In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Rechnernetze

Grundlagen LAN

Werbung 
Protokolle, VLAN, IP-Adressen und Routing
Inhaltsverzeichnis
1
2
3
4
5
6
7
Der Weg der Daten durch das OSI-7-Schichtenmodell ................................................................... 1
Protokolle ......................................................................................................................................... 2
2.1 ARP (Address Resolution Protocol) ........................................................................................... 2
2.2 IP (Internet Protocol) .................................................................................................................. 3
2.3 TCP (Transmission Control Protocol)......................................................................................... 3
Unterschied Hub, Switch und Router ............................................................................................... 4
Virtual Lan (VLAN - IEEE 802.1q).................................................................................................... 5
4.1 Konfiguration von VLAN auf dem Allied Telesyn 24 .................................................................. 6
4.1.1
Summary of VLAN tagging rules* ...................................................................................... 6
4.1.2
CREATE VLAN*................................................................................................................. 7
4.1.3
SHOW VLAN ..................................................................................................................... 7
4.1.4
ADD VLAN PORT* ............................................................................................................ 8
4.1.5
ENABLE IP* ....................................................................................................................... 9
4.1.6
ADD IP INTERFACE* ........................................................................................................ 9
Aufbau von IP-Adressen ................................................................................................................ 10
5.1 Aufbau der IP-Adressen der Version 4..................................................................................... 10
5.2 Aufbau der IPv6-Adressen ....................................................................................................... 12
Routing ........................................................................................................................................... 13
6.1 Statisches Routing.................................................................................................................... 13
6.2 Dynamisches Routing............................................................................................................... 13
6.2.1
Netzwerkkennung/-ziel .................................................................................................... 14
6.2.2
Netzwerkmaske ............................................................................................................... 14
6.2.3
Gateway/Nächster Abschnitt ........................................................................................... 14
6.2.4
Anzahl/Metrik ................................................................................................................... 14
6.3 Konfiguration von statischen Routing-Einträgen auf dem Allied Telesyn 24 ........................... 16
6.3.1
Routing* ........................................................................................................................... 16
6.3.2
ADD IP ROUTE* .............................................................................................................. 17
Konfiguration von Filter-Einträgen auf dem Allied Telesyn 24 ....................................................... 18
7.1 Filter anlegen............................................................................................................................ 18
7.1.1
ADD IP FILTER* .............................................................................................................. 18
7.1.2
Filter ändern..................................................................................................................... 18
7.1.3
Filter löschen.................................................................................................................... 18
7.2 Filter anwenden und entfernen................................................................................................. 19
7.2.1
Filter an Interface binden ................................................................................................. 19
7.2.2
Filter von Interface entfernen........................................................................................... 19
7.3 Rapier 24-Beispiel: ................................................................................................................... 19
Protokolle, VLAN, IP-Adressen und Routing
1 Der Weg der Daten durch das OSI-7-Schichtenmodell
In der unten stehenden Abbildung wird ein stark vereinfachtes Modell des OSI-7-Schichtenmodells
dargestellt, das TCP/IP-Schichtenmodell. Entsprechend werden die Anwendungs-, die Darstellungsund die Sitzungsschicht als Process/Application Layer bezeichnet. Die Daten könnten zum Beispiel
html-Dateien sein, die mittels eines Browsers von einem entfernten Webserver herunter geladen
werden. Das dazu gehörige Protokoll ist HTTP.
Die Transportschicht wird zu Host-to-host Layer, weil hier der Ende-zu-Ende-Verbindung stattfindet.
In dieser Schicht liegen die Protokolle TCP und UDP. Ein entfernter Host (z. B. der Client mit dem
Browser) baut über TCP eine Verbindung zum Webserver auf. Der entsprechende Empfänger-Port,
den der Client hier benutzt ist meist 80. Der Port des Senders ist beliebig und liegt oberhalb von 1024.
Die Vermittlungsschicht ist die Internet Layer, weil hier die Verbindung zwischen den verschiedenen
Netzen realisiert wird. Der Client muss die IP-Adresse des Webservers kennen, um den Webserver
kontaktieren zu können. Die Empfänger- und die Sender-IP-Adresse sind unter anderem Bestandteil
des IP-Headers. Die Kombination aus IP-Adresse und Port (<IP-Adresse>:<Port>)wird auch als
Socket bezeichnet.
Die Network Layer besteht aus der Bitübertragungs- und der Vermittlungsschicht. Hier geht es um
die Übertragung der Datenrahmen (frames). Als Adressierung dienen die jeweiligen HardwareAdressen (MAC-Adressen) von Sender und Empfänger (bzw. nächster Router). Außerdem wird eine
Prüfsumme (CRC) über den ganzen Frame gebildet, um defekte Frames zu entdecken und eventuell
zu verwerfen.
Zuerst muss gegebenenfalls eine größere Datei in mehrere Teile aufgeteilt werden. Dann wird an die
Daten (Im oben angenommen Beispiel ist dies eine html-Datei.)der TCP-Header angehängt. Jeder
Teil, bzw. Segment erhält dann seinen eigenen TCP-Header. Dann erhält jedes Paket den IP-Header.
Danach werden je nach Übertragungstechnik die Informationen des Übertragungsverfahrens
angehängt. Nachdem der Ethernet-Header hinzugefügt wurde, wird der Frame entsprechend dem
Codierungsverfahren in Signale verwandelt und über die Leitung übertragen. Der gesamte
beschriebene Vorgang heißt Kapselung (engl. encapsulation). Pakete können so über
unterschiedliche Transportmedien und Zugriffsverfahren sicher ankommen.
PetraTreubel
Seite 1
Protokolle, VLAN, IP-Adressen und Routing
2 Protokolle
2.1
ARP (Address Resolution Protocol)
Die Hardware-Adressen (MAC-Adressen) einer Schnittstelle (z. B. Netzwerkarte) erhält ein Host über
das ARP. Mit Hilfe dieses Protokolls wird die Ermittlung einer Adresse der Schicht 2 (MAC) aus einer
Adresse der Schicht 3 (IP) realisiert. Dafür müssen beide Hosts in einer Broadcast-Domäne sein, da
der ARP-Broadcasts nicht über Router hinweg übertragen wird.
ping 131.107.7.29
S-1
ARP
Broadcast
131.107.3.1?
2
IP = 131.107.3.24/24
Hardware = 08004. . .
PetraTreubel
1
A Router B
MAC= 08005. . .
IP = 131.107.3.1/24
Hardware = 08005. . .
4
ARP
Broadcast
3
S-2
131.107.7.29?
MAC= 08007. . .
IP = 131.107.7.1/24
Hardware = 08006. . .
IP = 131.107.7.29/24
Hardware = 08007. . .
Seite 2
Protokolle, VLAN, IP-Adressen und Routing
2.2
IP (Internet Protocol)
IP ist ein verbindungsloses, unzuverlässiges Protokoll, welches für die Adressierung und dem Routing
von Paketen zwischen Hosts verantwortlich ist. IP ist ein Protokoll der Vermittlungsschicht. Die
Hauptaufgabe der Vermittlungsschicht ist die Leitwegsbestimmung von der Quelle zum Ziel. Es
handelt sich beim IP um ein verbindungsunabhängiges Protokoll. Das bedeutet, jedes Datenpaket
enthält im Steuerungsteil die volle und eindeutige Zieladresse und wird unabhängig von eventuellen
Vorgängerpaketen im Netz (auf dem kürzesten Weg) umher geschickt. (Beispiel: Postdienst/Briefe)
Bei IP handelt es sich also um ein Protokoll, das für alle anderen Protokolle der TCP/IP-Familie die
Verteilung der Datenpakete übernimmt. Es stellt ein hocheffektives, verbindungsloses Verteilungssystem für Computer-Daten dar. Das bedeutet, dass für IP-Pakete weder das Eintreffen an ihrem
Zielpunkt noch ihr Eingang in der Reihenfolge der Übertragung garantiert ist. Das im Protokoll enthaltene Prüfsummenverfahren dient lediglich zur Bestätigung der Integrität des IP-Vorspanns (IPHeader). Eine Gewähr für die Richtigkeit und die adäquate Reihenfolge der im IP-Paket enthaltenen
Daten besteht daher nur bei Anwendung höherer Protokolle.
In einem TCP/IP Netzwerk wird jeder Knoten (Computer mit zwei Netzwerkkarten haben zwei Knoten)
durch eine eindeutige IP-Adresse identifiziert. Es handelt sich hierbei um logische Adressen, die
jedem Knoten fest, bzw. dynamisch zugeordnet werden.
2.3
TCP (Transmission Control Protocol)
Das am weitesten verbreitete höhere Protokoll der TCP/IP-Familie ist das Transmission Control
Protocol. TCP ist ein Übertragungssteuerungsprotokoll der Transportschicht. Hier wird ein zuverlässiger, verbindungsorientierter Ende-zu-Ende-Transportdienst geleistet, der auf die Vermittlungsschicht aufbaut. Es gibt eine Verbindungsaufbauphase, eine Datentransferphase und eine
Verbindungsabbauphase.
TCP garantiert die Übertragung der Datenpakete, gewährleistet die Einhaltung der richtigen
Reihenfolge der Daten und ist mit einer Prüfsummenfunktion ausgestattet, die sowohl den Paketvorspann als auch die Paketdaten auf Fehler hin überprüft. Für den Fall, dass ein TCP/IP-Paket bei
der Übertragung über das Netzwerk beschädigt wird bzw. verloren geht, sorgt TCP für eine erneute
Übertragung dieses Pakets. Aufgrund dieser Zuverlässigkeit ist TCP das ideale Protokoll für sitzungsbasierte Datenübertragungen, Client-Server-Anwendungen sowie wichtige Dienste, wie zum Beispiel
E-Mail.
Diese Zuverlässigkeit hat jedoch auch ihren Preis, da die TCP-Vorspanne (TCP-Header) zusätzliche
Bits erfordern, um die Informationen in richtiger Reihenfolge zu liefern. Darüber hinaus ist eine
Prüfsummenbildung obligatorisch, um die Genauigkeit von TCP-Vorspann und Paketdaten
sicherzustellen. Des Weiteren muss der Empfänger den ordnungsgemäßen Eingang der Daten
bestätigen, um eine erfolgreiche Datenübertragung zu gewährleisten. Durch diese Bestätigungsmeldungen (sogenannte „Acknowledgments“ oder ACKs) wird auf dem Netzwerk zusätzlicher
Datenverkehr erzeugt, so dass die Sicherheit der Übertragung nur durch einen geringeren Datendurchsatz realisiert wird. Damit die Leistungsfähigkeit jedoch nicht allzu sehr beeinträchtigt wird,
erfolgt eine Empfangsbestätigung auf den meisten Hosts nur für jedes zweite Segment bzw. nach
Ablauf eines bestimmten Zeitintervalls.
Neben TCP als Transportprotokoll gibt es noch UDP (User Datagram Protocol), welches einen nicht
zuverlässigen, verbindungslosen Transportdienst ohne Flusskontrolle zur Verfügung stellt. Bei beiden
Protokollen identifizieren sich die Prozesse durch Portnummern. Es gibt 65.535 verschiedene Ports,
dabei sind die Ports von 0 – 1024 mehr oder weniger fest bestimmten Prozessen zugeordnet.
PetraTreubel
Seite 3
Protokolle, VLAN, IP-Adressen und Routing
3 Unterschied Hub, Switch und Router
Ein Hub ist lediglich ein Verstärker und wird kaum noch eingesetzt. Da die Signale, die über einen
Hub gesendet werden, an alle angeschlossenen Geräte übertragen werden, könnten Kollisionen
auftreten (Collision Domain).
Ein Switch dagegen leitet Datenpakete gezielt an den Port weiter, an dem die Station mit der
angegebenen Ziel-Hardwareadresse angeschlossen ist. Dabei lernt er die Hardware-Adressen und
speichert sie intern in Tabellen, die Ports mit den entsprechenden MAC-Adressen verbinden.
Ein Router wird zwischen verschiedenen Netzen eingesetzt und erhöht die Zeit, die ein Paket vom
Sender zum Ziel benötigt. Allerdings leitet sie auch keine Broadcasts mehr weiter
PetraTreubel
Seite 4
Protokolle, VLAN, IP-Adressen und Routing
4 Virtual Lan (VLAN - IEEE 802.1q)
Mit Hilfe von virtuellen Netzwerken können Arbeitsgruppen in logisch getrennte Einheiten aufgeteilt
werden, die aber physikalisch an einem LAN angeschlossen sind. Soll zwischen den Arbeitsplatz-PC
des Marketings und den Arbeitsplatz-PC der Abteilung Training keine Verbindung untereinander
bestehen, könnten zwei Switches (für jeden Bereich einen) installiert werden. Eine andere Möglichkeit
wäre es, dass zwei virtuelle LAN's, so genannte VLAN's eingerichtet werden. Mit VLAN's ist es
möglich portbasierend Gruppen auf einem Gerät zu bilden, die untereinander nicht kommunizieren
können.
Auf einem Switch, der VLAN-fähig ist, muss man zuerst ein VLAN erzeugen, bzw. hinzufügen. Meist
gibt es schon ein default-VLAN. Danach kann man die Ports den verschiedenen VLAN's zuordnen
z. B. Port 1-10 auf vlan_1 und 11-20 auf vlan_2. Ein Gerät, das jetzt mit dem Port 11 verbunden ist,
kann nun nicht mehr mit einem auf Port 1 Daten austauschen.
In einem LAN, welches nach dem Prinzip der strukturierten Verkabelung aufgebaut wurde, wird es
aber mehr als ein Kopplungselement (Switch o.ä.) geben. Das bedeutet, dass ein Switch A, auf dem
VLAN 2, 3 und 4 eingerichtet wurden, mit einem Switch B, der die VLAN's 3 und 4 besitzt, kommunizieren muss. (siehe Abbildung unten) Für diesen Fall benötigen die Switches die Information, welches
Packet zu welchem VLAN gehört. Diese Information muss mit den Datenrahmen (frames) mitgeliefert
werden: Die Information wird "tag" genannt und ist ein kleiner 4 Byte großer Header, der an den
Ethernet-Header angefügt wird. Darin enthalten ist die 12 bit lange VLAN-Nummer. Es gibt also 2^12=
4096 verschiedene VLANs.
Da sich tagged Pakete durch die 4 zusätzlichen Header-Bytes stark von normalen Paketen
unterscheiden, können normale Netzwerkkarten (oder Ports) diese "tagged" Pakete nicht mehr
verstehen. Die "tagged" Pakete dienen nur zur Kommunikation zwischen VLAN-fähigen Switches,
bzw. VLAN-fähigen NIC's. Dort wo "normale" Geräte angeschlossen werden, sagt man dem Switch,
dass es sich um einen "untagged" Port handelt. Der Switch gibt dort das Packet ohne den 4 Byte
langen Tag aus. VLAN ist auf Layer 2 (Ebene 2 des OSI-7-Schichtenmodells) angesiedelt.
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 5
Protokolle, VLAN, IP-Adressen und Routing
Die zusätzlichen Felder im Tagged MAC Frame
–
–
–
–
User Priority: Prioritäts-Level (0-7) des User-Verkehrs
CFI (Canonical Format Identifier):
gibt an, wie MAC-Adressen im Datenfeld zu interpretieren sind
TPI (Tag Protocol Identifier): 129, 0 (Ethernet-Kodierung)
VID: identifiziert eindeutig das zugehörige virtuelle LAN
Die ersten drei Bits der Tag-Control-Information enthalten die Prioritätsstufe 0 bis 7, um die Quality of
Service Profile festzulegen. Zu Quality of Service (QoS) gehört die Festlegung der Prioritäten und die
Verteilung der zur Verfügung stehenden Bandbreite auf die Netzwerkteilnehmer.
4.1
4.1.1
Konfiguration von VLAN auf dem Allied Telesyn 24
Summary of VLAN tagging rules*
When designing a VLAN and adding ports to VLANs, the following rules
apply.
1. Each port, except for the mirror port, must belong to at least one VLAN. By default, a port is
an untagged member of the default VLAN.
2. A port can be untagged for zero or one VLAN. A port that is untagged for a VLAN transmits
frames destined for that VLAN without a VLAN tag in the Ethernet frame.
3. A port can be tagged for zero or more VLANs. A port that is tagged for a VLAN transmits
frames destined for that VLAN with a VLAN tag, including the VID of the VLAN.
4. A port cannot be untagged and tagged for the same VLAN.
5. The mirror port, if there is one, is not a member of any VLANs. 1 bit
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 6
Protokolle, VLAN, IP-Adressen und Routing
4.1.2
CREATE VLAN*
Syntax
CREATE VLAN=vlanname VID=2..4094
where:
–
vlanname is a unique name for the VLAN, 1 to 15 characters in length. Valid characters
are uppercase letters (A-Z), lowercase letters (a-z), digits (0-9) the underscore
character (“_”), and the hyphen character (-). The vlanname cannot be a number or ALL
or DEFAULT.
Description
This command creates a VLAN with a unique name and VLAN Identifier (VID), and assigns it
to the default STP. To change the VID of an existing VLAN, that VLAN must be destroyed
and created again with the modified VID. On the Rapier 24, a maximum of 62 VLANs can be
created with any VID in the range 2 to 4094. The VLAN parameter specifies a unique name
for the VLAN. This name can be more meaningful than the VID, to make administration
easier. The VLAN name is only used within the switch; it is not transmitted to other VLANaware devices, or used in the Forwarding Process or stored in the Forwarding Database. If
the VLAN name begins with “vlan” and ends with a number, for instance “vlan1” or “vlan234”,
then the number must be the same as the VID specified. This avoids confusion when
identifying which VLAN subsequent
commands refer to.
The VID parameter specifies a unique VLAN Identifier for the VLAN. If VLAN-tagged ports
are added to this VLAN, the specified VID is used in the VID field of the tag in outgoing
frames. If VLAN-untagged ports are added to this VLAN, the specified VID only acts as an
identifier for the VLAN in the Forwarding Database. The default port based VLAN has a VID
of 1.
Examples
To create a VLAN named marketing with a VLAN Identifier of 2, use the command:
CREATE VLAN=marketing VID=2
To create a VLAN named vlan42, which must have a VID of 42, use the command:
CREATE VLAN=vlan42 VID=42
4.1.3
SHOW VLAN
Syntax
SHOW VLAN[={vlanname|1..4094|ALL}]
where:
–
vlanname is a unique name for the VLAN, 1 to 15 characters in length. Valid characters
are uppercase letters (A-Z), lowercase letters (a-z), digits (0-9) the underscore
character (“_”), and the hyphen character (-). The vlanname cannot be a number or ALL
or DEFAULT.
Description
This command displays information about the specified VLAN. If no VLAN or ALL is
specified, then all VLANs are displayed
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 7
Protokolle, VLAN, IP-Adressen und Routing
4.1.4
ADD VLAN PORT*
Syntax
ADD VLAN={vlanname|1..4094} PORT={port-list|ALL}
[FRAME={TAGGED|UNTAGGED}]
where:
–
vlanname is a unique name for the VLAN, 1 to 15 characters in length. Valid characters
are uppercase letters (A-Z), lowercase letters (a-z), digits (0-9) the underscore
character (“_”), and the hyphen character (-). The vlanname cannot be a number or ALL
or DEFAULT.
–
port-list is a port number, a range of port numbers (specified as n-m), or a comma
separated list of port numbers and/or ranges. Port numbers start at 1 and end at m,
where m is the highest numbered Ethernet switch port, including uplink ports.
Description
This command adds ports to the specified VLAN. The VLAN parameter specifies the name
or numerical VLAN identifier of the VLAN. The name is case insensitive, although the case is
preserved for display purposes. The VLAN must already exist. By default, all ports belong to
the default VLAN, with a VID of 1. The mirror port cannot be added to a VLAN. The FRAME
parameter specifies whether a VLAN tag header is included in each frame transmitted on the
specified ports. If TAGGED is specified, a VLAN tag is added to frames prior to transmission.
The port is then called a tagged port for this VLAN. If UNTAGGED is specified, the frame is
transmitted without a VLAN tag. The port is then called an untagged port for this VLAN. A
port can be untagged for one and only one of the VLANs to which it belongs, or for none of
the VLANs to which it belongs. A port can have the FRAME parameter set to TAGGED for
zero or more VLANs to which it belongs. It is not possible to add an untagged port to a VLAN
if the port is already present in any other port-based VLAN except the default VLAN. If the
port is an untagged member of the default VLAN, adding it untagged to another VLAN
deletes it from the default VLAN. The default setting is UNTAGGED.
Examples
To add port 4 to the port-based Marketing VLAN, use the command:
ADD VLAN=Marketing PORT=4
To add port 25 to the Training VLAN as a tagged port, use the command:
ADD VLAN=Training PORT=25 FRAME=TAGGED
The Rapier switch provides Layer 3 switching and routing over VLANs. Once a VLAN has
been created, the VLAN name can be used wherever a logical interface is required in commands
for configuring routing protocols.
VLAN names are of the form:
VLAN-vlanname
or
VLANn
where vlanname is the manager-assigned name of the VLAN, and n is the
VLAN identifier (VID).
For example, if a VLAN is created using the command:
CREATE VLAN=admin VID=11
then the following names can be used to identify the VLAN in routing
commands:
vlan-admin
vlan11
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 8
Protokolle, VLAN, IP-Adressen und Routing
4.1.5
ENABLE IP*
Syntax
ENABLE IP
Description
This command enables the IP routing module. The IP module must currently be disabled.
The IP module is disabled by default. The operational mode of the IP module, SERVER or
FORWARDING, is restored to the mode when the IP module was last disabled. The default
mode is FORWARDING. The IP module operates in one of two modes, SERVER mode or
FORWARDING mode. In SERVER mode the router will not route IP packets, but will provide
Telnet services, respond to SNMP requests, and use TFTP to download software upgrades.
In FORWARDING mode the router will route IP packets, as well as performing all the
functions of SERVER mode. The default operational mode is FORWARDING.
4.1.6
ADD IP INTERFACE*
Syntax
ADD IP INTERFACE=interface IPADDRESS={ipadd|DHCP} [BROADCAST={0|1}]
[DIRECTEDBROADCAST={YES|NO|ON|OFF}] [FILTER={0..99|NONE}]
[FRAGMENT={YES|NO}] [GRE={0..100| NONE}] [MASK=ipadd] [METRIC=1..16]
[MULTICAST={OFF| SEND|RECEIVE|BOTH|ON}] [OSPFMETRIC=1..65534]
[POLICYFILTER={100..199|NONE}] [PRIORITYFILTER={200..299|NONE}]
[PROXYARP={ON|OFF}] [RIPMETRIC=1..16]
[SAMODE={BLOCK|PASSTHROUGH}][VJC={ON|OFF}]
where:
–
interface is an interface name formed by concatenating a layer 2 interface type, an
interface instance, and optionally a hyphen followed by a logical interface number in the
range 0 to 15 (e.g. eth0, vlan1, ppp1-1). If a logical interface is not specified, 0 is
assumed (i.e. ‘eth0’ is equivalent to ‘eth0-0’).
–
ipadd is an IP address in dotted decimal notation.
Description
This command adds a logical interface to the IP module. The INTERFACE parameter
specifies the name of the logical interface, and implicitly, the attached layer 2 interface. The
layer 2 interface must already be configured. The IP interface must not already be assigned
to the IP module. At least two interfaces must be defined before the router can route IP
packets, but only one interface (usually Ethernet) needs to be defined if the router is acting
only as a server. A maximum of 512 interfaces can be added. When an interface is added it
is automatically enabled. Only one logical interface may be configured to the same IP
network or subnet.
The FILTER parameter specifies the traffic filter to apply to IP packets transmitted or
received over the logical interface. The filter must already have been defined with the ADD
IP FILTER command on page 9-53. A logical interface may have a maximum of one traffic
filter, one policy filter and one priority filter, but the same traffic, policy or priority filter can be
assigned to more than one interface. Traffic filters are applied to packets received via the
logical interface. The default is not to apply a filter.
Examples
To add PPP interface 0 (logical interface ppp0-0) with an IP address of 172.16.248.33,
a subnet mask of 255.255.255.0, a metric of 5 and Van Jacobson’sheader compression, use:
ADD IP INT=PPP0 IP=172.16.248.33 MASK=255.255.255.0 RIPMET=5 VJC=ON
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 9
Protokolle, VLAN, IP-Adressen und Routing
5 Aufbau von IP-Adressen
5.1
Aufbau der IP-Adressen der Version 4
IP-Adressen bestehen bei IPv4 aus 32 Bits. Dabei werden 8 Bits zu einem Byte (auch Oktett)
zusammen genommen und als Dezimalzahl geschrieben. Zusammen mit der Netzwerkmaske kann
der Anteil der Netzwerkadresse (-kennung) und der Hostadresse (-kennung) ermittelt werden.
IP-Adresse: 92.168.102.100
1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 1 1 0 0 1 1 0 0 1 1 0 0 1 0 0
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0
Zum Beispiel:
IP-Adresse:
Subnet Mask:
.
.
1
255
2
255
Netzwerk-ID
.
.
3
0
.
.
4
0
Host-ID
Eine IP-Adresse besteht also immer aus zwei Teilen einer Netzwerk-ID und einer Host-ID. Die
Netzwerk-ID identifiziert sämtliche Systeme, die physisch über ein Netzwerk miteinander verbunden
sind. Innerhalb eines Netzwerkverbundes müssen alle Systeme eine identische Netzwerk-ID erhalten.
Netzsegmente mit unterschiedlichen Netzwerk-ID's müssen durch einen Router verbunden sein, um
miteinander kommunizieren zu können.
Die Rechner haben die Host-ID
0.0.10, 0.0.11 und 0.0.12
10.0.0.10
10.0.0.11
10.0.0.12
10.0.0.0
Das Netz hat die Kennung
10.0.0.0
Die Subnet Mask ist hier
255.0.0.0
Durch die Host-ID wird eine Arbeitsstation, ein Server, ein Router oder ein anderer TCP/IP-Knoten
innerhalb eines Netzwerkes identifiziert. In einem Netzwerkverbund darf jede Host-ID nur einmal
vorkommen. Es ist die Aufgabe des Netzwerkadministrators hier Festlegungen zu treffen.
PetraTreubel
Seite 10
Protokolle, VLAN, IP-Adressen und Routing
Außerdem wurden IP-Adressen in so genannte Klassen eingeteilt.
Klasse (Class) A
Netz-ID
Klasse B
Netz-ID
Klasse C
Netz-ID
W
Host-ID
Host-ID
Host-ID
X
Y
Z
Nach den Konventionen kann man schon mit dem 1. Byte der IP-Adresse bestimmen, zu welcher
Klasse eine IP-Adresse gehört.
Daraus ergeben sich dann folgende mögliche Bereich:
Anfangsbereich
1.0.0.0
128.0.0.0
192.0.0.0
Endbereich
126.0.0.0
191.255.0.0
223.255.255.0
Die Adresse 127 ist für Schleifentests auf dem lokalen Computer reserviert und daher keine gültige Netzwerkadresse. Die
Adressen ab 224 sind für spezielle Protokolle reserviert und können ebenfalls nicht als Host-ID verwendet werden.
(Class E und D)
Für ein privates Netz sollten die folgenden IP-Adressen verwendet werden. Ein so adressiertes Paket
würde im Internet gar nicht erst weitergereicht werden.
Class A:
Class B:
Class C:
PetraTreubel
10.0.0.0 – 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 – 192.168.255.255 (0 und 255 am Ende sind reserviert!!!)
Seite 11
Protokolle, VLAN, IP-Adressen und Routing
5.2
Aufbau der IPv6-Adressen
IPv6 unterscheidet zwischen Unicast (Adressierung an ein Interface), Anycast (das nächstgelegene
Interface einer Gruppe von Interfaces) und Multicast (Gruppe von Interfaces). Ein Broadcast ist
demnach nur eine bestimmte Art von Multicast.
1.
128.
Subnetz
Interface Identifier
Die 128 bits werden in Gruppen zu 16 bits (2 Bytes) zusammengeordnet und durch Doppelpunkte
getrennt. Dabei werden die 16 bits in hexadezimaler Schreibweise dargestellt.
Beispiel 1a: 1122:3344:0000:0000:5566:7788:99AA:BBCC
Diese Schreibweise wird noch vereinfacht. So werden im ersten Schritt führende Nullen entfernt
Beispiel 1b: 1122:3344:0:0:5566:7788:99AA:BBCC
Im zweiten Schritt können mehrere Blöcke, die aus Nullen bestehen einmalig entfernt werden und
durch zwei Doppelpunkte ersetzt werden.
Beispiel 1c: 1122:3344:: 5566:7788:99AA:BBCC
So wird aus der Loopback-Adresse ::1
Zur Erleichterung in gemischten Umgebungen wurde eine gemischte Schreibweise definiert. Die alte
IPv4-Adresse wird in dezimaler Form mit der neuen hexadezimalen Schreibweise auf 128 bits
verlängert. X:X:X:X:X:X.d.d.d.d (X hexadezimale Zahl, d dezimale Zahl)
Beispiel 2: 0:0:0:0:0:0:192.168.102.100, bzw. :: 192.168.102.100
PetraTreubel
Seite 12
Protokolle, VLAN, IP-Adressen und Routing
6 Routing
Nachdem der Hostname in eine IP-Adresse aufgelöst wurde, muss das IP-Paket vom Senderhost an
den Host mit der aufgelösten IP-Adresse (Zielhost) gesendet werden. Der Prozess zum Weiterleiten
eines IP-Pakets wird als Routing bezeichnet.
Je nachdem wie der Aufbau des Netzes ist, wird das Paket entweder direkt oder indirekt zugestellt.
Bei der direkten Zustellung wird das Paket an das endgültige Ziel auf einem direkt verbundenen
Netzwerk weitergeleitet. Es wird entweder vom Senderhost oder von einem IP-Router direkt an den
Zielhost weitergeleitet. Der IP-Knoten kapselt das IP-Paket in ein entsprechendes Frameformat der
Netzwerkschnittstellenschicht (zum Beispiel Ethernet). Von indirekter Zustellung wird gesprochen,
wenn der IP-Knoten ein Paket an einen IP-Router weiterleitet, weil das endgültige Ziel kein dierekt
verbundenes Netzwerk ist.
A
C
B
Damit ein Paket vom Empfänger über verschiedene Router weitergeleitet werden kann, braucht ein
Router Informationen darüber, wohin ein Paket geschickt werden muss. Router müssen also
Entscheidungen darüber treffen, an welchen anderen Router ein Paket geschickt werden muss, damit
es früher oder später bei der Empfänger-IP-Adresse ankommt. Diese Entscheidung trifft der Router
mit Hilfe von Routen. Man unterscheidet dabei zwischen statischem und dynamischem Routen bzw.
statischen und dynamischem Routing.
6.1
Statisches Routing
Die Routen müssen vom Administrator manuell eingegeben werden. Bei Änderungen am Netzwerk
müssen die Routen wiederum per Hand angepasst werden. Statische Routen machen nur in kleinen
Netzen (ein Router) Sinn oder wenn ein Teil des Netzwerks aus sicherheitstechnischen Erwägungen
verborgen werden soll.
6.2
Dynamisches Routing
Hier werden die Routen durch Protokolle erzeugt, die auf den Routern arbeiten. Das bedeutet, dass
diese Routen sich automatisch an Veränderungen im Netz anpassen. Die meisten Routingprotokolle
gehören dabei zur Kategorie der Distanzvektorprotokolle (z. B. RIP, IGRP) oder der Link-StateProtokolle (z. B. OSPF) oder basieren auf beiden (z. B. EIGRP). BGP ist ein externes Routingprotokoll
für Internetprovider, um autonome Systeme zu verbinden.
PetraTreubel
Seite 13
Protokolle, VLAN, IP-Adressen und Routing
Eine Routingtabelle ist auf allen IP-Knoten vorhanden, weil alle IP-Knoten eine gewisse Form von
Routing durchführen (siehe oben "direkte Zustellung"). Wenn ein IP-Paket weitergeleitet werden soll,
wird an Hand der Routingtabelle die Weiterleitungs-IP-Adresse (Ziel-IP-Adresse) und die Quell-IPAdresse bestimmt.
in der folgenden Abbildung ist ein Ausschnitt einer Routingtabelle abgebildet.
Netzwerkziel
0.0.0.0
192.168.102.0
127.0.0.0
192.168.1.0
192.168.178.0
Netzwerkmaske
0.0.0.0
255.255.255.0
255.0.0.0
255.255.255.0
255.255.255.0
Gateway
192.168.178.1
192.168.1.3
127.0.0.1
192.168.1.10
192.168.178.10
Schnittstelle
192.168.178.10
192.168.1.10
127.0.0.1
192.168.1.10
192.168.178.10
Anzahl
3
3
1
2
2
Die erste Zeile ist die Standardroute, die für alle Adressen gewählt wird, auf die keine andere Route
zutrifft. Die zweite Zeile verweist auf einen anderen Router, an dem zum Netzwerk 192.168.102.0
weiter geleitet wird. Ein Verweis auf die Loopback-Schnittstelle ist Zeile drei. Die vierte und fünfte
Zeile stellen das direkt verbundene Netzwerk dar und brauchen genauso wie Zeile drei nicht explizit
eingerichtet zu werden.
6.2.1
Netzwerkkennung/-ziel
Die Netzwerkkennung entspricht der Route. Der Bereich für das Netzwerkziel liegt zwischen 0.0.0.0
für die Standardroute und 255.255.255.255 für den eingeschränkten Broadcast. Beim
eingeschränkten Broadcast handelt es sich um eine spezielle Broadcastadresse für alle Hosts in
demselben Netzwerksegment.
6.2.2
Netzwerkmaske
Bei der Netzmaske handelt es sich um die Subnetzmaske, die beim Vergleichen des Wertes für das
Netzwerkziel auf die IP-Zieladresse bezogen wird. Für Hostrouten - also Routen, die einer IP-Adresse
entsprechen - wird die Netzmaske 255.255.255.255 verwendet.
6.2.3
Gateway/Nächster Abschnitt
Bei der Gatewayadresse handelt es sich um die IP-Adresse, die der lokale Host beim Weiterleiten von
IP-Datagrammen an andere IP-Netzwerke verwendet. Dies ist entweder die IP-Adresse des lokalen
Netzwerkadapters oder die IP-Adresse eines IP-Routers.
6.2.4
Anzahl/Metrik
Eine Anzahl zeigt die Kosten an, die beim Verwenden einer Route entstehen. Üblicherweise
entsprechen die Kosten der Anzahl der Abschnitte bis zu einem IP-Ziel.
Ein Prozess entscheidet über den geeigneten Eintrag der Routingtabelle für die Weiterleitung. Dafür
wird zuerst für jeden Eintrag in der Routingtabelle eine bitweise logisch Und-Verknüpfung zwischen
Ziel-IP-Adresse und Netzmaske durchgeführt und die Route mit der längsten Entsprechung
ausgewählt. (d.h. die Bits stimmen überein)
Beispiel: Wenn der Host, auf dem diese Routingtabelle mit dem Befehl route print angezeigt worden
ist, ein Paket an den Zielhost mit der IP-Adresse 192.168.1.8 und der Netzmaske 255.255.255.0
senden will, werden folgende Vergleiche durchgeführt:
Standardroute:
0.0.0.0
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
PetraTreubel
Seite 14
Protokolle, VLAN, IP-Adressen und Routing
Die direkt verbundene Netzwerkroute:
192.168.1.0
1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0
Die Ziel-IP-Adresse:
192.168.1.8
1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0
1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0
Die direkt verbundene Netzwerkroute hat die meisten Übereinstimmungen. Als Weiterleitung wird die
direkt gewählt und als Ziel-IP-Adresse wird die des Zielhosts im IP-Paket eingetragen.
Beispiel: Wenn der Host der oben abgebildeten Routingtabelle ein Paket an einen anderen Host mit
der IP-Adresse 10.1.1.66 und der Netzmaske 255.255.0.0 senden will, werden folgende Vergleiche
durchgeführt:
Standardroute:
0.0.0.0
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Die direkt verbundene Netzwerkroute:
192.168.1.0
1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0
Die Ziel-IP-Adresse:
10.1.1.66
0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 1 0 0 0 1 0 0
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Die Standardroute hat die meisten Übereinstimmungen. Als Weiterleitung wird die indirekte gewählt
und als Ziel-IP-Adresse wird die des Gateways im IP-Paket eingetragen.
Sollte es mehrere Routen mit der gleichen Übereinstimmung geben, wird die Route mit der niedrigsten
Metrik ausgewählt. Werden mehrere gleiche Routen mit der gleichen Metrik gefunden, wählt IP
willkürlich aus.
PetraTreubel
Seite 15
Protokolle, VLAN, IP-Adressen und Routing
Netz
170.10.0.0
Netz
170.11.0.0
PDC
170.10.0.2
PDC
170.11.0.2
170.10.0.1
170.11.0.1
Router
Workstation
170.10.0.3
6.3
6.3.1
Workstation
170.11.0.3
Konfiguration von statischen Routing-Einträgen auf dem Allied Telesyn 24
Routing*
The process of routing packets consists of selectively forwarding data packets from one network to
another. The router bases its decision to send the packet to a particular network on the information it
can learn dynamically from listening to the selected route protocol, as well as the static information
entered as part of the configuration process. In addition, user-defined filters can be used to restrict the
way packets are sent. The router maintains a table of routes which tell the router how to find a remote
network or host. The route table holds information about routes to destinations.
A route is uniquely identified by IP address, network mask, next hop, ifIndex, protocol and policy. A list
of routes comprises all the different routes to a destination. The routes may have different metrics,
next hops, policy or protocol. A list of routes is uniquely identified by its IP address and net mask.
When an IP packet is received, the routing table is scanned to find the lowest metric route to the
destination. Provided that no filters are active which would exclude the packet, it is then forwarded to
that route by sending it to the router specified by the next hop. If no route exists, the table is scanned
for the default route (0.0.0.0) and forwarded as before. If no direct route or default route exists, the
packet is discarded and an ICMP message to that effect is sent back to the
source.
The routing table is maintained dynamically by using one or more routing protocols such as RIP, EGP
and OSPF.
PetraTreubel
Seite 16
Protokolle, VLAN, IP-Adressen und Routing
6.3.2
ADD IP ROUTE*
Syntax
ADD IP ROUTE=ipadd INTERFACE=interface NEXTHOP=ipadd [CIRCUIT=mioxcircuit] [DLCI=dlci] [MASK=ipadd] [METRIC=1..16] [METRIC1=1..16]
[METRIC2=1..65535] [POLICY=0..7] [PREFERENCE=0..65535]
where:
–
–
–
–
ipadd is an IP address in dotted decimal notation.
interface is an interface name formed by concatenating a layer 2 interface type, an
interface instance, and optionally a hyphen followed by a logical interface number in the
range 0 to 15 (e.g. eth0, vlan1, ppp1-1). If a logical interface is not specified, 0 is
assumed (i.e. ‘eth0’ is equivalent to ‘eth0-0’).
miox-circuit is the name of a MIOX circuit defined for an X.25 interface, 1 to 15
characters in length. The name is not case-sensitive.
dlci is the Data Link Connection Identifier (DLCI) of a Frame Relay DLC(circuit).
Description
This command adds a static route to the IP route table. Static routes can be used to define
default routes to external routers or networks. A default route is one with a network address
of 0.0.0.0. If the router receives data and can not find a route for it, the data will be sent to
the default route. To define a default route IPADDRESS is set to 0.0.0.0 and NEXTHOP
points to the network (router) to which default packets are to be directed. The static route
must not already exist. However, if the route exists as a dynamic (e.g. RIP-derived) route,
the static route may still be added. A maximum of 300 static routes can be defined. This
command is also used to define subnets. Multiple routes can be defined for a single interface
(usually a LAN). This is useful if it is desired to have more than one network or subnet
present on a particular interface.
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 17
Protokolle, VLAN, IP-Adressen und Routing
7 Konfiguration von Filter-Einträgen auf dem Allied Telesyn 24
7.1
7.1.1
Filter anlegen
ADD IP FILTER*
Syntax
ADD IP FILTER=filter-number SOURCE=ipadd [SMASK=ipadd]
[SPORT={port-name|port-id}] [DESTINATION=ipadd
[DMASK=ipadd]] [DPORT={port-name|port-id}]
[ICMPCODE={icmp-code-name|icmp-code-id}]
[ICMPTYPE={icmp-type-name|icmp-type-id}] [LOG={4..1600|
DUMP|HEADER|NONE}] [OPTIONS={YES|NO}]
[PROTOCOL={protocol|ANY|EGP|ICMP|OSPF|TCP|UDP}]
[SESSION={ANY|ESTABLISHED|START}] [SIZE=size]
[ENTRY=entry-number] {ACTION={INCLUDE|EXCLUDE}|
POLICY=0..15|PRIORITY=P0..P7}
Filter Regeln in Layer 3 implementieren
✍ über Filter Regeln lässt sich der Traffic zwischen den VLAN‘s einschränken
✍ Filter-Regeln müssen Interfaces zugewiesen werden
✍ die Reihenfolge der Regeln ist entscheidend
✍ letzte Regel ist immer eine Regel, die jeglichen Traffic beschreibt und ihn verbietet
✍ Action = inclusion: Traffic wird erlaubt
✍ Action = exclusion: Traffic wird verboten
✍ es wird nur der incoming Traffic gefiltert
Wichtige Filter Parameter:
✍ Source: IP-Adresse des Absenders
✍ SMask: Netzwerkmaske für den Absender
✍ Destination: IP-Adresse des Empfängers
✍ DMask: Netzwerkmaske für den Empfänger
✍ Action: Paket erlauben oder verbieten
✍ SPort: Absender Port
✍ DPort: Empfänger Port
✍ Entry: Position der Regel in dem Filter
Filter definieren
Manager > add ip filter=1 entry=1 source=192.168.2.0
smask=255.255.255.0 DESTINATION=192.168.3.0 DMask=255.255.255.0
action=include
Info (105003): Operation successful.
7.1.2
Filter ändern
Manager > set ip filter=1 entry=1 source=192.168.2.0
smask=255.255.255.0 DESTINATION=192.168.3.0 DMask=255.255.255.0
action=include
Info (105003): Operation successful.
7.1.3
Filter löschen
Manager > delete ip filter=1 entry=1
(Manager > delete ip filter=1 entry=all)
Info (105003): Operation successful.
PetraTreubel
Seite 18
Protokolle, VLAN, IP-Adressen und Routing
7.2
7.2.1
Filter anwenden und entfernen
Filter an Interface binden
Manager > set ip interface=vlan2 filter=1
Interface
Type
IP Address
Bc Fr PArp Filt RIP Met.
SAMode IPSc
Pri. Filt
Pol.Filt Network Mask
MTU
VJC
GRE OSPF Met. DBcast Mul.
-------------------------------------------------------------------------------vlan2#
Static
192.168.102.190 1 n 001 01
Pass
No
----255.255.255.192 1500 --- 0000000001 No
Rec
--------------------------------------------------------------------------------
7.2.2
Filter von Interface entfernen
Manager > set ip interface=vlan2 filter=none
Interface
Type
IP Address
Bc Fr PArp Filt RIP Met.
SAMode IPSc
Pri. Filt
Pol.Filt Network Mask
MTU
VJC
GRE OSPF Met. DBcast Mul.
-------------------------------------------------------------------------------vlan2#
Static
192.168.102.190 1 n --- 01
Pass
No
----255.255.255.192 1500 --- 0000000001 No
Rec
--------------------------------------------------------------------------------
7.3
Rapier 24-Beispiel:
1. Create a filter to control the access of hosts A, B and C to the mainframe.
Create filter 1 for interface ppp0 to control the access of hosts A, B and C on the remote
network to the mainframe on the local network. To enable Telnet connections from host A,
use the command:
ENABLE IP
ADD IP FILT=1 SO=192.168.2.4 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DPORT=TELNET
PROT=TCP SESS=ANY AC=INCLUDE
To enable Telnet and FTP access from host B, use the commands:
ADD IP FILT=1 SO=192.168.2.5 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DP=FTPDATA
PROT=TCP SESS=ESTA AC=INCL
ADD IP FILT=1 SO=192.168.2.5 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DP=FTP PROT=TCP
SESS=ANY AC=INCL
ADD IP FILT=1 SO=192.168.2.5 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DP=TELNET PROT=TCP
SESS=ANY AC=INCL
To enable FTP access from host C, use the commands:
ADD IP FILT=1 SO=192.168.2.6 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DP=FTP PROT=TCP
SESS=ESTA AC=INCL
ADD IP FILT=1 SO=192.168.2.6 SM=255.255.255.255
DEST=172.16.10.2 DM=255.255.255.255 DP=FTPDATA
PROT=TCP SESS=ESTA AC=INCL
PetraTreubel
Seite 19
Protokolle, VLAN, IP-Adressen und Routing
The last entry in a filter is always an implicit entry (one which you do not have to enter) to
exclude all sources, destinations and ports. It is equivalent to the command:
ADD IP FILT=1 SO=0.0.0.0 SMASK=0.0.0.0 DEST=0.0.0.0.
DMASK=0.0.0.0 SPORT=ALL ACT=EXCL
2. Create a filter to allow only replies from the mainframe to reach hosts A, B and C.
Create filter 2 for interface eth0 to allow the replies from the mainframe to remote hosts A, B
and C, but prevent other users on the local network from accessing remote hosts A, B and
C:
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=TELNET
DEST=192.168.2.4 DM=255.255.255.255 PROT=TCP SESS=ESTA
AC=INCL
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=TELNET
DEST=192.168.2.5 DM=255.255.255.255 PROT=TCP SESS=ESTA
AC=INCL
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=FTPDATA
DEST=192.168.2.5 DM=255.255.255.255 PROT=TCP SESS=ANY
AC=INCL
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=FTP
DEST=192.168.2.5 DM=255.255.255.255 PROT=TCP SESS=ESTA
AC=INCL
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=FTPDATA
DEST=192.168.2.65 DM=255.255.255.255 PROT=TCP SESS=ANY
AC=INCL
ADD IP FILT=2 SO=172.16.10.2 SM=255.255.255.255 SP=FTP
DEST=192.168.2.6 DM=255.255.255.255 PROT=TCP SESS=ESTA
AC=INCL
The explicit exclusion is not required. Other hosts on the local network will not be able to
communicate with hosts on the remote network.
3. Add the filters to the interfaces.
The filters that have been defined must be assigned to interfaces in order for them to take
affect. Assign filter 1 to interface ppp0 and filter 2 to interface eth0, using the commands:
CREATE PPP=0 OVER=SYN0
ADD IP INT=PPP0 IP=172.16.10.54 MASK=255.255.255.0 FILT=1
ADD IP INT=ETH0 IP=172.16.1.5 MASK=255.255.255.0 FILT=2
4. Test the Configuration
The definitions of the filters can be checked with the command:
SHOW IP FILTER
The command:
SHOW IP INTERFACE
displays details of the IP interfaces defined, including the filter assigned to each interface.
*Quelle: www.alliedtelesyn.com (Rapier 24i Manual)
PetraTreubel
Seite 20
Zugehörige Unterlagen
Router-Befehle
Router-Befehle
Herunterladen
Werbung