LAN = Local Area Network: lokale Netze (meist innerhalb eines Gebäudekomplexes)
WAN = Wide Area Network: große bis weltumspannende Netze; Beispiel: Telefonnetz, ISDN-Netz, VNET (IBM-eigenes Netzwerk)

Der Begriff MAN = Metropolitan Area Network ist eigentlich öffentlichen Netzen vorbehalten; in letzter Zeit verwenden aber auch Anwender mit vielen vernetzten Betriebsstellen (Banken) diesen Ausdruck.

Netzwerke wie das Internet (die aus vielen, weltweit miteinander verbundenen Netzwerken bestehen), werden manchmal auch als GAN = Global Area Network bezeichnet.

1.2 Peer-to-Peer-Netze und Client-Server-Architekturen

Man unterscheidet zwei „Philosophien“:

Peer-to-Peer-Netzwerke: Bei einem solchen Netz können prinzipiell alle in das Netz eingebauten PCs ihre Ressourcen anderen PCs bzw. Anwendern zur Verfügung stellen. Typische Vertreter: NetWare Lite (Novell), Windows for Workgroups (Microsoft), LANtastic (Artisoft), Windows 95/98/ME (Microsoft), Windows NT Workstation (Microsoft), Windows 2000/XP Professional (Microsoft).

Peer-to-Peer-Netze brauchen keinen eigenen Server-Rechner, da jeder PC Server-Funktionen übernehmen kann.

Client/Server-Architekturen: Hier gibt es eine Trennung der Ein-/Ausgabefunktion von der eigentlichen Verarbeitung. Auf der Workstation laufen Programme, die nur für die Ein- und Ausgabe zuständig sind (Frontend-Software), während – unbemerkt vom Anwender – das entsprechende Backend-Programm auf dem Server seine Aufgaben erfüllt (z.B. Speicherung, Suche von Daten). Das grundlegendste Backend-Programm ist das Netzwerk-Betriebssystem.

Die meisten Netzwerke arbeiten so, dass der Server dabei seine Fähigkeiten den anderen Rechnern (Workstations) zur Verfügung stellt. Einen Server, der ausschließlich das Netzwerk und die Datenübertragungen im Netzwerk verwaltet und kontrolliert, bezeichnet man als Dedicated Server. Ist der Server selbst gleichzeitig als Workstation verwendet, so spricht man von einem Non-Dedicated Server.

1.3 Server-Betriebssysteme

Für einen Client/Server-Netzwerkbetrieb benötigt man für den Server eigene Betriebssysteme. Netzwerk-Betriebssysteme müssen Multiprocessing unterstützen.

Typische Netzwerk-Betriebssysteme:

Novell NetWare:

Dieses Betriebssystem hat alle Kommunikationseigenschaften, die für Netzwerkbetrieb notwendig sind; außerdem werden verschiedenste Einzelplatz-Betriebssysteme unterstützt. Novell NetWare eignet sich daher besonders gut für heterogene Netzwerke.

Die Grundidee ist, dass bei Novell NetWare meist dedicated servers eingesetzt werden, auf denen nicht gearbeitet werden kann.

Versionen von Novell NetWare:

2.11

3.11, Nachfolger 3.12

4.x

5.x

6.x

NetWare for SAA (für Anbindung von Großrechnern wie AS/400)

Microsoft Windows-Serverbetriebssysteme:

Typisch für die Microsoft-Serverproduktlinie ist die Möglichkeit, auch Anwendersoftware einsetzen zu können. Damit sind verbesserte Möglichkeiten der Protokollierung und Auswertung gegeben. Die aus den Microsoft Client-Betriebssystemen bekannte Oberfläche ermöglicht rasches Einarbeiten und die Konzentration auf die eigentlichen Systembetreuungsaufgaben.

Versionen:

Windows NT 4.0 Server-Familie

Windows 2000 Server-Familie

Windows Server 2003-Familie

Unix (in verschiedenen Dialekten: SCO-Unix (SCO = Santa Cruz Operation), Xenix, Sinix, AIX, ULTRIX, Irix, Linux, ...)

Auf den Unix-Dialekt Linux soll gesondert verwiesen werden, da es – im Vergleich zu den anderen Dialekten – sehr preisgünstig ist. Linux bietet (mit kleinen Einschränkungen) die volle Unix-Funktionalität!

VINES (Firma Banyan): läuft als Unix-Applikation

LAN-Manager (läuft als DOS- bzw. OS/2-Anwendung)

1.4 Netzwerk-Topologien

Die Struktur eines Netzwerks bezeichnet man als Topologie. Wie wichtig die Struktur eines Netzwerks ist, merkt man bei einem Leitungsausfall: ein gutes Netzwerk findet bei einem Leitungsausfall selbstständig einen neuen Pfad zum Empfänger.

Ein allgemeines Netzwerk kann man sich etwa so vorstellen:

Dabei sind die Rechner selbst die Knoten, die Verbindungskabel stellen die Kanten dar.

Die wichtigsten Netzwerk-Topologien

Bus-Topologie: Bei einem Bussystem sind alle Rechner hintereinander geschaltet und über Abzweige (T-Stücke) an das Netzwerkkabel angeschlossen. Problem: Eine Verbindungsunterbrechung betrifft den ganzen Bus!

Stern-Topologie: An einen zentralen Sternverteiler sind alle Server und Workstations angeschlossen. Durch den hohen Kabelbedarf teuer; die Sicherheit ist hier aber optimal.

Ring-Topologie:

Maschen-Topologie: Vorherrschende Netzstruktur in großflächigen Netzen (z. B. öffentliche Telekommunikationsnetze).

Zelluläre Topologie: Diese Topologie ist bei drahtloser Übertragung häufig anzutreffen, etwa in Mobilfunk-Netzwerken. Rund um einen Sender befindet sich eine "Zelle"; die Geräte innerhalb der Zelle kommunizieren über den Sender, der als Verteiler arbeitet. Die Sender wiederum sind miteinander maschenartig verknüpft.

Physikalische und logische Topologie:

Interessant ist, dass sich die "sichtbare" Topologie (also die physische Verkabelungsstruktur) vom tatsächlichen Datenfluss unterscheiden kann. Deshalb verwendet man für die hardwaremäßige Realisierung den Begriff "physikalische Topologie", während man für den tatsächlichen Datenfluss den Begriff "logische Topologie" verwendet.

Beispiel:

Netzwerktechnologie	logische Topologie	physikalische Topologie
Ethernet (IEEE 802.3)	Bus	Bus (veraltet) Stern
Token Ring (IEEE 802.5)	Ring	Ring (veraltet) Stern
Token Bus	Ring	Bus

2 Datenübertragung in Netzwerken

Bei der Datenübertragung in einem Netzwerk laufen viele Vorgänge ab, von denen der Anwender nichts merkt. So werden im meist nicht ganze Dateien übertragen, sondern in vielen Fällen sogenannte Pakete.

Damit ein Paket auch beim Empfänger ankommt, müssen eine Reihe von Informationen mit diesem Paket mitgeschickt werden.

Da die Datenübertragung in jedem Netzwerk sehr komplex ist, teilt man das Problem in Teilprobleme auf. Man unterscheidet sogenannte „Schichten“, die bestimmte Aufgaben erfüllen; im Internet könnte man folgende Schichten unterscheiden:

Application (Anwendung): Benutzerebene (Surfen über WWW, FTP, ...)
Transportschicht: Transport der Meldungen (verlässlich, ...)
Netzwerkschicht: Adressierung, Verwaltung
Network Interface: Daten auf das Medium (Kabel) bringen bzw. vom Medium (abholen)
Hardware: Lichtwellenleiter, Kupferkabel

Jede Schicht (Teilfunktion) wird durch ein sogenanntes Protokoll realisiert; in der Praxis gibt es spezielle Treiber, die die Aufgaben von Protokollen übernehmen (in Windows gibt es etwa die TCP/IP-Treiber).

2.1 Das OSI-Referenzmodell

Wie schon mehrfach erwähnt, dominierten zu Beginn der Netzwerkgeschichte die proprietären (herstellerspezifischen) Netzwerke. Es gab mehrere Versuche zur Standardisierung der Netzwerkkonzeption; der vielleicht wichtigste Ansatz ist das OSI-Referenzmodell (Open Systems Interconnection), das ab 1977 von der ISO (International Standard Organization) entwickelt wurde.

Dieses Modell ist allgemein akzeptiert und bildet die Referenz für viele Hersteller; allerdings müssen heute vielfach Übergangslösungen und Ergänzungen entwickelt werden, da das Modell in verschiedenen Fällen noch nicht ganz fertig, mangelhaft oder gar lückenhaft (Datenschutz, Netzwerkmanagement) ist. Zudem ist zu bemerken, dass das OSI-Modell für PC-Netze im Allgemeinen zu umfassend ist; nichtsdestoweniger realisieren alle heute eingesetzten Produkte bestimmte Untermengen der durch das OSI-Referenzmodell festgelegten Funktionen. Der Sinn eines generellen Modells zur Beschreibung der Netzwerkarchitektur ist die Beschreibung des Weges von Daten zwischen zwei Anwendungen (letztlich tauschen nämlich Anwendungen immer Daten aus), um die Kommunikation in heterogenen Umgebungen zu vereinfachen. Damit dieses Modell möglichst breit verwendet werden kann, muss es einen gewissen Abstraktionsgrad besitzen. Es geht schließlich auch darum, durch einen modularen Aufbau das Netz genügend detailliert und produktübergreifend zu beschreiben. Das OSI-Modell bedient sich dazu einer Struktur, welche die Kommunikation im Netz in sieben aufgabenbezogene Schichten aufteilt. Jede Schicht übernimmt eine gewisse Anzahl von Funktionen und kann Dienstleistungen für die übergeordnete Schicht erbringen:

	OSI-Referenzmodell	Synonyme	Beschreibung	Beispiel LAN
7	Application Layer (Anwendungsschicht)	Anwendungsschicht	Anwendungsunterstützende Dienste, Netzwerkverwaltung	Betriebssystem (Windows, Linux, etc.) und dessen Netzwerk-Dienste.
6	Presentation Layer (Datendarstellungsschicht)	Präsentationsschicht	Umsetzung von Daten in Standardformate, Interpretation dieser gemeinsamen Formate
5	Session Layer (Kommunikations- steuerungsschicht)	Sitzungsschicht	Prozess-zu-Prozess-Verbindung	Netzwerk-Protokolle und Zusatz-Software (NetBEUI, IPX/SPX, TCP/IP etc.)
4	Transport Layer (Transportschicht)	Transportschicht	Logische Ende-zu-Ende-Verbindungen
3	Network Layer (Vermittlungsschicht)	Netzwerkschicht	Wegbestimmung im Netz (Datenflusskontrolle)
2	Data Link Layer (Sicherungsschicht)	Verbindungsschicht	Logische Verbindungen mit Datenpaketen, Elementare Fehlerkorrektur	Netzwerk-karten-Treiber, Netzwerkkarte und Verkabelung
1	Physical Layer (Bitübertragungsschicht)	Physikalische Schicht	Nachrichtentechnische Hilfsmittel zur Bitübertragung	Netzwerk-karten-Treiber, Netzwerkkarte und Verkabelung

Im Folgenden sollen die einzelnen Schichten nun noch etwas genauer gesprochen werden:

Application Layer (Anwendungsschicht):

Dank der Anwendungsschicht können die Benutzeranwendungen auf die vom Netzwerk zur Verfügung gestellten Dienste zugreifen.

Funktion:

Benutzerschnittstelle

Presentation layer (Darstellungsschicht):

Die Darstellungsschicht setzt die Daten der Anwendungsebene in ein Zwischenformat um. Diese Schicht ist auch für Sicherheitsfragen zuständig. Durch sie werden Dienste zur Verschlüsselung von Daten bereitgestellt und gegebenenfalls Daten komprimiert.

Funktionen:

Übersetzung
Verschlüsselung
Kompression

Session layer (Sitzungsschicht):

Diese Schicht ermöglicht zwei Anwendungen auf verschiedenen Computern, eine gemeinsame Sitzung aufzubauen, damit zu arbeiten und sie zu beenden. Sie übernimmt ebenfalls die Dialogsteuerung zwischen den beiden Computern einer Sitzung und regelt, welcher der beiden wann und wie lange Daten überträgt.

Funktionen:

Erstellung einer Verbindung
Datenübertragung
Freigabe von Verbindungen
Dialogsteuerung

Transport layer (Transportschicht):

Die Transportschicht stellt die zuverlässige Auslieferung der Nachrichten sicher und erkennt sowie behebt allfällige Fehler. Sie ordnet bei Bedarf auch die Nachrichten in Paketen neu, indem sie lange Nachrichten zur Datenübertragung in kleinere Pakete aufteilt. Am ende des Weges stellt sie die kleinen Pakete wieder zur ursprünglichen Nachricht zusammen. Die empfangene Transportebene sendet auch eine Empfangsbestätigung.

Funktionen:

Adressierung
Transportkontrolle
Paketbildung

Network layer (Vermittlungsschicht):

Die Vermittlungsebene bearbeitet die zirkulierenden Nachrichten und setzt logische Adressen und Namen in physikalische Adressen um Sie legt auch den Weg vom sendenden Computer über das Netzwerk zum Zielcomputer fest. Zudem kümmert sie sich um die Optimierung des Nachrichtenverkehrs (zum Beispiel durch Umschalten oder Festlegen der Leistungswege und der Steuerung der Belastung durch Datenpakete in komplexeren Netzwerken).

Funktionen:

Internetworking
Routing
Netzwerkkontrolle

Data Link layer (Sicherungsschicht):

Die Sicherungsschicht erstellt auf der Basis der Rohdaten aus der physikalischen Ebene die verschiedenen zu übertragenen Pakete. Die Sicherungsebene ist zuständig für die fehlerfreie Übertragung der Pakete: nach dem Senden eines Paketes wartet die Sicherungsebene auf eine Empfangsbestätigung der Zieladresse. Wird ein Paket nach einer bestimmten Zeit nicht bestätigt, wo wird es erneut gesendet.

Funktionen:

Medienzugriff
Physikalische Adressierung
Paketbildung
Flusskontrolle
Fehlerprüfung

Physical layer (Physikalische Schicht):

Die physikalische Ebene übernimmt die Übertragung der Bits zwischen den einzelnen Netzwerkknoten und steuert die Übermittlung des Datenstroms über das Übertragungsmedium. Diese Ebene legt fest, wie das Kabel an die Netzwerkkarte angeschossen wird, mit welcher Übertragungstechnik die Daten über das Kabel gesendet werden und wie die einzelnen Bits synchronisiert und geprüft werden.

Funktionen:

Übertragungsmedium
Übertragungsgeräte
Netzwerk-Architektur
Datensignale

Bei der Kommunikation zweier Computer über ein Netzwerk werden die Informationen grundsätzlich ebenenweise ausgetauscht. So kommuniziert zum Beispiel die Transportebene eines Computers mit der Transportebene des anderen Computers. Für die Transportschicht des ersten Computers ist es ohne Bedeutung, wie die eigentliche Kommunikation in den unteren Ebenen des ersten Computers, dann über die physikalischen Medien und schließlich durch die unteren Ebenen des zweiten Computers abläuft:

Quelle: CISCO Systems, Inc.

Die untersten vier Schichten werden auch als "datenflussorientierte Schichten" bezeichnet, die oberen drei Schichten stellen die "Anwendungsschichten" dar.

Die Vorteile des OSI-Referenzmodelles sind die leichte Analyse, der (relativ) systematische Entwurf und die Vermeidung von Doppelfunktionalität, die unabhängige Bearbeitung der Komponenten (Modularisierung), die leichtere Austauschbarkeit (Connectivity!) sowie die vereinfachte Fehlerbestimmung. So gesehen widerspiegelt das OSI-Referenzmodell die Modularisierungsphilosophie, wie man sie in vielen Bereichen der Ingenieurwissenschaften findet. Das OSI-Referenzmodell ist allerdings die Idealvorstellung eines Netzwerbetriebs, und es gibt nur wenige Systeme, die sich genau an das Modell halten. Das Modell wird jedoch häufig für Diskussionen und den Vergleich von Netzwerken herangezogen und ist – wie schon gesagt – bei der Fehlerlokalisierung von großem Nutzen.

Die englischen Namen der einzelnen Schichten lassen sich durch zwei „Eselsbrücken“ leichter merken:

„Please Do Not Throw Salami Pizza Away“ und in umgekehrter Reihenfolge

„All People Seem To Need Data Protocols“

Jede Schicht fügt spezielle Adress- und Protokollinformationen (sogenannte „Header“) zu den eigentlichen Daten hinzu. Dadurch wird das Datenpaket immer größer. Beim Empfänger durchläuft das Datenpaket die Protokolle in umgekehrter Reihenfolge, wobei die Daten dabei sozusagen „ausgepackt“ werden.

2.2 Das TCP/IP-4 Schichten-Modell (DoD-Modell)

Dieses Modell stellt eine Vereinfachung des OSI-Modells dar, da es bewusst auf die Netzwerkprotokollsuite TCP/IP zugeschnitten wurde. Das Modell wurde ursprünglich vom US-amerikanischen Department of Defense entwickelt.

Grafik: Gegenüberstellung des OSI 7 Schicht- und des TCP/IP-Netzwerkmodells

(Quelle: Microsoft)

Die obersten drei Schichten sind zur Anwendungsschicht zusammengefasst; die hardwarenahen unteren beiden Schichten bilden die Verbindungsschicht.

Beispiele für Protokolle der Anwendungsschicht:

HTTP = Hypertext Transfer Protocol: Surfen im WWW
FTP = File Transfer Protocol: Upload und Download von Dateien
SMTP = Simple Mail Transfer Protocol: Protokoll zum Senden von Mails (funktioniert nur, wenn Online!)
POP3 = Post Office Protocol, version 3: Protokoll zum Abholen von Mails (mit User- und Passwortabfrage)
NNTP = Network News Transfer Protocol: Protokoll zum Arbeiten mit Newsgroups
Telnet: Sitzung auf einem Remote Server (Terminal-Modus)
DNS: Auflösung von Namen in IP-Adressen und umgekehrt

2.3 Aktive Netzwerkkomponenten

Komponente	Synonym	OSI	Bedeutung
Repeater	Verstärker	1	Repeater dienen innerhalb eines lokalen Netzes zur Signalverstärkung. so kann die Ausdehnung eines Netzes erhöht werden; allerdings müssen dabei die beiden Netze das gleiche Protokoll verwenden. Repeater-Regel (5-4-3-Regel): Es dürfen nicht mehr als fünf (5) Kabelsegmente verbunden werden. Dafür werden vier (4) Repeater eingesetzt. An nur drei (3) Segmente, dürfen Endstationen angeschlossen werden.
Bridge	Brücke	2	Eine Bridge kann zwei gleichartige Netzwerke mit unterschiedlichen (oder gleichen) Topologien miteinander verbinden, unter der Voraussetzung, dass beide netze das gleiche Protokoll und die gleiche logische Adressierung verwenden. So kann z.B. ein TCP/IP-Netzwerk mit einer Ethernet-Topologie mit einem TCP/IP-Netzwerk auf Token-Ring-Basis verbunden werden. Bridges können ebenfalls verwendet werden, wenn es darum geht, größere Distanzen zwischen LANs zu überbrücken; in diesem Fall spricht man von Remote Bridges.
Router	Wegwähler	3	Ein Router verbindet normalerweise Netzwerke, welche eine unterschiedliche logische Adressierung, aber einheitliche Protokolle verwenden. Router werden häufig WAN-Zusammenhang eingesetzt. Allerdings gibt es heute auch andere Einsatzmöglichkeiten für Router – z.B. für die Anbindung eines LANs ans Internet, wobei der (ISDN-)Router automatisch das Anwählen des Internet-Providers übernimmt.
Gateway	Einfahrt	7	Ein Gateway verbindet zwei unterschiedliche Netzwerke mit zwei separaten Protokollen miteinander (Achtung: in derTerminologie von TCP/IP bezeichnet das Gateway einen Router). Ein spezieller Kommunikationsserver übernimmt die Aufgabe, die ungleichen Protokolle und Datentransfermethoden miteinander zu verbinden. Gateways sind ebenfalls ein probates Mittel, LANs mit Hostsystemen zu verbinden.

2.4 Vermittlungstechniken:

1. Leitungsvermittlung (Circuit Switching, Line Switching, Durchschaltvermittlung)

Bei diesem Verfahren steht immer eine dedizierte Leitung mit garantierter Datenrate zur Verfügung.

2. Paketvermittelung (Packet Switching):

Für kleinere Pakete wird oft die "Virtual Circuit"-Technologie verwendet.

3. Nachrichtenvermittlung (Message Switching):

Die Bandbreite wird bei dieser Technologie besser genutzt als bei der Leitungsvermittlung.

Typisch ist das "Store-and-Forward"-Prinzip: Nachrichten werden bei jedem Vermittlungsknoten zwischengespeichert. Dadurch können Prioritäten festgelegt werden; ein Nachteil ist aber, dass für die Zwischenspeicherung oft große Massenspeichern nötig sind.

3 Netzwerk-Hardware und Verkabelung

Wir beginnen mit der „technischen“ Seite der Datenübertragung in einem Netzwerk, die im OSI-Modell die Schichten 1 und 2 umfasst.

Mit der Normung der verschiedenen Netzwerktechnologien auf den OSI-Schichten 1 und 2 beschäftigt sich die Arbeitsgruppe 802 des Institute for Electric and Electronic Engineers (IEEE). Die entsprechenden Normungsvorschläge werden daher als 802.x-Normen bezeichnet.

Aus obige Abbildung ist ersichtlich, welche Technologien der Schichten 1 und 2 aktuell sind:

am bedeutendsten ist sicher Ethernet, die bei PC-Netzwerken standardmäßig verwendete Technologie.

3.1 Ethernet

Ende 1972 implementierte Dr. Robert Metcalfe mit seinen Kollegen am Xerox Palo Alto Research Center ein Netzwerk, um einige Xerox-Alto-Rechner zu vernetzen – einen zu dieser Zeit revolutionären Vorläufer der Personal Computer. Zunächst als Alto Aloha Network bezeichnet, setzte dieses Netzwerk bereits das CSMA/CD-Protokoll des späteren Ethernet ein. Die Übertragungsfrequenz lag jedoch zunächst nur bei 2,94 MHz, dem Systemtakt der Alto-Stations. Erst 1976 nannte Metcalfe das Netzwerk Ethernet.

Abbildung: Schemazeichnung von Dr. Robert Metcalfe (Quelle: www.tecchannel.de)

Logische Topologie aller Ethernet-Netzwerke: Bus-Topologie

Physikalische Topologien:

Bus-Topologie
Stern-Topologie

Übersicht über Normen und Verkabelungstopologien im Ethernet-Bereich (Quelle: tecChannel.de):

3.1.1 Bus-Topologie:

Je nach verwendetem Kabel wird hier weiter unterschieden:

a) “Thin Ethernet” = CheaperNet (10Base2)

Bei diesem Verkabelungstyp werden dünne (meist schwarze) Koaxialkabel der Norm RG 58 (Innenwiderstand 50 Ω) verwendet.

Geschwindigkeit: max. 10 Mbit/s
max. Segmentlänge: 185 m (über 185 m benötigt man Repeater = Verstärker)
min. Segmentlänge: 0,5 m (Signaleinschwingung)
Steckertyp: BNC-Stecker (bajonet network connector)

Abbildung: 10Base2-Koaxialkabel (Innenwiderstand 50 Ω)

Für die verschiedenen Übertragungsgeschwindigkeiten werden oft auch „Kategorie-Bezeichnungen“ verwendet:

Kategorie	Klasse laut ISO	Frequenzbereich	Anwendung/Dienst
Kategorie 2	Klasse A	100 kHz	Telefonie, Modem, DFÜ
Kategorie 3	Klasse B	1 MHz	ISDN, IBM-Verkabelung Typ 3
Kategorie 4	Klasse C	16 MHz	Token Ring, Ethernet
Kategorie 5	Klasse D	100 MHz	Fast Ethernet, Gigabit Ethernet
Kategorie 6	Klasse E	200 MHz	Fast Ethernet, Gigabit Ethernet
Kategorie 7	Klasse F	600 MHz	ATM, Gigabit Ethernet

Die hier beschriebenen Kabel sind daher der Kategorie 3 zuzuordnen.

Zu beachten ist, dass an den beiden Enden der Busverkabelung je ein 50 Ω-Abschlusswiderstand anzubringen ist.

Die nebenstehende Zeichnung zeigt den Anschluss des Buskabels über ein T-Stück an die Netzwerkkarte.

Eigenschaften: sehr geringe Kosten, sehr wenig Kabelmaterial

Nachteile:

· bei Kabelbruch gesamtes Netzwerk nicht funktionsfähig

· Fehlersuche

· Datentransfer

· Heute nicht mehr zeitgemäß

b) „Thick Ethernet“ (10Base5)

Bei diesem Verkabelungstyp werden dicke (oft gelbe) Koaxialkabel der Normen RG 8 bzw. RG 11 (Innenwiderstand 50 Ω) verwendet.

Busverkabelung mit Netzwerkdosen:

EAD max. 25 Dosen, pro Dose 2 Anschlüsse 10 Base 2

EAD/LAD-Verkabelungsbeispiel

Kabel mit EAD-Dose

CAG max. 25 Dosen, pro Dose 1 Anschluss 10 Base 2

CAB max. 50 Dosen, 2 Anschlüsse 10 Base 2

CAB-Verkabelungsbeispiel

3.1.2 Stern-Topologie

Die heute übliche Verkabelung in Stern-Topologie erfolgt mit Twisted Pair-Kabeln:

EZ-RJ45 Connectors and EZ-RJ45 Crimp Tool

Je nach verwendeter Schirmung unterscheidet man:

UTP	STP	FTP
unshielded	shielded	Folied (Folienschirm)

Twisted Pair-Kabel sind mindestens ausgelegt für Kategorie 5.

Steckertyp: RJ 45-Stecker (Modemstecker RJ 11); RJ =“registered jack“

3 verschiedene Verdrahtungstypen:

568 A 568 B USOC

am häufigsten verwendet

Zusätzlich unterscheidet man „Straight“ und „Crossover“-Kabel.

„Straight“-Kabel haben üblicherweise die T568B-Belegung an beiden Kabelenden.

„Straight“-Kabel werden verwendet:

zum Verbinden von PCs zum Hub bzw. Switch
zum Verbinden einer Netzwerkdose zum Patch-Panel (Verteilerfeld)
zum Verbinden eines Anschlusses am Patch-Panel zum Hub bzw. Switch

„Crossover“-Kabel haben üblicherweise an einem Ende die T568A-Beschaltung, am anderen Kabelende die T568B-Beschaltung.

“Crossover”-Kabel werden verwendet:

zum direkten Verbinden zweier PC-Netzwerkkarten
zum direkten Verbinden zweier Hubs oder Switches

Internet-Quellen:

Beispielsweise findet man bei http://www.belden.de eine Steckerreferenz (Referenz der wichtigsten Steckersysteme) oder bei http://www.daetwyler.net findet man eine Zusammenstellung von wichtigen Baunormen.

Weitere Quellen:

http://www.draka.de

http://www.brand-rex.com

Arten von Sternverteilern:

a) Hub (engl. = Nabe, Radnabe)

= Multiportrepeater

Sternverteiler (Hub), an den etwa 6-12 Clients, der Server und der Netzwerkdrucker angeschlossen werden können (Foto: C2000)

Hubs arbeiten auf der Bitübertragungsschicht (Schicht 1) des OSI-Modells. Sie haben reine Verteilfunktion. Alle Stationen die an einem Hub angeschlossen sind, teilen sich die gesamte Bandbreite die durch den Hub zu Verfügung steht (z. B. 10 MBit/s oder 100 MBit/s). Die Verbindung von Computer zum Hub verfügt nur kurzzeitig über diese Bandbreite.

Ein Hub nimmt ein Datenpaket an und sendet es an alle anderen Ports. Dadurch sind alle Ports belegt. Diese Technik ist nicht besonders effektiv. Es hat aber den Vorteil, das solch ein Hub einfach und kostengünstig herzustellen ist.

Zwei Hubs werden über einen Uplink-Port eines Gerätes oder mit einem Crossover-Kabel(Sende- und Empfangsleitungen sind gekreuzt) verbunden. Es gibt auch spezielle stackable Hubs, die sich herstellerspezifisch mit Buskabeln kaskadieren lassen. Durch die Verbindung mehrerer Hubs läßt sich die Anzahl der möglichen Stationen erhöhen. Allerdings ist die Anzahl der anschließbaren Stationen begrenzt. Es gilt die Repeater-Regel.

Um den Nachteilen von Hubs aus dem Weg zu gehen verwendet man eher Switches, die die Aufgabe der Verteilfunktion wesentlich besser erfüllen, da sie direkte Verbindungen zwischen den Ports schalten und die MAC-Adresse einem Port zuordnen können.

b) Switch (engl. Schalter):

Ordnet durch MAC-Adressen (Schicht 2) eintreffende Pakete den korrekten Ports zu.

z.B: HP, 3 Com, Bay Networks, Cisco

Netgear-Switch (5 Ports)

Linksys-Switch mit 24 Ports

Eigenschaften:

bei Kabelbruch nur ein PC betroffen à hohe Uptime
einfache Steigerung der Leistung von 10 à 100 Mbit/s
dicke Kabelstränge in der Nähe des Sternverteilers

Ein Switch arbeitet auf der Sicherungsschicht (Schicht 2) des OSI-Modells und arbeitet ähnlich wie eine Bridge. Daher haben sich bei den Herstellern auch solche Begriffe durchgesetzt, wie z. B. Bridging Switch oder Switching Bridge. Ein Switch schaltet direkte Verbindungen zwischen den angeschlossenen Geräten. Auf dem gesamten Kommunikationsweg steht die gesamte Bandbreite des Netzwerkes zur Verfügung.

Switches unterscheidet man hinsichtlich ihrer Leistungsfähigkeit mit folgenden Eigenschaften:

Anzahl der speicherbaren MAC-Adressen (Speicher)
Verfahren, wann ein empfangenes Datenpaket weitervermittelt wird (Switching-Verfahren)
Latenz (Verzögerungszeit) der vermittelten Datenpakete

Ein Switch ist im Prinzip nichts anderes als ein intelligenter Hub, der sich merkt, über welchen Port welche Station erreichbar ist. Auf diese Weise erzeugt jeder Switch-Port eine eigene Collision Domain.

Teure Switches arbeiten auf der Schicht 3, der Vermittlungsschicht, des OSI-Schichtenmodells (Layer-3-Switch oder Schicht-3-Switch). Sie sind in der Lage die Datenpakete anhand der IP-Adresse an die Ziel-Ports weiterzuleiten. Im Gegensatz zu normalen Switches lassen sich so, auch ohne Router, logische Abgrenzungen erreichen.

Switching-Verfahren:

Cut-Through

Der Switch leitet das Datenpaket sofort weiter, wenn er die Adresse des Ziels erhalten hat.

Vorteil: Die Latenz, die Verzögerungszeit, zwischen Empfangen und Weiterleiten ist äußerst gering.

Nachteil: Fehlerhafte Datenpakete werden nicht erkannt und trotzdem an den Empfänger weitergeleitet.

Store-and-Forward

Der Switch nimmt das gesamte Datenpaket in Empfang und speichert es in einen Puffer. Dort wird dann das Paket mit verschiedenen Filtern geprüft und bearbeitet. Erst danach wird das Paket an den Ziel-Port weitergeleitet.

Vorteil: Fehlerhafte Datenpakete können so im Voraus aussortiert werden.

Nachteil: Die Speicherung und Prüfung der Datenpakete verursacht eine Verzögerung von mehreren Millisekunden (ms), abhängig von der Größe des Datenpaketes.

Kombination aus Cut-Through und Store-and-Forward

Viele Switches arbeiten mit beiden Verfahren. Solange nur wenige Kollisionen auftreten wird Cut-Through verwendet. Häufen sich die Fehler schaltet der Switch auf Store-and-Forward um.

Fragment-Free

Der Switch empfängt die ersten 64 Byte des Daten-Paketes. Ist dieser Teil fehlerlos werden die Daten weitergeleitet.

Vorteil: Die meisten Fehler und Kollisionen treten während den ersten 64 Byte auf.

Nachteil: Dieses Verfahren wird trotz seiner effektiven Arbeitsweise selten genutzt.

Switch-MAC-Tabellenverwaltung:

Switches haben den Vorteil, im Gegensatz zu Hubs, dass sie Datenpakete nur an den Port weiterleiten, an dem die Station mit der Ziel-Adresse angeschlossen ist. Als Adresse dient die MAC-Adresse, also die Hardware-Adresse einer Netzwerkkarte. Diese Adresse speichert der Switch in einer internen Tabelle. Empfängt ein Switch ein Datenpaket, so sucht er in seinem Speicher unter der Zieladresse (MAC) nach dem Port und schickt dann das Datenpaket nur an diesen Port. Die MAC-Adresse lernt ein Switch mit der Zeit kennen. Die Anzahl der Adressen, die ein Switch aufnehmen kann, hängt ab von seinem Speicherplatz.

Ein Qualitätsmerkmal eines Switches ist es, wie viele Adresse er insgesamt und pro Port speichern kann. An einem Switch, der nur eine Handvoll Computer verbindet, spielt es keine Rolle wieviele Adressen er verwalten kann. Wenn der Switch aber in einem großen Netzwerk steht und an seinen Ports noch andere Switches und Hubs angeschlossen sind, dann muss er evt. mehrere tausend MAC-Adressen speichern und den Ports zuordnen können. Je größer ein Netzwerk ist, desto wichtiger ist es, von vornherein darauf zu achten, dass die Switches genügend Kapazität bei der Verwaltung von MAC-Adressen haben.

3.1.3 Fast Ethernet (IEEE 802.3u, 1995)

Die hier vorgestellten Technologien sind für einen Datendurchsatz von 100 Mbit/s ausgelegt und mit TP-Kupferkabeln oder Glasfaserkabeln realisierbar.

100 Base TX	TP; verwendet nur Adernpaare 2 + 3
100 Base T4	TP; alle Adernpaare
100 VG	TP; alle Adernpaare
100 Base FX	Multimode – Glasfaserkabel

3.1.4 Gigabit-Ethernet (IEEE 802.3z, 1998)

Datendurchsatz: 1000 Mbit/s

Lichtwellenleiter

1000Base-SX (short)

Multimode-LWL 850 nm

1000Base-LX (long)

Multimode-LWL 1300 nm

Kupferleiter

1000Base-CX

STP-Kabel 150 Ω (Kategorie 6/7)

1000Base-T

UTP-Kabel (Kategorie 5)

3.1.5 10Gigabit-Ethernet (IEEE 802.3ae, 2002)

nur mehr Lichtwellenleiter

10GBase-LX

10GBase-SX

3.1.6 Gemeinsamkeiten von Ethernet

Hardwaremäßige Netzwerkkarten-Identifikation in Form einer 48 bit-Adresse, der sogenannten Media Access Control-Nummer (MAC-Adresse). Diese Adressen werden in hexadezimaler Schreibweise angegeben. Die ersten 24 bit stellen die Hersteller- und Modellnummer dar, die verbleibenden 24 bit sind als weltweit eindeutige Nummer der Netzwerkkarte vorgesehen.

Beispiel:

00-FO-23 – AF-98-27

Herstellernummer Kartennummer

Medienzugriff:

Ethernet verwendet das CSMA/CD-Verfahren = Carrier Sense Multiple Access/Collision Detection.

Carrier Sense: Vor dem Senden wird überprüft, ob das Medium (Buskabel) frei ist.
Multiple Access: Mehrere Stationen dürfen gleichzeitig auf den Kanal (das Kabel) zugreifen.
Collision Detection: Kollisionserkennung

EtherNet arbeitet mit dem CSMA/CD-Zugriffsverfahren (carrier sense multiple access with collision detection = Kollisionsvermeidung). Das bedeutet für den sendewilligen Rechner „erst hören“ (carrier sense), dann „auf das Medium zugreifen und senden“ (multiple access) und Konflikte (gleichzeitiges Senden mehrerer Stationen) „erkennen“ (with collision detection) und korrigieren. Alle Rechner sind hier an ein einziges Kabel gebunden (Bustopologie). Wollen nun zwei Rechner gleichzeitig Daten abschicken, so kommt es zu einer Kollision; ein Jam-Signal wird an alle beteiltigten Stationen übermittelt. Alle an der Kollision beteiligten Geräte stoppen sofort ihre Bemühungen und warten eine zufällig bestimmte Zeit, ehe sie einen neuen Übertragungsversuch starten.

Das CSMA/CD-Verfahren ist ein "nicht deterministisches Medienzugriffsverfahren" (übersetzt heißt dies in etwa: "nicht zielorientiert", da Kollisionen bei diesem Verfahren ja weder vorhergesehen noch vermieden werden können).

3.2 Token Ring

Eingeführt 1972 von IBM.

Norm: IEEE 802.5

Verwendet wird eine logische Ring-Topologie.

Physikalische Topologien:

Ring-Topologie: wird mit Koaxialkabeln der Kategorie 3 (4 MBit/s) oder Kategorie 4 (16 MBit/s) realisiert

Stern-Topologie: Hier sind übliche Kategorie 5-Twisted-Pair-Kabel im Einsatz (100 Mbit/s). Den zentralen Sternverteiler bezeichnet man in diesem Fall als MSAU (Multi-Station Access Unit).

Star Shaped Ring: Hängt man mehrere MSAU-Sternverteiler ringförmig zusammen, so entsteht diese erweiterte Topologie, die für größere Token Ring-Netze verwendet wird.

Medienzugriff:

CSMA/CA („collision avoidance“ = Kollisionsvermeidung) durch Token Passing: Hier werden durch Verwendung von Tokens Kollisionen von vornherein vermieden. Im Ringkabel rotiert laufend eine bestimmte Bitstruktur, der so genannte Token. Wenn ein Rechner Daten senden will, so wartet er, bis der Token an seinem Interface vorbeikommt und hängt dann seine Daten an. Nach Absendung und Übertragung kommt die Nachricht wieder an den Absender zurück (Ring!) und kann überprüft und durch den Token ersetzt werden. Dann kann ein anderer Rechner eine Nachricht senden.

Das Token Passing-Verfahren ist ein " deterministisches Medienzugriffsverfahren" .

3.3 Token Bus

Norm: IEEE 802.4

Vergleichbar mit Token Ring, allerdings ist die logische Topologie bei diesem Verfahren die Bus-Topologie.

Medienzugriff: CSMA/CA durch Token Passing.

3.4 FDDI (Fiver Distributed Data Interface)

Eine moderne Variante stellen die so genannten FDDI-Ringe dar (Fiber Distributed Data Interface). Das Übertragungsmedium ist ein Glasfaserkabel, mit dem sich Übertragungsraten von 100 MBit/s erreichen lassen. Das derzeit modernste FDDI-LAN bedient sich eines Doppelringes, wobei beide Ringe im Gegensinn durchlaufen werden. Für den Stationszugriff wird auch hier ein Token-Signal verwendet.

3.5 Wireless LAN (WLAN)

	802.11a	802.11b	802.11g	802.11n
Jahr
Geschwindigkeit	54 Mbps	11 Mbps	54 Mbps	100 Mbps
Frequenzbereich	5 GHz	2,4 GHz (ISM)	2,4 GHz (ISM)	5 GHz
Anzahl Kanäle	12	3	3	12
Access Point notwendig alle…	50 ft	200 ft	200 ft	TBD
Maximale Reichweite	60 ft	300 ft	300 ft	TBD
Kompatibilität	802.11n	802.11g	802.11b	802.11a/g

Der ISM-Frequenzereich (industrial, scientific, medical purposes) liegt zwischen 2,400 GHz und 2,485 und kann lizenzfrei benutzt werden.

Medienzugriff: CSMA/CA (ähnlich Token Passing-System)

Betriebsarten:

Ad hoc-Modus: Funk-Lan-Karten senden direkt (Peer-to-Peer Netzwerk); sehr geringe Reichweite

Infrastruktur-Modus: Dafür wird ein „Access Point“ benötigt (dieses Gerät ist mit einer Bridge, kombiniert mit einem Signalverstärker, vergleichbar: es stellt einen Übergang zwischen unterschiedlichen Medien dar)

Abbildung: links ein Access Point, rechts zwei WLAN-Karten für Notebooks (Foto: D-Link)

3.6 PAN – Personal Area Networks (“Bluetooth”)

Darunter versteht man einen Funk-LAN-Standard für Netze geringer Bandbreite mit kurzer Reichweite (< 10 m), genormt als IEEE 802.15.

1998 wurde von den Firmen IBM, Toshiba, Intel, Ericsson und Nokia die „Bluetooth Special Interest Group“ ins Leben gerufen, die sich seither mit der Weiterentwicklung und Anwendung dieses Standards beschäftigt. Der Name stammt von einem nordischen König mit dem Spitznamen „Blauzahn“.

Als Frequenzbereich wird der ISM-Bereich benützt. Eine spezielle Eigenschaft, das „Frequency Hopping Spread Spectrum“ (FHSS) gewährleistet die Sicherheit der Datenübertragung: alle 625 µs wird die Trägerfrequenz geändert.

Mit Bluetooth ist eine Datenübertragungsrate von 64 kbit/s bei Sprach- und 865,2 kbit/s bei Datenübertragungen erreichbar.

Die Geräte identifizieren einander automatisch, indem sie ihre 48 Bit-MAC-Adressen austauschen.

Anwendungsgebiete:

Peripheriegeräte (Maus, Drucker, ...)
PDA: Damit wird die automatische Synchronisation mit dem PC – wenn dieser Bluetooth unterstützt – verbessert.

4 Strukturierte Gebäudeverkabelung

Anforderungen:

Flexibel erweiterbar, ohne Hardwarearbeiten
Jede Netzwerkdose muss bei Bedarf auch als ISDN-Telefondose verwendbar sein.
Dicke der Kabelstränge möglichst gering
Einfache Fehlersuche

4.1 Grundlegendes

Derzeit rüsten viele Unternehmen ihr Ethernet um. Der erste und meist teuerste Schritt auf diesem Weg ist die Neuverkabelung mit Twisted-Pair-Leitungen. Danach können weitere Maßnahmen ergriffen werden. Die klassische Maßnahme, das "Bridging", wird auch in Koax-Netzen häufig eingesetzt und lebt heute in den sogenannten "Multi-Segment-" oder auch "Switching-Hubs" weiter. Das Aufteilen eines Netzes in mehrere Teilnetze, auch "Collision Domains" genannt, läßt nicht mehr jedes Datenpaket zu jeder Station gelangen; es können so viele Transaktionen gleichzeitig stattfinden, wie Collision Domains im Netz vorhanden sind - im Extremfall (Switch) ist jeder Hub-Anschluss einer eigenen Collision Domain zugeordnet. An die Switch-Anschlüsse können in der Regel wieder gewöhnliche Repeating Hubs angeschlossen werden; Switching kann so nach und nach im Netz eingeführt werden, um die Collision Domains immer weiter zu verkleinern - bis im Idealfall jedem Rechner ein privates Segment zur Verfügung steht.

Switches sind heute nicht teurer als Hubs, daher spricht alles für eine Strukturierung des Netzes mit Switches. In einem Peer-to-Peer-Netz (z. B. Unix oder auch Windows ab 95) ohne zentrale Server genügt meistens ein reiner 10BaseT-Switch. Gibt es einige, wenige Server, so kann der Server über mehrere Ethernet-Segmente parallel mit dem Switch verbunden werden, so dass der Datenverkehr zwischen Server und Netz gebündelt wird. Es gibt auch Switches mit einem oder mehreren 100-MBit-Anschlüssen. Diese können an den oder die Server angeschlossen werden, um alle Anwender im Netz deutlich schneller mit Daten zu versorgen - ohne dass deren LAN-Adapter auch nur berührt werden müssten.

Da Twisted-Pair-Kabel heutzutage den Standard darstellen, sollte man auf jeden Fall bei der Neuverkabelung gleich Cat-5-Kabel verwenden, um für die Datenrate von 100 MHz gerüstet zu sein. Leider ist der verwendete RJ45-Stecker relativ filigran. Neben der Zerbrechlichkeit der Stecker kommt es bei Hochgeschwindigkeitsnetzen zu Problemen: Die Drähte und Kontakte werden über eine kleine Strecke parallel geführt, wodurch die Wirkung der Twisted-Pair-Kabel aufgehoben wird. Ein weiterer Kritikpunkt an der RJ45-Technik ist die Einheitlichkeit der Dosen. Der Anwender am Arbeitsplatz kann nicht erkennen, welchem Dienst die Dose zugeordnet ist (Netz, analogens Telefon, ISDN, etc.). Selbst Farbkennzeichnung oder Beschriftung hindert viele Leute nicht daran, 'es mal an der anderen Dose zu versuchen'. Und da kann die Rufspannung analoger Telefone schon einmal einen Netzwerkadapter "killen".

10 MBit/s (IEEE 802.3) und 100 MBit/s (IEEE 802.3u) verwenden eine Halbduplex-Übertragung über zwei Aderpaare. Bei einer Migration von 10 auf 100 MBit/s bleibt zumindest die Infrastruktur des Kabelnetzes bestehen. Demgegenüber setzt Gigabit-Ethernet (IEEE 802.3ab) auf eine Vollduplex-Übertragung über alle vier Paare. Zwar ermöglicht diese Technik die Verwendung der eigentlich nur bis 100 MHz spezifizierten CAT-5-Kabel, dazu müssen die Komponenten allerdings anders beschaltet werden.

4.2 Strukturen der Gebäudeverkabelung

Früher war eine "Bedarfsverkabelung" üblich. Die Netztechnik bestimmte die Art der Verkabelung (Ethernet: busförmige Koaxverkabelung, FDDI: ringförmig mit Lichtwellenleitern). Die Standorte der Rechner und Terminals bestimmte die Netzausdehnung.

Heute gilt ganz klar die Prämisse: strukturierte Verkabelung. Die Netztechnik hat sich an eine genormte Verkabelung anzupassen. Jeder Arbeitsplatz bekommt automatisch eine Datennetzdose. Das bring anfangs zwar höhere Investitionskosten, ist aber zukunftssicher. Fehler wirken sich nur lokal aus, denn jeder Anschluss hat sein eigenes Kabel.

Basis der heutigen Gebäudeverkabelung von Netzen sind die in den letzten Jahren erarbeiteten Normen auf diesem Gebiet. Dabei gibt es im wesentlichen drei grundlegende Normen, die für bestimmte geographische Regionen von Bedeutung sind:

EN 50173 (1995): Informationstechnik: Anwendungsneutrale Verkabelungssysteme
ISO/IEC 11801 (1995): Generic cabling for customer premises
EIA/TIA 568 A/B (1994): Commercial building telecommunications cabling standard

Die EN 50173 und die ISO/IEC 11801 haben im wesentlichen den gleichen Inhalt und enthalten auch die gleichen Anforderungen an die Kabel und Komponenten. Die EN 50173 ist eine europäische Norm, während die ISO/IEC 11801 weltweit verwendet wird. Die EIA/TIA-568 A/B wurde speziell für den nordamerikanischen Markt von der dortigen Telekommunikationsindustrie entwickelt. Sie ist eigentliche keine Norm, sondern lediglich eine Industrie-Spezifikation. Sie enthält auch geringere Anforderungen bezüglich der Übertragungseigenschaften der Kabel als die anderen Bestimmungen. In der EN 50173 wird ebenso wie in der ISO/IEC 11801 die Gebäudeverkabelung in vier Bereiche eingeteilt.

den Primär- oder Campusbereich für die Verbindung der Gebäude eines Standortes untereinander,
den Sekundär- oder Steigbereich für die Verbindung der einzelnen Etagen eines Gebäudes,
den Tertiär- oder Horizontalbereich für die Verbindung der Anschlusseinheiten wie die Wanddose mit dem Etagenverteiler und
den Arbeitsplatzbereich für den Anschluss der Endgeräte an die Anschlusseinheiten.

In allen drei Bereichen der Inhouse-Verkabelung (oft auch Ebenen genannt) können sowohl Verkabelungen mit symmetrischen Kupferkabel (Twisted Pair) und -komponenten als auch mit Lichtwellenleiterkabel und -komponenten verwendet werden. Im Campusbereich werden ausschließlich LWL-Kabel und -Komponenten verwendet.

Campusverkabelung und Steigbereich

Auf Grund der größeren Übertragungsstrecken und dem steigenden Datenaufkommen hat sich sowohl für den Campus- als auch für den Steigbereich die Lichtwellenleiterverkabelung durchgesetzt. Im Außenbereich werden LWL-Außenkabel mit Multimodefasern verwendet. Sollten Kabellängen von größer 2000 m notwendig sein oder extrem hohe Datenraten anfallen, können ebenso Kabel mit Singlemodefasern verwendet werden. Die Faseranzahl sollte in jedem Fall so bemessen sein, dass zukünftiges Wachstum der Netzanforderungen erfüllt werden kann. Als Faustregel sollte man 50% Reserve zum derzeitigen Bedarf addieren. Werden also derzeit acht Fasern benötigt, sollte ein Kabel mit zwölf Fasern verwendet werden.

Im Steigbereich werden meist LWL-Innenkabel, ebenfalls mit Multimodefasern, eingesetzt. Dabei empfiehlt die EN 50173 die Verwendung von 62,5-Mikrometer-Multimodefasern. Multimodefasern mit 50 Mikrometern sind aber ebenfalls zugelassen. Sind die Entfernungen klein (< 100 m) und die zu erwartenden Datenraten pro Teilnehmer gering (< 10 Mb/s), so kann im Steigbereich auch eine Verkabelung mit symmetrischen Kupferkabeln vorkommen. Dabei sollte aber ein qualitativ hochwertiges System eingesetzt werden, da ein Ausfall oder eine Überlastung in diesem Bereich schwerwiegende Konsequenzen für das ganze Netz hat.

Horizontalverkabelung und Arbeitsplatzbereich

Im Horizontalbereich und für die Arbeitsplatzverkabelung werden zumeist hochwertige, geschirmte symmetrische Kupferkabel und -komponenten eingesetzt, da hier der Anschluss an viele einzelne Schnittstellen vorgenommen wird. Wird auch im Horizontal- und Arbeitsplatzbereich mit Lichtwellenleitern (LWL) verkabelt, stehen damit höhere Bandbreiten zur Verfügung und es lassen sich längere Strecken realisieren. LWL-Verkabelung kann auch dann sinnvoll sein, wenn man einfach die EMV-Immunität und die Übertragungssicherheit ausnutzen will. Die Einführung von "Fiber-to-the-desk", der LWL-Verkabelung bis zum Arbeitsplatz, ist wohl bald Realität. Es ist auch möglich, beispielsweise den Steig- und den Horizontalbereich durchgehend mit LWL zu verkabeln, um damit Etagenverteiler einzusparen. Man spricht dann von einer zentralisierten Verkabelung.

Netzstrukturen

Die heutige Verkabelung wird im allgemeinen hierarchisch in einem physikalischen Stern aufgebaut. Der Standortverteiler (auch: Hauptverteiler) als zentrale Schaltstelle ist mit den Gebäudeverteilern in den einzelnen Gebäuden sternförmig verkabelt. In den Gebäuden werden die Etagen- verteiler ebenfalls sternförmig mit dem Gebäudeverteiler verkabelt. In der Horizontalebene schließlich findet eine ebenfalls sternförmige Verkabelung der Anschlusseinheiten wie der Wanddose mit dem Etagenverteiler statt. Als Verteiler zum Abschluss der Kabel werden Schränke und Gestelle in 19"-Technik eingesetzt. 19"-Einschübe übernehmen in diesen Schränken die Kabelbefestigung, die Speicherung einer Reservelänge, die Unterbringung von Spleißkassetten (falls verwendet) und das Montieren der Stecker und Kupplungen bzw. Buchsen auf den Verteilerfeldern. Werden nur kleinere Faserzahlen benötigt, so können statt der 19"-Schränke die kompakteren Wandverteiler eingesetzt werden.

Im Tertiärbereich werden zum Kabelabschluss Wand- und Bodentankdosen verwendet. Diese Anschlusseinheiten übernehmen hier die Kabelbefestigung, die Speicherung der Reservelänge und das Montieren der Buchsen bzw. Stecker und Kupplungen. Sie bilden den Abschluss der diensteunabhängigen Verkabelung. Das Endgerät (der PC, die Workstation, der Drucker, das Telefon, etc.) wird mit konfektionierten Kabeln an die Wanddose oder den Bodentank angeschlossen. Die Verteilung der Switch- oder Routerports auf die Endgerätedosen erfolgt über ein Patchfeld. Es handelt sich dabei um ein Feld mit Netzwerk-Steckdosen (z. B. RJ-45-Dosen), an welche die Kabel zu den Anschlussdosen in den einzelnen Rämen angeschlossen sind. Die Verbindung zu den aktiven Komponenten erfolgt dann über kurze Patchkabel.

Die logische Netzstruktur der Verkabelung hängt davon ab, wie die einzelnen Netzwerkknoten miteinander kommunizieren. Darunter sind die Protokolle, Zugriffsverfahren und Konventionen auf der elektronischen Ebene zu verstehen. Die heute am weitest verbreiteten Standards für solche logischen Netzstrukturen sind:

ISDN nach DIN EN 50098 für bis zu 2 Mbit/s in einer sternförmigen Verkabelung
Ethernet nach IEEE 802.3 für 10 und 100 MHz Übertragungsbandbreite als logischer Bus
Token Ring nach IEEE 802.5 für 4 und 16 Mbit/s als logischer Ring
FDDI bzw. TPDDI (PMD) nach ANSI X3T12 für bis zu 100 Mb/s als logischer (Doppel-)Ring
ATM definiert im ATM-Forum für bis zu 622 Mbit/s

Für die Umsetzung von der logischen in die physikalische Netzstruktur haben sich Netzwerkkonzentratoren etabliert. Hier werden alle wichtigen Netzwerkaktivitäten zusammengefaßt, was auch die Verkabelung und die Fehlersuche wesentlich erleichtert. Dadurch ist es möglich, beispielsweise das Ethernet 10/100BaseT-Verfahren als logisches Bussystem in einer sternförmigen Verkabelung zu realisieren.

4.3 Durchsatzmessung – Leistungsmessung

Für die Überprüfung der Funktionstüchtigkeit von Netzwerkverkabelungen gibt es Messgeräte (oft als „Penta-Scanner“ bezeichnet), die mehrere Tests durchführen und dabei Größen wie Impedanz (Scheinwiderstand) und Dämpfung messen.

Beispiel: Fluke 620 Cable Tester

Prüfprotokoll Netzwerkkabel (CAT5) – bestandener Test

Kabelkennung: 06-16B Testzusammenfassung: PASS

ELEKTRO XXXXXXXXXX GMBH RESERVE: 7,7 dB (NEXT @ Remote 45-78)

ORT: 3100 ST.PöLTEN Datum/Uhrzeit: 10.02.2000 18:05:12

BEDIENER: ZAHLER Test-Standard: TIA Cat 5 Basic Link

Standard-Version: 2.51 Kabeltyp: ScTP 100 Ohm Cat 5

Software-Version: 2.5 FLUKE DSP-4000 Serien-Nr.: 7420098 LIA011

NVP: 69,9% FEHLERANOMALIESCHWELLE: 15% FLUKE DSP-4000SR Serien-Nr.: 7420098 LIA011

TEST DER KABELSCHIRMUNG: Aktivieren

Wire Map PASS Ergebn. RJ45-STIFT: 1 2 3 4 5 6 7 8 S

| | | | | | | | |

RJ45-STIFT: 1 2 3 4 5 6 7 8 S

12 |52,2 94,0 |249 |0 50 | |113 80-120 |10,0 100,0 21,6 |

36 |52,8 94,0 |252 |3 50 | |112 80-120 |10,3 100,0 21,6 |

45 |52,8 94,0 |252 |3 50 | |111 80-120 |10,7 100,0 21,6 |

78 |53,4 94,0 |255 |6 50 | |106 80-120 |10,9 100,0 21,6 |

| Ergebnisse der Haupteinheit | Ergebnisse der Remote-Einheit |

NEXT | | | |

12-36 | 41,0 61,8 32,8 | 40,6 70,8 31,8 | 42,7 59,2 33,0 | 39,9 97,8 29,5 |

12-45 | 51,9 25,2 39,1 | 48,2 67,0 32,2 | 48,5 44,2 35,1 | 47,3 72,4 31,7 |

12-78 | 47,7 59,8 33,0 | 47,2 72,2 31,7 | 47,1 60,0 32,9 | 45,5 96,2 29,6 |

36-45 | 38,9 95,4 29,7 | 38,9 95,4 29,7 | 44,5 42,0 35,5 | 39,2 99,6 29,3 |

36-78 | 60,3 7,8 47,3 | 44,4 93,4 29,8 | 60,0 7,7 47,4 | 46,1 94,4 29,7 |

45-78 | 54,7 10,0 45,6 | 43,5 89,8 30,1 | 51,6 12,7 43,9 | 41,8 85,0 30,5 |

Prüfprotokoll Netzwerkkabel (CAT5) – nicht bestandener Test

Kabelkennung: 06-19A Testzusammenfassung: FAIL

ELEKTRO XXXXXXXXXX GMBH RESERVE: 9,8 dB (NEXT 12-36)

ORT: 3100 ST.PöLTEN Datum/Uhrzeit: 10.02.2000 18:41:45

BEDIENER: ZAHLER Test-Standard: TIA Cat 5 Basic Link

Standard-Version: 2.51 Kabeltyp: ScTP 100 Ohm Cat 5

Software-Version: 2.5 FLUKE DSP-4000 Serien-Nr.: 7420098 LIA011

NVP: 69,9% FEHLERANOMALIESCHWELLE: 15% FLUKE DSP-4000SR Serien-Nr.: 7420098 LIA011

TEST DER KABELSCHIRMUNG: Aktivieren

Wire Map PASS Ergebn. RJ45-STIFT: 1 2 3 4 5 6 7 8 S

| | | | | | | | |

RJ45-STIFT: 1 2 3 4 5 6 7 8 S

12 |50,9 94,0 |243 |0 50 | |112 80-120 | 6,2 F 2,3 3,0 |

36 |51,8 94,0 |247 |4 50 | |110 80-120 | 6,2 F 2,3 3,0 |

45 |51,1 94,0 |244 |1 50 | |110 80-120 | 6,3 F 2,4 3,1 |

78 |52,2 94,0 |249 |6 50 | |108 80-120 | 6,3 F 2,3 3,0 |

| Ergebnisse der Haupteinheit | Ergebnisse der Remote-Einheit |

NEXT | | | |

12-36 | 43,7 52,8 33,9 | 39,9 94,2 29,8 | 47,4 32,8 37,2 | 45,8 93,6 29,8 |

12-45 | 51,2 57,8 33,2 | 49,4 91,2 30,0 | 51,6 59,8 33,0 | 49,4 95,8 29,6 |

12-78 | 52,9 52,6 33,9 | 50,4 78,2 31,0 | 54,6 38,0 36,2 | 50,5 90,4 30,1 |

36-45 | 41,1 99,8 29,3 | 41,1 99,8 29,3 | 49,2 34,6 36,8 | 42,1 96,0 29,6 |

36-78 | 45,1 54,4 33,7 | 44,2 96,8 29,5 | 53,1 20,6 40,5 | 49,1 83,6 30,6 |

45-78 | 52,6 21,2 40,3 | 44,5 73,2 31,6 | 46,7 55,4 33,6 | 44,9 82,6 30,7 |

5 Das Internet Protocol Version 4

Hauptaufgaben des IP-Protokolls:

Adressierung von Netzknoten
Routing (Wegesuche im Netz)
Zerlegung des Datenstroms in Pakete; ein IP-Datenpaket kann maximal 65536 Bytes groß sein.

Jeder Rechner auf der ganzen Welt braucht eine eindeutige Adresse, um im Internet oder in einem lokalen TCP/IP-Netzwerk erkannt zu werden, die so genannte IP-Adresse. In der derzeit gültigen Version 4 des Internet Protokolls ist die IP-Adresse eine 32-stellige Binärzahl, also etwa:

11011001.01010011.11001111.00010001

Meist fasst man 8 Binärstellen (bits) zu einem Byte zusammen, dessen dezimalen Wert man berechnet. Die "Kurzschreibweise" (dotted decimal) der oben angeführten IP-Adresse würde daher zum Beispiel lauten:

217.83.207.17

5.1 Zuweisung von IP-Adressen

IP-Adressen können auf zwei Arten vergeben werden:

Statische Konfiguration: Die IP-Konfiguration wird manuell festgelegt und ändert sich nicht; in Windows wird die Konfiguration in den Netzwerkeigenschaften (Systemsteuerung) festgelegt.

Dynamische Konfiguration: Die IP-Konfiguration wird von einem DHCP-Server (Dynamic Host Configuration Protocol) bezogen; die konkrete IP-Adresse wird bei jedem Neustart vom DHCP-Server neu zugewiesen und kann sich daher auch ändern.

5.2 Vergabe von IP-Adressen

Man unterscheidet:

Öffentliche IP-Adressen (Public IPs): Diese Adressen werden von der Internet Number Association (IANA) vergeben. Diese Adressbereiche sind weltweit eindeutig und werden zur Adressierung von Geräten verwendet, die im Internet erreicht werden sollen. Solche Adressen können Sie über Ihren Internet Service Provider beziehen (nicht direkt bei der IANA).

Quelle: http://www.iana.org

INTERNET PROTOCOL V4 ADDRESS SPACE

(last updated 03 August 2004)

The allocation of Internet Protocol version 4 (IPv4) address space to

various registries is listed here. Originally, all the IPv4 address

spaces was managed directly by the IANA. Later parts of the address

space were allocated to various other registries to manage for

particular purposes or regional areas of the world. RFC 1466 [RFC1466]

documents most of these allocations.

Address

Block Date Registry - Purpose Notes or Reference

----- ------ --------------------------- ------------------

000/8 Sep 81 IANA - Reserved

001/8 Sep 81 IANA - Reserved

002/8 Sep 81 IANA - Reserved

003/8 May 94 General Electric Company

004/8 Dec 92 Bolt Beranek and Newman Inc.

005/8 Jul 95 IANA - Reserved

006/8 Feb 94 Army Information Systems Center

007/8 Apr 95 IANA - Reserved

008/8 Dec 92 Bolt Beranek and Newman Inc.

009/8 Aug 92 IBM

010/8 Jun 95 IANA - Private Use See [RFC1918]

011/8 May 93 DoD Intel Information Systems

012/8 Jun 95 AT&T Bell Laboratories

013/8 Sep 91 Xerox Corporation

014/8 Jun 91 IANA - Public Data Network

015/8 Jul 94 Hewlett-Packard Company

016/8 Nov 94 Digital Equipment Corporation

017/8 Jul 92 Apple Computer Inc.

018/8 Jan 94 MIT

019/8 May 95 Ford Motor Company

020/8 Oct 94 Computer Sciences Corporation

021/8 Jul 91 DDN-RVN

022/8 May 93 Defense Information Systems Agency

023/8 Jul 95 IANA - Reserved

024/8 May 01 ARIN - Cable Block (Formerly IANA - Jul 95)

025/8 Jan 95 Royal Signals and Radar Establishment

026/8 May 95 Defense Information Systems Agency

027/8 Apr 95 IANA - Reserved

028/8 Jul 92 DSI-North

029/8 Jul 91 Defense Information Systems Agency

030/8 Jul 91 Defense Information Systems Agency

031/8 Apr 99 IANA - Reserved

032/8 Jun 94 Norsk Informasjonsteknology

033/8 Jan 91 DLA Systems Automation Center

034/8 Mar 93 Halliburton Company

035/8 Apr 94 MERIT Computer Network

036/8 Jul 00 IANA - Reserved (Formerly Stanford University - Apr 93)

037/8 Apr 95 IANA - Reserved

038/8 Sep 94 Performance Systems International

039/8 Apr 95 IANA - Reserved

040/8 Jun 94 Eli Lily and Company

041/8 May 95 IANA - Reserved

042/8 Jul 95 IANA - Reserved

043/8 Jan 91 Japan Inet

044/8 Jul 92 Amateur Radio Digital Communications

045/8 Jan 95 Interop Show Network

046/8 Dec 92 Bolt Beranek and Newman Inc.

047/8 Jan 91 Bell-Northern Research

048/8 May 95 Prudential Securities Inc.

049/8 May 94 Joint Technical Command (Returned to IANA Mar 98)

050/8 May 94 Joint Technical Command (Returned to IANA Mar 98)

051/8 Aug 94 Deparment of Social Security of UK

052/8 Dec 91 E.I. duPont de Nemours and Co., Inc.

053/8 Oct 93 Cap Debis CCS

054/8 Mar 92 Merck and Co., Inc.

055/8 Apr 95 Boeing Computer Services

056/8 Jun 94 U.S. Postal Service

057/8 May 95 SITA

058/8 Apr 04 APNIC (whois.apnic.net)

059/8 Apr 04 APNIC (whois.apnic.net)

060/8 Apr 03 APNIC (whois.apnic.net)

061/8 Apr 97 APNIC (whois.apnic.net)

062/8 Apr 97 RIPE NCC (whois.ripe.net)

063/8 Apr 97 ARIN (whois.arin.net)

064/8 Jul 99 ARIN (whois.arin.net)

065/8 Jul 00 ARIN (whois.arin.net)

066/8 Jul 00 ARIN (whois.arin.net)

067/8 May 01 ARIN (whois.arin.net)

068/8 Jun 01 ARIN (whois.arin.net)

069/8 Aug 02 ARIN (whois.arin.net)

070/8 Jan 04 ARIN (whois.arin.net)

071/8 Aug 04 ARIN (whois.arin.net)

072/8 Aug 04 ARIN (whois.arin.net)

073/8 Sep 81 IANA - Reserved

074/8 Sep 81 IANA - Reserved

075/8 Sep 81 IANA - Reserved

076/8 Sep 81 IANA - Reserved

077/8 Sep 81 IANA - Reserved

078/8 Sep 81 IANA - Reserved

079/8 Sep 81 IANA - Reserved

080/8 Apr 01 RIPE NCC (whois.ripe.net)

081/8 Apr 01 RIPE NCC (whois.ripe.net)

082/8 Nov 02 RIPE NCC (whois.ripe.net)

083/8 Nov 03 RIPE NCC (whois.ripe.net)

084/8 Nov 03 RIPE NCC (whois.ripe.net)

085/8 Apr 04 RIPE NCC (whois.ripe.net)

086/8 Apr 04 RIPE NCC (whois.ripe.net)

087/8 Apr 04 RIPE NCC (whois.ripe.net)

088/8 Apr 04 RIPE NCC (whois.ripe.net)

089/8 Sep 81 IANA - Reserved

090/8 Sep 81 IANA - Reserved

091/8 Sep 81 IANA - Reserved

092/8 Sep 81 IANA - Reserved

093/8 Sep 81 IANA - Reserved

094/8 Sep 81 IANA - Reserved

095/8 Sep 81 IANA - Reserved

096/8 Sep 81 IANA - Reserved

097/8 Sep 81 IANA - Reserved

098/8 Sep 81 IANA - Reserved

099/8 Sep 81 IANA - Reserved

100/8 Sep 81 IANA - Reserved

101/8 Sep 81 IANA - Reserved

102/8 Sep 81 IANA - Reserved

103/8 Sep 81 IANA - Reserved

104/8 Sep 81 IANA - Reserved

105/8 Sep 81 IANA - Reserved

106/8 Sep 81 IANA - Reserved

107/8 Sep 81 IANA - Reserved

108/8 Sep 81 IANA - Reserved

109/8 Sep 81 IANA - Reserved

110/8 Sep 81 IANA - Reserved

111/8 Sep 81 IANA - Reserved

112/8 Sep 81 IANA - Reserved

113/8 Sep 81 IANA - Reserved

114/8 Sep 81 IANA - Reserved

115/8 Sep 81 IANA - Reserved

116/8 Sep 81 IANA - Reserved

117/8 Sep 81 IANA - Reserved

118/8 Sep 81 IANA - Reserved

119/8 Sep 81 IANA - Reserved

120/8 Sep 81 IANA - Reserved

121/8 Sep 81 IANA - Reserved

122/8 Sep 81 IANA - Reserved

123/8 Sep 81 IANA - Reserved

124/8 Sep 81 IANA - Reserved

125/8 Sep 81 IANA - Reserved

126/8 Sep 81 IANA - Reserved

127/8 Sep 81 IANA - Reserved See [RFC3330]

128/8 May 93 Various Registries

129/8 May 93 Various Registries

130/8 May 93 Various Registries

131/8 May 93 Various Registries

132/8 May 93 Various Registries

133/8 May 93 Various Registries

134/8 May 93 Various Registries

135/8 May 93 Various Registries

136/8 May 93 Various Registries

137/8 May 93 Various Registries

138/8 May 93 Various Registries

139/8 May 93 Various Registries

140/8 May 93 Various Registries

141/8 May 93 Various Registries

142/8 May 93 Various Registries

143/8 May 93 Various Registries

144/8 May 93 Various Registries

145/8 May 93 Various Registries

146/8 May 93 Various Registries

147/8 May 93 Various Registries

148/8 May 93 Various Registries

149/8 May 93 Various Registries

150/8 May 93 Various Registries

151/8 May 93 Various Registries

152/8 May 93 Various Registries

153/8 May 93 Various Registries

154/8 May 93 Various Registries

155/8 May 93 Various Registries

156/8 May 93 Various Registries

157/8 May 93 Various Registries

158/8 May 93 Various Registries

159/8 May 93 Various Registries

160/8 May 93 Various Registries

161/8 May 93 Various Registries

162/8 May 93 Various Registries

163/8 May 93 Various Registries

164/8 May 93 Various Registries

165/8 May 93 Various Registries

166/8 May 93 Various Registries

167/8 May 93 Various Registries

168/8 May 93 Various Registries

169/8 May 93 Various Registries

170/8 May 93 Various Registries

171/8 May 93 Various Registries

172/8 May 93 Various Registries

173/8 Apr 03 IANA - Reserved

174/8 Apr 03 IANA - Reserved

175/8 Apr 03 IANA - Reserved

176/8 Apr 03 IANA - Reserved

177/8 Apr 03 IANA - Reserved

178/8 Apr 03 IANA - Reserved

179/8 Apr 03 IANA - Reserved

180/8 Apr 03 IANA - Reserved

181/8 Apr 03 IANA - Reserved

182/8 Apr 03 IANA - Reserved

183/8 Apr 03 IANA - Reserved

184/8 Apr 03 IANA - Reserved

185/8 Apr 03 IANA - Reserved

186/8 Apr 03 IANA - Reserved

187/8 Apr 03 IANA - Reserved

188/8 May 93 Various Registries

189/8 Apr 03 IANA - Reserved

190/8 Apr 03 IANA - Reserved

191/8 May 93 Various Registries

192/8 May 93 Various Registries

193/8 May 93 RIPE NCC (whois.ripe.net)

194/8 May 93 RIPE NCC (whois.ripe.net)

195/8 May 93 RIPE NCC (whois.ripe.net)

196/8 May 93 Various Registries

197/8 May 93 IANA - Reserved

198/8 May 93 Various Registries

199/8 May 93 ARIN (whois.arin.net)

200/8 Nov 02 LACNIC (whois.lacnic.net)

201/8 Apr 03 LACNIC (whois.lacnic.net)

202/8 May 93 APNIC (whois.apnic.net)

203/8 May 93 APNIC (whois.apnic.net)

204/8 Mar 94 ARIN (whois.arin.net)

205/8 Mar 94 ARIN (whois.arin.net)

206/8 Apr 95 ARIN (whois.arin.net)

207/8 Nov 95 ARIN (whois.arin.net)

208/8 Apr 96 ARIN (whois.arin.net)

209/8 Jun 96 ARIN (whois.arin.net)

210/8 Jun 96 APNIC (whois.apnic.net)

211/8 Jun 96 APNIC (whois.apnic.net)

212/8 Oct 97 RIPE NCC (whois.ripe.net)

213/8 Mar 99 RIPE NCC (whois.ripe.net)

214/8 Mar 98 US-DOD

215/8 Mar 98 US-DOD

216/8 Apr 98 ARIN (whois.arin.net)

217/8 Jun 00 RIPE NCC (whois.ripe.net)

218/8 Dec 00 APNIC (whois.apnic.net)

219/8 Sep 01 APNIC (whois.apnic.net)

220/8 Dec 01 APNIC (whois.apnic.net)

221/8 Jul 02 APNIC (whois.apnic.net)

222/8 Feb 03 APNIC (whois.apnic.net)

223/8 Apr 03 IANA - Reserved

224/8-239/8   Sep 81   IANA - Multicast

240/8-255/8   Sep 81   IANA - Reserved

Private IP-Adressbereiche (Private IPs): Für die Verwendung innerhalb von LANs wurden eigene Adressbereiche festgelegt, die nicht geroutet werden. Diese IP-Adressen sind daher auch nicht weltweit eindeutig, sondern nur im jeweiligen lokalen Netzwerk.

Laut RFC 1918 sind für „private“ Netze folgende IP-Bereiche gestattet (Rechner mit diesen IP-Adressen dürfen keinen direkten Internet-Verkehr haben, d.h. mit dem Internet nur über Proxy-Server in Kontakt treten; sie werden nicht geroutet!):

10.0.0.0 – 10.255.255.255 (Class A-Bereich)

172.16.0.0 – 172.31.255.255 (Class B-Bereich)

192.168.0.0 – 192.168.255.255 (Class C-Bereich)

5.3 Aufbau von IP-Adressen

Beispiel:

Adresse 192.168.100.1

Subnetzmaske 255.255.255.0

Um TCP/IP Adressen verstehen zu können, muß man sich vor Augen halten, dass die „reale" Schreibweise von Adressen in binärer Form erfolgt (4 Oktetts a 8 Bit).

192
11000000

168
10101000

100
01100100

1
00000001

Gerechnet wird dann wie folgt:

	128	64	32	16	8	4	2	1
192	1	1	0	0	0	0	0	0
168	1	0	1	0	1	0	0	0
100	0	1	1	0	0	1	0	0
1	0	0	0	0	0	0	0	1
	x	x	x	x	x	x	x	x
255	1	1	1	1	1	1	1	1

192 = 1100 0000 = 128 + 64

168 = 1010 1000 = 128 + 32 + 8

100 = 0110 0100 = 64 + 32 + 4

1 = 0000 0001 = 1

Man hat also mit einer solchen 32 bit-Adresse insgesamt 2³² = 4 294 967 296 Möglichkeiten (also mehr als 4 Milliarden), einen PC unverwechselbar zu adressieren.

IP-Adressen bestehen aus zwei Teilen:

Der erste Teil ist die Netzwerk-Adresse (Net-ID). Da das Internet aus vielen miteinander verbundenen lokalen Netzen (LAN) besteht, ist es sinnvoll, jedem LAN eine eindeutige Adresse zuzuweisen.

Der zweite Teil gibt die Adresse der einzelnen Rechner im Netz an (Host-Adresse, Host-ID, Knotenadresse). Dieser Teil wird durch das lokale Netzwerkmanagement frei vergeben.

Wie viele bit zur NetID bzw. zur HostID gehören, wird durch die Subnetz-Maske festgelegt. Dafür gibt es folgende einfache Regel:

Ist ein bit der Subnetzmaske 1, so gehört das entsprechende bit der IP-Adresse zur Net-ID.

Ist ein bit der Subnetzmaske 0, so gehört das entsprechende bit der IP-Adresse zur Host-ID.

Im obigen Beispiel würde also die Subnetzmaske 255.255.0.0 lauten.

Grundsätzlich ist die Länge der Net-ID und der Host-ID frei wählbar. Es haben sich aber zwei verschiedene Sichtweisen bzw. Technologien durchgesetzt:

· klassenorientiertes IP-Routing (fixe Länge von Net-ID und Host-ID)

· „classless IPs“ (frei wählbare Länge von Net-ID und Host-ID)

5.4 Klassenorientierte IP-Adressen

Diese Methode basiert auf fix festgelegten Längen für den Net- und den Host-Anteil der IP-Adressen.

Class-A-Netze: Adresse beginnt mit einer binären 0, 7 bit für Netzwerk-Adresse, 24 bit für Host-Adresse. Damit gibt es weltweit 127 derartige Netzwerke, ein Class-A-Netz kann bis zu 16 Mio. Teilnehmer haben. Alle derartigen Netzadressen sind bereits belegt.

IP-Adressen von Class-A-Netzen:

0.0.0.0 bis 127.255.255.255

Class-B-Netze: Adresse beginnt mit der binären Ziffernkombination 10, 14 bit für Netzwerk-Adresse, 16 bit für Host-Adresse. Damit gibt es weltweit 16384 derartige Netzwerke, ein Class-B-Netz kann bis zu 65536 Teilnehmer haben. Alle derartigen Netzadressen sind bereits belegt.

IP-Adressen von Class-B-Netzen:

128.0.0.0 bis 191.255.255.255

Class-C-Netze: Adresse beginnt mit der binären Ziffernkombination 110, 21 bit für Netzwerk-Adresse, 8 bit für Host-Adresse. Damit gibt es weltweit 2 Mio. derartige Netzwerke, ein Class-C-Netz kann bis zu 256 Teilnehmer haben. Neu zugeteilte Netzadressen sind heute immer vom Typ C. Es ist abzusehen, dass bereits in Kürze alle derartigen Adressen vergeben sein werden.

IP-Adressen von Class-C-Netzen:

192.0.0.0 bis 223.255.255.255

Class D-Netze haben einen speziellen Anwendungsbereich (Multicast-Anwendungen) und haben für Internet keine Bedeutung.

Zusammenfassung:

CLASS	Netzwerk Anteil	Anzahl Netze	Hostanteil	Anzahl Hosts/Netz
A	1 Bit + 7 Bit	128	24 Bit	16.777.214
B	2 Bit + 14 Bit	16.864	16 Bit	65.534
C	3 Bit + 21 Bit	2.097.152	8 Bit	253

5.5 Besondere IP-Adressen

a) Netzwerkmasken

Netzwerkmasken unterscheiden sich in der Länge des Netzwerk- (alle Bit-Stellen auf 1) und Hostanteils (alle Bitstellen auf 0)

abhängig von der Netzwerkklasse

1.Byte 2.Byte 3.Byte 4.Byte

Class A 255 0 0 0

Class B 255 255 0 0

Class C 255 255 255 0

Netzwerkmasken stellen einen Filter dar, an dem Rechner entscheiden können, ob sie sich im selben (logischen) Netz befinden

b) Netzwerkadressen

Die Netzwerkadresse eines Rechners ergibt sich, indem man die IP-Adresse mit der Netzwerkmaske bitweise UND-verknüpft. Generell gilt, dass bei Netzwerkadressen alle Bitstellen des Hostanteils 0 sind.

Hostadresse	192.168.100.1	11000000	10101000	01100100	00000001
UND
Maske	255.255.255.0	11111111	11111111	11111111	00000000
Subnetz	192.168.100.0	11000000	10101000	01100100	00000000

Nur Rechner mit der gleichen Netzwerkadresse befinden sich im gleichen logischen Netzwerk!

c) Broadcast-Adresse

Die Broadcast-Adresse ergibt sich aus der IP-Adresse, bei der alle Bitstellen des Hostanteils auf 1 gesetzt sind. Sie bietet die Möglichkeit, Datenpakete an alle Rechner eines logischen Netzwerkes zu senden. Sie wird ermittelt, indem die Netzwerkadresse mit der invertierten Netzwerkmaske bitweise ODER-verknüpft wird.

Beispiel:

Subnetz	192.168.100.0	11000000	10101000	01100100	00000000
ODER
invertierte Maske	0.0.0.255	00000000	00000000	00000000	11111111
Broadcast	192.168.100.255	11000000	10101000	01100100	11111111

d) Loopback-Adresse

Die Class-A-Netzwerkadresse 127 ist weltweit reserviert für das sogenannte local loopback

dient zu Testzwecken der Netzwerkschnittstelle des eigenen Rechners.

Die IP-Adresse 127.0.0.1 ist standardmäßig dem Loopback-Interface jedes Rechners zugeordnet

alle an diese Adresse geschickten Datenpakete werden nicht nach außen ins Netzwerk gesendet, sondern an der Netzwerkschnittstelle reflektiert.

Die Datenpakete erscheinen, als kämen sie aus einem angeschlossenem Netzwerk.

5.6 Subnetting

Internet-Quellen:

http://instrumentation.de/5106003d.htm

http://www.zyxel.de/support

Das obige Schema zeigt, dass nur eine begrenzte Anzahl an internationalen IP-Adressen verfügbar ist. Falls die Anzahl der Netzwerke nicht ausreicht, gibt es wie schon erwähnt, die Möglichkeit diese Anzahl durch geschickte Strukturierung von Subnetzen zu erweitern. In der folgenden Tabelle ist eine mögliche Unterteilung dargestellt.

Subnetzmaske	*Anzahl Subnetze ()**	Anzahl Hosts (Rechner, Knoten)
255.255.255.0	1 (1)	254
255.255.255.128	0 (2)	126
255.255.255.192	2 (4)	62
255.255.255.224	6 (8)	30
255.255.255.240	14 (16)	14
255.255.255.248	30 (32)	6
255.255.255.252	62 (64)	2

(*) Die in Klammer stehenden Werte sind zwar rechnerisch möglich, enthalten aber u.U. verbotene Adressen (s.u.).

Wie daraus die möglichen Netze und zugehörigen gültigen IP-Adressen entstehen, soll am Beispiel der Subnetzmasken 255.255.255.192 und 255.255.255.224 erläutert werden. Der Status erlaubt oder nicht ergibt sich daraus, dass die erste und letzte bei der Unterteilung entstehenden Adressen nicht verwendet werden dürfen.

Netze und IP-Adressen mit Subnetz-Maske 255.255.255.192:

Netzwerkadresse	IP-Adressen	Broadcast	Status
a.b.c.0	1 - 62	63	nicht erlaubt (*)
a.b.c.64	65 - 126	127	erlaubt
a.b.c.128	129 - 190	191	erlaubt
a.b.c.192	193 - 254	255	nicht erlaubt (*)

(*) Anmerkung: Es ist nicht sofort einsichtig, warum das erste und das letzte Subnet „nicht erlaubt“ sind. Der Grund dafür liegt in der Tatsache, dass im vorliegenden Beispiel ein Class C-Netz unterteilt wurde. Class C-Netze haben ohne Subnetting eine Subnetz-Maske 255.255.255.0, wobei sich aus den vorher erwähnten Regeln ergibt, dass die IP-Adresse a.b.c.0 (also alle Bit der HostID auf 0 gesetzt) der Netzwerkadresse entspricht und diese (einzige) Adresse daher nicht verwendet werden darf. Bei der Unterteilung in Subnetze zeigt sich aber, dass beim gesamten Bereich von a.b.c.0 bis a.b.c.63 die SubnetID aus lauter Nullen besteht – daher der ganze Bereich ausfällt. Die Argumentation für das letzte Subnetz ist analog zu sehen.

Netze und IP-Adressen mit Subnetz-Maske 255.255.255.224:

Netzwerkadresse	IP-Adressen	Broadcast	Status
a.b.c.0	1 - 30	31	nicht erlaubt
a.b.c.32	33 - 62	63	erlaubt
a.b.c.64	65 - 94	95	erlaubt
a.b.c.96	97 - 126	127	erlaubt
a.b.c.128	129 - 158	159	erlaubt
a.b.c.160	161 - 190	191	erlaubt
a.b.c.192	193 - 222	223	erlaubt
a.b.c.224	225 - 254	255	nicht erlaubt

Spätestens bei der Einrichtung eines Netzwerkes mit Subnetzen dürfte klar werden, dass hier eine ganze Menge Fehlerquellen schlummern und dass gute Netzwerkadministratoren durchaus Ihre Daseinsberechtigung haben! Man sollte deshalb bei Problemen neuer Rechner/Geräte im Netzwerk die Adressen sehr genau überprüfen.

5.7 CIDR (Classless Inter-Domain Routing), VLSM (Variable Length Subnet Masks) und Supernetting

Das CIDR beschreibt ein Verfahren zur effektiveren Nutzung der bestehenden 32 Bit umfassenden IP-Adresse. Bei diesem Verfahren werden IP-Adressen zusammengefasst, wobei ein Block von aufeinander folgenden IP-Adressen der Klasse C als ein Netzwerk behandelt werden.

Möglich wird dies durch "Kürzen" der NetID, die bei klassenorientierter Betrachtung 24 bit lang wäre. Man verwendet daher Netzwerke wie etwa 192.168.4.0/23 mit insgesamt 510 gültigen Host-Adressen.

Das CIDR-Verfahren reduziert die in Routern gespeicherten Routing-Tabellen durch einen Präfix in der IP-Adresse. Mit diesem Präfix kann ein großer Internet Service Provider bzw. ein Betreiber eines großen Teils des Internets gekennzeichnet werden. Dadurch können auch darunter liegende Netze zusammengefasst werden; so genanntes Supernetting. Die Methode wird in RFC 1518 beschrieben.

Um einen Mangel an Netzwerkkennungen zu verhindern, haben Internetinstitutionen ein Schema erarbeitet, das so genannte Supernetting. Im Gegensatz zum Subnetting werden beim Supernetting Bits der Netzwerkkennung verwendet und für effizienteres Routing als Hostkennung maskiert. Statt einer Organisation mit 2.000 Hosts eine Netzwerkkennung der Klasse B zuzuweisen, weist ARIN (American Registry for Internet Numbers) beispielsweise einen Bereich von acht Netzwerkkennungen der Klasse C zu. In jeder Netzwerkkennung der Klasse C sind 254 Hosts möglich. Dies ergibt insgesamt 2.032 Hostkennungen.

Beispiel:

Ohne Supernetting:

Routingtabelle für Router B

220.78.168.0 255.255.255.0 220.78.168.1

220.78.169.0 255.255.255.0 220.78.168.1

220.78.170.0 255.255.255.0 220.78.168.1

220.78.171.0 255.255.255.0 220.78.168.1

220.78.172.0 255.255.255.0 220.78.168.1

220.78.173.0 255.255.255.0 220.78.168.1

220.78.174.0 255.255.255.0 220.78.168.1

220.78.175.0 255.255.255.0 220.78.168.1

Mit Supernetting:

Routingtabelle für Router B

220.78.168.0    255.255.252.0    220.78.168.1

5.8 Aufbau des IP-Headers

Im Internet gibt es die Seite www.protocols.com, auf der detailliert eine ganze Reihe von Netzwerkprotokollen beschrieben sind – darunter auch das TCP/IP-Protokoll.

Wir haben bereits erwähnt, dass jedes Protokoll spezielle Informationen (den sogenannten Header) zu den eigentlichen Daten hinzufügt.

Wir wollen hier den IP-Header etwas genauer betrachten. Zuerst sollen an dieser Stelle das Aussehen und die Bedeutung der einzelnen Header-Elemente beschrieben werden.

Die ersten vier Bits stellen das Feld Ver dar (siehe Abbildung). Sie sind für die Version des IP-Protokolls bestimmt, welches das zu sendende Datagramm zusammenstellt. Bei der Benutzung von IPv4 enthält dieses Feld den Wert vier.

Die nächsten vier Bit, die das Feld HLen repräsentieren, enthalten die aktuelle Header-Länge. Dabei werden aber nicht die Bytes, sondern die Doppel-Worte (4 Byte) gezählt. Bei einem IP-Standard-Header sollte hier eine fünf stehen. Dieser Standard-Header findet bei der Übertragung normaler Nutzdaten Anwendung. Er umfaßt immer 5 Doppel-Worte = 20 Byte.

Danach folgt das Feld TOS, Type of Service. Es enthält u.a. Informationen, welcher Art die zu transportierenden Daten sind und welche Qualität die Art der Übertragung besitzen soll.

Das Feld Total Length im IP-Header kennzeichnet die totale Länge eines Datagramms einschließlich Header. Da dieses Feld nur eine 16-Bit-Zahl enthalten kann, ist auch die Größe eines IP-Datagramms auf maximal 2¹⁶ - 1 = 65535 Byte beschränkt. Ein größeres Datagramm kann durch IP nicht vermittelt werden.

Im Zuge der QoS (Quality of Service)-Diskussion (Ziel: Qualitätsverbesserung der Internet-Protokolle und Internet-Dienste) am Internet wurde eine Lösung ersonnen, die als „diffserv“ (differentiated services) bezeichnet wird. Diffserv (DS) baut am TOS-Feld auf und überträgt in diesem Byte Informationen, die das Routing effizienter machen.

Auf die Bedeutung der Felder Identification, Flags und Fragment Offset wird später näher eingegangen. Sie werden benötigt, um eine Datagramm-Übermittlung auch über Netzverbindungen zu garantieren, die die maximale Größe eines IP-Datagramms nicht transportieren können.

Im Feld TTL wird die Lebenszeit, Time To Live, eines Datagramms verwaltet. Es dient zur Vorbeugung, dass ein Datagramm im Netz nicht ,“ewig herumirrt“. Beim Verschicken des Datagramms wird durch den Sender eine Zahl in dieses Feld eingesetzt, die die Lebenszeit dieses Datagramms in Sekunden repräsentieren soll. Da aber ein anderer Host nicht weiß, wann dieses Datagramm erzeugt wurde und im Header auch keine Information über die Erzeugung vorhanden ist, repräsentiert diese Zahl in der Praxis etwas anderes. Sie gibt an, wieviele Router dieses Datagramm passieren darf, um den Empfänger zu erreichen. Dazu ist es notwendig, dass jeder benutzte Router den Wert dieses Feld um 1 erniedrigt. Ist irgendwann einmal der Wert des Feldes TTL gleich Null, dann wird es von dem Router, der es gerade bearbeitet, verworfen, und er sendet eine Fehlermeldung zurück an den Sender.

Das Feld Protocol wird von IP benutzt, um auf der Seite des Senders das Protokoll zu vermerken, welches die Dienste von IP in Anspruch nimmt. Auf der Seite des Empfängers dient es IP dazu, das Datagramm genau an dieses Protokoll zur weiteren Bearbeitung weiterzuleiten.

Das Feld Header Checksum beinhaltet eine Prüfsumme. Sie dient zum Erkennen von Verfälschungen bei der Übertragung des Datagramms. Allerdings wird sie nur über die Daten des IP-Headers selbst gebildet. Die zu transportierenden Daten werden nicht berücksichtigt. Soll über diesen Daten auch eine Prüfsumme zur Fehlererkennung gebildet werden, muß das ein anderes Protokoll oder die Anwendung selbst übernehmen, die die Dienste von IP in Anspruch nimmt. Die Überprüfung ist einfach zu vollziehen. Der das Datagramm bearbeitende Host, das kann auch ein Router sein, extrahiert den Wert aus dem Feld Header Checksum des Datagramms und berechnet diesen neu. Gleichen sich die beiden Werte nicht, wird IP dieses Datagramm verwerfen und eine Fehlermeldung an den Sender schicken. Ansonsten wird das Datagramm an den Empfänger zugestellt. Der Algorithmus zur Erstellung dieser Prüfsumme ist recht simpel. Der Wert dieser Prüfsumme stellt das Einerkomplement der Einerkomplementsumme des Headers dar. Dabei werden die Daten in Einheiten von 16 Bit zerteilt und addiert. Zur Berechnung wird der Header vollständig ausgefüllt. Das Feld Header Checksum wird vor der Berechnung mit Null initialisiert. Als Eingabe des Algorithmus bei einem Standard-Header dienen dann diese so vorbereiteten 20 Byte = 10 Worte. Das ermittelte Ergebnis wird zuletzt in das Feld Header Checksum übertragen. Der Grund, nur über den IP-Header eine Prüfsumme zu bilden, liegt darin begründet, dass diese Berechnung auf jedem Router durchgeführt werden muß. Dieses Verfahren stellt gegenüber der Berechnung über alle Daten eine erhebliche Beschleunigung der Vermittlung dar.

Zur Adressierung des Datagramms werden unbedingt die zwei Felder Source IP Address (Quell-Adresse) und Destination IP Address (Ziel-Adresse) benötigt. Die Ziel-Adresse dient zur Adressierung des Empfängers. Das Eintragen einer Quell-Adresse wird einmal zur etwaigen Erzeugung von Fehlermeldungen benötigt und außerdem dient sie dem Empfänger zur Identifizierung des Senders.

Im Feld Data können alle möglichen Nutzdaten transportiert werden.

Die Felder IP Options und Padding hängen direkt miteinander zusammen. Da der IP-Header immer Vielfache von Doppel-Worten enthalten muß, die Optionen aber verschieden lang sein können, wird das Padding zur Auffüllung genutzt, um wieder ein volles Doppel-Wort zu erhalten. Wird durch IP festgestellt, dass der Wert im Feld HLen größer als 5 ist, muß der Header Optionen enthalten. An Hand dieser Header-Länge ist auch ersichtlich, wo die Optionen enden und von wo ab eventuell Daten im Datagramm enthalten sind. Die Bedeutung der Optionen werden u.a. im RFC 791 beschrieben.

Abbildung: Das Feld TOS des IP-Headers

$\begin{figure} \begin{center} \leavevmode\epsfbox{pictures/ip-tos.ps}\end{center}\end{figure}$

Die Abbildung zeigt den Aufbau des Feld TOS. Die drei Bits des Feldes Precedence kennzeichnen die Art des Datagramms. Sie können einen Wert zwischen 0 und 7 annehmen. Der Wert 0 wird bei einem Datagramm eingesetzt, welches normale Nutzdaten transportiert. Der Wert 7 wird für Datagramme zur Netzwerk-Steuerung verwendet. Näheres dazu ist im RFC 791 zu erfahren. Die Felder D, T und R legen fest, welcher Qualität die Art der Übertragung des Datagramms sein soll. Feld D macht dabei eine Aussage über die Schnelligkeit, Feld T über den Durchsatz und Feld R über die Verfügbarkeit der Übertragung. Setzt z.B. ein Sender das Bit in Feld D in einem Datagramm, verlangt er, dass dieses so schnell wie möglich an den Empfänger übermittelt wird.

Der Header muß grundsätzlich in der Netzwerk-Byte-Ordnung (network byte order) verschickt werden. Diese Ordnung wird auch Big Endian genannt.

5.9 IP-Rechner:

Auf den folgenden Seiten finden Sie IP-Adressrechner zum Download, aber auch Rechner, die Sie online einsetzen können:

http://www.chinet.com/html/ip.html

http://www.tmp-houston.com/subcalc.htm

http://jodies.de/ipcalc

http://www.telusplanet.net/public/sparkman/netcalc.htm

http://www.wildpackets.com/products/ipsubnetcalculator

http://www.novell.com/coolsolutions/tools/1466.html

5.10 IPv6

Quelle: www.ipv6-net.de

Man arbeitet bereits seit längerer Zeit an einem neuen Standard (Version 6 des Internet Protokolls, IPv6 oder IPng für „next generation“), der statt einer Adresslänge von 32 bit eine Länge von 128 bit haben soll. Um die Kompatibilität zu gewährleisten, wird die IPv4-Adresse in der neuen Adresse "enthalten sein".

Windows Server 2003 unterstützt bereits IPv6.

IPv6 verwendet zur Darstellung seiner IP-Adressen das Hexadezimalsystem in einer Adresslänge von 128 Bit. Eine solche IPv6-Adresse könnte beispielsweise so aussehen: 3ffe:400:89AB:381C:7716:AA91:0000:0001

Um eine IPv6-Adresse wie die angegebene verkürzt darzustellen, kann man auf die Nullen in einer Gruppe verzichten:

3ffe:400:89AB:381C:7716:AA91::1.

Ein weiterer Vorteil von IPv6 ist die, gegenüber IPv4 stark vereinfachte Headerstruktur, die eine merkbar schnellere Bearbeitung am den Router ermöglicht.

Aufbau des IPv6-Header:

<----------------- Bits ---------------------->

1 1 2 2 2 3

0 | 4 | 8 | 2 | 6 | 0 | 4 | 8 | 1

----------------------------------------------

1 | Version | Class | Flow-Label |

----------------------------------------------

2 | Payload Lenght | Next |Hop-Limit|

----------------------------------------------

3 | Source Address |

4 | |

----------------------------------------------

5 | Destination Address |

6 | |

----------------------------------------------

Version (4 Bits):

Enthält immer den Wert '6' bei IPv6. Dieses Feld dient der Software zur Unterscheidung verschiedener IP-Versionen.

Class (8 Bits):

Gibt die Priorität der zu übermittelnden Daten an.

Flow-Label (20 Bits):

Dieses Feld kennzeichnet einen Datenstrom zwischen Sender und Empfänger. Alle Pakete die zu einem bestimmten Datenstrom gehören, tragen in diesem Feld den gleichen Wert.

Payload Length (16 Bits):

Hier wird die Länge des Datenpakets (nach dem ersten Header) angegeben.

Next (8 Bits):

Gibt den Typ des nächsten Headers an. Der Wert '59' signalisiert, dass keine weiteren Header bzw. Daten folgen.

Hop-Limit (8 Bits):

Legt fest, nach wie vielen Durchgängen das Paket vom Router, zur Vermeidung von Schleifen, verworfen werden soll.

Source Address (128 Bits):

Beinhaltet die Absenderadresse.

Destination Address (128 Bits):

Beinhaltet die Empfängeradresse.

Im Moment unterstützen besonders europäische und asiatische Institutionen und Firmen die Entwicklung und Verbreitung von IPv6. Das ist wohl mit der Tatsache, dass etwa 75% des IPv4-Adressraums den USA zugeteilt wurde, zu erklären. Im Moment unterstützen zwar nur wenige Dienste das Internet Protokoll der Zukunft, aber gerade bei der Entwicklung neuer Dienste in diesem Bereich wird es in den nächsten Jahren einen enormen Zuwachs geben.

5.11 ARP (Address Resolution Protocol)

Das Address Resolution Protocol (ARP) arbeitet auf der Schicht 2, der Sicherungsschicht, des OSI-Schichtenmodells und setzt IP-Adressen in Hardware- und MAC-Adressen um. Alle Netzwerktypen und -topologien benutzen Hardware-Adressen um die Datenpakete zu adressieren. Damit nun ein IP-Paket an sein Ziel findet, muss die Hardware-Adresse des Ziels bekannt sein.

Jede Netzwerkkarte besitzt eine einzigartige und eindeutige Hardware-Adresse, die fest auf der Karte eingebrannt ist und meist nicht änderbar ist, die Media Access Control-Adresse oder kurz MAC-Adresse. In Ethernet-Netzwerken ist diese Adresse meist eine 48 bit-Binärzahl, die als 6 hexadezimal angegebenen Bytes angeschrieben wird.

Bevor nun ein Datenpaket verschickt werden kann, muss durch ARP eine Adressauflösung erfolgen. Dazu benötigt ARP Zugriff auf IP-Adresse und Hardware-Adresse. Um an die Hardware-Adresse einer anderen Station zu kommen verschickt ARP z. B. einen Ethernet-Frame als Broadcast-Meldung mit der MAC-Adresse "FF FF FF FF FF FF". Diese Meldung wird von jedem Netzwerkinterface entgegengenommen und ausgewertet. Der Ethernet-Frame enthält die IP-Adresse der gesuchten Station. Fühlt sich eine Station mit dieser IP-Adresse angesprochen, schickt sie eine ARP-Antwort an den Sender zurück. Die gemeldete MAC-Adresse wird dann im lokalen ARP-Cache des Senders gespeichert. Dieser Cache dient zur schnelleren ARP-Adressauflösung.

Ablauf einer ARP-Adressauflösung:

Eine ARP-Auflösung unterscheidet zwischen lokalen IP-Adressen und IP-Adressen in einem anderen Subnetz. Als erstes wird anhand der Subnetzmaske festgestellt, ob sich die IP-Adresse im gleichen Subnetz befindet. Ist das der Fall, wird im ARP-Cache geprüft, ob bereits eine MAC-Adresse für die IP-Adresse hinterlegt ist. Wenn ja, dann wird die MAC-Adresse zur Adressierung verwendet. Wenn nicht, setzt ARP eine Anfrage mit der IP-Adresse nach der Hardware-Adresse in das Netzwerk. Diese Anfrage wird von allen Stationen im selben Subnetz entgegengenommen und ausgewertet. Die Stationen vergleichen die gesendete IP-Adresse mit ihrer eigenen. Wenn sie nicht übereinstimmt, wird die Anfrage verworfen. Wenn die IP-Adresse übereinstimmt schickt die betreffende Station eine ARP-Antwort direkt an den Sender der ARP-Anfrage. Dieser Speichert die Hardware-Adresse in seinem Cache. Da bei beiden Stationen die Hardware-Adresse bekannt sind, können sie nun miteinander Daten austauschen.

Befindet sich eine IP-Adresse nicht im gleichen Subnetz, geht ARP über das Standard-Gateway. Findet ARP die Hardware-Adresse des Standard-Gateways im Cache nicht, wird eine lokale ARP-Adressauflösung ausgelöst. Ist die Hardware-Adresse des Standard-Gateways bekannt, schickt der Sender bereits sein erstes Datenpaket an die Ziel-Station. Der Router (Standard-Gateway) nimmt das Datenpaket in Empfang und untersucht den IP-Header. Der Router überprüft, ob sich die Ziel-IP-Adresse in einem angeschlossenen Subnetz befindet. Wenn ja, ermittelt er anhand der lokalen ARP-Adressauflösung die MAC-Adresse der Ziel-Station. Anschließend leitet er das Datenpaket weiter. Ist das Ziel in einem entfernten Subnetz, überprüft der Router seine Routing-Tabelle, ob ein Weg zum Ziel bekannt ist. Ist das nicht der Fall steht dem Router auch ein Standard-Gateway zu Verfügung. Der Router führt für sein Standard-Gateway eine ARP-Adressauflösung durch und leitet das Datenpaket an dieses weiter.

Die vorangegangenen Schritte weiderholen sich dann so oft, bis das Datenpaket sein Zeil erreicht oder das IP-Header-Feld TTL auf den Wert 0 springt. Dann wird das Datenpaket vom Netz genommen.

Erreicht dann irgendwann das Datenpaket doch sein Ziel, schreibt die betreffende Station seine Rückantwort in ein ICMP-Paket an den Sender. In dieser Antwort wird falls möglich ein Gateway vermerkt, über das die beiden Stationen miteinander kommunizieren. So werden weitere ARP-Adressauflösungen und dadurch Broadcasts vermieden.

ARP-Cache:

Anzeigen des ARP-Caches unter Windows 2000/XP/2003:

C:\>arp -a

Schnittstelle: 192.168.168.11 --- 0x2

Internetadresse Physikal. Adresse Typ

192.168.168.8 00-30-ab-0e-d3-6a dynamisch

Durch den ARP-Cache wird vermieden, dass bei jedem Datenpaket an das selbe Ziel wieder und immer wieder ein ARP-Broadcast ausgelöst wird. Häufig benutzte Hardware-Adressen sind im ARP-Cache gespeichert. Die Einträge im ARP-Cache können statisch oder dynamisch sein. Statische Einträge können manuell hinzugefügt und gelöscht werden. Dynamische Einträge werden durch die ARP-Adressauflösung erzeugt.

Jeder dynamische Eintrag bekommt einen Zeitstempel. Ist er nach zwei Minuten nicht mehr abgerufen worden, wird der Eintrag gelöscht. Wird eine Adresse auch nach zwei Minuten noch benutzt, wird der Eintrag erst nach zehn Minuten gelöscht. Ist der ARP-Cache für neue Einträge zu klein, werden alte Einträge entfernt.

Wird die Hardware neu gestartet oder ausgeschaltet, wird der ARP-Cache gelöscht. Es gehen dabei auch die statischen Einträge verloren.

Fehler und Probleme mit ARP: Grundsätzlich gibt es keine Probleme oder Fehler mit ARP, solange keine statischen Einträge im ARP-Cache vorgenommen werden oder Hardware-Adressen von Netzwerkkarten verändert werden.

ARP läuft für den Benutzer ganz im Verborgenen.

Den umgekehrten Weg, MAC-Adresse bekannt, IP-Adresse gesucht, definiert RARP (Reverse Adress Resolution Protocol).

6 Das Transfer/Transmission Control Protocol (TCP)

Das TCP ist ein verbindungsorientiertes Protokoll; es bildet die Verbindung zwischen IP und Anwendung.

Aufgaben:

garantiert den sicheren Transport von Daten im Netz
gewährleistet, dass kein Datenpaket verlorengeht und dass alle Pakete in der richtigen Reihenfolge ankommen

Merkmale:

vollduplex, bidirektionale (virtuelle) Verbindung
Benutzer sieht Datenstrom, keine Pakete
Zuordnung der Pakete zur entsprechenden Anwendung
geregelter Verbindungsauf-/abbau

Der TCP-Header: Natürlich fügt auch das TCP-Protokoll spezielle Daten hinzu – wieder in Form eines Headers – der wie folgt aufgebaut ist:

· Sender/Empfänger-Port (je 16 B): Endpunkte der Verbindung

· Sequ./Quitt.nummer (32 B): Synchronisation der Daten

· Datenabstand (4 B): Länge des Headers in 32 B

· Flags (6 B): Aktionen (Aufbau, Ende, ...)

· Fenstergröße (16 B): Größe des verfügbaren Empfängerbuffers (bei 0 Stop des Senders)

· Prüfsumme (16 B): Korrektheit des Headers

· Urgent-Zeiger (16 B): zur Verarbeitung von wichtigen Daten

· Optionen (24 B), Füllzeichen (6 B)

Ports:

Auf TCP/IP basieren viele verschiedene Dienste wie FTP, Mail, News, DNS, etc. Um nun diese Dienste innerhalb der Protokollfamilie TCP/IP voneinander abzugrenzen, werden diese Dienste den sogenannten Ports zugewiesen. Ein Port ist nichts anderes als eine zusätzliche Kennung, die durch das TCP-Protokoll übertragen wird. Derzeit sind rund 65.536 Ports definiert, welche sich auf verschiedene Bereiche aufteilen.

Well known Ports:	0	-	1023	festgelegt in RFC 1340 (Request for Comment, „Bitte um Kommentar“, de facto eine „Internet-Norm“)
Registered Ports:	1024	-	49151
Dynamic and/or private Ports:	49152	-	65535

Im Verzeichnis C:\Winnt\System32\etc (Linux: /etc) befindet sich eine Datei mit dem Namen SERVICES, in der die Portnummern für bekannte Dienste gemäß IANA abgelegt sind:

# Copyright (c) 1993-1999 Microsoft Corp.

# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.

# Format:

# <Dienstname>  <Portnummer>/<Protokoll>  [Alias...]   [#<Kommentar>]

echo                7/tcp

echo                7/udp

discard             9/tcp    sink null

discard             9/udp    sink null

systat             11/tcp    users                  #Active users

systat             11/tcp    users                  #Active users

daytime            13/tcp

daytime            13/udp

qotd               17/tcp    quote                  #Quote of the day

qotd               17/udp    quote                  #Quote of the day

chargen            19/tcp    ttytst source          #Character generator

chargen            19/udp    ttytst source          #Character generator

ftp-data           20/tcp                           #FTP, data

ftp                21/tcp                           #FTP. control

telnet             23/tcp

smtp               25/tcp    mail                   #Simple Mail Transfer Protocol

time               37/tcp    timserver

time               37/udp    timserver

rlp                39/udp    resource               #Resource Location Protocol

nameserver         42/tcp    name                   #Host Name Server

nameserver         42/udp    name                   #Host Name Server

nicname            43/tcp    whois

domain             53/tcp                           #Domain Name Server

domain             53/udp                           #Domain Name Server

bootps             67/udp    dhcps                  #Bootstrap Protocol Server

bootpc             68/udp    dhcpc                  #Bootstrap Protocol Client

tftp               69/udp                           #Trivial File Transfer

gopher             70/tcp

finger             79/tcp

http               80/tcp    www www-http           #World Wide Web

kerberos           88/tcp    krb5 kerberos-sec      #Kerberos

kerberos           88/udp    krb5 kerberos-sec      #Kerberos

hostname          101/tcp    hostnames              #NIC Host Name Server

iso-tsap          102/tcp                           #ISO-TSAP Class 0

rtelnet           107/tcp                           #Remote Telnet Service

pop2              109/tcp    postoffice             #Post Office Protocol - Version 2

pop3              110/tcp                           #Post Office Protocol - Version 3

sunrpc            111/tcp    rpcbind portmap        #SUN Remote Procedure Call

sunrpc            111/udp    rpcbind portmap        #SUN Remote Procedure Call

auth              113/tcp    ident tap              #Identification Protocol

uucp-path         117/tcp

nntp              119/tcp    usenet                 #Network News Transfer Protocol

ntp               123/udp                           #Network Time Protocol

epmap             135/tcp    loc-srv                #DCE endpoint resolution

epmap             135/udp    loc-srv                #DCE endpoint resolution

netbios-ns        137/tcp    nbname                 #NETBIOS Name Service

netbios-ns        137/udp    nbname                 #NETBIOS Name Service

netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service

netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service

imap              143/tcp    imap4                  #Internet Message Access Protocol

pcmail-srv        158/tcp                           #PCMail Server

snmp              161/udp                           #SNMP

snmptrap          162/udp    snmp-trap              #SNMP trap

print-srv         170/tcp                           #Network PostScript

bgp               179/tcp                           #Border Gateway Protocol

irc               194/tcp                           #Internet Relay Chat Protocol

ipx               213/udp                           #IPX over IP

ldap              389/tcp                           #Lightweight Directory Access Protocol

https             443/tcp    MCom

https             443/udp    MCom

microsoft-ds      445/tcp

microsoft-ds      445/udp

kpasswd           464/tcp                           # Kerberos (v5)

kpasswd           464/udp                           # Kerberos (v5)

isakmp            500/udp    ike                    #Internet Key Exchange

exec              512/tcp                           #Remote Process Execution

biff              512/udp    comsat

login             513/tcp                           #Remote Login

who               513/udp    whod

cmd               514/tcp    shell

syslog            514/udp

printer           515/tcp    spooler

talk              517/udp

ntalk             518/udp

efs               520/tcp                           #Extended File Name Server

router            520/udp    route routed

timed             525/udp    timeserver

tempo             526/tcp    newdate

courier           530/tcp    rpc

conference        531/tcp    chat

netnews           532/tcp    readnews

netwall           533/udp                           #For emergency broadcasts

uucp              540/tcp    uucpd

klogin            543/tcp                           #Kerberos login

kshell            544/tcp    krcmd                  #Kerberos remote shell

new-rwho          550/udp    new-who

remotefs          556/tcp    rfs rfs_server

rmonitor          560/udp    rmonitord

monitor           561/udp

ldaps             636/tcp    sldap                  #LDAP over TLS/SSL

doom              666/tcp                           #Doom Id Software

doom              666/udp                           #Doom Id Software

kerberos-adm      749/tcp                           #Kerberos administration

kerberos-adm      749/udp                           #Kerberos administration

kerberos-iv       750/udp                           #Kerberos version IV

kpop             1109/tcp                           #Kerberos POP

phone            1167/udp                           #Conference calling

ms-sql-s         1433/tcp                           #Microsoft-SQL-Server

ms-sql-s         1433/udp                           #Microsoft-SQL-Server

ms-sql-m         1434/tcp                           #Microsoft-SQL-Monitor

ms-sql-m         1434/udp                           #Microsoft-SQL-Monitor

wins             1512/tcp                           #Microsoft Windows Internet Name Service

wins             1512/udp                           #Microsoft Windows Internet Name Service

ingreslock       1524/tcp    ingres

l2tp             1701/udp                           #Layer Two Tunneling Protocol

pptp             1723/tcp                           #Point-to-point tunnelling protocol

radius           1812/udp                           #RADIUS authentication protocol

radacct          1813/udp                           #RADIUS accounting protocol

nfsd             2049/udp    nfs                    #NFS server

knetd            2053/tcp                           #Kerberos de-multiplexor

man              9535/tcp                           #Remote Man Server

Wenn nötig, ist die Portnummer auch anzugeben (mit einem Doppelpunkt nach der eigentlichen Adresse). Ein Beispiel ist der bekannte Ö3-Chat:

Die Syntax in der URL-Zeile lautet allgemein:

Servertyp://servername.domain.tld:portnumber

Die IP-Adresse gemeinsam mit der Portnummer (diese Kombination wird auch als „Socket“ bezeichnet) gestattet die eindeutige Identifikation eines Dienstes, der auf einem PC läuft. So hätte also der WWW-Dienst auf einem Server mit der IP 203.225.56.204 mit der TCP-Anschlussnummer 80 die komplette Identifikation 203.225.56.204:80.

Die genaue Kenntnis der TCP-Ports ist vor allem auch wichtig, um die Sicherheit eines Netzwerkes zu gewährleisten. Mit sogenannten „Port-Scannern“ ist es leicht möglich, herauszufinden, welche TCP-Ports auf einem Rechner oder Router freigegeben sind. Dies wiederum ermöglicht Hackern den unerwünschten Zugriff auf Firmennetze.

Beispiel für einen Port-Scanner: „Superscan“

Download von Superscan zum Beispiel unter http://www.foundstone.com/

7 TCP/IP-Diagnose- und Konfigurationsprogramme

7.1 ping ("Packet Internet Groper"):

Versucht, vier IP-Pakete an einen Host-Rechner zu senden. Zweck: Überprüfung der Funktionsfähigkeit von Netzwerkverbindungen. Die PING-Anforderung wird vom ICMP (Internet Control Message Protocol) durchgeführt.

Der Befehl ping arbeitet wie folgt:

Die Netzwerkverbindungen zu einem oder mehreren Remotecomputern werden überprüft, indem ICMP-Echopakete an den Host gesendet und Echo-Antwortpakete als Antwort erwartet werden.
Nach dem Senden jedes Pakets wird eine Sekunde gewartet.
Die Anzahl der empfangenen und übertragenen Pakete wird ausgegeben.
Jedes empfangene Paket wird mit der übertragenen Nachricht verglichen. Standardmäßig werden vier Echopakete mit je 32 Byte Daten (eine sich wiederholende Großbuchstabenfolge) übertragen.

Mit ping können Sie den Computernamen und die IP-Adresse des Computers überprüfen. Wenn die IP-Adresse bestätigt wird, nicht aber der Computername, besteht u. U. ein Namenauflösungsproblem. Prüfen Sie in diesem Fall, ob sich der abgefragte Hostname in der lokalen Hostsdatei oder in der DNS-Datenbank befindet.

Syntax: ping [-t] [-a] [-n Anzahl] [-l Größe] [-f] [-i Gültigkeitsdauer]

[-v Diensttyp] [-r Anzahl] [-s Anzahl] [[-j Hostliste] |

[-k Hostliste]] [-w Zeitlimit] Zielliste

Optionen:

-t Sendet fortlaufend Ping-Signale zum angegebenen Host.

Geben Sie STRG-UNTRBR ein, um die Statistik anzuzeigen.

Geben Sie STRG-C ein, um den Vorgang abzubrechen.

-a Löst Adressen in Hostnamen auf.

-n n Anzahl Anzahl zu sendender Echoanforderungen

-l Länge Pufferlänge senden

-f Setzt Flag für "Don't Fragment".

-i TTL Gültigkeitsdauer (Time To Live)

-v TOS Diensttyp (Type Of Service)

-r Anzahl Route für Anzahl der Abschnitte aufzeichnen

-s Anzahl Zeiteintrag für Anzahl Abschnitte

-j Hostliste "Loose Source Route" gemäß Hostliste

-k Hostliste "Strict Source Route" gemäß Hostliste

-w Zeitlimit Zeitlimit in Millisekunden für eine Rückmeldung

Beispiel:

C:\>ping www.aon.at

Ping WS01IS07.highway.telekom.at [195.3.96.73] mit 32 Bytes Daten:

Antwort von 195.3.96.73: Bytes=32 Zeit=30ms TTL=248

Antwort von 195.3.96.73: Bytes=32 Zeit=20ms TTL=248

Antwort von 195.3.96.73: Bytes=32 Zeit=30ms TTL=248

Ping-Statistik für 195.3.96.73:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 20ms, Maximum = 30ms, Mittelwert = 25ms

7.2 ipconfig

Gibt Informationen über die Windows IP-Konfiguration aus.

Syntax:

ipconfig [/? | /all | /release [Adapter] | /renew [Adapter]

| /flushdns | /registerdns

| /showclassid Adapter

| /setclassid Adapter [Klassenkennung] ]

Adapter Ganzer Name oder Zeichen mit "*" und "?", wobei

"*" für beliebig viele und "?" für ein Zeichen steht.

Optionen

/? Zeigt diesen Hilfetext an.

/all Zeigt die vollständigen Konfigurationsinformationen an.

/release Gibt die IP-Adresse für den angegebenen Adapter frei.

/renew Erneuert die IP-Adresse für den angegebenen Adapter.

/flushdns Leert den DNS-Auflösungscache.

/registerdns Aktualisiert alle DHCP-Leases und registriert DNS-Namen.

/displaydns Zeigt den Inhalt des DNS-Auflösungscaches an.

/showclassid Zeigt alle DHCP-Klassenkennungen an, die für diesen Adapter

zugelassen sind.

/setclassid Ändert die DHCP-Klassenkennung.

Standardmäßig wird nur die IP-Adresse, die Subnetzmaske und das Standard-

gateway für jeden an TCP/IP gebundenen Adapter angezeigt.

Wird bei /RELEASE oder /RENEW kein Adaptername angegeben, so werden

die IP-Adressen von allen an TCP/IP gebundenen Adapter freigegeben

oder erneuert.

Wird bei /SETCLASSID keine Klassenkennung angegeben, dann wird die Klassen-

kennung gelöscht.

Beispiele:

> ipconfig ... Zeigt Informationen an.

> ipconfig /all ... Zeigt detaillierte Informationen an.

> ipconfig /renew ... Erneuert IP-Adressen für alle

Adapter.

> ipconfig /renew EL* ... Erneuert IP-Adressen für Adapter

mit Namen EL....

> ipconfig /release *ELINK?21*... Gibt alle entsprechenden Adapter

frei, z.B. ELINK-21, ELINKi21karte usw.

Beispiel 1: Ausgabe ohne Parameter /all

C:\>ipconfig

Windows 2000-IP-Konfiguration

Ethernetadapter "LAN-Verbindung":

Verbindungsspezifisches DNS-Suffix:

IP-Adresse. . . . . . . . . . . . : 172.16.200.210

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 172.16.200.1

Beispiel 2: Ausgabe mit Parameter /all

Windows XP-IP-Konfiguration

Hostname. . . . . . . . . . . . . : zahler1

Primäres DNS-Suffix . . . . . . . : zahler.at

Knotentyp . . . . . . . . . . . . : Broadcastadapter

IP-Routing aktiviert. . . . . . . : Ja

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : zahler.at

Ethernetadapter "LAN-Verbindung":

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC

(3C905B-TX)

Physikalische Adresse . . . . . . : 00-50-04-81-70-9C

DHCP-aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 213.225.58.236

Subnetzmaske. . . . . . . . . . . : 255.255.255.248

Standardgateway . . . . . . . . . : 213.225.58.233

DNS-Server. . . . . . . . . . . . : 213.225.58.235

Ethernetadapter "LAN-Verbindung 2":

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : AVM FRITZ!web PPP over ISDN

Physikalische Adresse . . . . . . : 00-07-77-64-09-32

DHCP-aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.120.254

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server. . . . . . . . . . . . : 192.168.120.252

192.168.120.253

7.3 winipcfg

Dieses Programm stellt eine grafische Variante von IPCONFIG dar und ist in folgenden Windows-Versionen enthalten:

Windows 95
Windows 98
Windows ME

Am besten über [Start] – [Ausführen] aufrufen.

7.4 tracert

Dieses Diagnosedienstprogramm ermittelt die Route zu einem Ziel, indem es ICMP-Echopakete (Internet Control Message Protocol) mit unterschiedlichen TTL-Werten (Time-To-Live) sendet. Von jedem Router auf dem Pfad wird erwartet, dass er den TTL-Wert für ein Paket vor dem Weiterleiten um mindestens 1 verkleinert; so dass der TTL-Wert die Anzahl der Abschnitte angibt. Wenn der TTL-Zähler für ein Paket den Wert Null erreicht, sendet der Router eine "ICMP-Zeitüberschreitung"-Nachricht zur Quelle zurück. Tracert ermittelt die Route, indem es das erste Echopaket mit dem TTL-Wert 1 sendet und den TTL-Wert bei jeder folgenden Übertragung um Eins erhöht, bis das Ziel antwortet oder der TTL-Höchstwert erreicht ist. Die Route wird durch Prüfen der "ICMP-Zeitüberschreitung"-Nachrichten ermittelt, die von den dazwischenliegenden Routern zurückgesendet werden. Einige Router verwerfen jedoch Pakete mit abgelaufenen TTL-Werten ohne Warnung und sind nicht sichtbar für tracert.

Syntax: tracert [-d] [-h Abschnitte max] [-j Hostliste] [-w Zeitlimit]

Zielname

Optionen:

-d Adressen nicht in Hostnamen auflösen

-h Abschnitte max Max. Anzahl an Abschnitten bei Zielsuche

-j Hostliste "Loose Source Route" gemäß Hostliste

-w Zeitlimit Zeitlimit in Millisekunden für eine Antwort

Beispiel:

C:\>tracert www.wienerwald.org

Routenverfolgung zu www.wienerwald.org [216.218.196.178] über maximal 30 Abschn

itte:

1 <10 ms 10 ms <10 ms 172.16.200.1

2 <10 ms 10 ms <10 ms vianet-stpolten-gw01.via.at [194.96.211.18]

3 <10 ms 10 ms 10 ms vianet-stpolten-gw00.via.at [194.96.211.17]

4 10 ms 20 ms 20 ms vianet-head-gw04.via.at [194.96.210.5]

5 70 ms 30 ms 31 ms vianet-vix-gw01-s1-0.via.at [194.96.160.2]

6 50 ms 30 ms 50 ms vix.above.net [193.203.0.45]

7 320 ms 100 ms 90 ms core1-vix-stm-1.vie.above.net [208.184.102.49]

8 40 ms 40 ms 60 ms fra-vie-stm1-1.fra.above.net [208.184.102.130]

9 60 ms 90 ms 60 ms lhr-fra-stm-1.lhr.above.net [208.184.102.134]

10 50 ms 70 ms 110 ms core1-linx-oc3-1.lhr.above.net [216.200.254.81]

11 130 ms 130 ms 140 ms iad-lhr-stm4.iad.above.net [216.200.254.77]

12 210 ms 230 ms 221 ms mae-west-iad-oc3.above.net [216.200.0.69]

13 220 ms 231 ms 230 ms mae-west-core1-oc3-1.maew.above.net [209.133.31.

178]

14 361 ms 230 ms 220 ms 100tx-f6-1.mae-west.he.net [207.126.96.98]

15 210 ms 231 ms 220 ms gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

16 221 ms 230 ms 220 ms launch.server101.com [216.218.196.178]

Ablaufverfolgung beendet.

7.5 pathping

Kombination der Befehle PING und TRACERT; steht nur in Windows-Betriebssystemen ab Windows 2000 zur Verfügung.

Ein Tool zum Verfolgen von Routen, das neben Features der Befehle ping und tracert weitere Informationen bietet, die durch diese Befehle nicht zur Verfügung gestellt werden. Der Befehl pathping sendet über einen gewissen Zeitraum Datenpakete an jeden Router auf dem Pfad zu einem Ziel. Anhand der von jedem Abschnitt zurückübermittelten Datenpakete werden dann bestimmte Statistiken berechnet. Da der Befehl pathping den Paketverlust bei jedem Router und jeder Verbindung anzeigt, können Sie feststellen, welche Router oder Verbindungen Netzwerkprobleme verursachen.

Beispiel:

Microsoft Windows 2000 [Version 5.00.2195]

C:\>pathping www.wienerwald.org

Routenverfolgung zu www.wienerwald.org [216.218.210.195]

über maximal 30 Abschnitte:

0 zahler1.zahler.intern [212.152.140.14]

1 c58wmichu2-lo1.net.uta.at [212.152.140.1]

2 c72wmich10-f0-0.net.uta.at [212.152.150.2]

3 c120wmich1-g0-0.net.uta.at [62.218.1.93]

4 c76wrdh2-g2-2.net.uta.at [212.152.192.14]

5 uta0001-p116-sw1.vie1-p7.2-bgp2.abovenet.at [212.69.161.4]

6 so-2-3-0.cr1.vie2.at.mfnx.net [208.184.231.93]

7 so-7-0-2.cr1.lhr3.uk.mfnx.net [208.184.231.37]

8 so-7-0-0.cr1.dca2.us.mfnx.net [64.125.31.186]

9 so-3-0-0.mpr3.sjc2.us.mfnx.net [208.184.233.133]

10 pos5-0.mpr1.pao1.us.mfnx.net [208.184.233.142]

11 209.249.24.136.he.net [209.249.24.136]

12 gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

13 fe0-0-bordercore0.SJC.server101.com [216.218.132.34]

14 .scorpion.server101.com [216.218.210.195]

Berechnung der Statistiken dauert ca. 350 Sekunden...

Quelle zum Abs. Knoten/Verbindung

Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse

0 zahler1.zahler.intern [212.152.140.14] 0/ 100 = 0% |

1 47ms 0/ 100 = 0% 0/ 100 = 0% c58wmichu2-lo1.net.uta.at [212.152.140.1] 0/ 100 = 0% |

2 45ms 0/ 100 = 0% 0/ 100 = 0% c72wmich10-f0-0.net.uta.at [212.152.150.2] 0/ 100 = 0% |

3 45ms 0/ 100 = 0% 0/ 100 = 0% c120wmich1-g0-0.net.uta.at [62.218.1.93] 0/ 100 = 0% |

4 48ms 0/ 100 = 0% 0/ 100 = 0% c76wrdh2-g2-2.net.uta.at [212.152.192.14] 0/ 100 = 0% |

5 47ms 0/ 100 = 0% 0/ 100 = 0% uta0001-p116-sw1.vie1-p7.2-bgp2.abovenet.at [212.69.161.4] 0/ 100 = 0% |

6 48ms 0/ 100 = 0% 0/ 100 = 0% so-2-3-0.cr1.vie2.at.mfnx.net [208.184.231.93]

0/ 100 = 0% |

7 135ms 0/ 100 = 0% 0/ 100 = 0% so-7-0-2.cr1.lhr3.uk.mfnx.net [208.184.231.37]

0/ 100 = 0% |

8 206ms 1/ 100 = 1% 1/ 100 = 1% so-7-0-0.cr1.dca2.us.mfnx.net [64.125.31.186]

0/ 100 = 0% |

9 275ms 0/ 100 = 0% 0/ 100 = 0% so-3-0-0.mpr3.sjc2.us.mfnx.net [208.184.233.133]

1/ 100 = 1% |

10 270ms 3/ 100 = 3% 2/ 100 = 2% pos5-0.mpr1.pao1.us.mfnx.net [208.184.233.142]

0/ 100 = 0% |

11 219ms 1/ 100 = 1% 0/ 100 = 0% 209.249.24.136.he.net [209.249.24.136]

1/ 100 = 1% |

12 219ms 2/ 100 = 2% 0/ 100 = 0% gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

1/ 100 = 1% |

13 220ms 3/ 100 = 3% 0/ 100 = 0% fe0-0-bordercore0.SJC.server101.com [216.218.132.34] 0/ 100 = 0% |

14 220ms 3/ 100 = 3% 0/ 100 = 0% scorpion.server101.com [216.218.210.195]

Ablaufverfolgung beendet.

7.6 arp:

Ändert und zeigt die Übersetzungstabellen für IP-Adressen/physische Adressen an, die vom ARP (Address Resolution Protocol) verwendet werden.

Parameter:

ARP -s IP_Adr Eth_Adr [Schnittst]

ARP -d IP_Adr [Schnittst]

ARP -a [IP_Adr] [-N Schnittst]

-a Zeigt aktuelle ARP-Einträge durch Abfrage der Protokoll-

daten an. Falls IP_Adr angegeben wurde, werden die IP- und

physische Adresse für den angegebenen Computer angezeigt.

Wenn mehr als eine Netzwerkschnittstelle ARP verwendet,

werden die Einträge für jede ARP-Tabelle angezeigt.

-g Gleiche Funktion wie -a.

IP_Adr Gibt eine Internet-Adresse an.

-N Schnittst Zeigt die ARP-Einträge für die angegebene Netzwerk-

schnittstelle an.

-d Löscht den durch IP_Adr angegebenen Host-Eintrag.

-s Fügt einen Host-Eintrag hinzu und ordnet die Internet-Adresse

der physischen Adresse zu. Die physische Adresse wird durch

6 hexadezimale, durch Bindestrich getrennte Bytes angegeben.

Der Eintrag ist permanent.

Eth_Adr Gibt eine physische Adresse (Ethernet-Adresse) an.

Schnittst Gibt, falls vorhanden, die Internet-Adresse der Schnittstelle

an, deren Übersetzungstabelle geändert werden soll.

Sonst wird die erste geeignete Schnittstelle verwendet.

Beispiel:

> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Fügt einen statischen Eintrag hinzu.

> arp -a .... Zeigt die Arp-Tabelle an.

Beispiel:

C:\>arp -a

Schnittstelle: 172.16.200.210 on Interface 0x1000003

Internetadresse Physikal. Adresse Typ

172.16.200.7 00-00-e8-83-6c-a5 dynamisch

7.7 netstat

Zeigt Protokollstatistik und aktuelle TCP/IP-Netzwerkverbindungen an.

NETSTAT [-a] [-e] [-n] [-s] [-p Proto] [-r] [Intervall]

-a Zeigt den Status aller Verbindungen an. (Verbindungen

des Servers werden normalerweise nicht angezeigt).

-e Zeigt die Ethernetstatistik an. Kann mit der Option -s

kombiniert werden.

-n Zeigt Adressen und Portnummern numerisch an.

-p Proto Zeigt Verbindungen für das mit Proto angegebene Protokoll

an.

Proto kann TCP oder UDP sein. Bei Verwendung mit der

Option -s kann Proto TCP, UDP oder IP sein.

-r Zeigt den Inhalt der Routingtabelle an.

-s Zeigt Statistik protokollweise an. Standardmäßig werden

TCP,UDP und IP angezeigt. Mit der Option -p können Sie dies

weiter einschränken.

Intervall Zeigt die gewählte Statistik nach der mit Intervall angege-

benen Anzahl von Sekunden erneut an. Drücken Sie STRG+C zum

Beenden der Intervallanzeige. Ohne Intervallangabe werden

die aktuellen Konfigurationsinformationen einmalig

angezeigt.

Beispiel für netstat:

C:\>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status

TCP r10:epmap r10:0 ABHÖREN

TCP r10:microsoft-ds r10:0 ABHÖREN

TCP r10:1025 r10:0 ABHÖREN

TCP r10:1027 r10:0 ABHÖREN

TCP r10:netbios-ssn r10:0 ABHÖREN

UDP r10:epmap *:*

UDP r10:microsoft-ds *:*

UDP r10:1026 *:*

UDP r10:netbios-ns *:*

UDP r10:netbios-dgm *:*

UDP r10:isakmp *:*

7.8 nbtstat

Zeigt Protokollstatistik und aktuelle TCP/IP-Verbindungen an, die NBT (NetBIOS über TCP/IP) verwenden.

NBTSTAT [-a Remotename] [-A IP-Adresse] [-c] [-n]

[-r] [-R] [-RR] [-s] [Intervall] ]

-a Zeigt die Namentabelle des mit Namen angegebenen

Remotecomputers an.

-A Zeigt die Namentabelle des mit IP-Adressen angegebenen

Remotecomputers an.

-c Zeigt Inhalt des Remotenamencache mit IP-Adressen an.

-n Zeigt lokale NetBIOS-Namen an.

-r Zeigt mit Broadcast und WINS aufgelöste Namen an.

-R Lädt Remotecache-Namentabelle neu.

-S Zeigt Sitzungstabelle mit den Ziel-IP-Adressen an.

-s Zeigt Sitzungstabelle mit Computer NetBIOS-Namen an, die aus

den Ziel-IP-Adressen bestimmt wurden.

-RR (ReleaseRefresh) Sendet Namensfreigabe-Pakete an WINS und

startet die Aktualisierung.

Remotename Name des Remotehosts

IP-Adresse Punktierte Dezimalschreibweise einer IP-Adresse

Intervall Zeigt die ausgewählte Statistik nach der angegebenen

Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden

der Intervallanzeige.

Beispiel:

C:\>nbtstat -A 172.16.200.210

LAN-Verbindung:

Knoten-IP-Adresse: [172.16.200.210] Bereichskennung: []

NetBIOS-Namentabelle des Remotecomputers

Name Typ Status

---------------------------------------------

R10 <00> UNIQUE Registriert

R10 <20> UNIQUE Registriert

MCSE <00> GROUP Registriert

MCSE <1E> GROUP Registriert

R10 <03> UNIQUE Registriert

7.9 hostname

Zeigt den Hostnamen des lokalen Computers an.

Beispiel:

C:\>hostname

r10

8 IP-Routing mit Windows Server 2003

8.1 Einrichten des Routing- und RAS-Dienstes für LAN-Routing:

Voraussetzung: zwei Netzwerkkarten mit korrekter IP-Konfiguration; jede Netzwerkkarte ist mit einem Sternverteiler des jeweiligen Netzwerksegments verbunden.

Starten Sie das MMC-Snap-In "Routing und RAS":

Klicken Sie nun mit der rechten Maustaste auf den Server und wählen Sie im Kontextmenü [Routing und RAS konfigurieren und aktivieren]. Es startet folgender Assistent:

Nachdem der Dienst gestartet ist, ist bereits die Routing-Funktionalität aktiv:

Wir haben einen Routing- und RAS-Server mit folgender IP-Konfiguration:

E:\>ipconfig

Windows 2000-IP-Konfiguration

Ethernetadapter "Netzwerkverbindung":

Verbindungsspezifisches DNS-Suffix:

IP-Adresse. . . . . . . . . . . . : 172.16.50.229

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

IP-Adresse. . . . . . . . . . . . : 172.16.201.229

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 172.16.201.2

Wir untersuchen die Routing-Tabelle unseres Routing- und RAS-Servers, die wie folgt aussieht:

E:\>route print

===========================================================================

Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x1000003 ...00 02 b3 4c 37 d1 ...... Intel(R) PRO PCI Adapter

===========================================================================

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 172.16.201.2 172.16.201.229 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

172.16.50.0 255.255.255.0 172.16.50.229 172.16.201.229 1

172.16.50.229 255.255.255.255 127.0.0.1 127.0.0.1 1

172.16.201.0 255.255.255.0 172.16.201.229 172.16.201.229 1

172.16.201.229 255.255.255.255 127.0.0.1 127.0.0.1 1

172.16.255.255 255.255.255.255 172.16.201.229 172.16.201.229 1

224.0.0.0 224.0.0.0 172.16.201.229 172.16.201.229 1

255.255.255.255 255.255.255.255 172.16.201.229 172.16.201.229 1

Standardgateway: 172.16.201.2

===========================================================================

Ständige Routen:

Keine

Begriffserklärungen:

Netzwerkziel, Netzwerkmaske: Unter „Netzwerkziel“ ist gemeint: wenn ein Paket an diese Adresse (meist ein ganzes Netzwerk) gerichtet ist, was soll mit diesem Paket geschehen?
Gateway: Pakete, die an das in derselben Zeile angegebene Netzwerkziel gerichtet sind, werden an diesen Router (Gateway) weitergeleitet
Schnittstelle: Über welche Netzwerkschnittstelle sollen Pakete an den Gateway weitergeleitet werden?
Anzahl (auch: Metrik, Kosten): Prioritätsangabe der Route; je kleiner der Zahlenwert, umso "wichtiger" ist die Route.

Zeile 1:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 172.16.201.2 172.16.201.229 1

Was soll mit Paketen geschehen, die an das Netzwerk 0.0.0.0/0 gesendet werden?

Diese Route bezeichnet man als Standardroute.

Wir sehen, dass Pakete an den eingetragenen Standardgateway weitergeleitet werden.

Anmerkung: Auf einer typischen Arbeitsstation wird ein Großteil der Pakete zum Standardgateway weitergeleitet werden!

Zeile 2:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

Hier sehen wir, dass sämtliche Pakete, die an eine Adresse im Netzwerk 127.0.0.0 gerichtet sind, über die Schnittstelle 127.0.0.1 (also den Loopback-Adapter) an den Gateway 127.0.0.1 zurückgeschickt werden. Die Pakete erreichen also weder die Schicht 2 noch verlassen sie den PC.

Zeile 3:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

172.16.50.0 255.255.255.0 172.16.50.229 172.16.201.229 1

Hier sehen wir: Alle Pakete, die ans Netzwerk 172.16.50.0 gerichtet sind, werden über die Schnittstelle 172.16.201.229 an den Gateway 172.16.50.229 geschickt. Dieser Eintrag verbindet also die beiden Netze 172.16.201.x und 172.16.50.x.

Zeile 4 und Zeile 6:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

172.16.50.229 255.255.255.255 127.0.0.1 127.0.0.1 1

172.16.201.229 255.255.255.255 127.0.0.1 127.0.0.1 1

Hier wird der PC veranlasst, an sich selbst gerichtete Pakete (als Ziel ist das „Netzwerk“ 172.16.50.229/32, wobei eine Netzwerkmaske von 255.255.255.255 bedeutet, dass nur eine einzige Adresse gemeint ist) an den Loopback-Adapter weiterzusenden.

Zeile 5:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

172.16.201.0 255.255.255.0 172.16.201.229 172.16.201.229 1

Pakete, die an eine Adresse im Netzwerk 172.16.201.x gerichet sind, werden über die Schnittstelle 172.16.201.229 an den Gateway 172.16.201.229 weitergeleitet. Dieser Eintrag entspricht der Umkehrung von Zeile 3.

Zeile 7

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

172.16.255.255 255.255.255.255 172.16.201.229 172.16.201.229 1

Diese Zeile betrifft Broadcasts, die über die 172.16.201.229-Schnittstelle an das lokale Netzwerk weitergeleitet werden.

Zeile 8

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

224.0.0.0 224.0.0.0 172.16.201.229 172.16.201.229 1

Hier wird das Routingverhalten für Multicast-Adressen geregelt.

Zeile 9

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

255.255.255.255 255.255.255.255 172.16.201.229 172.16.201.229 1

Hier finden wir die generische Broadcast-Adresse 255.255.255.255; auch hier werden Broadcasts an PCs im lokalen Netz weitergetragen.

8.2 Hinzufügen statischer Routen im MMC-Snap-In „Routing und RAS“:

Der Metrik-Wert gibt die „Effizienz“ oder auch die „Kosten“ einer Route an. Je kleiner der Metrik-Wert, desto effizienter ist die Route. Gibt es also in der Routingtabelle zwei mögliche Routen zu einem Ziel, so wählt der Router die Route mit dem kleineren Metrik-Wert.

8.3 Der Befehl ROUTE

Manipuliert die Netzwerkroutingtabellen.

ROUTE [-f] [-p] [Befehl [Ziel]

[MASK Netzmaske] [Gateway] [METRIC Anzahl] [IF Schnittstelle]

-f Löscht alle Gatewayeinträge in Routingtabellen.

Wird der Parameter mit einem der Befehle verwendet, werden

die Tabellen vor der Befehlsausführung gelöscht.

-p (persistent) Wird der Parameter mit dem "ADD"-Befehl

verwendet, wird eine Route unabhängig von Neustarts des

Systems verwendet.

Standardmäßig ist diese Funktion deaktiviert, wenn das

System neu gestartet wird. Dies wird ignoriert für alle

anderen Befehle, die beständige Routen beeinflussen.

Diese Funktion wird von Windows 95 nicht unterstützt.

Befehl Auswahlmöglichkeiten:

PRINT Druckt eine Route

ADD Fügt eine Route hinzu

DELETE Löscht eine Route

CHANGE Ändert eine bestehende Route

Ziel Gibt den Host an.

MASK Gibt an, dass der folgende Parameter ein Netzwerkwert ist.

Netzmaske Gibt einen Wert für eine Subnetzmaske für den Routeneintrag

an. Ohne Angabe wird die Standardeinstellung

255.255.255.255 verwendet.

Gateway Gibt ein Gateway an.

Schnittstelle Schnittstellennummer der angegebenen Route.

METRIC Gibt den Anzahl/Kosten-Wert für das Ziel an.

Alle symbolischen Namen, die für das Ziel verwendet werden, werden in

der Datei der Netzwerkdatenbank NETWORKS angezeigt. Symbolische Namen

für Gateway finden Sie in der Datei der Hostnamendatenbank HOSTS.

Bei den Befehlen PRINT und DELETE können Platzhalter für Ziel und

Gateway verwendet werden, (Platzhalter werden durch "*" angegeben),

oder Sie können auf die Angabe des Gatewayparameters verzichten.

Falls Ziel "*" or "?" enthält, wird es als Shellmuster bearbeitet und es

werden nur übereinstimmende Zielrouten gedruckt. Der Platzhalter "*" wird

mit jeder Zeichenkette überprüft, und "?" wird mit jedem Zeichen überprüft.

Beispiele: 157.*.1, 157.*, 127.*, *224*.

Diagnoseanmerkung:

Eine ungültige MASK erzeugt einen Fehler unter folgender Bedingung :

(DEST & MASK) != DEST.

Beispiel> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1

Die Route konnte nicht hinzugefügt werden: Der angegebene

Maskenparameter ist ungültig.

(Destination & Mask) != Destination.

Beispiele:

> route PRINT

> route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

Ziel^ ^Maske ^Gateway Metric^ ^

Schnittstelle^

Sollte "IF" nicht angegeben sein, wird versucht die beste

Schnittstelle für das angegebene Gateway zu finden.

> route PRINT

> route PRINT 157* .... Zeigt passende Adressen mit 157* an.

> route DELETE 157.0.0.0

> route PRINT

9 „Sniffer“ zur Analyse des Netzwerkverkehrs

In der Windows 2000 Server-Ausgabe findet sich eine Light-Version des Programms „Netzwerkmonitor“ (die Vollversion ist im Systems Management Server enthalten), mit dem der gesamte Netzwerkverkehr analysiert werden kann. Alle Header aller Protokolle können mit diesem Tool angesehen werden.

Der Netzwerkmonitor muss nachinstalliert werden.

Filter setzen, um nur bestimmte Protokolle anzusehen: [Ansicht] - [Filter]

10 DHCP-Server

Öffnen des DHCP-Snap-Ins:

Erstellen eines neuen DHCP-Bereichs:

Vor der Autorisierung im Active Directory:

Nach der Autorisierung im Active Directory:

Befehlszeilenprogramme zur Verwaltung eines DHCP-Servers:

netsh dhcp

D:\>netsh dhcp list

list                          - Listet alle verfügbaren Befehle auf.

dump                          - Speichert die Konfiguration in eine Textdatei.

help                          - Zeigt die Hilfe an.

?                             - Zeigt die Hilfe an.

add server       - Fügt einen Server der Liste der autorisierten Server

                   im  Verzeichnisdienst hinzu.

delete server    - Löscht einen DHCP-Server von der Liste der autorisierten

                   Server im Verzeichnisdienst.

show server      - Zeigt alle DHCP-Server im Verzeichnisdienst für die

                   aktuelle Domäne an.

server [\\Servername/IP-Adresse] - Wechselt den Kontext zum angegebenen

                                   Server. 0 = lokaler Computer.

Beispiel:

D:\>netsh dhcp show server

1 Server im Verzeichnisdienst:

        Server [mine.graz.at] Adresse [172.16.201.22] Verzeichnisdienststandort:

 cn=mine.graz.at

Der Befehl wurde erfolgreich ausgeführt.

Mit dem Befehl

netsh dump dhcp server >dhcp.txt

können alle DHCP-Einstellungen in eine Textdatei geschrieben werden (anschauen!).

11 Domain Name System (DNS)

11.1 Allgemeines:

DNS ist ein Protokoll der Anwendungsschicht (OSI-Schicht 7), das für die Verwendung mit der TCP/IP-Protokollsuite entwickelt wurde. Hauptaufgabe ist die Zuordnung von Computernamen zu IP-Adressen.

(a) über einen DNS-Server

(b) Statisch:

Datei HOSTS im Verzeichnis

\WINNT\SYSTEM32\DRIVERS\ETC

bearbeiten mit Editor.

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows NT.

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

# For example:

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

192.168.0.1 ilg.at

Diese Datei ordnet jeder IP-Adresse einen DNS-Namen (“friendly name”) zu.

Im selben Verzeichnis befindet sich auch die LMHOSTS-Datei, die die Zuordnung von IP-Adressen zu NetBIOS-Namen regelt (NetBIOS-Namen werden als “PC-ID” von Win NT standardmäßig verwendet).

Wichtig: Jeder PC im Intranet muss dieselbe HOSTS-Datei bekommen, da sonst der Server nicht mit dem friendly name angesprochen werden kann. (Also: Datei auf jeden PC im Netz kopieren!!!)

Für einen Anwender sind IP-Zahlenkombinationen schwer zu merken. Es werden daher statt dieser Zahlendarstellung symbolische Namen verwendet.

So gibt es etwa einen Server mit dem Namen

noe.wifi.at

Diesem Servernamen entspricht eine eindeutige IP-Adresse. Dabei setzt sich der Name aus Teilen zusammen, die eine Hierarchie angeben: Das Teilnetzwerk "noe" (fachchinesisch bezeichnet man ein solches Teilnetz als Domäne, englisch domain) ist ein Teil des Netzwerks "wifi", dieses wiederum ein Teil des Netzwerks "at" (für Österreich). Das "at"-Netzwerk ist ein Teil der Domäne "the world" (die aber nie angegeben zu werden braucht).

Die Länderkennung ist ein Beispiel für eine Top Level Domain (TLD); so werden die „Haupt-Domänen“ bezeichnet, die entweder einem Land oder einer „Kategorie“ entsprechen.

Die Zuordnung IP-Adressen zu logischen Namen muss von einem eigenen Rechner durchgeführt werden, dem Domain Name System-Server (DNS-Server). Wenn nun ein Anwender einen Server noe.wifi.at anwählt, so "fragt" die Station zunächst beim DNS-Server des Anwenders (der meist beim Provider steht), ob er die IP-Adresse von noe.wifi.at kennt. Das wird nicht der Fall sein. In diesem Fall hat der DNS-Server die IP-Adresse des nächstliegenden DNS-Servers gespeichert und fragt bei diesem an, ob er die IP-Adresse kennt. Das geht so lang, bis ein DNS-Server erfolgreich ist, die IP-Adresse wird übermittelt, die Datenübertragung kann beginnen.

Das Internet ist also ein so genanntes Teilstrecken-Netzwerk; es genügt, wenn jeder Internet-Knotenrechner mit einem weiteren Knoten verbunden ist. Die physikalische Datenübertragung wird über äußerst leistungsfähige Kabel, so genannte „Backbones“ realisiert.

Die zentrale Verwaltung der Domain-Namen mit den Top-Level-Domains .com, .net, .org und .int obliegt der InterNIC, einer Kooperation aus dem kommerziellen Unternehmen NSI (Network Solutions Inc.), der Telefongesellschaft AT&T sowie der US National Science Foundation. Bisher wurden die angegebenen Domains ausschließlich von der NSI im Auftrag der InterNIC verwaltet. Die jährliche „Miete“ eines Domännamens kostet ca. 50 US-$. Die Domain-Verwaltung soll jedoch bis 2001 von der NSI an die nichtkommerzielle Organisation ICANN (International Corporation for Assigned Names and Numbers) übergeben werden. Die Datenbank der NSI ist unter www.networksolutions.com/cgi-bin/whois/whois zu finden.

Die IANA (Internet Assigned Numbers Authority, www.iana.org) verwaltet die IP-Adressen.

Einen IP-Adressen-Index findet man unter ipindex.dragonstar.net.

Die ISPA (Internet Service Provider Association Austria – www.ispa.at) ist die Vereinigung der österreichischen Internet Service Provider, quasi eine „Dachorganisation“. Die NIC.AT GmbH, ein Unternehmen der ISPA, ist mit der Verwaltung und Vergabe der Domänennamen mit dem Top Level Domain „.at“ beauftragt (www.nic.at). Registrierungen und Online-Abfragen von at-Domainen sind unter www.namen.at möglich.

Dabei gibt es zum Beispiel als Länder-Top Level Domain (ISO-Norm 3166):

at Austria (Österreich)

de Deutschland

jp Japan

us USA (fehlt meist)

Zusätzlich zu den landesspezifischen Erweiterungen gab es folgende Kennzeichnungen, die ursprünglich nur US-amerikanischen Einrichtungen vorbehalten waren:

com company (Firma)

gov government (Regierung) – US

edu education (Universitäten) – US

mil military (Militär) – US

int internationale Organisation

org organization (gemeinnützige Organisation)

net Provider

Nun werden die Adressen von 28 lizenzierten Firmen vergeben. Diese Firmen werden im CORE (Council of Registrars) zusammengefasst. Die neuen TLDs lauten:

firm Firmen und Unternehmen

arts Kunst und Kultur

info Informationsservices

rec Unterhaltung und Freizeit

web WWW-Aktivitäten

store Warenangebote

nom Restkategorie

11.2 Ablauf einer DNS-Abfrage:

Wenn ein DNS-Cient nach einem Namen sucht, der in einem Programm verwendet wird, führt er zum Auflösen des Namens eine Abfrage der DNS-Server durch. Jede vom Client gesendete Abfragemeldung enthält drei Informationen, mit denen eine Frage an den Server festgelegt wird:

Einen festgelegten DNS-Domänennamen, der als voll qualifizierter Domänenname (FQDN = Fully Qualified Domain Name) angegeben ist.
Einen festgelegten Abfragetyp, über den entweder ein Ressourceneintrag nach Typ oder eine festgelegte Art von Abfragevorgang angegeben wird.
Eine festgelegte Klasse für den DNS-Domänennamen. Für DNS-Server unter Windows sollte diese Klasse immer als Internetklasse (IN-Klasse) angegeben werden.

Bei dem angegebenen Namen kann es sich z. B. um den FQDN für einen Computer handeln, etwa "host-a.beispiel.microsoft.com.", und der Abfragetyp wird so festgelegt, dass über diesen Namen nach einem A-Ressourceneintrag (Adresse) gesucht wird. Eine DNS-Abfrage ist im Grunde eine zweiteilige Frage des Clients an den Server, z. B. "Bestehen A-Ressourceneinträge für einen Computer namens 'hostname.beispiel.microsoft.com.'?" Wenn der Client eine Antwort vom Server empfängt, liest er den zurückgegebenen A-Ressourceneintrag, wertet ihn aus und erhält auf diese Weise die IP-Adresse des Computers, den er per Namen abgefragt hatte.

Auflösungen werden mit DNS-Abfragen auf unterschiedliche Arten durchgeführt. Ein Client kann eine Abfrage ggf. lokal beantworten, indem er zwischengespeicherte Daten aus einer vorherigen Abfrage verwendet. Der DNS-Server kann zum Beantworten einer Abfrage eigene zwischengespeicherte Ressourceneintragsdaten verwenden. Um dem anfragenden Client eine vollständige Namensauflösung zu ermöglichen, kann ein DNS-Server auch andere DNS-Server kontaktieren oder abfragen und dann eine Antwort zurück an den Client senden. Dieser Vorgang wird als Rekursion bezeichnet.

Darüber hinaus kann auch der Client selbst versuchen, eine Verbindung zu weiteren DNS-Servern herzustellen, um einen Namen aufzulösen. In einem solchen Fall verwendet der Client zusätzliche eigene Abfragen, die auf den Referenzantworten von Servern basieren. Dieser Vorgang wird als Iteration bezeichnet.

Im Allgemeinen wird ein DNS-Abfragevorgang in zwei Schritten durchgeführt:

Auf einem Clientcomputer wird eine Namensabfrage gestartet und zum Auflösen an einen Auflösungsdienst, den DNS-Clientdienst, weitergeleitet.
Wenn die Abfrage nicht lokal aufgelöst werden kann, können nach Bedarf DNS-Server zum Auflösen des Namens abgefragt werden.

Diese beiden Vorgänge werden in den folgenden Abschnitten näher erläutert.

11.2.1 Teil 1: Der lokale Auflösungsdienst

Die folgende Grafik zeigt eine Übersicht über den gesamten DNS-Abfrageprozess.

Wie aus den ersten Schritten des Abfrageprozesses zu ersehen ist, wird in einem Programm auf dem lokalen Computer ein DNS-Domänenname verwendet. Die Abfrage wird dann an den DNS-Clientdienst weitergeleitet, um eine Auflösung mit Hilfe lokal zwischengespeicherter Daten durchzuführen. Wenn der abgefragte Name aufgelöst werden kann, wird die Abfrage beantwortet, und der Prozess ist abgeschlossen.

Der Zwischenspeicher des lokalen Auflösungsdienstes kann Namensdaten enthalten, die aus zwei möglichen Quellen stammen:

Wenn eine Hosts-Datei lokal konfiguriert wurde, werden beim Starten des DNS-Clientdienstes alle Zuordnungen von Namen zu Adressen aus dieser Datei in den Zwischenspeicher geladen.
Ressourceneinträge, die in Antworten aus vorherigen DNS-Abfragen enthalten sind, werden dem Zwischenspeicher hinzugefügt und für eine bestimmte Zeit gespeichert.

Wenn für die Abfrage kein passender Eintrag im Zwischenspeicher vorhanden ist, wird der Auflösungsprozess fortgesetzt, indem der Client zum Auflösen des Namens einen DNS-Server abfragt.

11.2.2 Teil 2: Abfragen eines DNS-Servers

Wie in der oben stehenden Grafik dargestellt, fragt der Client zunächst einen bevorzugten DNS-Server ab. Der zu Anfang des Client/Server-Abfrageprozesses verwendete Server wird aus einer globalen Liste ausgewählt.

Wenn ein DNS-Server eine Abfrage empfängt, überprüft er zunächst, ob er die Abfrage auf der Grundlage von Ressourceneintragsdaten, die in einer lokal konfigurierten Zone auf dem Server enthalten sind, autorisierend beantworten kann. Entspricht der abgefragte Name einem entsprechenden Ressourceneintrag in den lokalen Zonendaten, antwortet der Server autorisierend, indem er diese Daten zum Auflösen des abgefragten Namens verwendet.

Stehen für den abgefragten Namen keine Zonendaten zur Verfügung, überprüft der Server als Nächstes, ob er den Namen mit Hilfe lokal zwischengespeicherter Daten aus vorherigen Abfragen auflösen kann. Wird hier eine Entsprechung gefunden, antwortet der Server mit diesen Daten. Auch in diesem Fall ist die Abfrage abgeschlossen, wenn der bevorzugte Server mit einer entsprechenden Antwort aus dem Zwischenspeicher auf den anfragenden Client reagieren kann.

Wird auf dem bevorzugten Server weder in den Daten des Zwischenspeichers noch in den Zonendaten eine entsprechende Antwort für den abgefragten Namen gefunden, kann der Abfragevorgang fortgesetzt werden, indem der Name mit einem Rekursionsprozess vollständig aufgelöst wird. Für diese Art der Namensauflösung werden weitere DNS-Server zur Unterstützung herangezogen. In der Standardeinstellung wird der Server vom DNS-Clientdienst aufgefordert, einen Rekursionsprozess zu verwenden, um vor dem Antworten die Namen für den Client vollständig aufzulösen. Die in den meisten Fällen verwendete Standardkonfiguration des DNS-Servers für die Unterstützung des Rekursionsprozesses ist in der folgenden Grafik dargestellt.

Damit der DNS-Server die Rekursion ordnungsgemäß ausführen kann, benötigt er zunächst unterstützende Kontaktinformationen über andere DNS-Server im DNS-Domänennamespace. Diese Daten stehen in Form von Hinweisen auf den Stammserver zur Verfügung. Dies ist eine Liste vorläufiger Ressourceneinträge, die vom DNS-Dienst für die Suche nach anderen DNS-Servern verwendet werden kann, die für den Stamm der DNS-Domänennamespacestruktur autorisierend sind. Stammserver sind autorisierend für den Domänenstamm und die Domänen der obersten Ebene in der Namespacestruktur der DNS-Domäne.

Mit Hilfe der Hinweise auf den Stammserver für die Suche nach Stammservern kann ein DNS-Server den Rekursionsvorgang abschließen. Theoretisch ermöglicht dieser Prozess jedem DNS-Server die Suche nach autorisierenden Servern für alle anderen DNS-Domänennamen, die auf einer beliebigen Ebene der Namespacestruktur verwendet werden.

Angenommen, ein Client fragt einen einzelnen DNS-Server nach dem Namen "host-b.beispiel.microsoft.com" ab, und für die Suche wird der Rekursionsprozess verwendet. Dieser Prozess wird dann aktiviert, wenn ein DNS-Server und ein Client gestartet werden und keine lokal zwischengespeicherten Daten zum Auflösen der Namensabfrage zur Verfügung stehen. Es wird davon ausgegangen, dass sich der über den Client abgefragte Name auf einen Domänennamen bezieht, für den auf dem Server in den konfigurierten Zonen keine Daten zur Verfügung stehen.

Zunächst analysiert der bevorzugte Server den vollständigen Namen und stellt dann fest, dass für die Domäne der obersten Ebene, "com", der Standort des autorisierenden Servers benötigt wird. Dann wird eine iterative Abfrage an den DNS-Server für "com" gesendet, um eine Referenz zu dem Server für "microsoft.com" anzufordern. Als Nächstes erhält der DNS-Server für "beispiel.microsoft.com" eine Referenzantwort vom Server für "microsoft.com".

Schließlich wird eine Verbindung zu dem Server für "beispiel.microsoft.com." hergestellt. Da dieser Server den abgefragten Namen als Teil der konfigurierten Zonen enthält, sendet er eine autorisierte Antwort an den ursprünglichen Server, von dem aus die Rekursion gestartet wurde. Wenn der ursprüngliche Server die Mitteilung empfängt, dass auf die angeforderte Abfrage eine autorisierte Antwort vorliegt, sendet er sie an den anfordernden Client weiter, und der rekursive Abfrageprozess ist abgeschlossen.

Obwohl der rekursive Abfrageprozess ressourcenintensiv sein kann, wenn er wie oben beschrieben durchgeführt wird, bietet er für den DNS-Server einige Leistungsvorteile. Während des Rekursionsprozesses erhält der DNS-Server, über den das rekursive Lookup durchgeführt wird, z. B. Informationen über den DNS-Domänennamespace. Diese Informationen werden vom Server zwischengespeichert und können erneut verwendet werden, um die Beantwortung entsprechender nachfolgender Abfragen zu beschleunigen. Im Laufe der Zeit kann die Zahl der zwischengespeicherten Daten so anwachsen, dass ein beträchtlicher Teil der Serverspeicherressourcen verwendet wird, obwohl sie gelöscht werden, wenn der Abfragezyklus des DNS-Dienstes gestartet oder beendet wird.

11.3 Andere Abfrageantworten

Bei den vorangegangenen Erläuterungen von DNS-Abfragen wurde davon ausgegangen, dass der Prozess mit einer positiven Antwort an den Client abgeschlossen wird. Bei Abfragen können jedoch auch andere Antworten zurückgegeben werden. Es folgt eine Liste der häufigsten Antworten:

Autorisierende Antwort
Positive Antwort
Referenzantwort
Negative Antwort

Bei einer autorisierenden Antwort handelt es sich um eine positive Antwort an den Client, bei der das Autoritätsbit in der DNS-Meldung gesetzt ist. Auf diese Weise wird gekennzeichnet, dass die Antwort von einem Server empfangen wurde, der für den abgefragten Namen über direkte Autorität verfügt.

Eine positive Antwort kann aus dem abgefragten Ressourceneintrag oder einer Liste von Ressourceneinträgen (auch Ressourceneintragssatz genannt) bestehen, die dem abgefragten DNS-Domänennamen und dem in der Abfragemeldung angegebenen Eintragstyp entspricht.

Eine Referenzantwort enthält zusätzliche Ressourceneinträge, deren Namen oder Typen in der Abfrage nicht angegeben sind. Dieser Antworttyp wird an den Client zurückgegeben, wenn der Rekursionsprozess nicht unterstützt wird. Die Einträge stellen hilfreiche Referenzantworten dar, die der Client verwenden kann, um die Abfrage mit Hilfe eines Iterationsprozesses fortzusetzen.

Eine Referenzantwort umfasst weitere Daten, z. B. Ressourceneinträge, die von dem abgefragten Typ abweichen. Wenn der abgefragte Hostname z. B. "www" ist und für diesen Namen in dieser Zone keine A-Ressourceneinträge, aber ein CNAME-Ressourceneintrag für "www" gefunden wird, kann der DNS-Server diese Information in die Antwort an den Client einschließen.

Kann der Client die Iteration verwenden, so vermag er mit Hilfe der in der Referenzantwort enthaltenen Informationen selbst zusätzliche Abfragen durchführen, um den Namen vollständig aufzulösen.

Eine negative Antwort vom Server kann darauf hinweisen, dass eines von zwei möglichen Ergebnissen gefunden wurde, während der Server versuchte, die Abfrage vollständig und autorisierend zu verarbeiten und rekursiv aufzulösen:

Ein autorisierender Server meldet, dass der abgefragte Name im DNS-Namespace nicht vorhanden ist.
Ein autorisierender Server meldet, dass der abgefragte Name zwar existiert, für diesen Namen jedoch keine Einträge des angegebenen Typs vorhanden sind.

Vom Auflösungsdienst werden die Abfrageergebnisse in Form einer positiven oder negativen Antwort an das anfordernde Programm weitergeleitet und zwischengespeichert.

11.3.1 Funktionsweise der Iteration

Bei einer Iteration handelt es sich um eine Art der Namensauflösung, die zwischen DNS-Clients und -Servern unter folgenden Bedingungen ausgeführt wird:

Der Client fordert das Verwenden der Rekursion an, aber die Rekursion ist auf dem DNS-Server deaktiviert.
Der Client fordert beim Abfragen des DNS-Servers das Verwenden der Rekursion nicht an.

Über eine iterative Abfrage informiert der Client den DNS-Server darüber, dass er von ihm die bestmögliche sofort verfügbare Antwort erwartet und keine Verbindung zu anderen DNS-Servern hergestellt werden soll.

Beim Verwenden der Iteration beantwortet ein DNS-Server eine Clientabfrage unter Berücksichtigung der abgefragten Namensdaten mit den eigenen Namespaceinformationen. Wenn ein DNS-Server im Intranet von einem lokalen Client z. B. die Abfrage nach "www.microsoft.com" empfängt, kann er die Antwort möglicherweise aus dem Namenszwischenspeicher zurückgeben. Ist der abgefragte Name im Namenszwischenspeicher des Servers aktuell nicht vorhanden, kann der Server mit einer Referenz antworten, d. h. einer Liste der NS- und A-Ressourceneinträge anderer DNS-Server, die dem abgefragten Namen am ehesten entsprechen.

Bei einer Referenzantwort übernimmt der DNS-Client die Verantwortung dafür, zur Namensauflösung iterative Abfragen an andere konfigurierte DNS-Server zu senden. Zum Auffinden der DNS-Server, die für die Domäne "com" autorisierend sind, kann der DNS-Client die Suche z. B. bis zu den Stammdomänenservern im Internet ausweiten. Nachdem ein Kontakt zu den Internetstammservern hergestellt ist, kann der Client weitere iterative Antworten von den DNS-Servern empfangen, die auf die Internet-DNS-Server für die Domäne "microsoft.com" zeigen. Wenn dem Client Einträge für diese DNS-Server zur Verfügung stehen, kann er eine weitere iterative Abfrage an die externen Microsoft DNS-Server im Internet senden, die mit einer endgültigen und autorisierenden Antwort reagieren können.

Beim Verwenden der Iteration kann ein DNS-Server bei der Auflösung einer Namensabfrage Unterstützung bieten, die über das Senden der für ihn bestmöglichen Antwort an den Client hinausgeht. Bei den meisten iterativen Abfragen verwendet ein Client eine lokal konfigurierte Liste von DNS-Servern, um einen Kontakt zu anderen Namensservern im DNS-Namespace herzustellen, wenn die Abfrage vom primären DNS-Server nicht aufgelöst werden kann.

11.3.2 Funktionsweise des Zwischenspeicherns

Beim Verarbeiten von Clientabfragen mit Hilfe von Rekursion oder Iteration ermitteln DNS-Server umfangreiche Informationen zum DNS-Namespace. Diese Informationen werden dann vom Server zwischengespeichert.

Das Zwischenspeichern bietet eine Möglichkeit, die Leistung für DNS-Auflösungen bei nachfolgenden Abfragen bekannter Namen zu beschleunigen, wodurch der DNS-bezogene Netzwerkverkehr deutlich reduziert wird.

Beim Durchführen rekursiver Abfragen für Clients werden Ressourceneinträge von DNS-Servern vorübergehend zwischengespeichert. Zwischengespeicherte Ressourceneinträge enthalten empfangene Informationen von DNS-Servern, die für die DNS-Domänennamen autorisierend sind. Die Informationen stammen aus iterativen Abfragen und werden zum Suchen und vollständigen Beantworten rekursiver Abfragen für einen Client verwendet. Wenn andere Clients zu einem späteren Zeitpunkt in neuen Abfragen Ressourceneintragsinformationen anfordern, die den zwischengespeicherten Ressourceneinträgen entsprechen, können diese vom DNS-Server für eine Antwort verwendet werden.

Beim Zwischenspeichern von Informationen wird allen zwischengespeicherten Ressourceneinträgen ein Wert für die Gültigkeitsdauer (TTL = Time-To-Live) zugeordnet. Während des Gültigkeitszeitraumes eines zwischengespeicherten Ressourceneintrags bleibt dieser im Zwischenspeicher des DNS-Servers enthalten und kann weiterhin zum Beantworten von Clientabfragen verwendet werden, für die dieser Ressourceneintrag zutreffend ist. In den meisten Zonenkonfigurationen ist den von den Ressourceneinträgen verwendeten TTL-Werten der Wert Minimum TTL (Standard) zugewiesen, der im Ressourceneintrag für den Autoritätsursprung (SOA = Start Of Authority) der Zone eingestellt ist. In der Standardeinstellung beträgt der Wert für Minimum TLL (Standard) 3.600 Sekunden (1 Stunde). Sie können diesen Wert jedoch ändern oder bei Bedarf für jeden Ressourceneintrag einen individuellen TTL-Wert für das Zwischenspeichern einstellen.

11.4 Konfiguration eines DNS-Servers in Windows 2000/2003

MMC-Snap-In "DNS"

· neue Forward-Lookup-Zone

· neue Reverse-Lookup-Zone

Standardmäßig ist keine Reverse-Lookup-Zone eingerichtet. Es wird dringend empfohlen, diese Zone manuell einzurichten!

Alles auf "dynamisch" umstellen!

Erweiterte Ansicht [Ansicht] - [Erweiterte Ansicht]:

Erstellen eines neuen Host-Eintrags:

Gibt man ein, dass automatisch ein verknüpfter PTR-Eintrag erstellt werden soll, so wird ein solcher Eintrag bei der Reverse-Lookup-Zone erstellt:

Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden. Die folgenden Ressourceneinträge (RRs = Resource Records) werden am häufigsten eingefügt:

· Host (A) Zum Zuordnen eines DNS-Domänennamens zu einer von einem Computer verwendeten IP-Adresse.

· Alias (CNAME) Zum Zuordnen eines Alias-Domänennamens zu einem anderen primären oder kanonischen Namen.

· Mail Exchanger (MX) Zum Zuordnen eines DNS-Domänennamens zum Namen eines Computers, über den Mail ausgetauscht oder weitergeleitet werden.

· Pointer (PTR) Zum Zuordnen eines umgekehrten DNS-Domänennamens auf der Grundlage der IP-Adresse eines Computers, die auf den weitergeleiteten DNS-Domänennamen dieses Computers verweist.

· Service location (SRV) Zum Zuordnen eines DNS-Domänennamens zu einer angegebenen Liste mit DNS-Hostcomputern, die eine bestimmte Dienstart (z. B. Active Directory-Domänencontroller) anbieten.

· Weitere Ressourceneinträge entsprechend den aktuellen Anforderungen.

Ressourceneinträge für Host (A)

Ressourceneinträge für Host (A) werden in einer Zone verwendet, um DNS-Domänennamen von Computern (oder Hosts) ihren IP-Adressen zuzuordnen. Sie können einer Zone auf unterschiedliche Weise hinzugefügt werden:

· Sie können mit Hilfe der DNS-Konsole manuell einen A-Ressourceneintrag für einen TCP/IP-Clientcomputer erstellen.

· Windows 2000-Computer verwenden den DHCP-Clientdienst, um bei einer Änderung der IP-Konfiguration die eigenen A-Ressourceneinträge in DNS dynamisch zu registrieren und zu aktualisieren.

· Bei DHCP-Clientcomputern mit früheren Versionen von Microsoft-Betriebssystemen können die A-Ressourceneinträge nach Proxy registriert und aktualisiert werden, wenn die IP-Lease von einem qualifizierten DHCP-Server stammt (dieses Feature wird gegenwärtig nur durch den im Lieferumfang von Windows 2000 Server enthaltenen DHCP-Dienst unterstützt).

Der Ressourceneintrag für Host (A) ist zwar nicht für alle Computer erforderlich, wird jedoch von Computern benötigt, die gemeinsam auf Ressourcen in einem Netzwerk zugreifen. Alle Computer, die Ressourcen gemeinsam nutzen und über ihre DNS-Domänennamen erkannt werden, müssen A-Ressourceneinträge verwenden, um der IP-Adresse des Computers die DNS-Namensauflösung zu ermöglichen.

Die meisten in einer Zone erforderlichen A-Ressourceneinträge können andere Arbeitsstationen oder Server, die gemeinsam auf Ressourcen zugreifen, andere DNS-Server, Mailserver sowie Webserver umfassen. Diese Ressourceneinträge stellen die Mehrheit der Ressourceneinträge in der Datenbank einer Zone dar.

Alias-Ressourceneinträge (CNAME)

Alias-Ressourceneinträge (CNAME) werden auch als so genannte kanonische Namen bezeichnet. Mit Hilfe dieser Einträge können Sie mit mehreren Namen auf einen einzigen Host verweisen, wodurch es leichter wird, auf einem Computer einen FTP-Server und einen Webserver zu verwenden. Allgemein bekannte Servernamen (ftp, www) werden z. B. mit Hilfe von CNAME-Ressourceneinträgen registriert, die dem DNS-Hostnamen, z. B. "server-1", für den Servercomputer zugeordnet sind, auf dem diese Dienste zur Verfügung stehen.

Es wird empfohlen, CNAME-Ressourceneinträge in folgenden Szenarios zu verwenden:

· Wenn ein in einem A-Ressourceneintrag angegebener Host in derselben Zone umbenannt werden muss.

· Wenn über einen generischen Namen für einen bekannten Server, z. B. www, eine Auflösung für eine Gruppe von Computern (jeder mit eigenen A-Ressourceneinträgen) stattfinden soll, die denselben Dienst bieten (dabei kann es sich um eine Gruppe redundanter Webserver handeln).

Beim Umbenennen eines Computers mit einem bestehenden A-Ressourceneintrag in der Zone können Sie vorübergehend einen CNAME-Ressourceneintrag verwenden, um Benutzern und Programmen eine Umstellungsfrist für die Verwendung des neuen Namens zu gewähren. Hierzu müssen folgende Aufgaben ausgeführt werden:

· Für den neuen DNS-Domänennamen des Computers wird der Zone ein neuer A-Ressourceneintrag hinzugefügt.

· Für den alten DNS-Domänennamen wird ein CNAME-Ressourceneintrag hinzugefügt, der auf den neuen A-Ressourceneintrag zeigt.

· Der ursprüngliche A-Ressourceneintrag für den alten DNS-Domänennamen (und ggf. der zugeordnete PTR-Ressourceneintrag) wird aus der Zone entfernt.

Geben Sie beim Verwenden eines CNAME-Ressourceneintrags zum Vergeben eines Alias oder eines neuen Namens für einen Computer eine Frist für die Verwendung des Eintrags in der Zone bis zu seiner Entfernung aus dem DNS an. Wurde der CNAME-Ressourceneintrag versehentlich nicht gelöscht und wird zu einem späteren Zeitpunkt der damit verbundene A-Ressourceneintrag gelöscht, belegt der CNAME-Ressourceneintrag ggf. unnötig Serverressourcen, wenn er versucht, Abfragen nach nicht mehr im Netzwerk verwendeten Namen aufzulösen.

Die häufigste und bevorzugte Verwendung eines CNAME-Eintrags besteht darin, mehreren Computern oder einer IP-Adresse, die auf einem Webserver verwendet werden, einen ständigen, über DNS vergebenen Alias für den Domänennamen zur Verfügung zu stellen, um die generische Namensauflösung eines Dienstnamens, z. B. www.example.microsoft.com zu ermöglichen. Im Folgenden wird die grundlegende Syntax für die Verwendung eines CNAME-Ressourceneintrags erläutert.

Aliasname IN CNAME primärer_kanonischer_Name

In diesem Beispiel soll ein Computer mit dem Namen host-a.example.microsoft.com als Webserver mit dem Namen "www.example.microsoft.com." und gleichzeitig als FTP-Server mit dem Namen "ftp.example.microsoft.com" fungieren. Um den Computer für diesen Zweck zu benennen, können Sie folgende CNAME-Einträge in der Zone example.microsoft.com hinzufügen und verwenden:

host-a IN A 10.0.0.20

ftp IN CNAME host-a

www IN CNAME host-a

Wenn Sie später den FTP-Server auf einen anderen Computer verschieben möchten, der unabhängig vom Webserver auf "host-a" zur Verfügung steht, ändern Sie den CNAME-Ressourceneintrag in der Zone für ftp.example.microsoft.com, und fügen Sie der Zone für den neuen Hostcomputer mit dem FTP-Server einen zusätzlichen A-Ressourceneintrag hinzu.

Entsprechend dem vorhergehenden Beispiel lauten die neuen und überarbeiteten A- und CNAME-Ressourceneinträge folgendermaßen, wenn der neue Computer mit "host-b.example.microsoft.com" benannt wird:

host-a IN A 10.0.0.20

host-b IN A 10.0.0.21

ftp IN CNAME host-b

www IN CNAME host-a

Ressourceneinträge für Mail Exchanger (MX)

Ein MX-Ressourceneintrag wird von E-Mail-Anwendungen verwendet, um einen Mailserver auf der Grundlage eines DNS-Domänennamens zu suchen, der in der Zieladresse für den Empfänger einer E-Mail-Nachricht verwendet wird. Mit einer DNS-Abfrage nach dem Namen "example.microsoft.com" können Sie z. B. einen MX-Ressourceneintrag suchen, so dass über eine E-Mail-Anwendung für einen Benutzer mit der E-Mail-Adresse "user@example.microsoft.com" eine Mail weitergeleitet oder ausgetauscht werden kann.

Über den MX-Ressourceneintrag wird der DNS-Domänenname für den bzw. die Computer angezeigt, auf dem bzw. auf denen Mail-Nachrichten für eine Domäne verarbeitet werden. Wenn mehrere MX-Ressourceneinträge vorhanden sind, wird über den DNS-Clientdienst entsprechend der Priorität eine Verbindung zu den Mailservern hergestellt, vom niedrigsten Wert (höchste Priorität) zum höchsten Wert (niedrigste Priorität). Im Folgenden wird die grundlegende Syntax für die Verwendung eines MX-Ressourceneintrags aufgezeigt.

Mail_Domänenname IN MX Priorität Mailserver_Host

Mit Hilfe der unten aufgeführten MX-Ressourceneinträge in der Zone example.microsoft.com werden an user@example.microsoft.com adressierte Mails zunächst an user@mailserver0.example.microsoft.com gesendet (wenn möglich). Wenn dieser Server nicht zur Verfügung steht, kann der Client für Auflösungsdienste stattdessen den Eintrag user@mailserver1.example.microsoft.com verwenden.

@ IN MX 1 mailserver0

@ IN MX 2 mailserver1

Beachten Sie, dass mit dem Zeichen (@) in den Einträgen darauf hingewiesen wird, dass es sich beim DNS-Domänennamen um denselben Namen (example.microsoft.com) handelt, wie bei dem ursprünglichen Namen für die Zone.

PTR-Ressourceneinträge (Zeiger)

PTR-Ressourceneinträge unterstützen auf der Grundlage von in der in-addr.arpa-Domäne erstellten und residierenden Zonen den Reverse-Lookup-Prozess. Diese Einträge werden verwendet, um über die IP-Adresse nach einem Computer zu suchen und diese Daten in den DNS-Domänennamen für diesen Computer aufzulösen.

PTR-Ressourceneinträge können einer Zone auf verschiedene Weise hinzugefügt werden:

· Sie können mit Hilfe des DNS-Snap-In manuell einen PTR-Ressourceneintrag für einen TCP/IP-Clientcomputer erstellen, entweder als eigenständige Prozedur oder als Teil der Prozedur zum Erstellen eines A-Ressourceneintrags.

· Windows 2000-Computer können mit dem DHCP-Clientdienst bei Änderungen der IP-Konfiguration die PTR-Ressourceneinträge dynamisch registrieren und aktualisieren.

· Bei allen anderen DHCP-Clientcomputern können die PTR-Ressourceneinträge durch den DHCP-Server registriert und aktualisiert werden, wenn die IP-Lease über einen qualifizierten Server vergeben wurde. Der im Lieferumfang von Windows 2000 Server enthaltene DHCP-Dienst bietet diese Möglichkeit.

Der PTR-Ressourceneintrag wird nur in Reverse Lookup-Zonen verwendet, um Reverse Lookup-Vorgänge zu unterstützen.

SRV-Ressourceneinträge (Dienstidentifizierung)

Zum Suchen von Active Directory-Domänencontrollern in Windows 2000 sind SRV-Ressourceneinträge erforderlich. Die manuelle Verwaltung von SRV-Ressourceneinträgen ist in der Regel nicht mehr erforderlich, wenn Sie Active Directory installieren.

In der Standardeinstellung wird über den Assistenten zum Installieren von Active Directory die Liste der bevorzugten oder alternativen DNS-Server nach einem DNS-Server durchsucht, der in den TCP/IP-Clienteigenschaften für eine der aktiven Netzwerkverbindungen konfiguriert wurde. Wenn eine Verbindung mit einem DNS-Server hergestellt wird, der die dynamische Aktualisierung des SRV-Ressourceneintrags (und anderer Ressourceneinträge, die mit dem Registrieren von Active Directory als Dienst in DNS zusammenhängen) akzeptiert, ist der Konfigurationsprozess abgeschlossen.

Wenn während der Installation kein DNS-Server gefunden wird, der Aktualisierungen des zum Benennen des Active Directory erforderlichen DNS-Domänennamen akzeptiert, kann lokal ein Windows 2000-DNS-Server installiert und automatisch mit einer Zone auf der Grundlage der Active Directory-Domäne konfiguriert werden.

Handelt es sich bei der als erste in der Gesamtstruktur ausgewählten Active Directory-Domäne um example.microsoft.com, wird eine Zone im DNS-Domänennamen namens example.microsoft.com hinzugefügt und so konfiguriert, dass sie mit dem DNS-Server auf dem neuen Domänencontroller ausgeführt werden kann.

Wenn der im Lieferumfang von Windows 2000 enthaltene DNS-Server nicht installiert wird, wird während des Installationsprozesses von Active Directory eine Datei (Netlogon.dns) geschrieben und erstellt, in der die SRV-Ressourceneinträge sowie weitere für die Unterstützung von Active Directory notwendigen Ressourceneinträge enthalten sind. Diese Datei wird im Ordner %SystemRoot%\System32\Config erstellt.

Wenn Sie mit einem DNS-Server arbeiten, auf den eine der folgenden Beschreibungen zutrifft, verwenden Sie die Einträge in Netlogon.dns, um die primäre Zone auf diesem Server manuell für die Unterstützung von Active Directory zu konfigurieren.

Der Computer, auf dem der DNS-Server zur Verfügung steht, wird auf einer anderen Plattform ausgeführt, z. B. UNIX, und kann dynamische Aktualisierungen nicht akzeptieren oder erkennen.
Der DNS-Server auf diesem Computer ist autorisierend für die primäre Zone, die dem DNS-Domänennamen für die Active Directory-Domäne entspricht.
Wie im Internetentwurf "A DNS RR specifying the location# of services (DNS SRV)" definiert, wird der SRV-Ressourceneintrag zwar über den DNS-Server unterstützt, aber es werden keine dynamischen Aktualisierungen unterstützt.
Der im Lieferumfang von Windows NT Server 4.0 enthaltene DNS-Dienst entspricht dieser Beschreibung, wenn eine Aktualisierung auf Service Pack 4 oder höher stattfindet.

In zukünftigen Versionen kann der SRV-Eintrag auch verwendet werden, um andere bekannte TCP/IP-Dienste im Netzwerk zu registrieren und zu suchen, wenn mit den entsprechenden Anwendungen DNS-Namensabfragen implementiert und unterstützt werden, die diesen Eintragstyp angeben.

Um auch DNS-Einträge auflösen zu können, die außerhalb des privaten Netzwerks liegen, muss die Weiterleitung aktiviert werden (hier ist die IP-Adresse eines externen DNS-Servers angegeben):

Die Hinweise auf das Stammverzeichnis sind nur dann sichtbar, wenn der DNS-Server keine Zone mit dem Namen "." (Punkt) aufweist. Diese Hinweise sind auch in der Datei CACHE.DNS ("Hints") enthalten, die im Verzeichnis c:\winnt\system32\dns enthalten ist.

Wichtig: Ein DNS-Server mit der "."-Zone ist selbst Root-Server; Internet-Namensauflösungen sind daher über einen solchen DNS-Server nicht möglich!

In der erweiterten Ansicht sind die bereits durchgeführten Lookup-Vorgänge im Internet sichtbar:

11.5 Abfragen eines DNS-Servers mit dem Kommandozeilenprogramm nslookup

Befehle: (Kennungen werden in Großbuchstaben angezeigt, [] steht für optional)

NAME - Info über Host/Domäne NAME

(verwendet Standardserver)

NAME1 NAME2 - Wie oben; verwendet NAME2 als Server

help oder ? - Info über allgemeine Befehle; siehe auch

nslookup(1)

set OPTION - Legt eine Option fest

all - Zeigt alle Optionen, aktuelle Server und

Hosts an

[no]debug - Zeigt Debuginformationen an

[no]d2 - Zeigt ausführliche Debuginformationen an

[no]defname - Fügt jeder Abfrage den Domänenname an

[no]recurse - Rekursive Antwort auf Anfrage

[no]search - Verwendet die Domänensuchliste

[no]vc - Verwendet immer einen "virtual circuit"

domain=NAME - Legt den Standarddomänennamen mit NAME fest

srchlist=N1[/N2/.../N6] - Legt Domäne mit N1 und Suchliste mit

N1,N2.. fest

root=NAME - Legt den Stammserver mit NAME fest

retry=X - Legt die Anzahl der Neuversuche mit X fest

timeout=X - Legt das erste Zeitüberschreitungsintervall

mit X Sekunden fest

querytype=X - Legt den Abfragetyp fest, z.B.

A,ANY,CNAME,HINFO,NS,SOA,WKS

type=X - Synonym mit "querytype"

class=X - Legt die Abfrageklasse mit IN, CHAOS,

HESIOD oder ANY fest

server NAME - Legt mit dem akt. Server den Standardserver

mit NAME fest

lserver NAME - Legt mit dem 1. Server den Standardserver

mit NAME fest

finger [USER] - Führt den Befehl "finger" für NAME aus

root - Legt den aktuellen Standardserver mit

"root" fest

ls [opt] DOMÄNE [> DATEI] - Zeigt Adressen in DOMÄNE an

(Ausgabe in DATEI)

-a - Führt kanonische Namen und Aliase auf

-d - Führt alle Einträge auf

-t TYP - Führt die Einträge des Typs auf

(z.B. A, CNAME, MX, usw.)

view DATEI - Sortiert eine "ls"-Outputdatei und zeigt

sie mit "pg" an

exit - Beendet das Programm, auch EOF (z.B. ^D)

möglich

Beispiel 1:

C:\>nslookup

*** Der Servername für die Adresse 194.96.13.3 konnte nicht gefunden werden:

Server failed

*** Die Standardserver sind nicht verfügbar.

Standardserver: UnKnown

Address: 194.96.13.3

> www.noe.wifi.at.

Server: UnKnown

Address: 194.96.13.3

Name: www.noe.wifi.at

Address: 194.96.13.5

> set type=any Damit können erweiterte Informationen abgerufen werden!

> www.noe.wifi.at

Server: UnKnown

Address: 194.96.13.3

www.noe.wifi.at internet address = 194.96.13.5

noe.wifi.at nameserver = ns.noe.wifi.at

noe.wifi.at nameserver = ns1.via.at

ns.noe.wifi.at internet address = 194.96.13.3

ns1.via.at internet address = 194.

Beispiel 2: Beachten Sie den Punkt am Ende der Adresse (Root Domain!)

C:\>nslookup www.microsoft.com.

*** Der Servername für die Adresse 194.96.13.3 konnte nicht gefunden werden:

Server failed

*** Die Standardserver sind nicht verfügbar.

Server: UnKnown

Address: 194.96.13.3

Nicht autorisierte Antwort:

Name: microsoft.com

Addresses: 207.46.130.149, 207.46.130.45, 207.46.131.137, 207.46.131.30

207.46.130.14

Aliases: www.microsoft.com

Beispiel 3:

> www.sbg.wifi.at

Server: UnKnown

Address: 194.96.13.3

Nicht autorisierte Antwort:

www.sbg.wifi.at canonical name = WEBWIFI.sbg.wifi.at

sbg.wifi.at nameserver = ns2.sbg.wifi.at

sbg.wifi.at nameserver = ns.sbg.wifi.at

ns2.sbg.wifi.at internet address = 193.83.60.252

ns.sbg.wifi.at internet address = 193.83.60.251

> WEBWIFI.sbg.wifi.at

Server: UnKnown

Address: 194.96.13.3

Nicht autorisierte Antwort:

WEBWIFI.sbg.wifi.at internet address = 193.83.60.233

sbg.wifi.at nameserver = ns2.sbg.wifi.at

sbg.wifi.at nameserver = ns.sbg.wifi.at

ns2.sbg.wifi.at internet address = 193.83.60.252

ns.sbg.wifi.at internet address = 193.83.60.251

Beispiel 4: www.via.at

C:\>nslookup

> set type=any

> www.via.at

Server: UnKnown

Address: 194.96.13.3

Nicht autorisierte Antwort:

www.via.at internet address = 194.96.203.221

via.at nameserver = ns1.via.at

via.at nameserver = ns2.via.at

ns1.via.at internet address = 194.41.60.10

ns2.via.at internet address = 194.41.60.16

> 221.203.96.194.in-addr.arpa. Achtung: Man muss die gefundene Adresse von hinten eingeben!

Server: UnKnown

Address: 194.96.13.3

Nicht autorisierte Antwort:

221.203.96.194.in-addr.arpa name = www.via.at

203.96.194.in-addr.arpa nameserver = ns1.via.at

203.96.194.in-addr.arpa nameserver = ns2.via.at

ns1.via.at internet address = 194.41.60.10

ns2.via.at internet address = 194.41.60.16

Beispiel 5: Auflistung aller Rechner in einer Zone

C:\>nslookup

> ls noe.wifi.at

noe.wifi.at. NS server = ns.noe.wifi.at

noe.wifi.at. NS server = ns1.via.at

www A 194.96.13.5

www2 A 194.96.13.3

ns A 194.96.13.3

kurs A 194.96.13.8

ns2 A 194.96.13.5

12 Internet-Grundlagen

Das Internet ist das derzeit größte weltumspannende Datennetz. Es besteht aus einer Vielzahl kleinerer und größerer Regionalnetze und enthält wirtschaftlich orientierte Informationen, Mailboxen, Forschungs-Datenbanken.

Zahl der Internet Hosts (als "Host" – englisch für „Gastgeber“ – bezeichnet man allgemein Geräte in Netzwerken, die unter bestimmten Voraussetzungen von anderen Geräten aus erreicht werden können; hier sind also erreichbare Webserver gemeint, die einen zugewiesenen Domänennamen besitzen):

1971	23
Aug 1981	213
Aug 1983	562
Okt 1984	1.024
Okt 1985	1.961
Dez 1987	28.174
Jul 1989	130.000
Jan 1991	376.000
Jan 1992	727.000
Jan 1993	1.313.000
Jan 1994	2.217.000
Jan 1995	4.852.000
Jan 1996	9.472.000
Jan 1997	16.156.000
Jan 1998	29.670.000
Jul 1998	36.739.000
Jan 1999	43.230.000
Jul 1999	56.218.000
Jan 2000	72.398.092
Jul 2000	93.047.785
Jan 2001	109.574.429
Jul 2001	125,888,197
Jan 2002	147,344,723
Jul 2002	162,128,493
Jan 2003	171,638,297
Jan 2004	233.101.481

Quelle: http://www.isc.org

12.1 Historische Entwicklung

Bereits 1958 hatte die RAND-Corporation die Idee eines dezentralen Kommunikationssystems.

Das Internet entwickelte sich aus dem 1969 entstandenen ARPANet (Advanced Research Projects Agency, 1. Knoten an der UCLA) des amerikanischen Verteidigungsministeriums. Immer mehr Universitäten und Bildungseinrichtungen schlossen sich ans Netz an, wodurch sich das Netz immer schneller weltweit ausdehnte. 1972 hatte das ARPANet bereits 27 Knoten. 1989 wurde das ARPANet eingestellt.

Die einzige „Gemeinsamkeit“ im Internet ist das TCP/IP-Netzwerkprotokoll (Transmission Control Protocol/Internet Protocol), das vom Betriebssystem UNIX stammt und seit 1977 im Internet verwendet wird. Die Daten werden von diesem Protokoll in "Pakete" zerlegt, die selbständig übertragen werden. Die Pakete können über verschiedene Wege und ungeordnet den Empfänger erreichen.

Internet-Benutzer Ende 2002 (Quelle: www.c-i-a.com)

Land	Internet-Benutzer in Mio.
U.S.	160,7
Japan	64,8
U.K.	27,2
Kanada	17,8
Deutschland	30,4
Australien	10,5
Russland	13,5
China	54,5
Frankreich	16,7
Südkorea	26,9
Taiwan	9,5
Italien	20,9
Indien	16,6
Brasilien	15,8
Spanien	10,4
Weltweit	665,9

12.2 Wie komme ich ins Internet?

Technisch werden folgende Dinge benötigt:

· einen Telefon-Wählanschluss oder einen Breitband-Internetanschluss

· einen Internet Service Provider (ISP), das ist eine Institution (Firma), die den Internet-Zugang („Account“) herstellt. Solche „Einwählpunkte“ (POPs = Points of Presence) finden sich in jeder größeren Stadt. Im Allgemeinen muss der Anwender mit dem Provider einen Vertrag abschließen, in welchem der Art, die Dauer der Zugangs etc. geregelt werden muss. Für die Dienste des Providers muss bezahlt werden! Eine Liste aller österreichischen Provider findet man unter www.pop.at/provider/ oder unter www.pcnews.at.

Beispiele für Internet-Provider in Österreich (Auswahl; Reihenfolge alphabetisch!):

Provider	Homepage	Hotline
A-Online (AON)	www.aon.at, www.jet2web.net	0800-100 130
Netway	www.netway.at	01-217 19 100
Nextra	www.nextra.at	01- 525 33-0
UTA Telecom AG	www.utanet.at	0800- 882 882
Vianet	www.via.at	01 - 40 40 20
WVNet	www.wvnet.at	0 28 22 - 536 33-0
eTel	www.etel.at	08000 08000

· ein TCP/IP-Netzwerktreiber: Um einen Rechner direkt ans Internet anzuschließen, ist ein TCP/IP-Treiber erforderlich, der die Datenpakete über das Modem „direkt ins Internet“ weitergibt. Diese Treiber greifen auf das PPP (Point to Point Protocol) zurück. In allen aktuellen Betriebssystemen sind diese Treiber bereits enthalten.

· Client-Software für jeden Dienst, den man im Internet nutzen will.

12.3 Kosten für Internet-Wählverbindungen

Neben den (einmaligen) Anschaffungskosten für Modem, Kabel und Telefonsteckdose muss man mit folgenden laufenden Kosten rechnen:

· Monatliche Kosten für die Inanspruchnahme der Dienste des Providers (können sehr verschieden sein; je nach dem Umfang der Dienste betragen die Kosten zwischen 0 bis 100 €)

· Telefonkosten bis zum nächsten Internet-Knoten, je nach zeitlicher Benützung der Telefonleitung

Die geltenden Onlinetarife (Quelle: www.telekom.at):

Tarif pro Minute in € (inkl. 20 % MWSt)	Geschäftszeit (Mo – Fr werktags 8 – 18 Uhr)	Freizeit (täglich 18 – 8 Uhr sowie Samstag, Sonn- und Feiertag ganztägig)
Standardtarif	0,025	0,013
Geschäftstarif 1	0,023	0,012
Geschäftstarif 2	0,022	0,011

Wichtige Anmerkung: Diese Preise sind Durchschnittspreise bei längerer Online-Verweildauer. Die Verrechnung erfolgt in Wirklichkeit durch Tarifimpulse, die je nach Tarif und Tageszeit in unterschiedlichen Zeitabständen anfallen.

Das Entgelt für einen Tarifimpuls beträgt EUR 0,07674.

Für die Online-Tarife gelten folgende Impulsfolgen:

	Impulsdauer (Sekunden)
Geschäftszeit	120 s
Freizeit	360 s

Die sekundengenaue Abrechnung zum Online-Tarif gibt es derzeit nur bei UTA.

Für welche Telefonnummern gilt der Online-Tarif?

Eine weitere wichtige Anmerkung: Der Online-Tarif gilt nur für bestimmte Telefonnummern! Stellen Sie daher sicher, dass Sie sich zu einem Provider einwählen, dessen Telefonnummer

07189 1xxxx

oder 194xx lautet (= Highway 194 der PTA)

Alternative Telefonanbieter haben eigene Nummernkreise.

12.4 Internet als Teilstreckennetzwerk

Das Internet ist ein so genanntes Teilstrecken-Netzwerk; es genügt, wenn jeder Internet-Knotenrechner mit einem weiteren Knoten verbunden ist. Die physikalische Datenübertragung wird über äußerst leistungsfähige Kabel, so genannte „Backbones“ realisiert.

In letzter Zeit sind viele renommierte Backbone-Anbieter in ernsthafte Schwierigkeiten gekommen; so musste der jahrelange europäische Marktführer „ebone“ (der von KPNQWest betrieben wurde) seine Pforten schließen, auch der weltweit operierende WordCom-Konzern wurde nach finanziellen Schwierigkeiten verkauft bzw. die Restunternehmen neu strukturiert. Als Beispiel eines typischen Backbone-Anbieters nennen wir MCI oder UUNET.

Europäische Backbone-Verbindungen von MCI, Stand Juli 2003 (Quelle: www.mci.com)

13 Internetanbindung von Firmennetzwerken

13.1 ICS (Internet Connection Sharing)

Wenn in einer Workgroup die Betriebssysteme

Windows 98 Second Edition,
Windows ME
Windows 2000 Professional oder
Windows XP Home bzw. Windows XP Professional

verwendet werden, dann besteht die Möglichkeit, einer bestehende Internetverbindung “freizugeben”, sodass aller Mitglieder der Workgroup die auf einem PC eingerichtete Internetverbindung gemeinsam nutzen können.

Konsequenzen:

Der PC, auf dem die Internet-Freigabe eingerichet wird, erhält immer die statische IP-Adresse 192.168.0.1 mit der Subnetz-Maske 255.255.0.0.
Alle PCs im Netzwerk müssen IP-Adressen aus dem APIPA-Block verwenden (automatische private IP-Adressierung, d.h. 169.254.x.y) und dürfen keine statischen IP-Einträge enthalten.
Die bestehende IP-Konfiguration des Netzwerks geht beim Einrichten einer Internet-Freigabe verloren! Das bedeutet, dass diese Methode für Firmennetze meist völlig ungeeignet ist!

Durchführung:

Zeigen Sie die aktuellen DFÜ-Verbindungen an (in Windows 2000 etwa Start – Einstellungen – Netzwerk- und DFÜ-Verbindungen) und wählen Sie im Kontext Ihrer DFÜ-Internet-Verbindung [Eigenschaften]:

In der Karteikarte „Gemeinsame Nutzung“ (Windows XP: „Erweitert“) aktivieren Sie dann das Kontrollkästchen „Gemeinsame Nutzung der Internetverbindung aktivieren“.

13.2 Router

Abbildung: Cisco 800 (ISDN-Router)

Ein Router ist ein Gerät, welches in der Lage ist, Netzwerkadressen zu übersetzen bzw. Datenpakete nach vorgegebenen (programmierten) Gesetzmäßigkeiten weiterzuleiten. So könnte ein Router so programmiert sein, dass er die Schnittstelle zwischen zwei privaten Netzen mit den Netzwerknummern 192.168.43.x und 192.168.54.x darstellt.

Dieser Router muss also in beiden Netzen erreichbar sein, wird also zwei IP-Adressen benötigen, zum Beispiel 192.168.43.254 und 192.168.54.254. So ist der Router von beiden Netzwerken erreichbar; durch die eingestellten Vorgaben werden Datenpakete entweder weitergeleitet („geroutet“) oder zurückgeschickt.

ISDN-Router sind in der Lage, ein kleines Netzwerk an eine gemeinsame ISDN-Leitung anzuschließen und so für alle PCs einen gemeinsamen Internetzugang zu ermöglichen.

Marktführer ist die Firma Cisco, andere bekannte Routerhersteller sind Nortel Networks oder Bay Networks.

13.2.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken:

Bei einer weitergeleiteten Verbindung dient der Windows 2000 Server-Computer als IP-Router, der die Pakete zwischen den SOHO-Hosts und den Internethosts weiterleitet.

Der Windows 2000-Router ist mit einem Netzwerkadapter für das im privaten Netzwerk verwendete Medium (z. B. Ethernet) sowie mit einem ISDN-Adapter oder einem analogen Modem konfiguriert. Sie können dabei eine Standleitung oder andere Technologien für permanente Verbindungen einsetzen, z. B. xDSL und Kabelmodems. In diesem Szenario wird jedoch die häufiger verwendete Konfiguration beschrieben, bei der eine Verbindung für Wählen bei Bedarf mit einem lokalen Internetdienstanbieter hergestellt wird.

Um eine weitergeleitete Verbindung mit dem Internet zu konfigurieren, muss in einem Netzwerk in einem kleinen Büro oder zu Hause Folgendes konfiguriert werden:

Der Windows 2000-Router
Andere Computer im Netzwerk in einem kleinen Büro oder zu Hause

Zum Konfigurieren des Windows 2000-Routers wird wie folgt vorgegangen.

Für das TCP/IP-Protokoll auf dem Windows 2000-Router für die Netzwerkschnittstelle in einem kleinen Büro oder zu Hause wird Folgendes festgelegt:

IP-Adresse (aus dem vom Internetdienstanbieter zugewiesenen Adressbereich)
Subnetzmaske (aus dem vom Internetdienstanbieter zugewiesenen Adressbereich)
DNS-Server (aus der vom Internetdienstanbieter zugewiesenen IP-Adresse)

TCP/IP wird in der Komponente Netzwerk- und DFÜ-Verbindungen über die Eigenschaften des TCP/IP-Protokolls für die lokale Verbindung konfiguriert.

Konfigurieren Sie keinen Standardgateway!

2. Der Routing- und RAS-Dienst wird installiert und aktiviert.

3. Auf dem DFÜ-Anschluss wird Routing aktiviert.

Wenn Sie über eine ständige Verbindung mit dem Internet verfügen, die unter Windows 2000 als LAN-Schnittstelle angezeigt wird (z. B. DDS, T-Carrier, Frame Relay, ISDN, xDSL oder ein Kabelmodem) oder der Windows 2000-Computer keine direkte Verbindung mit dem Internet aufweist, sondern an einen anderen Router angeschlossen wird, fahren Sie mit Schritt 5 fort.

Eine Schnittstelle für Wählen bei Bedarf wird erstellt, um eine Verbindung mit dem Internetdienstanbieter herzustellen.

Eine Schnittstelle für Wählen bei Bedarf wird erstellt, die für IP-Routing konfiguriert ist und die DFÜ-Ausstattung und -Anmeldeinformationen verwendet, die beim Wählen des Internetdienstanbieters verwendet werden.

Eine statische Standardroute unter Verwendung der Internetschnittstelle wird erstellt.

Bei einer statischen Standardroute ist die Schnittstelle für Wählen bei Bedarf (bei DFÜ-Verbindungen) oder die LAN-Schnittstelle (bei permanenten Verbindungen oder Verbindungen über einen zwischengeschalteten Router) ausgewählt, die für die Verbindung mit dem Internet verwendet wird. Das Ziel ist 0.0.0.0, und die Netzwerkmaske lautet 0.0.0.0. Die IP-Adresse des Gateways kann auf der Schnittstelle für Wählen bei Bedarf nicht konfiguriert werden. Bei einer LAN-Schnittstelle, die eine Punkt-zu-Punkt-Verbindung mit dem Internetdienstanbieter darstellt, lautet die Adresse des Gateways 0.0.0.0.

Multicastunterstützung wird konfiguriert (optional).

So fügen Sie einem Netzwerk in einem kleinen Büro oder zu Hause Multicastunterstützung hinzu:

Das IGMP-Routingprotokoll wird hinzugefügt.
Auf der mit dem privaten Netzwerk verbundenen Schnittstelle wird der IGMP-Routermodus aktiviert.
Auf der mit dem Internetdienstanbieter verbundenen Schnittstelle wird der IGMP-Proxymodus aktiviert.

Das TCP/IP-Protokoll auf dem Host in einem kleinen Büro oder zu Hause wird folgendermaßen konfiguriert:

IP-Adresse (aus dem vom Internetdienstanbieter zugewiesenen Adressbereich)
Subnetzmaske (aus dem vom Internetdienstanbieter zugewiesenen Adressbereich)
Standardgateway (die IP-Adresse, die in einem kleinen Büro oder zu Hause dem Netzwerkadapter für den Windows 2000-Router zugewiesen ist)
DNS-Server (aus der vom Internetdienstanbieter zugewiesenen IP-Adresse)

TCP/IP wird in der Komponente Netzwerk- und DFÜ-Verbindungen über die Eigenschaften des TCP/IP-Protokolls für die lokale Verbindung konfiguriert.

Anmerkung

Bei der vorangegangenen Konfiguration von Hosts in einem kleinen Büro oder zu Hause wurde davon ausgegangen, dass TCP/IP manuell konfiguriert ist. Um TCP/IP für Hosts in einem kleinen Büro oder zu Hause automatisch zu konfigurieren, müssen Sie den DHCP-Server installieren und konfigurieren.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig.

13.3 NAT (Network Address Translation)

Mit der Netzwerkadressübersetzung in Windows 2000 können Sie ein privates oder gewerblich genutztes Netzwerk für die gemeinsame Nutzung einer einzelnen Internetverbindung konfigurieren. Die Netzwerkadressübersetzung setzt sich aus folgenden Komponenten zusammen:

Übersetzungskomponente

Der Windows 2000-Router, auf dem die Netzwerkadressübersetzung aktiviert ist und der im Folgenden als NAT-Computer (Network Address Translation) bezeichnet wird, fungiert als Netzwerkadressübersetzer für die IP-Adressen und TCP/UDP-Anschlussnummern der Pakete, die zwischen dem privaten Netzwerk und dem Internet weitergeleitet werden.

Adresskomponente

Der NAT-Computer stellt den anderen Computern im privaten Netzwerk Konfigurationsdaten der IP-Adressen zur Verfügung. Bei der Adresskomponente handelt es sich um einen vereinfachten DHCP-Server, der eine IP-Adresse, eine Subnetzmaske, ein Standardgateway, die IP-Adresse eines DNS-Servers zuweist. Sie müssen die Computer im privaten Netzwerk als DHCP-Clients konfigurieren, um automatisch die IP-Konfiguration zu erhalten. Die standardmäßige TCP/IP-Konfiguration von Windows 2000-, Windows NT-, Windows 95- und Windows 98-Computern entspricht derjenigen eines DHCP-Clients.

Namensauflösungskomponente

Der NAT-Computer übernimmt für die anderen Computer im privaten Netzwerk die Funktion des DNS-Servers. Erhält der NAT-Computer Anforderungen zur Namensauflösung, leitet er diese an die entsprechenden DNS-Server im Internet weiter und sendet die Antworten an den jeweiligen Computer im privaten Netzwerk.

Beispiel:

Angenommen, in einem kleinen Unternehmen wird die Netzwerkkennung 192.168.0.0 für das Intranet verwendet, und der Internetdienstanbieter hat dem Unternehmen die öffentliche Adresse w1.x1.y1.z1 zugewiesen. Bei der Netzwerkadressübersetzung (NAT) werden alle privaten Adressen in 192.168.0.0 auf die IP-Adresse w1.x1.y1.z1 gesetzt. Wenn mehrere private Adressen auf eine einzelne öffentliche Adresse gesetzt werden, verwendet NAT dynamisch ausgewählte TCP- und UDP-Ports, um die Hosts im Intranet voneinander zu unterscheiden.

Anmerkung:

Die Adressen w1.x1.y1.z1 und w2.x2.y2.z2 stehen für gültige öffentliche IP-Adressen, die vom Internet Network Information Center (InterNIC) oder einem Internetdienstanbieter zugewiesen wurden.

Die folgende Abbildung zeigt ein Beispiel, in dem NAT verwendet wird, um Verbindungen zwischen einem Intranet und dem Internet transparent herzustellen.

Wenn ein privater Anwender unter der Adresse 192.168.0.10 einen Webbrowser verwendet, um eine Verbindung mit dem Webserver unter der Adresse w2.x2.y2.z2 herzustellen, wird ein IP-Paket mit den folgenden Informationen erstellt:

IP-Zieladresse: w2.x2.y2.z2

IP-Quelladresse: 192.168.0.10

Zielport: TCP-Port 80

Quellport: TCP-Port 1025

Dieses IP-Paket wird dem NAT-Protokoll übergeben, das die Adressen des ausgehenden Pakets wie folgt ändert:

IP-Zieladresse: w2.x2.y2.z2

IP-Quelladresse: w1.x1.y1.z1

Zielport: TCP-Port 80

Quellport: TCP-Port 5000

Das NAT-Protokoll zeichnet die Zuordnung von {192.168.0.10, TCP 1025} zu {w1.x1.y1.z1, TCP 5000} in einer Tabelle auf.

Das so übersetzte IP-Paket wird über das Internet gesendet. Die Antwort wird zurückgesendet und vom NAT-Protokoll empfangen. Beim Empfang enthält das Paket die folgenden Informationen zur öffentlichen Adresse:

IP-Zieladresse: w1.x1.y1.z1

IP-Quelladresse: w2.x2.y2.z2

Zielport: TCP-Port 5000

Quellport: TCP-Port 80

Das NAT-Protokoll schlägt in der Übersetzungstabelle nach, setzt die öffentlichen Adressen wieder auf die privaten Adressen um und übermittelt das Datenpaket an den Computer unter der Adresse 192.168.0.10. Das übermittelte Datenpaket enthält die folgenden Adressinformationen:

IP-Zieladresse: 192.168.0.10

IP-Quelladresse: w2.x2.y2.z2

Zielport: TCP-Port 1025

Quellport: TCP-Port 80

Bei Datenpaketen, die vom NAT-Protokoll ausgehen, wird die IP-Quelladresse (eine private Adresse) auf die vom ISP zugewiesene Adresse (eine öffentliche Adresse) gesetzt, und die TCP- bzw. UDP-Portnummern werden auf andere TCP- bzw. UDP-Portnummern umgesetzt.

Bei Datenpaketen, die vom NAT-Protokoll empfangen werden, wird die IP-Zieladresse (eine öffentliche Adresse) auf die ursprüngliche Adresse im Intranet (eine private Adresse) gesetzt, und die TCP- bzw. UDP-Portnummern werden auf die ursprünglichen TCP- bzw. UDP-Portnummern zurückgesetzt.

Anmerkung

Pakete, bei denen die IP-Adresse lediglich im IP-Header vermerkt ist, werden vom NAT-Protokoll ordnungsgemäß übersetzt. Pakete, bei denen die IP-Adresse in den IP-Nutzdaten enthalten ist, werden vom NAT-Protokoll möglicherweise nicht ordnungsgemäß übersetzt.

13.3.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken:

Bei einer übersetzten Verbindung dient der Windows 2000 Server-Computer als NAT (Netzwerkadressübersetzer), d. h., als IP-Router, der die Adressen der Pakete übersetzt, die zwischen den SOHO-Hosts und den Internethosts weitergeleitet werden.

Sie können die folgenden IP-Adressen des InterNIC als IDs für private IP-Netzwerke verwenden: 10.0.0.0 mit der Subnetzmaske 255.0.0.0, 172.16.0.0 mit der Subnetzmaske 255.240.0.0 und 192.168.0.0 mit der Subnetzmaske 255.255.0.0. In der Standardeinstellung wird bei der Netzwerkadressübersetzung die Netzwerkkennung 192.168.0.0 mit der Subnetzmaske 255.255.255.0 für das private Netzwerk verwendet.

So aktivieren Sie die Adressierung für die Netzwerkadressübersetzung:

Öffnen Sie Routing und RAS.
Klicken Sie in der Konsolenstruktur auf Verbindungsfreigabe (NAT).

Routing und RAS

o Servername

o IP-Routing

o NAT

Klicken Sie mit der rechten Maustaste auf Verbindungsfreigabe (NAT), und klicken Sie auf Eigenschaften.
Aktivieren Sie auf der Registerkarte Adressierung das Kontrollkästchen Automatische Adresszuweisung für Computer des privaten Netzwerks.
Konfigurieren Sie ggf. unter Vom Netzwerk zuweisen und Mit Hilfe der Netzwerkmaske den Bereich der IP-Adressen, die den DHCP-Clients im privaten Netzwerk zugeordnet werden sollen.
Klicken Sie ggf. auf Ausschlüsse, konfigurieren Sie die Adressen, die von der Zuordnung zu DHCP-Clients im privaten Netzwerk auszuschließen sind, und klicken Sie dann auf OK.

Wenn Sie eine öffentliche IP-Adresse verwenden, die Ihnen nicht vom InterNIC oder Ihrem Internetdienstanbieter zugewiesen wurde, verwenden Sie möglicherweise die IP-Netzwerkkennung einer anderen Organisation im Internet. Dies ist auch als ungültige oder überlappende IP-Adressierung bekannt. Wenn Sie überlappende IP-Adressen verwenden, können Sie die Internetressourcen, die sich an diesen Adressen befinden, nicht erreichen. Wenn Sie z. B. die Adresse 1.0.0.0 mit der Subnetzmaske 255.0.0.0 verwenden, können Sie die Internetressourcen der Organisation, die das Netzwerk 1.0.0.0 verwendet, nicht erreichen.

Sie können auch bestimmte IP-Adressen aus dem eingestellten Bereich ausschließen. Die ausgeschlossenen Adressen werden keinem Host im privaten Netzwerk zugewiesen.

Wenn Sie eine einzelne öffentliche IP-Adresse verwenden, die Ihnen vom Internetdienstanbieter zugewiesen wurde, müssen Sie keine Änderung an der IP-Adresskonfiguration vornehmen. Wenn Sie mehrere von Ihrem Internetdienstanbieter zugewiesene IP-Adressen verwenden, müssen Sie die NAT-Schnittstelle (Netzwerkadressübersetzung) auf den IP-Adressbereich einstellen. Sie sollten feststellen, ob sich der IP-Adressbereich, der Ihnen vom Internetdienstanbieter zugewiesen wurde, als Kombination aus IP-Adresse und Subnetzmaske ausdrücken lässt.

Wenn Ihnen eine Reihe von Adressen zugewiesen wurde, die eine 2er-Potenz darstellt (also 2, 4, 8, 16 usw.), können Sie diesen Bereich als Kombination einer einzelnen IP-Adresse und einer Subnetzmaske ausdrücken. Wenn Sie von Ihrem Internetdienstanbieter z. B. die öffentlichen IP-Adressen 200.100.100.212, 200.100.100.213, 200.100.100.214 und 200.100.100.215 erhalten haben, können Sie diese vier Adressen als 200.100.100.212 mit der Subnetzmaske 255.255.255.252 ausdrücken.

Wenn sich die IP-Adressen nicht als Kombination einer einzelnen IP-Adresse und einer Subnetzmaske ausdrücken lassen, können Sie sie als Bereich oder Reihe von Bereichen eingeben, indem Sie jeweils die erste und die letzte IP-Adresse angeben.

Beim typischen Einsatz der Netzwerkadressübersetzung (NAT) bei Anwendern zu Hause oder in einem kleineren Unternehmen sind lediglich ausgehende Verbindungen vom privaten Netzwerk in das öffentliche Netzwerk zulässig. Programme, z. B. Webbrowser, die im privaten Netzwerk ausgeführt werden, bauen Netzwerkverbindungen zu Ressourcen im Internet auf. Der gegenläufige Datenverkehr aus dem Internet kann die NAT überqueren, da die Verbindung aus dem privaten Netzwerk heraus initiiert wurde.

Wenn Sie den Zugriff auf Ressourcen im privaten Netzwerk aus dem Internet heraus freigeben möchten, führen Sie die folgenden Schritte durch:

Richten Sie eine statische IP-Adresskonfiguration auf dem Ressourcenserver ein. Dies beinhaltet die IP-Adresse (aus dem Bereich der IP-Adressen, die der NAT-Computer zuweist), die Subnetzmaske (aus dem Bereich der IP-Adressen, die der NAT-Computer zuweist), den Standardgateway (die private IP-Adresse des NAT-Computers) und den DNS-Server (die private IP-Adresse des NAT-Computers).
Schließen Sie die IP-Adresse des Ressourcenservers aus dem Bereich der IP-Adressen aus, die der NAT-Computer zuweisen kann.
Konfigurieren Sie einen speziellen Port. Ein spezieller Port stellt eine statische Abbildung einer öffentlichen Adresse mit Portnummer auf eine private Adresse mit Portnummer dar. Mit einem speziellen Port wird eine eingehende Verbindung aus dem Internet auf eine bestimmte Adresse im privaten Netzwerk gelegt. Durch die Verwendung eines speziellen Ports können Sie einen Webserver im privaten Netzwerk erstellen, auf den aus dem Internet zugegriffen werden kann.

Möglicherweise müssen Anwendungen und Dienste konfiguriert werden, damit sie im Internet fehlerfrei funktionieren. Wenn z. B. die Anwender im Netzwerk in einem kleinen Büro oder zu Hause (auch bekannt als SOHO = Small Office/Home Office) das Spiel Diablo mit anderen Anwendern im Internet spielen möchten, muss die Netzwerkadressübersetzung für die Anwendung Diablo konfiguriert werden.

13.3.2 VPN-Verbindungen von einem SOHO-Netzwerk mit Netzwerkadressübersetzung

Wenn Sie mit Hilfe einer VPN-Verbindung (virtuelles privates Netzwerk) von einem SOHO-Netzwerk mit Netzwerkadressübersetzung auf ein privates Intranet zugreifen möchten, können Sie das Point-to-Point-Tunneling-Protokoll (PPTP) verwenden und die VPN-Verbindung vom Host im SOHO-Netzwerk zum VPN-Server des privaten Intranets im Internet herstellen. Das NAT-Routingprotokoll verfügt über einen NAT-Editor für PPTP-Datenverkehr. Über einen NAT-Computer können keine Verbindungen mit dem Layer-2-Tunneling-Protokoll (L2TP) auf Internet Protocol Security (IPSec) aufgebaut werden.

13.4 Proxy-Server

13.4.1 Grundlagen

Ein Proxy-Server ist eine Software, die auf dem PC installiert ist, der den Internet-Zugang besitzt. Es kann sich hier um einen Wählzugang (Modem, ISDN-Karte) oder um einen Standleitungszugang (ADSL, Kabelmodem, Powerline) handeln.

Diese Software erfüllt verschiedene Aufgaben:

Sie sammelt die Anfragen von allen PCs im Netz, die auf den Proxy-Server zugreifen, und führt diese Anfragen durch. So wird bei Bedarf die Einwahl durchgeführt und nötige Webdateien heruntergeladen.
Die heruntergeladenen Dateien werden zwischengespeichert; Vorteil: bei wiederholten Anfragen brauchen die Dateien nicht mehr vom Internet geholt werden, sondern befinden sich bereits lokal auf der Festplatte des Proxy-Servers und werden nur mehr von dort an den Client versandt.
Leistungsfähige Proxy-Server enthalten auch einen Firewall, der vor Angriffen durch Hacker schützt.

13.4.2 Marktüberblick:

Beispiele für Proxy Server, oft kombiniert mit NAT- und Firewall-Technologie::

WinProxy (www.ositis.com)
WinGate (www.wingate.at)
JanaServer (www.janaserver.de)
Microsoft ISA Server (Internet Security and Access Server)
Squid (Linux-Produkt, kostenloser Download unter www.squid-cache.org)

13.4.3 Funktionsweise eines Proxy Servers

Beim WWW-Caching werden Dokumente, die von einem Browser angefordert werden, nicht direkt beim ursprünglichen Server geholt, sondern via einem so genannten Proxy-Server, der möglichst in der Nähe des Browsers installiert ist. Der Proxy-Server ist im Prinzip ein riesiges Reservoir an (kürzlich) angeforderten Dokumenten, welche vom Server in bezug auf ihre Aktualität verwaltet werden und allen Browsern zur Verfügung stehen, welche den Proxy-Server benutzen. Falls der Proxy-Server ein Dokument noch nicht kennt, oder die bekannte Version in bezug auf bestimmte Kriterien veraltet ist, so fordert er die aktuelle Version selbständig beim ursprünglichen Server an und schickt sie an den anfragenden Browser weiter. Damit kann der Netzwerkverkehr wesentlich reduziert werden, insbesondere dann, wenn viele Browser den gleichen Proxy-Server benutzen und/oder wenn dieselben Dokumente immer wieder von weit her geholt werden müssen (z.B. aus den USA). Der Betrieb eines Proxy-Servers ist somit nicht nur aus Kostengründen sehr vorteilhaft, er führt bei „bekannten“ Dokumenten auch zu wesentlich kürzeren Antwortzeiten.

Ein Proxy-Server (engl. Proxy: Stellvertreter, Bevollmächtigter), auch Application Level Gateway genannt, erlaubt dem Netzwerk-Administrator die Installation von strengeren Sicherheitsregeln als dies bei einem Paketfilterungs-Router möglich ist. Der Server dient als sicheres Gateway zwischen einem privaten und einem öffentlichen (ungesicherten) Netz. Als Gateway bezeichnet man entweder die Software, die eine Verbindung zwischen zwei Netzwerken herstellt, oder den Computer, auf dem diese Software ausgeführt wird.

Ein Proxy-Server dient nebenbei zur Zwischenspeicherung von Web-Inhalten und kann als erweiterbare Firewall verwendet werden. Das ermöglicht gleichzeitig Datensicherheit und einen schnelleren Zugriff auf Internetinhalte. Der Proxy hat dabei zwei Gesichter: Für den lokalen Client operiert er beim Abruf eines Web-Dokuments wie ein Webserver. Gegenüber dem entfernten Internet-Server tritt er wie ein Webclient auf. Proxy-Server sprechen aber nicht nur HTTP, sondern beherrschen auch Dienste wie FTP, POP3 oder IRC - allerdings abhängig vom jeweiligen Produkt. Da sie als einziger Knotenpunkt zwischen lokalem und globalem Netz geschaltet sind, schützen sie zudem die lokalen Clients. Denn nur der Proxy-Server ist Angriffen von außen ausgesetzt. Die Clients liegen "unsichtbar" hinter ihm.

Vorteile eines Proxy-Servers

Das Betriebssystem auf Client-Seite spielt prinzipiell keine Rolle. Nur spezielle Funktionen wie beispielsweise eine automatische Konfiguration der Clients oder das Trennen einer Internet-Verbindung vom Client funktionieren lediglich von Windows-Clients aus.

Daneben lässt sich für jeden Dienst wie FTP oder HTTP ein separater Proxy einrichten. Unerwünschte Dienste filtert der Proxy heraus. Zudem findet kein direkter Paketfluss zwischen internen und externen Rechnern statt.

13.4.4 Methode

Ein Proxy-Server hat im wesentlichen die folgenden Eigenschaften:

Gegenüber einem Browser (Client) sieht er aus wie ein WWW-Server.
Gegenüber einem WWW-Server sieht er aus wie ein Client.
Er besitzt einen riesigen Speicher (cache), in dem er Dokumente speichert, die von den mit ihm verbundenen Browsern angefordert worden sind.
Fordert ein Browser ein Dokument an, so prüft der Proxy-Server zuerst, ob er dieses Dokument bereits im Speicher hat. Falls ja, so prüft er nach, ob das Dokument in bezug auf bestimmte Kriterien noch aktuell ist. Ist es das, so schickt er es dem Browser direkt zurück, andernfalls schickt er dem ursprünglichen Server eine Anfrage, ob das Dokument in der Zwischenzeit modifiziert worden ist. Falls ja, so fordert er das neue Dokument an und schickt es an den Browser weiter, andernfalls schickt er dem Browser das bereits gespeicherte Dokument.
Falls der Proxy-Server ein angefordertes Dokument noch nicht kennt, so gibt es mehrere Möglichkeiten:

Er fordert es direkt beim ursprünglichen Server an.
Er fordert es bei einem sog. parent-proxy an, einem Proxy-Server des Proxy-Servers.
Er schickt eine Anfrage an einen sog. sibling-proxy (ein 'Geschwister'-proxy mit demselben parent), ob dieser eine aktuelle Version des Dokumentes hat. Falls ja, so holt er es dort, falls nein, so holt er es direkt beim ursprünglichen Server.

Ein „reload“ des Browsers bewirkt immer, dass eine Rückfrage beim ursprünglichen Server (bzw. bei einem parent-proxy) erfolgt. Damit ist gewährleistet, dass der Proxy-Server immer die aktuelle Version des Dokumentes an den Browser zurückschickt.

13.4.5 Firewalls

Eine Firewall in Computern ist eine logische Vorrichtung, die ein privates Netz vor dem öffentlichen Teil (Internet) schützt.

Funktionsprinzip:

Ein Computer mit installierter Routing-Software und 2 Schnittstellen (z.B. serielle Schnittstellen, Ethernet, Token Ring, usw.). Das Internet ist mit einer Schnittstelle verbunden, das zu schützende private Netz mit der anderen Schnittstelle. Jetzt, haben Sie zwei verschiedene Netze, die sich einen Computer teilen.

Der Firewall-Computer, von jetzt an »Firewall« genannt, kann beide Seiten erreichen, das geschützte private Netz und das Internet. Niemand aus dem geschützten Netz kann das Internet erreichen, und aus dem Internet kann niemand in das geschützte Netz.

Damit jemand das Internet vom geschützten Netz aus erreichen kann, muß er eine Telnet-Verbindung zum Firewall aufbauen und das Internet von dort aus benutzen. Entsprechend, um eine Verbindung vom Internet aus in das geschützte Netz zu bekommen, muß man auch durch den Firewall gehen.

Dieses stellt eine ausgezeichnete Sicherheit gegen Angriffe aus dem Internet dar. Falls jemand einen Angriff gegen das geschützte Netz machen will, muß er zuerst durch den Firewall gehen. Ein 2-stufiger Zugang zum gesicherten Netz ist resistent gegen Angriffe. Falls jemand das geschützte Netz über eine gemeinere Methode angreifen will, wie z.B. Mail-Bombe oder den berüchtigten »Internet Wurm«, werden sie nicht in der Lage sein das geschützte Netz zu erreichen. Dies ist ein ausgezeichneter Schutz.

Nachteile einer Firewall

Das größte Problem einer Firewall ist, dass er den Zugang zum Internet von der Innenseite kommend stark hemmt. Grundsätzlich reduziert er den Gebrauch des Internets dahingehend, als ob man nur einen „Dial-Up Shell Zugang“ haben würde. Sich in den Firewall einloggen zu müssen, um vollen Internet-Zugang zu haben ist eine starke Beeinschränkung.

Programme wie Netscape, die eine direkte Internet-Verbindung benötigen, werden hinter einem Firewall nicht arbeiten. Die Antwort zu diesem Problem hat ein Proxy-Server. Proxy-Server erlauben ein direktes Erreichen des Internets hinter einem Firewall.

Um die Möglichkeit, von einem Computer im geschützten Netz mit Netscape im Web zu lesen, anbieten zu können, setzt man einen Proxy-Server auf den Firewall auf. Der Proxy-Server würde so konfiguriert werden, dass ein Computer vom eigentlichen Port 80 des Firewalls zum Port 1080 des Proxy verbunden wird, um alle Verbindungen zu den richtigen Adressen umzuleiten.

Der große Vorteil von Proxy-Servern ist die absolute Sicherheit, wenn sie korrekt konfiguriert sind. Sie werden niemanden erlauben sie zu umgehen. Der Proxy-Server ist vor allem eine Sicherheitsvorrichtung. Seine Benutzung für einen Internet-Zugang mit begrenzten IP-Adressen wird viele Nachteile haben.

Ein Proxy-Server bietet Zugang von innerhalb des geschütztes Netzes zur Außenseite, aber die Innenseite wird völlig unerreichbar für die Außenseite bleiben. Dieses bedeutet keine Server-, Talk- oder Archie-Verbindungen, oder direkte Emails zu den Computern im geschützten Netz. Diese Nachteile können gering erscheinen, aber bedenken sie: Es liegt ein Dokument auf Ihrem Computer innerhalb eines per Firewall geschütztem Netzes.

FTP verursacht ein anderes Problem mit einem Proxy-Server. Beim Absenden des ls-Befehls, öffnet der FTP-Server einen Port auf der Kundenmaschine und übermittelt die Information. Ein Proxy-Server wird das nicht erlauben, somit arbeitet FTP nicht zuverlässig. Proxy-Server arbeiten langsam. Wegen dem größeren Protokollaufwandes werden fast alle anderen Mittel, um einen Internet-Zuganges zu bekommen, schneller sein.

Grundsätzlich, falls Sie ausreichend IP Adressen haben und ihnen macht die Sicherheit keine Sorgen, wird kein Firewall und/oder Proxy-Server benutzt. Falls Sie zu wenig IP Adressen haben und ihnen macht die Sicherheit keine Sorgen, wird man eher einen IP-Emulator benutzen wie Term, Slirp oder TIA. Diese Pakete arbeiten schneller, erlauben bessere Verbindungen, und stellen ein hochwertigen Zugang vom Internet zum geschützten Netz bereit.

Proxy-Server sind gut für jene Netzwerke mit vielen Hosts, welche einen transparenten Internetzugang wollen. Sie benötigen nur eine kleine Konfiguration und wenig Verwaltungsarbeit im laufenden Betrieb.

Funktion und Prinzip einer Firewall:

Es gibt zwei Arten von Firewalls.

IP oder Filter Firewalls - die alles sperren bis auf ausgewählten Netzwerkverkehr
Proxy-Server - die einem die Netzwerkverbindung übernehmen

a) IP Filter Firewalls

Ein IP Filter Firewall arbeitet auf Paket-Ebene, er ist so konstruiert, dass er den Datenstrom kontrolliert auf Grund von Ursprung, Ziel, Port und Paket-Typ-Information die in jedem Daten-Paket enthalten sind.

Diese Art des Firewalls ist sehr sicher, aber es mangelt an einer brauchbaren Protokollierung. Er verbietet den Zugang zum privaten Netzwerk aber es wird nicht protokolliert wer auf das private Netzwerk zugreifen will oder wer vom privaten Netz Zugriff ins Internet haben will.

Filter Firewalls sind absolute Filter. Gibt man einem von außen den Zugriff auf das private Netz hat automatisch jeder Zugriff darauf.

In Linux ist packet-filtering-software seit Kernel 1.2.13 enthalten

b) Proxy Server

Proxy Server erlauben indirekten Zugang zum Internet durch den Firewall. Als Beispiel zur Funktion startet man einen Telnet zu einem System um von dort aus einen Telnet zu einem anderen zu starten. Nur mit einem Proxy-Server kann man diesen Vorgang automatisieren. Wenn man mit einer Client-Software einen connect zum Proxy-Server macht, startet der automatisch seine Client(Proxy)-Software und reicht die Daten durch.

Weil Proxy-Server ihre Kommunikation duplizieren, können sie alles mitprotokollieren was sie tun.

Der große Vorteil von Proxy-Server ist, sofern sie korrekt konfiguriert sind, dass sie absolut sicher sind. Sie erlauben keinem ein Durchkommen. Sie haben keine direkten IP-Routen.

13.4.6 Beispiel: Winproxy 4.0

WinProxy bietet Ihnen alles, was Sie benötigen, um alle Ihre Computer gleichzeitig mit Hilfe einer einzigen Internetverbindung und Ihrem gewohnten Internet Service Provider mit dem Internet zu verknüpfen. Außerdem enthält WinProxy innovative Funktionen, wie z. B. die integrierte Firewall, einen zentralisierten Virenschutz, Webseitenfilter und Anwenderprivilegien, die Ihnen vollständige Kontrolle über Ihren Internetzugang geben.

Neue transparente Proxy-Technologie
WinProxy kombiniert die Einfachheit der Übersetzung von Netzwerkadressen mit der Flexibilität und Kontrolle eines Proxyservers. Damit erübrigen sich Neukonfigurierungen von Anwendungen oder die Installierung spezieller Software auf jedem Client Computer, während Sie, als Administrator, die Kontrolle behalten und den Internetzugang für das gesamte Netzwerk tatsächlich verbessern. Wegen der integrierten DNS und DHCP Server sind keine Netzwerkkonfigurierungen mehr nötig, und die Installierung ist selbst für Neulinge ein Kinderspiel.
Einfache Installation
Mit der neuen transparenten Proxy-Technologie von WinProxy sind Sie innerhalb von Minuten startklar, denn sie verzichtet auf die Komplexität herkömmlicher Schemata, die geteilte Internetzugänge notwendig machten. Installieren Sie WinProxy einfach auf einem Ihrer Netzwerkcomputer. Der 'Intelligent Installation Wizard' kommt ohne Fachchinesisch aus, und überprüft Ihre Einstellungen für die Internetverbindung ganz automatisch.
Zeitgleicher und transparenter Zugang
Mit WinProxy müssen sie weder spezielle Software noch individuelle Anwendungen auf jedem Computer installieren. Öffnen Sie einfach nur Ihren Browser oder eine andere Internetanwendung, und Sie sind automatisch im Internet. Und das funktioniert mit all Ihren Lieblingsanwendungen, einschließlich E-Mail, Chat, NetMeeting - und sogar Online-Spielen.
Sichere Firewall und Anti-Virus Schutz
WinProxy schützt Ihr gesamtes Netzwerk vor Eindringlingen oder Viren aus dem Internet. Wählen Sie aus vordefinierten Sicherheitseinstellungen, oder konfigurieren Sie Ihre eigenen Einstellungen. Der eingebaute Anti-Virus Schutz(2) schützt Sie vor bösartigen Codes in E-Mail Anhängen und Downloads aus dem Internet, und schirmt Ihr Netzwerk vor infizierten Dateien ab.
Blockieren Sie den Zugang zu unerwünschten Webseiten
WinProxys detaillierter Webseiten-Filter erlaubt Ihnen den Zugang zu Webseiten mit unerwünschten Inhalten zu unterbinden. Vordefinierte Listen werden regelmäßig aktualisiert und beinhalten Sex, Propaganda, kriminelle Absichten, Extremes oder Drogen.(3) Zweiundzwanzig weitere Kategorien können, für ein Maximum an Sicherheit, hinzugefügt werden. Zusätzlich können Sie, mit Hilfe einer „weißen Liste“ nur zu den von Ihnen festgelegten Seiten Zugang erlauben.
Definierung von Anwenderprivilegien
Mit WinProxy können Sie kontrollieren, wer Zugang zum Internet hat. Limitierte Zugangszeiten können Sie von der Uhrzeit, vom Tag oder vom einzelnen Computer abhängig machen. Außerdem können Sie spezifische Anwendungen wie Browsing, Chat oder E-Mail zulassen.
Schneller Seitenaufbau
Durch einen hochentwickelten netzwerkweiten Zwischenspeicher der HTTP und DNS hat jeder Anwender einen schnelleren Zugang zu häufig besuchten Seiten.
Technische Hilfe
Selbst ein Experte benötigt von Zeit zu Zeit mal Hilfe. WinProxy beinhaltet deshalb Hilfe via E-Mail oder über seine umfassende Online-SupportBase (Hilfedatenbank).
Weitere Eigenschaften von WinProxy
WinProxy ist sparsam, da Sie nur noch einen Telefonanschluss, ein Modem, und ein Benutzerkonto benötigen.
Funktioniert mit jedem ISP einschließlich AOL

Windows 95/98/NT/2000/ME kompatibel
Funktioniert mit Kabelanschluss, DSL, Modem, ISDN, Frame Relay, T1-T3, Funkverbindung
Unterstützt praktisch alle PC-Netzwerke einschließlich Windows 95/98/NT/2000/Me, eingebaute Netzwerke und Netzwerke über Telefonlinien
Benötigt keinen zusätzlichen Server
Läuft automatisch im Hintergrund
Unterstützt Mac und Unix/Linux Clients
Internetspiele - unterstützt die meisten Onlinespiele
Unterstützt alle bekannten E-Mail-Clients, einschließlich Eudora und Outlook, sowie mehrere Mail Server
Bannerblockierung verhindert, dass sich unerwünschte Werbebanner aufbauen
Erstellt oder beendet Internetverbindungen bei Bedarf automatisch
Überwacht alle aktiven Internetzugänge in Echtzeit
Protokolliert alle Verbindungen
Unterstützt E-Mail und Webserver, die sich hinter der Firewall befinden.
Proxy Cascading und verzeichnete Port-Unterstützung

13.4.7 Beispiel: Installation von WinGate 4.4 als Proxyserver

13.4.8 Beispiel: squid für Linux

Vorteile von Squid

Kürzere Wartezeit beim Download
Geldersparnis (Telefon, Volumengebühr)
Bandbreitenschonung

Die Zeitersparnis kommt dadurch zustande, dass Daten, die sich im Cache befinden, rasch über die schnellen Intranetleitungen transportiert werden, anstelle über langsame Internetleitungen. Weiterhin kann die zu übertragende Datenmenge zu überlasteten Servern minimiert werden. Hier bringt z.B. bei Newsseiten Erleichterung, dass die meist recht vielen grafischen Icons sich lange nicht ändern, direkt aus dem Cache kommen, und so nur Text übrigbleibt. So ist man in der Lage, nicht nur sich selbst und seinem Geldbeutel einen Gefallen zu tun, sondern z.B auch den anderen Mitgliedern des Hausnetzes, die um jedes Byte, das mehr auf der Telefonleitung frei ist, froh sein werden.

Beseitigung von Netscape-Hängern

Viele von Ihnen ärgern bestimmt die häufigen Aussetzer von Netscape, bei denen alle Fenster des Browsers betroffen sind. Sobald eine DNS-Abfrage länger dauert, lässt sich der Seiteninhalt nicht mehr scrollen und wird auch nicht mehr aktualisiert. Dies führt dazu, dass man während der manchmal recht langen Zeit gar nichts mit Netscape anfangen kann, da es nicht einmal möglich ist, bereits fertig dargestellte Seiten zu lesen. Zumindest wenn man mehrere Fenster übereinander, iconisiert oder auf einer anderen Seite des Windowmanager liegen hat. Hier kann Squid weiterhelfen, denn Netscape stellt seine Anfrage nun an den lokal gut zu erreichenden Squid-Server und ist von der DNS-Problematik befreit.

Freischaltung bestimmter Rechner zu genau definierten Zeiten

Squid verfügt über sogenannte "Access Lists", kurz acl. In diese kann man Rechner, Subnetze, Protokolle, Ports, URLs etc. aufnehmen. Sobald eine acl definiert ist, kann diese benutzt werden, um den Zugang zu ermöglichen oder zu sperren. So ist es in einer Firma z.B. sehr einfach zu realisieren, dass die Rechner aller Mitarbeiter in der Mittagspause surfen können. Während der Arbeitszeit hingegen bleibt der Zugang denen vorbehalten, die ihn benötigen. Hierzu wird neben dem Webcache noch ein Firewall gebraucht der verhindert, dass alle Rechner freien Zugang in und aus dem Netz heraus besitzen.

Durch die Möglichkeit komplette URLs und reguläre Ausdrücke in acl-Listen aufzunehmen, können komplette WWW-Server gesperrt werden oder solche bei denen bestimmte Schlüsselwörter im URL auftreten.

Nutzung eines Wählzugangs mit einer einigen IP-Nummer zum Surfen mit mehreren Rechnern

Eine weiter schöne Einsatzmöglichkeit liegt darin, ohne sich mit IP-Masquerading befassen zu müssen, weiteren Rechnern den Zugang zum WWW bereitzustellen. Hierzu wird Squid einfach auf dem Rechner installiert der für den Verbindungsaufbau zuständig ist. Die Konfiguration für Squid ändert sich dadurch nicht.

Einfache Überprüfung der heruntergeladenen Inhalte möglich

Durch die von Squid erstellten Logdateien lassen sich mittels diverser Skripte Übersichten erstellen, die einige interessante Statistiken erfassen. So können alle WWW-Server, auf die zugegriffen wurde, mit Anzahl, Menge und Art der Abfragen eingesehen werden. Eine aktuelle Liste dieser Skripte kann man auf der offiziellen Squid Webseite http://squid.nlanr.net/ finden. Sie sind zumeist von Anwendern für private Zwecke geschrieben worden, daher nicht in das Squid-Paket integriert und müssen "von Hand" installiert werden.

Zurückverfolgung der Übertragungen zu den einzelnen Rechnern möglich
Anonymisieren der User nach innen und außen hin möglich

Sobald Squid WWW-Anfragen der User weiterleitet, wird ein "forwarded for xyz" in den HTTP-Header eingefügt. Diese Informationen kann der WWW-Server speichern und verarbeiten. Um zu verhindern, dass Nutzerprofile angelegt werden, kann die Konfiguration so umgestellt werden, dass diese Informationen nicht verschickt werden bzw. einen fest definierten Wert erhalten. Je nach Konfiguration speichert Squid in seinen eigenen Logdateien aber noch, für welche Rechner er die Daten herausgegeben hat. Dies kann für alle diejenigen wünschenswert sein, die auf eine Kontrolle bzw. einen Beleg angewiesen sind. Dabei sollten aber alle Aspekte des Datenschutzes beachtet werden. Falls man andererseits die Privatssphäre seiner Benutzer schützen will, kann dies durch eine entsprechende Konfiguration auch gewährleistet werden.

Nachteile von Squid

Eventuell kommt es zur Auslieferung nicht mehr aktueller Daten

Squid teilt gespeicherte Daten in die zwei Klassen FRESH und STALE ein. Diese Einteilung wird mittels mehrere Regeln und dem Zeitpunkt der Übertragung sowie des Alters des Dokuments bestimmt. Solange ein Objekt FRESH ist, wird es bei einer erneuten Anfrage sofort aus dem Cache ausgeliefert. Ansonsten werden verschiedene Maßnahmen eingeleitet um zu überprüfen, ob das gespeicherte Objekt noch aktuell ist. Trotzdem kann es vorkommen, dass Objekte ausgeliefert werden, die nicht mehr dem letzten Stand entsprechen. Dies tritt vor allem bei Seiten ein, die sich täglich oder stündlich ändern. Wenn man den Verdacht hat, dass die dargestellte Seite nicht aktuell ist sollte man in Netscape, falls ein Reload erfolglos ist, mittels Shift-Reload einen neuen kompletten Download erzwingen.

Eventuelle Probleme mit nur über Links zugänglichen Daten

Leider kann mit Shift-Reload kein neues Laden eines Links erzwungen werden. Diese Designschwäche des Browsers kann zu ärgerlichen Ergebnissen führen. Stellen Sie sich einmal vor, Sie wollen eine Liveübertragung eines Fußballspieles per Realaudio verfolgen. Die dazu nötige .ra-Datei ist über einen Link zugänglich und beim Anklicken wird das Realvideo-Plug-in aktiv. Weiterhin befindet sich vor der eigentlichen Übertragung ein Ankündigungstrailer unter diesem Link. Ist man nun etwas früh, hat man folgendes Problem: Der Trailer befindet sich im Cache und ist FRESH. Daher wird dieser, sobald man wieder auf den Link klickt, vom Cache ausgeliefert, obwohl die Übertragung jetzt läuft. Da man kein neues Laden über den Browser erzwingen kann, befindet man sich in der Situation, dass es nur möglich ist die Übertragung zu verfolgen, wenn man für alle Fenster des Browsers den Cache abschaltet. Um dem Ganzen aus dem Weg zu gehen, muss man dem Cache mitteilen, welche Dateitypen er nicht cachen soll. In der Standardkonfiguration befinden sich nur cgi und ? in dieser Liste. Sie sollte also nach Bedarf um all die Dateitypen erweitert werden, die nur per Links zugänglich sind.

Systemvoraussetzungen

Für den Betrieb von Squid bieten sich alte Rechner wie ein 486er geradezu an. Mit wenigen Mitteln kann man aus seinem alten Rechner ein schönes Gateway machen, das gleichzeitg für Verbindungsaufbau, Firewall und den Webcache zuständig ist. Man sollte nur darauf achten, dass dem Rechner genügend Hauptspeicher zur Verfügung steht. In diesem Fall fehlen eventuell nur noch ein oder zwei Netzwerkkarten, die es heute aber auch schon sehr günstig gibt.

Wenn möglich, sollte man dem Rechner zwei Festplatten spendieren, eine für das System und die andere auf der die Daten von Squid liegen. Dies sollte unbedingt der Fall sein, wenn der Rechner häufig swapt, weil er zuwenig Hauptspeicher besitzt. Squid läuft auf quasi allen Unix-Betriebssystemen. Auf der Tagungs-CD-ROM ist ein Binary-RPM für Red Hat 5.2 enthalten, das Sie recht einfach als root mittels rpm -i dateiname installieren können. In der Delix DLD-Distribution, die sich auf der CD-ROM zum LinuxTag '99 befindet, ist das Paket leider nur in einer etwas älteren Version verfügbar. Für die Betreiber von anderen oder älteren Systemen ist auch ein Source-RPM vorhanden. Mit dessen Hilfe können Sie ein für Ihr System passendes Binary-RPM erzeugen.

Wichtigste Konfigurationsoptionen

Im folgenden Abschnitt finden Sie die wichtigsten Konfigurationsoptionen aus der Datei etc/squid.conf, mit deren Hilfe Sie Ihren Cache grundlegend konfigurieren können. Die folgenden Optionen sind dem Konfigurationsfile der Version 2.1 entnommen.

# NETWORK OPTIONS

# -----------------------------------------------------------------------------

#  TAG: http_port

#http_port 3128

Mittels des http_port stellen Sie ein, unter welcher Portnummer auf Ihrem Rechner Squid zu erreichen ist (siehe Einführung).

# OPTIONS WHICH AFFECT THE CACHE SIZE

# -----------------------------------------------------------------------------

#  TAG: cache_mem       (bytes)

#cache_mem  8 MB

#  TAG: maximum_object_size     (bytes)

#maximum_object_size 4096 KB

Durch cache_mem wird festgelegt, wieviel Speicher für In-Transit-Objekte zur Verfügung steht. Dies sind alle Daten, die in Übertragung begriffen sind. Zeitweilig kann diese Größe überschritten werden, falls z.B eine tar.gz-Datei heruntergeladen wird, die größer als der cache_mem-Wert ist.

maximum_object_size legt die maximal Größe einer Datei fest, die noch im Cache gspeichert wird. Beide Optionen sollten an Bedarf und Systemressourcen angepasst werden. Es macht z.B keinen Sinn, den gesamten Hauptspeicher als Größe anzugeben, zumal wenn Squid auf dem Arbeitsrechner läuft.

# LOGFILE PATHNAMES AND CACHE DIRECTORIES

# -----------------------------------------------------------------------------

#  TAG: cache_dir

#cache_dir /usr/local/squid/cache 100 16 256

#  TAG: cache_access_log

#cache_access_log /usr/local/squid/logs/access.log

#  TAG: cache_log

#cache_log /usr/local/squid/logs/cache.log

#  TAG: cache_store_log

#cache_store_log /usr/local/squid/logs/store.log

#  TAG: cache_swap_log

#cache_swap_log

#  TAG: pid_filename

#pid_filename /usr/local/squid/logs/squid.pid

Falls eine extra Festplatte/Partition für die Daten zur Verfügung steht, empfiehlt es sich, die Logdateien ebenfalls dort abzulegen. Dementsprechend müssen die Pfade angepasst werden, z.B. /mnt/proxy/....

Die Datei swap.state darf unter keinen Umständen gelöscht werden, da darin die Informationen gespeichert werden, wo auf der Festplatte die Daten des Caches abgelegt sind. Diese Datei wird beim Neustart von Squid verwendet, um wieder auf die gespeicherten Daten zugreifen zu können. In den anderen Datein sind Informationen, Zugriffe und Status verzeichnet.

#  TAG: ident_lookup    on|off

#ident_lookup off

Mittels dieser Option ist es möglich, eine Abfrage des Nutzernamens beim Client durchzuführen und im Log zu speichern.

#  TAG: client_netmask

#client_netmask 255.255.255.255

Um einen entsprechenden Datenschutz für die Benutzer im Log zu erreichen, kann man die IP-Nummern der Rechner ähnlich wie Telefonnummern auf einer Telekomrechnung um beliebige Stellen kürzen. Mittels

client_netmask 255.255.255.0

erreicht man z.B., dass aus 194.162.83.24 194.162.83.0 wird und die letzten acht Bit der IP-Adresse verloren gehen. Die wahre IP-Nummer wird dabei einfach mit client_netmask durch die logische und-Funktion verknüpft, bevor sie im Log gespeichert wird.

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS

# -----------------------------------------------------------------------------

#  TAG: dns_children

#dns_children 5

Die dns_children sind dazu da, die Nameserverabfragen zu übernehmen. Bei normaler Benutzung kann man diese Option unverändert lassen. Falls der Cache dafür gedacht ist vielen Leuten zu dienen, und diese über eine langsame Leitung angebunden sind, sollte die Anzahl eventuell erhöht werden. Die Programmierer empfehlen für einen sehr stark ausgelasteten Cache mindestens 10. Der Maximalwert beträgt 32. Man sollte aber bedenken, dass jeder weitere DNS-Prozess etwa 100kB Hauptspeicher belegt.

# OPTIONS FOR TUNING THE CACHE

# -----------------------------------------------------------------------------

#  TAG: reference_age

#reference_age 1 month

Beim Aufräumen des Caches werden alle Objekte entfernt, die ihr maximales Alter erreicht haben. Wenn reference_age auf einen Monat eingestellt ist, werden alle Objekte entfernt, auf die seit einem Monat nicht mehr zugegriffen wurde.

#  TAG: quick_abort_min (KB)

#  TAG: quick_abort_max (KB)

#  TAG: quick_abort_pct (percent)

#quick_abort_min 16 KB

#quick_abort_max 16 KB

#quick_abort_pct 95

Squid ist in der Lage, Dateien, deren Übertragung er begonnen hat, auch nach dem Beenden bzw. Stoppen des Browsers durch den Benutzer fertig zu laden, falls sie bestimmten Kriterien genügen. Falls weniger als quick_abort_min Kilobyte von der Übertragung übrig bleiben, wird diese fortgesetzt. Wenn mehr als quick_abort_max Kilobyte zu laden sind, wird der Transfer abgebrochen. Die letzte Bedingung quick_abort_pct legt fest, wieviel Prozent der Übertragung abgeschlossen sein müssen, um diese fortzusetzen.

Die quick_abort-Funktionalität hat Ihre Stärken und Schwächen. Durch die fortgesetzte Übertragung kann es, vor allem auf langsamen Leitungen wie Wählverbindungen, zu Engpässen und starker Verlängerung der Transferzeiten kommen. Andererseits sind dann vollständige Daten im Cache auch für andere Benutzer abrufbar. Der Standardnutzer sollte die quick_abort-Funktion abstellen. Dies geschieht durch

quick_abort_min 0 KB

quick_abort_max 0 KB

quick_abort_pct 100

# TIMEOUTS

# -----------------------------------------------------------------------------

#  TAG: request_timeout

#request_timeout 30 seconds

Bei stark ausgelasteten Leitungen bietet es sich an, den Timeout nach Bedarf anzupassen.

# ACCESS CONTROLS

# -----------------------------------------------------------------------------

#  TAG: acl

#Defaults:

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 80 21 443 563 70 210 1025-65535

acl CONNECT method CONNECT

#  TAG: http_access

#Default configuration:

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

http_access deny all

Access Control Lists, kurz acl, werden nach folgendem Syntax definiert:

acl aclname acltyp string1 ...

acl aclname acltyp datei ...

In einer Datei sollte nur eine Regel pro Zeile eingetragen werden. Die unterschiedlichen acltypen sind:

src

Fasst Herkunfts-IP-Adressen zusammen.
IP-Adresse/Netzmaske ... (Client-IP-Adresse)
Addr1-Addr2/Netzmaske ... (Bereich von Adressen)

dst

Fasst Ziel-IP-Adressen zusammen.

srcdomain

Herkunftsdomain.

dstdomain

Zieldomain.

srcdom_regex

Regulärer Ausdruck angewendet auf den Client.

dstdom_regex

Regulärer Ausdruck angewendet auf den Server.

url_regex

Regulärer Ausdruck, der auf den ganzen URL angewendet wird.

urlpath_regex

Regulärer Ausdruck, der auf den Pfad des URL angewendet wird.

time

Tages und Zeitbereichsangabe Tag h1:min1-h2:min2. Die erste Zeitangabe muss kleiner als die zweite sein. Tag:

Montag

Dienstag

Mittwoch

Donnerstag

Freitag

Samstag

Sonntag

port

Portnummern

proto

Protokoll

method

Methoden wie GET, POST, ...

browser

regular expression

ident

Benutzername

http_access erlaubt oder sperrt den Zugriff auf Squid durch Access-Lists. Zugriff auf den HTTP-Port:

http_access allow|deny [!]aclname

Wenn keine http_access-Zeile vorhanden ist, wird die Anfrage grundsätzlich erlaubt. Wenn keine http_access-Zeile auf einen Anfrage angewendet werden kann, wird das Gegenteil der letzten Regel in der Liste angewendet. Die Regeln werden eine nach der anderen von oben nach unten abgearbeitet, bis eine Regel zutrifft. Danach folgende Regeln werden nicht mehr berücksichtigt. Innerhalb einer acl sind die Elemente mit oder und bei http_access mit und verknüpft.

Nehmen wir einmal an, der Zugang zum WWW soll für zwei Benutzergruppen reglementiert werden.

acl standard src 194.246.68.1-194.246.68.100/255.255.255. 194.246.68.102/255.255.255.255

acl privilegiert src 194.246.68.101/255.255.255.255 194.246.68.103/255.255.255.255

acl Mittagspause 12:00-13:00

http_access allow Mittagspause standard

http_access deny standard

http_access allow privilegiert

http_access deny all

Mit dieser Konfiguration werden die Standard-Nutzer nur zur Mittagspause freigeschaltet, während die privilegierten Nutzer jederzeit Zugriff besitzen. Alle diejenigen IP-Nummern, die durch die Listen nicht abgedeckt werden, haben keinen Zugriff.

# ADMINISTRATIVE PARAMETERS

# -----------------------------------------------------------------------------

#  TAG: cache_mgr

#cache_mgr webmaster

Hier muss die E-Mail-Adresse desjenigen eingetragen werden, der die Administration von Squid übernommen hat.

# MISCELLANEOUS

# -----------------------------------------------------------------------------

#  TAG: dns_testnames

#dns_testnames netscape.com internic.net nlanr.net microsoft.com

Mit den eingetragenen Domains wird die DNS-Abfrage überprüft. Sobald der erste erfolgreiche DNS-Lookup gelingt, wird der Test erfolgreich abgebrochen. Ansonsten wird nach einer gewissen Zeit Squid beendet (z.B falls die Leitung gerade nicht aufgebaut ist). Um den DNS-Test zu unterbinden, muss Squid mit squid -D gestartet werden.

#  TAG: append_domain

#append_domain .yourdomain.com

append_domain dient der Bequemlichkeit und ermöglicht es im Browser Rechnernamen des lokalen Netzes ohne Domainnamen anzugeben. Squid ergänzt diese automatisch um die Zeichenkette in append_domain. Also z.B append_domain .unix-ag.uni-kl.de. Aus http://sushi wird somit http://sushi.unix-ag.uni-kl.de.

#  TAG: memory_pools    on|off

#memory_pools on

Wenn memory_pools aktiviert ist, behält Squid ungenutzten zugewiesenen Speicher für zukünftigen Gebrauch, anstatt ihn wieder freizugeben. Wenn der Rechner über wenig Speicher verfügt, sollte man memory_pools abschalten.

#  TAG: forwarded_for   on|off

#forwarded_for on

Standardmäßig leitet Squid die IP-Nummer oder den Namen eines Rechners, für den eine Anfrage bearbeitet wird, zum WWW-Server weiter.

forwarded_for off

#  TAG: http_anonymizer

#http_anonymizer off

Mittels http_anonymizer lässt sich konfigurieren, wieviele HTTP-Header gefiltert werden. Es gibt die drei Einstellungen off, standard und paranoid. Mit standard werden die wichtigsten Header unterdrückt, mit paranoid hingegen fast alle.

Unter Version 2.2 wurde diese Option dahingehend verändert, dass nun die einzelnen Header, die erlaubt oder unterdrückt werden sollen, direkt angegeben werden können.