Netzwerktechnologien und Netzwerkprotokolle verstehen

1 Cloud Services

VPN
Software as a Service
Es wird keine Lizenz an einer Software verkauft, sondern die Nutzung als Cloud-Dienst
Platform as a Service
eine Platform für Entwickler von Webanwendungen
Infrastructure as a Service
statt sich eine Rechnerinfrastruktur zu kaufen, kann man diese je nach Bedarf (on demand) mieten

Nutzt eine bestimmte Gruppe sowohl Public-Cloud-Services, wie auch Private-Cloud-Services, zum Beispiel einer anderen Firma, so nennt sich das genutzte Gebilde Hybrid-Cloud.

Vorteile:
  • BS-Unabhängigkeit
  • Skalierbarkeit für Hard- und Software
  • hohe Performance (skalierbar)
  • Ausfallsicherheit
  • neuste Programmversion
  • Kostenersparnis (kein eigene IT,-Personal)
Nachteile:
  • Datenschutz?
  • Datensicherheit?
  • Abhängigkeit vom Cloud-Provider und von der Internet-Anbindung
NIST-Bereitstellungsmodelle
  • Public-Cloud: Internet
  • Private-Cloud: Intranet (selber Service wie Public aber innerhalb der Firma)
  • Hybrid-Cloud: Extranet (zweite Firma greift auf unsere Privat-Cloud zu = früher Extranet)

2 Netzwerktechnik

2.1 Kabel

UTP ungeschirmtes, flexibles Kabel
S-UTP Verlegekabel
FTP
S-FTP

Umso mehr Schirmung umso besser ist der NEXT-Wert des Kabels. Zwischen Netzwerkdose und Endgerät ist es immer Patchkabel

2.2 Ethernet Typen

10 Base-Tx Twisted Pair
100 Base-T
1000 Base-F Glasfaser
Broad L
Broad F

2.3 Strukturierte Verkabelung (IHK)

Tertiärbereich
ausschließlich innerhalb von Gebäuden, auf einzelnen Etagen
Sekundärbereich
zwischen Etagen, LWL/Cat.7
Primärbereich
zwischen Gebäuden, Glasfaser

2.4 Glasfaser

Kabeltyp Durchmesser (Kern / Gesamt) Bandbreite (1 km) Anwendung
Multimode mit Stufenprofil 100 bis 400 µm / 200 bis 500 µm 100 MHz Entfernungen unter 1 km
Multimode mit Gradientenprofil 50 µm / 125 µm 1 GHz LAN, Backbone, ATM (655 MHz) in Europa
62,5 µm / 125 µm 1 GHz LAN, Backbone, ATM (655 MHz) in den USA
Monomode (Singlemode) mit Stufenprofil 9 µm / 125 µm 100 GHz Netzbetreiber
Vorteile
  • sehr große Segmentlänge
  • sehr hohe Bandbreite (mehrere 100 Gb/s)
  • EMI-unempfindlich
  • abhörsicher
Nachteile
  • hohe Kosten bspw. für Spezialstecker

2.5 Zugriffsverfahren bei Ethernet II

2.6 Switch

Allgemeines
  • sendet Signal nicht an alle Ports, sondern sendet und beurteilt Frames
  • kann Mac-Adressen lessen und auswerten (LAYER2-Gerät)
    • exklusive Verbindung zwischen zwei Knoten für die Dauer von jeweils einem Frame
    • stellt Kollissionsrate auf Null
    • die Ziel-MAC in einem Frame nutzt der Switch, um nur dort das Frame (am zugeordneten Port) zum Empfänger zu senden
    • Ausnahmen:
      Ziel-Mac ist die Broadcastadresse Frame wird über alle Ports versendet
      Ziel-MAC nicht (noch nicht) in der Switching-Tabelle
      Switching-Tabelle voll (Speicherüberlauf z.B. durch Angriff)
  • Switch besitzt statischen Speicher (RAM), mehrere kB
    • benötigt Speicher für:
      Switching-Table, enthält MAC-Adressen und Port-Nummer
      Pufferspeicher pro Port für Verzögerung
  • Switch ist Transparent (durchlässig) er ist für die anderen Geräte nicht existent
  • ein Switch ist selbstlernend, “weiß” am Anfang nichts und lernt durch jedes Gerät das angeschlossen wird
  • bei Netzwerkeinstellung Voll-Duplex keinerlei Kollisionen
  • alle Komponenten unterstützen mittlerweile Voll-Duplex, daher ist Halb-Duplex nicht mehr gebräuchlich
    Halb-Duplex senden und empfangen nur nacheinander
    Full-Duplex senden und empfangen gleichzeitig
  • kaskadieren: mehrer Switches/Hubs miteinander verbinden, senkt die Laufzeit
Port-Security
nur erlaubte MAC-Adresse an einem bestimmten Port
MAC-Filterung
welcher MAC darf zu welcher MAC?
Switch-Funktionsprinzip
Store and Forward = Speichern und weiter schicken
Cut Trough
  • schneller als “Store and Forward”
  • keine Geschwindigkeitsanpassung
  • keine CRC-Prüfung
VLANs (MAC-Adresse)
trennen eine Broadcast-Domäne in mehrere auf. Zwischen VLANs gibt es nur Datenverkehr über Routingfunktion.

2.7 Bridge

2.8 Router

Allgemeines
  • arbeitet auf Layer 3
  • logische Netze und Adressen
  • Routing ist ein Software-Prozess (langsamer als ein Hardware-Prozess)
  • Enterprise-Router haben nur seeeeeeehr große Firmen
  • Router ist eine Grenze für Broadcasts
Statisches Routing
Admins definieren Routen pro Router
Änderungen werden von Routern nicht bemerkt (defekte Router, neue Router und Routen)
Dynamisches Routing
Router teilen sich gegenseitig ihre Routen (zu Netzen) mit (per Multicast)
Routingprotokolle:
  • RIP (routing information protocol)
  • OSPF (open shortest path first)
  • etc.

2.8.1 Source-NAT

Vorteile von NAT:
  • von außen sind die internen IP-Adressen nicht ersichtlich
    • erhöht die Sicherheit
    • erschwert Angriffe von Außen
  • wenn dynamisches NAT aktiv ist kommt man damit von innen nach außen ABER von außen nach innen kommt man nicht
    • Source NAT lässt sich nicht misbrauchen
  • ohne Source-NAT wäre es nicht möglich gewesen viele über öffentliche IP ins Netz zu lassen
  • durch IPv6 stehen genug IPs zur Verfügung, allerdings machen diese keine NAT mehr
  • wäre nur noch die Firewall zum Schutz da

2.8.2 Destination-NAT / statisches NAT

3 Netzwerkadressierung

Jedes Netzwerkfähige Gerät besitzt eine MAC Adresse und könnte darüber auch angesprochen werden. Jedoch wäre das nur im selben Netz möglich. Sobald Hosts aus unterschiedlichen Netzen miteinander kommunizieren möchten, bedarf es einer zusätzlichen Adressierung. Der IP Adresse.

Aufbau einer IP-Adresse
besteht aus 4 Oktetten 1 Oktett entspricht 8 Bits und somit 32 Bits insgesamt
  • Netzadresse (Net-ID)
  • Hostadresse (Host-ID)

Vergleichbar ist dies mit einer Telefonnummer Die Vorwahl ist die Netzadresse und die Rufnummer die Hostadresse

Wie schon erwähnt besteht eine IP-Adresse aus 32 Bits. Im folgenden möchte ich anhand der IP 192.168.178.1 zeigen wie die Binärdarstellung dazu aussehen wird.

1. Oktett 2. Oktett 3. Oktett 4. Oktett
Dezimal 192 168 178 1
Binär 11000000 10101000 10110010 00000001

Nun könnte man sich fragen wie man an einer IP Adresse erkennt, wo der Netzanteil beginnt und der Hostanteil aufhört. An der IP Adresse selbst nicht. Hierzu sind weitere 32 Bit nötig. Diese Ziffernfolge hört auf den Namen SubNetzmaske.

Aufbau einer SubNetzmaske:
besteht aus 4 Oktetten 1 Oktett entspricht 8 Bits und somit 32 Bits insgesamt
Klassische Subnetzmasken lauten: 255.0.0.0 , 255.255.0.0 , 255.255.255.0

Die Netzmaske wird wie eine Schablone auf die IP-Adresse gelegt. Danach kann man den Netz-Anteil und den Host-Anteil ablesen.

3.1 Klassifizierung von Netzen

Im ersten Ansatz des Department of Defence waren die ersten 8 Bit für die Netze eingeteilt und die restlichen 24 Bit für die Hostadressen. Wie sich später herausstellte, war dies eine riesige Verschwendung. Daher führte man folgendes Netzklassensystem ein.

Klasse Präfix theoretischer Adressbereich Netzmaske Netz-Bits Anzahl Netze Host-Bits Anzahl Hosts
A 0 0.0.0.0 - 127.255.255.255 255.0.0.0 7 128 24 16.777.216
B 10 128.0.0.0 - 191.255.255.255 255.255.0.0 14 16.384 16 65.536
C 110 192.0.0.0 - 223.255.255.255 255.255.255.0 21 2.097.152 8 256
D 1110 224.0.0.0 - 239.255.255.255 für Multicasts
E 1111 240.0.0.0 - 255.255.255.255 reserviert

Die Anzahl der Netze wird durch die Präfixe (Class Identifier) beeinflusst. Die Class Identifier zeigen in welche Klasse eine IP Adresse gehört. Dies ist insofern nützlich, dass man sich die Adressräume nicht einprägen braucht. Durch sie reduziert sich die Anzahl an möglichen Netzen

Reservierte Adressbereiche:
  • Die IP-Adresse 0.0.0.0 ist für den Host selber bis zur Erlangung einer gültigen IP-Adress reserviert.
  • 127.x.x.x werden als Localhost bezeichnet und als netzinterne Schleifenadressen,
    dem sogenannten loop back verwendet.
  • Reserviert sind die Adressen 128.0.0.0, 191.255.0.0, 192.0.0.0 und 223.255.255.0
  • 10.0.0.0 bis 10.255.255.255 mit der Maske 255.0.0.0 ist ein privates Class-A Netz.
    Es lassen sich insgesamt 16777214 Hosts adressieren.
  • 169.254.0.0 bis 169.254.255.255 mit der Maske 255.255.0.0 ist ein Class-B Netz.
    Es wird verwendet für link local mit APIPA.
  • 172.16.0.0 bis 172.31.255.255 mit der Maske 255.255.0.0 enthält 16 private Class-B Netze.
    Es lassen sich je 65534 Hosts adressieren.
  • 192.168.0.0 bis 192.168.255.255 mit der Maske 255.255.255.0 hat 256 private Class-C Netze.
    Jedes Netz umfasst bis zu 254 Hosts.

Somit ergeben sich folgende gültigen Netzbereiche:

Klasse 1. Oktettbereich gültige Netznummern Netzanzahl Hosts im Netz
A 1 ... 126 1.0.0.0 bis 126.0.0.0 27−2=126 224−2=;16;777;214
B 128 ... 191 128.1.0.0 bis 191.254.0.0 214−2=16382 216−2=65534
C 192 ... 223 192.0.1.0 bis 223.255.254.0 221−2=2097150 28−2=254

3.2 Classless Inter-Domain Routing

Die Einteilung der 32 Bit umfassenden IP Adressen ist wenig effizient. Das Adressschema der IP Adresse in Netzwerk- und Hostanteil verhindert eine flexible Anpassung und schränkt den gesamten Adressraum deutlich ein. Da bekanntermaßen die Anzahl der IP Adressen begrenzt ist und die Verschwendung dieser vermieden werden sollte, wurde das Classless Inter Domain Routing eingeführt.

Allein schon in der Notation ist ersichtlich wieviele Bits dem Netzwerkanteil zugerechnet werden. Hierzu wird ein Suffix mit einem Schrägstrich an die IP- Adresse angehangen. z.B.: 168.122.12.3/24
Dies drückt aus, dass 24 Bits für den Netzanteil und der Rest für den Hostanteil genutzt wird. Folgende Tabelle gibt Auskunft über alle möglichen Subnetzmasken.

Classless Inter Domain Routing (CIDR)
Subnetzmaske dezimal Subnetzmaske binär Suffix Anzahl IP's Netzgröße
0.0.0.0 00000000.00000000.00000000.00000000 /0 4.294.967.294 Das Internet
128.0.0.0 10000000.00000000.00000000.00000000 /1 2.147.483.646 128 x Klasse A
192.0.0.0 11000000.00000000.00000000.00000000 /2 1.073.741.822 64 x Klasse A
224.0.0.0 11100000.00000000.00000000.00000000 /3 536.870.910 32 x Klasse A
240.0.0.0 11110000.00000000.00000000.00000000 /4 268.435.454 16 x Klasse A
248.0.0.0 11111000.00000000.00000000.00000000 /5 134.217.726 8 x Klasse A
252.0.0.0 11111100.00000000.00000000.00000000 /6 67.108.862 4 x Klasse A
254.0.0.0 11111110.00000000.00000000.00000000 /7 33.554.430 2 x Klasse A
255.0.0.0 11111111.00000000.00000000.00000000 /8 16.777.214 1 x Klasse A
255.128.0.0 11111111.10000000.00000000.00000000 /9 8.388.606 128 x Klasse B
255.192.0.0 11111111.11000000.00000000.00000000 /10 4.194.302 64 x Klasse B
255.224.0.0 11111111.11100000.00000000.00000000 /11 2.097.150 32 x Klasse B
255.240.0.0 11111111.11110000.00000000.00000000 /12 1.048.574 16 x Klasse B
255.248.0.0 11111111.11111000.00000000.00000000 /13 524.286 8 x Klasse B
255.252.0.0 11111111.11111100.00000000.00000000 /14 262.142 4 x Klasse B
255.254.0.0 11111111.11111110.00000000.00000000 /15 131.070 2 x Klasse B
255.255.0.0 11111111.11111111.00000000.00000000 /16 65.534 1 x Klasse B
255.255.128.0 11111111.11111111.10000000.00000000 /17 32.766 128 x Klasse C
255.255.192.0 11111111.11111111.11000000.00000000 /18 16.382 64 x Klasse C
255.255.224.0 11111111.11111111.11100000.00000000 /19 8.190 32 x Klasse C
255.255.240.0 11111111.11111111.11110000.00000000 /20 4.094 16 x Klasse C
255.255.248.0 11111111.11111111.11111000.00000000 /21 2.046 8 x Klasse C
255.255.252.0 11111111.11111111.11111100.00000000 /22 1.022 4 x Klasse C
255.255.254.0 11111111.11111111.11111110.00000000 /23 510 2 x Klasse C
255.255.255.0 11111111.11111111.11111111.00000000 /24 254 1 x Klasse C
255.255.255.128 11111111.11111111.11111111.10000000 /25 126 128 Hosts
255.255.255.192 11111111.11111111.11111111.11000000 /26 62 64 Hosts
255.255.255.224 11111111.11111111.11111111.11100000 /27 30 32 Hosts
255.255.255.240 11111111.11111111.11111111.11110000 /28 14 16 Hosts
255.255.255.248 11111111.11111111.11111111.11111000 /29 6 8 Hosts
255.255.255.252 11111111.11111111.11111111.11111100 /30 2 4 Hosts
255.255.255.254 11111111.11111111.11111111.11111110 /31 0 2 Hosts
255.255.255.255 11111111.11111111.11111111.11111111 /32 1 1 Host

3.3 Was ist Subnetting?

Ein Netz wird in Unternetze unterteilt

3.4 Wozu Subnetting?

3.5 Wie funktioniert Subnetting?

Nehmen wir einmal an, dass eine Abteilung mit dem Netz 192.168.168.0/24 arbeitet und nun diese Abteilung aufgrund seiner Größe in 4 kleinere Abteilungen aufgeteilt werden soll. Bisher steht dieser Abteilung ein Netz von 254 Host-IP-Adressen zur Verfügung. Wie wir bereits gelernt haben, fallen 2 IP Adressen für Netzadresse und Broadcastadresse weg. Daher nun 254 Adressen und nicht 256.

Gegebene Situation:
  • 1 Netz
  • IP: 192.168.168.0
  • Netzmaske: 255.255.255.0 bzw. /24
Aufgabe:
Das vorhandene Netz soll in 4 Subnetze unterteilt werden, damit jede der 4 Abteilungen sein eigenes Netz bekommt.

3.5.1 Vorgehensweise

  1. Wenn man nun das Netz in kleinere Netze aufteilen will, muss der Netzanteil von derzeit /24 um eine bestimmte Anzahl an Bits erweitert werden. Dies ist abhängig von der gewünschten Anzahl an Subnetzen. In unserem Beispiel also 4.
    Aus der Netzmaske /24 bzw. 255.255.255.0 steht nur noch das vierte Oktett für diese Aktion zur Verfügung. Wir müssen dem Hostanteil einige Bits abziehen um unsere Subnetze zu erhalten.

    Anzahl Bits 1 2 3 4 5 6 7 8
    Anzahl Subnetze 2 4 8 16 32 64 128 256

    Mit 1 Bit sind 21 = 2 Subnetze möglich.
    Mit 2 Bit sind 22 = 4 Subnetze möglich.
    Mit 3 Bit sind 23 = 8 Subnetze möglich.
    usw....

    Somit wird klar, dass wir für unser Beispiel 2 Bit mehr benötigen.

  2. Nun bringen wir die derzeitige IP 192.168.168.0 und die dazugehörige Subnetzmaske 255.255.255.0 in die Binärschreibweise. Jedoch nur ab dem Oktett welches kleiner 255 in der Subnetzmaske ist.

    192.168.168.00000000
    255.255.255.00000000

    Als nächstes erweitern wir den Netzanteil um 2 weitere Bits. Als Folge daraus verringern wir damit auch die Menge an möglichen Host-Adressen!

    192.168.168.00000000
    255.255.255.11000000

    Der Netzanteil hat sich nun um 2 Bits erhöht (von links nach rechts) unddie Grenze zwischen Netz- und Hostanteil verschiebt sich nach rechts

  3. An dieser Stelle rechnen wir die Netzmaske wieder in Dezimal um und erhalten:
    255.255.255.192
  4. Der Hostanteil für jedes Subnetz besteht nun aus 6 Bits und somit aus 64 möglichen Adressen, wovon 2 für die Netz- bzw. Broadcastadresse weggehen.

    Die Netzadresse erkennt man daran, dass alle Hostbits auf 0 gesetzt sind. Währenddessen für die Broadcastadresse alle Hostbits auf 1 stehen.

    Netzadresse erstes Subnetz
    192.168.168.00000000
    Broadcastadresse erstes Subnetz
    192.168.168.00111111

    Umwandlung von Netz- und Broadcastadresse in Dezimal und man erhält:

    Erstes Subnetz
    Subnetzadresse Broadcastadresse möglicher Adressbereich
    192.168.168.0 192.168.168.63 192.168.168.1 bis 192.168.168.62
  5. Um das zweite Subnetz zu erhalten, setzen wir Bit 26 des Netzanteils auf 1:

    192.168.168.01000000

    Daraus folgen die Netz- und Broadcastadresse:

    Netzadresse erstes Subnetz
    192.168.168.01000000
    Broadcastadresse erstes Subnetz
    192.168.168.01111111

    Umwandlung von Netz- und Broadcastadresse in Dezimal und man erhält:

    Zweites Subnetz
    Subnetzadresse Broadcastadresse möglicher Adressbereich
    192.168.168.64 192.168.168.127 192.168.168.64 bis 192.168.168.126
  6. Um das dritte Subnetz zu erhalten setzen wir Bit 25 auf 1 und Bit 26 auf 0:

    192.168.168.10000000
    255.255.255.11000000

    Daraus folgen Netz- und Broadcastadresse:

    Netzadresse erstes Subnetz
    192.168.168.10000000
    Broadcastadresse erstes Subnetz
    192.168.168.10111111

    Umwandlung von Netz- und Broadcastadresse in Dezimal und man erhält:

    Drittes Subnetz
    Subnetzadresse Broadcastadresse möglicher Adressbereich
    192.168.168.128 192.168.168.191 192.168.168.129 bis 192.168.168.190
  7. Um das vierte Subnetz zu erhalten setzen wir Bit 25 und 26 auf 1:

    192.168.168.11000000

    Daraus folgen wieder folgende Netz- und Broadcastadresse:

    Netzadresse erstes Subnetz
    192.168.168.11000000
    Broadcastadresse erstes Subnetz
    192.168.168.11111111

    Umwandlung von Netz- und Broadcastadresse in Dezimal und man erhält:

    Viertes Subnetz
    Subnetzadresse Broadcastadresse möglicher Adressbereich
    192.168.168.192 192.168.168.255 192.168.168.193 bis 192.168.168.254
  8. Schlußendlich ergeben sich folgende 4 Subnetze mit Ihren Netz- und Broadcastadressen, sowie den jeweiligen möglichen IP Adressen:

    Alle vier Subnetze
    Subnetzadresse Broadcastadresse möglicher Adressbereich
    erstes Subnetz 192.168.168.0 192.168.168.63 192.168.168.1 bis 192.168.168.62
    zweites Subnetz 192.168.168.64 192.168.168.127 192.168.168.64 bis 192.168.168.126
    drittes Subnetz 192.168.168.128 192.168.168.191 192.168.168.129 bis 192.168.168.190
    viertes Subnetz 192.168.168.192 192.168.168.255 192.168.168.193 bis 192.168.168.254
Mehr Informationen:
http://it.rcmd.org/networks/subnetting/subnetting.txt
http://home.arcor.de/frank.adl/pages/6_4_Subnettierung_im_Netzwerk.html
http://www.ccna.de/foren/viewtopic.php?p=594
http://www.fachadmin.de/index.php/Subnetting

3.6 IP Version 6

4 4. Virtual Private Network (VPN)

VPN-Netz

4.1 VPN-Typen

Site-to-Site
Site to Site
Host-to-Site
Host to Site
Host-to-Host
Host to Host

4.1.1 VPN-Protokolle

PPTP
→ wird nicht mehr genutzt, Point-to-Point-Tunneling-Protokoll
→ Verschlüsselung Point-to-Point, als unsicher eingestuft, war eher ein “Kapseln”
→ mit Passwort-Authentifizierung, Sicherheit von Komplexität abhängig
L2TP
→ Layer 2 tunneling protocol
→ wird PPTP vorgezogen
→ mit PreSharedKey (oder Zertifikat) “vor-installiertes-Geheimnis”
IPsec
→ IP Security, Layer 3 Verschlüsselung
→ Tunnel-Protokoll mit dem man sehr sichere Verbindungen aufbauen kann
→ mit PSK oder Zertifikate
VPN

5 Übungen

Subnetting

Bestimmen Sie für folgende Kombinationen von IP-Adresse / Maske die Schrittweite, die Anzahl der Subnetze und nutzbaren Hostadressen pro Netz.

IP-Adresse Subnetzmaske Schrittweite nutzb. Hostadressen Subnetze
132.132.160.12 255.255.248.0 8 2046 32
132.132.167.204 255.255.252.0 4 1022 64
132.132.149.12 255.255.224.0 32 8190 8
112.132.149.12 255.255.224.0 32 8190
132.132.149.12 255.255.0.0 1 65534 65536