35878

 

 

 

 

 

 

 

 

Netzwerktechnik

 

 

 

Arbeitsunterlage von

Mag. Christian Zahler

 

 

 

September 2004


 

Inhalt

1 Netzwerk-Grundlagen. 5

1.1 Größenordnung von Netzwerken. 5

1.2 Peer-to-Peer-Netze und Client-Server-Architekturen. 5

1.3 Server-Betriebssysteme. 6

1.4 Netzwerk-Topologien. 7

2 Datenübertragung in Netzwerken. 9

2.1 Das OSI-Referenzmodell 9

2.2 Das TCP/IP-4 Schichten-Modell (DoD-Modell) 14

2.3 Aktive Netzwerkkomponenten. 15

2.4 Vermittlungstechniken: 16

3 Netzwerk-Hardware und Verkabelung. 18

3.1 Ethernet 19

3.1.1 Bus-Topologie: 20

3.1.2 Stern-Topologie. 23

3.1.3 Fast Ethernet (IEEE 802.3u, 1995) 27

3.1.4 Gigabit-Ethernet (IEEE 802.3z, 1998) 27

3.1.5 10Gigabit-Ethernet (IEEE 802.3ae, 2002) 28

3.1.6 Gemeinsamkeiten von Ethernet 28

3.2 Token Ring. 29

3.3 Token Bus. 29

3.4 FDDI (Fiver Distributed Data Interface) 29

3.5 Funk-LAN (WLAN: Wireless LAN) 30

3.6 PAN – Personal Area Networks (“Bluetooth”) 32

4 Strukturierte Gebäudeverkabelung. 33

4.1 Grundlegendes. 33

4.2 Strukturen der Gebäudeverkabelung. 34

4.3 Durchsatzmessung – Leistungsmessung. 40

5 Das Internet Protocol Version 4. 42

5.1 Zuweisung von IP-Adressen. 42

5.2 Vergabe von IP-Adressen. 44

5.3 Aufbau von IP-Adressen. 47

5.4 Klassenorientierte IP-Adressen. 48

5.5 Besondere IP-Adressen. 49

5.6 Subnetting. 50

5.7 CIDR (Classless Inter-Domain Routing), VLSM (Variable Length Subnet Masks) und Supernetting. 52

5.8 Aufbau des IP-Headers. 53

5.9 IP-Rechner: 55

5.10 IPv6. 55

5.11 ARP (Address Resolution Protocol) 57

6 Das Transfer/Transmission Control Protocol (TCP) 58

7 TCP/IP-Diagnose- und Konfigurationsprogramme. 63

7.1 ping ("Packet Internet Groper"): 63

7.2 ipconfig. 64

7.3 winipcfg. 65

7.4 tracert 67

7.5 pathping. 67

7.6 arp: 68

7.7 netstat 69

7.8 nbtstat 70

7.9 hostname. 70

8 IP-Routing mit Windows Server 2003. 71

8.1 Einrichten des Routing- und RAS-Dienstes für LAN-Routing: 71

8.2 Hinzufügen statischer Routen im MMC-Snap-In „Routing und RAS“: 77

8.3 Der Befehl ROUTE. 78

9 „Sniffer“ zur Analyse des Netzwerkverkehrs. 79

10 DHCP-Server 83

11 Domain Name System (DNS) 92

11.1 Allgemeines: 92

11.2 Ablauf einer DNS-Abfrage: 94

11.2.1 Teil 1: Der lokale Auflösungsdienst 95

11.2.2 Teil 2: Abfragen eines DNS-Servers. 96

11.3 Andere Abfrageantworten. 97

11.3.1 Funktionsweise der Iteration. 98

11.3.2 Funktionsweise des Zwischenspeicherns. 99

11.4 Konfiguration eines DNS-Servers in Windows 2000/2003. 100

11.5 Abfragen eines DNS-Servers mit dem Kommandozeilenprogramm nslookup. 115

12 Internet-Grundlagen. 118

12.1 Historische Entwicklung. 118

12.2 Wie komme ich ins Internet?. 119

12.3 Kosten für Internet-Wählverbindungen. 119

12.4 Internet als Teilstreckennetzwerk. 120

13 Internetanbindung von Firmennetzwerken. 122

13.1 ICS (Internet Connection Sharing) 122

13.2 Router 124

13.2.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken: 124

13.3 NAT (Network Address Translation) 126

13.3.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken: 128

13.3.2 VPN-Verbindungen von einem SOHO-Netzwerk mit Netzwerkadressübersetzung. 130

13.4 Proxy-Server 131

13.4.1 Grundlagen. 131

13.4.2 Marktüberblick: 131

13.4.3 Funktionsweise eines Proxy Servers. 131

13.4.4 Methode. 132

13.4.5 Firewalls. 132

13.4.6 Beispiel: Winproxy 4.0. 134

13.4.7 Beispiel: Installation von WinGate 4.4 als Proxyserver 138

13.4.8 Beispiel: squid für Linux. 140

13.5 Quellen. 149

14 Routing und RAS unter Windows Server 2003 – Konfigurationsbeispiele. 150

14.1 Übersicht über die Routing- und RAS-Eigenschaften. 150

14.2 DHCP-Relay-Agent: 156

14.3 Server als Internetverbindungsserver 156

14.4 Server als RAS-Server 159

14.5 Server als VPN-Server 162

 


 

1 Netzwerk-Grundlagen

1.1 Größenordnung von Netzwerken

 

Der Begriff MAN = Metropolitan Area Network ist eigentlich öffentlichen Netzen vorbehalten; in letzter Zeit verwenden aber auch Anwender mit vielen vernetzten Betriebsstellen (Banken) diesen Ausdruck.

Netzwerke wie das Internet (die aus vielen, weltweit miteinander verbundenen Netzwerken bestehen), werden manchmal auch als GAN = Global Area Network bezeichnet.

 

1.2 Peer-to-Peer-Netze und Client-Server-Architekturen

 

Man unterscheidet zwei „Philosophien“:

 

 

Peer-to-Peer-Netze brauchen keinen eigenen Server-Rechner, da jeder PC Server-Funktionen übernehmen kann.

 

 

Die meisten Netzwerke arbeiten so, dass der Server dabei seine Fähigkeiten den anderen Rechnern (Workstations) zur Verfügung stellt. Einen Server, der ausschließlich das Netzwerk und die Datenübertragungen im Netzwerk verwaltet und kontrolliert, bezeichnet man als Dedicated Server. Ist der Server selbst gleichzeitig als Workstation verwendet, so spricht man von einem Non-Dedicated Server.

 

1.3 Server-Betriebssysteme

Für einen Client/Server-Netzwerkbetrieb benötigt man für den Server eigene Betriebssysteme. Netzwerk-Betriebssysteme müssen Multiprocessing unterstützen.

 

Typische Netzwerk-Betriebssysteme:

 

Dieses Betriebssystem hat alle Kommunikationseigenschaften, die für Netzwerkbetrieb notwendig sind; außerdem werden verschiedenste Einzelplatz-Betriebssysteme unterstützt. Novell NetWare eignet sich daher besonders gut für heterogene Netzwerke.

Die Grundidee ist, dass bei Novell NetWare meist dedicated servers eingesetzt werden, auf denen nicht gearbeitet werden kann.

           

Versionen von Novell NetWare:

                        2.11

3.11, Nachfolger 3.12

4.x

5.x

6.x

NetWare for SAA (für Anbindung von Großrechnern wie AS/400)

 

Typisch für die Microsoft-Serverproduktlinie ist die Möglichkeit, auch Anwendersoftware einsetzen zu können. Damit sind verbesserte Möglichkeiten der Protokollierung und Auswertung gegeben. Die aus den Microsoft Client-Betriebssystemen bekannte Oberfläche ermöglicht rasches Einarbeiten und die Konzentration auf die eigentlichen Systembetreuungsaufgaben.

 

Versionen:

Windows NT 4.0 Server-Familie

Windows 2000 Server-Familie

Windows Server 2003-Familie

 

 

Auf den Unix-Dialekt Linux soll gesondert verwiesen werden, da es – im Vergleich zu den anderen Dialekten – sehr preisgünstig ist. Linux bietet (mit kleinen Einschränkungen) die volle Unix-Funktionalität!

 

 

 

1.4 Netzwerk-Topologien

Die Struktur eines Netzwerks bezeichnet man als Topologie. Wie wichtig die Struktur eines Netzwerks ist, merkt man bei einem Leitungsausfall: ein gutes Netzwerk findet bei einem Leitungsausfall selbstständig einen neuen Pfad zum Empfänger.

 

Ein allgemeines Netzwerk kann man sich etwa so vorstellen:

 

 

Dabei sind die Rechner selbst die Knoten, die Verbindungskabel stellen die Kanten dar.

 

Die wichtigsten Netzwerk-Topologien

 

 

 

 

 

 

Physikalische und logische Topologie:

Interessant ist, dass sich die "sichtbare" Topologie (also die physische Verkabelungsstruktur) vom tatsächlichen Datenfluss unterscheiden kann. Deshalb verwendet man für die hardwaremäßige Realisierung den Begriff "physikalische Topologie", während man für den tatsächlichen Datenfluss den Begriff "logische Topologie" verwendet.

 

Beispiel:

 

Netzwerktechnologie

logische Topologie

physikalische Topologie

Ethernet (IEEE 802.3)

Bus

Bus (veraltet)

Stern

Token Ring (IEEE 802.5)

Ring

Ring (veraltet)

Stern

Token Bus

Ring

Bus

 

 

 


 

2 Datenübertragung in Netzwerken

 

Bei der Datenübertragung in einem Netzwerk laufen viele Vorgänge ab, von denen der Anwender nichts merkt. So werden im meist nicht ganze Dateien übertragen, sondern in vielen Fällen sogenannte Pakete.

 

Damit ein Paket auch beim Empfänger ankommt, müssen eine Reihe von Informationen mit diesem Paket mitgeschickt werden.

 

Da die Datenübertragung in jedem Netzwerk sehr komplex ist, teilt man das Problem in Teilprobleme auf. Man unterscheidet sogenannte „Schichten“, die bestimmte Aufgaben erfüllen; im Internet könnte man folgende Schichten unterscheiden:

 

 

Jede Schicht (Teilfunktion) wird durch ein sogenanntes Protokoll realisiert; in der Praxis gibt es spezielle Treiber, die die Aufgaben von Protokollen übernehmen (in Windows gibt es etwa die TCP/IP-Treiber).

 

2.1 Das OSI-Referenzmodell

 

Wie schon mehrfach erwähnt, dominierten zu Beginn der Netzwerkgeschichte die proprietären (herstellerspezifischen) Netzwerke. Es gab mehrere Versuche zur Standardisierung der Netzwerkkonzeption; der vielleicht wichtigste Ansatz ist das OSI-Referenzmodell (Open Systems Interconnection), das ab 1977 von der ISO (International Standard Organization) entwickelt wurde.

 

Dieses Modell ist allgemein akzeptiert und bildet die Referenz für viele Hersteller; allerdings müssen heute vielfach Übergangslösungen und Ergänzungen entwickelt werden, da das Modell in verschiedenen Fällen noch nicht ganz fertig, mangelhaft oder gar lückenhaft (Datenschutz, Netzwerkmanagement) ist. Zudem ist zu bemerken, dass das OSI-Modell für PC-Netze im Allgemeinen zu umfassend ist; nichtsdestoweniger realisieren alle heute eingesetzten Produkte bestimmte Untermengen der durch das OSI-Referenzmodell festgelegten Funktionen. Der Sinn eines generellen Modells zur Beschreibung der Netzwerkarchitektur ist die Beschreibung des Weges von Daten zwischen zwei Anwendungen (letztlich tauschen nämlich Anwendungen immer Daten aus), um die Kommunikation in heterogenen Umgebungen zu vereinfachen. Damit dieses Modell möglichst breit verwendet werden kann, muss es einen gewissen Abstraktionsgrad besitzen. Es geht schließlich auch darum, durch einen modularen Aufbau das Netz genügend detailliert und produktübergreifend zu beschreiben. Das OSI-Modell bedient sich dazu einer Struktur, welche die Kommunikation im Netz in sieben aufgabenbezogene Schichten aufteilt. Jede Schicht übernimmt eine gewisse Anzahl von Funktionen und kann Dienstleistungen für die übergeordnete Schicht erbringen:

 

 

OSI-Referenzmodell

Synonyme

Beschreibung

Beispiel LAN

7

Application Layer

(Anwendungsschicht)

Anwendungsschicht

Anwendungsunterstützende Dienste, Netzwerkverwaltung

Betriebssystem (Windows, Linux, etc.) und dessen Netzwerk-Dienste.

6

Presentation Layer (Datendarstellungsschicht)

Präsentationsschicht

Umsetzung von Daten in Standardformate, Interpretation dieser gemeinsamen Formate

5

Session Layer (Kommunikations-

steuerungsschicht)

Sitzungsschicht

Prozess-zu-Prozess-Verbindung

Netzwerk-Protokolle und Zusatz-Software (NetBEUI, IPX/SPX, TCP/IP etc.)

4

Transport Layer (Transportschicht)

Transportschicht

Logische Ende-zu-Ende-Verbindungen

3

Network Layer

(Vermittlungsschicht)

Netzwerkschicht

Wegbestimmung im Netz (Datenflusskontrolle)

2

Data Link Layer

(Sicherungsschicht)

Verbindungsschicht

Logische Verbindungen mit Datenpaketen, Elementare Fehlerkorrektur

Netzwerk-karten-Treiber, Netz­werkkarte und Verkabelung

1

Physical Layer

(Bitübertragungsschicht)

Physikalische Schicht

Nachrichtentechnische Hilfsmittel zur Bitübertragung

 

Im Folgenden sollen die einzelnen Schichten nun noch etwas genauer gesprochen werden:

 

Application Layer (Anwendungsschicht):

 

Dank der Anwendungsschicht können die Benutzeranwendungen auf die vom Netzwerk zur Verfügung gestellten Dienste zugreifen.

 

Funktion:

 

 

Presentation layer (Darstellungsschicht):

 

Die Darstellungsschicht setzt die Daten der Anwendungsebene in ein Zwischenformat um. Diese Schicht ist auch für Sicherheits­fragen zuständig. Durch sie werden Dienste zur Verschlüsselung von Daten bereitgestellt und gegebenenfalls Daten komprimiert.

 

Funktionen:

 

Session layer (Sitzungsschicht):

 

Diese Schicht ermöglicht zwei Anwendungen auf verschiedenen Computern, eine gemeinsame Sitzung aufzubauen, damit zu arbeiten und sie zu beenden. Sie übernimmt ebenfalls die Dialogsteuerung zwischen den beiden Computern einer Sitzung und regelt, welcher der beiden wann und wie lange Daten überträgt.

 

Funktionen:

 

Transport layer (Transportschicht):

 

Die Transportschicht stellt die zuverlässige Auslieferung der Nachrichten sicher und erkennt sowie behebt allfällige Fehler. Sie ordnet bei Bedarf auch die Nachrichten in Paketen neu, indem sie lange Nachrichten zur Datenübertragung in kleinere Pakete aufteilt. Am ende des Weges stellt sie die kleinen Pakete wieder zur ursprünglichen Nachricht zusammen. Die empfangene Transportebene sendet auch eine Empfangs­bestätigung.

 

Funktionen:

 

Network layer (Vermittlungsschicht):

 

Die Vermittlungsebene bearbeitet die zirkulierenden Nachrichten und setzt logische Adressen und Namen in physikalische Adressen um Sie legt auch den Weg vom sendenden Computer über das Netzwerk zum Zielcomputer fest. Zudem kümmert sie sich um die Optimierung des Nachrichtenverkehrs (zum Beispiel durch Umschalten oder Festlegen der Leistungswege und der Steuerung der Belastung durch Datenpakete in komplexeren Netzwerken).

 

Funktionen:

 

Data Link layer (Sicherungsschicht):

 

Die Sicherungsschicht erstellt auf der Basis der Rohdaten aus der physikalischen Ebene die verschiedenen zu übertragenen Pakete. Die Sicherungsebene ist zuständig für die fehlerfreie Übertragung der Pakete: nach dem Senden eines Paketes wartet die Sicherungsebene auf eine Empfangsbestätigung der Zieladresse. Wird ein Paket nach einer bestimmten Zeit nicht bestätigt, wo wird es erneut gesendet.

 

Funktionen:

 

Physical layer (Physikalische Schicht):

 

Die physikalische Ebene übernimmt die Übertragung der Bits zwischen den einzelnen Netzwerkknoten und steuert die Übermittlung des Datenstroms über das Übertragungsmedium. Diese Ebene legt fest, wie das Kabel an die Netzwerkkarte angeschossen wird, mit welcher Übertragungstechnik die Daten über das Kabel gesendet werden und wie die einzelnen Bits synchronisiert und geprüft werden.

 

Funktionen:

 

Bei der Kommunikation zweier Computer über ein Netzwerk werden die Informationen grundsätzlich ebenenweise ausgetauscht. So kommuniziert zum Beispiel die Transportebene eines Computers mit der Transportebene des anderen Computers. Für die Transportschicht des ersten Computers ist es ohne Bedeutung, wie die eigentliche Kommunikation in den unteren Ebenen des ersten Computers, dann über die physikalischen Medien und schließlich durch die unteren Ebenen des zweiten Computers abläuft:

 

Quelle: CISCO Systems, Inc.

 

Die untersten vier Schichten werden auch als "datenflussorientierte Schichten" bezeichnet, die oberen drei Schichten stellen die "Anwendungsschichten" dar.

 

Die Vorteile des OSI-Referenzmodelles sind die leichte Analyse, der (relativ) systematische Entwurf und die Vermeidung von Doppelfunktionalität, die unabhängige Bearbeitung der Komponenten (Modularisierung), die leichtere Austauschbarkeit (Connectivity!) sowie die vereinfachte Fehlerbestimmung. So gesehen widerspiegelt das OSI-Referenzmodell die Modularisierungsphilosophie, wie man sie in vielen Bereichen der Ingenieurwissenschaften findet. Das OSI-Referenzmodell ist allerdings die Idealvorstellung eines Netzwerbetriebs, und es gibt nur wenige Systeme, die sich genau an das Modell halten. Das Modell wird jedoch häufig für Diskussionen und den Vergleich von Netzwerken herangezogen und ist – wie schon gesagt – bei der Fehlerlokalisierung von großem Nutzen.

 

Die englischen Namen der einzelnen Schichten lassen sich durch zwei „Eselsbrücken“ leichter merken:

„Please Do Not Throw Salami Pizza Away“ und in umgekehrter Reihenfolge

„All People Seem To Need Data Protocols“

 

Jede Schicht fügt spezielle Adress- und Protokollinformationen (sogenannte „Header“) zu den eigentlichen Daten hinzu. Dadurch wird das Datenpaket immer größer. Beim Empfänger durchläuft das Datenpaket die Protokolle in umgekehrter Reihenfolge, wobei die Daten dabei sozusagen „ausgepackt“ werden.

 


2.2 Das TCP/IP-4 Schichten-Modell (DoD-Modell)

Dieses Modell stellt eine Vereinfachung des OSI-Modells dar, da es bewusst auf die Netzwerkprotokollsuite TCP/IP zugeschnitten wurde. Das Modell wurde ursprünglich vom US-amerikanischen Department of Defense entwickelt.

Grafik: Gegenüberstellung des OSI 7 Schicht- und des TCP/IP-Netzwerkmodells

(Quelle: Microsoft)

 

Die obersten drei Schichten sind zur Anwendungsschicht zusammengefasst; die hardwarenahen unteren beiden Schichten bilden die Verbindungsschicht.

 

Beispiele für Protokolle der Anwendungsschicht:


 

2.3 Aktive Netzwerkkomponenten

 

Komponente

Synonym

OSI

Bedeutung

Repeater

Verstärker

1

Repeater dienen innerhalb eines lokalen Netzes zur Signalverstärkung. so kann die Ausdehnung eines Netzes erhöht werden; allerdings müssen dabei die beiden Netze das gleiche Protokoll verwenden.

Repeater-Regel (5-4-3-Regel): Es dürfen nicht mehr als fünf (5) Kabelsegmente verbunden werden. Dafür werden vier (4) Repeater eingesetzt. An nur drei (3) Segmente, dürfen Endstationen angeschlossen werden.

Bridge

Brücke

2

Eine Bridge kann zwei gleichartige Netzwerke mit unterschiedlichen (oder gleichen) Topologien miteinander verbinden, unter der Voraussetzung, dass beide netze das gleiche Protokoll und die gleiche logische Adressierung verwenden. So kann z.B. ein TCP/IP-Netzwerk mit einer Ethernet-Topologie mit einem TCP/IP-Netzwerk auf Token-Ring-Basis verbunden werden. Bridges können ebenfalls verwendet werden, wenn es darum geht, größere Distanzen zwischen LANs zu überbrücken; in diesem Fall spricht man von Remote Bridges.

Router

Wegwähler

3

Ein Router verbindet normalerweise Netzwerke, welche eine unterschiedliche logische Adressierung, aber einheitliche Protokolle verwenden. Router werden häufig WAN-Zusammenhang eingesetzt. Allerdings gibt es heute auch andere Einsatzmöglichkeiten für Router – z.B. für die Anbindung eines LANs ans Internet, wobei der (ISDN-)Router automatisch das Anwählen des Internet-Providers übernimmt.

Gateway

Einfahrt

7

Ein Gateway verbindet zwei unterschiedliche Netzwerke mit zwei separaten Protokollen miteinander (Achtung: in derTerminologie von TCP/IP bezeichnet das Gateway einen Router). Ein spezieller Kommunikationsserver übernimmt die Aufgabe, die ungleichen Protokolle und Datentransfermethoden miteinander zu verbinden. Gateways sind ebenfalls ein probates Mittel, LANs mit Hostsystemen zu verbinden.

 

 

 


 

2.4 Vermittlungstechniken:

 

1.      Leitungsvermittlung (Circuit Switching, Line Switching, Durchschaltvermittlung)

Bei diesem Verfahren steht immer eine dedizierte Leitung mit garantierter Datenrate zur Verfügung.

 

2.      Paketvermittelung (Packet Switching):

Für kleinere Pakete wird oft die "Virtual Circuit"-Technologie verwendet.

 


 

3.      Nachrichtenvermittlung (Message Switching):

 

 

Die Bandbreite wird bei dieser Technologie besser genutzt als bei der Leitungsvermittlung.

Typisch ist das "Store-and-Forward"-Prinzip: Nachrichten werden bei jedem Vermittlungsknoten zwischengespeichert. Dadurch können Prioritäten festgelegt werden; ein Nachteil ist aber, dass für die Zwischenspeicherung oft große Massenspeichern nötig sind.


 

3 Netzwerk-Hardware und Verkabelung

 

Wir beginnen mit der „technischen“ Seite der Datenübertragung in einem Netzwerk, die im OSI-Modell die Schichten 1 und 2 umfasst.

 

 

Mit der Normung der verschiedenen Netzwerktechnologien auf den OSI-Schichten 1 und 2 beschäftigt sich die Arbeitsgruppe 802 des Institute for Electric and Electronic Engineers (IEEE). Die entsprechenden Normungsvorschläge werden daher als 802.x-Normen bezeichnet.

 

 

Aus obige Abbildung ist ersichtlich, welche Technologien der Schichten 1 und 2 aktuell sind:

am bedeutendsten ist sicher Ethernet, die bei PC-Netzwerken standardmäßig verwendete Technologie.

 

 

 

 

3.1 Ethernet

 

Ende 1972 implementierte Dr. Robert Metcalfe mit seinen Kollegen am Xerox Palo Alto Research Center ein Netzwerk, um einige Xerox-Alto-Rechner zu vernetzen – einen zu dieser Zeit revolutionären Vorläufer der Personal Computer. Zunächst als Alto Aloha Network bezeichnet, setzte dieses Netzwerk bereits das CSMA/CD-Protokoll des späteren Ethernet ein. Die Übertragungsfrequenz lag jedoch zunächst nur bei 2,94 MHz, dem Systemtakt der Alto-Stations. Erst 1976 nannte Metcalfe das Netzwerk Ethernet.

 

Abbildung: Schemazeichnung von Dr. Robert Metcalfe (Quelle: www.tecchannel.de)

 

Logische Topologie aller Ethernet-Netzwerke: Bus-Topologie

 

Physikalische Topologien:

 

Übersicht über Normen und Verkabelungstopologien im Ethernet-Bereich (Quelle: tecChannel.de):

 

3.1.1 Bus-Topologie:

 

Je nach verwendetem Kabel wird hier weiter unterschieden:

 

a) “Thin Ethernet” = CheaperNet (10Base2)

 

Bei diesem Verkabelungstyp werden dünne (meist schwarze) Koaxialkabel der Norm RG 58 (Innenwiderstand 50 ) verwendet.

  • Geschwindigkeit: max. 10 Mbit/s
  • max. Segmentlänge: 185 m (über 185 m benötigt man Repeater = Verstärker)
  • min. Segmentlänge: 0,5 m (Signaleinschwingung)
  • Steckertyp: BNC-Stecker (bajonet network connector)

 

Abbildung: 10Base2-Koaxialkabel (Innenwiderstand 50 Ω)

 

 

Für die verschiedenen Übertragungsgeschwindigkeiten werden oft auch „Kategorie-Bezeichnungen“ verwendet:

 

Kategorie

Klasse laut ISO

Frequenzbereich

Anwendung/Dienst

Kategorie 2

Klasse A

100 kHz

Telefonie, Modem, DFÜ

Kategorie 3

Klasse B

1 MHz

ISDN, IBM-Verkabelung Typ 3

Kategorie 4

Klasse C

16 MHz

Token Ring, Ethernet

Kategorie 5

Klasse D

100 MHz

Fast Ethernet, Gigabit Ethernet

Kategorie 6

Klasse E

200 MHz

Fast Ethernet, Gigabit Ethernet

Kategorie 7

Klasse F

600 MHz

ATM, Gigabit Ethernet

 

Die hier beschriebenen Kabel sind daher der Kategorie 3 zuzuordnen.

 

Zu beachten ist, dass an den beiden Enden der Busverkabelung je ein 50 Ω-Abschlusswiderstand anzubringen ist.

 

Die nebenstehende Zeichnung zeigt den Anschluss des Buskabels über ein T-Stück an die Netzwerkkarte.

 

 

 

 

 

 

 

 

 

 

 

Eigenschaften: sehr geringe Kosten, sehr wenig Kabelmaterial

 

Nachteile:

·        bei Kabelbruch gesamtes Netzwerk nicht funktionsfähig

·        Fehlersuche

·        Datentransfer

·        Heute nicht mehr zeitgemäß

 

 

b) „Thick Ethernet“ (10Base5)

 

Bei diesem Verkabelungstyp werden dicke (oft gelbe) Koaxialkabel der Normen RG 8 bzw. RG 11 (Innenwiderstand 50 ) verwendet.

 

 

 

 

 

Busverkabelung mit Netzwerkdosen:

 

 

EAD/LAD-Verkabelungsbeispiel

 

Kabel mit EAD-Dose

 

 


 

 

CAB-Verkabelungsbeispiel

 

 

3.1.2 Stern-Topologie

 

Die heute übliche Verkabelung in Stern-Topologie erfolgt mit Twisted Pair-Kabeln:

 

KERPEN Verkabelung

 

EZ-RJ45 Connectors and EZ-RJ45 Crimp Tool

 

Je nach verwendeter Schirmung unterscheidet man:

 

UTP

STP

FTP

unshielded

shielded

Folied (Folienschirm)

 

Twisted Pair-Kabel sind mindestens ausgelegt für Kategorie 5.

 

Steckertyp: RJ 45-Stecker (Modemstecker RJ 11); RJ =“registered jack“

 

 

3 verschiedene Verdrahtungstypen:

 

 

568 A                                                              568 B                                                     USOC

                                                         am häufigsten verwendet

 

Zusätzlich unterscheidet man „Straight“ und „Crossover“-Kabel.

 

„Straight“-Kabel haben üblicherweise die T568B-Belegung an beiden Kabelenden.

„Straight“-Kabel werden verwendet:

 

„Crossover“-Kabel haben üblicherweise an einem Ende die T568A-Beschaltung, am anderen Kabelende die T568B-Beschaltung.

 

“Crossover”-Kabel werden verwendet:

 

Internet-Quellen:

Beispielsweise findet man bei http://www.belden.de eine Steckerreferenz (Referenz der wichtigsten Steckersysteme) oder bei http://www.daetwyler.net findet man eine Zusammenstellung von wichtigen Baunormen.

Weitere Quellen:

http://www.draka.de

http://www.brand-rex.com

 

Arten von Sternverteilern:

 

a) Hub (engl. = Nabe, Radnabe)

= Multiportrepeater

 

Sternverteiler (Hub), an den etwa 6-12 Clients, der Server und der Netzwerkdrucker angeschlossen werden können (Foto: C2000)

 

Hubs arbeiten auf der Bitübertragungsschicht (Schicht 1) des OSI-Modells. Sie haben reine Verteilfunktion. Alle Stationen die an einem Hub angeschlossen sind, teilen sich die gesamte Bandbreite die durch den Hub zu Verfügung steht (z. B. 10 MBit/s oder 100 MBit/s). Die Verbindung von Computer zum Hub verfügt nur kurzzeitig über diese Bandbreite.

 

Ein Hub nimmt ein Datenpaket an und sendet es an alle anderen Ports. Dadurch sind alle Ports belegt. Diese Technik ist nicht besonders effektiv. Es hat aber den Vorteil, das solch ein Hub einfach und kostengünstig herzustellen ist.

 

Zwei Hubs werden über einen Uplink-Port eines Gerätes oder mit einem Crossover-Kabel(Sende- und Empfangsleitungen sind gekreuzt) verbunden. Es gibt auch spezielle stackable Hubs, die sich herstellerspezifisch mit Buskabeln kaskadieren lassen. Durch die Verbindung mehrerer Hubs läßt sich die Anzahl der möglichen Stationen erhöhen. Allerdings ist die Anzahl der anschließbaren Stationen begrenzt. Es gilt die Repeater-Regel.

 

Um den Nachteilen von Hubs aus dem Weg zu gehen verwendet man eher Switches, die die Aufgabe der Verteilfunktion wesentlich besser erfüllen, da sie direkte Verbindungen zwischen den Ports schalten und die MAC-Adresse einem Port zuordnen können.

 

b) Switch (engl. Schalter):

Ordnet durch MAC-Adressen (Schicht 2) eintreffende Pakete den korrekten Ports zu.

z.B: HP, 3 Com, Bay Networks, Cisco

 

Netgear-Switch (5 Ports)

                        Linksys-Switch mit 24 Ports

 

Eigenschaften:

 

Ein Switch arbeitet auf der Sicherungsschicht (Schicht 2) des OSI-Modells und arbeitet ähnlich wie eine Bridge. Daher haben sich bei den Herstellern auch solche Begriffe durchgesetzt, wie z. B. Bridging Switch oder Switching Bridge. Ein Switch schaltet direkte Verbindungen zwischen den angeschlossenen Geräten. Auf dem gesamten Kommunikationsweg steht die gesamte Bandbreite des Netzwerkes zur Verfügung.

 

Switches unterscheidet man hinsichtlich ihrer Leistungsfähigkeit mit folgenden Eigenschaften:

 

 

Ein Switch ist im Prinzip nichts anderes als ein intelligenter Hub, der sich merkt, über welchen Port welche Station erreichbar ist. Auf diese Weise erzeugt jeder Switch-Port eine eigene Collision Domain.

Teure Switches arbeiten auf der Schicht 3, der Vermittlungsschicht, des OSI-Schichtenmodells (Layer-3-Switch oder Schicht-3-Switch). Sie sind in der Lage die Datenpakete anhand der IP-Adresse an die Ziel-Ports weiterzuleiten. Im Gegensatz zu normalen Switches lassen sich so, auch ohne Router, logische Abgrenzungen erreichen.

 

Switching-Verfahren:

 

  1. Cut-Through

Der Switch leitet das Datenpaket sofort weiter, wenn er die Adresse des Ziels erhalten hat.

Vorteil: Die Latenz, die Verzögerungszeit, zwischen Empfangen und Weiterleiten ist äußerst gering.

Nachteil: Fehlerhafte Datenpakete werden nicht erkannt und trotzdem an den Empfänger weitergeleitet.

 

  1. Store-and-Forward

Der Switch nimmt das gesamte Datenpaket in Empfang und speichert es in einen Puffer. Dort wird dann das Paket mit verschiedenen Filtern geprüft und bearbeitet. Erst danach wird das Paket an den Ziel-Port weitergeleitet.

Vorteil: Fehlerhafte Datenpakete können so im Voraus aussortiert werden.

Nachteil: Die Speicherung und Prüfung der Datenpakete verursacht eine Verzögerung von mehreren Millisekunden (ms), abhängig von der Größe des Datenpaketes.

 

  1. Kombination aus Cut-Through und Store-and-Forward

Viele Switches arbeiten mit beiden Verfahren. Solange nur wenige Kollisionen auftreten wird Cut-Through verwendet. Häufen sich die Fehler schaltet der Switch auf Store-and-Forward um.

 

  1. Fragment-Free

Der Switch empfängt die ersten 64 Byte des Daten-Paketes. Ist dieser Teil fehlerlos werden die Daten weitergeleitet.

Vorteil: Die meisten Fehler und Kollisionen treten während den ersten 64 Byte auf.

Nachteil: Dieses Verfahren wird trotz seiner effektiven Arbeitsweise selten genutzt.

 

Switch-MAC-Tabellenverwaltung:

 

Switches haben den Vorteil, im Gegensatz zu Hubs, dass sie Datenpakete nur an den Port weiterleiten, an dem die Station mit der Ziel-Adresse angeschlossen ist. Als Adresse dient die MAC-Adresse, also die Hardware-Adresse einer Netzwerkkarte. Diese Adresse speichert der Switch in einer internen Tabelle. Empfängt ein Switch ein Datenpaket, so sucht er in seinem Speicher unter der Zieladresse (MAC) nach dem Port und schickt dann das Datenpaket nur an diesen Port. Die MAC-Adresse lernt ein Switch mit der Zeit kennen. Die Anzahl der Adressen, die ein Switch aufnehmen kann, hängt ab von seinem Speicherplatz.

 

Ein Qualitätsmerkmal eines Switches ist es, wie viele Adresse er insgesamt und pro Port speichern kann. An einem Switch, der nur eine Handvoll Computer verbindet, spielt es keine Rolle wieviele Adressen er verwalten kann. Wenn der Switch aber in einem großen Netzwerk steht und an seinen Ports noch andere Switches und Hubs angeschlossen sind, dann muss er evt. mehrere tausend MAC-Adressen speichern und den Ports zuordnen können. Je größer ein Netzwerk ist, desto wichtiger ist es, von vornherein darauf zu achten, dass die Switches genügend Kapazität bei der Verwaltung von MAC-Adressen haben.

3.1.3 Fast Ethernet (IEEE 802.3u, 1995)

Die hier vorgestellten Technologien sind für einen Datendurchsatz von 100 Mbit/s ausgelegt und mit TP-Kupferkabeln oder Glasfaserkabeln realisierbar.

 

100 Base TX

TP; verwendet nur Adernpaare 2 + 3

100 Base T4

TP; alle Adernpaare

100 VG

100 Base FX

Multimode – Glasfaserkabel

 

3.1.4 Gigabit-Ethernet (IEEE 802.3z, 1998)

 

Datendurchsatz: 1000 Mbit/s

                                                                                                                                                  

Lichtwellenleiter

1000Base-SX (short)

Multimode-LWL 850 nm

1000Base-LX (long)

Multimode-LWL 1300 nm

 

Kupferleiter

1000Base-CX

STP-Kabel 150 (Kategorie 6/7)

1000Base-T

UTP-Kabel (Kategorie 5)

 

3.1.5 10Gigabit-Ethernet (IEEE 802.3ae, 2002)

 

nur mehr Lichtwellenleiter

10GBase-LX

10GBase-SX

 

3.1.6 Gemeinsamkeiten von Ethernet

 

Hardwaremäßige Netzwerkkarten-Identifikation in Form einer 48 bit-Adresse, der sogenannten Media Access Control-Nummer (MAC-Adresse). Diese Adressen werden in hexadezimaler Schreibweise angegeben. Die ersten 24 bit stellen die Hersteller- und Modellnummer dar, die verbleibenden 24 bit sind als weltweit eindeutige Nummer der Netzwerkkarte vorgesehen.

 

Beispiel:

 

                     00-FO-23 –                    AF-98-27

                     Herstellernummer          Kartennummer

 

Medienzugriff:

 

Ethernet verwendet das CSMA/CD-Verfahren = Carrier Sense Multiple Access/Collision Detection.

 

 

EtherNet arbeitet mit dem CSMA/CD-Zugriffsverfahren (carrier sense multiple access with collision detection = Kollisionsvermeidung). Das bedeutet für den sendewilligen Rechner „erst hören“ (carrier sense), dann „auf das Medium zugreifen und senden“ (multiple access) und Konflikte (gleichzeitiges Senden mehrerer Stationen) „erkennen“ (with collision detection) und korrigieren. Alle Rechner sind hier an ein einziges Kabel gebunden (Bustopologie). Wollen nun zwei Rechner gleichzeitig Daten abschicken, so kommt es zu einer Kollision; ein Jam-Signal wird an alle beteiltigten Stationen übermittelt. Alle an der Kollision beteiligten Geräte stoppen sofort ihre Bemühungen und warten eine zufällig bestimmte Zeit, ehe sie einen neuen Übertragungsversuch starten.

 

Das CSMA/CD-Verfahren ist ein "nicht deterministisches Medienzugriffsverfahren" (übersetzt heißt dies in etwa: "nicht zielorientiert", da Kollisionen bei diesem Verfahren ja weder vorhergesehen noch vermieden werden können).


 

3.2 Token Ring

 

Eingeführt 1972 von IBM.

 

Norm: IEEE 802.5

 

Verwendet wird eine logische Ring-Topologie.

 

Physikalische Topologien:

 

 

 

 

Medienzugriff:

 

CSMA/CA („collision avoidance“ = Kollisionsvermeidung) durch Token Passing: Hier werden durch Verwendung von Tokens Kollisionen von vornherein vermieden. Im Ringkabel rotiert laufend eine bestimmte Bitstruktur, der so genannte Token. Wenn ein Rechner Daten senden will, so wartet er, bis der Token an seinem Interface vorbeikommt und hängt dann seine Daten an. Nach Absendung und Übertragung kommt die Nachricht wieder an den Absender zurück (Ring!) und kann überprüft und durch den Token ersetzt werden. Dann kann ein anderer Rechner eine Nachricht senden.

 

Das Token Passing-Verfahren ist ein " deterministisches Medienzugriffsverfahren" .

3.3 Token Bus

 

Norm: IEEE 802.4

 

Vergleichbar mit Token Ring, allerdings ist die logische Topologie bei diesem Verfahren die Bus-Topologie.

 

Medienzugriff: CSMA/CA durch Token Passing.

 

3.4 FDDI (Fiver Distributed Data Interface)

 

Eine moderne Variante stellen die so genannten FDDI-Ringe dar (Fiber Distributed Data Interface). Das Übertragungsmedium ist ein Glasfaserkabel, mit dem sich Übertragungsraten von 100 MBit/s erreichen lassen. Das derzeit modernste FDDI-LAN bedient sich eines Doppelringes, wobei beide Ringe im Gegensinn durchlaufen werden. Für den Stationszugriff wird auch hier ein Token-Signal verwendet.

 

 

3.5 Wireless LAN (WLAN)

 

 

 

802.11a

802.11b

802.11g

802.11n

Jahr

 

 

 

 

Geschwindigkeit

54 Mbps

11 Mbps

54 Mbps

100 Mbps

Frequenzbereich

5 GHz

2,4 GHz (ISM)

2,4 GHz (ISM)

5 GHz

Anzahl Kanäle

12

3

3

12

Access Point notwendig alle…

50 ft

200 ft

200 ft

TBD

Maximale Reichweite

60 ft

300 ft

300 ft

TBD

Kompatibilität

802.11n

802.11g

802.11b

802.11a/g

 

Der ISM-Frequenzereich (industrial, scientific, medical purposes) liegt zwischen 2,400 GHz und 2,485 und kann lizenzfrei benutzt werden.

 

Medienzugriff: CSMA/CA (ähnlich Token Passing-System)

 

Betriebsarten:

 

 

 

Abbildung: links ein Access Point, rechts zwei WLAN-Karten für Notebooks (Foto: D-Link)

 


 

3.6 PAN – Personal Area Networks (“Bluetooth”)

Darunter versteht man einen Funk-LAN-Standard für Netze geringer Bandbreite mit kurzer Reichweite (< 10 m), genormt als IEEE 802.15.

 

1998 wurde von den Firmen IBM, Toshiba, Intel, Ericsson und Nokia die „Bluetooth Special Interest Group“ ins Leben gerufen, die sich seither mit der Weiterentwicklung und Anwendung dieses Standards beschäftigt. Der Name stammt von einem nordischen König mit dem Spitznamen „Blauzahn“.

 

Als Frequenzbereich wird der ISM-Bereich benützt. Eine spezielle Eigenschaft, das „Frequency Hopping Spread Spectrum(FHSS) gewährleistet die Sicherheit der Datenübertragung: alle 625 µs wird die Trägerfrequenz geändert.

 

Mit Bluetooth ist eine Datenübertragungsrate von 64 kbit/s bei Sprach- und 865,2 kbit/s bei Datenübertragungen erreichbar.

 

Die Geräte identifizieren einander automatisch, indem sie ihre 48 Bit-MAC-Adressen austauschen.

 

Anwendungsgebiete:

 

 

 


 

4 Strukturierte Gebäudeverkabelung

 

Anforderungen:

 

4.1 Grundlegendes

Derzeit rüsten viele Unternehmen ihr Ethernet um. Der erste und meist teuerste Schritt auf diesem Weg ist die Neuverkabelung mit Twisted-Pair-Leitungen. Danach können weitere Maßnahmen ergriffen werden. Die klassische Maßnahme, das "Bridging", wird auch in Koax-Netzen häufig eingesetzt und lebt heute in den sogenannten "Multi-Segment-" oder auch "Switching-Hubs" weiter. Das Aufteilen eines Netzes in mehrere Teilnetze, auch "Collision Domains" genannt, läßt nicht mehr jedes Datenpaket zu jeder Station gelangen; es können so viele Transaktionen gleichzeitig stattfinden, wie Collision Domains im Netz vorhanden sind - im Extremfall (Switch) ist jeder Hub-Anschluss einer eigenen Collision Domain zugeordnet. An die Switch-Anschlüsse können in der Regel wieder gewöhnliche Repeating Hubs angeschlossen werden; Switching kann so nach und nach im Netz eingeführt werden, um die Collision Domains immer weiter zu verkleinern - bis im Idealfall jedem Rechner ein privates Segment zur Verfügung steht.

Switches sind heute nicht teurer als Hubs, daher spricht alles für eine Strukturierung des Netzes mit Switches. In einem Peer-to-Peer-Netz (z. B. Unix oder auch Windows ab 95) ohne zentrale Server genügt meistens ein reiner 10BaseT-Switch. Gibt es einige, wenige Server, so kann der Server über mehrere Ethernet-Segmente parallel mit dem Switch verbunden werden, so dass der Datenverkehr zwischen Server und Netz gebündelt wird. Es gibt auch Switches mit einem oder mehreren 100-MBit-Anschlüssen. Diese können an den oder die Server angeschlossen werden, um alle Anwender im Netz deutlich schneller mit Daten zu versorgen - ohne dass deren LAN-Adapter auch nur berührt werden müssten.

 

Da Twisted-Pair-Kabel heutzutage den Standard darstellen, sollte man auf jeden Fall bei der Neuverkabelung gleich Cat-5-Kabel verwenden, um für die Datenrate von 100 MHz gerüstet zu sein. Leider ist der verwendete RJ45-Stecker relativ filigran. Neben der Zerbrechlichkeit der Stecker kommt es bei Hochgeschwindigkeitsnetzen zu Problemen: Die Drähte und Kontakte werden über eine kleine Strecke parallel geführt, wodurch die Wirkung der Twisted-Pair-Kabel aufgehoben wird. Ein weiterer Kritikpunkt an der RJ45-Technik ist die Einheitlichkeit der Dosen. Der Anwender am Arbeitsplatz kann nicht erkennen, welchem Dienst die Dose zugeordnet ist (Netz, analogens Telefon, ISDN, etc.). Selbst Farbkennzeichnung oder Beschriftung hindert viele Leute nicht daran, 'es mal an der anderen Dose zu versuchen'. Und da kann die Rufspannung analoger Telefone schon einmal einen Netzwerkadapter "killen".

 

10 MBit/s (IEEE 802.3) und 100 MBit/s (IEEE 802.3u) verwenden eine Halbduplex-Übertragung über zwei Aderpaare. Bei einer Migration von 10 auf 100 MBit/s bleibt zumindest die Infrastruktur des Kabelnetzes bestehen. Demgegenüber setzt Gigabit-Ethernet (IEEE 802.3ab) auf eine Vollduplex-Übertragung über alle vier Paare. Zwar ermöglicht diese Technik die Verwendung der eigentlich nur bis 100 MHz spezifizierten CAT-5-Kabel, dazu müssen die Komponenten allerdings anders beschaltet werden.

4.2 Strukturen der Gebäudeverkabelung

Früher war eine "Bedarfsverkabelung" üblich. Die Netztechnik bestimmte die Art der Verkabelung (Ethernet: busförmige Koaxverkabelung, FDDI: ringförmig mit Lichtwellenleitern). Die Standorte der Rechner und Terminals bestimmte die Netzausdehnung.

 

Heute gilt ganz klar die Prämisse: strukturierte Verkabelung. Die Netztechnik hat sich an eine genormte Verkabelung anzupassen. Jeder Arbeitsplatz bekommt automatisch eine Datennetzdose. Das bring anfangs zwar höhere Investitionskosten, ist aber zukunftssicher. Fehler wirken sich nur lokal aus, denn jeder Anschluss hat sein eigenes Kabel.

 

Basis der heutigen Gebäudeverkabelung von Netzen sind die in den letzten Jahren erarbeiteten Normen auf diesem Gebiet. Dabei gibt es im wesentlichen drei grundlegende Normen, die für bestimmte geographische Regionen von Bedeutung sind:

Die EN 50173 und die ISO/IEC 11801 haben im wesentlichen den gleichen Inhalt und enthalten auch die gleichen Anforderungen an die Kabel und Komponenten. Die EN 50173 ist eine europäische Norm, während die ISO/IEC 11801 weltweit verwendet wird. Die EIA/TIA-568 A/B wurde speziell für den nordamerikanischen Markt von der dortigen Telekommunikationsindustrie entwickelt. Sie ist eigentliche keine Norm, sondern lediglich eine Industrie-Spezifikation. Sie enthält auch geringere Anforderungen bezüglich der Übertragungseigenschaften der Kabel als die anderen Bestimmungen. In der EN 50173 wird ebenso wie in der ISO/IEC 11801 die Gebäudeverkabelung in vier Bereiche eingeteilt.

In allen drei Bereichen der Inhouse-Verkabelung (oft auch Ebenen genannt) können sowohl Verkabelungen mit symmetrischen Kupferkabel (Twisted Pair) und -komponenten als auch mit Lichtwellenleiterkabel und -komponenten verwendet werden. Im Campusbereich werden ausschließlich LWL-Kabel und -Komponenten verwendet.

Campusverkabelung und Steigbereich

Auf Grund der größeren Übertragungsstrecken und dem steigenden Datenaufkommen hat sich sowohl für den Campus- als auch für den Steigbereich die Lichtwellenleiterverkabelung durchgesetzt. Im Außenbereich werden LWL-Außenkabel mit Multimodefasern verwendet. Sollten Kabellängen von größer 2000 m notwendig sein oder extrem hohe Datenraten anfallen, können ebenso Kabel mit Singlemodefasern verwendet werden. Die Faseranzahl sollte in jedem Fall so bemessen sein, dass zukünftiges Wachstum der Netzanforderungen erfüllt werden kann. Als Faustregel sollte man 50% Reserve zum derzeitigen Bedarf addieren. Werden also derzeit acht Fasern benötigt, sollte ein Kabel mit zwölf Fasern verwendet werden.

 

Im Steigbereich werden meist LWL-Innenkabel, ebenfalls mit Multimodefasern, eingesetzt. Dabei empfiehlt die EN 50173 die Verwendung von 62,5-Mikrometer-Multimodefasern. Multimodefasern mit 50 Mikrometern sind aber ebenfalls zugelassen. Sind die Entfernungen klein (< 100 m) und die zu erwartenden Datenraten pro Teilnehmer gering (< 10 Mb/s), so kann im Steigbereich auch eine Verkabelung mit symmetrischen Kupferkabeln vorkommen. Dabei sollte aber ein qualitativ hochwertiges System eingesetzt werden, da ein Ausfall oder eine Überlastung in diesem Bereich schwerwiegende Konsequenzen für das ganze Netz hat.

Horizontalverkabelung und Arbeitsplatzbereich

Im Horizontalbereich und für die Arbeitsplatzverkabelung werden zumeist hochwertige, geschirmte symmetrische Kupferkabel und -komponenten eingesetzt, da hier der Anschluss an viele einzelne Schnittstellen vorgenommen wird. Wird auch im Horizontal- und Arbeitsplatzbereich mit Lichtwellenleitern (LWL) verkabelt, stehen damit höhere Bandbreiten zur Verfügung und es lassen sich längere Strecken realisieren. LWL-Verkabelung kann auch dann sinnvoll sein, wenn man einfach die EMV-Immunität und die Übertragungssicherheit ausnutzen will. Die Einführung von "Fiber-to-the-desk", der LWL-Verkabelung bis zum Arbeitsplatz, ist wohl bald Realität. Es ist auch möglich, beispielsweise den Steig- und den Horizontalbereich durchgehend mit LWL zu verkabeln, um damit Etagenverteiler einzusparen. Man spricht dann von einer zentralisierten Verkabelung.

Netzstrukturen

Die heutige Verkabelung wird im allgemeinen hierarchisch in einem physikalischen Stern aufgebaut. Der Standortverteiler (auch: Hauptverteiler) als zentrale Schaltstelle ist mit den Gebäudeverteilern in den einzelnen Gebäuden sternförmig verkabelt. In den Gebäuden werden die Etagen- verteiler ebenfalls sternförmig mit dem Gebäudeverteiler verkabelt. In der Horizontalebene schließlich findet eine ebenfalls sternförmige Verkabelung der Anschlusseinheiten wie der Wanddose mit dem Etagenverteiler statt. Als Verteiler zum Abschluss der Kabel werden Schränke und Gestelle in 19"-Technik eingesetzt. 19"-Einschübe übernehmen in diesen Schränken die Kabelbefestigung, die Speicherung einer Reservelänge, die Unterbringung von Spleißkassetten (falls verwendet) und das Montieren der Stecker und Kupplungen bzw. Buchsen auf den Verteilerfeldern. Werden nur kleinere Faserzahlen benötigt, so können statt der 19"-Schränke die kompakteren Wandverteiler eingesetzt werden.

 

 

 

 

Patchfeld

 

Im Tertiärbereich werden zum Kabelabschluss Wand- und Bodentankdosen verwendet. Diese Anschlusseinheiten übernehmen hier die Kabelbefestigung, die Speicherung der Reservelänge und das Montieren der Buchsen bzw. Stecker und Kupplungen. Sie bilden den Abschluss der diensteunabhängigen Verkabelung. Das Endgerät (der PC, die Workstation, der Drucker, das Telefon, etc.) wird mit konfektionierten Kabeln an die Wanddose oder den Bodentank angeschlossen. Die Verteilung der Switch- oder Routerports auf die Endgerätedosen erfolgt über ein Patchfeld. Es handelt sich dabei um ein Feld mit Netzwerk-Steckdosen (z. B. RJ-45-Dosen), an welche die Kabel zu den Anschlussdosen in den einzelnen Rämen angeschlossen sind. Die Verbindung zu den aktiven Komponenten erfolgt dann über kurze Patchkabel.

 

Die logische Netzstruktur der Verkabelung hängt davon ab, wie die einzelnen Netzwerkknoten miteinander kommunizieren. Darunter sind die Protokolle, Zugriffsverfahren und Konventionen auf der elektronischen Ebene zu verstehen. Die heute am weitest verbreiteten Standards für solche logischen Netzstrukturen sind:

Für die Umsetzung von der logischen in die physikalische Netzstruktur haben sich Netzwerkkonzentratoren etabliert. Hier werden alle wichtigen Netzwerkaktivitäten zusammengefaßt, was auch die Verkabelung und die Fehlersuche wesentlich erleichtert. Dadurch ist es möglich, beispielsweise das Ethernet 10/100BaseT-Verfahren als logisches Bussystem in einer sternförmigen Verkabelung zu realisieren.

 

 


 

4.3 Durchsatzmessung – Leistungsmessung

Für die Überprüfung der Funktionstüchtigkeit von Netzwerkverkabelungen gibt es Messgeräte (oft als „Penta-Scanner“ bezeichnet), die mehrere Tests durchführen und dabei Größen wie Impedanz (Scheinwiderstand) und Dämpfung messen.

 

Beispiel: Fluke 620 Cable Tester

 

Prüfprotokoll Netzwerkkabel (CAT5) – bestandener Test

 

Kabelkennung: 06-16B                            Testzusammenfassung: PASS

ELEKTRO XXXXXXXXXX GMBH                         RESERVE: 7,7 dB (NEXT @ Remote 45-78)

ORT: 3100 ST.PöLTEN                             Datum/Uhrzeit: 10.02.2000  18:05:12

BEDIENER: ZAHLER                                Test-Standard: TIA Cat 5 Basic Link

Standard-Version: 2.51                          Kabeltyp: ScTP 100 Ohm Cat 5

Software-Version: 2.5                           FLUKE DSP-4000   Serien-Nr.: 7420098 LIA011

NVP: 69,9%   FEHLERANOMALIESCHWELLE: 15%        FLUKE DSP-4000SR Serien-Nr.: 7420098 LIA011

TEST DER KABELSCHIRMUNG: Aktivieren

 

Wire Map PASS                     Ergebn.   RJ45-STIFT:     1 2 3 4 5 6 7 8 S

                                                            | | | | | | | | |

                                            RJ45-STIFT:     1 2 3 4 5 6 7 8 S

     |Länge       |Laufzeit  |Laufzeit |Widerstand |Impedanz          |Dämpfung           |

     |            |          |Differenz|           |             Anom.|Ergebn. Freq. Grnz.|

Paar |(m)    Grnz.|ns  Grnz. |ns Grnz. |Ohm   Grnz.|Ohm  Grnz.     (m)| (dB)   MHz    (dB)|

12   |52,2   94,0 |249       |0   50   |           |113  80-120       |10,0   100,0  21,6 |

36   |52,8   94,0 |252       |3   50   |           |112  80-120       |10,3   100,0  21,6 |

45   |52,8   94,0 |252       |3   50   |           |111  80-120       |10,7   100,0  21,6 |

78   |53,4   94,0 |255       |6   50   |           |106  80-120       |10,9   100,0  21,6 |

      |             Ergebnisse der Haupteinheit |           Ergebnisse der Remote-Einheit |

      |geringster Abstand  |Min. Wert           |geringster Abstand  |Min. Wert           |

      |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |

Paar  | (dB)   MHz    (dB) | (dB)   MHz    (dB) | (dB)   MHz    (dB) | (dB)   MHz    (dB) |

NEXT                       |                    |                    |                    |

12-36 | 41,0    61,8  32,8 | 40,6    70,8  31,8 | 42,7    59,2  33,0 | 39,9    97,8  29,5 |

12-45 | 51,9    25,2  39,1 | 48,2    67,0  32,2 | 48,5    44,2  35,1 | 47,3    72,4  31,7 |

12-78 | 47,7    59,8  33,0 | 47,2    72,2  31,7 | 47,1    60,0  32,9 | 45,5    96,2  29,6 |

36-45 | 38,9    95,4  29,7 | 38,9    95,4  29,7 | 44,5    42,0  35,5 | 39,2    99,6  29,3 |

36-78 | 60,3     7,8  47,3 | 44,4    93,4  29,8 | 60,0     7,7  47,4 | 46,1    94,4  29,7 |

45-78 | 54,7    10,0  45,6 | 43,5    89,8  30,1 | 51,6    12,7  43,9 | 41,8    85,0  30,5 |

 


Prüfprotokoll Netzwerkkabel (CAT5) – nicht bestandener Test

 

Kabelkennung: 06-19A                            Testzusammenfassung: FAIL

ELEKTRO XXXXXXXXXX GMBH                         RESERVE: 9,8 dB (NEXT 12-36)

ORT: 3100 ST.PöLTEN                             Datum/Uhrzeit: 10.02.2000  18:41:45

BEDIENER: ZAHLER                                Test-Standard: TIA Cat 5 Basic Link

Standard-Version: 2.51                          Kabeltyp: ScTP 100 Ohm Cat 5

Software-Version: 2.5                           FLUKE DSP-4000   Serien-Nr.: 7420098 LIA011

NVP: 69,9%   FEHLERANOMALIESCHWELLE: 15%        FLUKE DSP-4000SR Serien-Nr.: 7420098 LIA011

TEST DER KABELSCHIRMUNG: Aktivieren

 

Wire Map PASS                     Ergebn.   RJ45-STIFT:     1 2 3 4 5 6 7 8 S

                                                            | | | | | | | | |

                                            RJ45-STIFT:     1 2 3 4 5 6 7 8 S

     |Länge       |Laufzeit  |Laufzeit |Widerstand |Impedanz          |Dämpfung           |

     |            |          |Differenz|           |             Anom.|Ergebn. Freq. Grnz.|

Paar |(m)    Grnz.|ns  Grnz. |ns Grnz. |Ohm   Grnz.|Ohm  Grnz.     (m)| (dB)   MHz    (dB)|

12   |50,9   94,0 |243       |0   50   |           |112  80-120       | 6,2 F   2,3   3,0 |

36   |51,8   94,0 |247       |4   50   |           |110  80-120       | 6,2 F   2,3   3,0 |

45   |51,1   94,0 |244       |1   50   |           |110  80-120       | 6,3 F   2,4   3,1 |

78   |52,2   94,0 |249       |6   50   |           |108  80-120       | 6,3 F   2,3   3,0 |

      |             Ergebnisse der Haupteinheit |           Ergebnisse der Remote-Einheit |

      |geringster Abstand  |Min. Wert           |geringster Abstand  |Min. Wert           |

      |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |Ergebn. Freq. Grnz. |

Paar  | (dB)   MHz    (dB) | (dB)   MHz    (dB) | (dB)   MHz    (dB) | (dB)   MHz    (dB) |

NEXT                       |                    |                    |                    |

12-36 | 43,7    52,8  33,9 | 39,9    94,2  29,8 | 47,4    32,8  37,2 | 45,8    93,6  29,8 |

12-45 | 51,2    57,8  33,2 | 49,4    91,2  30,0 | 51,6    59,8  33,0 | 49,4    95,8  29,6 |

12-78 | 52,9    52,6  33,9 | 50,4    78,2  31,0 | 54,6    38,0  36,2 | 50,5    90,4  30,1 |

36-45 | 41,1    99,8  29,3 | 41,1    99,8  29,3 | 49,2    34,6  36,8 | 42,1    96,0  29,6 |

36-78 | 45,1    54,4  33,7 | 44,2    96,8  29,5 | 53,1    20,6  40,5 | 49,1    83,6  30,6 |

45-78 | 52,6    21,2  40,3 | 44,5    73,2  31,6 | 46,7    55,4  33,6 | 44,9    82,6  30,7 |

 

 

 

 


 

 

5 Das Internet Protocol Version 4

 

Hauptaufgaben des IP-Protokolls:

 

 

Jeder Rechner auf der ganzen Welt braucht eine eindeutige Adresse, um im Internet oder in einem lokalen TCP/IP-Netzwerk erkannt zu werden, die so genannte IP-Adresse. In der derzeit gültigen Version 4 des Internet Protokolls ist die IP-Adresse eine 32-stellige Binärzahl, also etwa:

            11011001.01010011.11001111.00010001

 

Meist fasst man 8 Binärstellen (bits) zu einem Byte zusammen, dessen dezimalen Wert man berechnet. Die "Kurzschreibweise" (dotted decimal) der oben angeführten IP-Adresse würde daher zum Beispiel lauten:

 

            217.83.207.17

 

5.1 Zuweisung von IP-Adressen

 

IP-Adressen können auf zwei Arten vergeben werden:

 

 

 

 

 

 

5.2 Vergabe von IP-Adressen

 

Man unterscheidet:

 

 
Quelle: http://www.iana.org 
 

INTERNET PROTOCOL V4 ADDRESS SPACE

 

(last updated 03 August 2004)

 

The allocation of Internet Protocol version 4 (IPv4) address space to

various registries is listed here. Originally, all the IPv4 address

spaces was managed directly by the IANA. Later parts of the address

space were allocated to various other registries to manage for

particular purposes or regional areas of the world.  RFC 1466 [RFC1466]

documents most of these allocations.

 

Address

Block   Date     Registry - Purpose                  Notes or Reference

-----   ------   ---------------------------         ------------------

000/8   Sep 81   IANA - Reserved

001/8   Sep 81   IANA - Reserved

002/8   Sep 81   IANA - Reserved

003/8   May 94   General Electric Company

004/8   Dec 92   Bolt Beranek and Newman Inc.

005/8   Jul 95   IANA - Reserved

006/8   Feb 94   Army Information Systems Center

007/8   Apr 95   IANA - Reserved

008/8   Dec 92   Bolt Beranek and Newman Inc.

009/8   Aug 92   IBM

010/8   Jun 95   IANA - Private Use                  See [RFC1918]

011/8   May 93   DoD Intel Information Systems

012/8   Jun 95   AT&T Bell Laboratories

013/8   Sep 91   Xerox Corporation

014/8   Jun 91   IANA - Public Data Network

015/8   Jul 94   Hewlett-Packard Company

016/8   Nov 94   Digital Equipment Corporation

017/8   Jul 92   Apple Computer Inc.

018/8   Jan 94   MIT

019/8   May 95   Ford Motor Company

020/8   Oct 94   Computer Sciences Corporation

021/8   Jul 91   DDN-RVN

022/8   May 93   Defense Information Systems Agency

023/8   Jul 95   IANA - Reserved

024/8   May 01   ARIN - Cable Block                  (Formerly IANA - Jul 95)

025/8   Jan 95   Royal Signals and Radar Establishment

026/8   May 95   Defense Information Systems Agency

027/8   Apr 95   IANA - Reserved

028/8   Jul 92   DSI-North

029/8   Jul 91   Defense Information Systems Agency

030/8   Jul 91   Defense Information Systems Agency

031/8   Apr 99   IANA - Reserved

032/8   Jun 94   Norsk Informasjonsteknology

033/8   Jan 91   DLA Systems Automation Center

034/8   Mar 93   Halliburton Company

035/8   Apr 94   MERIT Computer Network

036/8   Jul 00   IANA - Reserved                     (Formerly Stanford University - Apr 93)

037/8   Apr 95   IANA - Reserved

038/8   Sep 94   Performance Systems International

039/8   Apr 95   IANA - Reserved

040/8   Jun 94   Eli Lily and Company

041/8   May 95   IANA - Reserved

042/8   Jul 95   IANA - Reserved

043/8   Jan 91   Japan Inet

044/8   Jul 92   Amateur Radio Digital Communications

045/8   Jan 95   Interop Show Network

046/8   Dec 92   Bolt Beranek and Newman Inc.

047/8   Jan 91   Bell-Northern Research

048/8   May 95   Prudential Securities Inc.

049/8   May 94   Joint Technical Command             (Returned to IANA  Mar 98)

050/8   May 94   Joint Technical Command             (Returned to IANA  Mar 98)

051/8   Aug 94   Deparment of Social Security of UK

052/8   Dec 91   E.I. duPont de Nemours and Co., Inc.

053/8   Oct 93   Cap Debis CCS

054/8   Mar 92   Merck and Co., Inc.

055/8   Apr 95   Boeing Computer Services

056/8   Jun 94   U.S. Postal Service

057/8   May 95   SITA

058/8   Apr 04   APNIC                               (whois.apnic.net)

059/8   Apr 04   APNIC                               (whois.apnic.net)

060/8   Apr 03   APNIC                               (whois.apnic.net)

061/8   Apr 97   APNIC                               (whois.apnic.net)

062/8   Apr 97   RIPE NCC                            (whois.ripe.net)

063/8   Apr 97   ARIN                                (whois.arin.net)

064/8   Jul 99   ARIN                                (whois.arin.net)

065/8   Jul 00   ARIN                                (whois.arin.net)

066/8   Jul 00   ARIN                                (whois.arin.net)

067/8   May 01   ARIN                                (whois.arin.net)

068/8   Jun 01   ARIN                                (whois.arin.net)

069/8   Aug 02   ARIN                                (whois.arin.net)

070/8   Jan 04   ARIN                                (whois.arin.net)

071/8   Aug 04   ARIN                                (whois.arin.net)

072/8   Aug 04   ARIN                                (whois.arin.net)

073/8   Sep 81   IANA - Reserved

074/8   Sep 81   IANA - Reserved

075/8   Sep 81   IANA - Reserved

076/8   Sep 81   IANA - Reserved

077/8   Sep 81   IANA - Reserved

078/8   Sep 81   IANA - Reserved

079/8   Sep 81   IANA - Reserved

080/8   Apr 01   RIPE NCC                            (whois.ripe.net)

081/8   Apr 01   RIPE NCC                            (whois.ripe.net)

082/8   Nov 02   RIPE NCC                            (whois.ripe.net)

083/8   Nov 03   RIPE NCC                            (whois.ripe.net)

084/8   Nov 03   RIPE NCC                            (whois.ripe.net)

085/8   Apr 04   RIPE NCC                            (whois.ripe.net)

086/8   Apr 04   RIPE NCC                            (whois.ripe.net)

087/8   Apr 04   RIPE NCC                            (whois.ripe.net)

088/8   Apr 04   RIPE NCC                            (whois.ripe.net)

089/8   Sep 81   IANA - Reserved

090/8   Sep 81   IANA - Reserved

091/8   Sep 81   IANA - Reserved

092/8   Sep 81   IANA - Reserved

093/8   Sep 81   IANA - Reserved

094/8   Sep 81   IANA - Reserved

095/8   Sep 81   IANA - Reserved

096/8   Sep 81   IANA - Reserved

097/8   Sep 81   IANA - Reserved

098/8   Sep 81   IANA - Reserved

099/8   Sep 81   IANA - Reserved

100/8   Sep 81   IANA - Reserved

101/8   Sep 81   IANA - Reserved

102/8   Sep 81   IANA - Reserved

103/8   Sep 81   IANA - Reserved

104/8   Sep 81   IANA - Reserved

105/8   Sep 81   IANA - Reserved

106/8   Sep 81   IANA - Reserved

107/8   Sep 81   IANA - Reserved

108/8   Sep 81   IANA - Reserved

109/8   Sep 81   IANA - Reserved

110/8   Sep 81   IANA - Reserved

111/8   Sep 81   IANA - Reserved

112/8   Sep 81   IANA - Reserved

113/8   Sep 81   IANA - Reserved

114/8   Sep 81   IANA - Reserved

115/8   Sep 81   IANA - Reserved

116/8   Sep 81   IANA - Reserved

117/8   Sep 81   IANA - Reserved

118/8   Sep 81   IANA - Reserved

119/8   Sep 81   IANA - Reserved

120/8   Sep 81   IANA - Reserved

121/8   Sep 81   IANA - Reserved

122/8   Sep 81   IANA - Reserved

123/8   Sep 81   IANA - Reserved

124/8   Sep 81   IANA - Reserved

125/8   Sep 81   IANA - Reserved

126/8   Sep 81   IANA - Reserved

127/8   Sep 81   IANA - Reserved                     See [RFC3330]

128/8   May 93   Various Registries

129/8   May 93   Various Registries

130/8   May 93   Various Registries

131/8   May 93   Various Registries

132/8   May 93   Various Registries

133/8   May 93   Various Registries

134/8   May 93   Various Registries

135/8   May 93   Various Registries

136/8   May 93   Various Registries

137/8   May 93   Various Registries

138/8   May 93   Various Registries

139/8   May 93   Various Registries

140/8   May 93   Various Registries

141/8   May 93   Various Registries

142/8   May 93   Various Registries

143/8   May 93   Various Registries

144/8   May 93   Various Registries

145/8   May 93   Various Registries

146/8   May 93   Various Registries

147/8   May 93   Various Registries

148/8   May 93   Various Registries

149/8   May 93   Various Registries

150/8   May 93   Various Registries

151/8   May 93   Various Registries

152/8   May 93   Various Registries

153/8   May 93   Various Registries

154/8   May 93   Various Registries

155/8   May 93   Various Registries

156/8   May 93   Various Registries

157/8   May 93   Various Registries

158/8   May 93   Various Registries

159/8   May 93   Various Registries

160/8   May 93   Various Registries

161/8   May 93   Various Registries

162/8   May 93   Various Registries

163/8   May 93   Various Registries

164/8   May 93   Various Registries

165/8   May 93   Various Registries

166/8   May 93   Various Registries

167/8   May 93   Various Registries

168/8   May 93   Various Registries

169/8   May 93   Various Registries

170/8   May 93   Various Registries

171/8   May 93   Various Registries

172/8   May 93   Various Registries

173/8   Apr 03   IANA - Reserved

174/8   Apr 03   IANA - Reserved

175/8   Apr 03   IANA - Reserved

176/8   Apr 03   IANA - Reserved

177/8   Apr 03   IANA - Reserved

178/8   Apr 03   IANA - Reserved

179/8   Apr 03   IANA - Reserved

180/8   Apr 03   IANA - Reserved

181/8   Apr 03   IANA - Reserved

182/8   Apr 03   IANA - Reserved

183/8   Apr 03   IANA - Reserved

184/8   Apr 03   IANA - Reserved

185/8   Apr 03   IANA - Reserved

186/8   Apr 03   IANA - Reserved

187/8   Apr 03   IANA - Reserved

188/8   May 93   Various Registries

189/8   Apr 03   IANA - Reserved

190/8   Apr 03   IANA - Reserved

191/8   May 93   Various Registries

192/8   May 93   Various Registries

193/8   May 93   RIPE NCC                            (whois.ripe.net)

194/8   May 93   RIPE NCC                            (whois.ripe.net)

195/8   May 93   RIPE NCC                            (whois.ripe.net)

196/8   May 93   Various Registries

197/8   May 93   IANA - Reserved

198/8   May 93   Various Registries

199/8   May 93   ARIN                                (whois.arin.net)

200/8   Nov 02   LACNIC                              (whois.lacnic.net)

201/8   Apr 03   LACNIC                              (whois.lacnic.net)

202/8   May 93   APNIC                               (whois.apnic.net)

203/8   May 93   APNIC                               (whois.apnic.net)

204/8   Mar 94   ARIN                                (whois.arin.net)

205/8   Mar 94   ARIN                                (whois.arin.net)

206/8   Apr 95   ARIN                                (whois.arin.net)

207/8   Nov 95   ARIN                                (whois.arin.net)

208/8   Apr 96   ARIN                                (whois.arin.net)

209/8   Jun 96   ARIN                                (whois.arin.net)

210/8   Jun 96   APNIC                               (whois.apnic.net)

211/8   Jun 96   APNIC                               (whois.apnic.net)

212/8   Oct 97   RIPE NCC                            (whois.ripe.net)

213/8   Mar 99   RIPE NCC                            (whois.ripe.net)

214/8   Mar 98   US-DOD

215/8   Mar 98   US-DOD

216/8   Apr 98   ARIN                                (whois.arin.net)

217/8   Jun 00   RIPE NCC                            (whois.ripe.net)

218/8   Dec 00   APNIC                               (whois.apnic.net)

219/8   Sep 01   APNIC                               (whois.apnic.net)

220/8   Dec 01   APNIC                               (whois.apnic.net)

221/8   Jul 02   APNIC                               (whois.apnic.net)

222/8   Feb 03   APNIC                               (whois.apnic.net)

223/8   Apr 03   IANA - Reserved                               

224/8-239/8   Sep 81   IANA - Multicast
240/8-255/8   Sep 81   IANA - Reserved

 

Private IP-Adressbereiche (Private IPs): Für die Verwendung innerhalb von LANs wurden eigene Adressbereiche festgelegt, die nicht geroutet werden. Diese IP-Adressen sind daher auch nicht weltweit eindeutig, sondern nur im jeweiligen lokalen Netzwerk.

 

Laut RFC 1918 sind für „private“ Netze folgende IP-Bereiche gestattet (Rechner mit diesen IP-Adressen dürfen keinen direkten Internet-Verkehr haben, d.h. mit dem Internet nur über Proxy-Server in Kontakt treten; sie werden nicht geroutet!):

 

10.0.0.0    –  10.255.255.255  (Class A-Bereich)

172.16.0.0  –  172.31.255.255  (Class B-Bereich)

192.168.0.0 –  192.168.255.255 (Class C-Bereich)

 

5.3 Aufbau von IP-Adressen

Beispiel:

 

        Adresse                     192.168.100.1

        Subnetzmaske           255.255.255.0

 

Um TCP/IP Adressen verstehen zu können, muß man sich vor Augen halten, dass die „reale" Schreibweise von Adressen in binärer Form erfolgt (4 Oktetts a 8 Bit).

 

192
11000000

168
10101000

100
01100100

1
00000001

 

Gerechnet wird dann wie folgt:

 

 

128

64

32

16

8

4

2

1

192

1

1

0

0

0

0

0

0

168

1

0

1

0

1

0

0

0

100

0

1

1

0

0

1

0

0

1

0

0

0

0

0

0

0

1

 

x

x

x

x

x

x

x

x

255

1

1

1

1

1

1

1

1

 

192      =          1100 0000      =          128      +          64                   

168      =          1010 1000      =          128      +          32        +          8

100      =          0110 0100      =          64        +          32        +          4

1          =          0000 0001      =          1                                            

 

Man hat also mit einer solchen 32 bit-Adresse insgesamt 232 = 4 294 967 296 Möglichkeiten (also mehr als 4 Milliarden), einen PC unverwechselbar zu adressieren.

 

IP-Adressen bestehen aus zwei Teilen:

 

 

 

Wie viele bit zur NetID bzw. zur HostID gehören, wird durch die Subnetz-Maske festgelegt. Dafür gibt es folgende einfache Regel:

 

Ist ein bit der Subnetzmaske 1, so gehört das entsprechende bit der IP-Adresse zur Net-ID.

Ist ein bit der Subnetzmaske 0, so gehört das entsprechende bit der IP-Adresse zur Host-ID.

 

 

Im obigen Beispiel würde also die Subnetzmaske 255.255.0.0 lauten.

 

Grundsätzlich ist die Länge der Net-ID und der Host-ID frei wählbar. Es haben sich aber zwei verschiedene Sichtweisen bzw. Technologien durchgesetzt:

 

·        klassenorientiertes IP-Routing (fixe Länge von Net-ID und Host-ID)

·        „classless IPs“ (frei wählbare Länge von Net-ID und Host-ID)

 

5.4 Klassenorientierte IP-Adressen

Diese Methode basiert auf fix festgelegten Längen für den Net- und den Host-Anteil der IP-Adressen.

 

Class-A-Netze: Adresse beginnt mit einer binären 0, 7 bit für Netzwerk-Adresse, 24 bit für Host-Adresse. Damit gibt es weltweit 127 derartige Netzwerke, ein Class-A-Netz kann bis zu 16 Mio. Teilnehmer haben. Alle derartigen Netzadressen sind bereits belegt.

 

IP-Adressen von Class-A-Netzen:

 

            0.0.0.0 bis       127.255.255.255

 

Class-B-Netze: Adresse beginnt mit der binären Ziffernkombination 10, 14 bit für Netzwerk-Adresse, 16 bit für Host-Adresse. Damit gibt es weltweit 16384 derartige Netzwerke, ein Class-B-Netz kann bis zu 65536 Teilnehmer haben. Alle derartigen Netzadressen sind bereits belegt.

 

IP-Adressen von Class-B-Netzen:

 

            128.0.0.0          bis       191.255.255.255

 

Class-C-Netze: Adresse beginnt mit der binären Ziffernkombination 110, 21 bit für Netzwerk-Adresse, 8 bit für Host-Adresse. Damit gibt es weltweit 2 Mio. derartige Netzwerke, ein Class-C-Netz kann bis zu 256 Teilnehmer haben. Neu zugeteilte Netzadressen sind heute immer vom Typ C. Es ist abzusehen, dass bereits in Kürze alle derartigen Adressen vergeben sein werden.

IP-Adressen von Class-C-Netzen:

 

            192.0.0.0          bis       223.255.255.255

 

Class D-Netze haben einen speziellen Anwendungsbereich (Multicast-Anwendungen) und haben für Internet keine Bedeutung.

 

Zusammenfassung:

 

CLASS

Netzwerk Anteil

Anzahl Netze

Hostanteil

Anzahl Hosts/Netz

A

1 Bit + 7 Bit

128

24 Bit

16.777.214

B

2 Bit + 14 Bit

16.864

16 Bit

65.534

C

3 Bit + 21 Bit

2.097.152

8 Bit

253

 

 

 

5.5 Besondere IP-Adressen

 

a) Netzwerkmasken

Netzwerkmasken unterscheiden sich in der Länge des Netzwerk- (alle Bit-Stellen auf 1) und Hostanteils (alle Bitstellen auf 0)

abhängig von der Netzwerkklasse

                                   1.Byte  2.Byte  3.Byte  4.Byte

Class A                        255       0          0          0

Class B                        255       255       0          0

Class C                        255       255       255       0

Netzwerkmasken stellen einen Filter dar, an dem Rechner entscheiden können, ob sie sich im selben (logischen) Netz befinden

 

b) Netzwerkadressen

Die Netzwerkadresse eines Rechners ergibt sich, indem man die IP-Adresse mit der Netzwerkmaske bitweise UND-verknüpft. Generell gilt, dass bei Netzwerkadressen alle Bitstellen des Hostanteils 0 sind.

 

Hostadresse

192.168.100.1

11000000

10101000

01100100

00000001

UND

 

 

 

 

 

Maske

255.255.255.0

11111111

11111111

11111111

00000000

Subnetz

192.168.100.0

11000000

10101000

01100100

00000000

 

Nur Rechner mit der gleichen Netzwerkadresse befinden sich im gleichen logischen Netzwerk!

 

c) Broadcast-Adresse

Die Broadcast-Adresse ergibt sich aus der IP-Adresse, bei der alle Bitstellen des Hostanteils auf 1 gesetzt sind. Sie bietet die Möglichkeit, Datenpakete an alle Rechner eines logischen Netzwerkes zu senden. Sie wird ermittelt, indem die Netzwerkadresse mit der invertierten Netzwerkmaske bitweise ODER-verknüpft wird.

 

Beispiel:

 

Subnetz

192.168.100.0

11000000

10101000

01100100

00000000

ODER

 

 

 

 

 

invertierte Maske

0.0.0.255

00000000

00000000

00000000

11111111

Broadcast

192.168.100.255

11000000

10101000

01100100

11111111

 

d) Loopback-Adresse

Die Class-A-Netzwerkadresse 127 ist weltweit reserviert für das sogenannte local loopback

dient zu Testzwecken der Netzwerkschnittstelle des eigenen Rechners.

Die IP-Adresse 127.0.0.1 ist standardmäßig dem Loopback-Interface jedes Rechners zugeordnet

alle an diese Adresse geschickten Datenpakete werden nicht nach außen ins Netzwerk gesendet, sondern an der Netzwerkschnittstelle reflektiert.

Die Datenpakete erscheinen, als kämen sie aus einem angeschlossenem Netzwerk.

 

5.6 Subnetting

 

Internet-Quellen:

http://instrumentation.de/5106003d.htm

http://www.zyxel.de/support

 

Das obige Schema zeigt, dass nur eine begrenzte Anzahl an internationalen IP-Adressen verfügbar ist. Falls die Anzahl der Netzwerke nicht ausreicht, gibt es wie schon erwähnt, die Möglichkeit diese Anzahl durch geschickte Strukturierung von Subnetzen zu erweitern. In der folgenden Tabelle ist eine mögliche Unterteilung dargestellt.

 

Subnetzmaske

Anzahl Subnetze (*)

Anzahl Hosts (Rechner, Knoten)

255.255.255.0

1 (1)

254

255.255.255.128

0 (2)

126

255.255.255.192

2 (4)

62

255.255.255.224

6 (8)

30

255.255.255.240

14 (16)

14

255.255.255.248

30 (32)

6

255.255.255.252

62 (64)

2

 

(*) Die in Klammer stehenden Werte sind zwar rechnerisch möglich, enthalten aber u.U. verbotene Adressen (s.u.).

 

Wie daraus die möglichen Netze und zugehörigen gültigen IP-Adressen entstehen, soll am Beispiel der Subnetzmasken 255.255.255.192 und 255.255.255.224 erläutert werden. Der Status erlaubt oder nicht ergibt sich daraus, dass die erste und letzte bei der Unterteilung entstehenden Adressen nicht verwendet werden dürfen.

 

Netze und IP-Adressen mit Subnetz-Maske 255.255.255.192:

 

Netzwerkadresse

IP-Adressen

Broadcast

Status

a.b.c.0

1 - 62

63

nicht erlaubt (*)

a.b.c.64

65 - 126

127

erlaubt

a.b.c.128

129 - 190

191

erlaubt

a.b.c.192

193 - 254

255

nicht erlaubt (*)

 

(*) Anmerkung: Es ist nicht sofort einsichtig, warum das erste und das letzte Subnet „nicht erlaubt“ sind. Der Grund dafür liegt in der Tatsache, dass im vorliegenden Beispiel ein Class C-Netz unterteilt wurde. Class C-Netze haben ohne Subnetting eine Subnetz-Maske 255.255.255.0, wobei sich aus den vorher erwähnten Regeln ergibt, dass die IP-Adresse a.b.c.0 (also alle Bit der HostID auf 0 gesetzt) der Netzwerkadresse entspricht und diese (einzige) Adresse daher nicht verwendet werden darf. Bei der Unterteilung in Subnetze zeigt sich aber, dass beim gesamten Bereich von a.b.c.0 bis a.b.c.63 die SubnetID aus lauter Nullen besteht – daher der ganze Bereich ausfällt. Die Argumentation für das letzte Subnetz ist analog zu sehen.


Netze und IP-Adressen mit Subnetz-Maske 255.255.255.224:

 

Netzwerkadresse

IP-Adressen

Broadcast

Status

a.b.c.0

1 - 30

31

nicht erlaubt

a.b.c.32

33 - 62

63

erlaubt

a.b.c.64

65 - 94

95

erlaubt

a.b.c.96

97 - 126

127

erlaubt

a.b.c.128

129 - 158

159

erlaubt

a.b.c.160

161 - 190

191

erlaubt

a.b.c.192

193 - 222

223

erlaubt

a.b.c.224

225 - 254

255

nicht erlaubt

 
Spätestens bei der Einrichtung eines Netzwerkes mit Subnetzen dürfte klar werden, dass hier eine ganze Menge Fehlerquellen schlummern und dass gute Netzwerkadministratoren durchaus Ihre Daseinsberechtigung haben! Man sollte deshalb bei Problemen neuer Rechner/Geräte im Netzwerk die Adressen sehr genau überprüfen.

 

5.7 CIDR (Classless Inter-Domain Routing), VLSM (Variable Length Subnet Masks) und Supernetting

 

Das CIDR beschreibt ein Verfahren zur effektiveren Nutzung der bestehenden 32 Bit umfassenden IP-Adresse. Bei diesem Verfahren werden IP-Adressen zusammengefasst, wobei ein Block von aufeinander folgenden IP-Adressen der Klasse C als ein Netzwerk behandelt werden.

 

Möglich wird dies durch "Kürzen" der NetID, die bei klassenorientierter Betrachtung 24 bit lang wäre. Man verwendet daher Netzwerke wie etwa 192.168.4.0/23 mit insgesamt 510 gültigen Host-Adressen.

 

Das CIDR-Verfahren reduziert die in Routern gespeicherten Routing-Tabellen durch einen Präfix in der IP-Adresse. Mit diesem Präfix kann ein großer Internet Service Provider bzw. ein Betreiber eines großen Teils des Internets gekennzeichnet werden. Dadurch können auch darunter liegende Netze zusammengefasst werden; so genanntes Supernetting. Die Methode wird in RFC 1518 beschrieben.

 

Um einen Mangel an Netzwerkkennungen zu verhindern, haben Internetinstitutionen ein Schema erarbeitet, das so genannte Supernetting. Im Gegensatz zum Subnetting werden beim Supernetting Bits der Netzwerkkennung verwendet und für effizienteres Routing als Hostkennung maskiert. Statt einer Organisation mit 2.000 Hosts eine Netzwerkkennung der Klasse B zuzuweisen, weist ARIN (American Registry for Internet Numbers) beispielsweise einen Bereich von acht Netzwerkkennungen der Klasse C zu. In jeder Netzwerkkennung der Klasse C sind 254 Hosts möglich. Dies ergibt insgesamt 2.032 Hostkennungen.

 

Beispiel:

Ohne Supernetting:

Routingtabelle für Router B

220.78.168.0    255.255.255.0    220.78.168.1

220.78.169.0    255.255.255.0    220.78.168.1

220.78.170.0    255.255.255.0    220.78.168.1

220.78.171.0    255.255.255.0    220.78.168.1

220.78.172.0    255.255.255.0    220.78.168.1

220.78.173.0    255.255.255.0    220.78.168.1

220.78.174.0    255.255.255.0    220.78.168.1

220.78.175.0    255.255.255.0    220.78.168.1

 

Mit Supernetting:

Routingtabelle für Router B

220.78.168.0    255.255.252.0    220.78.168.1

 

5.8 Aufbau des IP-Headers

Im Internet gibt es die Seite www.protocols.com, auf der detailliert eine ganze Reihe von Netzwerkprotokollen beschrieben sind – darunter auch das TCP/IP-Protokoll.

 

Wir haben bereits erwähnt, dass jedes Protokoll spezielle Informationen (den sogenannten Header) zu den eigentlichen Daten hinzufügt.

 

Wir wollen hier den IP-Header etwas genauer betrachten. Zuerst sollen an dieser Stelle das Aussehen und die Bedeutung der einzelnen Header-Elemente beschrieben werden.

  

 

 

Die ersten vier Bits stellen das Feld Ver dar (siehe Abbildung). Sie sind für die Version des IP-Protokolls bestimmt, welches das zu sendende Datagramm zusammenstellt. Bei der Benutzung von IPv4 enthält dieses Feld den Wert vier.

 

Die nächsten vier Bit, die das Feld HLen repräsentieren, enthalten die aktuelle Header-Länge. Dabei werden aber nicht die Bytes, sondern die Doppel-Worte (4 Byte) gezählt. Bei einem IP-Standard-Header sollte hier eine fünf stehen. Dieser Standard-Header findet bei der Übertragung normaler Nutzdaten Anwendung. Er umfaßt immer 5 Doppel-Worte = 20 Byte.

 

Danach folgt das Feld TOS, Type of Service. Es enthält u.a. Informationen, welcher Art die zu transportierenden Daten sind und welche Qualität die Art der Übertragung besitzen soll.

Das Feld Total Length im IP-Header kennzeichnet die totale Länge eines Datagramms einschließlich Header. Da dieses Feld nur eine 16-Bit-Zahl enthalten kann, ist auch die Größe eines IP-Datagramms auf maximal 216 - 1 = 65535 Byte beschränkt. Ein größeres Datagramm kann durch IP nicht vermittelt werden.

 

Im Zuge der QoS (Quality of Service)-Diskussion (Ziel: Qualitätsverbesserung der Internet-Protokolle und Internet-Dienste) am Internet wurde eine Lösung ersonnen, die als „diffserv“ (differentiated services) bezeichnet wird. Diffserv (DS) baut am TOS-Feld auf und überträgt in diesem Byte Informationen, die das Routing effizienter machen.

 

Auf die Bedeutung der Felder Identification, Flags und Fragment Offset wird später näher eingegangen. Sie werden benötigt, um eine Datagramm-Übermittlung auch über Netzverbindungen zu garantieren, die die maximale Größe eines IP-Datagramms nicht transportieren können.

 

Im Feld TTL wird die Lebenszeit, Time To Live, eines Datagramms verwaltet. Es dient zur Vorbeugung, dass ein Datagramm im Netz nicht ,“ewig herumirrt“. Beim Verschicken des Datagramms wird durch den Sender eine Zahl in dieses Feld eingesetzt, die die Lebenszeit dieses Datagramms in Sekunden repräsentieren soll. Da aber ein anderer Host nicht weiß, wann dieses Datagramm erzeugt wurde und im Header auch keine Information über die Erzeugung vorhanden ist, repräsentiert diese Zahl in der Praxis etwas anderes. Sie gibt an, wieviele Router dieses Datagramm passieren darf, um den Empfänger zu erreichen. Dazu ist es notwendig, dass jeder benutzte Router den Wert dieses Feld um 1 erniedrigt. Ist irgendwann einmal der Wert des Feldes TTL gleich Null, dann wird es von dem Router, der es gerade bearbeitet, verworfen, und er sendet eine Fehlermeldung zurück an den Sender.

Das Feld Protocol wird von IP benutzt, um auf der Seite des Senders das Protokoll zu vermerken, welches die Dienste von IP in Anspruch nimmt. Auf der Seite des Empfängers dient es IP dazu, das Datagramm genau an dieses Protokoll zur weiteren Bearbeitung weiterzuleiten.

 

Das Feld Header Checksum beinhaltet eine Prüfsumme. Sie dient zum Erkennen von Verfälschungen bei der Übertragung des Datagramms. Allerdings wird sie nur über die Daten des IP-Headers selbst gebildet. Die zu transportierenden Daten werden nicht berücksichtigt. Soll über diesen Daten auch eine Prüfsumme zur Fehlererkennung gebildet werden, muß das ein anderes Protokoll oder die Anwendung selbst übernehmen, die die Dienste von IP in Anspruch nimmt. Die Überprüfung ist einfach zu vollziehen. Der das Datagramm bearbeitende Host, das kann auch ein Router sein, extrahiert den Wert aus dem Feld Header Checksum des Datagramms und berechnet diesen neu. Gleichen sich die beiden Werte nicht, wird IP dieses Datagramm verwerfen und eine Fehlermeldung an den Sender schicken. Ansonsten wird das Datagramm an den Empfänger zugestellt. Der Algorithmus zur Erstellung dieser Prüfsumme ist recht simpel. Der Wert dieser Prüfsumme stellt das Einerkomplement der Einerkomplementsumme des Headers dar. Dabei werden die Daten in Einheiten von 16 Bit zerteilt und addiert. Zur Berechnung wird der Header vollständig ausgefüllt. Das Feld Header Checksum wird vor der Berechnung mit Null initialisiert. Als Eingabe des Algorithmus bei einem Standard-Header dienen dann diese so vorbereiteten 20 Byte = 10 Worte. Das ermittelte Ergebnis wird zuletzt in das Feld Header Checksum übertragen. Der Grund, nur über den IP-Header eine Prüfsumme zu bilden, liegt darin begründet, dass diese Berechnung auf jedem Router durchgeführt werden muß. Dieses Verfahren stellt gegenüber der Berechnung über alle Daten eine erhebliche Beschleunigung der Vermittlung dar.

Zur Adressierung des Datagramms werden unbedingt die zwei Felder Source IP Address (Quell-Adresse) und Destination IP Address (Ziel-Adresse) benötigt. Die Ziel-Adresse dient zur Adressierung des Empfängers. Das Eintragen einer Quell-Adresse wird einmal zur etwaigen Erzeugung von Fehlermeldungen benötigt und außerdem dient sie dem Empfänger zur Identifizierung des Senders.

Im Feld Data können alle möglichen Nutzdaten transportiert werden.

 

Die Felder IP Options und Padding hängen direkt miteinander zusammen. Da der IP-Header immer Vielfache von Doppel-Worten enthalten muß, die Optionen aber verschieden lang sein können, wird das Padding zur Auffüllung genutzt, um wieder ein volles Doppel-Wort zu erhalten. Wird durch IP festgestellt, dass der Wert im Feld HLen größer als 5 ist, muß der Header Optionen enthalten. An Hand dieser Header-Länge ist auch ersichtlich, wo die Optionen enden und von wo ab eventuell Daten im Datagramm enthalten sind. Die Bedeutung der Optionen werden u.a. im RFC 791 beschrieben.

  

Abbildung: Das Feld TOS des IP-Headers

\begin{figure}
\begin{center}
\leavevmode\epsfbox{pictures/ip-tos.ps}\end{center}\end{figure}

 

Die Abbildung zeigt den Aufbau des Feld TOS. Die drei Bits des Feldes Precedence kennzeichnen die Art des Datagramms. Sie können einen Wert zwischen 0 und 7 annehmen. Der Wert 0 wird bei einem Datagramm eingesetzt, welches normale Nutzdaten transportiert. Der Wert 7 wird für Datagramme zur Netzwerk-Steuerung verwendet. Näheres dazu ist im RFC 791 zu erfahren. Die Felder D, T und R legen fest, welcher Qualität die Art der Übertragung des Datagramms sein soll. Feld D macht dabei eine Aussage über die Schnelligkeit, Feld T über den Durchsatz und Feld R über die Verfügbarkeit der Übertragung. Setzt z.B. ein Sender das Bit in Feld D in einem Datagramm, verlangt er, dass dieses so schnell wie möglich an den Empfänger übermittelt wird.

 

Der Header muß grundsätzlich in der Netzwerk-Byte-Ordnung (network byte order) verschickt werden. Diese Ordnung wird auch Big Endian genannt.

 

5.9 IP-Rechner:

Auf den folgenden Seiten finden Sie IP-Adressrechner zum Download, aber auch Rechner, die Sie online einsetzen können:

http://www.chinet.com/html/ip.html

http://www.tmp-houston.com/subcalc.htm

http://jodies.de/ipcalc

http://www.telusplanet.net/public/sparkman/netcalc.htm

http://www.wildpackets.com/products/ipsubnetcalculator

http://www.novell.com/coolsolutions/tools/1466.html

 

5.10 IPv6

 

Quelle: www.ipv6-net.de

 

Man arbeitet bereits seit längerer Zeit an einem neuen Standard (Version 6 des Internet Protokolls, IPv6 oder IPng für „next generation“), der statt einer Adresslänge von 32 bit eine Länge von 128 bit haben soll. Um die Kompatibilität zu gewährleisten, wird die IPv4-Adresse in der neuen Adresse "enthalten sein".

 

Windows Server 2003 unterstützt bereits IPv6.

 

IPv6 verwendet zur Darstellung seiner IP-Adressen das Hexadezimalsystem in einer Adresslänge von 128 Bit. Eine solche IPv6-Adresse könnte beispielsweise so aussehen: 3ffe:400:89AB:381C:7716:AA91:0000:0001

 

Um eine IPv6-Adresse wie die angegebene verkürzt darzustellen, kann man auf die Nullen in einer Gruppe verzichten:

3ffe:400:89AB:381C:7716:AA91::1.

 

Ein weiterer Vorteil von IPv6 ist die, gegenüber IPv4 stark vereinfachte Headerstruktur, die eine merkbar schnellere Bearbeitung am den Router ermöglicht.

 

Aufbau des IPv6-Header:

         <----------------- Bits ---------------------->

                                   1   1   2   2   2   3

               0    |    4   | 8 | 2 | 6 | 0 | 4 | 8 | 1

         ----------------------------------------------

      1 |   Version |  Class |         Flow-Label      |

         ----------------------------------------------

      2 |        Payload Lenght      |  Next |Hop-Limit|

         ----------------------------------------------

      3 |                Source Address                |

      4 |                                              |

         ----------------------------------------------

      5 |              Destination Address             |        

      6 |                                              |

         ----------------------------------------------

Version (4 Bits):

Enthält immer den Wert '6' bei IPv6. Dieses Feld dient der Software zur Unterscheidung verschiedener IP-Versionen.

 

Class (8 Bits):

Gibt die Priorität der zu übermittelnden Daten an.

 

Flow-Label (20 Bits):

Dieses Feld kennzeichnet einen Datenstrom zwischen Sender und Empfänger. Alle Pakete die zu einem bestimmten Datenstrom gehören, tragen in diesem Feld den gleichen Wert.

 

Payload Length (16 Bits):

Hier wird die Länge des Datenpakets (nach dem ersten Header) angegeben.

 

Next (8 Bits):

Gibt den Typ des nächsten Headers an. Der Wert '59' signalisiert, dass keine weiteren Header bzw. Daten folgen.

 

Hop-Limit (8 Bits):

Legt fest, nach wie vielen Durchgängen das Paket vom Router, zur Vermeidung von Schleifen, verworfen werden soll.

 

Source Address (128 Bits):

Beinhaltet die Absenderadresse.

 

Destination Address (128 Bits):

Beinhaltet die Empfängeradresse.

 

Im Moment unterstützen besonders europäische und asiatische Institutionen und Firmen die Entwicklung und Verbreitung von IPv6. Das ist wohl mit der Tatsache, dass etwa 75% des IPv4-Adressraums den USA zugeteilt wurde, zu erklären. Im Moment unterstützen zwar nur wenige Dienste das Internet Protokoll der Zukunft, aber gerade bei der Entwicklung neuer Dienste in diesem Bereich wird es in den nächsten Jahren einen enormen Zuwachs geben.


5.11 ARP (Address Resolution Protocol)

 

Das Address Resolution Protocol (ARP) arbeitet auf der Schicht 2, der Sicherungsschicht, des OSI-Schichtenmodells und setzt IP-Adressen in Hardware- und MAC-Adressen um. Alle Netzwerktypen und -topologien benutzen Hardware-Adressen um die Datenpakete zu adressieren. Damit nun ein IP-Paket an sein Ziel findet, muss die Hardware-Adresse des Ziels bekannt sein.

 

Jede Netzwerkkarte besitzt eine einzigartige und eindeutige Hardware-Adresse, die fest auf der Karte eingebrannt ist und meist nicht änderbar ist, die Media Access Control-Adresse oder kurz MAC-Adresse. In Ethernet-Netzwerken ist diese Adresse meist eine 48 bit-Binärzahl, die als 6 hexadezimal angegebenen Bytes angeschrieben wird.

 

Bevor nun ein Datenpaket verschickt werden kann, muss durch ARP eine Adressauflösung erfolgen. Dazu benötigt ARP Zugriff auf IP-Adresse und Hardware-Adresse. Um an die Hardware-Adresse einer anderen Station zu kommen verschickt ARP z. B. einen Ethernet-Frame als Broadcast-Meldung mit der MAC-Adresse "FF FF FF FF FF FF". Diese Meldung wird von jedem Netzwerkinterface entgegengenommen und ausgewertet. Der Ethernet-Frame enthält die IP-Adresse der gesuchten Station. Fühlt sich eine Station mit dieser IP-Adresse angesprochen, schickt sie eine ARP-Antwort an den Sender zurück. Die gemeldete MAC-Adresse wird dann im lokalen ARP-Cache des Senders gespeichert. Dieser Cache dient zur schnelleren ARP-Adressauflösung.

 

Ablauf einer ARP-Adressauflösung:

 

Eine ARP-Auflösung unterscheidet zwischen lokalen IP-Adressen und IP-Adressen in einem anderen Subnetz. Als erstes wird anhand der Subnetzmaske festgestellt, ob sich die IP-Adresse im gleichen Subnetz befindet. Ist das der Fall, wird im ARP-Cache geprüft, ob bereits eine MAC-Adresse für die IP-Adresse hinterlegt ist. Wenn ja, dann wird die MAC-Adresse zur Adressierung verwendet. Wenn nicht, setzt ARP eine Anfrage mit der IP-Adresse nach der Hardware-Adresse in das Netzwerk. Diese Anfrage wird von allen Stationen im selben Subnetz entgegengenommen und ausgewertet. Die Stationen vergleichen die gesendete IP-Adresse mit ihrer eigenen. Wenn sie nicht übereinstimmt, wird die Anfrage verworfen. Wenn die IP-Adresse übereinstimmt schickt die betreffende Station eine ARP-Antwort direkt an den Sender der ARP-Anfrage. Dieser Speichert die Hardware-Adresse in seinem Cache. Da bei beiden Stationen die Hardware-Adresse bekannt sind, können sie nun miteinander Daten austauschen.

Befindet sich eine IP-Adresse nicht im gleichen Subnetz, geht ARP über das Standard-Gateway. Findet ARP die Hardware-Adresse des Standard-Gateways im Cache nicht, wird eine lokale ARP-Adressauflösung ausgelöst. Ist die Hardware-Adresse des Standard-Gateways bekannt, schickt der Sender bereits sein erstes Datenpaket an die Ziel-Station. Der Router (Standard-Gateway) nimmt das Datenpaket in Empfang und untersucht den IP-Header. Der Router überprüft, ob sich die Ziel-IP-Adresse in einem angeschlossenen Subnetz befindet. Wenn ja, ermittelt er anhand der lokalen ARP-Adressauflösung die MAC-Adresse der Ziel-Station. Anschließend leitet er das Datenpaket weiter. Ist das Ziel in einem entfernten Subnetz, überprüft der Router seine Routing-Tabelle, ob ein Weg zum Ziel bekannt ist. Ist das nicht der Fall steht dem Router auch ein Standard-Gateway zu Verfügung. Der Router führt für sein Standard-Gateway eine ARP-Adressauflösung durch und leitet das Datenpaket an dieses weiter.

 

Die vorangegangenen Schritte weiderholen sich dann so oft, bis das Datenpaket sein Zeil erreicht oder das IP-Header-Feld TTL auf den Wert 0 springt. Dann wird das Datenpaket vom Netz genommen.

Erreicht dann irgendwann das Datenpaket doch sein Ziel, schreibt die betreffende Station seine Rückantwort in ein ICMP-Paket an den Sender. In dieser Antwort wird falls möglich ein Gateway vermerkt, über das die beiden Stationen miteinander kommunizieren. So werden weitere ARP-Adressauflösungen und dadurch Broadcasts vermieden.

 

ARP-Cache:

 

Anzeigen des ARP-Caches unter Windows 2000/XP/2003:

 

C:\>arp -a

Schnittstelle: 192.168.168.11 --- 0x2

  Internetadresse       Physikal. Adresse     Typ

  192.168.168.8         00-30-ab-0e-d3-6a     dynamisch

 

Durch den ARP-Cache wird vermieden, dass bei jedem Datenpaket an das selbe Ziel wieder und immer wieder ein ARP-Broadcast ausgelöst wird. Häufig benutzte Hardware-Adressen sind im ARP-Cache gespeichert. Die Einträge im ARP-Cache können statisch oder dynamisch sein. Statische Einträge können manuell hinzugefügt und gelöscht werden. Dynamische Einträge werden durch die ARP-Adressauflösung erzeugt.

Jeder dynamische Eintrag bekommt einen Zeitstempel. Ist er nach zwei Minuten nicht mehr abgerufen worden, wird der Eintrag gelöscht. Wird eine Adresse auch nach zwei Minuten noch benutzt, wird der Eintrag erst nach zehn Minuten gelöscht. Ist der ARP-Cache für neue Einträge zu klein, werden alte Einträge entfernt.

Wird die Hardware neu gestartet oder ausgeschaltet, wird der ARP-Cache gelöscht. Es gehen dabei auch die statischen Einträge verloren.

 

Fehler und Probleme mit ARP: Grundsätzlich gibt es keine Probleme oder Fehler mit ARP, solange keine statischen Einträge im ARP-Cache vorgenommen werden oder Hardware-Adressen von Netzwerkkarten verändert werden.

ARP läuft für den Benutzer ganz im Verborgenen.

 

Den umgekehrten Weg, MAC-Adresse bekannt, IP-Adresse gesucht, definiert RARP (Reverse Adress Resolution Protocol).

 

6 Das Transfer/Transmission Control Protocol (TCP)

 

Das TCP ist ein verbindungsorientiertes Protokoll; es bildet die Verbindung zwischen IP und Anwendung.

 

Aufgaben:

 

Merkmale:

 

Der TCP-Header: Natürlich fügt auch das TCP-Protokoll spezielle Daten hinzu – wieder in Form eines Headers – der wie folgt aufgebaut ist:

 

·        Sender/Empfänger-Port (je 16 B): Endpunkte der Verbindung

·        Sequ./Quitt.nummer (32 B): Synchronisation der Daten

·        Datenabstand (4 B): Länge des Headers in 32 B

·        Flags (6 B): Aktionen (Aufbau, Ende, ...)

·        Fenstergröße (16 B): Größe des verfügbaren Empfängerbuffers (bei 0 Stop des Senders)

·        Prüfsumme (16 B): Korrektheit des Headers

·        Urgent-Zeiger (16 B): zur Verarbeitung von wichtigen Daten

·        Optionen (24 B), Füllzeichen (6 B)

 

 

Ports:

Auf TCP/IP basieren viele verschiedene Dienste wie FTP, Mail, News, DNS, etc. Um nun diese Dienste innerhalb der Protokollfamilie TCP/IP voneinander abzugrenzen, werden diese Dienste den sogenannten Ports zugewiesen. Ein Port ist nichts anderes als eine zusätzliche Kennung, die durch das TCP-Protokoll übertragen wird. Derzeit sind rund 65.536 Ports definiert, welche sich auf verschiedene Bereiche aufteilen.

 

Well known Ports:

0

-

1023

 festgelegt in RFC 1340 (Request for Comment, „Bitte um Kommentar“, de facto eine „Internet-Norm“)

Registered Ports:

1024

-

49151

 

Dynamic and/or private Ports:

49152

-

65535

 


Im Verzeichnis C:\Winnt\System32\etc (Linux: /etc) befindet sich eine Datei mit dem Namen SERVICES, in der die Portnummern für bekannte Dienste gemäß IANA abgelegt sind:

 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.
#
# Format:
#
# <Dienstname>  <Portnummer>/<Protokoll>  [Alias...]   [#<Kommentar>]
#
 
echo                7/tcp
echo                7/udp
discard             9/tcp    sink null
discard             9/udp    sink null
systat             11/tcp    users                  #Active users
systat             11/tcp    users                  #Active users
daytime            13/tcp
daytime            13/udp
qotd               17/tcp    quote                  #Quote of the day
qotd               17/udp    quote                  #Quote of the day
chargen            19/tcp    ttytst source          #Character generator
chargen            19/udp    ttytst source          #Character generator
ftp-data           20/tcp                           #FTP, data
ftp                21/tcp                           #FTP. control
telnet             23/tcp
smtp               25/tcp    mail                   #Simple Mail Transfer Protocol
time               37/tcp    timserver
time               37/udp    timserver
rlp                39/udp    resource               #Resource Location Protocol
nameserver         42/tcp    name                   #Host Name Server
nameserver         42/udp    name                   #Host Name Server
nicname            43/tcp    whois
domain             53/tcp                           #Domain Name Server
domain             53/udp                           #Domain Name Server
bootps             67/udp    dhcps                  #Bootstrap Protocol Server
bootpc             68/udp    dhcpc                  #Bootstrap Protocol Client
tftp               69/udp                           #Trivial File Transfer
gopher             70/tcp
finger             79/tcp
http               80/tcp    www www-http           #World Wide Web
kerberos           88/tcp    krb5 kerberos-sec      #Kerberos
kerberos           88/udp    krb5 kerberos-sec      #Kerberos
hostname          101/tcp    hostnames              #NIC Host Name Server
iso-tsap          102/tcp                           #ISO-TSAP Class 0
rtelnet           107/tcp                           #Remote Telnet Service
pop2              109/tcp    postoffice             #Post Office Protocol - Version 2
pop3              110/tcp                           #Post Office Protocol - Version 3
sunrpc            111/tcp    rpcbind portmap        #SUN Remote Procedure Call
sunrpc            111/udp    rpcbind portmap        #SUN Remote Procedure Call
auth              113/tcp    ident tap              #Identification Protocol
uucp-path         117/tcp
nntp              119/tcp    usenet                 #Network News Transfer Protocol
ntp               123/udp                           #Network Time Protocol
epmap             135/tcp    loc-srv                #DCE endpoint resolution
epmap             135/udp    loc-srv                #DCE endpoint resolution
netbios-ns        137/tcp    nbname                 #NETBIOS Name Service
netbios-ns        137/udp    nbname                 #NETBIOS Name Service
netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service
netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service
imap              143/tcp    imap4                  #Internet Message Access Protocol
pcmail-srv        158/tcp                           #PCMail Server
snmp              161/udp                           #SNMP
snmptrap          162/udp    snmp-trap              #SNMP trap
print-srv         170/tcp                           #Network PostScript
bgp               179/tcp                           #Border Gateway Protocol
irc               194/tcp                           #Internet Relay Chat Protocol        
ipx               213/udp                           #IPX over IP
ldap              389/tcp                           #Lightweight Directory Access Protocol
https             443/tcp    MCom
https             443/udp    MCom
microsoft-ds      445/tcp
microsoft-ds      445/udp
kpasswd           464/tcp                           # Kerberos (v5)
kpasswd           464/udp                           # Kerberos (v5)
isakmp            500/udp    ike                    #Internet Key Exchange
exec              512/tcp                           #Remote Process Execution
biff              512/udp    comsat
login             513/tcp                           #Remote Login
who               513/udp    whod
cmd               514/tcp    shell
syslog            514/udp
printer           515/tcp    spooler
talk              517/udp
ntalk             518/udp
efs               520/tcp                           #Extended File Name Server
router            520/udp    route routed
timed             525/udp    timeserver
tempo             526/tcp    newdate
courier           530/tcp    rpc
conference        531/tcp    chat
netnews           532/tcp    readnews
netwall           533/udp                           #For emergency broadcasts
uucp              540/tcp    uucpd
klogin            543/tcp                           #Kerberos login
kshell            544/tcp    krcmd                  #Kerberos remote shell
new-rwho          550/udp    new-who
remotefs          556/tcp    rfs rfs_server
rmonitor          560/udp    rmonitord
monitor           561/udp
ldaps             636/tcp    sldap                  #LDAP over TLS/SSL
doom              666/tcp                           #Doom Id Software
doom              666/udp                           #Doom Id Software
kerberos-adm      749/tcp                           #Kerberos administration
kerberos-adm      749/udp                           #Kerberos administration
kerberos-iv       750/udp                           #Kerberos version IV
kpop             1109/tcp                           #Kerberos POP
phone            1167/udp                           #Conference calling
ms-sql-s         1433/tcp                           #Microsoft-SQL-Server 
ms-sql-s         1433/udp                           #Microsoft-SQL-Server 
ms-sql-m         1434/tcp                           #Microsoft-SQL-Monitor
ms-sql-m         1434/udp                           #Microsoft-SQL-Monitor                
wins             1512/tcp                           #Microsoft Windows Internet Name Service
wins             1512/udp                           #Microsoft Windows Internet Name Service
ingreslock       1524/tcp    ingres
l2tp             1701/udp                           #Layer Two Tunneling Protocol
pptp             1723/tcp                           #Point-to-point tunnelling protocol
radius           1812/udp                           #RADIUS authentication protocol
radacct          1813/udp                           #RADIUS accounting protocol
nfsd             2049/udp    nfs                    #NFS server
knetd            2053/tcp                           #Kerberos de-multiplexor
man              9535/tcp                           #Remote Man Server

 

 

Wenn nötig, ist die Portnummer auch anzugeben (mit einem Doppelpunkt nach der eigentlichen Adresse). Ein Beispiel ist der bekannte Ö3-Chat:

 

 

Die Syntax in der URL-Zeile lautet allgemein:

 

            Servertyp://servername.domain.tld:portnumber

 

Die IP-Adresse gemeinsam mit der Portnummer (diese Kombination wird auch als „Socket“ bezeichnet) gestattet die eindeutige Identifikation eines Dienstes, der auf einem PC läuft. So hätte also der WWW-Dienst auf einem Server mit der IP 203.225.56.204 mit der TCP-Anschlussnummer 80 die komplette Identifikation 203.225.56.204:80.

 

Die genaue Kenntnis der TCP-Ports ist vor allem auch wichtig, um die Sicherheit eines Netzwerkes zu gewährleisten. Mit sogenannten „Port-Scannern“ ist es leicht möglich, herauszufinden, welche TCP-Ports auf einem Rechner oder Router freigegeben sind. Dies wiederum ermöglicht Hackern den unerwünschten Zugriff auf Firmennetze.


 

Beispiel für einen Port-Scanner: „Superscan“

 

 

Download von Superscan zum Beispiel unter http://www.foundstone.com/

 


 

 

 

 

 

 

7 TCP/IP-Diagnose- und Konfigurationsprogramme

7.1 ping ("Packet Internet Groper"):

Versucht, vier IP-Pakete an einen Host-Rechner zu senden. Zweck: Überprüfung der Funktionsfähigkeit von Netzwerkverbindungen. Die PING-Anforderung wird vom ICMP (Internet Control Message Protocol) durchgeführt.

 

Der Befehl ping arbeitet wie folgt:

 

 

Mit ping können Sie den Computernamen und die IP-Adresse des Computers überprüfen. Wenn die IP-Adresse bestätigt wird, nicht aber der Computername, besteht u. U. ein Namenauflösungsproblem. Prüfen Sie in diesem Fall, ob sich der abgefragte Hostname in der lokalen Hostsdatei oder in der DNS-Datenbank befindet.

 

Syntax: ping [-t] [-a] [-n Anzahl] [-l Größe] [-f] [-i Gültigkeitsdauer]

             [-v Diensttyp] [-r Anzahl] [-s Anzahl] [[-j Hostliste] |

             [-k Hostliste]] [-w Zeitlimit] Zielliste

 

Optionen:

    -t             Sendet fortlaufend Ping-Signale zum angegebenen Host.

                   Geben Sie STRG-UNTRBR ein, um die Statistik anzuzeigen.

                   Geben Sie STRG-C ein, um den Vorgang abzubrechen.

    -a             Löst Adressen in Hostnamen auf.

    -n n Anzahl    Anzahl zu sendender Echoanforderungen

    -l Länge       Pufferlänge senden

    -f             Setzt Flag für "Don't Fragment".

    -i TTL         Gültigkeitsdauer (Time To Live)

    -v TOS         Diensttyp (Type Of Service)

    -r Anzahl      Route für Anzahl der Abschnitte aufzeichnen

    -s Anzahl      Zeiteintrag für Anzahl Abschnitte

    -j Hostliste   "Loose Source Route" gemäß Hostliste

    -k Hostliste   "Strict Source Route" gemäß Hostliste

    -w Zeitlimit   Zeitlimit in Millisekunden für eine Rückmeldung

 

Beispiel:

 

C:\>ping www.aon.at

 

Ping WS01IS07.highway.telekom.at [195.3.96.73] mit 32 Bytes Daten:

 

Antwort von 195.3.96.73: Bytes=32 Zeit=30ms TTL=248

Antwort von 195.3.96.73: Bytes=32 Zeit=20ms TTL=248

Antwort von 195.3.96.73: Bytes=32 Zeit=20ms TTL=248

Antwort von 195.3.96.73: Bytes=32 Zeit=30ms TTL=248

 

Ping-Statistik für 195.3.96.73:

    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

    Minimum = 20ms, Maximum =  30ms, Mittelwert =  25ms

 

7.2 ipconfig

 

Gibt Informationen über die Windows IP-Konfiguration aus.

 

Syntax:

   ipconfig [/? | /all | /release [Adapter] | /renew [Adapter]

            | /flushdns | /registerdns

            | /showclassid Adapter

            | /setclassid Adapter [Klassenkennung] ]

 

   Adapter    Ganzer Name oder Zeichen mit "*" und "?", wobei

              "*" für beliebig viele und "?" für ein Zeichen steht.

   Optionen

       /?           Zeigt diesen Hilfetext an.

       /all         Zeigt die vollständigen Konfigurationsinformationen an.

       /release     Gibt die IP-Adresse für den angegebenen Adapter frei.

       /renew       Erneuert die IP-Adresse für den angegebenen Adapter.

       /flushdns    Leert den DNS-Auflösungscache.

       /registerdns Aktualisiert alle DHCP-Leases und registriert DNS-Namen.

       /displaydns  Zeigt den Inhalt des DNS-Auflösungscaches an.

       /showclassid Zeigt alle DHCP-Klassenkennungen an, die für diesen Adapter

                    zugelassen sind.

       /setclassid  Ändert die DHCP-Klassenkennung.

 

Standardmäßig wird nur die IP-Adresse, die Subnetzmaske und das Standard-

gateway für jeden an TCP/IP gebundenen Adapter angezeigt.

 

Wird bei /RELEASE oder /RENEW kein Adaptername angegeben, so werden

die IP-Adressen von allen an TCP/IP gebundenen Adapter freigegeben

oder erneuert.

 

Wird bei /SETCLASSID keine Klassenkennung angegeben, dann wird die Klassen-

kennung gelöscht.

 

Beispiele:

    > ipconfig                    ... Zeigt Informationen an.

    > ipconfig /all               ... Zeigt detaillierte Informationen an.

    > ipconfig /renew             ... Erneuert IP-Adressen für alle

                                      Adapter.

    > ipconfig /renew EL*         ... Erneuert IP-Adressen für Adapter

                                      mit Namen EL....

    > ipconfig /release *ELINK?21*... Gibt alle entsprechenden Adapter

                                      frei, z.B. ELINK-21, ELINKi21karte usw.

 

Beispiel 1: Ausgabe ohne Parameter /all

 

C:\>ipconfig

 

Windows 2000-IP-Konfiguration

 

Ethernetadapter "LAN-Verbindung":

 

        Verbindungsspezifisches DNS-Suffix:

        IP-Adresse. . . . . . . . . . . . : 172.16.200.210

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . : 172.16.200.1

 

 

Beispiel 2: Ausgabe mit Parameter /all

 

Windows XP-IP-Konfiguration

 

        Hostname. . . . . . . . . . . . . : zahler1

        Primäres DNS-Suffix . . . . . . . : zahler.at

        Knotentyp . . . . . . . . . . . . : Broadcastadapter

        IP-Routing aktiviert. . . . . . . : Ja

        WINS-Proxy aktiviert. . . . . . . : Nein

        DNS-Suffixsuchliste . . . . . . . : zahler.at

 

Ethernetadapter "LAN-Verbindung":

 

        Verbindungsspezifisches DNS-Suffix:

        Beschreibung. . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC

                                            (3C905B-TX)

        Physikalische Adresse . . . . . . : 00-50-04-81-70-9C

        DHCP-aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 213.225.58.236

        Subnetzmaske. . . . . . . . . . . : 255.255.255.248

        Standardgateway . . . . . . . . . : 213.225.58.233

        DNS-Server. . . . . . . . . . . . : 213.225.58.235

 

Ethernetadapter "LAN-Verbindung 2":

 

        Verbindungsspezifisches DNS-Suffix:

        Beschreibung. . . . . . . . . . . : AVM FRITZ!web PPP over ISDN

        Physikalische Adresse . . . . . . : 00-07-77-64-09-32

        DHCP-aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 192.168.120.254

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . :

        DNS-Server. . . . . . . . . . . . : 192.168.120.252

                                            192.168.120.253

 

7.3 winipcfg

Dieses Programm stellt eine grafische Variante von IPCONFIG dar und ist in folgenden Windows-Versionen enthalten:

 

Am besten über  [Start] – [Ausführen] aufrufen.

 

 


 

7.4 tracert

Dieses Diagnosedienstprogramm ermittelt die Route zu einem Ziel, indem es ICMP-Echopakete (Internet Control Message Protocol) mit unterschiedlichen TTL-Werten (Time-To-Live) sendet. Von jedem Router auf dem Pfad wird erwartet, dass er den TTL-Wert für ein Paket vor dem Weiterleiten um mindestens 1 verkleinert; so dass der TTL-Wert die Anzahl der Abschnitte angibt. Wenn der TTL-Zähler für ein Paket den Wert Null erreicht, sendet der Router eine "ICMP-Zeitüberschreitung"-Nachricht zur Quelle zurück. Tracert ermittelt die Route, indem es das erste Echopaket mit dem TTL-Wert 1 sendet und den TTL-Wert bei jeder folgenden Übertragung um Eins erhöht, bis das Ziel antwortet oder der TTL-Höchstwert erreicht ist. Die Route wird durch Prüfen der "ICMP-Zeitüberschreitung"-Nachrichten ermittelt, die von den dazwischenliegenden Routern zurückgesendet werden. Einige Router verwerfen jedoch Pakete mit abgelaufenen TTL-Werten ohne Warnung und sind nicht sichtbar für tracert.

 

Syntax: tracert [-d] [-h Abschnitte max] [-j Hostliste] [-w Zeitlimit]

                Zielname

 

Optionen:

    -d                  Adressen nicht in Hostnamen auflösen

    -h Abschnitte max   Max. Anzahl an Abschnitten bei Zielsuche

    -j Hostliste        "Loose Source Route" gemäß Hostliste

    -w Zeitlimit        Zeitlimit in Millisekunden für eine Antwort

 

Beispiel:

 

C:\>tracert www.wienerwald.org

 

Routenverfolgung zu www.wienerwald.org [216.218.196.178]  über maximal 30 Abschn

itte:

 

  1   <10 ms    10 ms   <10 ms  172.16.200.1

  2   <10 ms    10 ms   <10 ms  vianet-stpolten-gw01.via.at [194.96.211.18]

  3   <10 ms    10 ms    10 ms  vianet-stpolten-gw00.via.at [194.96.211.17]

  4    10 ms    20 ms    20 ms  vianet-head-gw04.via.at [194.96.210.5]

  5    70 ms    30 ms    31 ms  vianet-vix-gw01-s1-0.via.at [194.96.160.2]

  6    50 ms    30 ms    50 ms  vix.above.net [193.203.0.45]

  7   320 ms   100 ms    90 ms  core1-vix-stm-1.vie.above.net [208.184.102.49]

  8    40 ms    40 ms    60 ms  fra-vie-stm1-1.fra.above.net [208.184.102.130]

  9    60 ms    90 ms    60 ms  lhr-fra-stm-1.lhr.above.net [208.184.102.134]

 10    50 ms    70 ms   110 ms  core1-linx-oc3-1.lhr.above.net [216.200.254.81]

 

 11   130 ms   130 ms   140 ms  iad-lhr-stm4.iad.above.net [216.200.254.77]

 12   210 ms   230 ms   221 ms  mae-west-iad-oc3.above.net [216.200.0.69]

 13   220 ms   231 ms   230 ms  mae-west-core1-oc3-1.maew.above.net [209.133.31.

178]

 14   361 ms   230 ms   220 ms  100tx-f6-1.mae-west.he.net [207.126.96.98]

 15   210 ms   231 ms   220 ms  gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

 16   221 ms   230 ms   220 ms  launch.server101.com [216.218.196.178]

 

Ablaufverfolgung beendet.

 

7.5 pathping

 

Kombination der Befehle PING und TRACERT; steht nur in Windows-Betriebssystemen ab Windows 2000 zur Verfügung.

 

Ein Tool zum Verfolgen von Routen, das neben Features der Befehle ping und tracert weitere Informationen bietet, die durch diese Befehle nicht zur Verfügung gestellt werden. Der Befehl pathping sendet über einen gewissen Zeitraum Datenpakete an jeden Router auf dem Pfad zu einem Ziel. Anhand der von jedem Abschnitt zurückübermittelten Datenpakete werden dann bestimmte Statistiken berechnet. Da der Befehl pathping den Paketverlust bei jedem Router und jeder Verbindung anzeigt, können Sie feststellen, welche Router oder Verbindungen Netzwerkprobleme verursachen.

 

Beispiel:

 

Microsoft Windows 2000 [Version 5.00.2195]

(C) Copyright 1985-2000 Microsoft Corp.

 

C:\>pathping www.wienerwald.org

 

Routenverfolgung zu www.wienerwald.org [216.218.210.195]

über maximal 30 Abschnitte:

  0  zahler1.zahler.intern [212.152.140.14]

  1  c58wmichu2-lo1.net.uta.at [212.152.140.1]

  2  c72wmich10-f0-0.net.uta.at [212.152.150.2]

  3  c120wmich1-g0-0.net.uta.at [62.218.1.93]

  4  c76wrdh2-g2-2.net.uta.at [212.152.192.14]

  5  uta0001-p116-sw1.vie1-p7.2-bgp2.abovenet.at [212.69.161.4]

  6  so-2-3-0.cr1.vie2.at.mfnx.net [208.184.231.93]

  7  so-7-0-2.cr1.lhr3.uk.mfnx.net [208.184.231.37]

  8  so-7-0-0.cr1.dca2.us.mfnx.net [64.125.31.186]

  9  so-3-0-0.mpr3.sjc2.us.mfnx.net [208.184.233.133]

 10  pos5-0.mpr1.pao1.us.mfnx.net [208.184.233.142]

 11  209.249.24.136.he.net [209.249.24.136]

 12  gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

 13  fe0-0-bordercore0.SJC.server101.com [216.218.132.34]

 14  .scorpion.server101.com [216.218.210.195]

 

Berechnung der Statistiken dauert ca. 350 Sekunden...

            Quelle zum Abs.  Knoten/Verbindung

Abs. Zeit   Verl./Ges.=   %  Verl./Ges.=   %  Adresse

  0                                           zahler1.zahler.intern [212.152.140.14]         0/ 100 =  0%   |

  1   47ms     0/ 100 =  0%     0/ 100 =  0%  c58wmichu2-lo1.net.uta.at [212.152.140.1]       0/ 100 =  0%   |

  2   45ms     0/ 100 =  0%     0/ 100 =  0%  c72wmich10-f0-0.net.uta.at [212.152.150.2]      0/ 100 =  0%   |

  3   45ms     0/ 100 =  0%     0/ 100 =  0%  c120wmich1-g0-0.net.uta.at [62.218.1.93]        0/ 100 =  0%   |

  4   48ms     0/ 100 =  0%     0/ 100 =  0%  c76wrdh2-g2-2.net.uta.at [212.152.192.14]       0/ 100 =  0%   |

  5   47ms     0/ 100 =  0%     0/ 100 =  0%  uta0001-p116-sw1.vie1-p7.2-bgp2.abovenet.at [212.69.161.4]                  0/ 100 =  0%   |

  6   48ms     0/ 100 =  0%     0/ 100 =  0%  so-2-3-0.cr1.vie2.at.mfnx.net [208.184.231.93]

                                0/ 100 =  0%   |

  7  135ms     0/ 100 =  0%     0/ 100 =  0%  so-7-0-2.cr1.lhr3.uk.mfnx.net [208.184.231.37]

                                0/ 100 =  0%   |

  8  206ms     1/ 100 =  1%     1/ 100 =  1%  so-7-0-0.cr1.dca2.us.mfnx.net [64.125.31.186]

                                0/ 100 =  0%   |

  9  275ms     0/ 100 =  0%     0/ 100 =  0%  so-3-0-0.mpr3.sjc2.us.mfnx.net [208.184.233.133]

                                1/ 100 =  1%   |

 10  270ms     3/ 100 =  3%     2/ 100 =  2%  pos5-0.mpr1.pao1.us.mfnx.net [208.184.233.142]

                                0/ 100 =  0%   |

 11  219ms     1/ 100 =  1%     0/ 100 =  0%  209.249.24.136.he.net [209.249.24.136]

                                1/ 100 =  1%   |

 12  219ms     2/ 100 =  2%     0/ 100 =  0%  gige-g9-0.gsr12012.sjc.he.net [216.218.130.1]

                                1/ 100 =  1%   |

 13  220ms     3/ 100 =  3%     0/ 100 =  0%  fe0-0-bordercore0.SJC.server101.com [216.218.132.34]                0/ 100 =  0%   |

 14  220ms     3/ 100 =  3%     0/ 100 =  0%  scorpion.server101.com [216.218.210.195]

 

Ablaufverfolgung beendet.

 

 

7.6 arp:

 

Ändert und zeigt die Übersetzungstabellen für IP-Adressen/physische Adressen an, die vom ARP (Address Resolution Protocol) verwendet werden.

 

Parameter:

 

ARP -s IP_Adr Eth_Adr [Schnittst]

ARP -d IP_Adr [Schnittst]

ARP -a [IP_Adr] [-N Schnittst]

 

  -a            Zeigt aktuelle ARP-Einträge durch Abfrage der Protokoll-

                daten an. Falls IP_Adr angegeben wurde, werden die IP- und

                physische Adresse für den angegebenen Computer angezeigt.

                Wenn mehr als eine Netzwerkschnittstelle ARP verwendet,

                werden die Einträge für jede ARP-Tabelle angezeigt.

  -g            Gleiche Funktion wie -a.

  IP_Adr        Gibt eine Internet-Adresse an.

  -N Schnittst  Zeigt die ARP-Einträge für die angegebene Netzwerk-

                schnittstelle an.

  -d            Löscht den durch IP_Adr angegebenen Host-Eintrag.

  -s            Fügt einen Host-Eintrag hinzu und ordnet die Internet-Adresse

                der physischen Adresse zu. Die physische Adresse wird durch

                6 hexadezimale, durch Bindestrich getrennte Bytes angegeben.

                Der Eintrag ist permanent.

  Eth_Adr       Gibt eine physische Adresse (Ethernet-Adresse) an.

  Schnittst     Gibt, falls vorhanden, die Internet-Adresse der Schnittstelle

                an, deren Übersetzungstabelle geändert werden soll.

                Sonst wird die erste geeignete Schnittstelle verwendet.

 

Beispiel:

  > arp -s 157.55.85.212 00-aa-00-62-c6-09  .... Fügt einen statischen Eintrag hinzu.

  > arp -a                                  .... Zeigt die Arp-Tabelle an.

 

Beispiel:

C:\>arp -a

 

Schnittstelle: 172.16.200.210 on Interface 0x1000003

  Internetadresse       Physikal. Adresse     Typ

  172.16.200.7          00-00-e8-83-6c-a5     dynamisch

 

7.7 netstat

 

Zeigt Protokollstatistik und aktuelle TCP/IP-Netzwerkverbindungen an.

 

NETSTAT [-a] [-e] [-n] [-s] [-p Proto] [-r] [Intervall]

 

  -a            Zeigt den Status aller Verbindungen an. (Verbindungen

                des Servers werden normalerweise nicht angezeigt).

  -e            Zeigt die Ethernetstatistik an. Kann mit der Option -s

                kombiniert werden.

  -n            Zeigt Adressen und Portnummern numerisch an.

  -p Proto      Zeigt Verbindungen für das mit Proto angegebene Protokoll

                an.

                Proto kann TCP oder UDP sein. Bei Verwendung mit der

                Option -s kann Proto TCP, UDP oder IP sein.

  -r            Zeigt den Inhalt der Routingtabelle an.

  -s            Zeigt Statistik protokollweise an. Standardmäßig werden

                TCP,UDP und IP angezeigt. Mit der Option -p können Sie dies

                weiter einschränken.

  Intervall     Zeigt die gewählte Statistik nach der mit Intervall angege-

                benen Anzahl von Sekunden erneut an. Drücken Sie STRG+C zum

                Beenden der Intervallanzeige. Ohne Intervallangabe werden

                die aktuellen Konfigurationsinformationen einmalig

                angezeigt.

 

Beispiel für netstat:

 

C:\>netstat -a

 

Aktive Verbindungen

 

  Proto  Lokale Adresse         Remoteadresse          Status

  TCP    r10:epmap              r10:0                  ABHÖREN

  TCP    r10:microsoft-ds       r10:0                  ABHÖREN

  TCP    r10:1025               r10:0                  ABHÖREN

  TCP    r10:1027               r10:0                  ABHÖREN

  TCP    r10:netbios-ssn        r10:0                  ABHÖREN

  UDP    r10:epmap              *:*

  UDP    r10:microsoft-ds       *:*

  UDP    r10:1026               *:*

  UDP    r10:netbios-ns         *:*

  UDP    r10:netbios-dgm        *:*

  UDP    r10:isakmp             *:*

 

7.8 nbtstat

 

Zeigt Protokollstatistik und aktuelle TCP/IP-Verbindungen an, die NBT (NetBIOS über TCP/IP) verwenden.

 

NBTSTAT [-a Remotename] [-A IP-Adresse] [-c] [-n]

        [-r] [-R] [-RR] [-s] [Intervall] ]

 

  -a          Zeigt die Namentabelle des mit Namen angegebenen

              Remotecomputers an.

  -A          Zeigt die Namentabelle des mit IP-Adressen angegebenen

              Remotecomputers an.

  -c          Zeigt Inhalt des Remotenamencache mit IP-Adressen an.

  -n          Zeigt lokale NetBIOS-Namen an.

  -r          Zeigt mit Broadcast und WINS aufgelöste Namen an.

  -R          Lädt Remotecache-Namentabelle neu.

  -S          Zeigt Sitzungstabelle mit den Ziel-IP-Adressen an.

  -s          Zeigt Sitzungstabelle mit Computer NetBIOS-Namen an, die aus

              den Ziel-IP-Adressen bestimmt wurden.

  -RR         (ReleaseRefresh) Sendet Namensfreigabe-Pakete an WINS und

              startet die Aktualisierung.

 

  Remotename  Name des Remotehosts

  IP-Adresse  Punktierte Dezimalschreibweise einer IP-Adresse

  Intervall   Zeigt die ausgewählte Statistik nach der angegebenen

              Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden

              der Intervallanzeige.

 

Beispiel:

 

C:\>nbtstat -A 172.16.200.210

 

LAN-Verbindung:

Knoten-IP-Adresse: [172.16.200.210] Bereichskennung: []

 

      NetBIOS-Namentabelle des Remotecomputers

 

       Name               Typ          Status

    ---------------------------------------------

    R10            <00>  UNIQUE      Registriert

    R10            <20>  UNIQUE      Registriert

    MCSE           <00>  GROUP       Registriert

    MCSE           <1E>  GROUP       Registriert

    R10            <03>  UNIQUE      Registriert

 

 

7.9 hostname

Zeigt den Hostnamen des lokalen Computers an.

 

Beispiel:

 

C:\>hostname

r10

 

 

 

 

 


 

8 IP-Routing mit Windows Server 2003

8.1 Einrichten des Routing- und RAS-Dienstes für LAN-Routing:

Voraussetzung: zwei Netzwerkkarten mit korrekter IP-Konfiguration; jede Netzwerkkarte ist mit einem Sternverteiler des jeweiligen Netzwerksegments verbunden.

 

Starten Sie das MMC-Snap-In "Routing und RAS":

 

 

Klicken Sie nun mit der rechten Maustaste auf den Server und wählen Sie im Kontextmenü [Routing und RAS konfigurieren und aktivieren]. Es startet folgender Assistent:


 

 

 

 

Nachdem der Dienst gestartet ist, ist bereits die Routing-Funktionalität aktiv:

 

 

 

Wir haben einen Routing- und RAS-Server mit folgender IP-Konfiguration:

 

E:\>ipconfig

 

Windows 2000-IP-Konfiguration

 

Ethernetadapter "Netzwerkverbindung":

 

        Verbindungsspezifisches DNS-Suffix:

        IP-Adresse. . . . . . . . . . . . : 172.16.50.229

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        IP-Adresse. . . . . . . . . . . . : 172.16.201.229

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . : 172.16.201.2

 

Wir untersuchen die Routing-Tabelle unseres Routing- und RAS-Servers, die wie folgt aussieht:

 

E:\>route print

===========================================================================

Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x1000003 ...00 02 b3 4c 37 d1 ...... Intel(R) PRO PCI Adapter

===========================================================================

===========================================================================

Aktive Routen:

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

          0.0.0.0          0.0.0.0     172.16.201.2  172.16.201.229       1

        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1

      172.16.50.0    255.255.255.0    172.16.50.229  172.16.201.229       1

    172.16.50.229  255.255.255.255        127.0.0.1       127.0.0.1       1

     172.16.201.0    255.255.255.0   172.16.201.229  172.16.201.229       1

   172.16.201.229  255.255.255.255        127.0.0.1       127.0.0.1       1

   172.16.255.255  255.255.255.255   172.16.201.229  172.16.201.229       1

        224.0.0.0        224.0.0.0   172.16.201.229  172.16.201.229       1

  255.255.255.255  255.255.255.255   172.16.201.229  172.16.201.229       1

Standardgateway:      172.16.201.2

===========================================================================

Ständige Routen:

  Keine

 

Begriffserklärungen:

 

 

 

Zeile 1:

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

          0.0.0.0          0.0.0.0     172.16.201.2  172.16.201.229       1

 

Was soll mit Paketen geschehen, die an das Netzwerk 0.0.0.0/0 gesendet werden?

Diese Route bezeichnet man als Standardroute.

Wir sehen, dass Pakete an den eingetragenen Standardgateway weitergeleitet werden.

 

Anmerkung: Auf einer typischen Arbeitsstation wird ein Großteil der Pakete zum Standardgateway weitergeleitet werden!

 

Zeile 2:

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1

 

Hier sehen wir, dass sämtliche Pakete, die an eine Adresse im Netzwerk 127.0.0.0 gerichtet sind, über die Schnittstelle 127.0.0.1 (also den Loopback-Adapter) an den Gateway 127.0.0.1 zurückgeschickt werden. Die Pakete erreichen also weder die Schicht 2 noch verlassen sie den PC.

 

Zeile 3:

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

      172.16.50.0    255.255.255.0    172.16.50.229  172.16.201.229       1

 

Hier sehen wir: Alle Pakete, die ans Netzwerk 172.16.50.0 gerichtet sind, werden über die Schnittstelle 172.16.201.229 an den Gateway 172.16.50.229 geschickt. Dieser Eintrag verbindet also die beiden Netze 172.16.201.x und 172.16.50.x.

 

Zeile 4 und Zeile 6:

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

    172.16.50.229  255.255.255.255        127.0.0.1       127.0.0.1       1

   172.16.201.229  255.255.255.255        127.0.0.1       127.0.0.1       1

 

Hier wird der PC veranlasst, an sich selbst gerichtete Pakete (als Ziel ist das „Netzwerk“ 172.16.50.229/32, wobei eine Netzwerkmaske von 255.255.255.255 bedeutet, dass nur eine einzige Adresse gemeint ist) an den Loopback-Adapter weiterzusenden.

 

Zeile 5:

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

     172.16.201.0    255.255.255.0   172.16.201.229  172.16.201.229       1

 

Pakete, die an eine Adresse im Netzwerk 172.16.201.x gerichet sind, werden über die Schnittstelle 172.16.201.229 an den Gateway 172.16.201.229 weitergeleitet. Dieser Eintrag entspricht der Umkehrung von Zeile 3.


 

Zeile 7

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

   172.16.255.255  255.255.255.255   172.16.201.229  172.16.201.229       1

 

Diese Zeile betrifft Broadcasts, die über die 172.16.201.229-Schnittstelle an das lokale Netzwerk weitergeleitet werden.

 

Zeile 8

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

        224.0.0.0        224.0.0.0   172.16.201.229  172.16.201.229       1

 

Hier wird das Routingverhalten für Multicast-Adressen geregelt.

 

Zeile 9

 

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

  255.255.255.255  255.255.255.255   172.16.201.229  172.16.201.229       1

 

Hier finden wir die generische Broadcast-Adresse 255.255.255.255; auch hier werden Broadcasts an PCs im lokalen Netz weitergetragen.


 

8.2 Hinzufügen statischer Routen im MMC-Snap-In „Routing und RAS“:

 

 

 

Der Metrik-Wert gibt die „Effizienz“ oder auch die „Kosten“ einer Route an. Je kleiner der Metrik-Wert, desto effizienter ist die Route. Gibt es also in der Routingtabelle zwei mögliche Routen zu einem Ziel, so wählt der Router die Route mit dem kleineren Metrik-Wert.


 

8.3 Der Befehl ROUTE

 

Manipuliert die Netzwerkroutingtabellen.

 

ROUTE [-f] [-p] [Befehl [Ziel]

                [MASK Netzmaske]  [Gateway] [METRIC Anzahl] [IF Schnittstelle]

 

  -f            Löscht alle Gatewayeinträge in Routingtabellen.

                Wird der Parameter mit einem der Befehle verwendet, werden

                die Tabellen vor der Befehlsausführung gelöscht.

  -p            (persistent) Wird der Parameter mit dem "ADD"-Befehl

                verwendet, wird eine Route unabhängig von Neustarts des

                Systems verwendet.

                Standardmäßig ist diese Funktion deaktiviert, wenn das

                System neu gestartet wird. Dies wird ignoriert für alle

                anderen Befehle, die beständige Routen beeinflussen.

                Diese Funktion wird von Windows 95 nicht unterstützt.

  Befehl        Auswahlmöglichkeiten:

                  PRINT     Druckt eine Route

                  ADD       Fügt eine Route hinzu

                  DELETE    Löscht eine Route

                  CHANGE    Ändert eine bestehende Route

  Ziel          Gibt den Host an.

  MASK          Gibt an, dass der folgende Parameter ein Netzwerkwert ist.

  Netzmaske     Gibt einen Wert für eine Subnetzmaske für den Routeneintrag

                an. Ohne Angabe wird die Standardeinstellung

                255.255.255.255 verwendet.

  Gateway       Gibt ein Gateway an.

  Schnittstelle Schnittstellennummer der angegebenen Route.

  METRIC        Gibt den Anzahl/Kosten-Wert für das Ziel an.

 

Alle symbolischen Namen, die für das Ziel verwendet werden, werden in

der Datei der Netzwerkdatenbank NETWORKS angezeigt. Symbolische Namen

für Gateway finden Sie in der Datei der Hostnamendatenbank HOSTS.

 

Bei den Befehlen PRINT und DELETE können Platzhalter für Ziel und

Gateway verwendet werden, (Platzhalter werden durch "*" angegeben),

oder Sie können auf die Angabe des Gatewayparameters verzichten.

 

Falls Ziel "*" or "?" enthält, wird es als Shellmuster bearbeitet und es

werden nur übereinstimmende Zielrouten gedruckt. Der Platzhalter "*" wird

mit jeder Zeichenkette überprüft, und "?" wird mit jedem Zeichen überprüft.

Beispiele: 157.*.1, 157.*, 127.*, *224*.

Diagnoseanmerkung:

   Eine ungültige MASK erzeugt einen Fehler unter folgender Bedingung :

   (DEST & MASK) != DEST.

   Beispiel> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1

             Die Route konnte nicht hinzugefügt werden: Der angegebene

             Maskenparameter ist ungültig.

(Destination & Mask) != Destination.

 

Beispiele:

 

    > route PRINT

    > route ADD 157.0.0.0 MASK 255.0.0.0  157.55.80.1 METRIC 3 IF 2

                    Ziel^      ^Maske     ^Gateway     Metric^    ^

                                                     Schnittstelle^

      Sollte "IF" nicht angegeben sein, wird versucht die beste

      Schnittstelle für das angegebene Gateway zu finden.

    > route PRINT

    > route PRINT 157*          .... Zeigt passende Adressen mit 157* an.

    > route DELETE 157.0.0.0

    > route PRINT

 

9 „Sniffer“ zur Analyse des Netzwerkverkehrs

In der Windows 2000 Server-Ausgabe findet sich eine Light-Version des Programms „Netzwerkmonitor“ (die Vollversion ist im Systems Management Server enthalten), mit dem der gesamte Netzwerkverkehr analysiert werden kann. Alle Header aller Protokolle können mit diesem Tool angesehen werden.

 

Der Netzwerkmonitor muss nachinstalliert werden.

 

 

 

 

 

 

 

 

Filter setzen, um nur bestimmte Protokolle anzusehen: [Ansicht] - [Filter]

 

 


10 DHCP-Server

Öffnen des DHCP-Snap-Ins:

 

 

Erstellen eines neuen DHCP-Bereichs:

 

 

 

 

 

 

 

 


Vor der Autorisierung im Active Directory:

 


 

Nach der Autorisierung im Active Directory:

 

Befehlszeilenprogramme zur Verwaltung eines DHCP-Servers:

netsh dhcp

 
D:\>netsh dhcp list
list                          - Listet alle verfügbaren Befehle auf.
dump                          - Speichert die Konfiguration in eine Textdatei.
help                          - Zeigt die Hilfe an.
?                             - Zeigt die Hilfe an.
 
add server       - Fügt einen Server der Liste der autorisierten Server
                   im  Verzeichnisdienst hinzu.
delete server    - Löscht einen DHCP-Server von der Liste der autorisierten
                   Server im Verzeichnisdienst.
show server      - Zeigt alle DHCP-Server im Verzeichnisdienst für die
                   aktuelle Domäne an.
server [\\Servername/IP-Adresse] - Wechselt den Kontext zum angegebenen
                                   Server. 0 = lokaler Computer.
 
 
Beispiel:
 
D:\>netsh dhcp show server
 
1 Server im Verzeichnisdienst:
 
        Server [mine.graz.at] Adresse [172.16.201.22] Verzeichnisdienststandort:
 cn=mine.graz.at
 
Der Befehl wurde erfolgreich ausgeführt.
 
Mit dem Befehl
 
netsh dump dhcp server >dhcp.txt
 
können alle DHCP-Einstellungen in eine Textdatei geschrieben werden (anschauen!).

 


 

11 Domain Name System (DNS)

11.1 Allgemeines:

 

DNS ist ein Protokoll der Anwendungsschicht (OSI-Schicht 7), das für die Verwendung mit der TCP/IP-Protokollsuite entwickelt wurde. Hauptaufgabe ist die Zuordnung von Computernamen zu IP-Adressen.

 

(a)     über einen DNS-Server

 

(b)    Statisch:

 

Datei HOSTS im Verzeichnis

\WINNT\SYSTEM32\DRIVERS\ETC

bearbeiten mit Editor.

 

# Copyright (c) 1993-1995 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows NT.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#      102.54.94.97     rhino.acme.com          # source server

#       38.25.63.10     x.acme.com              # x client host

 

127.0.0.1       localhost

192.168.0.1                          ilg.at

 

Diese Datei ordnet jeder IP-Adresse einen DNS-Namen (“friendly name”) zu.

 

Im selben Verzeichnis befindet sich auch die LMHOSTS-Datei, die die Zuordnung von IP-Adressen zu NetBIOS-Namen regelt (NetBIOS-Namen werden als “PC-ID” von Win NT standardmäßig verwendet).

 

Wichtig: Jeder PC im Intranet muss dieselbe HOSTS-Datei bekommen, da sonst der Server nicht mit dem friendly name angesprochen werden kann. (Also: Datei auf jeden PC im Netz kopieren!!!)

 


 

Für einen Anwender sind IP-Zahlenkombinationen schwer zu merken. Es werden daher statt dieser Zahlendarstellung symbolische Namen verwendet.

 

So gibt es etwa einen Server mit dem Namen

            noe.wifi.at

 

Diesem Servernamen entspricht eine eindeutige IP-Adresse. Dabei setzt sich der Name aus Teilen zusammen, die eine Hierarchie angeben: Das Teilnetzwerk "noe" (fachchinesisch bezeichnet man ein solches Teilnetz als Domäne, englisch domain) ist ein Teil des Netzwerks "wifi", dieses wiederum ein Teil des Netzwerks "at" (für Österreich). Das "at"-Netzwerk ist ein Teil der Domäne "the world" (die aber nie angegeben zu werden braucht).

 

Die Länderkennung ist ein Beispiel für eine Top Level Domain (TLD); so werden die „Haupt-Domänen“ bezeichnet, die entweder einem Land oder einer „Kategorie“ entsprechen.

 

Die Zuordnung IP-Adressen zu logischen Namen muss von einem eigenen Rechner durchgeführt werden, dem Domain Name System-Server  (DNS-Server). Wenn nun ein Anwender einen Server noe.wifi.at anwählt, so "fragt" die Station zunächst beim DNS-Server des Anwenders (der meist beim Provider steht), ob er die IP-Adresse von noe.wifi.at kennt. Das wird nicht der Fall sein. In diesem Fall hat der DNS-Server die IP-Adresse des nächstliegenden DNS-Servers gespeichert und fragt bei diesem an, ob er die IP-Adresse kennt. Das geht so lang, bis ein DNS-Server erfolgreich ist, die IP-Adresse wird übermittelt, die Datenübertragung kann beginnen.

 

Das Internet ist also ein so genanntes Teilstrecken-Netzwerk; es genügt, wenn jeder Internet-Knotenrechner mit einem weiteren Knoten verbunden ist. Die physikalische Datenübertragung wird über äußerst leistungsfähige Kabel, so genannte „Backbones“ realisiert.

 

Die zentrale Verwaltung der Domain-Namen mit den Top-Level-Domains .com, .net, .org und .int obliegt der InterNIC, einer Kooperation aus dem kommerziellen Unternehmen NSI (Network Solutions Inc.), der Telefongesellschaft AT&T sowie der US National Science Foundation. Bisher wurden die angegebenen Domains ausschließlich von der NSI im Auftrag der InterNIC verwaltet. Die jährliche „Miete“ eines Domännamens kostet ca. 50 US-$. Die Domain-Verwaltung soll jedoch bis 2001 von der NSI an die nichtkommerzielle Organisation ICANN (Inter­national Corporation for Assigned Names and Numbers) übergeben werden. Die Datenbank der NSI ist unter www.networksolutions.com/cgi-bin/whois/whois zu finden.

 

Die IANA (Internet Assigned Numbers Authority, www.iana.org)  verwaltet die IP-Adressen.

Einen IP-Adressen-Index findet man unter ipindex.dragonstar.net.

 

Die ISPA (Internet Service Provider Association Austria – www.ispa.at) ist die Vereinigung der österreichischen Internet Service Provider, quasi eine „Dachorganisation“. Die NIC.AT GmbH, ein Unternehmen der ISPA, ist mit der Verwaltung und Vergabe der Domänennamen mit dem Top Level Domain „.at“ beauftragt (www.nic.at). Registrierungen und Online-Abfragen von at-Domainen sind unter www.namen.at möglich.

 

Dabei gibt es zum Beispiel als Länder-Top Level Domain (ISO-Norm 3166):

            at          Austria (Österreich)

            de         Deutschland

            jp          Japan

            us         USA (fehlt meist)

 

Zusätzlich zu den landesspezifischen Erweiterungen gab es folgende Kennzeichnungen, die ursprünglich nur US-amerikanischen Einrichtungen vorbehalten waren:

            com      company (Firma)

            gov       government (Regierung) – US

            edu       education (Universitäten) – US

            mil         military (Militär) – US

            int          internationale Organisation

            org        organization (gemeinnützige Organisation)

            net        Provider

 

Nun werden die Adressen von 28 lizenzierten Firmen vergeben. Diese Firmen werden im CORE (Council of Registrars) zusammengefasst. Die neuen TLDs lauten:

            firm        Firmen und Unternehmen

            arts        Kunst und Kultur

            info        Informationsservices

            rec        Unterhaltung und Freizeit

            web       WWW-Aktivitäten

            store     Warenangebote

            nom      Restkategorie

 

 

11.2 Ablauf einer DNS-Abfrage:

Quelle: Hilfe zu Microsoft Windows 2000 Server, alle Abb. © Microsoft Corp.

 

Wenn ein DNS-Cient nach einem Namen sucht, der in einem Programm verwendet wird, führt er zum Auflösen des Namens eine Abfrage der DNS-Server durch. Jede vom Client gesendete Abfragemeldung enthält drei Informationen, mit denen eine Frage an den Server festgelegt wird:

Bei dem angegebenen Namen kann es sich z. B. um den FQDN für einen Computer handeln, etwa "host-a.beispiel.microsoft.com.", und der Abfragetyp wird so festgelegt, dass über diesen Namen nach einem A-Ressourceneintrag (Adresse) gesucht wird. Eine DNS-Abfrage ist im Grunde eine zweiteilige Frage des Clients an den Server, z. B. "Bestehen A-Ressourceneinträge für einen Computer namens 'hostname.beispiel.microsoft.com.'?" Wenn der Client eine Antwort vom Server empfängt, liest er den zurückgegebenen A-Ressourceneintrag, wertet ihn aus und erhält auf diese Weise die IP-Adresse des Computers, den er per Namen abgefragt hatte.

 

Auflösungen werden mit DNS-Abfragen auf unterschiedliche Arten durchgeführt. Ein Client kann eine Abfrage ggf. lokal beantworten, indem er zwischengespeicherte Daten aus einer vorherigen Abfrage verwendet. Der DNS-Server kann zum Beantworten einer Abfrage eigene zwischengespeicherte Ressourceneintragsdaten verwenden. Um dem anfragenden Client eine vollständige Namensauflösung zu ermöglichen, kann ein DNS-Server auch andere DNS-Server kontaktieren oder abfragen und dann eine Antwort zurück an den Client senden. Dieser Vorgang wird als Rekursion bezeichnet.

Darüber hinaus kann auch der Client selbst versuchen, eine Verbindung zu weiteren DNS-Servern herzustellen, um einen Namen aufzulösen. In einem solchen Fall verwendet der Client zusätzliche eigene Abfragen, die auf den Referenzantworten von Servern basieren. Dieser Vorgang wird als Iteration bezeichnet.

 

Im Allgemeinen wird ein DNS-Abfragevorgang in zwei Schritten durchgeführt:

Diese beiden Vorgänge werden in den folgenden Abschnitten näher erläutert.

11.2.1 Teil 1: Der lokale Auflösungsdienst

Die folgende Grafik zeigt eine Übersicht über den gesamten DNS-Abfrageprozess.

 

 

Wie aus den ersten Schritten des Abfrageprozesses zu ersehen ist, wird in einem Programm auf dem lokalen Computer ein DNS-Domänenname verwendet. Die Abfrage wird dann an den DNS-Clientdienst weitergeleitet, um eine Auflösung mit Hilfe lokal zwischengespeicherter Daten durchzuführen. Wenn der abgefragte Name aufgelöst werden kann, wird die Abfrage beantwortet, und der Prozess ist abgeschlossen.

 

Der Zwischenspeicher des lokalen Auflösungsdienstes kann Namensdaten enthalten, die aus zwei möglichen Quellen stammen:

Wenn für die Abfrage kein passender Eintrag im Zwischenspeicher vorhanden ist, wird der Auflösungsprozess fortgesetzt, indem der Client zum Auflösen des Namens einen DNS-Server abfragt.


 

11.2.2 Teil 2: Abfragen eines DNS-Servers

 

Wie in der oben stehenden Grafik dargestellt, fragt der Client zunächst einen bevorzugten DNS-Server ab. Der zu Anfang des Client/Server-Abfrageprozesses verwendete Server wird aus einer globalen Liste ausgewählt.

 

Wenn ein DNS-Server eine Abfrage empfängt, überprüft er zunächst, ob er die Abfrage auf der Grundlage von Ressourceneintragsdaten, die in einer lokal konfigurierten Zone auf dem Server enthalten sind, autorisierend beantworten kann. Entspricht der abgefragte Name einem entsprechenden Ressourceneintrag in den lokalen Zonendaten, antwortet der Server autorisierend, indem er diese Daten zum Auflösen des abgefragten Namens verwendet.

 

Stehen für den abgefragten Namen keine Zonendaten zur Verfügung, überprüft der Server als Nächstes, ob er den Namen mit Hilfe lokal zwischengespeicherter Daten aus vorherigen Abfragen auflösen kann. Wird hier eine Entsprechung gefunden, antwortet der Server mit diesen Daten. Auch in diesem Fall ist die Abfrage abgeschlossen, wenn der bevorzugte Server mit einer entsprechenden Antwort aus dem Zwischenspeicher auf den anfragenden Client reagieren kann.

 

Wird auf dem bevorzugten Server weder in den Daten des Zwischenspeichers noch in den Zonendaten eine entsprechende Antwort für den abgefragten Namen gefunden, kann der Abfragevorgang fortgesetzt werden, indem der Name mit einem Rekursionsprozess vollständig aufgelöst wird. Für diese Art der Namensauflösung werden weitere DNS-Server zur Unterstützung herangezogen. In der Standardeinstellung wird der Server vom DNS-Clientdienst aufgefordert, einen Rekursionsprozess zu verwenden, um vor dem Antworten die Namen für den Client vollständig aufzulösen. Die in den meisten Fällen verwendete Standardkonfiguration des DNS-Servers für die Unterstützung des Rekursionsprozesses ist in der folgenden Grafik dargestellt.

 

 

Damit der DNS-Server die Rekursion ordnungsgemäß ausführen kann, benötigt er zunächst unterstützende Kontaktinformationen über andere DNS-Server im DNS-Domänennamespace. Diese Daten stehen in Form von Hinweisen auf den Stammserver zur Verfügung. Dies ist eine Liste vorläufiger Ressourceneinträge, die vom DNS-Dienst für die Suche nach anderen DNS-Servern verwendet werden kann, die für den Stamm der DNS-Domänennamespacestruktur autorisierend sind. Stammserver sind autorisierend für den Domänenstamm und die Domänen der obersten Ebene in der Namespacestruktur der DNS-Domäne.

 

Mit Hilfe der Hinweise auf den Stammserver für die Suche nach Stammservern kann ein DNS-Server den Rekursionsvorgang abschließen. Theoretisch ermöglicht dieser Prozess jedem DNS-Server die Suche nach autorisierenden Servern für alle anderen DNS-Domänennamen, die auf einer beliebigen Ebene der Namespacestruktur verwendet werden.

Angenommen, ein Client fragt einen einzelnen DNS-Server nach dem Namen "host-b.beispiel.microsoft.com" ab, und für die Suche wird der Rekursionsprozess verwendet. Dieser Prozess wird dann aktiviert, wenn ein DNS-Server und ein Client gestartet werden und keine lokal zwischengespeicherten Daten zum Auflösen der Namensabfrage zur Verfügung stehen. Es wird davon ausgegangen, dass sich der über den Client abgefragte Name auf einen Domänennamen bezieht, für den auf dem Server in den konfigurierten Zonen keine Daten zur Verfügung stehen.

 

Zunächst analysiert der bevorzugte Server den vollständigen Namen und stellt dann fest, dass für die Domäne der obersten Ebene, "com", der Standort des autorisierenden Servers benötigt wird. Dann wird eine iterative Abfrage an den DNS-Server für "com" gesendet, um eine Referenz zu dem Server für "microsoft.com" anzufordern. Als Nächstes erhält der DNS-Server für "beispiel.microsoft.com" eine Referenzantwort vom Server für "microsoft.com".

 

Schließlich wird eine Verbindung zu dem Server für "beispiel.microsoft.com." hergestellt. Da dieser Server den abgefragten Namen als Teil der konfigurierten Zonen enthält, sendet er eine autorisierte Antwort an den ursprünglichen Server, von dem aus die Rekursion gestartet wurde. Wenn der ursprüngliche Server die Mitteilung empfängt, dass auf die angeforderte Abfrage eine autorisierte Antwort vorliegt, sendet er sie an den anfordernden Client weiter, und der rekursive Abfrageprozess ist abgeschlossen.

 

Obwohl der rekursive Abfrageprozess ressourcenintensiv sein kann, wenn er wie oben beschrieben durchgeführt wird, bietet er für den DNS-Server einige Leistungsvorteile. Während des Rekursionsprozesses erhält der DNS-Server, über den das rekursive Lookup durchgeführt wird, z. B. Informationen über den DNS-Domänennamespace. Diese Informationen werden vom Server zwischengespeichert und können erneut verwendet werden, um die Beantwortung entsprechender nachfolgender Abfragen zu beschleunigen. Im Laufe der Zeit kann die Zahl der zwischengespeicherten Daten so anwachsen, dass ein beträchtlicher Teil der Serverspeicherressourcen verwendet wird, obwohl sie gelöscht werden, wenn der Abfragezyklus des DNS-Dienstes gestartet oder beendet wird.

11.3 Andere Abfrageantworten

Bei den vorangegangenen Erläuterungen von DNS-Abfragen wurde davon ausgegangen, dass der Prozess mit einer positiven Antwort an den Client abgeschlossen wird. Bei Abfragen können jedoch auch andere Antworten zurückgegeben werden. Es folgt eine Liste der häufigsten Antworten:

Bei einer autorisierenden Antwort handelt es sich um eine positive Antwort an den Client, bei der das Autoritätsbit in der DNS-Meldung gesetzt ist. Auf diese Weise wird gekennzeichnet, dass die Antwort von einem Server empfangen wurde, der für den abgefragten Namen über direkte Autorität verfügt.

Eine positive Antwort kann aus dem abgefragten Ressourceneintrag oder einer Liste von Ressourceneinträgen (auch Ressourceneintragssatz genannt) bestehen, die dem abgefragten DNS-Domänennamen und dem in der Abfragemeldung angegebenen Eintragstyp entspricht.

Eine Referenzantwort enthält zusätzliche Ressourceneinträge, deren Namen oder Typen in der Abfrage nicht angegeben sind. Dieser Antworttyp wird an den Client zurückgegeben, wenn der Rekursionsprozess nicht unterstützt wird. Die Einträge stellen hilfreiche Referenzantworten dar, die der Client verwenden kann, um die Abfrage mit Hilfe eines Iterationsprozesses fortzusetzen.

Eine Referenzantwort umfasst weitere Daten, z. B. Ressourceneinträge, die von dem abgefragten Typ abweichen. Wenn der abgefragte Hostname z. B. "www" ist und für diesen Namen in dieser Zone keine A-Ressourceneinträge, aber ein CNAME-Ressourceneintrag für "www" gefunden wird, kann der DNS-Server diese Information in die Antwort an den Client einschließen.

 

Kann der Client die Iteration verwenden, so vermag er mit Hilfe der in der Referenzantwort enthaltenen Informationen selbst zusätzliche Abfragen durchführen, um den Namen vollständig aufzulösen.

 

Eine negative Antwort vom Server kann darauf hinweisen, dass eines von zwei möglichen Ergebnissen gefunden wurde, während der Server versuchte, die Abfrage vollständig und autorisierend zu verarbeiten und rekursiv aufzulösen:

Vom Auflösungsdienst werden die Abfrageergebnisse in Form einer positiven oder negativen Antwort an das anfordernde Programm weitergeleitet und zwischengespeichert.

11.3.1 Funktionsweise der Iteration

Bei einer Iteration handelt es sich um eine Art der Namensauflösung, die zwischen DNS-Clients und -Servern unter folgenden Bedingungen ausgeführt wird:

Über eine iterative Abfrage informiert der Client den DNS-Server darüber, dass er von ihm die bestmögliche sofort verfügbare Antwort erwartet und keine Verbindung zu anderen DNS-Servern hergestellt werden soll.

 

Beim Verwenden der Iteration beantwortet ein DNS-Server eine Clientabfrage unter Berücksichtigung der abgefragten Namensdaten mit den eigenen Namespaceinformationen. Wenn ein DNS-Server im Intranet von einem lokalen Client z. B. die Abfrage nach "www.microsoft.com" empfängt, kann er die Antwort möglicherweise aus dem Namenszwischenspeicher zurückgeben. Ist der abgefragte Name im Namenszwischenspeicher des Servers aktuell nicht vorhanden, kann der Server mit einer Referenz antworten, d. h. einer Liste der NS- und A-Ressourceneinträge anderer DNS-Server, die dem abgefragten Namen am ehesten entsprechen.

 

Bei einer Referenzantwort übernimmt der DNS-Client die Verantwortung dafür, zur Namensauflösung iterative Abfragen an andere konfigurierte DNS-Server zu senden. Zum Auffinden der DNS-Server, die für die Domäne "com" autorisierend sind, kann der DNS-Client die Suche z. B. bis zu den Stammdomänenservern im Internet ausweiten. Nachdem ein Kontakt zu den Internetstammservern hergestellt ist, kann der Client weitere iterative Antworten von den DNS-Servern empfangen, die auf die Internet-DNS-Server für die Domäne "microsoft.com" zeigen. Wenn dem Client Einträge für diese DNS-Server zur Verfügung stehen, kann er eine weitere iterative Abfrage an die externen Microsoft DNS-Server im Internet senden, die mit einer endgültigen und autorisierenden Antwort reagieren können.

Beim Verwenden der Iteration kann ein DNS-Server bei der Auflösung einer Namensabfrage Unterstützung bieten, die über das Senden der für ihn bestmöglichen Antwort an den Client hinausgeht. Bei den meisten iterativen Abfragen verwendet ein Client eine lokal konfigurierte Liste von DNS-Servern, um einen Kontakt zu anderen Namensservern im DNS-Namespace herzustellen, wenn die Abfrage vom primären DNS-Server nicht aufgelöst werden kann.

11.3.2 Funktionsweise des Zwischenspeicherns

Beim Verarbeiten von Clientabfragen mit Hilfe von Rekursion oder Iteration ermitteln DNS-Server umfangreiche Informationen zum DNS-Namespace. Diese Informationen werden dann vom Server zwischengespeichert.

 

Das Zwischenspeichern bietet eine Möglichkeit, die Leistung für DNS-Auflösungen bei nachfolgenden Abfragen bekannter Namen zu beschleunigen, wodurch der DNS-bezogene Netzwerkverkehr deutlich reduziert wird.

 

Beim Durchführen rekursiver Abfragen für Clients werden Ressourceneinträge von DNS-Servern vorübergehend zwischengespeichert. Zwischengespeicherte Ressourceneinträge enthalten empfangene Informationen von DNS-Servern, die für die DNS-Domänennamen autorisierend sind. Die Informationen stammen aus iterativen Abfragen und werden zum Suchen und vollständigen Beantworten rekursiver Abfragen für einen Client verwendet. Wenn andere Clients zu einem späteren Zeitpunkt in neuen Abfragen Ressourceneintragsinformationen anfordern, die den zwischengespeicherten Ressourceneinträgen entsprechen, können diese vom DNS-Server für eine Antwort verwendet werden.

 

Beim Zwischenspeichern von Informationen wird allen zwischengespeicherten Ressourceneinträgen ein Wert für die Gültigkeitsdauer (TTL = Time-To-Live) zugeordnet. Während des Gültigkeitszeitraumes eines zwischengespeicherten Ressourceneintrags bleibt dieser im Zwischenspeicher des DNS-Servers enthalten und kann weiterhin zum Beantworten von Clientabfragen verwendet werden, für die dieser Ressourceneintrag zutreffend ist. In den meisten Zonenkonfigurationen ist den von den Ressourceneinträgen verwendeten TTL-Werten der Wert Minimum TTL (Standard) zugewiesen, der im Ressourceneintrag für den Autoritätsursprung (SOA = Start Of Authority) der Zone eingestellt ist. In der Standardeinstellung beträgt der Wert für Minimum TLL (Standard) 3.600 Sekunden (1 Stunde). Sie können diesen Wert jedoch ändern oder bei Bedarf für jeden Ressourceneintrag einen individuellen TTL-Wert für das Zwischenspeichern einstellen.


 

11.4 Konfiguration eines DNS-Servers in Windows 2000/2003

 

MMC-Snap-In "DNS"

·                    neue Forward-Lookup-Zone

 

 

 

 

 

 

·                    neue Reverse-Lookup-Zone

 

Standardmäßig ist keine Reverse-Lookup-Zone eingerichtet. Es wird dringend empfohlen, diese Zone manuell einzurichten!

 

 

 

 

Alles auf "dynamisch" umstellen!

 

 

 

 

 

 

 

 

Erweiterte Ansicht [Ansicht] - [Erweiterte Ansicht]:

 

 

Erstellen eines neuen Host-Eintrags:

 

 

 

 

Gibt man ein, dass automatisch ein verknüpfter PTR-Eintrag erstellt werden soll, so wird ein solcher Eintrag bei der Reverse-Lookup-Zone erstellt:

 

 

Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden. Die folgenden Ressourceneinträge (RRs = Resource Records) werden am häufigsten eingefügt:

 

·        Host (A) Zum Zuordnen eines DNS-Domänennamens zu einer von einem Computer verwendeten IP-Adresse.

·        Alias (CNAME) Zum Zuordnen eines Alias-Domänennamens zu einem anderen primären oder kanonischen Namen.

·        Mail Exchanger (MX) Zum Zuordnen eines DNS-Domänennamens zum Namen eines Computers, über den Mail ausgetauscht oder weitergeleitet werden.

·        Pointer (PTR) Zum Zuordnen eines umgekehrten DNS-Domänennamens auf der Grundlage der IP-Adresse eines Computers, die auf den weitergeleiteten DNS-Domänennamen dieses Computers verweist.

·        Service location (SRV) Zum Zuordnen eines DNS-Domänennamens zu einer angegebenen Liste mit DNS-Hostcomputern, die eine bestimmte Dienstart (z. B. Active Directory-Domänencontroller) anbieten.

·        Weitere Ressourceneinträge entsprechend den aktuellen Anforderungen.

Ressourceneinträge für Host (A)

Ressourceneinträge für Host (A) werden in einer Zone verwendet, um DNS-Domänennamen von Computern (oder Hosts) ihren IP-Adressen zuzuordnen. Sie können einer Zone auf unterschiedliche Weise hinzugefügt werden:

 

·        Sie können mit Hilfe der DNS-Konsole manuell einen A-Ressourceneintrag für einen TCP/IP-Clientcomputer erstellen.

·        Windows 2000-Computer verwenden den DHCP-Clientdienst, um bei einer Änderung der IP-Konfiguration die eigenen A-Ressourceneinträge in DNS dynamisch zu registrieren und zu aktualisieren.

·        Bei DHCP-Clientcomputern mit früheren Versionen von Microsoft-Betriebssystemen können die A-Ressourceneinträge nach Proxy registriert und aktualisiert werden, wenn die IP-Lease von einem qualifizierten DHCP-Server stammt (dieses Feature wird gegenwärtig nur durch den im Lieferumfang von Windows 2000 Server enthaltenen DHCP-Dienst unterstützt).

 

Der Ressourceneintrag für Host (A) ist zwar nicht für alle Computer erforderlich, wird jedoch von Computern benötigt, die gemeinsam auf Ressourcen in einem Netzwerk zugreifen. Alle Computer, die Ressourcen gemeinsam nutzen und über ihre DNS-Domänennamen erkannt werden, müssen A-Ressourceneinträge verwenden, um der IP-Adresse des Computers die DNS-Namensauflösung zu ermöglichen.

 

Die meisten in einer Zone erforderlichen A-Ressourceneinträge können andere Arbeitsstationen oder Server, die gemeinsam auf Ressourcen zugreifen, andere DNS-Server, Mailserver sowie Webserver umfassen. Diese Ressourceneinträge stellen die Mehrheit der Ressourceneinträge in der Datenbank einer Zone dar.

 

Alias-Ressourceneinträge (CNAME)

Alias-Ressourceneinträge (CNAME) werden auch als so genannte kanonische Namen bezeichnet. Mit Hilfe dieser Einträge können Sie mit mehreren Namen auf einen einzigen Host verweisen, wodurch es leichter wird, auf einem Computer einen FTP-Server und einen Webserver zu verwenden. Allgemein bekannte Servernamen (ftp, www) werden z. B. mit Hilfe von CNAME-Ressourceneinträgen registriert, die dem DNS-Hostnamen, z. B. "server-1", für den Servercomputer zugeordnet sind, auf dem diese Dienste zur Verfügung stehen.

 

Es wird empfohlen, CNAME-Ressourceneinträge in folgenden Szenarios zu verwenden:

 

·        Wenn ein in einem A-Ressourceneintrag angegebener Host in derselben Zone umbenannt werden muss.

·        Wenn über einen generischen Namen für einen bekannten Server, z. B. www, eine Auflösung für eine Gruppe von Computern (jeder mit eigenen A-Ressourceneinträgen) stattfinden soll, die denselben Dienst bieten (dabei kann es sich um eine Gruppe redundanter Webserver handeln).

 

Beim Umbenennen eines Computers mit einem bestehenden A-Ressourceneintrag in der Zone können Sie vorübergehend einen CNAME-Ressourceneintrag verwenden, um Benutzern und Programmen eine Umstellungsfrist für die Verwendung des neuen Namens zu gewähren. Hierzu müssen folgende Aufgaben ausgeführt werden:

 

·        Für den neuen DNS-Domänennamen des Computers wird der Zone ein neuer A-Ressourceneintrag hinzugefügt.

·        Für den alten DNS-Domänennamen wird ein CNAME-Ressourceneintrag hinzugefügt, der auf den neuen A-Ressourceneintrag zeigt.

·        Der ursprüngliche A-Ressourceneintrag für den alten DNS-Domänennamen (und ggf. der zugeordnete PTR-Ressourceneintrag) wird aus der Zone entfernt.

 

Geben Sie beim Verwenden eines CNAME-Ressourceneintrags zum Vergeben eines Alias oder eines neuen Namens für einen Computer eine Frist für die Verwendung des Eintrags in der Zone bis zu seiner Entfernung aus dem DNS an. Wurde der CNAME-Ressourceneintrag versehentlich nicht gelöscht und wird zu einem späteren Zeitpunkt der damit verbundene A-Ressourceneintrag gelöscht, belegt der CNAME-Ressourceneintrag ggf. unnötig Serverressourcen, wenn er versucht, Abfragen nach nicht mehr im Netzwerk verwendeten Namen aufzulösen.

 

Die häufigste und bevorzugte Verwendung eines CNAME-Eintrags besteht darin, mehreren Computern oder einer IP-Adresse, die auf einem Webserver verwendet werden, einen ständigen, über DNS vergebenen Alias für den Domänennamen zur Verfügung zu stellen, um die generische Namensauflösung eines Dienstnamens, z. B. www.example.microsoft.com zu ermöglichen. Im Folgenden wird die grundlegende Syntax für die Verwendung eines CNAME-Ressourceneintrags erläutert.

 

Aliasname IN CNAME primärer_kanonischer_Name

 

In diesem Beispiel soll ein Computer mit dem Namen host-a.example.microsoft.com als Webserver mit dem Namen "www.example.microsoft.com." und gleichzeitig als FTP-Server mit dem Namen "ftp.example.microsoft.com" fungieren. Um den Computer für diesen Zweck zu benennen, können Sie folgende CNAME-Einträge in der Zone example.microsoft.com hinzufügen und verwenden:

 

host-a    IN  A      10.0.0.20

ftp       IN  CNAME  host-a

www       IN  CNAME  host-a

 

Wenn Sie später den FTP-Server auf einen anderen Computer verschieben möchten, der unabhängig vom Webserver auf "host-a" zur Verfügung steht, ändern Sie den CNAME-Ressourceneintrag in der Zone für ftp.example.microsoft.com, und fügen Sie der Zone für den neuen Hostcomputer mit dem FTP-Server einen zusätzlichen A-Ressourceneintrag hinzu.

 

Entsprechend dem vorhergehenden Beispiel lauten die neuen und überarbeiteten A- und CNAME-Ressourceneinträge folgendermaßen, wenn der neue Computer mit "host-b.example.microsoft.com" benannt wird:

 

host-a    IN  A      10.0.0.20

host-b    IN  A      10.0.0.21

ftp       IN  CNAME  host-b

www       IN  CNAME  host-a

 

Ressourceneinträge für Mail Exchanger (MX)

Ein MX-Ressourceneintrag wird von E-Mail-Anwendungen verwendet, um einen Mailserver auf der Grundlage eines DNS-Domänennamens zu suchen, der in der Zieladresse für den Empfänger einer E-Mail-Nachricht verwendet wird. Mit einer DNS-Abfrage nach dem Namen "example.microsoft.com" können Sie z. B. einen MX-Ressourceneintrag suchen, so dass über eine E-Mail-Anwendung für einen Benutzer mit der E-Mail-Adresse "user@example.microsoft.com" eine Mail weitergeleitet oder ausgetauscht werden kann.

 

Über den MX-Ressourceneintrag wird der DNS-Domänenname für den bzw. die Computer angezeigt, auf dem bzw. auf denen Mail-Nachrichten für eine Domäne verarbeitet werden. Wenn mehrere MX-Ressourceneinträge vorhanden sind, wird über den DNS-Clientdienst entsprechend der Priorität eine Verbindung zu den Mailservern hergestellt, vom niedrigsten Wert (höchste Priorität) zum höchsten Wert (niedrigste Priorität). Im Folgenden wird die grundlegende Syntax für die Verwendung eines MX-Ressourceneintrags aufgezeigt.

 

Mail_Domänenname IN MX Priorität Mailserver_Host

 

Mit Hilfe der unten aufgeführten MX-Ressourceneinträge in der Zone example.microsoft.com werden an user@example.microsoft.com adressierte Mails zunächst an user@mailserver0.example.microsoft.com gesendet (wenn möglich). Wenn dieser Server nicht zur Verfügung steht, kann der Client für Auflösungsdienste stattdessen den Eintrag user@mailserver1.example.microsoft.com verwenden.

 

@         IN  MX   1    mailserver0

@         IN  MX   2    mailserver1

 

Beachten Sie, dass mit dem Zeichen (@) in den Einträgen darauf hingewiesen wird, dass es sich beim DNS-Domänennamen um denselben Namen (example.microsoft.com) handelt, wie bei dem ursprünglichen Namen für die Zone.

 

PTR-Ressourceneinträge (Zeiger)

 

PTR-Ressourceneinträge unterstützen auf der Grundlage von in der in-addr.arpa-Domäne erstellten und residierenden Zonen den Reverse-Lookup-Prozess. Diese Einträge werden verwendet, um über die IP-Adresse nach einem Computer zu suchen und diese Daten in den DNS-Domänennamen für diesen Computer aufzulösen.

PTR-Ressourceneinträge können einer Zone auf verschiedene Weise hinzugefügt werden:

 

·        Sie können mit Hilfe des DNS-Snap-In manuell einen PTR-Ressourceneintrag für einen TCP/IP-Clientcomputer erstellen, entweder als eigenständige Prozedur oder als Teil der Prozedur zum Erstellen eines A-Ressourceneintrags.

·        Windows 2000-Computer können mit dem DHCP-Clientdienst bei Änderungen der IP-Konfiguration die PTR-Ressourceneinträge dynamisch registrieren und aktualisieren.

·        Bei allen anderen DHCP-Clientcomputern können die PTR-Ressourceneinträge durch den DHCP-Server registriert und aktualisiert werden, wenn die IP-Lease über einen qualifizierten Server vergeben wurde. Der im Lieferumfang von Windows 2000 Server enthaltene DHCP-Dienst bietet diese Möglichkeit.

 

Der PTR-Ressourceneintrag wird nur in Reverse Lookup-Zonen verwendet, um Reverse Lookup-Vorgänge zu unterstützen.

SRV-Ressourceneinträge (Dienstidentifizierung)

Zum Suchen von Active Directory-Domänencontrollern in Windows 2000 sind SRV-Ressourceneinträge erforderlich. Die manuelle Verwaltung von SRV-Ressourceneinträgen ist in der Regel nicht mehr erforderlich, wenn Sie Active Directory installieren.

 

In der Standardeinstellung wird über den Assistenten zum Installieren von Active Directory die Liste der bevorzugten oder alternativen DNS-Server nach einem DNS-Server durchsucht, der in den TCP/IP-Clienteigenschaften für eine der aktiven Netzwerkverbindungen konfiguriert wurde. Wenn eine Verbindung mit einem DNS-Server hergestellt wird, der die dynamische Aktualisierung des SRV-Ressourceneintrags (und anderer Ressourceneinträge, die mit dem Registrieren von Active Directory als Dienst in DNS zusammenhängen) akzeptiert, ist der Konfigurationsprozess abgeschlossen.

Wenn während der Installation kein DNS-Server gefunden wird, der Aktualisierungen des zum Benennen des Active Directory erforderlichen DNS-Domänennamen akzeptiert, kann lokal ein Windows 2000-DNS-Server installiert und automatisch mit einer Zone auf der Grundlage der Active Directory-Domäne konfiguriert werden.

 

Handelt es sich bei der als erste in der Gesamtstruktur ausgewählten Active Directory-Domäne um example.microsoft.com, wird eine Zone im DNS-Domänennamen namens example.microsoft.com hinzugefügt und so konfiguriert, dass sie mit dem DNS-Server auf dem neuen Domänencontroller ausgeführt werden kann.

 

Wenn der im Lieferumfang von Windows 2000 enthaltene DNS-Server nicht installiert wird, wird während des Installationsprozesses von Active Directory eine Datei (Netlogon.dns) geschrieben und erstellt, in der die SRV-Ressourceneinträge sowie weitere für die Unterstützung von Active Directory notwendigen Ressourceneinträge enthalten sind. Diese Datei wird im Ordner %SystemRoot%\System32\Config erstellt.

Wenn Sie mit einem DNS-Server arbeiten, auf den eine der folgenden Beschreibungen zutrifft, verwenden Sie die Einträge in Netlogon.dns, um die primäre Zone auf diesem Server manuell für die Unterstützung von Active Directory zu konfigurieren.

 

 

In zukünftigen Versionen kann der SRV-Eintrag auch verwendet werden, um andere bekannte TCP/IP-Dienste im Netzwerk zu registrieren und zu suchen, wenn mit den entsprechenden Anwendungen DNS-Namensabfragen implementiert und unterstützt werden, die diesen Eintragstyp angeben.

 

 

Um auch DNS-Einträge auflösen zu können, die außerhalb des privaten Netzwerks liegen, muss die Weiterleitung aktiviert werden (hier ist die IP-Adresse eines externen DNS-Servers angegeben):

 

 

Die Hinweise auf das Stammverzeichnis sind nur dann sichtbar, wenn der DNS-Server keine Zone mit dem Namen "." (Punkt) aufweist. Diese Hinweise sind auch in der Datei CACHE.DNS ("Hints") enthalten, die im Verzeichnis c:\winnt\system32\dns enthalten ist.

 

Wichtig: Ein DNS-Server mit der "."-Zone ist selbst Root-Server; Internet-Namensauflösungen sind daher über einen solchen DNS-Server nicht möglich!

 

 

 

In der erweiterten Ansicht sind die bereits durchgeführten Lookup-Vorgänge im Internet sichtbar:

 

 

11.5 Abfragen eines DNS-Servers mit dem Kommandozeilenprogramm nslookup

 

Befehle:  (Kennungen werden in Großbuchstaben angezeigt, [] steht für optional)

NAME                        - Info über Host/Domäne NAME

                              (verwendet Standardserver)

NAME1 NAME2                 - Wie oben; verwendet NAME2 als Server

help oder ?                 - Info über allgemeine Befehle; siehe auch

                              nslookup(1)

set OPTION                  - Legt eine Option fest

    all                     - Zeigt alle Optionen, aktuelle Server und

                              Hosts an

    [no]debug               - Zeigt Debuginformationen an

    [no]d2                  - Zeigt ausführliche Debuginformationen an

    [no]defname             - Fügt jeder Abfrage den Domänenname an

    [no]recurse             - Rekursive Antwort auf Anfrage

    [no]search              - Verwendet die Domänensuchliste

    [no]vc                  - Verwendet immer einen "virtual circuit"

    domain=NAME             - Legt den Standarddomänennamen mit NAME fest

    srchlist=N1[/N2/.../N6]  - Legt Domäne mit N1 und Suchliste mit

                              N1,N2.. fest

    root=NAME               - Legt den Stammserver mit NAME fest

    retry=X                 - Legt die Anzahl der Neuversuche mit X fest

    timeout=X               - Legt das erste Zeitüberschreitungsintervall

                              mit X Sekunden fest

    querytype=X             - Legt den Abfragetyp fest, z.B.

                              A,ANY,CNAME,HINFO,NS,SOA,WKS

    type=X                  - Synonym mit "querytype"

    class=X                 - Legt die Abfrageklasse mit IN, CHAOS,

                              HESIOD oder ANY fest

server NAME                 - Legt mit dem akt. Server den Standardserver

                              mit NAME fest

lserver NAME                - Legt mit dem 1. Server den Standardserver

                              mit NAME fest

finger [USER]               - Führt den Befehl "finger" für NAME aus

root                        - Legt den aktuellen Standardserver mit

                              "root" fest

ls [opt] DOMÄNE [> DATEI]   - Zeigt Adressen in DOMÄNE an

                              (Ausgabe in DATEI)

    -a                      - Führt kanonische Namen und Aliase auf

    -d                      - Führt alle Einträge auf

    -t TYP                  - Führt die Einträge des Typs auf

                              (z.B. A, CNAME, MX, usw.)

view DATEI                  - Sortiert eine "ls"-Outputdatei und zeigt

                              sie mit "pg" an

exit                        - Beendet das Programm, auch EOF (z.B. ^D)

                              möglich

 

Beispiel 1:

C:\>nslookup

*** Der Servername für die Adresse 194.96.13.3 konnte nicht gefunden werden:

Server failed

*** Die Standardserver sind nicht verfügbar.

Standardserver:  UnKnown

Address:  194.96.13.3

 

> www.noe.wifi.at.

Server:  UnKnown

Address:  194.96.13.3

 

Name:    www.noe.wifi.at

Address:  194.96.13.5

 

> set type=any       Damit können erweiterte Informationen abgerufen werden!

> www.noe.wifi.at

Server:  UnKnown

Address:  194.96.13.3

 

www.noe.wifi.at internet address = 194.96.13.5

noe.wifi.at     nameserver = ns.noe.wifi.at

noe.wifi.at     nameserver = ns1.via.at

ns.noe.wifi.at  internet address = 194.96.13.3

ns1.via.at      internet address = 194.

 

Beispiel 2: Beachten Sie den Punkt am Ende der Adresse (Root Domain!)

C:\>nslookup www.microsoft.com.

*** Der Servername für die Adresse 194.96.13.3 konnte nicht gefunden werden:

Server failed

*** Die Standardserver sind nicht verfügbar.

Server:  UnKnown

Address:  194.96.13.3

 

Nicht autorisierte Antwort:

Name:    microsoft.com

Addresses:  207.46.130.149, 207.46.130.45, 207.46.131.137, 207.46.131.30

          207.46.130.14

Aliases:  www.microsoft.com

 

Beispiel 3:

 

> www.sbg.wifi.at

Server:  UnKnown

Address:  194.96.13.3

 

Nicht autorisierte Antwort:

www.sbg.wifi.at canonical name = WEBWIFI.sbg.wifi.at

 

sbg.wifi.at     nameserver = ns2.sbg.wifi.at

sbg.wifi.at     nameserver = ns.sbg.wifi.at

ns2.sbg.wifi.at internet address = 193.83.60.252

ns.sbg.wifi.at  internet address = 193.83.60.251

> WEBWIFI.sbg.wifi.at

Server:  UnKnown

Address:  194.96.13.3

 

Nicht autorisierte Antwort:

WEBWIFI.sbg.wifi.at     internet address = 193.83.60.233

 

sbg.wifi.at     nameserver = ns2.sbg.wifi.at

sbg.wifi.at     nameserver = ns.sbg.wifi.at

ns2.sbg.wifi.at internet address = 193.83.60.252

ns.sbg.wifi.at  internet address = 193.83.60.251

 

Beispiel 4: www.via.at

 

C:\>nslookup

> set type=any

> www.via.at

Server:  UnKnown

Address:  194.96.13.3

 

Nicht autorisierte Antwort:

www.via.at      internet address = 194.96.203.221

 

via.at  nameserver = ns1.via.at

via.at  nameserver = ns2.via.at

ns1.via.at      internet address = 194.41.60.10

ns2.via.at      internet address = 194.41.60.16

 

> 221.203.96.194.in-addr.arpa.      Achtung: Man muss die gefundene Adresse von hinten eingeben!

Server:  UnKnown

Address:  194.96.13.3

 

Nicht autorisierte Antwort:

221.203.96.194.in-addr.arpa     name = www.via.at

 

203.96.194.in-addr.arpa nameserver = ns1.via.at

203.96.194.in-addr.arpa nameserver = ns2.via.at

ns1.via.at      internet address = 194.41.60.10

ns2.via.at      internet address = 194.41.60.16

 

Beispiel 5: Auflistung aller Rechner in einer Zone

 

C:\>nslookup

> ls noe.wifi.at

 noe.wifi.at.                   NS     server = ns.noe.wifi.at

 noe.wifi.at.                   NS     server = ns1.via.at

 www                            A      194.96.13.5

 www2                           A      194.96.13.3

 ns                             A      194.96.13.3

 kurs                           A      194.96.13.8

 ns2                            A      194.96.13.5

 

 


 

12 Internet-Grundlagen

Das Internet ist das derzeit größte weltumspannende Datennetz. Es besteht aus einer Vielzahl kleinerer und größerer Regionalnetze und enthält wirtschaftlich orientierte Informationen, Mailboxen, Forschungs-Datenbanken.

 

Zahl der Internet Hosts (als "Host" – englisch für „Gastgeber“ – bezeichnet man allgemein Geräte in Netzwerken, die unter bestimmten Voraussetzungen von anderen Geräten aus erreicht werden können; hier sind also erreichbare Webserver gemeint, die einen zugewiesenen Domänennamen besitzen):

 

1971

23

Aug 1981

213

Aug 1983

562

Okt 1984

1.024

Okt 1985

1.961

Dez 1987

28.174

Jul 1989

130.000

Jan 1991

376.000

Jan 1992

727.000

Jan 1993

1.313.000

Jan 1994

2.217.000

Jan 1995

4.852.000

Jan 1996

9.472.000

Jan 1997

16.156.000

Jan 1998

29.670.000

Jul 1998

36.739.000

Jan 1999

43.230.000

Jul 1999

56.218.000

Jan 2000

72.398.092

Jul 2000

93.047.785

Jan 2001

109.574.429

Jul 2001

125,888,197

Jan 2002

147,344,723

Jul 2002

162,128,493

Jan 2003                 

171,638,297

Jan 2004

233.101.481

 

Quelle: http://www.isc.org

12.1 Historische Entwicklung

 

Bereits 1958 hatte die RAND-Corporation die Idee eines dezentralen Kommunikationssystems.

Das Internet entwickelte sich aus dem 1969 entstandenen ARPANet (Advanced Research Projects Agency, 1. Knoten an der UCLA) des amerikanischen Verteidigungs­ministeriums. Immer mehr Universitäten und Bildungs­einrichtungen schlossen sich ans Netz an, wodurch sich das Netz immer schneller weltweit ausdehnte. 1972 hatte das ARPANet bereits 27 Knoten. 1989 wurde das ARPANet eingestellt.

 

Die einzige „Gemeinsamkeit“ im Internet ist das TCP/IP-Netzwerkprotokoll (Transmission Control Protocol/Internet Protocol), das vom Betriebssystem UNIX stammt und seit 1977 im Internet verwendet wird. Die Daten werden von diesem Protokoll in "Pakete" zerlegt, die selbständig übertragen werden. Die Pakete können über verschiedene Wege und ungeordnet den Empfänger erreichen.

Internet-Benutzer Ende 2002 (Quelle: www.c-i-a.com)

 

 Land

Internet-Benutzer in Mio.

U.S.

160,7

Japan

64,8

U.K.

27,2

Kanada

17,8

Deutschland

30,4

Australien

10,5

Russland

13,5

China

54,5

Frankreich

16,7

Südkorea

26,9

Taiwan

9,5

Italien

20,9

Indien

16,6

Brasilien

15,8

Spanien

10,4

Weltweit

665,9

 

12.2 Wie komme ich ins Internet?

Technisch werden folgende Dinge benötigt:

·      einen Telefon-Wählanschluss oder einen Breitband-Internetanschluss

·      einen Internet Service Provider (ISP), das ist eine Institution (Firma), die den Internet-Zugang („Account“) herstellt. Solche „Einwählpunkte“ (POPs = Points of Presence) finden sich in jeder größeren Stadt. Im Allgemeinen muss der Anwender mit dem Provider einen Vertrag abschließen, in welchem der Art, die Dauer der Zugangs etc. geregelt werden muss. Für die Dienste des Providers muss bezahlt werden! Eine Liste aller österreichischen Provider findet man unter www.pop.at/provider/ oder unter www.pcnews.at.

 

Beispiele für Internet-Provider in Österreich (Auswahl; Reihenfolge alphabetisch!):

 

Provider

Homepage

Hotline

A-Online (AON)

www.aon.at, www.jet2web.net  

0800-100 130

Netway

www.netway.at

01-217 19 100

Nextra

www.nextra.at

01- 525 33-0

UTA Telecom AG

www.utanet.at

0800- 882 882

Vianet

www.via.at

01 - 40 40 20

WVNet

www.wvnet.at

0 28 22 - 536 33-0

eTel

www.etel.at

08000 08000

 

·      ein TCP/IP-Netzwerktreiber: Um einen Rechner direkt ans Internet anzuschließen, ist ein TCP/IP-Treiber erforderlich, der die Datenpakete über das Modem „direkt ins Internet“ weitergibt. Diese Treiber greifen auf das PPP (Point to Point Protocol) zurück.     In allen aktuellen Betriebs­systemen sind diese Treiber bereits enthalten.

·      Client-Software für jeden Dienst, den man im Internet nutzen will.

12.3 Kosten für Internet-Wählverbindungen

Neben den (einmaligen) Anschaffungskosten für Modem, Kabel und Telefonsteckdose muss man mit folgenden laufenden Kosten rechnen:

 

·      Monatliche Kosten für die Inanspruchnahme der Dienste des Providers (können sehr verschieden sein; je nach dem Umfang der Dienste betragen die Kosten zwischen 0 bis 100 €)

·      Telefonkosten bis zum nächsten Internet-Knoten, je nach zeitlicher Benützung der Telefonleitung


 

Die geltenden Onlinetarife (Quelle: www.telekom.at):

 

Tarif pro Minute in € (inkl. 20 % MWSt)

Geschäftszeit (Mo – Fr werktags 8 – 18 Uhr)

Freizeit (täglich 18 – 8 Uhr sowie Samstag, Sonn- und Feiertag ganztägig)

Standardtarif

0,025

0,013

Geschäftstarif 1

0,023

0,012

Geschäftstarif 2

0,022

0,011

 

Wichtige Anmerkung: Diese Preise sind Durchschnitts­preise bei längerer Online-Verweildauer. Die Verrechnung erfolgt in Wirklichkeit durch Tarif­impulse, die je nach Tarif und Tageszeit in unter­schiedlichen Zeitabständen anfallen.

 

Das Entgelt für einen Tarifimpuls beträgt EUR 0,07674.

 

Für die Online-Tarife gelten folgende Impulsfolgen:

 

 

Impulsdauer (Sekunden)

Geschäftszeit

120 s

Freizeit

360 s

 

Die sekundengenaue Abrechnung zum Online-Tarif gibt es derzeit nur bei UTA.

Für welche Telefonnummern gilt der Online-Tarif?

Eine weitere wichtige Anmerkung: Der Online-Tarif gilt nur für bestimmte Telefonnummern! Stellen Sie daher sicher, dass Sie sich zu einem Provider einwählen, dessen Telefonnummer

07189 1xxxx

oder 194xx lautet (= Highway 194 der PTA)

Alternative Telefonanbieter haben eigene Nummernkreise.

 

12.4 Internet als Teilstreckennetzwerk

Das Internet ist ein so genanntes Teilstrecken-Netzwerk; es genügt, wenn jeder Internet-Knotenrechner mit einem weiteren Knoten verbunden ist. Die physikalische Datenübertragung wird über äußerst leistungsfähige Kabel, so genannte „Backbones“ realisiert.

 

In letzter Zeit sind viele renommierte Backbone-Anbieter in ernsthafte Schwierigkeiten gekommen; so musste der jahrelange europäische Marktführer „ebone“ (der von KPNQWest betrieben wurde) seine Pforten schließen, auch der weltweit operierende WordCom-Konzern wurde nach finanziellen Schwierigkeiten verkauft bzw. die Restunternehmen neu strukturiert. Als Beispiel eines typischen Backbone-Anbieters nennen wir MCI oder UUNET.

 

 Europäische Backbone-Verbindungen von MCI, Stand Juli 2003 (Quelle: www.mci.com)


 

13 Internetanbindung von Firmennetzwerken

13.1 ICS (Internet Connection Sharing)

 

Wenn in einer Workgroup die Betriebssysteme

verwendet werden, dann besteht die Möglichkeit, einer bestehende Internetverbindung “freizugeben”, sodass aller Mitglieder der Workgroup die auf einem PC eingerichtete Internetverbindung gemeinsam nutzen können.

 

Konsequenzen:

 

Durchführung:

Zeigen Sie die aktuellen DFÜ-Verbindungen an (in Windows 2000 etwa Start – Einstellungen – Netzwerk- und DFÜ-Verbindungen) und wählen Sie im Kontext Ihrer DFÜ-Internet-Verbindung [Eigenschaften]:

 

 

In der Karteikarte „Gemeinsame Nutzung“ (Windows XP: „Erweitert“) aktivieren Sie dann das Kontrollkästchen „Gemeinsame Nutzung der Internetverbindung aktivieren“.


 

13.2 Router

Abbildung: Cisco 800 (ISDN-Router)

 

Ein Router ist ein Gerät, welches in der Lage ist, Netzwerkadressen zu übersetzen bzw. Datenpakete nach vorgegebenen (programmierten) Gesetzmäßigkeiten weiterzuleiten. So könnte ein Router so programmiert sein, dass er die Schnittstelle zwischen zwei privaten Netzen mit den Netzwerknummern 192.168.43.x und 192.168.54.x darstellt.

 

Dieser Router muss also in beiden Netzen erreichbar sein, wird also zwei IP-Adressen benötigen, zum Beispiel 192.168.43.254 und 192.168.54.254. So ist der Router von beiden Netzwerken erreichbar; durch die eingestellten Vorgaben werden Datenpakete entweder weitergeleitet („geroutet“) oder zurückgeschickt.

 

ISDN-Router sind in der Lage, ein kleines Netzwerk an eine gemeinsame ISDN-Leitung anzuschließen und so für alle PCs einen gemeinsamen Internetzugang zu ermöglichen.

 

Marktführer ist die Firma Cisco, andere bekannte Routerhersteller sind Nortel Networks oder Bay Networks.

 

13.2.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken:

Bei einer weitergeleiteten Verbindung dient der Windows 2000 Server-Computer als IP-Router, der die Pakete zwischen den SOHO-Hosts und den Internethosts weiterleitet.

Der Windows 2000-Router ist mit einem Netzwerkadapter für das im privaten Netzwerk verwendete Medium (z. B. Ethernet) sowie mit einem ISDN-Adapter oder einem analogen Modem konfiguriert. Sie können dabei eine Standleitung oder andere Technologien für permanente Verbindungen einsetzen, z. B. xDSL und Kabelmodems. In diesem Szenario wird jedoch die häufiger verwendete Konfiguration beschrieben, bei der eine Verbindung für Wählen bei Bedarf mit einem lokalen Internetdienstanbieter hergestellt wird.

 

Um eine weitergeleitete Verbindung mit dem Internet zu konfigurieren, muss in einem Netzwerk in einem kleinen Büro oder zu Hause Folgendes konfiguriert werden:

Zum Konfigurieren des Windows 2000-Routers wird wie folgt vorgegangen.

  1. Für das TCP/IP-Protokoll auf dem Windows 2000-Router für die Netzwerkschnittstelle in einem kleinen Büro oder zu Hause wird Folgendes festgelegt:

TCP/IP wird in der Komponente Netzwerk- und DFÜ-Verbindungen über die Eigenschaften des TCP/IP-Protokolls für die lokale Verbindung konfiguriert.

 

Konfigurieren Sie keinen Standardgateway!

2.       Der Routing- und RAS-Dienst wird installiert und aktiviert.

3.       Auf dem DFÜ-Anschluss wird Routing aktiviert.

Wenn Sie über eine ständige Verbindung mit dem Internet verfügen, die unter Windows 2000 als LAN-Schnittstelle angezeigt wird (z. B. DDS, T-Carrier, Frame Relay, ISDN, xDSL oder ein Kabelmodem) oder der Windows 2000-Computer keine direkte Verbindung mit dem Internet aufweist, sondern an einen anderen Router angeschlossen wird, fahren Sie mit Schritt 5 fort.

  1. Eine Schnittstelle für Wählen bei Bedarf wird erstellt, um eine Verbindung mit dem Internetdienstanbieter herzustellen.

Eine Schnittstelle für Wählen bei Bedarf wird erstellt, die für IP-Routing konfiguriert ist und die DFÜ-Ausstattung und -Anmeldeinformationen verwendet, die beim Wählen des Internetdienstanbieters verwendet werden.

  1. Eine statische Standardroute unter Verwendung der Internetschnittstelle wird erstellt.

Bei einer statischen Standardroute ist die Schnittstelle für Wählen bei Bedarf (bei DFÜ-Verbindungen) oder die LAN-Schnittstelle (bei permanenten Verbindungen oder Verbindungen über einen zwischengeschalteten Router) ausgewählt, die für die Verbindung mit dem Internet verwendet wird. Das Ziel ist 0.0.0.0, und die Netzwerkmaske lautet 0.0.0.0. Die IP-Adresse des Gateways kann auf der Schnittstelle für Wählen bei Bedarf nicht konfiguriert werden. Bei einer LAN-Schnittstelle, die eine Punkt-zu-Punkt-Verbindung mit dem Internetdienstanbieter darstellt, lautet die Adresse des Gateways 0.0.0.0.

  1. Multicastunterstützung wird konfiguriert (optional).

So fügen Sie einem Netzwerk in einem kleinen Büro oder zu Hause Multicastunterstützung hinzu:

Das TCP/IP-Protokoll auf dem Host in einem kleinen Büro oder zu Hause wird folgendermaßen konfiguriert:

TCP/IP wird in der Komponente Netzwerk- und DFÜ-Verbindungen über die Eigenschaften des TCP/IP-Protokolls für die lokale Verbindung konfiguriert.

 

Anmerkung

 

13.3 NAT (Network Address Translation)

Mit der Netzwerkadressübersetzung in Windows 2000 können Sie ein privates oder gewerblich genutztes Netzwerk für die gemeinsame Nutzung einer einzelnen Internetverbindung konfigurieren. Die Netzwerkadressübersetzung setzt sich aus folgenden Komponenten zusammen:

Der Windows 2000-Router, auf dem die Netzwerkadressübersetzung aktiviert ist und der im Folgenden als NAT-Computer (Network Address Translation) bezeichnet wird, fungiert als Netzwerkadressübersetzer für die IP-Adressen und TCP/UDP-Anschlussnummern der Pakete, die zwischen dem privaten Netzwerk und dem Internet weitergeleitet werden.

Der NAT-Computer stellt den anderen Computern im privaten Netzwerk Konfigurationsdaten der IP-Adressen zur Verfügung. Bei der Adresskomponente handelt es sich um einen vereinfachten DHCP-Server, der eine IP-Adresse, eine Subnetzmaske, ein Standardgateway, die IP-Adresse eines DNS-Servers zuweist. Sie müssen die Computer im privaten Netzwerk als DHCP-Clients konfigurieren, um automatisch die IP-Konfiguration zu erhalten. Die standardmäßige TCP/IP-Konfiguration von Windows 2000-, Windows NT-, Windows 95- und Windows 98-Computern entspricht derjenigen eines DHCP-Clients.

Der NAT-Computer übernimmt für die anderen Computer im privaten Netzwerk die Funktion des DNS-Servers. Erhält der NAT-Computer Anforderungen zur Namensauflösung, leitet er diese an die entsprechenden DNS-Server im Internet weiter und sendet die Antworten an den jeweiligen Computer im privaten Netzwerk.

 

 

Beispiel:

 

Angenommen, in einem kleinen Unternehmen wird die Netzwerkkennung 192.168.0.0 für das Intranet verwendet, und der Internetdienstanbieter hat dem Unternehmen die öffentliche Adresse w1.x1.y1.z1 zugewiesen. Bei der Netzwerkadressübersetzung (NAT) werden alle privaten Adressen in 192.168.0.0 auf die IP-Adresse w1.x1.y1.z1 gesetzt. Wenn mehrere private Adressen auf eine einzelne öffentliche Adresse gesetzt werden, verwendet NAT dynamisch ausgewählte TCP- und UDP-Ports, um die Hosts im Intranet voneinander zu unterscheiden.

 

Anmerkung:

Die folgende Abbildung zeigt ein Beispiel, in dem NAT verwendet wird, um Verbindungen zwischen einem Intranet und dem Internet transparent herzustellen.

Wenn ein privater Anwender unter der Adresse 192.168.0.10 einen Webbrowser verwendet, um eine Verbindung mit dem Webserver unter der Adresse w2.x2.y2.z2 herzustellen, wird ein IP-Paket mit den folgenden Informationen erstellt:

Dieses IP-Paket wird dem NAT-Protokoll übergeben, das die Adressen des ausgehenden Pakets wie folgt ändert:

Das NAT-Protokoll zeichnet die Zuordnung von {192.168.0.10, TCP 1025} zu {w1.x1.y1.z1, TCP 5000} in einer Tabelle auf.

Das so übersetzte IP-Paket wird über das Internet gesendet. Die Antwort wird zurückgesendet und vom NAT-Protokoll empfangen. Beim Empfang enthält das Paket die folgenden Informationen zur öffentlichen Adresse:

Das NAT-Protokoll schlägt in der Übersetzungstabelle nach, setzt die öffentlichen Adressen wieder auf die privaten Adressen um und übermittelt das Datenpaket an den Computer unter der Adresse 192.168.0.10. Das übermittelte Datenpaket enthält die folgenden Adressinformationen:

Bei Datenpaketen, die vom NAT-Protokoll ausgehen, wird die IP-Quelladresse (eine private Adresse) auf die vom ISP zugewiesene Adresse (eine öffentliche Adresse) gesetzt, und die TCP- bzw. UDP-Portnummern werden auf andere TCP- bzw. UDP-Portnummern umgesetzt.

Bei Datenpaketen, die vom NAT-Protokoll empfangen werden, wird die IP-Zieladresse (eine öffentliche Adresse) auf die ursprüngliche Adresse im Intranet (eine private Adresse) gesetzt, und die TCP- bzw. UDP-Portnummern werden auf die ursprünglichen TCP- bzw. UDP-Portnummern zurückgesetzt.

Anmerkung

13.3.1 Konfiguration einer weitergeleiteten Verbindung in Windows 2000-Netzwerken:

 

Bei einer übersetzten Verbindung dient der Windows 2000 Server-Computer als NAT (Netzwerkadressübersetzer), d. h., als IP-Router, der die Adressen der Pakete übersetzt, die zwischen den SOHO-Hosts und den Internethosts weitergeleitet werden.

 

Sie können die folgenden IP-Adressen des InterNIC als IDs für private IP-Netzwerke verwenden: 10.0.0.0 mit der Subnetzmaske 255.0.0.0, 172.16.0.0 mit der Subnetzmaske 255.240.0.0 und 192.168.0.0 mit der Subnetzmaske 255.255.0.0. In der Standardeinstellung wird bei der Netzwerkadressübersetzung die Netzwerkkennung 192.168.0.0 mit der Subnetzmaske 255.255.255.0 für das private Netzwerk verwendet.

 

So aktivieren Sie die Adressierung für die Netzwerkadressübersetzung:

  1. Öffnen Sie Routing und RAS.
  2. Klicken Sie in der Konsolenstruktur auf Verbindungsfreigabe (NAT).

o  Servername

o        IP-Routing

o        NAT

  1. Klicken Sie mit der rechten Maustaste auf Verbindungsfreigabe (NAT), und klicken Sie auf Eigenschaften.
  2. Aktivieren Sie auf der Registerkarte Adressierung das Kontrollkästchen Automatische Adresszuweisung für Computer des privaten Netzwerks.
  3. Konfigurieren Sie ggf. unter Vom Netzwerk zuweisen und Mit Hilfe der Netzwerkmaske den Bereich der IP-Adressen, die den DHCP-Clients im privaten Netzwerk zugeordnet werden sollen.
  4. Klicken Sie ggf. auf Ausschlüsse, konfigurieren Sie die Adressen, die von der Zuordnung zu DHCP-Clients im privaten Netzwerk auszuschließen sind, und klicken Sie dann auf OK.

Wenn Sie eine öffentliche IP-Adresse verwenden, die Ihnen nicht vom InterNIC oder Ihrem Internetdienstanbieter zugewiesen wurde, verwenden Sie möglicherweise die IP-Netzwerkkennung einer anderen Organisation im Internet. Dies ist auch als ungültige oder überlappende IP-Adressierung bekannt. Wenn Sie überlappende IP-Adressen verwenden, können Sie die Internetressourcen, die sich an diesen Adressen befinden, nicht erreichen. Wenn Sie z. B. die Adresse 1.0.0.0 mit der Subnetzmaske 255.0.0.0 verwenden, können Sie die Internetressourcen der Organisation, die das Netzwerk 1.0.0.0 verwendet, nicht erreichen.

 

Sie können auch bestimmte IP-Adressen aus dem eingestellten Bereich ausschließen. Die ausgeschlossenen Adressen werden keinem Host im privaten Netzwerk zugewiesen.

 

Wenn Sie eine einzelne öffentliche IP-Adresse verwenden, die Ihnen vom Internetdienstanbieter zugewiesen wurde, müssen Sie keine Änderung an der IP-Adresskonfiguration vornehmen. Wenn Sie mehrere von Ihrem Internetdienstanbieter zugewiesene IP-Adressen verwenden, müssen Sie die NAT-Schnittstelle (Netzwerkadressübersetzung) auf den IP-Adressbereich einstellen. Sie sollten feststellen, ob sich der IP-Adressbereich, der Ihnen vom Internetdienstanbieter zugewiesen wurde, als Kombination aus IP-Adresse und Subnetzmaske ausdrücken lässt.

 

Wenn Ihnen eine Reihe von Adressen zugewiesen wurde, die eine 2er-Potenz darstellt (also 2, 4, 8, 16 usw.), können Sie diesen Bereich als Kombination einer einzelnen IP-Adresse und einer Subnetzmaske ausdrücken. Wenn Sie von Ihrem Internetdienstanbieter z. B. die öffentlichen IP-Adressen 200.100.100.212, 200.100.100.213, 200.100.100.214 und 200.100.100.215 erhalten haben, können Sie diese vier Adressen als 200.100.100.212 mit der Subnetzmaske 255.255.255.252 ausdrücken.

Wenn sich die IP-Adressen nicht als Kombination einer einzelnen IP-Adresse und einer Subnetzmaske ausdrücken lassen, können Sie sie als Bereich oder Reihe von Bereichen eingeben, indem Sie jeweils die erste und die letzte IP-Adresse angeben.

 

Beim typischen Einsatz der Netzwerkadressübersetzung (NAT) bei Anwendern zu Hause oder in einem kleineren Unternehmen sind lediglich ausgehende Verbindungen vom privaten Netzwerk in das öffentliche Netzwerk zulässig. Programme, z. B. Webbrowser, die im privaten Netzwerk ausgeführt werden, bauen Netzwerkverbindungen zu Ressourcen im Internet auf. Der gegenläufige Datenverkehr aus dem Internet kann die NAT überqueren, da die Verbindung aus dem privaten Netzwerk heraus initiiert wurde.

 

Wenn Sie den Zugriff auf Ressourcen im privaten Netzwerk aus dem Internet heraus freigeben möchten, führen Sie die folgenden Schritte durch:

Möglicherweise müssen Anwendungen und Dienste konfiguriert werden, damit sie im Internet fehlerfrei funktionieren. Wenn z. B. die Anwender im Netzwerk in einem kleinen Büro oder zu Hause (auch bekannt als SOHO = Small Office/Home Office) das Spiel Diablo mit anderen Anwendern im Internet spielen möchten, muss die Netzwerkadressübersetzung für die Anwendung Diablo konfiguriert werden.

.

13.3.2 VPN-Verbindungen von einem SOHO-Netzwerk mit Netzwerkadressübersetzung

Wenn Sie mit Hilfe einer VPN-Verbindung (virtuelles privates Netzwerk) von einem SOHO-Netzwerk mit Netzwerkadressübersetzung auf ein privates Intranet zugreifen möchten, können Sie das Point-to-Point-Tunneling-Protokoll (PPTP) verwenden und die VPN-Verbindung vom Host im SOHO-Netzwerk zum VPN-Server des privaten Intranets im Internet herstellen. Das NAT-Routingprotokoll verfügt über einen NAT-Editor für PPTP-Datenverkehr. Über einen NAT-Computer können keine Verbindungen mit dem Layer-2-Tunneling-Protokoll (L2TP) auf Internet Protocol Security (IPSec) aufgebaut werden.

 

 

 


 

13.4 Proxy-Server

13.4.1 Grundlagen

Ein Proxy-Server ist eine Software, die auf dem PC installiert ist, der den Internet-Zugang besitzt. Es kann sich hier um einen Wählzugang (Modem, ISDN-Karte) oder um einen Standleitungszugang (ADSL, Kabelmodem, Powerline) handeln.

Diese Software erfüllt verschiedene Aufgaben:

13.4.2 Marktüberblick:

Beispiele für Proxy Server, oft kombiniert mit NAT- und Firewall-Technologie::

 

13.4.3 Funktionsweise eines Proxy Servers

Beim WWW-Caching werden Dokumente, die von einem Browser angefordert werden, nicht direkt beim ursprünglichen Server geholt, sondern via einem so genannten Proxy-Server, der möglichst in der Nähe des Browsers installiert ist. Der Proxy-Server ist im Prinzip ein riesiges Reservoir an (kürzlich) angeforderten Dokumenten, welche vom Server in bezug auf ihre Aktualität verwaltet werden und allen Browsern zur Verfügung stehen, welche den Proxy-Server benutzen. Falls der Proxy-Server ein Dokument noch nicht kennt, oder die bekannte Version in bezug auf bestimmte Kriterien veraltet ist, so fordert er die aktuelle Version selbständig beim ursprünglichen Server an und schickt sie an den anfragenden Browser weiter. Damit kann der Netzwerkverkehr wesentlich reduziert werden, insbesondere dann, wenn viele Browser den gleichen Proxy-Server benutzen und/oder wenn dieselben Dokumente immer wieder von weit her geholt werden müssen (z.B. aus den USA). Der Betrieb eines Proxy-Servers ist somit nicht nur aus Kostengründen sehr vorteilhaft, er führt bei „bekannten“ Dokumenten auch zu wesentlich kürzeren Antwortzeiten.

Ein Proxy-Server (engl. Proxy: Stellvertreter, Bevollmächtigter), auch Application Level Gateway genannt, erlaubt dem Netzwerk-Administrator die Installation von strengeren Sicherheitsregeln als dies bei einem Paketfilterungs-Router möglich ist. Der Server dient als sicheres Gateway zwischen einem privaten und einem öffentlichen (ungesicherten) Netz. Als Gateway bezeichnet man entweder die Software, die eine Verbindung zwischen zwei Netzwerken herstellt, oder den Computer, auf dem diese Software ausgeführt wird.

Ein Proxy-Server dient nebenbei zur Zwischenspeicherung von Web-Inhalten und kann als erweiterbare Firewall verwendet werden. Das ermöglicht gleichzeitig Datensicherheit und einen schnelleren Zugriff auf Internetinhalte. Der Proxy hat dabei zwei Gesichter: Für den lokalen Client operiert er beim Abruf eines Web-Dokuments wie ein Webserver. Gegenüber dem entfernten Internet-Server tritt er wie ein Webclient auf. Proxy-Server sprechen aber nicht nur HTTP, sondern beherrschen auch Dienste wie FTP, POP3 oder IRC - allerdings abhängig vom jeweiligen Produkt. Da sie als einziger Knotenpunkt zwischen lokalem und globalem Netz geschaltet sind, schützen sie zudem die lokalen Clients. Denn nur der Proxy-Server ist Angriffen von außen ausgesetzt. Die Clients liegen "unsichtbar" hinter ihm.

Vorteile eines Proxy-Servers

Das Betriebssystem auf Client-Seite spielt prinzipiell keine Rolle. Nur spezielle Funktionen wie beispielsweise eine automatische Konfiguration der Clients oder das Trennen einer Internet-Verbindung vom Client funktionieren lediglich von Windows-Clients aus.

Daneben lässt sich für jeden Dienst wie FTP oder HTTP ein separater Proxy einrichten. Unerwünschte Dienste filtert der Proxy heraus. Zudem findet kein direkter Paketfluss zwischen internen und externen Rechnern statt.

13.4.4 Methode

Ein Proxy-Server hat im wesentlichen die folgenden Eigenschaften:

 

13.4.5 Firewalls

Eine Firewall in Computern ist eine logische Vorrichtung, die ein privates Netz vor dem öffentlichen Teil (Internet) schützt.

 

Funktionsprinzip:

Ein Computer mit installierter Routing-Software und 2 Schnittstellen (z.B. serielle Schnittstellen, Ethernet, Token Ring, usw.). Das Internet ist mit einer Schnittstelle verbunden, das zu schützende private Netz mit der anderen Schnittstelle. Jetzt, haben Sie zwei verschiedene Netze, die sich einen Computer teilen.

Der Firewall-Computer, von jetzt an »Firewall« genannt, kann beide Seiten erreichen, das geschützte private Netz und das Internet. Niemand aus dem geschützten Netz kann das Internet erreichen, und aus dem Internet kann niemand in das geschützte Netz.

Damit jemand das Internet vom geschützten Netz aus erreichen kann, muß er eine Telnet-Verbindung zum Firewall aufbauen und das Internet von dort aus benutzen. Entsprechend, um eine Verbindung vom Internet aus in das geschützte Netz zu bekommen, muß man auch durch den Firewall gehen.

Dieses stellt eine ausgezeichnete Sicherheit gegen Angriffe aus dem Internet dar. Falls jemand einen Angriff gegen das geschützte Netz machen will, muß er zuerst durch den Firewall gehen. Ein 2-stufiger Zugang zum gesicherten Netz ist resistent gegen Angriffe. Falls jemand das geschützte Netz über eine gemeinere Methode angreifen will, wie z.B. Mail-Bombe oder den berüchtigten »Internet Wurm«, werden sie nicht in der Lage sein das geschützte Netz zu erreichen. Dies ist ein ausgezeichneter Schutz.

 

Nachteile einer Firewall

Das größte Problem einer Firewall ist, dass er den Zugang zum Internet von der Innenseite kommend stark hemmt. Grundsätzlich reduziert er den Gebrauch des Internets dahingehend, als ob man nur einen „Dial-Up Shell Zugang“ haben würde. Sich in den Firewall einloggen zu müssen, um vollen Internet-Zugang zu haben ist eine starke Beeinschränkung.

 

Programme wie Netscape, die eine direkte Internet-Verbindung benötigen, werden hinter einem Firewall nicht arbeiten. Die Antwort zu diesem Problem hat ein Proxy-Server. Proxy-Server erlauben ein direktes Erreichen des Internets hinter einem Firewall.

Um die Möglichkeit, von einem Computer im geschützten Netz mit Netscape im Web zu lesen, anbieten zu können, setzt man einen Proxy-Server auf den Firewall auf. Der Proxy-Server würde so konfiguriert werden, dass ein Computer vom eigentlichen Port 80 des Firewalls zum Port 1080 des Proxy verbunden wird, um alle Verbindungen zu den richtigen Adressen umzuleiten.

 

Der große Vorteil von Proxy-Servern ist die absolute Sicherheit, wenn sie korrekt konfiguriert sind. Sie werden niemanden erlauben sie zu umgehen. Der Proxy-Server ist vor allem eine Sicherheitsvorrichtung. Seine Benutzung für einen Internet-Zugang mit begrenzten IP-Adressen wird viele Nachteile haben.

 

Ein Proxy-Server bietet Zugang von innerhalb des geschütztes Netzes zur Außenseite, aber die Innenseite wird völlig unerreichbar für die Außenseite bleiben. Dieses bedeutet keine Server-, Talk- oder Archie-Verbindungen, oder direkte Emails zu den Computern im geschützten Netz. Diese Nachteile können gering erscheinen, aber bedenken sie: Es liegt ein Dokument auf Ihrem Computer innerhalb eines per Firewall geschütztem Netzes.

 

FTP verursacht ein anderes Problem mit einem Proxy-Server. Beim Absenden des ls-Befehls, öffnet der FTP-Server einen Port auf der Kundenmaschine und übermittelt die Information. Ein Proxy-Server wird das nicht erlauben, somit arbeitet FTP nicht zuverlässig. Proxy-Server arbeiten langsam. Wegen dem größeren Protokollaufwandes werden fast alle anderen Mittel, um einen Internet-Zuganges zu bekommen, schneller sein.

 

Grundsätzlich, falls Sie ausreichend IP Adressen haben und ihnen macht die Sicherheit keine Sorgen, wird kein Firewall und/oder Proxy-Server benutzt. Falls Sie zu wenig IP Adressen haben und ihnen macht die Sicherheit keine Sorgen, wird man eher einen IP-Emulator benutzen wie Term, Slirp oder TIA. Diese Pakete arbeiten schneller, erlauben bessere Verbindungen, und stellen ein hochwertigen Zugang vom Internet zum geschützten Netz bereit.

 

Proxy-Server sind gut für jene Netzwerke mit vielen Hosts, welche einen transparenten Internetzugang wollen. Sie benötigen nur eine kleine Konfiguration und wenig Verwaltungsarbeit im laufenden Betrieb.

Funktion und Prinzip einer Firewall:

Es gibt zwei Arten von Firewalls.

  1. IP oder Filter Firewalls - die alles sperren bis auf ausgewählten Netzwerkverkehr
  2. Proxy-Server - die einem die Netzwerkverbindung übernehmen

a) IP Filter Firewalls

Ein IP Filter Firewall arbeitet auf Paket-Ebene, er ist so konstruiert, dass er den Datenstrom kontrolliert auf Grund von Ursprung, Ziel, Port und Paket-Typ-Information die in jedem Daten-Paket enthalten sind.

Diese Art des Firewalls ist sehr sicher, aber es mangelt an einer brauchbaren Protokollierung. Er verbietet den Zugang zum privaten Netzwerk aber es wird nicht protokolliert wer auf das private Netzwerk zugreifen will oder wer vom privaten Netz Zugriff ins Internet haben will.

 

Filter Firewalls sind absolute Filter. Gibt man einem von außen den Zugriff auf das private Netz hat automatisch jeder Zugriff darauf.

 

In Linux ist packet-filtering-software seit Kernel 1.2.13 enthalten

b) Proxy Server

Proxy Server erlauben indirekten Zugang zum Internet durch den Firewall. Als Beispiel zur Funktion startet man einen Telnet zu einem System um von dort aus einen Telnet zu einem anderen zu starten. Nur mit einem Proxy-Server kann man diesen Vorgang automatisieren. Wenn man mit einer Client-Software einen connect zum Proxy-Server macht, startet der automatisch seine Client(Proxy)-Software und reicht die Daten durch.

 

Weil Proxy-Server ihre Kommunikation duplizieren, können sie alles mitprotokollieren was sie tun.

Der große Vorteil von Proxy-Server ist, sofern sie korrekt konfiguriert sind, dass sie absolut sicher sind. Sie erlauben keinem ein Durchkommen. Sie haben keine direkten IP-Routen.

 

13.4.6 Beispiel: Winproxy 4.0

 

WinProxy bietet Ihnen alles, was Sie benötigen, um alle Ihre Computer gleichzeitig mit Hilfe einer einzigen Internetverbindung und Ihrem gewohnten Internet Service Provider mit dem Internet zu verknüpfen. Außerdem enthält WinProxy innovative Funktionen, wie z. B. die integrierte Firewall, einen zentralisierten Virenschutz, Webseitenfilter und Anwenderprivilegien, die Ihnen vollständige Kontrolle über Ihren Internetzugang geben.


 

13.4.7 Beispiel: Installation von WinGate 4.4 als Proxyserver

 

 

 

 

           

 

 

13.4.8 Beispiel: squid für Linux

Vorteile von Squid

Die Zeitersparnis kommt dadurch zustande, dass Daten, die sich im Cache befinden, rasch über die schnellen Intranetleitungen transportiert werden, anstelle über langsame Internetleitungen. Weiterhin kann die zu übertragende Datenmenge zu überlasteten Servern minimiert werden. Hier bringt z.B. bei Newsseiten Erleichterung, dass die meist recht vielen grafischen Icons sich lange nicht ändern, direkt aus dem Cache kommen, und so nur Text übrigbleibt. So ist man in der Lage, nicht nur sich selbst und seinem Geldbeutel einen Gefallen zu tun, sondern z.B auch den anderen Mitgliedern des Hausnetzes, die um jedes Byte, das mehr auf der Telefonleitung frei ist, froh sein werden.

Viele von Ihnen ärgern bestimmt die häufigen Aussetzer von Netscape, bei denen alle Fenster des Browsers betroffen sind. Sobald eine DNS-Abfrage länger dauert, lässt sich der Seiteninhalt nicht mehr scrollen und wird auch nicht mehr aktualisiert. Dies führt dazu, dass man während der manchmal recht langen Zeit gar nichts mit Netscape anfangen kann, da es nicht einmal möglich ist, bereits fertig dargestellte Seiten zu lesen. Zumindest wenn man mehrere Fenster übereinander, iconisiert oder auf einer anderen Seite des Windowmanager liegen hat. Hier kann Squid weiterhelfen, denn Netscape stellt seine Anfrage nun an den lokal gut zu erreichenden Squid-Server und ist von der DNS-Problematik befreit.

Squid verfügt über sogenannte "Access Lists", kurz acl. In diese kann man Rechner, Subnetze, Protokolle, Ports, URLs etc. aufnehmen. Sobald eine acl definiert ist, kann diese benutzt werden, um den Zugang zu ermöglichen oder zu sperren. So ist es in einer Firma z.B. sehr einfach zu realisieren, dass die Rechner aller Mitarbeiter in der Mittagspause surfen können. Während der Arbeitszeit hingegen bleibt der Zugang denen vorbehalten, die ihn benötigen. Hierzu wird neben dem Webcache noch ein Firewall gebraucht der verhindert, dass alle Rechner freien Zugang in und aus dem Netz heraus besitzen.

Durch die Möglichkeit komplette URLs und reguläre Ausdrücke in acl-Listen aufzunehmen, können komplette WWW-Server gesperrt werden oder solche bei denen bestimmte Schlüsselwörter im URL auftreten.

Eine weiter schöne Einsatzmöglichkeit liegt darin, ohne sich mit IP-Masquerading befassen zu müssen, weiteren Rechnern den Zugang zum WWW bereitzustellen. Hierzu wird Squid einfach auf dem Rechner installiert der für den Verbindungsaufbau zuständig ist. Die Konfiguration für Squid ändert sich dadurch nicht.

Durch die von Squid erstellten Logdateien lassen sich mittels diverser Skripte Übersichten erstellen, die einige interessante Statistiken erfassen. So können alle WWW-Server, auf die zugegriffen wurde, mit Anzahl, Menge und Art der Abfragen eingesehen werden. Eine aktuelle Liste dieser Skripte kann man auf der offiziellen Squid Webseite http://squid.nlanr.net/ finden. Sie sind zumeist von Anwendern für private Zwecke geschrieben worden, daher nicht in das Squid-Paket integriert und müssen "von Hand" installiert werden.

Sobald Squid WWW-Anfragen der User weiterleitet, wird ein "forwarded for xyz" in den HTTP-Header eingefügt. Diese Informationen kann der WWW-Server speichern und verarbeiten. Um zu verhindern, dass Nutzerprofile angelegt werden, kann die Konfiguration so umgestellt werden, dass diese Informationen nicht verschickt werden bzw. einen fest definierten Wert erhalten. Je nach Konfiguration speichert Squid in seinen eigenen Logdateien aber noch, für welche Rechner er die Daten herausgegeben hat. Dies kann für alle diejenigen wünschenswert sein, die auf eine Kontrolle bzw. einen Beleg angewiesen sind. Dabei sollten aber alle Aspekte des Datenschutzes beachtet werden. Falls man andererseits die Privatssphäre seiner Benutzer schützen will, kann dies durch eine entsprechende Konfiguration auch gewährleistet werden.

Nachteile von Squid

Squid teilt gespeicherte Daten in die zwei Klassen FRESH und STALE ein. Diese Einteilung wird mittels mehrere Regeln und dem Zeitpunkt der Übertragung sowie des Alters des Dokuments bestimmt. Solange ein Objekt FRESH ist, wird es bei einer erneuten Anfrage sofort aus dem Cache ausgeliefert. Ansonsten werden verschiedene Maßnahmen eingeleitet um zu überprüfen, ob das gespeicherte Objekt noch aktuell ist. Trotzdem kann es vorkommen, dass Objekte ausgeliefert werden, die nicht mehr dem letzten Stand entsprechen. Dies tritt vor allem bei Seiten ein, die sich täglich oder stündlich ändern. Wenn man den Verdacht hat, dass die dargestellte Seite nicht aktuell ist sollte man in Netscape, falls ein Reload erfolglos ist, mittels Shift-Reload einen neuen kompletten Download erzwingen.

Leider kann mit Shift-Reload kein neues Laden eines Links erzwungen werden. Diese Designschwäche des Browsers kann zu ärgerlichen Ergebnissen führen. Stellen Sie sich einmal vor, Sie wollen eine Liveübertragung eines Fußballspieles per Realaudio verfolgen. Die dazu nötige .ra-Datei ist über einen Link zugänglich und beim Anklicken wird das Realvideo-Plug-in aktiv. Weiterhin befindet sich vor der eigentlichen Übertragung ein Ankündigungstrailer unter diesem Link. Ist man nun etwas früh, hat man folgendes Problem: Der Trailer befindet sich im Cache und ist FRESH. Daher wird dieser, sobald man wieder auf den Link klickt, vom Cache ausgeliefert, obwohl die Übertragung jetzt läuft. Da man kein neues Laden über den Browser erzwingen kann, befindet man sich in der Situation, dass es nur möglich ist die Übertragung zu verfolgen, wenn man für alle Fenster des Browsers den Cache abschaltet. Um dem Ganzen aus dem Weg zu gehen, muss man dem Cache mitteilen, welche Dateitypen er nicht cachen soll. In der Standardkonfiguration befinden sich nur cgi und ? in dieser Liste. Sie sollte also nach Bedarf um all die Dateitypen erweitert werden, die nur per Links zugänglich sind.

Systemvoraussetzungen

Für den Betrieb von Squid bieten sich alte Rechner wie ein 486er geradezu an. Mit wenigen Mitteln kann man aus seinem alten Rechner ein schönes Gateway machen, das gleichzeitg für Verbindungsaufbau, Firewall und den Webcache zuständig ist. Man sollte nur darauf achten, dass dem Rechner genügend Hauptspeicher zur Verfügung steht. In diesem Fall fehlen eventuell nur noch ein oder zwei Netzwerkkarten, die es heute aber auch schon sehr günstig gibt.

Wenn möglich, sollte man dem Rechner zwei Festplatten spendieren, eine für das System und die andere auf der die Daten von Squid liegen. Dies sollte unbedingt der Fall sein, wenn der Rechner häufig swapt, weil er zuwenig Hauptspeicher besitzt. Squid läuft auf quasi allen Unix-Betriebssystemen. Auf der Tagungs-CD-ROM ist ein Binary-RPM für Red Hat 5.2 enthalten, das Sie recht einfach als root mittels rpm -i dateiname installieren können. In der Delix DLD-Distribution, die sich auf der CD-ROM zum LinuxTag '99 befindet, ist das Paket leider nur in einer etwas älteren Version verfügbar. Für die Betreiber von anderen oder älteren Systemen ist auch ein Source-RPM vorhanden. Mit dessen Hilfe können Sie ein für Ihr System passendes Binary-RPM erzeugen.

Wichtigste Konfigurationsoptionen

Im folgenden Abschnitt finden Sie die wichtigsten Konfigurationsoptionen aus der Datei etc/squid.conf, mit deren Hilfe Sie Ihren Cache grundlegend konfigurieren können. Die folgenden Optionen sind dem Konfigurationsfile der Version 2.1 entnommen.

# NETWORK OPTIONS
# -----------------------------------------------------------------------------
 
#  TAG: http_port
#http_port 3128

Mittels des http_port stellen Sie ein, unter welcher Portnummer auf Ihrem Rechner Squid zu erreichen ist (siehe Einführung).

# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
 
 
#  TAG: cache_mem       (bytes)
#cache_mem  8 MB
 
#  TAG: maximum_object_size     (bytes)
#maximum_object_size 4096 KB
 

Durch cache_mem wird festgelegt, wieviel Speicher für In-Transit-Objekte zur Verfügung steht. Dies sind alle Daten, die in Übertragung begriffen sind. Zeitweilig kann diese Größe überschritten werden, falls z.B eine tar.gz-Datei heruntergeladen wird, die größer als der cache_mem-Wert ist.

maximum_object_size legt die maximal Größe einer Datei fest, die noch im Cache gspeichert wird. Beide Optionen sollten an Bedarf und Systemressourcen angepasst werden. Es macht z.B keinen Sinn, den gesamten Hauptspeicher als Größe anzugeben, zumal wenn Squid auf dem Arbeitsrechner läuft.

 

# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
 
 
#  TAG: cache_dir
#cache_dir /usr/local/squid/cache 100 16 256
 
#  TAG: cache_access_log
#cache_access_log /usr/local/squid/logs/access.log
 
#  TAG: cache_log
#cache_log /usr/local/squid/logs/cache.log
 
#  TAG: cache_store_log
#cache_store_log /usr/local/squid/logs/store.log
 
#  TAG: cache_swap_log
#cache_swap_log
 
#  TAG: pid_filename
#pid_filename /usr/local/squid/logs/squid.pid

 

Falls eine extra Festplatte/Partition für die Daten zur Verfügung steht, empfiehlt es sich, die Logdateien ebenfalls dort abzulegen. Dementsprechend müssen die Pfade angepasst werden, z.B. /mnt/proxy/....

Die Datei swap.state darf unter keinen Umständen gelöscht werden, da darin die Informationen gespeichert werden, wo auf der Festplatte die Daten des Caches abgelegt sind. Diese Datei wird beim Neustart von Squid verwendet, um wieder auf die gespeicherten Daten zugreifen zu können. In den anderen Datein sind Informationen, Zugriffe und Status verzeichnet.

#  TAG: ident_lookup    on|off
#ident_lookup off

 

Mittels dieser Option ist es möglich, eine Abfrage des Nutzernamens beim Client durchzuführen und im Log zu speichern.

 
#  TAG: client_netmask
#client_netmask 255.255.255.255

 

Um einen entsprechenden Datenschutz für die Benutzer im Log zu erreichen, kann man die IP-Nummern der Rechner ähnlich wie Telefonnummern auf einer Telekomrechnung um beliebige Stellen kürzen. Mittels

 
client_netmask 255.255.255.0 

 

erreicht man z.B., dass aus 194.162.83.24 194.162.83.0 wird und die letzten acht Bit der IP-Adresse verloren gehen. Die wahre IP-Nummer wird dabei einfach mit client_netmask durch die logische und-Funktion verknüpft, bevor sie im Log gespeichert wird.

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------
 
 
#  TAG: dns_children
#dns_children 5

 

Die dns_children sind dazu da, die Nameserverabfragen zu übernehmen. Bei normaler Benutzung kann man diese Option unverändert lassen. Falls der Cache dafür gedacht ist vielen Leuten zu dienen, und diese über eine langsame Leitung angebunden sind, sollte die Anzahl eventuell erhöht werden. Die Programmierer empfehlen für einen sehr stark ausgelasteten Cache mindestens 10. Der Maximalwert beträgt 32. Man sollte aber bedenken, dass jeder weitere DNS-Prozess etwa 100kB Hauptspeicher belegt.

 
# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
 
 
#  TAG: reference_age
#reference_age 1 month

Beim Aufräumen des Caches werden alle Objekte entfernt, die ihr maximales Alter erreicht haben. Wenn reference_age auf einen Monat eingestellt ist, werden alle Objekte entfernt, auf die seit einem Monat nicht mehr zugegriffen wurde.

#  TAG: quick_abort_min (KB)
#  TAG: quick_abort_max (KB)
#  TAG: quick_abort_pct (percent)
#quick_abort_min 16 KB
#quick_abort_max 16 KB
#quick_abort_pct 95

 

Squid ist in der Lage, Dateien, deren Übertragung er begonnen hat, auch nach dem Beenden bzw. Stoppen des Browsers durch den Benutzer fertig zu laden, falls sie bestimmten Kriterien genügen. Falls weniger als quick_abort_min Kilobyte von der Übertragung übrig bleiben, wird diese fortgesetzt. Wenn mehr als quick_abort_max Kilobyte zu laden sind, wird der Transfer abgebrochen. Die letzte Bedingung quick_abort_pct legt fest, wieviel Prozent der Übertragung abgeschlossen sein müssen, um diese fortzusetzen.

Die quick_abort-Funktionalität hat Ihre Stärken und Schwächen. Durch die fortgesetzte Übertragung kann es, vor allem auf langsamen Leitungen wie Wählverbindungen, zu Engpässen und starker Verlängerung der Transferzeiten kommen. Andererseits sind dann vollständige Daten im Cache auch für andere Benutzer abrufbar. Der Standardnutzer sollte die quick_abort-Funktion abstellen. Dies geschieht durch

quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 100 
# TIMEOUTS
# -----------------------------------------------------------------------------
 
 
#  TAG: request_timeout
#request_timeout 30 seconds

Bei stark ausgelasteten Leitungen bietet es sich an, den Timeout nach Bedarf anzupassen.

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
 
 
#  TAG: acl
#Defaults:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl CONNECT method CONNECT
 
#  TAG: http_access
#Default configuration:
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access deny all

 

Access Control Lists, kurz acl, werden nach folgendem Syntax definiert:

acl aclname acltyp string1 ...
acl aclname acltyp datei ...

In einer Datei sollte nur eine Regel pro Zeile eingetragen werden. Die unterschiedlichen acltypen sind:

src

Fasst Herkunfts-IP-Adressen zusammen.
IP-Adresse/Netzmaske ... (Client-IP-Adresse)
Addr1-Addr2/Netzmaske ... (Bereich von Adressen)

dst

Fasst Ziel-IP-Adressen zusammen.

srcdomain

Herkunftsdomain.

dstdomain

Zieldomain.

srcdom_regex

Regulärer Ausdruck angewendet auf den Client.

dstdom_regex

Regulärer Ausdruck angewendet auf den Server.

url_regex

Regulärer Ausdruck, der auf den ganzen URL angewendet wird.

urlpath_regex

Regulärer Ausdruck, der auf den Pfad des URL angewendet wird.

time

Tages und Zeitbereichsangabe Tag h1:min1-h2:min2. Die erste Zeitangabe muss kleiner als die zweite sein. Tag:

M

Montag

T

Dienstag

W

Mittwoch

H

Donnerstag

F

Freitag

A

Samstag

S

Sonntag

port

Portnummern

proto

Protokoll

method

Methoden wie GET, POST, ...

browser

regular expression

ident

Benutzername

http_access erlaubt oder sperrt den Zugriff auf Squid durch Access-Lists. Zugriff auf den HTTP-Port:

http_access allow|deny [!]aclname

Wenn keine http_access-Zeile vorhanden ist, wird die Anfrage grundsätzlich erlaubt. Wenn keine http_access-Zeile auf einen Anfrage angewendet werden kann, wird das Gegenteil der letzten Regel in der Liste angewendet. Die Regeln werden eine nach der anderen von oben nach unten abgearbeitet, bis eine Regel zutrifft. Danach folgende Regeln werden nicht mehr berücksichtigt. Innerhalb einer acl sind die Elemente mit oder und bei http_access mit und verknüpft.

Nehmen wir einmal an, der Zugang zum WWW soll für zwei Benutzergruppen reglementiert werden.

acl standard src 194.246.68.1-194.246.68.100/255.255.255. 194.246.68.102/255.255.255.255
acl privilegiert src 194.246.68.101/255.255.255.255 194.246.68.103/255.255.255.255
acl Mittagspause 12:00-13:00
 
http_access allow Mittagspause standard
http_access deny standard
http_access allow privilegiert
http_access deny all
 

Mit dieser Konfiguration werden die Standard-Nutzer nur zur Mittagspause freigeschaltet, während die privilegierten Nutzer jederzeit Zugriff besitzen. Alle diejenigen IP-Nummern, die durch die Listen nicht abgedeckt werden, haben keinen Zugriff.

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------
 
 
#  TAG: cache_mgr
#cache_mgr webmaster

Hier muss die E-Mail-Adresse desjenigen eingetragen werden, der die Administration von Squid übernommen hat.

# MISCELLANEOUS
# -----------------------------------------------------------------------------
 
 
#  TAG: dns_testnames
#dns_testnames netscape.com internic.net nlanr.net microsoft.com

Mit den eingetragenen Domains wird die DNS-Abfrage überprüft. Sobald der erste erfolgreiche DNS-Lookup gelingt, wird der Test erfolgreich abgebrochen. Ansonsten wird nach einer gewissen Zeit Squid beendet (z.B falls die Leitung gerade nicht aufgebaut ist). Um den DNS-Test zu unterbinden, muss Squid mit squid -D gestartet werden.

#  TAG: append_domain
#append_domain .yourdomain.com

append_domain dient der Bequemlichkeit und ermöglicht es im Browser Rechnernamen des lokalen Netzes ohne Domainnamen anzugeben. Squid ergänzt diese automatisch um die Zeichenkette in append_domain. Also z.B append_domain .unix-ag.uni-kl.de. Aus http://sushi wird somit http://sushi.unix-ag.uni-kl.de.

#  TAG: memory_pools    on|off
#memory_pools on

Wenn memory_pools aktiviert ist, behält Squid ungenutzten zugewiesenen Speicher für zukünftigen Gebrauch, anstatt ihn wieder freizugeben. Wenn der Rechner über wenig Speicher verfügt, sollte man memory_pools abschalten.

#  TAG: forwarded_for   on|off
#forwarded_for on

Standardmäßig leitet Squid die IP-Nummer oder den Namen eines Rechners, für den eine Anfrage bearbeitet wird, zum WWW-Server weiter.

forwarded_for off
#  TAG: http_anonymizer
#http_anonymizer off

Mittels http_anonymizer lässt sich konfigurieren, wieviele HTTP-Header gefiltert werden. Es gibt die drei Einstellungen off, standard und paranoid. Mit standard werden die wichtigsten Header unterdrückt, mit paranoid hingegen fast alle.

Unter Version 2.2 wurde diese Option dahingehend verändert, dass nun die einzelnen Header, die erlaubt oder unterdrückt werden sollen, direkt angegeben werden können.

Squid starten

Nach den Änderungen an der Datei muss der Squid neu gestartet werden sofern er schon läuft. Dies geschieht am einfachsten mit dem Befehl /sbin/init.d/squid restart.

Damit Squid bei jedem Start Ihres Linux-Rechners automatisch gestartet wird, setzen Sie in der Datei /etc/rc.config den Wert von START_SQUID auf yes.

Logdateien rotieren

Um eine Rotation der Logdateien auszuführen, können Sie squid -k rotate verwenden.

Squid rekonfigurieren

Nach einer Änderung an der Konfiguration ist es möglich mittels squid -k reconfigure ein Neueinlesen einzuleiten.

Squid beenden

Benutzen Sie einfach squid -k shutdown, um Squid nach ungefähr einer halben Minute terminieren zu lassen.


 

13.5 Quellen

 

www.tecchannel.de

http://www.zdnet.de/technik/artikel/swp/200006/proxy_01-wc.html

 

 


 

14 Routing und RAS unter Windows Server 2003 – Konfigurationsbeispiele

 

14.1 Übersicht über die Routing- und RAS-Eigenschaften

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

14.2 DHCP-Relay-Agent:

 

als Routingprotokoll installieren

 

 

 

14.3 Server als Internetverbindungsserver

 

Option "Router mit NAT-Routingprotokoll einrichten"

 

 

 

 

 

 


 

14.4 Server als RAS-Server

 

 

 

 

 

 


 

14.5 Server als VPN-Server