02.04.2013

UDP
user datagram protocol
STP
spanning tree protocol
RIP
routing internet protocol
twisted pair verkabelung
!!!
hubs

1.

Netzwerk als Plattform
WAN
öffentlicher Carrier
Bezahldienste
Lease-Line
Leitungsvermittelte Dienste
Paketvermittelte Dienste
MAN
metropolitan area network
Verbindung innerhalb einer Metropole
oder darüber hinaus
selten
Ruhrgebiet
Berliner Verwaltung
Bezirksämter miteinander vernetzt
FDDI
Glasfasernetzwerk
Ringtopologie wird verwendet
metro ethernet
jenseits von 100 GBit/s
Intranet
im LAN-Bereich
Bündel von Technologien
Anwendung von Internettechnologien im LAN-Bereich
Webseite als Helpdesk
Internetdatenbanken
Emailserver
Extranet
Autoindustrie
Zulieferer
Erlaubnis gegenseitig auf Netzwerkstrukturen zuzugreifen
BMW gibt im Netz des Zulieferers DIREKT den Auftrag ein
ATM
Grundtransfer Modus
DSL
ATM Switch
alles wird umgesetzt
Alternative ist Frame Relay
in USA
Internet
TCP/IP Control Stack
(Full-) Mesh-Net
alles was in IT Struktur Datenübertragung ermöglicht in Internet eingebunden
beschreibt die Technologien die benutzt werden
nicht die Protokolle
DSL
Digital Subscriber Line
anderer Frequenzbereich
um ISDN nicht zu stören
ATM
Zugangstechnologie
ISP
mietet Datenlinien
vom Carrier
keine innere Topologie
kann auch gleichzeitig Carrier sein

2.

Komponenten des Netzes (LAN)
Nachricht
Dateneinheiten, die zwischen Endgeräten ausgetauscht werden
binäre Form
leitungsvermittelnd
von der quelle eine verbindung aufbauen
telefonnummer
verbindungsphase
verbindungsabbau
entlang eines datenkanals
galvanisch durchgeschaltet
aber nicht das kriterium
virtuell leitungsvermittelt
garantiert eine verbrechungsfreie verbindung
paketvermittelnd
nachrichtenformate der protokolle!!
intelligente knoten
müssen rausfinden, wo soll das paket hin
kein Verbindungsaufbau und Abbau
header werden ausgelesen
ein header hat sequenznummer für reihenfolge
Data overhead =
protocol overhead
nachricht overhead
alle header die zur verarbeitung der info nötig sind
werden durch software und hardware erzeugt
paketgröße ist festgelegt
ip anders als ipx
wenn kleiner als mindestgröße, werden bits angehängt
padding
Medium
WLAN
BYOD
bring your own device

IEEE 802.11
2.4 GHz
5 GHz
max (2Mbit)
modulation
eff
b
x


11 Mbit (2x mögl.)
dsss
5-6 Mbit
a


x
54 Mbit
ofdm
20-22 Mbit
g
x


54 Mbit
ofdm
20-25 Mbit
n
x
x
600 Mbit (3x MIMO)
ofdm+mimo
300 Mbit
ac


x
1.3 Gbit (3x MIMO)


>300 Mbit
ad
60GHz
60GHz
6.7 Gbit


n.

standardisiert
MIMO = Multiple Input / Multiple Output
h für militärische zwecke und outdoor

USB Sticks
Netzwerkkarten
Access Point
wie kabelbasierter Repeater
erweiterung des elektromagnetischen feldes

Kupferkabel
8-adriges Kabel
Kategorien für Übertragungsqualität
Cat 7 ist letzte Stufe
Unterschied ist Abschirmung
und Verdrillung
Gazeschirm
Folienschirm um Paare
Cat 3 ungeschirmt
Foil Twisted Pair (FTP)
sporadische Fehler meist bei Konnektivität
die schlimmsten, die passieren können
massive Kupferkabel
keine Litze
Verlegekabel
sehr stark abgeschirmt
hoher leitungsquerschnitt
energie wird aussen abgeleitet
twisted pair verkabelung (patch kabel)
max.

100m
länger braucht repeater
RJ-45 Stecker
sollten heute alle geschirmt sein
glasfaserkabel
setzt konverter voraus
meist leds oder laserdioden
80 km ohne signalaufbereitung
single mode
licht nur in einer wellenlänge
größte Überbrückung von strecken
laser
3.5x10-9nm
multi mode
schlechtere Qualität
billiger
led
frequenzen weichen voneinander ab
frequenzen kommen im zeitlichen verlauf dispensiert an
wie schauen auf mond, wenn es diesig ist
deshalb muss man es kürzer machen
schwankung der frequenz, nicht multiplex
500m - 2000m
abhängig von frequenz
das teure ist das splicen
das anbringen von konvertern
fibre to the desk
kampagne
im backbone bereich ausschliesslich glasfaserkabel
zwischen etagen
ethernet auf glasfaserbasis
Devices
NIC
network interface connector
layer 3 konfigurierbar
magic packet
rechner per lan aufwecken
flusssteuerung
empfänger kann bei ethernet nicht sagen, mach mal langsamer
geschwindigkeitsanpassung
netzwerkkarten tauschen auf layer 1 ebene steuerinformationen aus, die eine anpassung der flussgeschwindigkeit ermöglicht
falls empfänger langsamer ist als sender
mikrosegmentierung
pro port ein pc
kann nichts kollidieren
duplex
priorität
voip hat höhere priorität
greenport
nic von sich aus beim negotiation prozess schaut, wie lang die leitung ist
signalpegel wird daraufhin eingestellt
prüfsummenabladung
off load
empfänger überprüft prüfsumme
normalerweise durch interrupts
prozessor übernimmt das normalerweise
heute aber durch die NIC
layer 2, 3, 4
wird aber schon vorher auf NIC verarbeitet
wenn off load an
wireshark hat probleme, wenn off load an ist
großes paket
ethernet frame 1518 byte
jumbo frames
wenn gegengerät das auch unterstützt kann man 9990 bytes übertragen

hub
kopiert alles auf alle anderen ports
shared medium
logischer bus
physikalischer stern
switch
physikalischer stern
logischer stern
mikrosegmentierung
volle bandbreite
time division multiplexing
basisband
3 quellen die den kanal verwenden
segmente von erster, dann zeitlich nacheinander von quelle 2 und 3
quality of services
bestimmte bandbreite und qualität in einem kanal garantiert
datenstrom priorisieren
router bekommt paket mit höherer priorisierung und leitet es häufiger über einen bestimmten port weiter
voip hohe anforderung
webseitenabruf niedrige anforderung
broadband
frequenz multiplexing
Rules
sind eigentlich protokolle, die aus bündel von regeln bestehen
sind konventionen, die die kommunikation regeln
sind unterschiedlich
verwenden unterschiedliche nachrichten
unterschiedliche handshakes
heute in der wirtschaft protokolle, die zu 90% auf tcp/ip basieren
proprietäre protokolle
herstellerabhängig
wie diplomatisches protokoll
ipx/spx von novell
sna, appletalk
smtp
single mail transfer protocol
imap / pop3
konvergentes netz
alle informationen durch eine leitung
20 router, erarbeiten sich die routinginformation autark
wenn alle widerspruchsfrei wissen wo knoten sind, dann konvergent
sinix anlage
für telefonieren telefonnetz
für daten breitband
konvergent = ein übertragungsmedium, aber unterschiedliche protokolle
3.

netzwerkarchitektur (lan design)
hierarchisches modell
skalierbarkeit
fehlertoleranz
core layer
schnelle switches
distribution layer
schnelle switches
access layer
langsame switches
router
firewall
mehrere routingprotokolle
nur an grenzen des netzes

03.04.2013
LAN
besitzt in aller regel eine struktur
topologie
übergang in WAN bereich
WAN
zugänge die zweigstellen verbinden können WAN verbindung sein
lease line
nicht alles im weitverbindungsbereich geht über das internet
über ISDN, gebündelt
internet
vermashtes netz ohne topologie
nicht alles mit allem verbunden
redundanzen
bündel von technologien
www
ftp
smtp
pop3
vpn (logische verbindung) (mietleitung im gegensatz)
logische struktur auf physikalischer struktur aufgesetzt

nachricht
muss codiert werden
übertragen
über ein kabel/kanal
datenkommunikation
protokoll
summe von regeln
sichere zustellung jedes bits
übertragungsgeschwindigkeit steuern
handshake
kupfer
twisted pair
8 adern
für empfang und sendung 4 adern ausreichend
gigabit ethernet alle notwendig
leuchtstoffröhren
interferenz auf 2.4 GHz band
hierarchie
access layer
anschluss der switches
2950
switch fabric einfach gehalten
distribution layer
höhere bandbreiten
über einen port 20 endgeräte
lastverteilung
ausfallsicherheit
core layer
superschnelle switches
große bandbreiten
zusammenfassung von ports
ethernet channelling
ausfallsicherheit
“mache möglichst alles redundant”
komme von a nach b über verschiedene wege
trunk port
uplink
bpdu
bridge pdu
spanning tree
nicht redundant
redundante netze haben ein problem
sie sind protokollintensiv
virtuelle switches
switching fabric
internet bus
und
cloud server
switch auf rechner
emulation der hardware
flache hierarchie
skalierbarkeit
einbau von neuem gerät
rückwirkung auf altes netz
hub
werden nicht mehr eingebaut
sicherheitslücke
unnötiger traffic
redundanz / ausfallsicherheit
2 internetzugänge üblich
redundanz hat seinen preis
zusätzlicher protocol overhead
quality of services / leistungsfähigkeit
priorisierung von datenströmen
webpage
voip
nach streamingprotokoll
echtzeitnähe
sicherheit
access control
datenfilterung
firewall
administrierbarkeit
spezielle server
aaa / radioserver
authorisation
authentification
access
jedesmal wenn sich ein user anmeldet, weiterleitung von router an radioserver
wartungsfreundlichkeit
workgroupswitch
ein kabel zu zentralem verteiler
aus lokalen gründen
nicht wartungsfreundlich
zugangssicherheit
bandbreite wird geteilt
jedes gerät eine leitung zu zentralem verteiler
portdichte
wieviel ports auf ein 19” slot
backplane
direktverbindung zwischen switches
server virtualisierung
betriebssystem über hypervisor
vmware
microsoft
stolz auf rackserver früher
heute konsolidierter server
32 GB RAM
SAN / Internet SCSI auf HDs
storage area network
file over cluster
mehrere server
netzwerkkarten wie switche konfigurieren
jede anwendung kann auf eigenem virtuellen server laufen
desktopvirtualisierung
switchen zwischen
physikalischem OS
OS auf client
applikationsvirtualisierung
programm auf server
wird in geschütztem bereich / sandbox gespiegelt
bringt alle treiber mit
Last lokal
link auf desktop
trafficmuster im netz gewaltig
software as a service / SAAS
private cloud
desktopvirtualisierung
applikationsvirtualisierung
im rechenzentrum virtuelle server mieten
teil der cloud im zusammenhang mit netz betreiben
IAAS
infrastructure as a service



netzwerkmodelle
OSI der ISO
7 schichten
department of defense kommunikationsmodell
tcp/ip
ausfallsicher
4 schichten
es gibt keine geräte, die den kompletten OSI stack unterstützen
ist ein referenzmodell
aber beschreibt den ganzen kommunikationsvorgang
switch
layer 2
protokoll involviert
hub
layer 1
multi-port-repeater
repeater
signal wiederholer und verstärker
layer 1
router
layer 3
layer 1 und 2 inklusive
gateway
layer 7
an den übergängen der layern ist festgesetzt was und wie übergeben wird
standardvokabular für techniker
jeder kann netzwerkequipment produzieren
service access points
SAP
zwischen den layern
alle schichten stellen einen header voran
payload für die nächste schicht
sicherungsschicht / data link layer stellt einen trailer hinten an
checksumme
auf layer 2 angehängt und geprüft
falls prüfsumme falsch, bei ethernet paket weg
wird auf layer 4 überprüft
duplexfähig
falls etwas fehlt, wird paket zur fehlerkorrektur geschickt
frames werden in transportschicht aufgeteilt
enterprise netze
hochfrequenzbereiche der anschlüsse checken
ipv6 erste bits zeigen geographische lokation der adresse
L3 switch ist günstiger als ein router

04.04.13
L3
adressierung
wegewahl
ab hier alles hardwareunabhängig
skalierung
erweiterung ohne das ganze ändern zu müssen
quality of services
wir garantieren eine bestimmte bandbreite
zugangssicherheit
authentifizierung
autorisierung
welche übertragungswege welche zugriffe
aaa
zentrale steuerung
nicht auf jedem router einloggen
auslagerung von anmeldevorgängen auf zentralen server
wartungsfreundlichkeit
strukturierte gebäudeverkabelung
auf einen oder wenige punkte zentralisiert
bodenkanäle
aktive elemente
router etc.

die signal aktiv verarbeiten
stromversorgung
passive elemente
kabel etc.
keine stromversorgung
osi
beschreibt funktion einer schicht aber nicht realisierung
unterschied zu tcp/ip
schichten anzahl
segment
transport layer 4
packet
network layer 3
frame
data link layer 2
mac adresse
flache adresshierarchie
kein netz zuordbar
zustellung
ip adresse
routen
enhanced interior gateway routing protocol
EIGRP
proprietäres CISCO protokoll
socket
ip adresse
mit doppelpunkt und port
SMB
server message block
protokoll
samba
linux mit microsoft verbinden über freigaben
anwendungsorientiertes kommunikationsprotokoll
zugriff auf dateien auf entfernten rechnern

osi-bitübertragungsschicht
selbstsynchronisation
bitmuster wird geschickt
zusätzliche leitung gespart
BITs
verschiebung des durchschnitts bei der übertragung der rechtecksignale
taktrückgewinnung
keine extra steuerleitung für synchronisation
synchronisation an signalwechseln
non return to zero
return to zero
manchester code
übertragungsbandbreite eines kabels in einem bestimmten bereich optimal
bandpassverhalten
bandbreite
was technisch mathematisch erreichbar
maximal pro zeiteinheit
durchsatz / throughput
realisierte bandbreite
goodput
realisierter throughput abzüglich protokoll overhead
netto durchsatz
10base
10 base 2
10 base 5
10 base t = 10 Mb/s
base = basisband ist unmoduliert
05.04.2013
layer 1 und 2 sind nicht von osi standardisiert
meist von IEEE

1 Physical Layer
Steuerleitung
im LAN nicht üblich
Idle sequenzen
zufällige signale
gleichspannungsanteil
durchschnitt der spannung
manchester code
empfänger misst nur in der halben bitzeit
bitrate / datenrate
zeitdauer in sekunden, die eine bestimmte anzahl von bits pro sekunde von a nach b benötigen
bitrate
zeit für ein bit
datenrate
zeit für daten
baudrate
1 baud
ein pegelwechsel pro sekunde
verdrillung bei twisted pair
kompensiert induktionseinflüsse

2 Sicherungsschicht / Data Link Layer
technologien von layer 1 und 2 nicht für layer 3 sichtbar
frame
protokoll data unit / PDU
datagramm
header und nutzdaten
netzwerkknoten
über ein physikalisches netz
keine routingfunktionen
protokolle
ethernet
hdlc
ppp
frame relay
MAC media access control
hardware
technologieabhängig
framing
LLC logical link control
software
technologieunabhängig
gibt daten an mac einfach ab
trailer
nur checksumme
medienzugangsverfahren, wie kriegt man die nachricht aufs netz
MAC
CSMA / CD
802.3
carrier sends multiple access
ethernet
token ring
802.5
token bus
fddi
802.6 (MAN)
LLC
802.2
multiprotokollfähigkeit
LLC 1
user datagram service
paketorientierte, verbindungslose kommunikation
verbindungen werden erkannt
keine fehlerkorrektur
machen die höheren layern
LLC 2
verbindungsorientiert
acknowledgement
stellt sicher, dass frames bestätigt werden
keine fehlerkorrektur
wenn keine bestätigung kommt weiß sender, nochmal schicken
erhöhung der latenz
protokoll X25
punkt zu punkt
punkt zu multipunkt
vorläufer von frame relay
kassensysteme an datenbanken
leitungsvermittelt, paketorientiert
meist standleitungen
hdlc
LLC 3
verbindungslos
hdlc
ppp
komplexe steuerlogik
für fehlererkennung und korrektur
daten übergeben und
protokollnummer des übergeordneten protokolls
multiprotokollfähigkeit
maximum transmission unit / MTU
unterschiedlich groß
topologie
virtuelle punkt zu punkt verbindung
keine durchgeschaltene leitung
aber gleiche eigenschaften
gehen nicht immer über gleiche knoten

08.04.13
Ethernet
ethernet vor OSI zeitlich
IEEE hat die unteren layer definiert
ethernet
wettbewerbsmäßiger zugriff
token ring
geregelter determinierter zugriff
LLC
verbindung zu upper layer protocols herzustellen
LLC 1
user datagramm service
synonym für ein paketvermittelnden, verbindungslosen dienst
MAC
FCS
frame check sequence
prüfsumme an frame
4 byte groß
empfänger nimmt es
sofort prüfsumme
vergleich mit mitgeschickter prüfsumme
polynom / primzahl
auf jeden fall ungerades ergebnis plus rest
rest ist prüfsumme
sind beide gleich wird weiterverarbeitet
sind unterschiedlich, wegwurf
CRC
cyclic redundancy check
zyklische redundanz prüfung
medienzugang
wie kriegt man frame aufs netz
wie erkennt man, das paket an mich gerichtet ist
CSMA / CD
802.2 & 802.3
fand 1981 statt
10 Base 2 & 5
historisches ethernet
standard ethernet
seit einführung von
10 Base T
twisted pair
einführung von switches
kein broadcast mehr
dedizierter verbindungsaufbau
ziel mac adresse
mikrosegmentierung
kleinst mögliche kollisionsdomäne
alles was an hub dranhängt
verbindung von 2 netzwerkknoten auf ethernetbasis
voll duplex
hubs in USA weitverbreitet
switches in europa
effektivität auf ethernet basierend auf shared medium
schlechte effizienz durch kollision
36% effektivität
neuere untersuchungen mit höheren taktraten
bis 90%
kollisionsverhalten ändert sich
LLC 1
Ethernet
user datagramm service
verbindungslos
ohne fehlerkorrektur
medienunabhängig
in der treibersoftware realisiert
netzwerkkarte und treiber installieren
LLC 2 in der firmware implementiert

MAC
datenkapselung / framing
nutz- und steuerdaten über LAN = frame
ETHERNET II
type feld
multiprotokollfähigkeit
layer 2 bekommt angabe in frame über das protokoll
802.3
kein type feld mehr
802.3 revidiert
type feld
SFD
start frame delimiter
synchronisation
Header 14 byte
übertragung 1500 byte
trailer 4 byte
trunk port
vlan gruppen auf unterschiedlichen physikalischen switchen verbinden
protokolle
802.1q
4 zusätzliche steuerbytes für kennzeichnung
zugehörigkeit der frames zu unterschiedlichen vlan gruppen
tagging
4 bytes werden angehängt und von nächstem switch entfernt
layer 2
frame größe
mindestlänge von 64 byte
damit CSMA / CD funktioniert
rest mit padding
auffüllen
damit eine kollision noch erkannt werden kann
SNAP
subnet access protocol
frame relay
hdlc
x25
OUI
organisational unique identifier
LLC
source SAP
destination SAP

SAP
service access point
MAC adressierung
funktion den frame zu adressieren
1.

ziel mac adresse
2.

sender mac adresse
48 bit in 6 bytes
die ersten 3 OUI
die letzten 3 vendor assigned
hat nur lokale relevanz
wenn ich ein LAN habe
netzwerkbereich der physikalisch zusammenhängt
in der mitte ein switch
LAN segment
kommuniziert über layer 2 adresse
über router mit anderem netz
zielpaket wird über layer 2 header erkannt
nimmt frame, entfernt frame header
ip paket
anhand header weiss er wohin
zum weiterschicken muss ein frame header da sein
kennt der router die mac adresse, kann er es zusammenbauen
nichts mehr mit IP!!!!!
ARP
adress resolution protocol
arp request in zielnetz
an jemanden mit mac adresse wird eine anfrage für die dazugehörige IP adresse geschickt
wird in cache / arp tabelle gespeichert
wo kann ich mac adresse sehen?
netzwerkdienst gestartet
mac adresse im ram
dadurch kann man die mac adresse faken
unicast adresse
eindeutige identifikation eines netzwerkknotens
00-01-A3-11-10-1A
broadcast
frame der an alle gehen soll
FF-FF-FF-FF-FF-FF
mac broadcast
immer die letztmöglichste
vor dem netz
multicast
01-00-5E-xx-xx-xx
anycast
IPv6
broadcast
ARP
address resolution protocol
jemand mit der mac adresse xxx gebe mir die ip adresse
DHCP
IP Broadcast
192.168.1.255
IP Multicast
einer an eine ausgewählte gruppe
adressbereich 224.x.x.x - 239.255.255.255
IPv6
alle modernen protokolle
CSMA / CD
carrier sense multiple access with collision detection
halbduplex
deaktiviert auf gigabit ethernet
slot time
zeit vom ersten gesendeten bit bis zum letzten
bei 10mbps, 512 bit pro sekunde
durch 8 = 64byte, minimale frame größe bei CSMA / CD
“wie lange es maximal dauern darf, bis eine kollision erkannt wird”
doppelte übertragungsdauer
signallaufzeit
Ethernet interframe spacing
zeit zwischen frames
unbedingte pausezeit
mindestabstand
96 bit zeiten
je nachdem welche frequenz unterschiedlich lang
10mbps
9,6 mikrosekunden
jam signal
wird von station ausgesandt, die eine kollision erkennt
wenn eine kollision erkannt wird, senden stationen am nächsten an kollision ein bitmuster aus
mit hoher signalamplitude
bit zeit
10Mbps = 100ns ~ 20,3m
gigabit ethernet = 1ns ~ 20,3cm
late collision
kollision tritt erst auf, wenn sender senden eingestellt hat
dann merken erst höhere schichten, dass ein teil eines segments fehlt
backoff periode
netz ist in schwingung nach einer kollision
ruhe wird hergestellt
zufällige dauer
vielfaches der slot time
wenn 16 fache auch nicht ausreicht, dann löst höhere schicht einen time off aus
wenn in den ersten 64 byte keine kollision aufgetreten ist, kann man davon ausgehen, dass frame korrekt übertragen wurde
keine FCS notwendig

bitübertragungsschicht
1000 base sx
1000 base lx
1000 base zx!!!!!
glasfaser absolut unempfindlich gegen elektromagnetische interferenzen
erdung bei kupferkabeln absolut wichtig
erdung des netzwerkschranks über die schukodose (eigentlich) nicht zulässig
alien ac
hochfrequenzparameter
wikipedia twisted pair
10 base T
10Mbps
Cat 3
sollte man heute nicht mehr installieren
ermöglicht über einen oder mehrere hubs einen
physikalischen stern
logischer bus
manchester codierung
nachteil
zur abbildung eines einzelnen bits eineinhalb takte
durch austausch eines hubs mit einem switch
geswitchedes netz
doppelte bandbreite
fast ethernet
100Mbps
kupfer
tx variante
glasfaser
fx variante
glasfaserpaar duplex sc stecker
optisch eine punkt zu punkt verbindung
optisch gibt es ein bus system nicht
400m ohne repeater
mit receiver bis 2000m
4b5b
weniger aufeinanderfolgende gleiche zahlen
mehr polarisationswechsel
durchschnitt bleibt gleich
bessere synchronisation
höchstens 3 nullen und zwei einsen
oder 3 einsen und zwei nullen
nur mit MLT3
multilevel transmission encoding
nur bei kupfer
wird nur auf reduzierung der nullen geachtet
kollisionen werden nach dem echokompensierungsverfahren ausgelöscht
vorwärtskorrektur
pam5
puls amplituden modulation mit 5 zuständen
4d pam5
pegel dynamisch zugeordnet
aber genormt in der amplitude
senden auf 4 leiterpaaren
duplex
komplex durch kollision
durch echokompensation
duplex auf einem leiterpaar möglich
4 codegruppen gleichzeitig
anschliessend wieder zusammengefügt
pam 8
8 spannungs niveaus
2³ kombinationen
pam 16
4 bits = nibble = ein halbes byte
16 niveaus
interframe spacing
96 bitzeiten pause
gigabit ethernet
idle lauffolge statt ruhe
gleichbleibende signalperiode
kommt ein frame,
dann preambel, dann frame
frame macht musik über alle oktaven
idle sequenz auf einem ton
keine einschwingperiode
binäre vollduplex übertragung
sx
wellenlänge lambda 850nm
multimodefaser
lx
wellenlänge lambda 1310nm
singlemode
5km
multimode
250 - 550m
zx
wellenlänge lambda 1550nm
singlemode
70km
frameformat abwärtskompatibel
ab 40km wird das ganze als substitutionstechnologie für
fddi
cddi
gebraucht
bis 160Gbit möglich
im back-end bereich
10 gigabit ethernet
4 aderpaare
8b10b
pam16

09.04.13
LLC / MAC
mac übernimmt framing
wichtigste aufgabe der llc
kommunikation mit übergeordnetem protokoll
ip paket ohne frame
multiprotokollfähigkeit
bereitstellung der daten an mac layer
einfügung der mac adresse
mac layer
mac
daten in frame
puffern
daten empfangen
fehlerkontrolle
bitübertragungsfehler
FCS
alles unter 1536 wird in längenfeld als länge interpretiert
alles was drüber
hex 0600
ist type
frametypen
ethernet II
ethernet_802.3
standards
ethernet_802.2
ethernet snap
selten
64 byte
512 bit zeiten
ethernet 10mbs = bit zeit von 512
IFS
in abhängigkeit der taktrate
96 bitzeiten
gigabitethernet
keine ruhe
idlesequenz
trunk port
verbindung zwischen switches
daten aus allen vlans zwischen switchen
daten auf einem kabel von vlan1 und vlan10
tagging
802.1q & 802.3.ac
präambel
8 byte
802.3
8.

byte startframe delimiter
1ns
frame legt abhängig von taktfrequenz unterschiedliche länge zurück
latenz
verzögerungszeit
senden und warten bis paket angekommen ist
jedes gerät hat eine latenz
wenn durch zuviele hubs oder repeater hohe latenz
änderung des IFS
möglich verschiedene ethernettypen gleichzeitig zu betreiben
parameter
auto negotiation protokoll
16 codegruppen
switch übermittelt was er kann
anderer knoten stellt sich drauf ein
alle einigen sich auf höchst mögliche geschwindigkeit
normen
verkabelungsnormen
ISO 11801, 2.

fassung
rooming
von einem access point in den anderen wandern
ohne dass verbindung verloren geht
mdi
media dependend interface
wann wird ein straight through und wann ein crossover verwendet?
MDIX interface
automatische tauschung der leitungen
mdi-mdix
straight through
pc mit switch
mdix-mdix
crossover
switch mit switch
mdi-mdi
crossover
auto mdi
automatisches umschalten
ab 1000 base t standard
davor können sie es haben, müssen aber nicht

10.04.13
loop back
physikalische kontrolle
ob frame richtig auf die leitung gelegt wurde
alle nics verfügen über die schleife
hub
legt regeneriertes signal auf bus und ist für alle da
nicht auf dem port, von dem es kam
in aller regel nicht skalierbar
netzwerkdurchmesser
max 2000m
alle 200m einen hub
nachteil
alle angeschlossenen geräte teilen sich die bandbreite des gemeinsam genutzten mediums
kollisionsdomäne
alles was mit hub verbunden ist
latenz
übergangszeiten der mac in beide richtungen
interne arbeit des hubs
aufbereitet
wiederholt
ausgegeben
physikalische trägheit der baugruppen
verarbeitungszeit
je größer die netzwerkausdehnung desto größer latenz
switch
1995
layer 2 gerät
kollisionsdomäne verkleinern
mikrosegmentierung
point to point
nur ein gerät an einem port
trunk ports
verbindung zwischen den switchen
uplinks
verbindung zu hochfrequentierten ports
ether channel
mehrere ports zu einem zusammenschalten
full duplex
für jeden port eine mac adresse
netzwerkknoten nach ethernet standard
flooding
findet statt, wenn mac adresse nicht bekannt ist
findet an allen ports statt
source adresse
lernt anhand dieser die mac adressen
puffern
store and forward
(+) ganzer frame wird eingelesen
um 4 byte fcs zu checken
verfälschte frames werden nicht übertragen
(-) höhere latenz
application specific integrated circuit
ASIC
hardwarebasiert
nahe leitungsgeschwindigkeit
fast forward / cut through
erste 6 byte der mac adresse werden gelesen und direkt weitergeschickt
ohne kollisionen zu checken
fragment free
ich warte, bevor ich das paket weitersende, die ersten 64byte ab
keine kollision, dann ist wahrscheinlichkeit hoch, dass frame übertragen wird
portbasiertes puffern
endlich groß
nicht dynamisch erweiterbar
gemeinsames puffern
zentraler puffer
viel größer möglich
dynamische zuordnung für ports möglich
mehr speicher dem port, der aktiver ist
speicher muss verwaltet werden
latenz größer
asymmetrisches switching
server angeschlossen
alle wollen auf den einen port zugreifen
viel größere queue
load balancing
PING
packet internet gropher
spezielle ICMP nachricht
internet control message protocol
echo
ziel ip adresse
fehlercode 0
layer 3
erst ARP
mac adresse muss bekannt sein
11.04.13
switch
port kann statisch konfiguriert werden
nur eine mac adresse
sicherheitsaspekt
port security
wenn an einem port ein frame ankommt, der eine mac adresse hat, die nicht akzeptiert wird, wird der port heruntergefahren
ports die nicht gebraucht werden, herunterfahren
ping
hilfsprogramm
icmp protocol
layer 3 fehler sichtbar
aber nicht korrigierbar
verbindungslose verbindung

12.04.13
network layer / vermittlungsschicht
funktionalität des network layers
routing
beste wege wählen
logische adressierung
um pakete weiterleiten zu können in netze, die nicht direkt mit dem rechner verbunden sind
protokolle
routing protokolle auf den routern
rip
routing internet protocol
geroutete protokolle
pfade zu routern oder zielnetzen
routing tabelle
ip adressen
alle zielnetze, die der router kennt
beste routen zu einem zielnetz
rip
route besser mit weniger hops
zu einem ziel zwei routen möglich
metrik
welche kriterien wichtig sind
maß für die qualität einer route
hilfstabellen
um schnell auf änderungen in der topologie zu reagieren
geroutete protokolle
gegenstand des routings
ip pakete
apple talk
ipx
ip header
transportieren layer 4 protokolle
in frame gekapselt

verbindungslose kommunikation / best effort
funktionale leitung
frame drauf
weitergeschickt
sendet empfänger eine nachricht, dass er das paket empfangen hat?
nein
nur ein replay
icmp basierend
auf dem weg störungen
time to live abgelaufen
router schickt icmp nachricht
ziel unreachable
best effort
wenn es nicht klappt, sorry
aber wir versuchen es möglichst gut zuzustellen
MTU
maximum transmission unit
nachricht kann fragmentiert werden
jedes fragment hat einen header
dass es ein fragment ist
wo das fragment hingehört
ip transportiert als pdu einen header
broadcast domäne
bei switches
kollisions domäne
bei hubs
router dienen zu verkleinerung der broadcast domäne
mehrere kleine domänen
dhcp offer
ist ein broadcast
ip helper adress
dhcp server muss nicht im gleichen netz stehen
verbindung zu outside von inside netz
firewall
private adressen
werden über öffentliche router nicht geroutet
nach aussen öffentliche adressen
NAT table
an der grenze des netzes
ip header
flag
darf fragmentiert werden oder nicht
quell adresse, ziel adresse
prüfsumme über das gesamte paket
20 byte ip header
arp packet format
eigentliches ziel
mac ziel adresse aufzulösen
passt nicht in 6 byte
aufteilung
icmp packet format
dauer eines ip paketes von a nach b kann gemessen werden
routing ip packets
ip adresse bleibt über ganzen weg gleich
ip paket eingekapselt in frame
für router über router brauche ich mac adresse
source adresse des interfaces
router hat mac tabelle
layer 1 bis layer 3 funktionalität
router hat nur routen in zielnetze
prefix in ip adresse
routing tabelle
entweder next hop
oder e0 ethernet ausgang
zum erreichen des zieles
[120/1]
120
administrative distanz
bis 256
man kann nur zur hälfte glauben, dass der nächste punkt nur ein hop entfernt ist
administrative distanz einer statischen route ist 1
höchste glaubwürdigkeit
1
metrik
c
direct connected
r
rip protocol
s
statische route
host route
jede netzwerkadresse mit einer subnetmask
im letzten oktett eine null
127.0.0.1
auf allen maskenbits eine 1
local broadcast
letzte adresse
transport layer
protokolle
tcp
udp
spx
ipx protocol stack
raw
installiert auf anwendungsebene eigene mechanismen
sitzung einrichten
verbindungsaufbauphase
fehlerkorrektur
flow control
optimale geschwindigkeit in laufendem betrieb
tcp verbindung
zuverlässig
fehlerkorrektur
segment nochmal anfordern
verbindungsorientiert
paketorientiert
duplex verbindung
sender gleichzeitig segmente absenden und empfangen
udp
sehr schnell
voip
video streaming
sendet in der reihenfolge wie empfangen
ports
53
domain name server / DNS
tcp
udp
tcp protokoll
window size
verbindungsgeschwindigkeit kann gesteuert werden
im laufenden betrieb
je nach übertragungsqualität
ist die größe, in der daten unbestätigt übertragen werden
kann klein gestartet werden und wenn übertragung läuft vergrößert werden
selektives ACK
nicht alle auch richtigen segmente werden noch einmal geschickt, sondern nur das fehlerhafte

15.04.04
transport layer (TCP)
paketorientiert
multiplex kann stattfinden
verbindungsaufbauphase
abbauphase
selektive ack
flussteuerung
window size
größtes segment 64k inklusive header
scaling kann es größer machen
flag
wir haben engpass...anpassen
puffer voll
congestion message
transport layer (UDP)
user datagram protocol
header wenige byte groß
kein handshake
schnell
unsicher
auch in falscher reihenfolge
kein sequencing
header 20 byte
mac adresse
ip
socket im transport layer
dienst wird adressiert
weiß wenn segment kommt, welcher dienst adressiert ist
pseudoheader
dienst addressierbar über
ip adresse
port
well known ports -1023
80
443
53
dns
23
telnet
registered ports
3389
rdp
firmenspezifisch
auf datenbanken
mysql
anwendung benutzt source port
zufällig gewählt
acknowledgement
was als nächstes erwartet wird
flag
bits
sync
acknowledgement
fin
window size
maximal 12 x 64k bis bestätigung kommen muss
maximum segment size
MSS
bei verbindungsaufbau ausgehandelt
tcp checksum
über payload
urgent pointer
flag
der bereich der daten, die schneller zugestellt werden müssen
options
mss
handshake verfahren
roundtrip time
jedes mal wenn segment abgeschickt ist
kurzzeitwecker
wenn abgelaufen ohne ack
segment wird nochmal geschickt
empirischer wert, der dauernd ermittelt wird

applikationsebene
dhcp
jeder der sich mit router an internet verbindet geht über service provider
dynamische ip adresse
im internen bereich dhcp server
mehrere
bei richtiger konfiguration stören sie sich nicht untereinander
in netzwerksegmenten
in anderem segment über relay agents
kann auf cisco router installiert werden
client fordert über dhcp discover herausgabe einer ip adresse an
alle schicken offer
client wählt aus
überprüfung ob wirklich frei
vergabe
lease dauer
für eine bestimmte zeit
nach hälfte der zeit
client fragt: kann ich die adresse behalten?
optionen
wer ist dns server?
header
transaktionskennung
da dhcp über broadcast läuft
flag
options
dns server
standardgateway
name der domain
...
boot p
statische vergabe
nur für spezielle anwendungen
discless stations

16.04.04
telnet
push flag
dringend
um empfänger zu signalisieren, dass es sofort weitergeleitet wird
ftp
dient zum datentransfer
für große datenmengen
unabhängig vom dateisystem
2 tcp kanäle
steuerkanal
datenkanal
verbindung
port 21
client baut verbindung auf
server meldet, dass ftp service gestartet ist
benutzername schickt der client
benutzername bestätigt
client schickt passwort
passwort wird bestätigt
übertragungsoptionen werden verhandelt
steuerprozess auf server bestätigt parameter
client fordert beim server eine datenverbindung an
steuerprozess auf server startet verbindung
port 20!!!
steuerprozess auf client startet datenprozess
zufällige portnummer
eigentliche datenverbindung läuft ohne steuerprozess
daten werden blockweise zu verfügung gestellt
nach einer bestimmten bitfolge acknowledgement
windowing
oder jedes segment bestätigen
ftp sicherer transfer
sitzungsende
daten sind geschickt
client bestätigt korrekten empfang
server schickt eine close bestätigung
client akkzeptiert
datenprozess auf beiden rechnern meldet steuerprozess, dass verbindung beendet ist
steuerprozess bleibt noch eine weile geöffnet
falls weiterer datenprozess kommt, muss handshake nicht nochmal gemacht werden
http
header
request
simple request
full request
response
mime
gif
dhtml
html
jpeg
ohne zusätzliche programmaktivitäten im browser darstellbar







subnetting
1
128
11
192
-191 Class B
111
224
-223 Class C
1111
240
-239 Class D
11111
248
Class E
111111
252
Class E
1111111
254
Class E
11111111
255
Class E

rip version 1
klassenbasiert
rip version 2
klassenlos

17.04.13
öffentliche adresse
routingfähig
private adressen
nicht routingfähig
im öffentlichen internet
service provider würde das spätestens verwerfen
leih ich mir ein bit
2^1
2 subnetze
2^2
4 subnetze
...
18.04.13
no ip subnet zero
erstes und letztes nicht nutzbar
VLSM
variable length subnet masking

19.04.13
alles was an einem interface von einem router hängt, ist eine broadcast-domain

22.04.13
bridges
werden benutzt um verschiedene arten zu verbinden
ethernet
fddi
token ring
umbauen
frame header
maximum transmission unit
media access
wettbewerbszugriff
ethernet
frei token
token ring
switch
port
physikalischer port
nicht layer 4
hohe portdichte
bis zu 48 ports an einem switch
plus uplinks
bandbreite
kumulativ aus allen ports
alle kommunizieren mit allen möglicherweise
grundsätzlicher unterschied zwischen hub und switch
keine bandbreitenteilung
kollisionsdomäne auf layer 2 ebene entscheidender faktor
pakete können kollidieren
csma/cd
halbduplex
kollisionsdomäne sollten klein gehalten werden
mikrosegmente

welche typen von layer 2 frames können den switch passieren?
unicast
multicast
0100.5exx.xxxx
broadcast
möglichkeiten ankommende daten zwischenspeichern
fifo puffer
jeder port hat einen eigenen puffer
shared memory
verwaltet über iOS
nach auslastung des ports
lernprozess
mac address table
von sender des frames die jeweilige mac adresse
dynamisch
kennt er ziel nicht, flutet er auf alle ports
ausser den vom sender
statisch
controlling des fcs im mac sublayer
ethernet
layer 2 loops
mehrere switche zusammengekabelt
redundante switch verkabelung
spanning tree protocol
verarbeitungsverfahren
layer 2 frame
throughput erhöhen
store and forward
ganzer frame einlesen
fcs checken
weiterschicken
cut through
ziel mac adresse lesen
weiterschicken
auch fehlerhafte
fragment free
erste 64 bit
mindestgröße eines frames
frameheader
48 bits vom payload
danach keine kollision
man geht davon aus, dass keine kollision geschieht
wie weit breitet sich eine kollision aus?
kollisionsdomäne
bei hub und switch
alles an hub
mikrosegmentierung
kleinste kollisionsdomäne
wenn switchport in halbduplex
voll duplex kann keine kollision auftreten
wenn signal zerstört wird
durchschnittspegel geändert
jam signal
broadcastdomäne
alle hubs und switches bis zu einem layer 3 gerät
wenn ich hub durch switch ersetze
ändert sich größe und anzahl der kollisionsdomäne
kleine kollisionsdomäne
mehr kollisionsdomäne
vlan
gruppierung mehrerer ports zu einem virtuellen lan
physikalische switches in logische einheiten
ortsabhängigkeit aufgehoben
vlans über mehrere switche möglich
verbindung zwischen switchen
trunk port!!!!!
frameformat
frame tagging
802.1q
4 byte einsetzen
1522 byte großer frame
backplane
verbindung über speziellen port
blades
keine 19”
verschiedene anzahl von ports
einschiebbar
24 ports
24 gigabit
kumulation der bandbreite
power over ethernet
PoE
wireless access point
an der decke
kein stromanschluss in der nähe
über datenkabel
adernpaare die nicht verwendet werden
5-10 volt
milliampere stromflüsse
ether channeling
zusammenfassung von ports
zur bandbreitenerhöhung
port security
jeder über straight through kabel im netz
bei bestimmten ereignissen am port
violation ausgelöst
führt zu bestimmten ereignissen
Administration
catOS
catalyst operating system
catalyst 6500er serie
iOS
internetwork operating system
monolithisch
keine module einsetzbar
keine updates möglich
hardwarenahe sprache
in aller regel C
kompakt
3,5 MB
multitaskingfähig
c2950-i6k2l2q4-mz.121-22.ea14.bin
c2950
plattform
switch ios
i6k2l2q4
featureset
i6
ipv6
mz
file format
memory
nicht im flash speicher
zip
121-22
versionsnummer
12.1 (22) major release
ea14
ähnlich wie bei linux
e
enterprise
featurenavigator
speicherarten
auf switch und router
ram
rom
bootloader
nvram
backupdatei für konfiguration
flash
eeprom
IOS
default file system
einfaches system
theoretisch auch andere dateien abspeicherbar
spezielle speicherbereiche
startup
1.

POST
POST-Test
alle geräte mit bios führen dies von sich aus
power on self test
2.

bootloader ROM -> RAM
3.

IOS von Flash -> RAM
entpacken
4.

suche nach konfigurationsdatei
ja
wird geladen
nein
setupmodus
nein ausgewählt
direkt 5.
5.

switch>
konsole
command line interface

23.04.04
access layer
möglichst hohe portdichte
vlan fähigkeit
ether channel
power over ethernet
quality of services
link aggregation
catalyst 2960
distribution layer
policy based security
layer 3 switch
routing mit bandgeschwindigkeit
catalyst 32, 35 serie
core layer
ausfallsicherheit
redundante netzteile
hohe geschwindigkeit
catalyst 4500, 6500
IOS
hardwarenah
proprietär
auf prozessor und
chipset
viele versionen innerhalb eines trains
keine updates
auf performance ausgerichtet
kompiliert
3 - 15 MB
multitaskingfähig
running-config
aktive konfiguration im RAM
kopie des backup konfigurations file
startup-config
im nvram
ca.

32K - 200K
jedes mal wenn ich neu starte startup-config überschreiben
flash
64MB
kleines integriertes file system
dfs
startprozess
bootloader von ROM -> RAM
dekomprimiert und gleichzeitig in arbeitsspeicher geladen
beim starten mode taste drücken
start in ifs
integrated file system
abgespecktes IOS

konsolen kabel
in rom modus notwendig
layer 2 switch hat eine einzige ip adresse
vlan1
in-band
konfiguration über ethernet
out-of-band
konfiguration über konsole
IOS
show
version
break
STRG shift 6
STRG C
configure terminal
conf t
globaler konfigurationsmodus
interface fastethernet
interface fa0/1
int fa0/1
exit
eine ebene höher
do
befehl aus anderem kontext
autovervollständigung funktioniert nicht
strg a
anfang der zeile
strg e
ende der zeile
debug
show befehl ist momentaufnahme
debugging ist laufende beobachtung des systems
nützliches mittel zur fehlersuche
nachteil ist die zusätzliche belastung an der cpu
no debug
zum ausschalten
all
undebug all
vlan ip adresse vergeben
dann über telnet drauf zugreifbar
copy running-config startup-config
in sicherungsdatei
write geht auch aber nicht in prüfung!!!
show vlan
brief
show controller
sh controller ethernet-controller fa0/1
show mac-address-table
sh mac-address-table dynamic
(config) enable password oldcisco
lesbar in running-config
(config) enable secret cisco
nicht lesbar in running-config
(config) no enable password
löscht passwort
(config) hostname sw1
ändert switch name
(config) line con 0
(config-line) password concisco
(config-line) login
aktivieren der passwortabfrage
(config-line) line vty 0 4
konfigurieren von 0 bis 4
vty
virtual teletype
(config-line) password telcisco
(config-line) login
(config) service password-encryption
passwörter von telnet und konsole nicht mehr lesbar
verschlüsselung nur in datei
nicht in übertragung
(config) interface vlan1
(config-if) ip address
sh ip int br
interface brief
(config-if) no shut
zum hochfahren des vlan ports
ansonsten kann man ihn nicht anpingen
jetzt kann man telnet benutzen!!!
wenn man es wieder nicht nutzen will, passwort löschen
reload
switch startet neu
(config) line con 0
(config-line) exec-timeout 0 0
minuten sekunden
ändert den timeout when idle

(config-line) logging synchronous
ändert die syslog nachrichten in anzeige wenn keine eingabe gemacht wird
(config-line) line vty 0 4
auch hier den timeout und synchronous ändern
(config) banner motd # melde dich #
(config) banner login # melde dich an #
banner exec
kommt sobald man das passwort für konsole angegeben hat
(config-line) history size 0-256
(config-if) shutdown
no shutdown
int fa 0/6
(config) interface range fa0/1-5
(config-if)
duplex
speed
description end-user-connect-here
name um das interface zu beschreiben
sorgt für übersichtlichkeit
access port
endgerät hängt daran
trunk port
(config-if-range) switchport mode access
alle ports haben die funktion access
(config) mac-address-table static 0006.2AE7.9269 vlan 1 int fa0/10
statische zuweisung
wenn man rechner mit anderer mac adresse anschliesst
um alles zu löschen
erase startup-config
delete flash:vlan.dat
reload

24.04.13
ssh einrichten
port security
muss gestartet werden
bezieht sich auf access ports
bezieht sich auf mac adressen
maximale anzahl
konkrete mac adressen
bestimmte anzahl lernen lassen, sticky machen (nach neustart)
reaktionen
violation
shutdown
der port wird administrativ runtergefahren
“error disable”
muss hochgefahren werden
wenn error disabled
shutdown
manche switches können aus error-disabled nicht wieder hochfahren
syslog/snmp nachricht wird ausgelöst
protect
wird nicht runtergefahren
leitet keine datenpakete von fremder mac mehr weiter
aller anderen mac adressen schon
ereignis / trap
restrict
verwirft den störenden datenverkehr
trap wird ausgelöst
syslog/snmp nachricht wird ausgelöst
(config-if)
switchport mode access
switchport port-security
aktiviert port security
(config-if)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
show port-security interface fa0/6
port security status
? geht nicht bei do!!!!!!
switchport port-security mac-address-table sticky
vlan konfigurieren
(if) switchport access vlan 99
dann ist der port in dem vlan
(config) ip default gateway 192.168.1.1

25.04.13
black hole vlan
unbenutzte ports in dieses vlan
trunk port
anderer switch angeschlossen
zum aktivieren von port-security muss
(config-if) switchport port-security
eingegeben werden
tftp
trivial file transfer protocol
port 69
udp
tftp server
muss
an sein
erreichbar sein
anpingbar
ios auf switch
dir flash:
ob ich genug speicher frei habe
recovery
teraterm
tftp server
rom monitor
1.

sichern der konfiguration auf einem tftp server
copy start tftp
2.

laden einer konfiguration von einem tftp server
int vlan1
ip address
copy tftp start
3.

sichern des ios auf einem tftp server
copy flash: tftp
abfrage
4.

laden des ios von einem tftp server
copy tftp flash:
5.

einspielen des ios über teraterm
6.

password recovery
rommnitor
rename flash:/config.text flash:/config.text.old
boot
(config) enable secret class
rename flash:/config.text.old flash:/config.text

switch aus
start taste innerhalb von 15sek drücken
simuliert rom modus
mini betriebssystem


26.04.13
router
layer 3 gerät
für die pfadwahl zuständig
basieren meist auf ip
latenzzeiten so klein wie möglich zu halten bei der wegewahl
module
intrusion detection
intrusion prevention
sehr teuer
muss annähernd mit leitungsgeschwindigkeit sein
quality of services
seriell
datenbits werden nacheinander versandt
hdlc
verbindung zu upper layer
DTE
data terminal equipment
DCE
data communications equipment
taktgeber
taktrate / clock rate entspricht der datenrate
CSU / DSU
channel service unit / data service unit
CSU gibt anpassung an takt von DCE
DSU macht konvertierung der daten von serieller verbindung in andere übertragungstechnologie
router
bandbreite
sh int ser0/0
bandbreite ändert nicht die physikalische datenrate
es ist ein statistischer wert
sie ist verschieden von der clock rate
bootsequenz
bootprozess
bootstrap
welches IOS
flash
tftp
rommon
konfigurationsregister 0x2102 im #sh version (ist standard)
bootfeld
0 = ROMMON
1 = 1.

IOS auf dem Flash
2 - F = bootbefehle aus startup
wenn nicht da, dann macht er 1
wenn auch nicht, dann tftp broadcast
wenn auch nicht = ROMMON

29.04.04
csu / dsu equipment passt datenart an verbindung des providers an
config-if
encapsulation
hdlc
frame-relay
ppp
metrik
qualität einer route
bandbreite
t1
1,544 Mbit / s
USA
e1
2048 Kbit / s
europa
standards
sh ip int br
spalte
status
zustand layer 1
protocol
zustand layer 2
config
configuration-register
0x2100
rommonitor
0x2142
startet ohne startup-config
0x2101
start des ersten IOS
setupmodus kann extern gestartet werden
# setup
level 1 route
wenn ip paket kommt, dass auf so eine adresse zeigt, wird es sofort weitergeleitet
wenn subnetze, dann in den child routen suchen
level 2 route
child route
haben ein echtes interface
ultimative routen
die einen next hop haben
oder über ein ausleitendes interface gehen

30.04.04
routing table
gateway of last resort
ip addresse des next hop an den ip pakete weitergeleitet werden, die keinen routeneintrag als ziel in der routingtabelle haben
(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
administrative distanz
die glaubwürdigkeit des eintrages
1 = bester wert
metrik
bewertung der route
wie weit entfernt sich das zielnetz befindet
bei statischen routen immer 0
bei ospf 1000er bereich möglich
bei eigrp millionen bereich möglich

troubleshooting
link status
runts
schnipsel von ethernet paketen
speed
(config-if) speed
duplex
(config-if) duplex
protocol CDP / CISCO DISCOVERY PROTOCOL
zur fehlererkennung
(config) cdp run
(config-if) enable
in der broadcastdomäne
um informationen über die geräte zu erhalten
sh cdp neighbours
telnet auf ein anderes gerät
telnet 192.168.2.6
strg + shift + 6, dann x
suspend
sh session
sessionnummer eingeben
resume (sessionnummer)
beenden
disconnect (sessionnummer)

02.05.04
CIDR
classless inter domain routing
super routing
die summen route hat immer EIN ausleitendes interface
alles andere ist akademisch

03.05.04
DTP
dynamic trunking protocol
VTP
virtual trunking protocol
inter-vlan-routing
verbindung zwischen verschiedenen vlans
kann gefiltert werden
vlan
jedes vlan hat eine eigene broadcast domäne
typen
data vlan
zum transport von daten
verbindung der angeschlossenen arbeitsplatzrechner
sporadischer traffic
in größeren intervallen

default
cdp, stp transport
werksseitig eingestelltes vlan1
alle ports werksseitig zugeordnet
nicht umbenennbar
nicht löschbar
nativ
erlaubt ungetaggten datenverkehr über die trunkports zu übertragen
trunking protocol (encapsulation type)
802.1q
ISL
inter switch link
cisco proprietär
standardmäßig vlan1
management
pcs der administratoren sind in dieser gruppe
portbasierte vlans
ein vlan, dass die zugehörigen schnittstellen der geräte über die portzugehörigkeit definiert
voip
“voice vlan”
eingebaut in einen link, access link
Traffic-Pattern
verwaltungsdaten / management daten
voice daten
multicast daten
normaler datenverkehr
VMPS
vlan membership policy server

06.05.13
vlan-trunking
2 verschiedene protokolle (encapsulation types)
802.1q
isl
inter switch link
auslaufmodell
cisco proprietär
unterschiede
isl kapselt ganzen frame und setzt isl header vor ethernet frame
802.1q macht tagging
tagging
ethernet wird ein 4 byte tag zugesetzt
wird am anderen switch wieder rausgenommen
native vlan
in der lage ungetaggten verkehr weiterzuleiten
vlan1
trunk port kann sich automatisch konfigurieren
mit “dynamic trunking protocol” page 33 book
proprietär von cisco
standardmässig automatisch aktiviert
es versetzt das jeweilige ende in einen von mehreren trunk modis
1.

trunk (on)
2.

dynamic auto
3.

dynamic desirable
(4.

nonegotiate)
in bestimmten zeitabständen wird eine dtp nachricht erzeugt, die an den nachbarn gesendet wird
trunk on
port sendet advertisements aus
ist automatisch trunk port und bleibt es auch
wird beim hochfahren automatisch trunk port
dynamic auto
signalisiert über nachrichten austausch, dass lokaler port ein trunk mode sein kann, fordert remote port aber nicht auch in den trunk modus zu wechseln
dynamic desirable
sendet regelmässige advertisements
signalisiert remote port, dass er trunk modus unterstützt
fordert zum wechsel in trunk mode auf
sh int trunk
sh vlan (brief)
sh int fa0/1 switchport
int fa0/1
switch trunk native vlan 99
switchport mode trunk
greift man mit einem pc auf einen trunkport zu, dann hat man zugriff auf telnet!!!!!!

07.05.13
trunk ports schliessen port security aus
wenn switches über access port zusammengeschaltet sind, dann kann man im management vlan (1) auf die geräte am anderen switch zugreifen
trunk link überprüfen
show interfaces trunk
show interfaces fa...

switchport

08.05.13
VLAN TRUNKING PROTOCOL
VTP
VLAN konfiguration wird von einem switch auf andere übertragen
verringert
fehleranfälligkeit
administrativen aufwand
server modus und client modus
vtp mode client / server
server schickt die konfiguration raus
mit revisionszähler
wird synchronisiert
vtp statements werden erst ausgesandt, wenn vtp domains eingerichtet sind
jeder switch standardmässig als vtp server
nur dann kann man die vlan.dat verändern
client modus muss man einstellen
kann von server vtp nachrichten empfangen
updated vlan.dat
man kann keine vlans mehr manuell anlegen
bei neustart
wird konfiguration gelöscht
server wird gesucht
nach revisionsnummer synchronisiert
transparenter vtp modus
vtp nachrichten werden über die trunks einfach weitergeleitet
es wird nicht hineingeschaut
speicherung in lokaler vlan.dat
pruning
alle getaggten frames aus allen vlans werden normalerweise auf dem trunk übertragen
die verbreitung der getaggten frames werden normalerweise alle über alle trunk ports weitergeleitet
der datenverkehr wird dort blockiert, wo die vlans gar nicht an dem switch am anderen ende des trunks angeschlossen sind
automatische verhinderung von traffic, der auf den jeweiligen trunk ports keinen sinn macht
filterung
advertisements
summary
alle 5 minuten
revisionsnummer
als folge von ereignissen
subset
bei änderung der rev nummer
konkrete infos über änderungen
können umfänglich sein
werden ausgelöst bei
siehe folie
request
ein client der von einem anderen client ein summary bekommen hat mit höherer rev nummer
sendet request an server um upzudaten
werden nicht als broadcast ausgesandt, sondern als multicast
VTP: 01-00-0c-cc-cc-cc
man kann ein vlan schnell erzeugen, indem man (if)switchport access vlan xx eingibt
wenn man einen server in ein anderes netz einbaut
wird nach rev nummer entschieden wer worauf abgleicht
wenn der domain name verschieden ist, dann wird auch nicht abgeglichen

10.05.13
SPANNING TREE
Grundlagen
schleifenfreiheit bei redundanz topologien herstellen
aufspannen eines redundanzfreien trees in einem redundanten netz
root bridge
wird von hier aufgefächert
nicht benutzte ports werden deaktiviert
aber nicht vom root bridge switch selbst
hier wird über alle rausgeleitet
konvergenz
zeitliche phase bis spanning tree einsatzbereit ist
STA
spanning tree algorithm
bridge pdu
im payload des frames
nachrichtenformat
PVSTP
per vlan stp
für jedes vlan eine separate instanz von STP
bridge priority
wird in 4096 inkrementiert
geblockte ports blockieren nur den datentraffic
bridge pdus werden weitergeleitet
port id
port priorität
standard 128
zwischen 0 und 240
16er inkremente
wird benutzt, wenn bridge ids der nachbarn gleich hoch sind
erst werden
pfadkosten verglichen
dann remote bridge id
dann (durch hubkonstruktion) die niedrigste schnittstellennummer (port id)
konvergenz reihenfolge (jedesmal bei hochfahren oder topologieänderung) II p.

75
blocking
empfängt und verarbeitet bridge pdus
und sendet sie
listening
alles so wie bei blocking
bridge pdus werden empfangen und gehört
aber es passiert nichts weiter
um forward delay einzuhalten
15 sek
danach
learning zustand
lernt mac adressen
dann 15 sek
dann forward status
forwarding
block role (#show spanning-tree)
designated
root
alternate (RSTP)
wie geblockt
kann aber als alternativer port schnell geöffnet werden


13.05.13
stp
portrollen
root port
designated port
non designated port
portrollen an einer root bridge
sind alle designated
bridge pdu
portkosten
ICND II, p.

71
topologieänderung
ICND II, p.

72
IEEE
PVST
portfast
bei der konvergenzphase werden die übergänge
von
blocking nach
forward
ohne zwischenzustände geschaltet
es entstehen schleifen auf zwei ports

geht auch für interface modus
dann nicht für alle

15.05.13
bpduguard
bpdus werden nicht hereingelassen
gut um zu verhindern, dass ein switch angeschlossen wird
um zum beispiel den vtp server zu übernehmen
rootguard
bpdus mit besseren werten werden von den ports geblockt
etherchannel
trunk ports werden gebündelt
bis zu 8
pvst
arbeitet mit isl
802.1w
rapid spanning tree
802.1d-2004
IEEE
das selbe wie 802.1w

rapid spanning tree 802.1w
integriert cisco erweiterungen
ergänzt um neues verfahren
keine timer werden mehr verwendet
in der konvergenz
bpdu verfahren ist das selbe
intervall von 2 sekunden
protokollkompatibilität
in flag byte gesetzte bits werden anders genutzt
edge port
access ports
kein switch dran angeschlossen
clients angeschlossen
ohne konvergenzphase
funktioniert wie portFast
verbindungstypen
shared
p2p
portrollen
root port
kürzester weg zur root bridge
alternate
designiert
port der eine verbindung zu einer nicht root bridge herstellen kann
backup port
parallele verbindung auf non edge verbindung
schnellere konvergenz nach topologieänderungen
nach 3 ausgefallenen bpdus klar
gleich uplinkfast bei stp
rootport verloren, kein lokaler altn port vorhanden
inferior bpdu
proposal bpdu
agreement bpdu
gleich backbone fast bei stp
#spanning-tree mode rapid-pvst
#show interface status
#spanning-tree vlan 10 root primary
macht den switch auf dem man ist zur root bridge

Inter VLAN Routing
pro port vlan routing
für jedes vlan wird ein ACCESS port am switch und ein ethernet interface am router gebraucht
trunk port
über ein interface an den router führen
trunking fähiges IOS!!!!!
#int fa0/0.10
subinterface
man nimmt gleiche nummer wie vlan
#encapsulation dot1q <vlan nummer> [native]
bei subinterfaces MUSS man native angeben
bei dot1q vlan 1 standardmässig native
bei isl gibt es kein native

17.05.13
troubleshooting
erweiterter ping
man kann die source ip adresse ändern
show
interface status
ip int br
cdp
neighbors detail
mac-address-table
int fa0/1 switchport
vlan brief
cdp
im globalen modus
cdp run
auf dem interface
cdp enable
pruning
wenn kein access port aktiv ist
dann wird der datenverkehr gestoppt
dtp
wenn beide auf auto stehen
dann wird es ein access port
abschalten wenn man einen cisco switch mit einem non cisco switch benutzt
seite 102, ICND 2
port kosten
festgelegt nach IEEE
port priorität
standard 128

21.05.13
klassenbasiertes routing (ICND 2, p.

191)
heisst: übermittelt in routingupdates nicht
subnetmask
heisst: wenn router ip paket empfängt muss er aus klassenbits den netzwerkanteil ermitteln
igrp
interior gating routing protocol
rip v1
klassenloses routing
rip v2
EIGRP
ospf
is-is
administrative distanz
wer hat die distanz eingetragen
administrator
protokoll
je kleiner desto besser
die glaubwürdigkeit der route
metrik
maßzahl für die qualität einer route
je kleiner desto besser
distanzvektorprotokolle
kürzeste verbindung bei “s-bahn strecke”
rip
administrative distanz von 120
hops
festgelegte unendlichkeit
16 hops
igrp
100 administrative distanz default
eigrp
ein bisschen distanzvektorprotokoll
ein bisschen link state protokoll
90 AD default
ospf
110 AD default
is-is
enhanced eigrp
link state protocol
was kommt in routingtabelle?
bei mehreren routen
kommen nur die besten routen in die tabelle
oder die allerbeste
man kann administrative distanz manuell ändern
routing
funktionale aufgabenteilung
frame kommt an interface an
nimmt ethernetframe weg
trifft auf basis ip paket routingentscheidung
frameswitching
ausgangsinterface ermittelt
einpacken und wegschicken
fastswitching
wenn ip paket aufgelöst
auf interface aus dem es geschickt werden soll
in den cache
weitergeleitet
routingprozess
lookup
level 1 routes (e1-3.1.1-0)
default route
0.0.0.0/0
supernet route
network id
ultimate route
next hop ip
exit interface
sh controllers
dce
dte
floating static route
einer route wird eine schlechtere administrative distanz gegeben
um eine backup route zu haben
adresse im hdlc frame
broadcast adresse
wenn man ein ausleitendes interface bei einer ip route angibt
wird kein arp request ausgeführt
wann besser ausleitendes interface, wann next hop?
bei seriell interface
bei ethernet next hop
sekundäre schnittstelle
bei vlsm kein platz mehr für hosts
zweites netz an gleichem interface
subnet-zero
192.168.0.0
frühere router konnten das 0.

netz mit 240er maske nicht unterscheiden
ob erstes netz oder klassenbasiertes netz
no subnet-zero
minus zwei netze
erstes netz und
letztes netz
broadcast im klassenbasierten netz
bei einem fastethernet interface als ausleitendem interface werden die pakete gedroppt
wenn die ziel mac adresse nicht schon vorher durch einen arp aufgelöst wurde
statische summen- und default-routen
default route
unspezifischste route
passt auf jedes netz
0.0.0.0 /0
128 192 224 240 248 252 254 255
#ip default-network

22.05.13
wenn in der routing tabelle mehrere einträge stehen
nimmt der router die
mit spezifischerem eintrag
prefix 30 statt 24
routing protokolle
konvergenzphase
remote netze erkennen
nachrichten austauschen
besten pfad ermitteln
herstellung der konvergenz nach eingetretener topologieänderung
distanzvektor
konvergiert langsamer als
link-state
OSPF
jeder router erfährt in konvergenz einen kompletten überblick über die routing domäne
link-state advertisements werden ausgetauscht
informationen werden geflooded
“hallo, ich bin da”
nachbarn geben infos an andere weiter
wird in link-state advertisement datenbank gesammelt
router erzeugen eine landkarte
sie stellen sich an wurzel eines trees
aus der link-state database werden die metriken zu den netzen errechnet
der kürzeste pfad wird gewählt, bandwidth
und in die routing tabelle eingetragen
falls ein router eine fehlende info braucht
kann er einen nachbar router fragen
ergebnis: alle router haben eine abgeglichene link-state database
alle 30 minuten werden die link-state daten an andere router gesendet und verglichen
RIP (distanzvektorprotokolle) routing information protocol
4 timer
update timer
30 sec
invalid timer
nach 30 sec kein update, dann wird er in gang gesetzt
wartet 6 perioden, 180 sek
wenn dann kein empfang, wird route als nicht erreichbar gekennzeichnet
flush timer
nach 240 sec
wird route aus tabelle entfernt
wird an andere router gemeldet
holddown timer
router reagieren nur, wenn ein anderer router eine bessere route meldet als die mit dem down geholdeten interface
oder der router der es gemeldet hat ein update sendet
wenn eine metrik von 16 gemeldet wird
hold down für 180 sec
poison route

routingschleifen und massnahmen zur verhinderung
fortlaufende weiterleitung eines paketes
zwischen mehreren routern, die durch fehlkonfiguration oder timingfehler verursacht wird
ursachen
falsch konfigurierte statische routen
inkonsistente routingtabelle
zu langsame konvergenz
zusätzlicher verbrauch an
bandbreite
cpu power
weiteren schleifen
lawinenartiges weiterwachsen
count to infinity
split horizon
es werden nur informationen an den nachbarn übermittelt
die man nicht von dem nachbarn gelernt hat
route poisoning
kennzeichnung einer route als unerreichbar
metrik 16
poison reverse
wenn ein poison update
nochmal zurück an den meldenden router
gesendet wird

23.05.13
LSA
link state advertisement
LSP
link state packet
RIP
1988 eingeführt
einfach in konfiguration
durchmesser beschränkt
auf 16 hops
RIP V2 gibt subnetzmaske weiter
dadurch classless routing
routing tabelle wird komplett mit nachbarn ausgetauscht
alle 30 sek
unkoordiniert
dadurch schleifenbildung
poison reverse
split horizon
route poisoning
invalid timer
180 sek
wenn vom nachbar nach 30 sek kein routing update erhalten wird
sorgt dafür, dass die route nicht gelöscht wird
in einem rip paket können bis zu 25 routen übertragen werden
standardmässig werden 4 gleichwertige routen eingetragen
maximal 6
eigrp kann eine visible successor route eintragen
mit schlechterer metrik
asymmetrisches load balancing
zusammenfassung an den klassengrenzen
rip funktioniert nur in zusammenhängenden netzen
rip kann super routen nicht auflösen
längere prefixes aber schon
rip kann vlsm und cidr nicht
nicht zusammenhängende netze
auto summarisation kann man nicht abschalten
bei rip v2 schon

24.05.13
rip konvergiert in nicht zusammenhängenden netzen nicht
das heisst load balancing wo nur ein netz erreicht werden sollte
(config-router)#default-information originate
über diese schnittstelle ist das default netzwerk zu erreichen
und es wird über rip weitergegeben
redistribution rip
übergabe von anderen protokollen
#redistribution static
statische routen werden mit in die redistribution aufgenommen
siehe blatt
RIP V2
gleiche timer wie RIP 1
poison
reverse
erweiterung
nicht mehr broadcast
multicast
autorisierung
routingupdates mit passwort sichern
bei link state protokollen die gefahr größer, da die ganze topologie geflooded wird
rip 1 router kann nur rip 1 bearbeiten
rip 2 kann
rip 1 und rip 2 bearbeiten
null0 route 192.168.0.0 /16 null0
nimmt pakete an
gibt aber auch nichts zurück
virtuelle schnittstelle
erscheint im routingprotokoll
elektronischer papierkorb
reagiert wie normales interface
simulation einer statischer route ohne ein interface zu haben
null wird immer benutzt um etwas verschwinden zu lassen

27.05.13
symbol
ein baud
2 bits
WAN
hat keine router
Internet
hat viele router
MAC
framing
kollisionsbehandlung
tunneln
eine pdu in ein anderes protokoll einpacken
auf gleichem layer
rip1
broadcast
rip2
multicast
224.0.0.9

28.05.13
3 Arten des flutens
broadcast
unbekannt
multicast
network layer
adressierung
ports
tcp
flow control
windowing
buffering
verbindungsorientiert
3 bits
syn
fin
ack
fehlerkorrektur
sack
selektive acknowledge
presentation layer
verschlüsselung
https
ssl
tls
tcp
ip
ports
ftp
tcp
20, 21
ssh
tcp
22
telnet
tcp
23
smtp
tcp
25
dns
udp, tcp
53
dhcp
udp
67,68
tftp
udp
69
http
tcp
80

pop3
tcp
110
ntp
udp
123
imap
tcp
143
snmp
udp
161, 162
https
tcp
443
mac adresse 48 bits
erste bit links
most significant bit
letzte bit rechts
least significant bit
netstat -n
netstat -na
port angucken
netstat -nao
prozesse
dann task manager
oder tcpview
29.05.13
RIP
timereinstellungen werden von router zu router nicht gemeldet
können unterschiedlich sein
LPM
longest prefix match
die spezifischste route bleibt in der routingtabelle
erst danach wird nach der AD geguckt
priorität beim routing
1.

LPM
2.

AD
3.

Metrik
#sh
run...
ip route
ip int brief
ip protocols
ip rip database
#sh processes
# router rip
zum anstellen
(router) no auto summary

30.05.13
T1=1544 kbit/s
T3=44,73 mbit/s
serielle interfaces haben keine mac-adressen!!!
reservierte adressen
127.0.0.0 /8
loopback
::1 IPv6
169.254.0.0 /16
apipa
wenn dhcp server nicht funktioniert, dann sollen rechner immer noch auf ip level kommunizieren können
zeroconf bei linux
automatic private ip adressing
172.16.0.0 - 172.31.255.255 /12
privat
192.168.0.0 - 192.168.255.255 /16
privat
beim network befehl können mehrere interfaces mit einer adresse einbezogen werden
frame relay
nur ein interface, dass in die frame relay wolke geht

31.05.13
discontigous network
netzwerke mit einem anderen netzwerksbereich dazwischenhängend
OSPF
open shortest path first
algorithmus: SPF, edsgar dijkstra, 1959
dijkstra algorithmus
haupttyp: link state routing protocol
weitere typisierung
offener standard nach RFC, diverse
IGP
nicht multiprotokollfähig
classless
versionen
ospf v2
aktuell für ipv4
ospf v3
für ipv6
meldungen
hellos
multicast
224.0.0.5
ff02::5
updates
224.0.0.6
ff02::6
kein transportprotokoll
im protokollfeld des ip paketes steht gleich ospf
ip protokollnummer 89
autosummary
nein
ospf kennt keine klassengrenzen
manuelles summary
spf
built-in-loop-free
bei jeder topologieänderung auf jedem router muss spf laufen
fordert cpu ressourcen
topologie
jeder router kennt die gleiche topologie
lsdb
link state database
sammlung der lsa
lsa
link state advertisement
fordert ram ressourcen
2 varianten
network lsa
router lsa
router id
interface ip / maske
link state
up / down
cost
aufaddiert
ich habe die kosten
nicht du wirst die kosten haben wie bei rip
update für ein netz (link)
getriggert
und alle 0.5h
jeweils für EIN netz!!!
ospf-kosten
dimensionsloser skalar
nackte zahl
ospf kosten werden die route über aufaddiert
bestimmung
manuell
automatisch nach
übertragungsgeschwindigkeit
bandwidth
reference-bandwidth [Mbit/s] / interface-bandwidth [kbit/s]
bei ändern des realen speed des interfaces ändert sich die interface bandwidth

03.06.13
OSPF
nachbarschafts status
down
keine nachbarschaft
wenn nachbarschaft bestand und interface down ist
wenn dead timer ablief
init
man bekommt hello ohne router id
in der man selbst noch nicht gesehen wurde
2-way
eigene router id im hello [seen] gesehen
gleiche maske
gleiche netz-id (errechnet)
gleiche hello timer (10s)
gleiche dead timer (40s)
gleiche area-id (üblich 0)
[erfolgreiche authentifizierung]
gleiches stub area flag
full adjacency
beide haben router id gesehen
nur hier werden updates ausgetauscht (LSAs)
r1 verschickt hello
mit seen feld, RID
leer
r2 schickt hello zurück
mit seen r1, R2
2 linktypen
point-to-point
standardmäßig auf seriellen interfaces
broadcast
standard bei ethernet
designated router
DR
hat adjacency mit allen anderen routern am link
die anderen router haben 2-way untereinander
entgegennahme und verschicken von LSA an alle anderen
router mit höchster OSPF-Priorität am link oder mit höchster RID
backup designated router
bdr
rolle geht nach ablauf der dead time an den bdr
unterhält normalerweise 2-way mit nicht-dr routern
jeweils zweithöchste werte
fällt der dr aus, tritt der bdr an seine stelle ohne neuwahl
erst wenn der bdr ausfällt.

findet eine neuwahl von dr und bdr statt
DR-Wahl
1.

Router mit der höchsten ospf priorität am link
1 byte
standard:1
0 nimmt nicht an wahl teil
manuell
auf grund von hardware eigenschaften
maximal 255
2.

höchste RID
4 byte
dotted decimal
a) manuell
zb.: 255.255.255.255
b) lokal “automatisch” generiert
I.) höchste up/up loopback interface adresse
II.) höchste ip-adresse eines up/up working interfaces des gesamten routers
konfiguration
(config)#router ospf <PID> (prozess id)
PID
2 byte
ab 1
nur von lokaler bedeutung
pro prozess eigene LSDB
es ist möglich mehrere zu starten
aber nur an grenzroutern wenn überhaupt notwendig
sh ip protocols
(config-router)# network <netz-id / ip-adresse> <ospf-wildcardmask> area <area id>
wildcardmask
255.0.0.0 wird zu
0.255.255.255!!!!!
meist als invertierte netzmaske
area id
4 byte
üblicherweise 0
netzmaske zu wildcardmask
255.255.255.255
- 255.192.0.0
= 0.63.255.255
wildcardmask zu netzmaske
255.255.255.255
- 0.0.31.255
= 255.255.224.0
konvergenzzeit bei ospf ist geringer als bei rip!!
(config router) # default-information originate
angabe auf dem grenzrouter, dass hier der ausgang (die default route) liegt
reference-bandwidth ändern
(config-router) ospf auto-cost reference-bandwidth
1 - 65,535
troubleshooting
show
running-config
ip route [ospf]
ip ospf neighbor
state
adjacency /
dr
bdr
nicht an wahl teilnehmend
interface
auf unserer seite
ip protocols
ip ospf interfaces s0/0
kosten!!!
ip ospf database
ip ospf int br

05.06.13
IS-IS
link state protocol
interior gateway protocol
multicast 224.0.0.8
OSPF
bei seriellen links keine DR-Wahl!!!!!!
network type: point to point
da immer full adjacency gegeben ist
NM
network module
WIC
wan interface card
AREA
bei verschiedenen areas werden
summary lsa
verschickt
nur wenn sich die kosten ändern
hierarchisches design
alle areas müssen mit area 0 in kontakt sein
area 0 = backbone area
wenn man verschiedene areas hat
dann stehen routern aus anderen areas in der routing table mit
IA
inter area
asbr
as border router
abr
area border router
router zwischen zwei areas
BGP
border gateway protocol
wird benutzt um zwischen autonomen system und dem provider zu vermitteln
#sh run
| include
| begin
#sh ip route 40.0.0.1 !!!!!
06.06.13
wie kann man gucken, ob ein ping ankommt?
debug ip icmp
auf dem empfangenden rechner
dauerping
auf sendendem rechner
loopback adressen bei ospf verstärken die stabilität!!
ospf ist weder udp noch tcp
port 89!!!!!


07.06.13
vor- und nachteile OSPF
vorteile gegenüber rip
schnellere konvergenz
geringerer traffic
bessere / genauere kostenermittlung
built-in loopfree
skalierbarkeit
genaues einbeziehen von interfaces
nachteile gegenüber rip
hohe anforderungen an hardware ressourcen
aufwändigere planung / konfiguration
wunschliste
kombination der vorteile von rip und ospf
noch genauere kostenermittlung

routed protocols
ip
ipv6
ipx
routing protocols
rip
ospf
eigrp
router protocols
hsrp
vrrp
glbp
sind alle fhrp
first hop router protocols


EIGRP - Enhanced Interior Gateway Routing Protocol
algorithmus
DUAL
diffusion update algorithm
jose joaquin garcia-luna-acevez
1993
haupttyp
balanced hybrid
weitere typisierung
igp
classless
multiprotokollfähig
ip
ipx
apple talk
proprietär
verbreitung der hellos und updates läuft über multicast
224.0.0.10
FF02::A !!!!!
transportprotokoll
hellos
keins
ip protokoll nummer
88
im header vom ip paket
updates
rtp
reliable transport protocol
auto summary
ein
aus
manuell
default: ein
versionen
igrp
vorläuferprotokoll
distance vector
classfull
eigrp version 0
1994
eigrp version 2
aktuell für ipv4
eigrp version 6 / eigrp for ipv6
successor route
route mit den geringsten kosten zum ziel
SR
feasible successor
nicht-SR, die die FC erfüllt
FS
feasible condition
erfüllt, wenn RD<FD
FC
feasible distance
geringste metrik zum ziel, kosten der SR
FD
reported distance
geringste kosten des nachbarrouters zum ziel
RD

kosten
dimensionsloser skalar
formel (einfach)
( 10^7 / minBW [kbit/s] + kumulatives delay [µs / 10] ) x 256
delay
ethernet
1000 µs
fast ethernet
100 µs
seriell
20.000 µs

10.06.13
Koeffizienten
K1
1
K2
0
K3
1
K4
0
K5
0
variance
alle feasible successors, die innerhalb einer variance von 2 sind
kommen mit in die routingtabelle
nachbarschaft
wird gebildet, wenn
source ip im eigenen subnetz liegt
AS-nummer gleich ist
AS-nummer ist von globaler bedeutung
k-werte gleich sind
1, 0, 1, 0, 0
[ erfolgreiche authentifizierung ]
auto-summary
zusammenfassung an den klassengrenzen
konfiguration
router eigrp <AS-nummer>
AS-nummer = 2 byte
ab 1
von globaler bedeutung
(config-router)# network <ip-adresse>
ip-adresse classful net-id
(config-router)# network <ip-adresse> <EIGRP-wildcardmask>
[no auto-summary]
[redistribute static]
weiterverbreitung der statischen routen
z.b.

der default route !!!!!
troubleshooting
# show running-config
# show ip route eigrp
# show ip protocols
# show ip eigrp neighbors
# show ip eigrp topology
zeigt SR und FS (metrik / RD)
# show ip eigrp topology all-links
zeigt SR, FS, nicht-FS
timer
müssen nicht abgestimmt sein!!!
hello
ethernet
5s
nbma-netze - non broadcast multiple access (z.b.

frame-relay)
60s
hold time
ethernet
15s
nbma-netze
180s
12.06.13



Auto-Summary
Manual-Summary
Rip-1
on
-
Rip-2
on/off
x
OSPF
n/a
x
EIGRP
on/off
x
on=default

(config-if)#ip summary-address rip …
um festzulegen, welche adresse an die nachbarn über das interface übermittelt werden
no ip classless
dann werden alle pakete, die klassenbasiert in einer summe von den bekannten routen stehen, nicht mehr zur default route geschickt
router
ip default-gateway
nur wirksam wenn routing abgeschaltet ist
#ip default-network
ausgangsnetz

13.06.13
wann flutet ein switch
unbekannte adresse
multicast
broadcast
es wird auch über die trunks geflutet

NAT = Network Address Translation
RFC
anno 1994, aktuell 2001
Übersetzung
Inbound
vor Routing
Outbound
nach Routing
speicherung der übersetzungen in NAT-tabelle (RAM)
NAT-Arten
statisches NAT 1:1
definitiv wird eine adresse auf dem hinweg in genau eine andere adresse übersetzt
und auf dem rückweg zurück
dynamisches NAT n:1
n:m
n = anzahl der mitarbeiter
m = anzahl der öffentlichen ip adressen
dynamisches NAT mit PAT
port address translation
n:1 (normalfall)
n:m
NAPT
network address port translation
inside local
üblicherweise private ip-adresse
10.0.0.1:2000
adresse des unternehmens.

wie sie im unternehmen erscheint
inside global
innen wie sie aussen erscheint
üblicherweise öffentliche ip-adresse
80.0.0.1:2000
maskierte adresse
adresse des unternehmens, wie sie ausserhalb des unternehmens erscheint
outside local
üblicherweise öffentliche ip-adresse
200.0.0.0:80
adresse ausserhalb des unternehmens, wie sie im unternehmen erscheint
outside global
üblicherweise gleich outside local (öffentlich)
200.0.0.0:80
adresse ausserhalb des unternehmens, wie sie ausserhalb des unternehmens erscheint
von aussen kann man bei dynamischem nat keine übersetzung initiieren
ein stückchen sicherheit
einträge werden von innen angestossen und generiert



big endian bit
lsb (least significant bit) am ende
msb (most significant bit) am anfang
little endian bit
konfiguration
(config-if)# ip nat {inside|outside}
I: statisches NAT 1:1
(config)# ip nat inside source static
II: dynamisches NAT n:1
(config)# ip nat inside source list interface
inside
bereich von dem aus übersetzung initialisiert wird
source
übersetzt wird das source feld im header
list
inside local adress-bereich
10.0.0.0 /24
interface
inside global-adresse
80.0.0.1
(config)# access-list permit [acl wildcardmask]
III: dynamisches NAT n:m
(config)# ip nat inside source list pool fred
list
inside local
pool
inside global
(config)# access-list permit [acl wildcardmask]
pool
(config)# ip nat pool <1.

inside global-ip> {netmask |prefix-length }
1.inside
80.0.0.1
letzte inside
80.0.0.6
IV: dynamisches NAT mit PAT
n:1 (config)# ip nat inside source list interface overload
n:m (config)# ip nat inside source list pool overload



Trouble Shooting
#show run
#show ip nat translations
#show ip nat statistics
#clear ip nat translation *
löscht alle nat-tabellen einträge außer statische
debug ip nat

14.06.13
NTP - network time protocol
(config)#ntp server

Access Control List
Paketfilter nach Layer-3 und Layer-4 Kriterien
welche pakete werden verworfen und weitergeleitet
Windows: “Firewall”
Linux: “ip tables (eh.

ipchain, ipfw)
enthält auch NAT
NICHT WINDOWS ACL
verfügbar seit den ersten Cisco Routern
ACL besteht aus Anweisungen
Zeilen
Bedingung -> Action
permit
deny
Die ACL wird von oben nach unten abgearbeitet
trifft für ein Paket eine Bedingung zu, wird Action ausgeführt und die ACL verlassen
jede ACL hat am schluss eine unsichtbare generelle verbotsanweisung
eine ACL kann aktiviert werden für
VTY
pro richtung
interfaces
pro L-3 protokoll
ip
ipx
apple talk
und Richtung
in
out
eine pro interface und richtung
wirkt jedoch nicht für pakete, die im router generiert werden
ohne ACL ist jeder traffic erlaubt
Vom speziellen zum allgemeinen definieren
Standard ACL
Faustregel: Anbringen nahe Ziel
Filterung nur nach source-ip


Nummern
1-99
1300-1999
wirkt nicht für pakete, die im router erzeugt werden
LSAs

17.06.13
Konfiguration
(config)#access-list {permit|deny}
wildcardmask
bit “0” = entsprechnedes adressbit festgelegt
bit “1” = entsprechendes adressbit wahlfrei
einsen und nullen können frei verteilt sein
(config)#access-list {permit|deny}
in diesem falle wird maske 0.0.0.0 angenommen
(config)#access-list {permit|deny} host
maske 0.0.0.0 wird angenommen
(config)#access-list {permit|deny} any
any=0.0.0.0 255.255.255.255
(config)#access-list remark
anmerkung
nur in running-config sichtbar
(config-if)#ip access-group {in|out}
wirksamwerden lassen einer ACL mit
VTY
(config-line)access-class {in|out}
bei out wird nach destination ip gefiltert
vormittags alle ungeraden ips
access-list 1 permit 0.0.0.1 255.255.255.254
access-list 1 permit 10.0.1.0 0.0.254.255
nachmittags alle geraden ips
access-list 1 permit 10.0.0.0 0.0.254.255
troubleshooting
#show running-config
remarks nur hier sichtbar
#show ip interface
zeigt wirksame acl und richtung
#show access-lists
zeigt alle acls, die nicht nur aus remarks bestehen
unabhängig ihrer aktivität auf interfaces
mit zeilenummern
und match statistiken
gilt nicht für unsichtbare deny any-anweisung
werden im ram gespeichert
#ping
#debug ip packet

extended acl
filterung nach
source-ip
destination-ip
port
protokollwerte
L3 und
L4 kriterien
nummern
100-199
200-2699
sonstiges verhalten wie standard acl
faustregel
anbringen nahe quelle
um traffic zu sparen
konfiguration
beispiel
(config)#access list 199 deny tcp host 10.0.0.1 host 20.0.0.1 eq 80
tcp muss angegeben um die ports angeben zu dürfen
(config)#access list 199 permit ip any any00000
syntax
(config)#access-list {permit|deny} [operator ] [operator | protokollwert]
protokollwert
echo
für icmp messages
type 8
type 0
host = 0.0.0.0
any = 0.0.0.0 255.255.255.255


operatoren
eq = equal
lt = less than
gt = greater than
neq = not equal
range
named acl
(config)#ip access-list extended aliceDarfNicht
(config-ext-nacl)deny tcp host 10.0.0.1 host 200.0.0.1 eq 80
(config-ext-nacl) permit ip any any
zeile löschen
show access-lists
zeilennummern werden angezeigt
ip access-list extended aliceDarfNicht
name case sensitive
no
zeile hinzufügen
befehl
man kann auch einen texteditor benutzen
zeilennummern werden automatisch eingefügt
timebased acl
(config)# time range nachmittags
(config-time-range) periodic weekdays 08:00 to 12:00
dynamic acl (lock-and-key security)
authentifizierung
telnet
aaa server
einfaches management in großen internetworks
reflexive acl / ip session filtering / SPI (stateful packet inspection)

bei telnet wird irgendein source port verwendet
zielport immer 23
auch bei antwort 23 source port

18.06.13
ports auf windows anschauen
netstat
zum beschleunigen
netstat -n
zum alles anschauen
auch udp
netstat -na

zum rausfinden der prozessnummer
netstat -nao
TTL
wird vor der routingentscheidung runtergesetzt

19.06.13
IPv6
ehemals IPng
Projektbeginn 1995
veröffentlicht 1998
produktiv
cisco ab 10s 12.2
windows ab win7
linux ab kernel 2.6
motivationen
erschöpfen der ipv4 adressen
CIDR/VLSM
1985
weitergabe nur von teilen von klassennetzen
private adressbereiche
NAT
lt RFC 1918
1996
dynamische ip vergabe
dhcp
zu große routingtabellen
vorteile von ipv6
riesiger adressraum
kleine routing tables durch striktes regional konzept
schlanker header
keine standardfelder für fragmentierungen
früher konnte man an einige interfaces von routern nur kleine pakete transportieren
header eintrag
sequenznummer
bei ipv6 gibt es eine headererweiterung mit optionalen feldern
keine prüfsumme mehr
plug&play durch auto konfiguration

traffic klassen für QoS
achtung !netzneutralität!
traffic label für l4-verbindungen
udp-verbindung
es gibt sie nicht!!!!!
besondere unterstützung für mobilgeräte
vpn fähigkeit pflicht
ipsec
kein NAT
nachteile von ipv6
ungewohntes adressformat
neue sicherheitsherausforderung
wegfall von NAT
adressen
format
128 bit
16 byte
340 sextillionen
vergleich ipv4
4,3 mrd
mac adressen 2^48 = 281 billionen
darstellung
8 vierergruppen von hexziffern
quartette
field
getrennt durch doppelpunkte
2340:DEAD:0000:4D00:00AB:0000:0000:0001
abkürzungen
im quartett führende nullen weglassen
2340:DEAD:0:4D00:AB:0:0:1
besteht ein quartett nur aus bit-nullen, können alle ziffern im quartett weggelassen werden

mehr als 2 aufeinanderfolgende doppelpunkte können einmalig zu einem doppel doppelpunkt verkürzt werden.

es kann nur einen doppel doppelpunkt geben
doppelpunkt = colon
2340:DEAD:0:4D00:AB::1
besondere adressen
loopback
::1
unbestimmte adresse = 0.0.0.0
::
es gibt keine broadcastadresse

20.06.13
Netze
ipv6 ist classless
ipv6 adr.


123:0:0:AB00:0:0:0:1 /56
ein quartett = 4bit = 16
vergabe von ipv6 addressen
icann vergibt an RIR
Registry prefix
/12
rir vergibt an lir
isp prefix
/19 - /32
isp vergibt an kunde
site prefix
/48 - /56
kunde gestaltet subnetze
subnet prefix
/64
3 adresstypen
unicast
global unicast
entsprechen öffentlichen ipv4 adressen
von der funktion her
2000::/3
können mit 2 oder 3 anfangen
bitebene
0010 = 2
prefix geht bis 1
beliebig viele pro interface
alle gleichberechtigt
unique local
entsprechen privaten adressen
lt rfc 1918 routingfähig
nicht ins internet
FC00::/7
FC
FD
beliebig viele pro interface
alle gleichberechtigt

link local
entspricht APIPA
FE80::/10
FE8
FE9
FEA
FEB
man kann mehreren interface die gleiche link local adresse geben
aber nur eine pro interface
multicast
FF00::/8
beispiele
FF02::1
meldung an alle knoten im netz
broadcast ersatz
FF02::2
meldung an alle router im netz
FF02::5 und FF02::6
OSPF v3
FF02::8
IS-IS
FF02::9
RIPng
FF02::A
EIGRP v6

multicast
anycast
mehrere router auf der ganzen welt mit der gleiche ip adresse
der router der am nächsten ist wird automatisch angesteuert
“one-to-nearest”
KEIN broadcast mehr
bestimmung interface id
manuell
automatisch
eui-64
einfügen von fffe in die mitte der bia-mac
das u/l bit wird auf 1 gesetzt
universal local
das zweite bit
privacy extension
mac adresse wird erstellt aber gehashed

ndp
neighbor discovery protocol
auflösung ipv6
erkennung von adress-dubletten
kommunikation zwischen client und router (ICMPv6)
RS
router solicitation
entdeckung der router durch die hosts
FF02::2
RA
router advertisement
FF02::1
transition options / migration ipv4 -> ipv6
dual stack
ein ipv6 paket wird in ein ipv4 paket gesteckt
tunneling
teredo
via udp
dual stack auf endgeräten
mct
manual configured tunne
isatap
intra site
nicht nat-fähig
gre
generic routing encapsulation
tunneling
nat-pt
nat-protocol translation
obsolet
6to4
um routing auf cisco routern anzumachen
(config)#ipv6 unicast-routing

21.06.13
W-LAN
vorteile
mobilitätsgewinn
flexibilität
höhere produktivität
höhere kosteneffizienz
sicherheit auf layer 2
weniger kabelwirrwarr
nachteile
reichweite (geringer)
störanfälligkeit
geringere sicherheit
geringerer datendurchsatz
strahlenbelastung
höhere anfangs investitionen
kein PoE
organisationen
IEEE
langsam aber gründlich
fcc
federal communication communitee
bundesnetzagentur
itu-r
uno organisation
ehemals ccitt
communitee consultitative international …
wi-fi alliance
industriekonsortium
architekturen
ad hoc
ibss
independent basic service set
stationen funken untereinander ohne access point
infrastructure
bss
basic service set
mit access point
roaming
ess
extended service set
mehrere access points mit switch dazwischen
überlappende sendebereiche
müssen auf verschiedenen kanälen laufen
frequenzen
SSID muss gleich sein
service set identifier
kann aber versteckt sein
es sollte der gleiche standard sein
g
n

signalqualität
entfernung
hindernisse
dämpfung
reflektion
stahlbetonwände
metallschränke
file cabinets
störquellen
mikrowelle
atmosphärische störungen
noise
schnurlostelefone
cordless phones
ausgangsleistung
eirp
equivalent isotropically radiated power
max 100mW
in germany
antennenausrichtung
sender und empfänger
empfangssignal stärke
signalstärke im verhältnis zum noise
signal to noise ratio
SNR
signal / noise
frequenzen
900 Mhz
ISM
Schnurlostelefone
Mikrowellen
2,4 Ghz
ISM
schnurlostelefone
mikrowellen
wlan
5 Ghz
U-NII
wlan 802.11a
wlan 802.11n
bandbreite
200khz über und unter einer UKW station
je höher die frequenz desto höher die bandbreite
802.11a,b,g
20 Mhz
802.11n
20/40 Mhz
fernsehen
4,5 Mhz
kanäle
11 in USA
13 in Europa und Japan
durchsatzrate
wird in stufen
protokollbedingt
gesenkt
layer 2
betriebsart
half duplex
hdx
kollisionsbehandlung
CSMA/CA
CA=collision avoidance
1.

medium lauschen / zufallszeit abwarten
2.

frame senden
3.

bestimmte zeit auf empfangsbestätigung warten
sicherheit
bedrohungsszenarien
war driver
entdeckertrieb
kostenloses internet
authentifizierung
hacker
spionage
veränderndes eingreifen
verschlüsselung
rogue ap
umlenken des traffics über einen falschen ap
authentifizierung
mitarbeiter
bequemlichkeit
falsch verstandener fleiß
arglosigkeit
authentifizierung
ids
ips
sicherheitsmaßnahmen
mac adressenfilterung
schwach
ssid cloaking
verstecken des ssid
kein beacon signal
schwach
authentifizierung
verschlüsselung
Verschlüsselungsverfahren
WEP
wired equivalent privacy
1997
in 802.11
40 bit key
stromcode RC-4
statischer key
keine authentifizierung
cisco solution (noch unsicher)
2001
TKIP
temporary key interchange protocol
basiert auf RC-4
dynamischer key wechsel
authentifizierung nach 802.1x
WPA (noch unsicher)
wifi protected access
wi-fi alliance
TKIP
verbessertes WEP
MIC
message integrity check
basiert auf RC-4
dynamische und statische keys
authentifizierung nach 802.1x
jeder frame sequence number
gegen replay attacken
WPA2 (sicher)
802.11i
2004
blockcode
AES
advanced encryptn standard

CCMP-AES
dynamische und statische keys
authentifizierung nach 802.1x

24.06.13
WAN-Frame Relay
PPP
point-to-point protocol
leistungsmerkmale
typfeld lt norm im header
unterstützt digitale und analoge verbindungen
unterstützt synchrone und asynchrone leitungen
unterstützt l3-protokolle
headerkompression
ccp
automatischer ip adressen austausch
link control protocol
LCP
leistungsmerkmale
multi-link
wie etherchannel
loop detection
frame nummerierung
“magic number”
error detection
fehler statistik
authentifizierung
PAP
password authentication protocol
2 way handshake
router a schickt passwort in klartext, router b schickt ok
chap
challenge handshake authentication protocol
3 way handshake
router a will sich bei router b authentifizieren
router a schickt eine anforderung
beide haben passwort cisco
router b schickt challenge
eine zufallszahl
router b bildet aus cisco und der zahl einen md5 hash
router a kriegt zufallszahl und bildet aus cisco und der zahl einen md5 hash
a schickt b den md5 hash rüber
b vergleicht die hashes
eine bestätigung kommt
nötig für serielle verbindungen zwischen cisco routern und anderen vendors
keep alive funktion
10 sec
leased line
standleitung
vorteile gegenüber internet
sicherheit
cir
committed information rate
zugesicherte bandbreite
nachteile gegenüber internet
teuer
punkt zu mehrpunkt verbindung
unflexibel
frame relay
punkt zu mehrpunktverbindung
ein nbma netz
non broadcast
keep alive
10 sec
fallback
hdlc
high level data link control
offiziell genormt
virtual circuit / virtuelle verbindung durch die FR wolke
VC
PVC
permanent vc
SVC
switched vc

vorteil gegenüber internet
sicherheit
nur ein service provider
CIR auf dem PVC
vorteil gegenüber leased line
billiger
flexibler
EIN adress feld
dlci nummer
data link connection identifier
10 bit
für vc
16-1007
wird von provider ausgegeben
architekturen
full mesh
ein wan-netz
alles mit allem verbunden
hub-and-spoke
ein wan-netz
alles mit einem verbunden
um bei rip funktionalität zu erreichen
muss man subinterfaces benutzen
hybrid
ein wan-netz
teilweise alle mit einem
teilweise alle mit allen
header
FR-header
itu
Q922A
LAPF header
link access procedure for frame relay
typfeld
cisco
default
cisco
“”
ietf
ansi
itu
rfc 1490
muss vom kunden eingestellt werden
sind inkompatibel
von interesse für nächsten router

access link
link zum provider
meldungen
LMI-messages
local management interface
vc statusmeldungen
keep alive
10 sec
3 typen lmi messages
cisco
spezielle dlcis
1023
standard 0
ansi
itu
q933a
interessieren nur den nächsten switch
sind imkompatibel
haben autosense
troubleshooting
#show frame-relay map
inverse arp
habe l2 (dlci im VC)
will l3
traffic shaping
maßnahmen bei überschreitung der cir durch den kunden
3 flags/bit auf nutzframes
becn
backward explicit congestion notification
“schieb nicht soviel nach”
fecn
forward explicit congestion notification
für den vorderen router
“fordere nicht soviel an”
de-bit
discard eligibility
werden zum wegschmeissen markiert
sollte vom kunden gesetzt werden
hat ein bisschen kontrolle darüber welche frames weggeschmissen werden
voip, …
prüfung
(if)#frame-relay map ip [broadcast]

dhcp
dynamic host configuration protocol
bootp
bootstrap protocol
zweck:
vergabe von ip-adressen an client computer
stateful
zustandsbehaftet
lease
windows
8 tage
linux
10 tage
cisco
muss man konfigurieren
client versucht nach hälfte und ⅞ der lease time die lease zu erneuern
server
gibt ip adressen aus
scope / pool
testet ob ip adresse schon vergeben ist
gratuitous arp
ping
wenn es zu einem adresskonflikt kommt
wird die adresse aus dem pool genommen bis der administrator das konfliktproblem gelöst hat
niemals rausgegeben werden
netz id
broadcast
zusätzlich liefert dhcp die maske
zusätzlich das standard gateway
zusätzlich die ip adresse von dns server
zusätzlich
windows domain name
smtp server
pop3 server


25.06.13
DHCP
DHCP kommunikation
1.

dhcpdiscover an broadcast
Client fordert IP-Adresse an (mit Wunsch-IP)
L2 source-mac: dmac:
L3 SIP: 0.0.0.0, DIP: 255.255.255.255
L4 Sport: 68, Dport: 67 (UDP)
2.

dhcpoffer unicast
server bietet ip-adresse an
L2 source-mac: , dmac:
L3 SIP , d-ip
L4 sport: 67, dport: 68 (UDP)
3.

dhcprequest an bc
client “bestellt” ip adresse
L2 source-mac: , dmac:
L3 sip: 0.0.0.0, dip: 255.255.255.255
L4 sport: 68, dport: 67 (UDP)
4.

dhcpack unicast
server bestätigt lease
L2 smac: , dmac
L3 sip: , dip
L4 sport: 67, dport: 68 (UDP)
dhcp relay agent
wenn dhcp server hinter einem router steht
nimmt discover entgegen
packt es in ip paket ein
leitet pakete immer weiter

VPN
virtual private network
Layer 1 / Layer 2: Leased line
Layer 3: IPsec
Layer 6: OpenVpn, L2TP, PPTP
via TLS
tunneln
pdu auf gleichem layer in andere verpackung
2 ipsec modi
tunnel mode
tunnel zwischen 2 vpn gateways
transport mode
tunnel zwischen 2 endpunkten
AH
authentication header
ESP
encapsulating security payload
sicherheitsansprüche


esp
ah


privacy (datenschutz)
ja
nein
verschlüsselung: aes, ike: internet key exchange, algorithmus: DH = diffie hellman
anti replay (nicht wieder einspielen)


ja
nein
hmac: hash based message authentication code, md5, SHA
data integrity / daten- nachrichten integrität
ja
ja


authentication (authentifizierung)
ja (schwach)
ja (stark)


non repudiation (nicht abstreitbarkeit)








availability (verfügbarkeit)
Imprint.
Privacy.