Netzwerktechnologie 6. Semester

Netzwerktechnologie 6. Semester
Dozent:
Hr. William Boye ([email protected])
Mitschrift von: M. Landolt
Prüfung:
14.5. (MIT UNTERLAGEN, MIT NOTEBOOK)
11.8.
1 Anforderungen an Netzwerke
•
•
•
•
•
•
•
(Hoch-)Verfügbarkeit (redundanz einbauen)
Performance, Qualität: dabei das Unmögliche erreichen (gut, schnell, billig zugleich)
Sicherheit
Vertraulichkeit (niemand hört mit)
Integrität (alle bits kommen so an wie sie gesendet wurden)
AAA
◦ Authentication: Wer bist du?
◦ Authorisation: Was darfst du?
◦ Accounting: verrechnung (teilweise 70% der Kosten um die kosten zu berechnen)
Transparenz: Man darf es gar nicht spüren
2 Protokolle
OSI
TCP/IP
IPX/SPX
Appletalk
Decnet
Ethernet
3 Institutionen (PRüFUNGSFRAGE)
3.1 IEEE (Institute of Electrical and Electronics Engineers)
http://de.wikipedia.org/wiki/Institute_of_Electrical_and_Electronics_Engineers
802 (Jahr,Monat --> Februar 1980)
802.1
IEEE802.1d SpanningTree http://de.wikipedia.org/wiki/Spanning_Tree_Protocol
802.3 Ethernet Arbeitsgruppe (PRüFUNGSFRAGE)
802.11 Wirless LAN Working Group
3.2 Ethernet OUI (Organizationally Unique Identifier)
http://en.wikipedia.org/wiki/Organizationally_Unique_Identifier
die ersten 3 bit der Mac Adresse gibt die Firma an
Kommentar Boje: Token Ring = Totes Rind
3.3 IANA (Internet Assigned Numbers Authority)
http://de.wikipedia.org/wiki/Internet_Assigned_Numbers_Authority
• Internet, TCP/IP
• Welche Portnummer wofür
• Verwaltung der IP nummern (Europa: Ripe)
• TopLevel Domains
3.4 ITU (International Telecommunication Union)
http://de.wikipedia.org/wiki/Internationale_Fernmeldeunion
V.90 (Modemstandard)
H.323 (Voip multimedia....)
3.5 OSI (Open Systems Interconnection Reference Model)
http://de.wikipedia.org/wiki/OSI-Modell
3.6 ISO (International Organization for Standardization)
http://de.wikipedia.org/wiki/Iso
4 STRUKTURMODELLE
•
•
•
•
•
OSI-Modelle (von International Standards Organisation)
Client-Server-Paradigma
Grid-Computing (neu)
verteilte Prorammierung (neu)
many-to-many Systemes (neu)
5 Hardware Komponenten
•
•
•
•
•
Hup
Switch
Router
Firewall
Gateways (Gerät zwischen verschiedenen welten)
6 Infrastruktur
Heute Ethernet und IP
6.1 Infrastrukturprotokolle
IP (Internet Protocol)
arp (Adress Resolution Protocol)
Spanning-Tree (Aufgespannter Baum)
ICMP (Internet Control Message Protocol)
Routing-Protokolle (RIP, OSPF, ...)
TCP, UDP
6.2 Infrastrukturdienste
DHCP (Dynamic Host Configuration Protocol)
DNS (Domain Name System)
LADP (Lightweight Directory Access Protocol)
Radius (Remote Authentication Dial-In User Service)
SAN/NAS (iSCSI{scsi über ip}, Fiber Channel, ATA over Ethernet)
Applikationsnahe Services (HTTP, HTTPS/TLS, SSH, RTP, FTP)
7 Praktikum
Dynamips (Virtuelles IOS)
Dynagen (Lässt mehrere Dynamips laufen)
GNS3 (GUI für Dynagen)
7.1 Verteilte CD
Ubuntu
nettest:nettest
root:root
7.2 IOS Praktikum
Configuredialog --> no
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Router0
Router0(config)#line con 0
Router0(config-line)#exec-timeout 0 0
Router0(config-line)#logging syn
Router0(config-line)#exit
outer0(config-if)#interface fast0/0
Router0(config-if)#ip address 1.1.1.100
Router0(config-if)#ip address 1.1.1.100 255.255.255.0
Router0(config-if)#no shutdown
show ip interface brief
write
(Konfiguration Speichern, dann mit pfeil in GNS3 exportieren)
7.2.1
Seite für Dinamips und Dynagen
7200emu.hacki.at
8 Dynamips
list
stop Router1
start
help import
9 ARP (Adress Resolution Protocol)
show ip route
S* ist die default route bei cisco
show arp
ip route 0.0.0.0 0.0.0.0
10
Arp Spoofing (PRüFUNGSFRAGE)
Spoofing = vortäuschen
Ethernet
Arp
von z an x
von mac:x an IP:y
Arp paket nicht als Broadcast sondern als Unicast
Target merkt sich falsch mac Adresse (in seiner Arp Tabelle)
gleiches packet an 2. target computer, so geht alles über den man in the middle
Layer 3: Sender --> receiver
Layer 2: Sender --> hacker --> receiver
10.1
Layer-2 Switch (Transperenter Switch)
--> Verändert nicht ein einziges Bit
leitet Ethernet Frames weiter an verschiedene ports an Hand der Mac-Tabelle
10.1.1.1
Managed Layer 2 Switch
Konfiguration: Webgui, Commandline, Telnet, ssh
--> auch VLAN fähige (LAYER 2)
Trunk: pakete als Jumbo (mit VLAN ID Im Ethernet Frame)
-->IEEE802.1Q (Heuer Script: 04.03_vlan.pdf S5+6)
10.1.2
Mac Adressspeicher
8000
Kleiner Businesswitch
30'000-60'000 Grosser Busiensswitch
10.1.2.1
PORT
0
1
2
3
MAC-ADRESS TABELLE
MAC-Adresse
Mac A
Mac B
Mac C
Mac D
welches VLAN (könnte man mit farbigen fähnchen markiern)
63
63
64
64
Trunk – Port kommen nicht alle Pakete an, falls an einem anderen Port der Zielrechner
angeschlossen. -->Monitor-Port
10.1.3
VLAN
= Layer2-Broadcast-Domäne
= Maschinen die sich gegenseitig erreichen können
Layer 2: 2 Colision domains
Layer 3: 2 Subnetze
--> Problem, gemeinsamer Drucker müsste 2 IP Adressen haben.
Folglich müssten die beiden VLANS bzw. die beiden Subnetze mit einem Layer 3 Gerät
verbunden werden
10.2
Layer3 Switch
verhalten sich wie Router
Hauptjob auf L3
11
Praktikum
BROADCAST LOOPS S1 S2 S3 S1
-->Spanningtree protokoll unterbricht einen ast vom loop
CISCO
show mac-address-table dynamic
conf t
int fa1/10
switchport access vlan 20
(VLAN zuordnen)
Trunk konfigurieren
interface range f1/1 -2
sw trunnc enc dot1
sw mode trunk
11.1.1.1
(sw=switchport)
Router mit Trunk konfigurieren zum verbinden zweier VLANS
Interface fast1/10
Switchport trunk encapsulation dot1q
switchport mode trunk
11.2
R1
(rotuer 1)
show run
conf t
inter fast0/0
no ip address
exit
interface fast0/0.1010
(sub interface)
encapsulation dot1Q 10 (logisches interface vlan 10)
ipaddress 1.1.1. 255.255.255.0
interface fast0/0.2020
encapsulation dot1Q 20
ip address 1.1.1.2 255.255.255.0 (FALSCH, pro VLAN ein Subnetz) also nicht eingeben
ip address 2.2.2.1 255.255.255.0 (richtig)
end
--> Default gateway fehlt
R1 show iproute (Router macht automatisch routing tabelle)
C1 ping + show iproute
(C1 fehlt rückwärts route)
-->show ip route fehlt 2.2.2.0/24
-> conf t
ip route 0.0.0.0 0.0.0.0 1.1.1.1
(Default route, letzter default gateway)
1. ip zieladresse
2. mask
3. next hop (nächster dem man das paket geben muss)
S* 0.0.0.0/0 = default route (S*=statische route)
oder Routing protokoll zwischen den routern
11.2.1
Debug mode
debug ip packet (NIE AUF EINEM SCHARFEN ROUTER MACHEN)
ping 2.2.2.12
undebug all
(alle debugs deaktiviern)
11.2.2
Logisches interface (Loop back interface)
conf t
int loop 33
ip add 3.3.3.10 255.255.255.0
show ip route
c2: ping: U.U.U (ICMP dest unrachable
R1 ip route 3.3.3.0 255.255.255.0 1.1.1.11
show ip route
C (Connected)
S (route via)
no ip route 3.3.3.0 255.255.255.0 1.1.1.11 (route löschen)
C1: no interface loop33
ping pi repeat 1
11.2.2.1
Wireshark an Trunk
ping request vlan10
ping request vlan20
ping reply 20
ping reply 10
11.3
NATIVE VLAN: Default VLAN
Frame, das nicht mit .1q header hat
-->in einer Firma sollte nicht VLAN1 verwendet werden, aus Sicherheit.
show run int f1/10
show interface fast1/10 switchport
conf t
switchport trunk native vlan 30
12
Spanning tree (aufgespannter Baum)
1. Ein switch wird als root bestimmt (Master Switch S1)
2. die anderen suchen den kürzesten Weg zu root
show spanning-tree vlan 20 brief
show span vlan 20
1. jeder switch hat eine Bridge ID
2. ID besteht aus: 2 byte Priorität + 6byte mac adresse (mac adresse für kommunikation s-s)
3. die kleinere bridge id ist die bessere bridge id (Prio xxyyyyyy Mac)
Beispiel: S3 hat eine logische Blockade eingelegt, zu S2
Cisco mach für jedes vlan einen spanning-tree
Default Priorität: 32768
Root port
12.1.1
1.
2.
3.
4.
Spanning Tree
Root switch wird bestimmt an hand der mac adresse
Jeder Switch bestimmt seinen Root-Port
auf jedem segment wird bestimmt wer designated ist. (Zuständig für ein Segment)
Ports die nicht root port und nicht designated sind werden geblockt
BPDU (Bridge protokolle data units) cost wird bei root switch auf 0 gesetzt
layer1 verbindung = segment
werden die segmente nummeriert?
Jeder port ist ein segment
SW1.1 shickt an SW2.1 und umgekehrt, so wissen die beiden voneinander
12.1.1.1
12.1.1.2
Tie-Braker
1. zuerst werden kosten zur root verglichen
2. die kleiner Bridge ID des Absenders
3. die kleinere Port ID des Absenders
show spanning-tree vlan xx
12.1.1.3
Bridge Protocol Data Unit (BPDU)
...werden bei geblocktem Port trotzdem empfangen
12.1.2
SPANNING TREE Standard von 1980
IEEE802.1d
12.1.2.1
Managed switch
Beim einstecken eines Clients
Link Pulse auf layer 1
Switch gibt port nicht sofort frei (2x15s = forward delay)
--> 1. Phase = Listening (erste 15 Sek) Hört nur auf BPDU, daten werden verworfen
--> 2. Phase = lernt absender mac-adresse vom client
12.1.2.1.1
ist 100% sicher, dass da endgerät angeschlossen wird
Port-fast aktivieren (deaktiviert die 30 sekunden)
bpdu guard (kommt ein BPDU wird link deaktiviert)
Hinweis für Cyber „Terroristen“
BPDU Pakete rausfiltern, so gibt es einen Loop
möglichst Broadcast (:
Wenn man das Netz als Baum implementiert ist braucht es im Prinzip kein Spanning Tree aber das
könnte mit einem Netzwerkkabel sabotiert werden
Vergleich
OSPF (aber Layer 3)
Open Shortest Path First
Netzmaske
/28 28x1 und 4x0
Links: Netzwerkbereich
rechts: Hostbereich
NetzwerkID: IP&&NM
Broadcast: IP||not(NM)
Verfügbare Client IP's (2^n)-2 (wobei n=32-Netzmaske in /notation)
Heuer-Script (05.01_ip.pdf S. 22ff)