Kapitel 8: Remote Client Integration: einbinden von Rechnern über

Kapitel 8: Remote Client Integration: einbinden von Rechnern über öffentliche Zugangsnetze (Private PC an Internet, Büros an anderem Standort, Mobile PC)
Remote Bridging und Routing
Remote Bridges: Plug & Play by Brigde Paar, arbeitet auf MAC Layer, IP Layer nichts konfigurieren, kann durch Broadcast Verkehr verstopft werden
nur geeignet für ADSL oder Kabelmodem
Remote Router: kein Broadcast und Paket Filterung möglich
Routing Konfiguration
Client (Software Modul)  Modem/ISDN Adapter  Zugangsnetz
Mehrere Clients per IP-Forwarding zu anderen Clients
Access Router mit weiteren Diensten: Voice Routing Callback (meist Proprietär)
Dial & Demand: zuschalten von Kanälen bei höherer Nachfrage
Firewall: filtern Pakete (Kriterien: Interface, Protokolle, Ports, Quell- und Zieladresse)
Rückruf (Callback): Remote-Client ruft Server und authentifiziert sich, Server bricht verbindung ab und ruft Client zurück
Gründe: Client von Verbindungskosten entbinden + Sicherheitsmechanismus Achtung: wechselt Client standort öfters bringts nicht!
Dynamische Vergabe von IP-Adressem
Problem: Mobile Node/Station die verschiedene Standorte haben können  ständiges Umkonfigurieren IP-Adresse/Routing Tabelle
Lösung: DHCP Dynamic Host Configuration Protocol  dynamisches vergeben von Adressen (geleased), kann geroutet werden, bei mehreren
Subnetzen nur bei privatem Netz wegen BOOTP-Forwarding
IP Tunneling
Manchmal notwendig feste Adresse  Netzwerkprotokoll Mobile IP(RFC 3344)
Prinzipiell: IP behalten und Routing Tab anpassen, dann aber keine Subnetze mehr  keine Hierarchiesche Adressraum
Lösung: IP-IP-Tunneling: Tunneling= Datagramm als Payload in anderem Datagramm (IP ind IP): im äusseren IP steht Protocol IP
o
Achtung MTU kann überschritten werden Fragmentieren Durchsatz minimiert
o
Tunneling Datagramm enthält 2 IP Header: innenere IP = Mobile Node in Home Network (Homeadresse bleibt immer gleich), äussere IPadresse per DHCP temporär zugeteilt (Care-of Address)
o
Um Mobile zu erreichen: zusätzlich notwendig  Home Agent (Router im Home Network der Position Mobile kennt), Foreign Agent
(selbes Subnetz wie Mobile/Router oder Knoten selbst)
o
Wichtiges: Mobile muss IP beziehen können und Foreign Agent finden,
Foreign Agent muss in Home Mobile registrieren, Home Agent prüft und
schickt Bestätigung
NAT Network Address Translation: Versteckt ein Netz hinter einer IP
Ersetzt Source IP und Port mit eigenen, und rückgängig
Von aussen nicht zugreifbar, Default Ports konfigurieren als Server hinter Netz
Problem Verschlüsselung: wenn über NetworkLayer kann Port nicht lesen, kein
Problem oberhalb von Transport, vor Datalink muss Router Paket entschlüsseln können
Link-Layer-Protokolle
Verbindung zwischen Routern über Mietleitung: Punkt zu Punkt Protocol SLIP /PPP
SLIP Serial Line Internet Protocol: 1984, Frame enthält rohe IP Paketemit speziellem
Flagbyte 0xC0 am Ende
o
Nachteile: keine Fehlererkennung/korrektur, nur IP, keine dynamische IPAdressierung, keine Authentifizierung der Teilnehmer, kein zugelassener Internet Standard
PPP Point to Point Protocol (RFC 1661 ff): Kapselungsprotokoll, verschiedene Protokolle möglich
o
Standard für: Kapselung asynchroner (Start/StopBit) bi-orientierter synchrone Übertragungsstrecken, Netzwerk-P-Multiplexing, Zuordnung
verwaltung dynamischer IP-Adressen, Verbindungskonfiguration, Testen Verbindungsquali, Fehlererkennung, Optionen
Datenkompression/Adresse Network Layer
o
Enthält Hauptkomponenten:

LCP(Link Control…): Datenverbindung aufbauen, konfigurieren und testen

Auth. : zwei Verfahren  PAP und CHAP

NCP(Network Control …)/IPCP(IP Control Protocol): konfigurieren unterschiedlicher Protokolle des Network Layers

HDLC:Kapselung von Datagrammen
o
Frame von HDLC abgeleitet: Flag kennzeichnet Start und Ende;
Address: FF immer Broadcast; Control immer 3 bzw. 00000011 
Unnumbred Frame; Protocol: MSB steht für 1= Management
Protokolle, 2Byte kann aber über LPC 1byte sein; FCS: 16 bit
Fehlererkennung 32 auch möglich
o
Aufbau Verbindung: mehrere Phasen

Disconnected verbindung nicht vorhanden

Link Established über LCP Verbindungs aufbau, qualität ermittelbar

Authentication berechtigt Verbindung aufzubauen?

Network Layer P  feststellen welche Protokolle genutzt werden sollen (für jedes protokoll ein entsprechendes NCP)

ConnectedVerbindung besteht

Termination verbindung durch LCP Frame beenden, oder verlust von Trägersignal/Timerüberlauf
LCP Link Control Protocol: Verbindungssteuerungsprotokoll (Verbinden, Verwalten, Konfigurieren, Beenden)
o
3 Klassen: Aufbau, Beendigungs, Verwaltungs-Frames  für die Phasen oben
o
4 Meldungen für Parameter Aushandlung Layer 2:

Configure Request: Optionen die man gerne hätte

Configure Acknowlege: Optionen die akzeptiert und zur Verfügung stehen

Configure-Nak: Optionen aus Configure Request die nicht akzeptiert wurden mit gegenvorschlag

Configure-Reject: Optionen die Empfänger unbekannt sind (müssen von ihm entfernt werden)

Bsp: Request (Client)CallbackRequest (Server)CHAP Reject(Server)Callback Ack (Client)CHAP Request (Client)Ack
(Server)
Authentication Protocol: PAP und CHAP
o
PAP Password Authentication P (RFC1334): Einwählender Rechner1 sendet PPP Frames (Typ PAP) mit Benutzer&Passwort, Rechner 2
überprüft und bestätigt (nagativ Verbindung unterbruch, Keine Antwort neue Anfrage) Sicherheitslücke weil unverschlüsselt
o
CHAP Challenge-Handschake Authentication P (RFC 1994): 3 Schritte  Senden von Challenge Wert  Empfänger rechnet Hash und
sendet zurück 1. Rechnet ebenfalls Hash und vergleicht Übereinstimmung Verbindungsaufbau (CHAP Challenge 16Byte Server, CHAP
Response Client, CHAP Success )
NCP Network Control Protocol: für jedes Network Layer P ein entsprechendes NCP! (IPIPCP 8021, IPX IPXCP 802B, Apple Talk ATCP 8029)
o
Unterstützt spezifizierte Konfig z.B. Header Compression