. Mit
Hilfe von DynDNS muss nicht für den Zugriff auf den Server jedes Mal erst
irgendwie die öffentliche Adresse herausgefunden werden, sondern kann gleich
über den Namen darauf zugegriffen werden. Hinzu kommt, dass sich so ein
Name um einiges besser merken lässt, als eine IP-Adresse.
133
13.1 Prinzip Fernzugriff mit DynDNS
Fast alle Internetprovider vergeben an ihre Kunden dynamisch IP-Adressen. Bei
jeder Einwahl oder jedem Verbindungsaufbau bekommt der Kunde eine neue IPAdresse zugewiesen. Dabei spielt es keine Rolle, ob die Verbindung zum Internet mit
einem Modem, ISDN oder DSL hergestellt wird. Auch bei Kunden mit einer DSLFlatrate wird die Verbindung nach 24 Stunden automatisch getrennt. Möchte man
nun einen Server, wie zum Beispiel einen kleinen Webserver, über seinen eigenen
DSL-Anschluss betreiben, benötigt man dynamisches DNS (DynDNS).
Der Server sollte immer über den gleichen Domain Name erreichbar sein. Für die
Umsetzung Domain Name nach IP-Adresse ist DNS zuständig. Nach außen zum
Internet ist immer nur die WAN-Schnittstelle des DSL-Routers sichtbar. Damit der
Server immer unter dem gleichen Hostnamen zu erreichen ist, muss nach einer
Adressänderung der Eintrag auf dem Namensserver (DNS) aktualisiert werden.
Dieses Verfahren wird als dynamisches DNS bezeichnet. Es gibt viele Anbieter für
dynamisches DNS wie dyndns.org, regfish.com und noip.com.
Einer der populärsten Anbieter dieses Dienstes ist dnydns.org. Dort kann man sich
kostenlos einen Hostnamen (Rechnernamen, Domain Name) registrieren und
dessen IP-Adresse dynamisch aktualisieren. Im Heimnetz wird eine Software,
DynDNS-Client genannt, benötigt, die die vom Provider zugewiesene IP-Adresse bei
dyndns.org meldet. Viele DSL-Router haben heute schon einen DynDNS-Client an
Bord. Verfügt der Router nicht über diese Funktion, muss die Aktualisierung von
einem PC im Heimnetz ausgelöst werden. Abhängig vom Betriebssystem gibt es
dafür spezielle Tools. Unter Linux gibt es dazu das Tool RunDNS, bei Windows z. B.
den DynDNS Updater.
Auch sonstige IP-Geräte, wie z. B. IP-Kameras, verfügen meistens über einen
DynDNS-Client.
Der DynDNS-Client meldet nach erfolgreicher Konfiguration bei jedem
Verbindungsaufbau ins Internet die aktuelle öffentliche IP-Adresse an seinen
DynDNS-Dienste-Anbieter.
134
Bild 1: Prinzip Fernzugriff mit DynDNS
Quelle: http://www.wintotal.de/Artikel/dyndns/dyndns.php
135
Wichtig!
Aus Sicherheitsgründen sollte der Dienste-Rechner sich innerhalb einer geschützten
Zone, einer Demilitarized Zone (DMZ), im Heimnetz befinden.
Wie ist meine IP-Adresse?
Möchten Sie Herausfinden, mit welcher IP-Adresse Sie gerade online sind,
geschieht das z. B. durch Aufruf der URL http://www.wieistmeineip.de/ .
Hintergrundinformationen:
Da Sie diese Seite über einen Router mit Network Address Translation
(NAT) aufrufen, sehen Sie hier nicht die IP-Adresse von Ihrem ClientRechner. Clients hinter Router verwenden oft IP-Adressen aus dem privaten
reservierten Adressbereich nach RFC 1918 (siehe Kapitel TCP/IP
Grundlagen, Private IP-Adressbereiche). Also Adressen aus den Netzen
10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16. Diese Netze werden im
Internet nicht geroutet. Hat Ihr PC also z. B. die IP-Adresse 192.168.1.31, wird
diese Adresse von Ihrem Router in eine offizielle Adresse übersetzt. Diese
offizielle Adresse wird dem DSL-Router beim Verbindungsaufbau vom
Internetprovider zugeteilt. Die Webseite www.wieistmeineip.de zeigt Ihnen
136
13.2 Konfiguration für den Fernzugriff - Was ist zu tun?
Zusatzinfos im Internet unter:
http://www.wintotal.de/Artikel/dyndns/dyndns.php
http://www.easy-network.de/dyndns-einrichten.html
Um einen eigenen Server, z. B. Webserver, hinter einem DSL-Router ins Internet zu
bringen, bedarf es einiger Arbeit. Im Folgenden wird das Vorgehen am Beispiel vom
DynDNS-Dienstanbieter dyndns.org beschrieben. Als DSL-Router dient die
Fritz!Box 7170. Bei anderen Anbietern für DynDNS-Dienste bzw. DSL-RouterProdukten ist die Vorgehensweise und Konfiguration entsprechend.
Es gibt mehrere Anbieter für DynDNS-Dienste. Dazu gehören u. a. dyndns.org,
regfish.com und noip.com. Teilweise werden die Dienste kostenlos angeboten. Im
Folgenden wird die kostenlose Variante von dyndns.org betrachtet, die bis zu 5
DynDNS-Einträge ermöglicht.
Alle DynDNS-Dienste-Anbieter erlauben die Aktualisierung der DNS-Einträge
manuell per Webinterface oder mit einem speziellen DynDNS-Client. Bei modernen
DSL-Router ist heutzutage bereits ein Client integriert. Fehlt dieser, muss eine
entsprechende Client-Software auf einem PC oder anderem IP-Gerät im Heimnetz
als Dienst installiert werden. Am Komfortabelsten ist natürlich eine automatische
Aktualisierung durch den DSL-Router.
Folgende Schritte sind erforderlich:
1. Router auf ständig online konfigurieren
Damit der Heimserver auch ständig aus dem Internet erreichbar ist, muss der
DSL-Router eine Dauerverbindung zum Internet haben. Dafür sorgt im
Konfigurationswerkzeug des DSL-Routers eine Option, die „Always on“, „Stay
connected“, „Auto reconnect“ oder ähnlich heißt. Normalerweise steht sie in
der Nähe des Idle-Timeout, dessen Gegenteil sie ja ist.
speziell bei der Fritz!Box:
http://fritz.box Æ Internet Æ Zugangsdaten Æ VerbindungseinstellungenÆ
Internetverbindung dauerhaft halten
137
2. Dienst für Dynamic DNS beantragen
Die bei jeder Einwahl wechselnde IP-Adresse des Routers muss einem
gleichbleibenden Namen zugeordnet werden. Dafür sorgen Dienste wie
dyndns.org. Auf der Webseite legt der Admin einen Account an und registriert
darunter einen „DynamicHost“ wie mycam.dyndns.org.
Um den DynDNS-Dienst nutzen zu können, müssen wir uns erstmal bei solch
einem Dienste-Anbieter anmelden und einen Account erstellen.
Bei DynDNS.org geht das unter http://www.dyndns.org/account/create.html
.
Anmerkung: Username hat nichts mit dem später einzugebenden Hostname
zu tun
Bild 2: Beim DynDNS-Anbieter registrieren
Jetzt müssen noch der oder die benötigten Hosts bei dyndns.org eingetragen
werden. Dazu loggen Sie sich mit dem erstellten Account bei dyndns.org ein
Mit Account anmelden Æ My Service Æ Add New Hostname
138
Bild 3: DynDNS-Adresse anlegen
Nachdem der Hostname angelegt wurde kann bereits die Namensauflösung
überprüft werden
nslookup mycam.dyndns.org
3. Router für DynDNS konfigurieren - DynDNS-Client aktivieren
Im DSL-Router werden unter „DynamicDNS“ die Accountdaten beim
DynDNS-Dienste-Anbieter (Benutzername / Passwort) und der Domian
Name (Rechnername, z. B. mycam.dyndns.org) eingetragen. Hierdurch wird
bei jeder Einwahl die neue IP-Adresse bei dyndn.org registriert. Kurz darauf ist
der DSL-Router aus dem Netz unter seinem Namen ansprechbar.
Hinweis: Enthält der DSL-Router keinen DynDNS-Client, muss auf einem
Rechner im Heimnetz eine DynDNS-Client-Software (z. B. bei Windows
DynDNS Updater) installiert werden.
DynDNS-Funktionaltität überprüfen:
Um dass zu prüfen, ist es sehr praktisch, wenn der Router auf Ping-Anfragen
aus dem Internet antwortet:
ping mycam.dyndns.org
139
alternativ:
nslookup mycam.dyndns.org
Dazu muss bei den aktuellen Routern die Funktion „Ping block“ oder „Deny
WAN request“ abgeschaltet werden. Diese Einstellung soll den Router vor
Hackern verbergen, die mittels Ping-Scans im Internet nach Opfern suchen.
Doch Profis halten sich ohnehin nicht mit Ping-Scans auf, sodass die
Sicherheit nicht leidet, wenn man den Ping-Block deaktiviert.
speziell bei Fritz!Box:
Voraussetzung
- Um DynDNS nutzen zu können, muss die Fritz!Box für den Router-Betrieb
eingerichtet sein:
http://fritz.box Æ Internet Æ Zugangsdaten Æ Zugangsdaten verwenden
(Fritz!Box arbeitet als DSL-Router
Einrichtung DynDNS-Client bei Fritz!Box
- Benutzeroberfläche in Expertenmodus umschalten
http://fritz.box Æ System /Ansicht Æ Experteneinstellungen anzeigen Æ
Übernehmen
- DynDNS-Anbieter, Domain Name und die Zugangsdaten des DynDNSAnbieters
http://fritz.box Æ Internet Æ Dynamic DNS
Bild 4: DSL-Router als DynDNS-Client einrichten, hierzu sind DynDNSAnbieter, Domain Name und Accountdaten beim DynDNS-Anbieter
erforderlich.
140
4. Auf Router für einen Rechner Port Forwarding aktivieren
Wenn man nun über den DynDNS-Namen einen Dienst im Heimnetz
anspricht, z. B. http://mycam.dyndns.org , weiß der Router (wegen der
Network Address Translation) nicht, wohin mit dem Paketen. Der Trick ist nun,
in der NAT-Tabelle statische Einträge anzulegen, die solche Pakete an einen
Rechner im LAN verweisen. Der übliche Begriff dafür ist Portweiterleitung,
engl.Port Forwarding. Anhand des Protokolls, TCP oder UDP, und des Ports,
wird entschieden, welcher Rechner die Daten bekommt. Manche DSL-RouterHersteller benutzen hierfür auch den eigentlich anders belegten Begriff
„Virtual Server“.
Wenn beispielsweise auf dem Rechner 192.168.1.110 im Heimnetz ein
Webserver läuft, leitet man den TCP-Port 80 an diese Adresse weiter. So ist
dann der Webserver per Browser unter http://mycam.dyndns.org erreichbar.
kleine Verbesserung:
Einen anfälligen Webserver suchen Angreifer meistens zuerst über viele
Adressen auf dem Standard-Port 80. Es empfiehlt sich daher, auf dem Router
einen anderen externen Port zu benutzen und beispielsweise den TCP-Port
52510 des DSL-Routers an Port 80 auf den Server-Rechner weiterzuleiten. So
entgeht man bei neu entdeckten Sicherheitslücken mit etwas Glück der ersten
Angriffswelle und gewinnt die für das Webserver-Update nötige Zeit. Die URL
ändert sich jedoch in ein Großeltern-unfreundliches
http://mycam.dyndns.org:52510/ .
speziell bei Fritz!Box:
http://fritz.box Æ Internet Æ Portfreigabe Æ Neue Portfreigabe
Bild 5: Konfiguration der Portweiterleitung bei der Fritz!Box 7170
141