Netzwerksysteme und Cybersecurity

Folien für das 3. und 4. Semester

Präsentation unter: https://www.coufal.info/spgslides/nvs1_a34.html

Klaus Coufal

2024/25

Übersicht

• Kompetenzbereiche
  • Netztechnologien
  • Netzwerkdienste
  • Basis-Webtechniken

Übersicht: Details

• Netztechnologien
  • Netzwerkmodelle
  • Einfache Netzwerke enstsprechend den Anforderungen konfigurieren
  • Aufgaben und Funktionsweise von Netzwerkdiensten
  • Entwurfsmethoden
  • Öffentliche Netze
  • Switching und Routing

• Netzwerkdienste
  • DNS, DHCP, Web, eMail, ...
  • Verzeichnisdienste

• Basis-Webtechniken
  • Sprachelemente von Webseiten
  • Webseiten gestalten (dynamische Elemente, Skriptsprachen)

Allgemeines

• Ziele von Netzwerken
• Forderungen an Netzwerke
• Definition eines LAN (Local Area Network)
• Ergänzung: Topologien
• Ergänzung: Vermittlungstechniken

Allgemeines: Ziele

• Datenverbund
• Funktionsverbund
• Verfügbarkeitsverbund
• Leistungsverbund
• Lastverbund

Allgemeines: Ziele - Datenverbund

• Zugriff auf räumlich getrennte Datenbestände, dazu gehören:
  • Zentrale Datenbanken
  • Zentrale Applikationen
  • Dateitransfer
  • Nachrichtenaustausch
  • ...

Allgemeines: Ziele - Funktionsverbund

• Zugriff auf Funktionen, über die der momentan genutzte Computer nicht verfügt, z.B.:
  • Drucker
  • Meßeinrichtungen
  • Sensoren und Aktuatoren
  • ...

Allgemeines: Ziele - Verfügbarkeitsverbund

• Zugriff auf andere Computersysteme zur Erhöhung der Verfügbarkeit, z.B.:
  • Clustersysteme (Zusammenschaltung mehrerer Server zur Verbesserung der Ausfallssicherheit)
  • Wechseln auf eine andere Arbeitsstation, um dort die eigene Arbeit abzuschliessen
  • ...

Allgemeines: Ziele - Leistungsverbund

• Zusammenschalten mehrerer Systeme zur Erhöhung der Gesamtleistung, z.B.:
  • Distributed Computing (Zerlegung einer Aufgabe in mehrer kleinere Aufgaben, die dann parallel von mehreren/vielen Computern erledigt werden)
  • Clustertechnik
  • ...

Allgemeines: Ziele - Lastverbund

• Ausweichen bei momentaner Überbelastung des eigenen Systems auf andere Systeme mit weniger Belastung, z.B.:
  • Resourcensharing nach Zeitschema
  • Ausweichen auf Alternativsystem in Spitzenzeiten
  • ...

Allgemeines: Forderungen

• Hohe Bandbreite des Übertragungsmediums
• Geeignete Topologie
• Geeignete Protokolle
• Geeignete funktionale und prozedurale Hilfsmittel
• Hohe Verfügbarkeit
• Offene Systemarchitektur

Allgemeines: LAN–Definition

• Lokale Netze sind Datenkommunikationssysteme, welche einer Anzahl von unabhängigen Einrichtungen eine zumeist partnerschaftlich orientierte Kommunikation hoher Datenrate auf relativ begrenztem geographischen Gebiet ermöglichen

7 Schichten-Modell

© Victor Schmidt 1880 (Fa. Victor Schmidt & Sohn)
(Später Fa. Victor Schmidt & Söhne, 1984-1999 Fa. Nestlé und seit 1.1.2000 Fa. Manner)

ISO-OSI-Referenzmodell

• Andere Namen:
  • 7-Schichten Modell
  • ISO-Modell
  • OSI-Modell
  • OSI-Schichtenmodell
  • Open Systems Interconnection Reference Model
• 1. Publikation als Norm: 1983
• Derzeit: ISO/IEC 7498-1 2. Edition 1994
• Ziel: Referenzmodell für die Kommunikation unterschied-licher Netzwerkkomponenten verschiedenster Hersteller
• Normiert nicht: Konkrete Realisierungen (z.B.: Ethernet, SIP, ...)

ISO-Referenzmodell Aufbau

ISO-Modell: Physical Layer

• ISO Schicht 1
• Kabel- und Steckerspezifikationen
• Übertragungstechnologie
• Spezifikation der Signalpegel
• Unstrukturierter Bitstrom
• z.B.: X.21, V.24, Ethernet Hardwareteil
• Geräte: Repeater, Hub

ISO-Modell: Data Link Layer

• ISO Schicht 2
• HW-Adressierung, Frameformat
• Flußkontrolle und Fehlerprüfung zwischen nächsten Nachbarn
• Rahmen (Frames)
• Zusätzlich zum Header existiert in dieser Schicht auch ein Trailer (FCS, CRC)
• z.B.: HDLC, Ethernet MAC und LLC, ARP, STP
• Geräte: Bridge, Switch

ISO-Modell: Network Layer

• ISO Schicht 3
• Logische Adressierung
• Wegewahl und Routing
• Auf- und Abbau von Netzverbindungen
• Pakete (Packets)
• z.B.: X.25, IP, ICMP, IPX
• Geräte: Router

ISO-Modell: Transport Layer

• ISO Schicht 4
• Ende zu Ende Flußkontrolle
• Ende zu Ende Fehlerprüfung
• Sequencing
• Fragmente (Fragments), Segmente (Segments), Pakete (Packets)
• z.B.: TCP, UDP, SPX
• Geräte: Gateway

ISO-Modell: Session Layer

• ISO Schicht 5
• Passwortkontrolle
• Gebührenabrechnung
• Auf- und Abbau einer Sitzung
• Verbindungswiederaufbau
• Kaum Standards
• Geräte: Access Controller

ISO-Modell: Presentation Layer

• ISO Schicht 6
• Vereinbarung über Kodierung (Zahlendarstellung, Dateiformate, ...)
• Vergleich einer gemeinsamen Konferenzsprache
• Formatumwandlung, Codeumwandlung
• Vergleichbar einem Dolmetscher
• z.B.: ASCII ↔ EBCDIC oder Unicode
• oder Unix Carriage Control ↔ Windows Carriage Control

ISO-Modell: Application Layer

• ISO Schicht 7
• APIs (Application Programming Interface) für die Anwendungen
• Standarddienste (Dateitransfer, Virtuelles Terminal, ...)
• Standardanwendungen (Browser, eMail, ...)
• Virtualisierung von Netzwerkdiensten (Transparenz, P:=\\server\freigabe)
• z.B.: Sockets, FTAM, X.400, X.500, HTTP, SMTP, LDAP, ...

ISO-Modell: Vertikale Kommunikation

Bruttodaten = Alle Header + Nettodaten + Trailer

ISO-Modell: Horizontale Kommunikation

• Router1 und RouterN stehen stellvertretend für die gesamte Strecke
• In Schichten 1-3 kommunizieren jeweils nächste Nachbarn
• In Schichten 4-7 kommunizieren die Endteilnehmer

Beispiel an Hand eines Telephonats

ISO-Modell ↔ Internetmodell

Addressierung im Netz

• Symbolische Adressen (DNS-Adressen)
• Logische Adressen (IP-Adressen)
• Physische Adressen (MAC-Adressen)
• Subadressen (Ports)
• e-Mail-Adressen
• URL/URI
• ENUM
• ...

Adressierung: Symbolische Adressen

• Dienen in erster Linie dazu, die Adressen für uns leichter merkbar zumachen.
• Bestehen aus zwei Teilen, dem Rechnernamen und dem Domainnamen und muß weltweit eindeutig sein.
• Die symbolischen Adressen werden mittels DNS (Domain Name System) in logische Adressen umgewandelt.
• Das DNS ist hierarchisch (nicht jeder Nameserver kennt alle Adressen).
• Rechner arbeiten nie mit symbolischen Adressen.
• Der nächstgelegene DNS-Server muß dem Rechner mit seiner logischen Adresse bekannt sein.
• z.B.:
  • www.orf.at
  • cisco.spengergasse.at

Adressierung: Logische Adressen

• Layer 3-Adressen
• IP-Adressen (oder andere Layer3-Protokolle)
• Adressen mit einer Struktur, damit "welt/multinetz"-weit kommuniziert werden kann
• z.B.:
  • 213.47.19.84
  • 2001:db8:cafe:1::1

Adressierung: Physische Adressen

• Layer 2-Adressen
• Hardware-Adressen
• Fix mit der Netzwerkkarte verbunden (BIA=Burned In Address)
• Kann i.a. per Software verändert werden
• z.B.:
  • 00:11:22:33:44:55
  • 00:a0:c6:00:00:20

Adressierung: Subadressen

• Damit auf einem Rechner mehrere Verbindungen möglich sind gibt es Ports
• Ermöglichen die Kommunikation mit mehreren Servern gleichzeitig mit gleichen oder unterschiedlichen Protokollen
• z.B.:
  • Browser mit https (443)
  • e-Mail mit pop3s (995)
  • Putty mit ssh (22)

Adressierung: e-Mail-Adressen

• Format gemäß RFC 5322
• <mailaccountname>@<mailservername> oder <mailaccountname>@<domainname>
• Bei Angabe des Domänennamens muß im DNS ein MX-Record angegeben sein
• z.B.:
  • office@coufal.org
  • office@doitnet.at

Adressierung: URL/URI

• Uniform Resource Locator (RFC 1738)/Identifier (RFC 3986)
• Zur allgemeinen Angabe einer Internetressource
• Aufbau: <Schema>:<Schemaspezifika>
• Schema meist gleicher Name wie Protokoll (http, ftp, ...)
• z.B.:
  • mailto:office@netacad.at
  • file:///C:/Windows/System32/Drivers/etc/hosts

Adressierung: ENUM

• Im VoIP-Bereich zunehmend ein Thema
• Damit können Telephonnummern DNS-analog hinterlegt werden
• ENUM - E.164 NUmber Mapping
  • Übersetzung von Telephonnummern in Internetadressen nach RFC 6116
  • +43 699 1470 0637 ⇔ 7.3.6.0.0.7.4.1.9.9.6.3.4.e164.arpa

Planung von Netzwerken

• Warum?
• Arten des Entwurfs
  • Top-Down-Entwurf
  • Bottom-Up-Entwurf
• Schritte eines Entwurfs

Planung: Warum?

• Nur mittels eines Planes kann eine effiziente Fehlervermeidung bzw. Fehlersuche durchgeführt werden
• Nur ein gut geplantes Netzwerk bietet die Möglichkeit auf Veränderungen zu reagieren
• Vermeidung von chaotischen Systemen

Planung: Top-Down-Entwurf

• Von der höchsten Stufe beginnend
• z.B.: Internetzugang oder Server
• Auch die gewünschte Topologie kann der Ausgangspunkt sein
• ...
• Als letzter Punkt wird der Arbeitsplatz geplant

Planung: Bottom-Up-Entwurf

• Bedarfsorientiert von Anwender ausgehend
• Verbindungen zwischen den Arbeitsplätzen
• ...
• Am Ende stehen dabei die zentralen Komponenten

Planung: Methodenwahl

• Heute werden die Methoden meist kombiniert oder abwechselnd in einer Planung verwendet
• Begonnen wird üblicherweise mit der Anwendung, da dies die einzige Konstante am Anfang ist

Planung: Schritte eines Entwurfs

• Übersicht über die Planungschritte
• Erhebung des Istzustandes
• Erhebung des Sollzustandes
• Allgemeines
• Planung der einzelnen Komponenten
• Gesamtkonzept
• Phasenplan

Planung: Übersicht - Planungsschritte

Planung: Erhebung des Istzustandes

• Die Erhebung des Istzustandes ist die einfachste Aufgabe, da hier nur festgestellt werden muß, was an einzubindenden Komponenten existiert. In diesem Unterpunkt muß eine Auflistung der vorhandenen Hardware und deren Standorte, der „Firmen“struktur, der Organisationsabläufe, der Kommunikationsströme und „alle“ Mängel in diesem System erfolgen

Planung: Erhebung des Sollzustandes

• Die wesentlich komplexere Aufgabe der Erhebung des Sollzustandes muß auch auf eventuelle Erweiterungen vorbereitet sein. Hier muß erhoben werden welche Aufgaben das Netzwerk übernehmen soll, wie eventuell Strukturen in der Organisation geändert, welche Mängel beseitigt und welche neue Aufgaben hinzugefügt werden sollen. Daraus ist eine Liste der notwendigen Arbeitsplätze zu erstellen und das Kommunikationsaufkommen abzuschätzen

Planung: Allgemeines

• Die weiteren Punkte sind mehr oder weniger von einander abhängig daher, sollten diese Punkte mehrmals (mindestens zweimal) durchlaufen werden, wobei grob begonnen werden kann und erst beim letzten Durchlauf alle Details festgelegt werden

Planung: Planung der Arbeitsstationen

• In dieser Phase müssen die einzelnen Arbeitsplätze nach verwendeten Typ, der benötigten Hardware, des Betriebssystems und der notwendigen Anwendungssoftware detailliert spezifiziert werden. Ein Standortplan (Gebäudeplan) ist in dieser Phase schon sehr hilfreich

Planung: Planung der Drucker

• Für jeden Arbeitsplatz müssen die Druckmöglichkeiten geplant werden (lokal, zentral, ...)

Planung: Planung der Netzwerkhardware

• In dieser Phase muß die Entscheidung getroffen werden, welche Hardware für die Vernetzung Verwendung finden muß (Ethernet, Token-Ring, ARCnet, ...). Die Planung der verwendeten Varianten und die Netzwerkkarten fällt ebenfalls in diesen Punkt

Planung: Planung der Verkabelung

• Spätestens bei diesem Punkt ist ein detaillierter Gebäudeplan notwendig, mit dessen Hilfe ein genauer Plan des Kabelverlaufes (inklusive Abschlußwiderständen, Erdungspunkten, Repeatern, Bridges, ...) erstellt wird. Dabei ist auch auf Erweiterungsmöglichkeiten bedacht zu nehmen, auch wenn diese zum Zeitpunkt der Planung unwahrscheinlich erscheinen

Planung: Planung des Netzwerkbetriebssystems

• Jetzt sollte die Entscheidung für ein Netzwerkbetriebssystem (OES, Windows, Linux, (Peer-to-peer,) ...) fallen, wobei nur auf die Aufgaben des Netzwerkes bedacht zu nehmen ist
• „Glaubensentscheidungen“ sind in diesem Zusammenhang wenig hilfreich

Planung: Planung der Server

• In dieser Phase muß auf der Grundlage der bisherigen Planungen die Anzahl und der Ausbau der Server spezifiziert werden. Beim Plattenplatz und beim Hauptspeicher ist eine großzügige Dimensionierung anzustreben

Planung: Planung sonstiger Netzwerkkomponenten

• Fax
• WAN/Internet
• Einbindung anderer Rechnerwelten
• ...

Planung: Planung der Umgebungsbedingungen

• Eigene Stromversorgung für Netzwerkkomponeten (Erdung besonders beachten - mehrere Gebäude)
• Klimaanlagen
• Schutz gegen statische Elektrizität
• ...

Planung: Erstellen eines Gesamtkonzeptes

• Aus diesen Teilen muß ein Gesamtkonzept erstellt werden, da dabei eventuelle Unverträglichkeiten und sonstige Fehler zu Tage treten und die entsprechenden Korrekturmaßnahmen eingeleitet werden können

Planung: Erstellen eines Phasenplanes

• Die letzte Aufgabe ist die Erstellung eines Phasenplanes, bei dem der Übergang vom Istzustand zum Sollzustand in einzelne Abschnitte gegliedert ist. Für jeden Abschnitt ist die Angabe der dafür notwendigen Komponenten, eines Zeitplanes und der Gesamtkosten notwendig. Bei größeren Projekten ist auch die Wechselwirkung der einzelnen Phasen notwendig, da sonst „Lücken“ entstehen könnten

Protokolle

• Definition
• Beispiele aus dem Alltag
• Beispiele aus dem Netzwerkumfeld
• Ein konkretes Beispiel

Protokolle: Definition

• Protokoll: Die Gesamtheit aller Vereinbarungen über einen Ablauf
• Auch die Niederschrift über einen Vorgang (z.B.: Prüfungsprotokoll)
• Kommunikationsprotokoll: Die Gesamtheit aller Vereinbarungen über den Kommunikationsablauf
• Netzwerkprotokoll: Die Gesamtheit aller Vereinbarungen, Regeln und Formaten (Syntax) für das Kommunikationsverhalten (Semantik) zweier oder mehrerer Teilnehmer (Benutzer, Computer) über ein Netzwerk.

Protokolle: Alltagsbeispiele

• Protokoll zum Telephonieren
  • Telephon aktivieren (Hörer abheben, …)
  • Rufnummer wählen
  • Gegenstelle meldet sich (Name, Nummer)
  • Eigene Meldung und Begrüßung
  • … (eigentliches Gepräch)
  • Verabschiedung
  • Telephon deaktivieren („auflegen“, …)
• Protokoll zum Fahrkartenkauf (Schalter)
  • Kontaktaufnahme (Begrüßung)
  • Nennung von Ziel und Abfahrtszeit
  • Abklären der Optionen (Klasse, …)
  • Erfahren des Preises
  • Zahlvorgang (eig. Protokoll)
  • Beendigung

Protokolle: Netzwerkumfeld

• Protokoll zum Mail abholen (POP3)
  • Verbindungsaufnahme mit Server Port 110
  • Authentifizierung
    • „USER <username>“
    • „PASS <password>“
  • Transaktion (Schleife)
    • „STAT“
    • „RETR <nr>“
    • „DELE <nr>“
  • Update und Ende
    • „QUIT“

Protokolle: Netzwerkumfeld

• Protokoll zum Mail versenden (SMTP)
  • Verbindungsaufnahme mit Server Port 25
  • Eröffnung und Authentifizierung
    • „HELO <hostname>“ oder „EHLO <hostname>“
  • Transfer
    • „MAIL FROM:<mail-adresse>“
    • „RCPT TO:<mail-adresse>“
    • „DATA … .“
  • Beendigung
    • „QUIT“

Protokolle: Konkretes Beispiel

• Eine Abfrage einer Webseite wird mittels Wireshark mitprotokolliert.
• Protokolle: ARP, DNS, TCP und HTTP

Private Servernetze

• Server im eigenen Netz i.a. ohne Zugriff für die Öffentlichkeit
• Meist eine RFC 1918-Adresse
• Mehrere Aufgaben
  • Fileserver, Printserver
  • Datenbankserver, Mailserver
  • ...
• Nur organisatorische und keine technische Entscheidung

Private Servernetze: Beispiel

• Planung eines „Core“-Server
• Erstellung der notwendigen Aufgaben
• Auflistung der in Frage kommenden Betriebssysteme
• Kosten-Nutzen-Überlegungen
• Installation
• Betrieb

Netzwerkgeräte: Übersicht

• Repeater
• Hub
• Bridge
• Switch
• Access Point
• Router
• Gateway

Netzwerkgeräte: Übersicht - Repeater

• Arbeiten in ISO-Schicht 1
• Repeater sind reine Signalverstärker, die keinerlei Prüfung der Frames (Rahmen) vornehmen, sondern nur die physischen Signale auf einem Port (Anschluß) empfangen und auf einem anderen Port neu versenden, wodurch größere Entfernungen erreichbar sind
• Im LAN kaum mehr im Einsatz

Netzwerkgeräte: Übersicht - Hub

• Arbeiten in ISO-Schicht 1
• Hubs sind Multiportrepeater
• Trennen daher keine "Collision-Domains"
• Gemeinsame Bandbreite für alle angeschlossenen Geräte
• Im LAN kaum mehr im Einsatz

Netzwerkgeräte: Übersicht - Bridge

• Arbeitet in den ISO-Schichten 1 und 2
• Bridges empfangen einen Frame und versenden ihn nach Prüfung neu
• Trennt "Collision-Domains"
• Unterschieden werden:
  • MAC-Bridges
  • LLC-Bridges
• Im LAN kaum mehr im Einsatz

Netzwerkgeräte: Übersicht - Switch

• Arbeitet in den ISO-Schichten 1 und 2
• Switches sind Multi-Port-Bridges
• Trennt "Collision-Domains"
• Unterschieden werden:
  • Cut through, Store and Forward, Error free cut through
  • Symmetrisch und Asymmetrisch
  • Shared und Port Based Memory
• Im LAN sehr verbreitet

Netzwerkgeräte: Übersicht - Access Point

• Arbeitet in den ISO-Schichten 1 und 2
• Ein Access Point verbindet (bridged) wireless Segment mit wired Segmenten eines Netzwerkes oder nur wireless Komponenten
• Trennt "Collision-Domains"
• Verbindet LAN und WLAN

Netzwerkgeräte: Übersicht - Router

• Arbeitet in ISO-Schicht 3
• Ein Router dient der Vermittlung von Netzwerkpaketen. An Hand der Zieladresse und einer Subnetmaske (Routingtabelle) wird entschieden, wie das Paket weitergeleitet wird
• Man unterscheidet Routingprotokolle und geroutete Protokolle
• Trennt Broadcastdomänen
• Verbindet LANs

Netzwerkgeräte: Übersicht - Gateway

• Zur Verbindung von Netzwerken mit verschiedenen Strukturen (z.B.: ISO und nicht-ISO) werden Gateways benutzt
• Verbindungen auf höherer ISO-Schicht als 3 werden ebenfalls mit Hilfe von Gateways realisiert
• Wegen der Standardisierung heute kaum mehr notwendig

Techniken der lokalen Verteilung (L2)

• MAC-Adresse
• Switch
• Switching
• STP Spanning Tree Protocol
• Link Aggregation

Layer2: MAC-Adresse

• Layer 2 Adresse oder auch physische Adresse
• i.a. HW-Spezifisch, d.h. nur selten softwareseitig bestimmt
• Aufbau 6 Byte in hexadezimaler Schreibweise
• Beispiel:
  • 00:23:18:BA:A9:92 (verschiedene Trennzeichen üblich: "-" ":" " ")
  • Darin ist BA:A9:92 eine laufende Nummer des Herstellers
  • 00:23:18 eine sogenannte OUI (Organizationally Unique Identifier, z.B.: Toshiba)
• zweite Stelle der OUI ("0") enthält zwei Bits zur Kennzeichnung des Adresstyps

Layer2: Switch

• Ein Switch ist grundsätzlich ein Layer-2-Device
• Heute gibt es auch Switches die Aufgaben höherer Schichten übernehmen
• Der Ausdruck Layer-3-Switch ist daher am Markt präsent aber falsch
• Unterscheidungsmerkmale:
  • PoE-Fähigkeit
  • Portanzahl (8, 16, 24, 48, ...)
  • Managed oder Unmanaged
• Damit existiert ein großer Preisbereich (€10,- bis mehrere €10.000,-)

Layer2: Switching

• Mit Hilfe der MAC-Adressen entscheidet ein Switch, auf welchen Port der Datenverkehr weitergeleitet wird
• Sollte die Ziel-MAC-Adresse unbekannt sein, wird das Paket an alle Ports (außer dem Port an dem es eingelangt ist) weitergeleitet
• Die Quell-MAC-Adresse wird in die Tabelle eingetragen
• Zur Vermeidung von Switchingloops wird STP (Spanning Tree Protocol) eingesetzt
• VLANs werden mit Hilfe von Switches umgesetzt (802.1q)

Layer2: Switchingtechniken

• Drei Grundlegende Techniken:
  • Store-and-Forward
  • Fast Forward
  • Error-Free-Cut-Through
• Bandbreite:
  • Symmetrisch
  • Asymmetrisch
• Verschiedene Speicherimplementierungen:
  • Shared Memory
  • Port Based Memory

Layer2: Store-and-Forward

• Das ganze Paket wird empfangen und geprüft (FCS)
• Nach Auswertung der Ziel-MAC-Adresse wird das Paket weitergeleitet
• Fehlerhafte Pakete bzw. Kollisionsfragmente werden nicht weitergeleitet

Layer2: Fast Forward

• Auch „Cut Through“ genannt
• Sobald die Ziel-MAC-Adresse erkannt ist, wird mit der Weiterleitung begonnen
• Fehlerhafte Pakete werden daher ebenfalls weitergeleitet
• Schnell

Layer2: Error-Free-Cut-Through

• Hier werden die ersten 64 Byte des Pakets gelesen
• Die Ziel-MAC-Adresse ausgewertet und das Paket weitergeleitet
• Collisionsfragmente sind kürzer als 64 Byte und werden daher nicht weitergeleitet.

Layer2: Bandbreite

• Hier wird unterschieden ob die Bandbreite der Ports gleich oder verschieden ist
• Symmetrisch:
  • Alle Port haben die gleiche Bandbreite
• Asymmetrisch:
  • Ports haben unterschiedliche Bandbreite

Layer2: Speicheraufbau

• Die Art der Verwendung des Speichers
• Port Based Memory:
  • Speicherbereich sind den Ports zugeordnet
  • Ausgangsbuffer
  • Eingangsbuffer
• Shared Memory:
  • Speicher kann dynamisch für jedes Port verwendet werden

Layer2: STP

• Redundanz im Layer 2 führt zu Layer 2 Loops
• Dann reicht ein Broadcast-Paket und unzählig viele Pakete entstehen
• Dieses Ereignis nennt man "Broadcast Storm"
• Das Spanning Tree Protocol löst diese Problem
• Das Netz hat weiter physische Loops aber keine logischen mehr
• Dazu wird ein Switch zur Root-Bridge und die restlichen logisch zu einem Baum
• Benötigt wird dazu die 64-Bit Bridge-ID
• Bridge-ID: 4 Bit Priority + 12 Bit Extended System ID + 48 Bit MAC-Adresse

Layer2: STP Varianten

• STP - 802.1D (Standard STP)
• PVST+ - Cisco (Per VLAN-Spanning Tree Plus)
• RSTP - 802.1w (Rapid STP)
• Rapid PVST+ - Cisco
• MSTP - 802.1s (Multiple STP)

Layer2: STP Ablauf

• Die Switches tauschen BPDUs (Bridge Protocol Data Units) aus
• Bestimmung einer Root-Bridge (mit der geringsten Bridge-ID)
• Jeder Switch bestimmt seinen Root-Port (Port mit geringsten Kosten zur Root-Bridge)
• Portkosten nach IEEE
  
  

  	Speed		IEEE Cost		Revised IEEE Cost
  	10 Gb/s		1		2
  	1 Gb/s		1		4
  	100 Mb/s		10		19
  	10 Mb/s		100		100

Layer2: Link Aggregation

• Wenn man mehr Bandbreite benötigt, können auch mehrere Leitungen parallel verwendet werden
• Allerdings würde STP sofort alle bis auf eine deaktivieren
• Damit das nichts passiert, müssen diese Leitungen speziell konfiguriert werden
• Bei Cisco wird das Etherchannel genannt
• Die Konfiguration der Leitungen müssen in allen Punkten übereinstimmen (Speed, Duplex, Trunk, ...)
• Zwei Protokolle stehen dafür zur Verfügung:
  • PAgP - Port Aggregation Protocol
  • LACP - Link Aggregation Control Protocol

Techniken der globalen Verteilung (L3)

• ARP
• IPv4
• IPv6
• Andere L3-Protokolle
• Router
• Routing

Layer 3: ARP

• Protokoll zur Ermittlung der physischen Adresse (MAC-Adresse) bei bekannter Netzadresse (IPv4-Adresse)
• An Ethernet Address Resolution Protocol: RFC 826
• Dieses Protokoll ist eines der Basisprotokolle, ohne die die Kommunikation im LAN undenkbar wäre
• Dieses Protokoll kann für "Man-In-The-Middle"-Attacken mißbraucht (ARP-Spoofing)
• In IPv6 wird stattdessen das Neighbour-Discovering-Protocol Verwendet: RFC 4861

Layer 3: ARP - Ablauf

• Ein Client sendet einen ARP-Request mit der IP-Adresse darinnen als MAC-Broadcast
• Das Gerät mit der IP-Adresse antwortet mit einem ARP-Reply, der die eigene MAC-Adresse enthält
• Der Client nimmt die MAC-Adresse in seinen ARP-Cache auf und verwendet diese für die weitere Kommunikation
• Im ARP-Cache verfallen die Informationen nach einer vorgegeben Zeit (i.A. 300s) und müssen erneuert werden

Layer 3: ARP - Request, Reply

• ARP-Request:
  
  

  ARP-Header	Source-MAC	Source-IP	Destination-MAC	Destination-IP
  z.B.:	00:00:11:22:33:44	10.0.0.1	00:00:00:00:00:00	10.0.0.9

  
  
• ARP-Reply:
  
  

  ARP-Header	Source-MAC	Source-IP	Destination-MAC	Destination-IP
  z.B.:	00:00:11:22:33:55	10.0.0.9	00:00:11:22:33:44	10.0.0.1

Layer 3: ARP - Spezielle ARP-Messages

• Proxy-ARP
  • Ein Gerät (z.B.: Router, Firewall) beantwortet den ARP-Request für ein anderes Gerät (z.B.: Server in DMZ)
• Gratuitous-ARP
  • Ein Gerät sendet einen ARP-Request mit den eigenen Daten um z.B.: über Änderungen zu informieren
• Reverse-ARP (RARP)
  • Anfrage mit bekannter MAC-Adresse, Antwort ist eine IP-Adresse

Layer 3: ARP - Kommandos

• arp -a
  • Anzeige des ARP-Caches
• arp -a -v
  • Detaillierte Anzeige des ARP-Caches
• arp -s <IP-Adresse> <MAC-Adresse>
  • statischen Eintrag in den ARP-Cache aufnehmen
• arp -d <IP-Adresse>
  • Eintrag aus dem ARP-Cache löschen
• arp -d *
  • ARP-Cache löschen (nur unter Windows)

Layer 3: IP-Adresstypen

• unicast
  • Paket ist an einen bestimmten Empfänger adressiert
• broadcast
  • Paket ist an alle adressiert (Rundruf)
• multicast
  • Paket ist an eine Gruppe von Empfängern adressiert (Multicastgruppe)
• anycast
  • Paket ist an eine Gruppe von Empfängern mit i.a. nur einer Unicast-Adresse adressiert, nur an den Nächstgelegenen wird zugestellt

Layer 3: IPv4

• IPv4-Adressen sind 32-Bit-Werte die dezimal in 4 8-Bit-Gruppen durch einen "." geschrieben werden.
• Sie bestehen aus einem Netzanteil und einem Hostanteil, die Aufteilung ist entweder durch eine Adreßklasse oder eine Subnetmaske bestimmt.
• Sie dienen der logischen Adressierung im gesamten Internet, die Adressen sind dazu i.A. weltweit eindeutig, daher wird die Vergabe weltweit zentral gesteuert.
• Jede IP-Adresse besteht aus 2 Teilen
  • Netzanteil
    • Bestimmt den gemeinsamen Teil der Adresse, der für alle Rechner im selben Netz gleich ist.
  • Hostanteil
    • Ist der „Unique“-Anteil der Adresse, den nur diesem Rechner zugeordnet ist.

Layer 3: IPv4 - Subnetting

• Sehr oft wird nicht der gesamte Adressbereich für ein Netz benötigt, dann kann dieses Netz in Subnetze geteilt werden, d.h. ein Teil der Host-Adresse wird für den Subnetzanteil verwendet.
• Aufteilung eines Netzes in Subnetze
• Die Adressen haben eigentlich 3 Teile: Netzanteil, Subnetzanteil, Hostanteil
• Für alle beteiligten Systeme ist aber weiterhin nur die 2-Teilung sinnvoll (Netzanteil, Hostanteil)
• Der Subnetzanteil wird je nach Betrachtungsweise zum Netz- oder Hostanteil dazugerechnet.

Layer 3: IPv4 - Adressklassen

• Früher war die Aufteilung durch die Adressklasse bestimmt (1981, RFC 791)
• Je nach Firmengröße wurde eine der verfügbaren Klassen zugeteilt.
• Klassen A bis C für allgemeine Zwecke
• Klasse D und E für besondere Zwecke

Layer 3: IPv4 - Klasse A

• 8-Bit Netzadresse
• 24-Bit Hostadresse
• Erkennbar am 1. Bit der Adresse (=0)
• Adressbereich: 0.0.0.0 – 127.255.255.255
• Große Firmen (126 Firmen möglich)
• 0 Reserviert für "alle" (=Netzadresse)
• 127 Reserviert für lokale Zwecke (127.0.0.1 = Local Host)

Layer 3: IPv4 - Klasse B

• 16-Bit Netzadresse
• 16-Bit Hostadresse
• Erkennbar an den ersten 2 Bit der Adresse (=10)
• Adressbereich: 128.0.0.0 – 191.255.255.255
• Mittelgroße Firmen (16.382 Firmen möglich)

Layer 3: IPv4 - Klasse C

• 24-Bit Netzadresse
• 8-Bit Hostadresse
• Erkennbar an den ersten 3 Bit der Adresse (=110)
• Adressbereich: 192.0.0.0-223.0.0.0
• Kleine Firmen (2,097.150 Firmen möglich)

Layer 3: IPv4 - Klasse D

• Erkennbar an den ersten 4 Bit der Adresse (=1110)
• Adressbereich: 224.0.0.0-239.255.255.255
• Multicast-Adressen

Layer 3: IPv4 - Klasse E

• Erkennbar an den ersten 4 Bit der Adresse (=1111)
• Adressbereich: 240.0.0.0 – 255.255.255.255
• Adressen für experimentelle Zwecke

Layer 3: IPv4 - CIDR

• Um die Verschwendung von IPv4-Adressen im Classful Model zu verbessern und sowohl mehrere als auch kleinere Netze zu ermöglichen, wurde die Variante Classless eingeführt (CIDR, Classless Inter-Domain Routing, seit 1993, RFC 1518).
• Diese Variante wird parallel zu Classful Variante verwendet und kann daher nur Classful Netze verwenden, die nicht vergeben sind.
• Damit bei den Classless Netzen die Aufteilung in Netzanteil und Hostanteil angegeben werden kann, werden Subnetmasken eingesetzt.
• Die kleinste Adresse des Subnetzes ist für als Netzadresse des gesamten Subnetzes reserviert (Alle Hostbit sind 0)
• Die größte Adresse des Subnetzes ist als Broadcastadresse für das Subnetz reserviert (Alle Hostbits sind 1, Schreibweise oft -1)

Layer 3: IPv4 - Subnetmasken

• Die Subnetzmasken können in drei Varianten angegeben werden:
  • Als Suffix mit "/" und der Angabe der Bits des Netzanteils (auch Präfixschreibweise genannt)
  • Als Subnetmaske ("dotted notation"), diese sieht wie eine IP-Adresse aus, bei der die Netzbits "1" und die Hostbits "0" sind
  • Als Wildcard, diese sieht wie eine IP-Adresse aus, bei der die Netzbits "0" und die Hostbits "1" sind
• Beispiele
  • 192.189.51.132/24 oder 192.189.51.132 255.255.255.0
  • 62.99.139.76/29 oder 62.99.139.76 255.255.255.248
  • Klasse A Suffix /8 oder 255.0.0.0
  • Klasse B Suffix /16 oder 255.255.0.0
  • Klasse C Suffix /24 oder 255.255.255.0

Layer 3: IPv4 - Subnettrivia 1

• Die Netzadresse eines Subnets:
  • muß eine gerade Zahl sein (da das letzte Hostbits 0 sein muß)
  • muß durch die Anzahl der IP-Adressen des Subnets (inkl. Netz- und Broadcastadresse) teilbar sein
• Die Broadcastadresse eines Subnets:
  • muß eine ungerade Zahl sein (da das letzte Hostbits 1 sein muß)
  • muß um eins geringer als die Netzadresse des folgendes Subnetzes
• Zwei Schnittstellen eines Gerätes können i.a. nicht aufeinanderfolgende IP-Adressen haben:
  • Der Abstand muß mindestens die Broadcastadresse des einen Subnets und die Netzadresse des anderen Subnets umfassen

Layer 3: IPv4 - Subnettrivia 2

• Je mehr Subnetze gebildet werden, desto weniger nutzbare IP-Adressen stehen zur Verfügung:
  • Da in jedem Subnet wieder Netz- und Broadcastadresse ungenutzt bleiben
• Die Subnetmaske /31 (255.255.255.254) hat wenig Sinn:
  • Da ein solches Subnetz nur aus Netz- und Broadcastadresse bestehen würde
• Sinnvolle Subnetzmasken sind:
  • /8, /12, /13, /14, /15, /16, /17, /18, /19, /20, /21, /22, /23, /24, /25, /26, /27, /28, /29, /30
• In der "Dotted Notation" kommen auch nur wenige Zahlenwerte vor:
  • 0, 128, 192, 224, 240, 248, 252, 254, 255
• In der "Dotted Notation" kann nach einem "0"-Bit kein "1"-Bit mehr kommen

Layer 3: IPv4 - Subnetbeispiel

• Eine Firma bekommt z.B. den folgenden Adressbereich zugeteilt: 193.170.108.192/28
• Das bedeutet, daß der Firma 16 Adressen (193.170.108.192 bis 193.170.108.207) zugeordnet sind, von denen sie 13 bzw. 14 frei nutzen kann.
• Der Netzanteil beträgt 28 Bit, der Hostanteil 4 Bit (d.h. Subnetmaske 255.255.255.240 oder /28)
• Die Netzadresse (=1. Subnetadresse) ist 193.170.108.192 und kann keinem Host zugeordnet werden
• Die Broadcastadresse (=letzte Subnetadresse) ist 193.170.108.207 und kann auch keinem Host zugeordnet werden
• Eine Adresse (meist zweite Subnetadresse) ist noch für das Gerät des Providers (Router, Modem) reserviert (z.B.: 193.170.108.193)
• Damit verbleiben die Adressen 193.170.108.194 bis 193.170.109.206 für das eigentliche Netz

Layer 3: IPv4 - RFC1918

• Auch CIDR konnte die Knappheit weltweiter IPv4-Adressen nicht beheben, daher wurden sogenannte Adressen für private Internets definiert: RFC1918. Geräte mit diesen Adressen können nicht direkt mit dem Internet kommunizieren (siehe auch NAT). Pakete mit diesen IP-Adressen werden im Internet gelöscht. Folgende Adressen wurden im RFC für diesen Zweck festgelegt:
  • Eine Klasse-A Adresse 10.0.0.0/8
  • 16 Klasse-B Adressen 172.16.0.0/12
  • 256 Klasse-C Adressen 192.168.0.0/16

Layer 3: IPv4 - APIPA

• APIPA (Automatic Private IP Adressing) definiert z.B. in RFC3927. Adressen aus diesem Bereich werden z.B. verwendet, wen die automatische Vergabe mittels DHCP nicht funktioniert. Auch Pakete mit diesen Adressen werden nicht im Internet weitergeleitet. Der Bereich für diesen Zweck ist:
  • Im Rahmen einer ergebnislosen „Zero Configuration Networking“-Initiative der IETF entstanden
  • Der Name lautet mittlerweile „IPv4 Link Local Adresses“
  • Bereich: 169.254.0.0/16

Layer 3: IPv4 - Spezielle Adressen

Alle speziellen IPv4-Adressen: RFC5735

Layer 3: IPv4 - NAT 1

• NAT - Network Address Translation (PAT - Port Based NAT)
• Private Netze verwenden IP-Adressen, die nicht nach außen dürfen (z.B.: RFC 1918-Adressen: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16)

• Für den Zugriff nach außen müssen diese übersetzt werden.
  • Rechner im LAN lädt Webseite: buero.coufal.at
  • PC sendet: 172.16.1.10:1025 → 62.99.139.76:80
  • NAT ersetzt: 192.189.51.21:62001 → 62.99.139.76:80
  • Server: 192.189.51.21:62001 ← 62.99.139.76:80
  • NAT ersetzt: 172.16.1.10:1025 ← 62.99.139.76:80

Layer 3: IPv4 - NAT 2

• Alternativer Name: IP-Masquerading
• Arten von NAT
  • Statisch
  • Dynamisch
  • 1 zu 1 NAT
  • 1 zu Viele NAT oder PAT
• Wurde für verbindungsorientierte Protokolle entwickelt
• Verbindungslose Protokolle wie UDP bedeuten mehr Aufwand für NAT
• NAT ist eine der Herausforderung bei VoIP (⇒ SIP-Proxy), VPN, ...

Layer 3: IPv4 - Ende?

• Ein Umstieg auf IPv6 ist unausweichlich, da dem Internet die IPv4-Adressen ausgehen
• 3.2.2011
  • IANA vergibt die letzten 5 /8-Blöcke an die RIRs
  • RFC 6269
• 25.11.2019
  • RIPE vergibt den letzte IPv4-Adressblock (/22)
  • RIPE Information über das weitere Vorgehen
• ...

Layer 3: IPv6

• Um der Knappheit von Adressen in IPv4, der mangelnden Sicherheit und der NAT-Probleme entgegen zu wirken, wurde IPv6 (1998, RFC 2460 aktuell aus 2017, RFC 8200) entwickelt. Der sichtbarste Unterschied sind die wesentlich längeren Adressen (128 statt 32 Bit) und die andere Schreibweise. Die Schreibweise im Detail:
  • Hexadezimal in 16 Bit Blöcken
  • Getrennt durch ":" (Doppelpunkt)
  • Führende „0“ können weggelassen werden
  • Subnetzangaben immer in Präfixschreibweise (keine „Dotted“-Notation)
  • Viele 0-Bits können einmalig durch „::“ ersetzt werden
    • zB.: ::1 entspricht 0:0:0:0:0:0:0:1

Layer 3: IPv6 - Spezielle Adressen

Layer 3: IPv6 - Global Unicast

• 48 Bit Global Routing Prefix
  • 32 Bit IANA/RIR
  • 16 Bit LIR (Local Internet Registry)
  • Andere Aufteilungen möglich
• 16 Bit Subnet ID
• 64 Bit Interface ID
• 2000::/3 (2000-3FFF)
• Davon sind einige Blöcke ausgenommen
  • z.B.: 2001:db8::/32 für Dokumentationszwecke
• Anmerkung:
  • IANA Internet Assigned Numbers Authority (siehe Details)
  • RIR Regional Internet Registry (siehe Details)

Layer 3: IPv6 - RIR Beispiele

• den RIRs zugeordnet (Beispiele)
  • 2001:0::/23 direkt von der IANA
  • 2001:200::/23 von der APNIC
  • 2001:400::/23 von der ARIN
  • 2001:600::/23 von der RIPE
  • 2001:1200::/23 von der LACNIC
  • 2C00::/12 von der AfriNIC

Layer 3: IPv6 - EUI-64

• Extended Unique Identifier (64 Bit)
• Aus der 48 Bit MAC-Adresse wird eine 64 Bit Adresse geformt, die zusammen mit der Netzadresse eine IPv6-Adresse bildet
• MAC besteht aus 24 Bit OUI (Organizationally Unique Identifier) und 24 Bit Laufender Nummer
• EUI-64 bildet sich aus OUI, „FFFE“ und laufender Nummer
• U/L-Bit der MAC-Adresse kann invertiert werden (modifizierte EUI-64)
• z.B.:
  • MAC: 00:23:1A:12:34:AB
  • EUI-64: 0023:1AFF:FE12:34AB
  • Mod. EUI-64: 0223:1AFF:FE12:34AB

Layer 3: Andere L3-Protokolle

• ICMP - Internet Control Message Protocol
  • ICMP baut zwar auf IP auf, gilt aber ebenfalls als L3-Protokoll
  • Verwendung für "PING" bzw. "TRACEROUTE" (Nutzen der TTL-Eigenschaften)
• IPX - Internetwork Packet eXchange
  • Entwickelt von Xerox im PARC
  • Verwendet in erster Linie von Novell
  • Wesentlich größerer Adressbereich als IPv4: 2³² Netze mit je 2⁴⁸ Knoten
• X.25
  • WAN-Protokoll über Telephonleitungen
  • ITU-Standard

Layer 3: Router

• Gerät zur Weiterleitung von Daten im Netzwerk
• Aufbau:
  • Prozessor
  • Speicher (oft 4 Arten)
    • ROM: Boot, Diagnosesoftware, ...
    • Flash: Firmware/OS, ...
    • NVRAM: Konfigurationen, ...
    • RAM: Tabellen, Daten, ...
  • Netzwerkschnittstellen (üblicherweise zumindest zwei)
  • Optional: Anzeigen

Layer 3: Routing

• Wegefindung und –auswahl im Netz
• Durchführung entweder non-dedicated oder dedicated
• Non-dedicated: Softwarelösungen (z.B.: Serversoftware z.B.: Linux, Windows, ...)
• Dedicated: CISCO, HP, ...
• Im ISO-Modell in Schicht 3 angesiedelt
• Im Internetmodell in der Schicht Internet (IP) ausgeführt
• d.h. damit ein Paket weitergeleitet werden kann, muß es bis zur entsprechenden Schicht ausgepackt werden.

Layer 3: Routing im ISO-Modell

• Routing im ISO-Layer-Modell
  
• Routing im Netz
  

Layer 3: Routing - Protokolle

• Routing Protocol (Protokolle mit deren Hilfe Informationen über das Routing ausgetauscht werden)
  • RIP
  • OSPF
  • EIGRP
  • ...
• Routed Protocols (Protokolle, die geroutet werden)
  • IP
  • IPX
  • ...

Layer 3: Routing - Varianten

• Static routing
  • Durch Administratoren festgelegte Wege
  • Weit verbreitet beim "Default Gateway"
• Dynamic routing
  • Dynamisch von Router festgelegte Wege (z.B. Shortest Path, ...)
  • Exterior Gateway Protokolle
    • BGP
  • Interior Gateway Protokolle
    • Distance Vector–Protokolle (RIP, ...)
    • Link-State Protokolle (OSPF, ...)

Layer 3: Routing - Beispiel

• Router mit 4 Schnittstellen
  
• Dazugehörige Routingtabelle
  

Layer 3: Routing - Wegefindung

• Kriterien für die Beurteilung eines Weges
  • Meßbare Kriterien
  • Maßzahl
  • Beispiel
    • Kosten
    • Anzahl der Hops
    • Bandbreite
    • Verfügbarkeit
    • Sicherheit
    • ...

Layer 3: Routing - Router-/Netzwerktypen

• Unterscheidung
  • Stub-Netzwerk-Router
    • Vor allem kleineren Firmen haben meist sogenannte Stub-Netzwerke, da besteht die Wegefindung des Routers nur aus der Entscheidung intern oder extern (für beides existieren üblicherweise zwei getrennte Schnittstellen), wodurch die Wegefindung wesentliche vereinfacht wird.
  • Backbone-Router
    • Back-Bone-Router haben meist mehrere Wege zum Ziel und müssen nach vorgegebenen Kriterien (Kosten, Durchsatz, Verfügbarkeit, ...) den günstigsten Weg suchen, dazu wird für alle Wege die Summe der „Kosten“ gebildet und der „beste“ Weg ausgewählt.

Layer 3: Routing - Administrative Distanz

• Wenn mehrere Pfade zum Ziel vorhanden sind, entscheidet die Administrative Distanz
• Je geringer die Administrative Distanz ist, desto vertrauenswürdiger ist die Route
• Werte zwischen 0 und 255 sind möglich
• Die Administrative Distanz kann konfiguriert werden (z.B. für Floating Routes)
• Verbreitete Standardwerte
  • 0 - Connected Route
  • 1 - Static Route
  • 110 - OSPF
  • 120 - RIP

Layer 3: Routing - Routing Table

• In der Routing Tabelle werden alle zu verwendenden Routen eingetragen
• Jedes Ziel wird in der Routing Tabelle gesucht um die bestmögliche Route dahin zu bestimmen
• Dabei wird ein "Best Match Routing" (not "First Match Routing")
• Es wird die Route verwendet, bei der die meisten Subnetbits übereinstimmen

IOS

• Was ist das?
• IOS-Modi
• Wichtigste Befehle
• Basiskonfiguration
• Weiterführende Informationen

IOS: Was ist das?

• IOS steht für Internet Operating System und ist das Betriebssystem der Netzwerkgeräte der Firma CISCO (mit Ausnahme der Kleinstgeräte)
• IOS erlaubt die Konfiguration der Geräte über eine standardisierte Textschnittstelle

IOS: ISO-Modi

• Run Mode (Betrieb)
• User Mode (Wenige Befehle)
• Privileged Mode (Alle Befehle zur Verwaltung des Gerätes)
• Configuration Mode (Alle Konfigurationsbefehle)

IOS: Wichtigste Befehle

• ?
• ENable/DISAble
• CONFig Terminal
• EXit
• SHow
• PIng/TRaceroute

IOS: Basiskonfiguration

• Erstellen
• Testen
• Speichern
• Beispiel

IOS: Basiskonfiguration - Erstellen

• Nicht konfigurierter Router hat beim ersten Start einen "initial configuration dialog"
• Besser durch die entsprechenden Befehle
• Zumindest die Netzwerkschnittstellen
• Passwörter (Sicherheit)

IOS: Basiskonfiguration - Testen

• Testen der Konfiguration durch entsprechende Befehle (ping, traceroute)
• Bei Fehlern Konfiguration anpassen, solange bis alle Funktionen korrekt erfüllt werden
• SHOW RUNNING

IOS: Basiskonfiguration - Speichern

• COPY RUNNING-CONFIG STARTUP-CONFIG
• Sichern der Konfiguration
  • Log eines SHOW RUNNING
  • COPY RUNNING-CONFIG TFTP
• RELOAD

IOS: Basiskonfiguration - Beispiel - Annahme

• Anbindung eines LANs per 128 Kbit/s-Standleitung über einen Provider
• Verwendet wird ein Router vom Typ CISCO 2500
• Alles für das LAN wird an einen Rechner (z.B.: Firewall) geschickt
• Alles für das Internet wird an den Provider weitergeleitet

IOS: Basiskonfiguration - Beispiel - Allgemeines

• service password-encryption
• hostname <logischer Name>
• enable password <password>
• ip subnet-zero
• ip domain-name <domain-name>
• ip name-server <dns-server>

IOS: Basiskonfiguration - Beispiel - Schnittstellen

• interface Ethernet0
  • ip address <IP-Adresse> <Netzmaske>
• interface Serial0
  • bandwidth 128
  • ip address <IP-Adresse> <Netzmaske>
  • encapsulation frame-relay ietf
  • frame-relay lmi-type ansi

IOS: Basiskonfiguration - Beispiel - Routing

• ip classless
• ip route 0.0.0.0 0.0.0.0 <gateway>
• ip route <netz> <maske> <ziel>

IOS: Basiskonfiguration - Beispiel - Zugang

• line con 0
  • password <Passwort für lokalen Zugang>
  • login
• line vty 0 4
  • password <Passwort für Telnetzugang>
  • login

Öffentliche Netze

• Einführung und Abgrenzung
• Arten von öffentlichen Netzen
• Verwendung von öffentlichen Netzen
• Mobile Netze
• Anwendungsbeispiele

Öffentliche Netze: Einführung und Abgrenzung

• Private Netze
• Öffentliche Netze
• Öffentliche Netze ↔ Private Netze

Öffentliche Netze: Einführung und Abgrenzung - Private Netze

• Auf eigenem Bereich (Firmengelände)
• Mit eigenem Equipment (Router, Switches, Kabel, …)
• Volle Verantwortung für die Funktionsfähigkeit beim "Betreiber"
• Alle technischen Möglichkeiten verwendbar

Öffentliche Netze: Einführung und Abgrenzung - Öffentliche Netze

• Öffentliche Netze sind für die Benutzung durch alle
• Im öffentlichen Raum
• Betrieb durch einen "Service Provider" (Telefongesellschaft, ISP, Kabelanbieter) mit Auflagen
• Equipment vom Anbieter
• Rechtlicher Rahmen und Verfügbarkeit von der Allgemeinheit (Staat) im Rahmen von Gesetzen definiert
• Internationale Verträge sichern die Ausbreitung über Staatsgrenzen hinweg (trotzdem landesspezifische Eigenschaften)

Öffentliche Netze: Arten von öffentlichen Netzen

• Kabelgebundene öffentliche Netze
  • Telephon (analog, ISDN, T1, …)
  • DSL (ADSL, VDSL, HDSL, …)
  • Koaxialkabel
  • LWL
  • Stromnetze
• Kabellose öffentliche Netze
  • Rundfunk, Fernsehen
  • Mobilfunk
  • Richtfunk
  • Satellitenverbindungen

Öffentliche Netze: Verwendung von öffentlichen Netzen

• Vertrag mit einem Serviceanbieter (Provider)
• Oft mit Service Level Agreement (SLA)
• Übergabepunkt (POP) zwischen öffentlichem und privatem Netz (Zähler, Modem, Splitter, Router, …)

Öffentliche Netze: Mobile Netze

• Grundlagen Funkübertragung
• WLAN - Überblick
• WWAN - Geschichte
• WWAN - Überblick
• WWAN - GSM
• WWAN - UMTS
• WWAN - LTE
• WWAN - 5G
• WWAN - Details zur Realisierung

Übertragung: Funk

• Grundlagen
• Vorteile
• Nachteile
• Frequenzband
• Multipathing
• Dopplereffekt
• Versteckte Stationen
• Sonstige Fehler
• Zellsysteme

Übertragung: Funk - Grundlagen

• Funkübertragungen werden in zunehmenden Maße für die Datenkommunikation eingesetzt.
• Die Übertragung erfolgt mit Hilfe elektromagnetischer Wellen ohne definiertes Medium.

Übertragung: Funk - Vorteile

• Kabellose Verbindung (keine „Stemmarbeiten“)
• Schnelle Installation
• Mobile Sender und Empfänger
• Breitband-Fähigkeiten
• Broadcastfähigkeiten

Übertragung: Funk - Nachteile

• Interferenzen und Ausbreitungsprobleme
• Frequenzknappheit
• Datensicherungsprobleme
• Designprobleme (Lage der Antennen)
• Behördliche Restriktionen (Funk- und „Bau“probleme) und Lizenzvergabe

Übertragung: Funk - Frequenzband

• Unter 2 MHz nicht möglich, da die Antennen zu groß wären
• Über ca. 5 GHz Dämpfung bereits durch Luftfeuchtigkeit (Regen, ...)
• Auch Hörfunk und TV nutzen diese Frequenzen

Übertragung: Funk - Multipathing

• Wellen erreichen den Empfänger auf verschiedenem Weg und daher nicht gleichzeitig.
• Phasenverschiebung der Wellen zueinander durch unterschiedliche Anzahl von Reflexionen.
• Die Überlagerung verursacht Interferenzen, die bis zur Auslöschung des Signals führen können.

Übertragung: Funk - Dopplereffekt

Durch die Bewegung des Senders oder des Empfängers (oder beider) ändert sich die Frequenz scheinbar
	Empfänger bewegt sich auf die feststehende Quelle zu
	Empfänger bewegt sich von der feststehenden Quelle weg

Übertragung: Funk - Versteckte Stationen

• "Versteckte" Stationen
• Durch die begrenzte Reichweite der Funksignale entstehen Störungen
• A sendet an B, doch kann B nicht empfangen wenn C zeitgleich an B oder D sendet (C ist für A versteckt)

Übertragung: Funk - Sonstige Fehler

• Thermisches Rauschen
• Atmosphärisches Rauschen
• „Elektromagnetische Umweltverschmutzung“
• Räumliche Ausbreitung führt zu großem Energieverlust
• "Handover" (Übergabe an anderen Zugriffspunkt)

Übertragung: Funk - Zellsysteme

• Um der Frequenzknappheit zu begegnen, werden Frequenzen in verschiedenen räumlichen Gebieten wiederverwendet.
• Dabei wird die begrenzte Sendereichweite ausgenützt.
• Bei Bewegung ist aber Frequenzumschaltung notwendig

Jedes Sechseck ist eine Zelle Jede Farbe stellt eine Frequenz dar 7 Zellen bilden einen Cluster (jede Zelle mit den sechs angrenzenden Zellen)

Übertragung: WLAN

• Überblick
• Standards
• Betriebsarten
• Sicherheit
• Parameter

Übertragung: WLAN - Überblick

• Wireless LAN (auch unter WiFi bekannt)
• Datenübertragung per Funk
• Kurze Reichweite
• Lizenzfreier Funk (CB-Band)
• Trotz Normungen teils erhebliche nationale Unterschiede
• Heute werden WLAN-SSIDs bereits zur Lokalisierung benutzt (Google)

Übertragung: WLAN - Standards

• Wireless LAN
• Standards: 802.11-Familie
• 802.11a 5Ghz-Band 54 MBit/s
• 802.11g 2,4GHz-Band 54 MBit/s
• 802.11n 2,4 und 5GHz-Band bis zu 600MBit/s
• nächster Standard soll über 1GBit/s Leistung haben (802.11ac)
• 100mW Sendeleistung und ca. 10-100m Reichweite

Übertragung: WLAN - Betriebsarten

• Infrastrukturmodus
  • Ein AccessPoint übernimmt die Verwaltung der Verbindungen
  • Sendet i.a "Beacons" aus (mehrmals pro Sekunde)
  • Übernimmt i.a. auch die Anbindung an das restliche Netz
• Ad-Hoc-Modus
  • Spontane Vernetzung weniger Endgeräte ohne AccessPoint
  • Jeder Teilnehmer muß sich um die Koordination kümmern
  • Für VoIP-Installationen weniger interessant

Übertragung: WLAN - Sicherheit

• Bedingt durch die Broadcastfähigkeiten ist Zutrittsschutz und Zugriffsschutz nötig
• WEP - Wired Equivalence Privacy
• WPA - Wi-Fi Protected Access, TKIP (Temporal Key Integrity Protocol)
• WPA2 - Wi-Fi Protected Access Version 2, 802.11i, AES (Advanced Encryption Standard)
• Personal - PSK (PreShared Key)
• Enterprise - Netzwerkauthentifizierung (Zertifikat, 802.1X)
• RADIUS (Remote Authentication Dial-In User Service)

Übertragung: WLAN - Parameter

• SSID - Service Set IDentifier
• Sicherheitsmodus z.B.: WPA2-PSK
• Sicherheitsparameter z.B.: WPA2-Key
• IP-Daten (DHCP bzw. IP-Adresse, Gateway, DNS-Server, ...)

Übertragung: WWAN - Geschichte 1

• 1924 USA: Funkvermittlungssystem für Züge mit einzelnen Funkstationen
• 1946 USA: 1. Mobilfunknetz in Missouri
• 1958 Deutschland: 1. Mobilfunknetz (A-Netz, bis 1977 flächendeckend aktiv)
• 1972 Deutschland: B-Netz
• 1973 Österreich: 1. Mobilfunknetz (öffentlicher beweglicher Landfunkdienst)
• 1978 USA: 1. Zellulares Mobilfunknetz

Übertragung: WWAN - Geschichte 2

• 1981 1. Europäisches Zellulares Mobilfunknetz (N,S,DK)
• 1984 Österreich: 1. Mobilnetz mit Selbstwahl (D-Netz; aktiv bis 1997)
• 1991 Österreich: GSM
• 2002 Österreich: UMTS
• 2013 Österreich: LTE
• 2020 Österreich: 5G

Übertragung: WWAN - Generationen

• Analoge Netze (nicht weiter behandelt)
• SIM-Karte
• GSM (2. Generation)
• GPRS/EDGE
• UMTS (3. Generation)
• HSDPA und HSUPA
• LTE (4. Generation)
• 5G (5. Generation)
• Realisierung

Übertragung: WWAN - SIM-Karte

• Geräteunabhängigkeit
• Sicherheitsabfrage (PIN-Code)
• Teilnehmerdaten
• IMSI (International Mobile Subscriber Identity)
• Format
  • Full Size (ISO/IEC 7810:2003, ID-1; 85,6*53,98mm)
  • Mini SIM (ISO/IEC 7810:2003, ID-000; 25*15mm)
  • Micro SIM (ETSI TS 102 221 V9.0.0, Mini-UICC; 15*12mm)
  • Nano SIM (ETSI TS 102 221 TS 102 221 V11.0.0; 12,3*8,8mm)
  • Embedded (JEDEC Design Guide 4.8 , SON-8, 6*5mm)

Quelle: http://upload.wikimedia.org/wikipedia/commons/e/e0/GSM_SIM_card_evolution.svg

Übertragung: WWAN - GSM

• Global System for Mobile Communications
• 9600 Bit/s Übertragungsrate
• Digitaler zellularer Mobilfunkstandard
• Abhörsicherheit durch Verschlüsselung
• Weltweit einheitlicher Standard
• Mobiles Telephonieren auch im Ausland

Übertragung: WWAN - GSM-Frequenzen

Frequenzaufteilung in Österreich

https://de.wikipedia.org/wiki/Global_System_for_Mobile_Communications

Übertragung: WWAN - GPRS und EDGE

• General Packet Radio Service
  • 56 kBit/s Übertragungsrate
  • Bündelung von bis zu 8 Timeslots
• Enhanced Data Rates for GSM Evolution
  • 220 kBit/s Übertragungsrate

Übertragung: WWAN - UMTS

• Universal Mobile Telecommunications System
• 3. Generation der Mobilfunknetze (3G)
• 384 kBit/s Übertragungrate
• Neue Funkzugriffstechnik (Breitband CDMA)
• Mehrere Datenströme gleichzeitig
• Angebotene Dienste
  • Audio- und Videotelephonie
  • Unified Messaging
  • Internetzugang
  • Standortbezogene Dienste
  • Fernsehen

Übertragung: WWAN - UMTS-Frequenzen

Frequenzaufteilung in Österreich

Quelle: https://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_System

Übertragung: WWAN - HSDPA und HSUPA

• High Speed Downlink Packet Access
  • 3,6 bzw. 7,2 MBit/s Übertragungsrate
  • 3,5G oder 3G+ (G=Generation)
  • HSDPA+ bis 42 MBit/s Übertragungsrate
• High Speed Uplink Packet Access
  • 5,76 MBit/s Übertragungsrate
  • HSUPA+ bis 23 MBit/s Übertragungsrate

Übertragung: WWAN - LTE

• Long Termin Evolution
• 3,9/4. Generation der Mobilfunknetze
• 300 MBits/s Übertragungrate
• Nutzung der UMTS-Infrastruktur
• Höhere Datenraten durch
  • QAM (Quadraturamplitudenmodulation)
  • MIMO (Multiple Input/Multiple Output)
• Verwendete Kodierung
  • OFDMA (Orthogonal Frequency Division Multiple Access; Downlink)
  • SC-FDMA (Sub Carrier Frequency Division Multiple Access; Uplink)

Übertragung: WWAN - LTE-Frequenzen

Frequenzaufteilung in Österreich

Quelle: https://de.wikipedia.org/wiki/Long_Term_Evolution

Übertragung: WWAN - 5G

• 5. Generation der Mobilfunknetze
• Bis zu 20 GBits/s Übertragungsrate
• Latenzzeiten unter 1ms
• IoT-Tauglichkeit (auch für Echtzeitanwendungen geeignet)
• In Österreich wurden erste Frequenzen (3,4-3,8 GHz) Anfang 2019 versteigert

Übertragung: WWAN - Realisierung 1

• In jeder Zelle existiert eine BTS (Base Transceiver Station)
• Innerhalb einer Zelle nehmen die Mobilgeräte Verbindung zur BTS auf
• Die BTS versorgt über einen Funkkanal alle Geräte innerhalb der Zelle mit allgemeinen Funktionen (Rundfunk)
• Die Zellen müssen sich überlappen, damit genügend Zeit zum „Handover“ (Weiterreichen der Verbindung) besteht.
• Überlappungsbereich ist abhängig von der Geschwindigkeit des Mobilgerätes und der Zeit, die für das Handover benötigt wird (dzt. bis ca. 180km/h).
• Mehrere Zellen werden zu einer LA (Location Area) zusammengefaßt, damit der Aufenthaltsort des Mobilgerätes nicht zu oft aktualisiert werden muß
• Die LAs müssen an die topologischen Gegebenheiten angepaßt werden (Berge, Tunnels, …)

Übertragung: WWAN - Realisierung 2

BTS (Base Transceiver Station) BSC (Base Station Controller) MSC (Mobile Services Switching Center) GMSC (Gateway Mobile Services Switching Center)

Übertragung: WWAN - BTS

• BTS - Base Transceiver Station
• Funkversorgung einer Zelle
• Anschluß an BSC (meist per Leitung)
• Funktechnische Einrichtungen am Senderstandort
• Unmittelbare Kommunikation mit den mobilen Endgeräten

Übertragung: WWAN - BSC

• BSC - Base Station Controller
• Steuerung mehrerer BTS
• Steuerung des Verbindungsaufbaus
• Anschluß an MSC (Festnetz)
• Weiterreichen der Verbindung an andere BTS (soferne mit neue BTS am selben BSC angeschlossen ist)

Übertragung: WWAN - MSC

• MSC - Mobile Services Switching Center
• Verbindungsaufbau im Netz bzw. zu anderen Netzen (Gateway MSC)
• Verbindung des Vermittlungssystems mit der Basisstation
• Aufzeichnung der abrechungsrelevanten Gesprächsdaten

Öffentliche Netze: Anwendungsbeispiele

• ADSL
• Standleitungen
• MPLS
• Mobiles Internet

Übertragung: ADSL

• Asymmetric Digital Subscriber Line
• Datenrate entfernungsabhängig
• Kombinierbar mit POTS und ISDN
• Schmale Frequenzbänder, die je nach Störungssituation kombiniert werden
• Gegenstelle digital (DSLAM=DSL Acess Multiplexer)

Übertragung: ADSL - Entfernung

Entfernungsabhängigkeit vom DSLAM

Quelle: http://de.wikipedia.org/wiki/ADSL

Übertragung: ADSL - Kanalwahl

Kanalwahl

Quelle: http://de.wikipedia.org/wiki/ADSL

Öffentliche Netze: Standleitung

• "Leased Line"
• Gemietete Leitung zwischen dem eigenen Standort und dem Provider
• Alleinige Benutzung durch den Kunden
• Kostenintensiv
• Heute oft durch VPN-Tunnels über das Internet ersetzt

Öffentliche Netze: MPLS

• Multiprotocol Label Switching
• Verbindungsorientierte Datenübertragung über verbindungslose Netze
• Zwischen ISO-Layer 2 und 3
• Layer 2 MPLS und Layer 3 MPLS
• Ablöse der FrameRelay-Netze

Öffentliche Netze: Mobiles Internet

• z.B.: UMTS-Modem in Laptop, Tablet, Smartphone
• Standortunabhängig solange im Bereich des Mobilfunkanbieters und seiner Roamingpartner
• Weltweit möglich (trotz "weißer" Flecken)
• Dabei müssen unterschiedliche Frequenzen beachtet werden (nicht alle Smartphones sind mehrbandtaugliche)

Techniken der Ende zu Ende-Kommunikation (L4)

• Verbindungsorientiert ⇔ Verbindungslos
• Ports
• TCP
• TCP-Handshake
• UDP
• Andere L4-Protokolle

Layer 4: Verbindungsorientiert ⇔ Verbindungslos

• Bei der Ende-zu-Ende-Kommunikation wird zwischen Verbindungsorientierte und verbindungslosen Protokollen unterschieden
• verbindungsorientiert
  • Analog einem Telephongespräch wird zuerst einen Verbindung aufgebaut
  • Danach erfolgt erst die eigentliche Datenübertragung
  • Dabei wird auch die Flußkontrolle vom Protokoll wahrgenommen
  • Es erfolgt auch eine Beendigung der Verbindung
• Verbindungslos
  • Analog einer SMS werden bei der Verbindunglosen Kommunikation die Daten einfach gesendet
  • Eine eventuelle Flußkontrolle wird von Protokollen höhere Schichten wahrgenommen

Layer 4: Ports

• Protokollspezifisch werden hier Ports als Subadresse verwendet
• Bei den Internetprotokollen werden folgende Typen unterschieden
  • "Well-defined" oder System Ports(0-1023, 0_hex-3FF_hex
  • Userports (1024-49151, 400_hex-BFFF_hex)
  • Dynamische Ports (49152-65535, C000_hex-FFFF_hex)
• Beispiele
  • 22: SSH
  • 80: http
  • 110: pop3
  • 443: https
  • 995: pop3s

Layer 4: TCP

• TCP - Transmission Control Protocol (RFC 793)
• Verbindungsorientiertes Protokoll im Internetumfeld
• Zum Aufbau einer Verbindung wird ein 3-Way-Handshake verwendet (s.u.)
• Wann immer beim Internet eine gesichterte Verbindung benötigt wird, kommt TCP zum Einsatz
• Gesichert bedeutet hier nur, daß die Zustellung der Daten garantiert wird
• Entweder die Daten kommen an das Ziel oder eine Fehlermeldung wird erstellt
• Beispiele:
  • http/https
  • e-Mail-Verkehr
  • SSH

Layer 4: TCP-Handshake

• Der Handshake besteht aus drei Pakete (SYN, SYN ACK, ACK)
  
  
  
  
• Auch die Beendigung der Verbindung besteht aus drei Paketen (FIN ACK, FIN ACK, ACK)
  
  

Layer 4: UDP

• UDP - User Datagram Protocol (RFC 768)
• Verbindungsloses Protokoll im Internetumfeld
• Wenn auf eine gesicherte Verbindung verzichtet werden kann, kommt UDP zum Einsatz
• Wenn die Geschwindigkeit der Übertragung im Vordergrund, bevorzugt man UDP
• Beispiele:
  • DNS-Abfragen
  • VoIP-Telefonie
  • Streaming
  • TFTP

Layer 4: Andere L4-Protokolle

• SPX - Sequenced Packet eXchange
  • Verbindungsorientiertes Protokoll
  • Benötigt IPX als Layer 3 Protokoll
  • Einsatz ursprünglich im Novell Netzwerken

Anwendungsdienste (L7)

• DHCP
• DNS
• e-Mail
• WWW
• FTP, SFTP
• Telnet, SSH
• VoIP

Layer 7: DHCP

• Allgemeines
• DHCP Ablauf in IPv4
• IPv6 SLAAC
• Stateless DHCPv6
• Stateful DHCPv6
• DHCP Messages
• DHCP Proxy

Layer 7: DHCP - Allgemeines

• Protokoll zur automatischen Vergabe von IP-Adressen in einem LAN
• DHCP (Dynamic Host Configuration Protocol) für IPv4: RFC 2131
• Arbeitet mit UDP in Layer 4 und benutzt die Ports 67 und 68 (IPv4) bzw. 546 und 547 (IPv6)
• Dieses Protokoll erleichert das Eindringen in das LAN und stellt daher ein Sicherheitsrisiko dar(!)
• Informationen, die zur Verfügung gestellt werden:
  • IP-Adresse und Subnetmaske
  • Default Gateway
  • DNS-Server und optionaler Domänenname
  • Leasetime (z.B.: 86400s)
  • weitere Optionen (z.B.: WINS-Server, NTP-Server, ...)

Layer 7: DHCP - IPv4-Ablauf

• Client schickt einen Anfrage als Broadcast in das LAN (DHCPDISCOVER)
• DHCP-Server antwortet mit den Netzwerkparametern (IP, Default Gateway, DNS, …) für den Client (DHCPOFFER) als Angebot
• Client schickt einen Request mit den gewählten Parametern (DHCPREQUEST)
• Server schickt eine Bestätigung (DHCPACK) oder eine Ablehnung (DHCPNACK)

Layer 7: DHCP - IPv6 SLAAC

• StateLess Address Auto Configuration (RFC 4862)
• Keinerlei manuelle Konfiguration nötig
• Kein Serverdienst notwendig
• Clients konfigurieren ihre IPv6-Adresse an Hand von Router Advertisments
• Vorgabe des Präfixes (Netzanteil) durch den Router
• Rest (Hostanteil) mittels EUI-64 aus der Interface ID (MAC-Adresse)

Layer 7: DHCP - Stateless DHCPv6

• Ein "stateless" Server braucht keine Informationen verwalten (wer hat welche IP-Adresse)
• Für den SLAAC-Prozeß können Zusatzinformationen bereitgestellt werden (z.B.: DNS Server)
• Benötigt sehr wenige Resourcen, das Service kann daher z.B. von einem Router bereit gestellt werden
• Wird durch eine Erweiterung von SLAAC möglicherweise unnötig (siehe RFC 8106)

Layer 7: DHCP - Stateful DHCPv6

• Stateful DHCPv6 RFC 3315
• Die Adresszuordnung erfolgt wie bei DHCPv4 zentral
• 2 Varianten
  • Rapid Commit (nur „Solicit“ und „Reply“)
  • Normal Commit (alle 4 Nachrichten wie in DHCPv4)
• Default: Normal Commit
• Rapid Commit muß am Server und am Client konfiguriert werden

Layer 7: DHCP - Messages

Layer 7: DHCP - Message Verwendung

Layer 7: DHCP - Proxy

• DHCP Anfragen werden als Broadcasts versendet
• Broadcasts werden aber von Routern nicht weitergeleitet
• Damit nicht viele DHCP-Server nötig sind, werden DHCP-Proxies verwendet
• Diese leiten die entsprechenden Broadcasts als Unicasts zum DHCP-Server weiter und die Antworten wieder an den Client zurück

Layer 7: DNS

• Allgemeines
• Symbolische Adressen und deren Aufbau
• Struktur
• SLDs-Beispiele
• gTLDs-Beispiele
• ccTLDs-Beispiele
• Rootserver
• Ablauf
• Beispiele

Layer 7: DNS - Allgemeines

• Domain Name System/Service
• RFC 1034 und 1035 + Updates dazu
• Aufgabe: Symbolische Adressen in logische Adressen übersetzen
• Bekannteste Realisierung: BIND
• Oft auch in Verzeichnisdienste (z.B.: OpenLDAP) eingebunden
• Client und Server kommunizieren mittels UDP (Port 53)
• Die Nameserver einer Zone kommunizieren über TCP (Port 53)

Layer 7: DNS - Symbolische Adressen

• Dienen in erster Linie dazu, die Adressen für uns leichter merkbar zumachen.
  • z.B.:
  • www.orf.at
  • www.univie.ac.at
  • cisco.spengergasse.at
• Bestehen aus zwei Teilen, dem Rechnernamen und dem Domainnamen und muß weltweit eindeutig sein
• Die symbolischen Adressen werden mittels DNS (Domain Name System) in logische Adressen umgewandelt
• Rechner arbeiten nie mit symbolischen Adressen
• Der nächstgelegene DNS-Server muß dem Rechner mit seiner logischen Adresse bekannt sein

Layer 7: DNS - Struktur

• Das DNS ist hierarchisch (nicht jeder Nameserver kennt alle Adressen)
• Die Domainnamen sind strukturiert aufgebaut:
  • Eigentlicher Domainname (häufig der Firmenname)
  • optionale SLD (Second level domain)
  • TLD (Top level domain)
    • gTLDs - generische Top Level domains
    • ccTLDs - country code Top Level domains

Layer 7: DNS - SLDs-Beispiele

Second level domains

Layer 7: DNS - gTLDs-Beispiele

Aktuelle Liste der Topleveldomains

Layer 7: DNS - ccTLDs-Beispiele

Für jedes Land ein Kürzel nach ISO 3166-1

Layer 7: DNS - Rootserver

• In der Nameserversoftware sind die IPs von den 13 Rootservern eingebaut
• Das stellte früher ein Risiko für den Totalausfall des Internets dar
• Daher sind diese Adressen mittlerweile "Anycast"-Adressen (über 200 Instanzen)
• Alle Details auf root-servers.org

Quelle: https://de.wikipedia.org/wiki/Root-Nameserver

Layer 7: DNS - Ablauf

• Client prüft, ob die Adresse im eigenen DNS-Cache ist, wenn ja dann wird diese verwendet, wenn nein s.u.
• Client schickt einen DNS-Request an seinen DNS-Server
• eigener DNS-Server prüft seinen DNS-Cache, wenn die Adresse nicht im Cache ist, "frägt" er einen Root-Server (Details siehe hier bzw. hier), welche DNS-Server für die TLD zuständig sind. Diese werden nach den DNS-Servern für die SLD befragt usw. bis ein DNS-Server die IP des gesuchten Rechners liefert (oder einen Fehlercode, weil kein betreffender Eintrag bekannt ist.)
• eigener DNS-Server schickt den DNS-Reply zum Client
• wenn der eigene DNS-Server nur ein "forwarding" Server ist, wird die Anfrage von ihm bis zu einem "resolving" Server weitergeleitet, der dann die Antwort einholt und an den "forwarding" Server weiterleitet und dieser sendet die Antwort an den Client.

Layer 7: DNS - Beispiele

Obige Beispiele im Detail

Layer 7: e-Mail

• Allgemeines
• Übersicht
• Protokolle
• Ablauf
• Notwendige Daten zum Einrichten
• Standardports
• e-Mail Programme
• Eigenschaften
• Beispielmail

Layer 7: e-Mail - Allgemeines

• Ältester Dienst im Internet
• Ursprünglich nur ASCII-Texte (7-Bit-Code, das gilt noch immer)
• Formatierungen problematisch, da nur für einfache Texte gedacht
• Jede e-Mail enthält einen ausführlichen Mailheader (für die Fehlersuche interessant)
• MIME-Codierung, damit auch nicht 7-Bit-ASCII übertragen werden kann

Layer 7: e-Mail - Übersicht

Layer 7: e-Mail - Protokolle

Layer 7: e-Mail - Ablauf

• Senden immer per SMTP von e-Mail-Client zum eigenen SMTP-Server (vom Provider), der die Mail dann an das Ziel weiterleitet
• Empfangen auf mehrere Varianten vom Postfach beim eigenen Mailserver
  • POP3 (APOP)
  • IMAP4
  • HTTP (Webmail)

Layer 7: e-Mail - Generelle Informationen

• Moderne e-Mail-Programme versuchen Informationen (Server. Ports, Sicherheitseinstellungen, ...) aus der e-Mail-Adresse abzuleiten, das gelingt bei öffentlichen Mailserver i.a. gut, bei privaten Mailservern muß hier oft nachgebessert werden
• Notwendige Daten zum Einrichten - Generelle Informationen
  • die eigene e-Mail-Adresse
  • Optional Name
  • Optional Firmen-/Organisationsinformationen
  • Optional Rückantwortadresse
  • Optional Unterschriftendatei

Layer 7: e-Mail - Detailinformationen

• Notwendige Daten zum Einrichten - Empfangsinformationen
  • Empfangsart (POP, IMAP)
  • POP/IMAP-Server
  • Accountname und Passwort
  • Sicherheitseinstellungen
  • Optionale weitere dienstabhängige Parameter (z.B.: Ports)
• Notwendige Daten zum Einrichten - Sendeinformationen
  • SMTP-Server
  • Sicherheitsparameter (TLS, SSL, Port)
  • Eventuell notwendige Zugangsdaten (Name/Passwort)
  • Optionale weitere Parameter (versetztes Senden, ...)

Layer 7: e-Mail - Standardports

Layer 7: e-Mail - e-Mailprogramme

• Outlook (Microsoft)
• Thunderbird (Mozilla)
• Pegasus (David Harris)
• elm (Open Source)
• pine (Open Source)
• Mutt (Open Source)
• ...

Layer 7: e-Mail - Eigenschaften

• + Schnelle Nachrichtenübermittlung (im Vergleich zu snail-Mail)
• + Einfache Weiterverarbeitung der Nachrichten möglich
• - Unzureichender Datenschutz
• - Keine zentralen e-Mail-Verzeichnisse

Layer 7: e-Mail - Beispiel

• Mail im Mailprogramm
• Header in der Mail
• Mailinhalt in der Mail
• Information über einen Anhang
• Anhang
• Base64-Kodierung

Layer 7: e-Mail - Beispiel - Mail

Layer 7: e-Mail - Beispiel - Mailheader

Layer 7: e-Mail - Beispiel - Mailinhalt

Layer 7: e-Mail - Beispiel - Anhanginfo

Layer 7: e-Mail - Beispiel - Anhang

Layer 7: e-Mail - Beispiel - Base64

• Da das e-Mail Protokoll nur 7-Bit-ASCII-Zeichen unterstützt, müssen alle anderen Zeichensätze umkodiert werden
• Weitverbreitet für Anhänge ist die Base64-Kodierung
• Dabei werden aus 3 Bytes 4 7-Bit-ASCII-Zeichen
• D.h. Mailsanhänge werden deutlich größer (4/3)
• Details zu Base64 siehe Wikipedia

Layer 7: WWW

• Allgemeines
• Ablauf
• Überblick
• Serverprogramme
• Clientprogramme
• Dynamik
• Proxy
• Eigenschaften

Layer 7: WWW - Allgemeines

• Grundbegriffe
  • Hypertext
  • Hyperlink
  • Hypermedia
• 1989 am CERN entwickelt
• 1. Browser MOSAIC → Navigator
• HTTP – HyperText Transfer Protocol
• RFC 1945 (V1.0) und RFC 2616 (V1.1)

Layer 7: WWW - Ablauf

• Webserver stellen über HTTP Informationen in standardisierter Form (HTML) zur Verfügung
• Webbrowser stellen diese dar
• Layoutkontrolle grundsätzlich am Client (Browser), d.h. Angepaßt an die Fähigkeiten des Clients

Layer 7: WWW - Überblick

Layer 7: WWW - Serverprogramme

• Apache HTTP Server
  • Apache Software Foundation
• IIS (Internet Information Server)
  • Microsoft
• …
  • CERN httpd
  • lighttpd

Layer 7: WWW - Clientprogramme

• Browser
  • Mozilla Firefox (Open Source)
  • Google Chrome (Google)/Chromium (Open Source)
  • Microsoft Internet Explorer (Microsoft)/Edge (Microsoft)
  • Safari (Apple)
  • Opera (Opera)
  • Lynx (Open Source, textbasierend)
  • ...
• Apps

Layer 7: WWW - Dynamik

• Dynamische Inhalte Serverseitig
  • SSI - Server Side Include
  • Scripts (CGI, Perl, PHP, ASP, JSP, ...)
  • Datenbankanbindung
• Dynamische Inhalte Clientseitig
  • Scripts (Javascript, Active X)
  • Bilder (Animated GIFs, Flash, ...)
  • Medieneinbindung in HTML5

Layer 7: WWW - Proxy

• Zweck: Bessere Nutzung der Bandbreite durch Zwischenspeicherung
• Nur bei statischen Seiten effizient
• Sicherheitsüberlegungen können ebenfalls zum Einsatz führen
• Überwachung des Surfens und Sperre von Seiten möglich

Layer 7: WWW - Eigenschaften

• + Benutzerfreundliche Oberfläche
• + Nutzung verschiedenster Dienste mit einem Client
• + Einfache Suchmöglichkeit
• - Kein Vorausschau auf zu erwartende Wartezeit
• - „Verlaufen“ im Cyberspace
• - Qualität der Informationen nicht bekannt

Layer 7: FTP, SFTP

• (Secure) File Transfer Protocol/Program
• Dateitransfer über das Netz
• Eigentlich Benutzername und Passwort notwendig
• Oft aber mit Benutzername "anonymous" und als Passwort die eigene e-Mail-Adresse möglich

Layer 7: FTP Funktion

• RFC 354
• Steuerkanal (Port 21) zum Aushandeln des Transfers
• Datenkanal vom Server gesteuert (außer im PASSIV-Mode; Port 20), daher im Zusammenhang mit Firewalls und NAT problematisch

Layer 7: FTP Verwendung

• Bei den Betriebssystemen i.a. nur Commandline-Programm enthalten
• z.B.: <START> <AUSFÜHREN>
           FTP <rechnername>
• Graphische Varianten von Drittanbietern verfügbar (Für den privaten Gebrauch oft kostenlos)

Layer 7: FTP Commands

• OPEN <server>
• USER <user> (Abfrage nach Passwort)
• GET remote-filename local-filename
• PUT local-filename remote-filename
• BINARY/ASCII
• DIR/LS, LDIR/LLS
• CLOSE/QUIT/BYE

Layer 7: FTP graphisch

• Vorkonfigurierbare Sitzungen
  • Servername, Username und Password
  • Startverzeichnis lokal und remote
  • Automatische Übertragungsmodi
• Mit der Maus bedienbar
• Diverse Zusatzfunktionen (Ansehen von remote Dateien)

Layer 7: FTP - Graphische Anwendung

Layer 7: FTP - Browser-Plugin

Layer 7: FTP - Übertragungsarten

• ASCII
  • Für Text, dabei werden Anpassungen in der Zeilenschaltung vorgenommen
• BINARY
  • Für Binärdateien, hier werden keine Anpassungen vorgenommen
• PASSIV
  • Die Datenverbindung wird vom Client (und nicht - wie in FTP üblich - vom Server) aufgebaut

Layer 7: FTP → SFTP

• Die leichte Abhörbarkeit einer FTP-Verbindung hat dieses Protokoll in Verruf gebracht
• Secure FTP verwendet eine SSH (siehe unten)-Verbindung für die Übertragung und erreicht damit eine wesentlich höhere Sicherheit

Layer 7: FTP Eigenschaften

• + Einfache Art Dateien zu kopieren
• + Wenige Befehle
• + Riesige Datenbestände
• + Oft lokaler Mirror eines interessanten Datenbestandes vorhanden
• - Unzureichender Datenschutz, daher nur anonym zu empfehlen bzw. SFTP

Layer 7: Telnet, SSH

• Anmelden an einen entfernten (remote) Rechner
• Danach verläuft die Arbeit, so als würde direkt an diesem Rechner gearbeitet werden
• Daher auch die Bedienung des Rechner mit dessen Befehlen (häufig UNIX)

Layer 7: Telnet

• Die Daten inklusive der Anmeldedaten werden im Klartext übertragen und können daher leicht abgehört werden
• Fernadministration von praktisch allen Multiusersystemen möglich
• z.B.: <START> <AUSFÜHREN>
           TELNET <rechnername>

Layer 7: SSH

• Schutz der übertragenen Daten durch Verschlüsselung (TLS)
• In den Windows-Systemen nicht standardmäßig implementiert
• Free Client für Windows: PuTTY
• Nur zu Rechnern mit einem SSH-Server möglich (ist in nicht-Windows-Systemen üblich)

Layer 7: Telnet Eigenschaften

• + Einfacher Zugang auf einen entfernten Rechner
• + Auf den Zielrechner die auf diesem Rechner gewohnten Befehle
• - Unzureichender Datenschutz, daher nicht zu empfehlen (Ersatz: SSH)

Layer 7: VoIP

• Allgemeines
• Übersicht
• Protokolle
• Echtzeitproblematik
• Ablauf
• Vorteile
• Nachteile

Layer 7: VoIP - Allgemeines

• VoIP - Voice over IP (Übertragung von Telephongesprächen über das IP-Protokoll)
• Wird von Internettelephonie (z.B.: mit Skype) unterschieden
• Bei der Umstellung einer verbreiteten Technologie (Analogtelephonie) auf die Internetinfrastruktur wurde die Sicherheit vernachlässigt
• Ortsgebundenheit der Rufnummern geht dadurch verloren (Rufnummer aus Wien z.B. in Hamburg möglich)
• Kein Telephon ("Hardphone") notwendig, ein "Softphone" ist ausreichend
• Virtuelle Telephonanlagen realisierbar

Layer 7: VoIP - Übersicht

Layer 7: VoIP - Protokolle

• SIP - Session Initiation Protocol (RFC 3261)
  • Verwendeter Port 5060 bzw. 5061 (verschlüsselt)
  • Verbindungsauf- und -abbau
  • Dient nur zur Aushandlung von Kommunikationsmodalitäten
• RTP - Real-Time Transport Protocol nach RFC 1989 (1996) jetzt RFC 3550 (2003)
  • Transportiert Multimediadatenströme
  • Verwendet UDP in der Transportschicht (verbindungslos)
• SDP - Session Description Protocol
  • z.B. Vereinbarung von Codecs
• ...

Layer 7: VoIP - Echtzeitproblematik

• Telephonie benötigt zwar nur sehr geringe Bandbreiten aber Echtzeitfähigkeit
• IP-Netze haben quasi "per Definition" keine Echtzeitfähigkeit
• Störungen durch
  • "Delay"
  • "Jitter"
  • "Packet Loss"
• Im Internet daher mit Schwierigkeiten verbunden
• Im Firmennetz durch Priorisierungen (QoS) besser nutzbar

Layer 7: VoIP - Ablauf

• Der Verbindungaufbau erfolgt z.B: mit SIP/SIPS (alternativ H.323, ...)
• Danach werden über eigene Kontrollprotokolle (z.B.: SDP) die Sitzungsparameter vereinbart
• Die Datenübertragung erfolgt mittels RTP/UDP (Übertragungsfehler werden i.a. ignoriert)
• Der Verbindungabbau erfolgt wieder mit dem Protokoll mit dem die Sitzung aufgebaut wurde (z.B.: SIP)

Layer 7: VoIP - Vorteile

• Kosteneinsparung
  • VoIP zu VoIP-Gespräche oft kostenlos
  • Einheitliche Infrastruktur
  • Anlagenvernetzung über VPN statt eigene Leitungen
• Neue Anwendungen (Gruppengespräche, Webseite mit Anrufbutton, ...)
• Weltweite Rufumleitung
• Weltweite Erreichbarkeit unter der selben Nummer (z.B. Teleworker)
• Unified Messaging
• Nur ein Netz (nur eine Kabeltype)
• Einfachere CTI

Layer 7: VoIP - Nachteile

• Netzwerkkenntnisse für die Konfiguration notwendig
• Zusätzliche Hardware in Netz- und im Telephoniebereich
• Herausforderungen an Qualität und Zuverlässigkeit
• Bei Stromausfall telephonieren nicht möglich
• Notrufe (Woher kommt der Notruf?)
• SPIT (SPam über Internet-Telephonie)
• Visphing (Phishing mittels VoIP)
• Inkompatibilitäten der Standards bzw. zwischen Netz- und Telephonwelt

Verzeichnisdienste

• Was ist das?
• Warum?
• Vorteile für den Benutzer
• Vorteile für den Administrator
• Standards

Verzeichnisdienste: Was ist das?

• Ein zentraler Informationsspeicher der Netzwerkumgebung
• Nicht gebunden an einen oder mehrere physikalische Standorte
• Hierarchisch aufgebaut
• Plattformunabhängig
• Standardisiertes Zugriffsprotokoll

Verzeichnisdienste: Beispiel DNS

• Im Internet wird – meist transparent – der DNS-Dienst für die Zuordnung von DNS-Namen zu IP-Adressen verwendet
• Plattformunabhängig, hierarchisch, standardisiert
• Nur eine Aufgabe (DNS-Name auf eine IP-Adresse abbilden)

Verzeichnisdienste: Aufbau

• Container
  • Firma
  • Abteilung
  • ...
• Objekte
  • Benutzer
  • Server
  • ...
• Eigenschaften
  • Werte der Objekte
  • z.B.: e-Mailadresse eines Benutzers
  • ...

Verzeichnisdienste: Anforderungen

• anpaßbar an Firmenstruktur
• Integration aller Netzwerkkomponenten
• Standardobjekttypen (User, Drucker, ...)
• freie Objekttypen
• Sinnvolle Standardattribute (e-Mail, ...)
• Definition freier Attribute
• ...

Verzeichnisdienste: Warum?

• Reduktion der Benutzer- bzw. Ressourcenverwaltung
  • e-Mail-Systeme
  • Netzwerkbetriebssysteme
  • Anwendungsprogramme
  • Datenbankzugriffe
  • ...
• Vereinheitlichung der Parameter und der Suche danach

Verzeichnisdienste: Resourcen

• Dateien
• Dateiverzeichnisse (Ordner)
• Datenbanken
• Dienste
• Druckerwarteschlangen
• Drucker
• Speichereinheiten
• Server
• Arbeitsstationen
• Anwendungen
• Gateways
• ...

Verzeichnisdienste: Angaben (Beispiele)

• zu Mitarbeitern
  • Name
  • Adresse
  • Telephonnummer
  • ...
• zu Ressourcen
  • Drucker: Standort, Fähigkeiten, ...
  • Arbeitsstationen: Betriebssystem, Ausstattung, ...
  • ...
• Zugriffsmöglichkeiten
• Zugriffsrechte
• Verfügbare Anwenderdienste

Verzeichnisdienste: Einsatzmöglichkeiten

• Wie ist die Telephonnummer von X?
• Wie lautet die e-Mail-Adresse von y?
• Wo ist die Anwendung z?
• Wie melde ich mich an die Datenbank abc an?
• Wo ist der aktuelle Geschäftsbericht?
• Wo ist ein Farbdrucker?
• ...

Verzeichnisdienste: Nachteile für den Benutzer

• Umstellung auf ein neues System
• Namen gewohnter Dienste können länger werden, da sie in einem Kontext gesehen werden müssen

Verzeichnisdienste: Vorteile für den Benutzer

• Einfache Abfrage von Informationen zu einem Objekt
• Nur ein(?) Passwort
• Keine Notwendigkeit über Änderungen im Netz informiert zu werden (Änderung von Speicherplätzen, Faxdiensten, ...)
• Transparenter Zugriff auf Objekte (interner Aufbau ist für den Anwender nicht relevant)

Verzeichnisdienste: Nachteile für den Administrator

• Umstellung (Aufwand)

Verzeichnisdienste: Vorteile für den Administrator

• "Single Point of Administration"(!) statt mehrere Administrationsprogramme
• Änderungen in der Netzwerkinfrastruktur bleiben für den Benutzer transparent (d.h. weniger Rückfragen)
• Weniger Benutzerunterstützung notwendig (wegen der Transparenz)

Verzeichnisdienste: Standards

• ISO/IEC 9594/ITU-TS X-500
  • Basisnorm für alle Verzeichnisdienste
• ENV 41210
  • DAP (Directory Access Protocol)
• LDAP (Lightweight DAP)
  • Derzeitiger Defacto-Standard mit dem verschiedene Verzeichnisdienste kommunzieren

Verzeichnisdienste: X.500

• DIT (Directory Information Tree)
• DN (Distinguished Name)
  • global eindeutig
• RDN (Relative Distinguished Name)
• CN (Common Name)
• @c=AT@o=SPG@ou=EDV@cn=xyz

Verzeichnisdienste: LDAP

• Defacto-Standard für die Kommunikation verschiedener Verzeichnisdienste
• RFC 1777 (März 1995) LDAPv2
• RFC 2251 (Dezember 1997) LDAPv3
• cn=xyz, ou=EDV, o=SPG, c=AT

Verzeichnisdienste: Übersicht – Verzeichnisdienste

• Laut der US-Vereinigung Network Applications Consortium gibt es nur zwei die den Namen Verzeichnisdienst verdienen:
  • Banyan Streettalk (nicht mehr am Markt)
  • Novell NDS/e-Directory
• Daneben noch:
  • IBM Secure Directory
  • IBM/Lotus NAB (Namen- und Adressbuch)
  • Microsoft ADS
  • ...

e-Directory

• Allgemeines
• Aufbau
• Objekttypen und deren Eigenschaften
• Kontext
• Partitionen und Replikationen
• Zeitsynchronisation
• Verwaltung

e-Directory: Allgemeines

• NDS als Netware Directory Services im Jahr 1994 mit Netware 4 als Nachfolger des Bindery-Systems eingeführt
• Später auf Novell Directory Services umbenannt, da auch auf Windows-Server und Unix-System lauffähig
• Heute oft als e-Directory bezeichnet

e-Directory: AUfbau

• Baumartig mit drei Klassen von Objekten
  • Rootobject (Wurzel des Baumes; bezeichnet mit dem Pseudonamen [Root])
  • Containerobjects (C, O und OU)
  • Leafobjects (Blattobjekte, CN)

e-Directory: Rootobject

• Einmalig in einem Tree
• Der Name des Trees ist mit diesem Objekt verbunden
• Alle Eigenschaften für den gesamten Tree sind mit diesem Objekt verbunden (z.B.: B-Recht für [Public])

e-Directory: Containerobjects

• Nur Containerobjekte können weitere Objekte beinhalten
• Containerobjekte haben auch Eigenschaften für alle Objekte darin
• C
  • Countryobject
• O
  • Organisation Object
• OU
  • Organizational Unit Object

e-Directory: Countryobject

• Countryobjects können nur in [Root] existieren
• Namen müssen den international üblichen Namen (ISO 3166-1) der Länder entsprechen
• Countryobjects können nur Objekte des Types O beinhalten

e-Directory: Organisationobject

• Organisationobjects können in [Root] oder in Objekten des Typs C existieren
• Organisationobjects können OU- oder Leafobjects beinhalten
• Die Namen entsprechen üblicherweise den Firmennamen

e-Directory: Organizational Unit Object

• Diese Objekte können in Objekten der Typen O oder OU existieren
• In diesen Objekten können weitere OU oder Leafobjekte untergebracht sein
• Die Namen können frei gewählt werden, sollten aber "sprechend" sein

e-Directory: Leafobjects

• Blatt- oder Endobjekte stellen die eigentlichen Elemente des Netzwerkes dar
• Je nach Art des Objektes sind hier verschiedene Eigenschaften möglich (z.B.: Drucker hat einen Standort, Benutzer?)

e-Directory: Leafobjekttypen

• Einige Standardtypen:
  • Alias
  • User (Benutzer)
  • Workstation (Computer)
  • Volume (Datenträger)
  • Group (Gruppe)
  • Server
  • Profile (Profil)
  • Directory (Verzeichniszuordnung)
  • Role (Organisatorische Funktion)
  • License (Lizenz)
  • Application (Anwendungsprogramm)
  • Printer (Drucker), Printserver (Druckserver), Queue (Warteschlange)
  • ...

e-Directory: Leafobjekttypen (Nichtstandard)

• Neben den Standardtypen sind noch beliebige Erweiterungen möglich:
  • fw1 User (Checkpoint Firewall-1)
  • Bagger
  • Kran
  • Flugzeug
  • Elternteil (spezieller Benutzertyp)
  • ...

e-Directory: Kontext

• Um ein Objekt korrekt zu beschreiben muß der DN verwendet werden
• Der Kontext ist jener Teil des DN, der zum CN hinzugefügt werden muß
• Ein "Default Context" (Standard Kontext) spart die Angabe des Kontexts für Objekte in diesem Kontext

e-Directory: Beispiel

e-Directory: Beispiel - Erläuterungen 1

• Kein Countryobject
• Ein Organisationobject names HTBLVA
• Viele OU-Objects
• Viele Leafobjects von denen nur drei Benutzer und ein Volume eingezeichnet ist
• Der Name des Benutzers Admin:
  • <treename>/cn=admin.o=htblva oder kurz
  • <treename>/admin.htblva

e-Directory: Beispiel - Erläuterungen 2

• Der RDN des Benutzers Admin:
  • im Kontext HTBLVA: cn=admin
  • im Kontext [Root]: cn=admin.ou=htblva
  • im Kontext Kolleg.EDV.HTBLVA: admin..
• DN des Objektes MIRACULIX_PUPIL:
  • MIRACULIX_PUPIL.EDV.HTBLVA
• RDN des Objektes:
  • Kontext EDV.HTBLVA: MIRACULIX_PUPIL
  • Kontext HDV.EDV.HTBLVA: MIRACULIX_PUPIL.
  • Kontext HTBLVA: MIRACULIX_PUPIL.EDV

e-Directory: Eigenschaften

• Jedes Objekt im eDirectory hat Eigenschaften (Properties)
• Containereigenschaften beziehen sich oft auf alle Objekte im Container
• Mögliche Eigenschaften im Schema beschrieben
• Eigenschaften können optional oder mandatory sein

e-Directory: Eigenschaften von Organizations

• Name
• Login Script
• Rechte
• ...

e-Directory: Eigenschaften von Volumes

• Name
• Host Server
• Host Volume Name
• Version
• ...

e-Directory: Eigenschaften von Benutzern

• First Name, Last Name, Full Name
• UserID (Login Name)
• Key Material (Verschlüsselung, Anmelden, ...)
• e-Mail-Address
• Title, Telephone Number, Address
• Home Directory Volume, Home Directory Path
• Password Parameter, Account Ablaufdatum, Beschränkung gleichzeitiger Verbindungen, Last Login
• Gruppenmitgliedschaften
• ...

e-Directory: Eigenschaften von Gruppen

• Name
• Beschreibung
• Mitglieder
• Rechte auf Verzeichnisse und Dateien
• ...

e-Directory: Partitionen

• Ein NDS-Baum kann in mehrere Partitionen aufgeteilt werden
• Ein Aufteilung hat nur dann Sinn, wenn mehrere Server vorhanden sind
• Von jeder Partition existieren standard-mäßig 2 Kopien (Replikationen) auf unterschiedlichen Servern

e-Directory: Replikationen

• Replikationen sind Kopien aller Daten einer Partition
• Automatische Erstellung beim Partitionieren
• Manuelle Erstellung durch den Administrator

e-Directory: Replikationstypen

• Masterreplikation (Masterreplica)
• [Gefilterte] Schreiben/Lese-Replikation ([Filtered] Read-Write-Replica)
• [Gefilterte] Nur-Lese-Replikation ([Filtered] Readonly-Replica)
• Linkreplikationen (Subordinate Reference Replica)

e-Directory: Zeitsynchronisation

• Damit mehrere Server korrekt mit e-Directory arbeiten können, muß(!) eine einheitliche Zeit im System herrschen
• Alle Server haben daher intern UTC (gleich GMT = MEZ-1Stunde/2Stunden)
• Zusätzlich wird die lokale Zeit für die Anzeige verwendet (aus UTC gebildet und Zeitzone)
• e-Directory hat seine eigene Zeitsynchronisation, unterstützt aber auch ntp (siehe eigene Präsentation)

e-Directory: Zeitsynchronisation - Zeitservertypen

• SINGLE REFERENCE
• REFERENCE
• PRIMARY
• SECONDARY

e-Directory: Zeitsynchronisation - SINGLE REFERENCE

• Die Uhrzeit dieses Servers wird als Referenz für das Netzwerk verwendet
• Daneben nur SECONDARY Timeserver sinnvoll
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - REFERENCE

• Referenzzeitserver, der allerdings mit anderen Zeitservern die Netzwerkzeit abstimmt (seine eigene Zeit aber nicht daran anpaßt)
• Daneben sind SECONDARY und PRIMARY Timeserver möglich
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - PRIMARY

• Zeitserver, der mit anderen Zeitservern (PRIMARY oder REFERENCE) die Netzwerkzeit abstimmt
• Daneben sind SECONDARY, PRIMARY und REFERENCE Timeserver möglich
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Zeitsynchronisation - SECONDARY

• Zeitserver, der selbst seine Uhrzeit von anderen Zeitservern (PRIMARY, SINGLE REFERENCE oder REFERENCE) bekommt
• Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt

e-Directory: Verwaltung

• Namensgebung
• i-Monitor
• i-Manager

e-Directory: Verwaltung - Namensgebung

• In eDirectory-Namen sollten folgende Zeichen nicht verwendet werden:
  . [ , ] + =
• Möglich sind aber auch diese mit dem \ (=Fluchtsymbol) davor
• 47 Zeichen maximale Länge für Namen, die SAP (Service Advertising) benötigen
• Richtlinien für Namensgebung sinnvoll

e-Directory: Verwaltung - Richtlinien Namensgebung

• Damit später der Baum einfacher durchsucht werden kann
• Genaue Beschreibung der Namensbildung
• Genaue Beschreibung der Schreibweise und der Trennzeichen
• Strikte Einhaltung (!)

e-Directory: Verwaltung - Beispiele Namensgebung

• Login Name
  • Erster Buchstabe Vorname
  • Familienname (z.B.: hhabicht)
• Telefonnummer
  • Internationale Schreibweise (z.B.: +49 89 5475)
• Full Name
  • Vorname Zuname (z.B.: Hugo Habicht)

e-Directory: Verwaltung - i-Monitor

• Webbasierendes Monitoring und Diagnosetools
• eDirectory Zustandsübersicht
• Fehlermonitoring
• Verbindungsübersicht der Replikationen
• ...

e-Directory: Verwaltung - i-Manager

• Webbasierende Verwaltung des eDirectories
• Durch PlugIns erweiterbar
• Rollenbasierendes Management möglich
  • Unrestricted
    • Anzeige aller Rollen und Tätigkeiten
  • Assigned
    • Zugeordnete Rollen und Tätigkeiten für den Benutzer
  • Collection owner
    • Mehrere Rollen für eine Sammlung

Quellen

• Geschichte von Victor Schmidt
• OSI-Modell
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit