Sie sind auf Seite 1von 85

Dokumentation

CCNA 640-802

ICND 1 & ICND 2


1
Inhaltsverzeichnis

TCP/IP- und OSI-Referenzmodell ........................................................................................................... 4


ISO OSI-Referenzmodell ......................................................................................................................... 6
Datenverkapselung .................................................................................................................................. 8
Ethernet ................................................................................................................................................... 8
WLAN .................................................................................................................................................... 10
Internet Protocol (IP) ............................................................................................................................. 14
Die Subnet Mask ................................................................................................................................... 17
Subnetting ............................................................................................................................................. 17
TCP und UDP ........................................................................................................................................ 18
Segmentierung der Daten ..................................................................................................................... 21
Route Summarization (Routen Zusammenfassung) ............................................................................. 22
Switching ............................................................................................................................................... 23
Optionale STP Features ........................................................................................................................ 25
Rapid Spanning Tree (RSTP IEEE 802.1w) .......................................................................................... 27
VLAN und Trunking ............................................................................................................................... 27
Trunking ................................................................................................................................................. 28
VLAN Trunking Protokoll - VTP ............................................................................................................. 29
Multisubnetzanbindung über Trunks ..................................................................................................... 29
Routing .................................................................................................................................................. 31
Ziele eines Routing Protokolls ............................................................................................................... 31
Routing Protokolle ................................................................................................................................. 31
Security .................................................................................................................................................. 37
Network Address Translation (NAT) ...................................................................................................... 38
CDP - Cisco Discovery Protocol ............................................................................................................ 46
VPN ....................................................................................................................................................... 47
IPv6........................................................................................................................................................ 49
Passwort Recovery................................................................................................................................ 55
Bootvorgang .......................................................................................................................................... 56
Befehle................................................................................................................................................... 58
Leitungsarten, -geschwindigkeiten und –längen: .................................................................................. 62
Max. Speed: .................................................................................................................................. 62
WAN Speed: ................................................................................................................................. 62
SONET Speed: ............................................................................................................................. 62
Dokumentation eines LAN ..................................................................................................................... 63
Konfigurationsmodule Cisco Router ...................................................................................................... 70
Konfigurationsmodule Cisco Switches .................................................................................................. 79

2
3
TCP/IP- und OSI-Referenzmodell

Heute ist es nahezu unmöglich einen Computer zu finden, der nicht TCP/IP unterstützt. Jedes
Microsoft, Linux und UNIX Betriebssystem unterstützt TCP/IP. Sogar PDAs und Handys unterstützen
heutzutage TCP/IP.

Ende der sechziger Jahre beauftragte das US-Verteidigungsministerium die ARPA (Advanced
Research Projects Agency) mit der Entwicklung einer zuverlässigen Netzwerktechnologie. Die ARPA
gab dieses Projekt an unterschiedliche Universitäten weiter. Ende 1969 wurde das ARPANET mit vier
Knoten in Betrieb genommen. Innerhalb der nächsten drei Jahre wuchs das ARPANET und deckte ein
großes Gebiet der Vereinigten Staaten ab.

1974 entwickelte sich aus den Erkenntnissen des ARPANET das TCP/IP-Modell.

Die Internationale Organisation für Standardisierung (ISO) startete Ende der 70er ein Projekt, das sich
zum Ziel gesetzt hatte, ein offenes Referenzmodell, das „Open Systems Interconnection (OSI)“, zu
entwickeln.

OSI verlor gegen TCP/IP aufgrund der langwierigen Standardisierungsprozesse der ISO.

Dennoch wird das OSI-Modell heute noch als Referenzmodell zum Vergleich, unterschiedlicher
Kommunikationsmodelle verwendet.

TCP/IP Protokoll Architektur


Das TCP/IP Protokoll besteht aus einer Vielzahl von Protokollen, die zusammen die Kommunikation
zwischen 2 Computern ermöglichen. In „Requests For Comments“ (RFCs) werden die Details der
einzelnen Protokolle festgehalten. Details zum Internet Protocol stehen in RFC 791.

Wie bei anderen Referenzmodellen werden auch die Protokolle des TCP/IP-Modells in verschiedene
Schichten aufgeteilt.

TCP/IP Schicht Beispiel für ein Protokoll dieser Schicht


Application HTTP, POP3, SMTP
Transport TCP, UDP
Internetwork IP
Network Interface Ethernet, PPP, Frame-Relay

TCP/IP Application Layer

Der TCP/IP Application Layer stellt Dienste für eine Anwendung, die auf dem Computer läuft, bereit.
Der Application Layer stellt nicht die Anwendung selbst da, sondern nur die Dienste, die eine
Anwendung benötigt, um z.B. eine Datei über ein Netzwerk zu übertragen. Man kann sagen der
Application Layer ist die Schnittstelle zwischen der Anwendung und dem Netzwerk.

Eine der meist genutzten TCP/IP-Anwendung ist wohl der Web Browser. Das Aufrufen einer Website
ist kinderleicht, man startet den Web Browser und gibt den Namen der Seite ein, die man gerne sehen
möchte. Doch was passiert eigentlich alles, bis man die Seite auf seinem Bildschirm sieht?

TCP / IP
Netzwerk
Zeige mir deine Homepage
Hier ist die Datei home.html
Web Server
Web Browser
Bei dieser Aktion sind zwei TCP/IP Application Layer Protokolle beteiligt. Das Hypertext Transfer
Protocol (HTTP), dass für die Übermittlung der Daten sicher stellt, und Hypertext Markup Language
(HTML), welches für die Darstellung der Daten im Web Browser zuständig ist.

4
HTTP Header: Get home.html

HTTP OK Datei home.html

Web Server
Web Browser
Der Web Browser schickt einen HTTP Header mit dem GET-Befehl und den Namen der Datei, für die
sich der Benutzer interessiert. Der Web Server antwortet auf diese Anfrage auch mit einem HTTP
Header, aber dieser beinhaltet nur einen HTTP Return Code (z.B. 0 für „OK“ oder 404 für „kann die
Seite nicht finden“). Und natürlich wird die angeforderte Datei auch mitgeschickt.

Wenn ein Layer mit demselben Layer auf einem anderen System kommunizieren möchte, dann
werden Header benutzt um Informationen zwischen den Layern aus zutauschen. Diese Art der
Kommunikation nennt man auch same-layer interaction.

TCP/IP Transport Layer

Die TCP/IP Transport Schicht besitzt nur zwei Protokolle, das Transmission Control Protocol (TCP)
und das User Datagram Protocol (UDP). In der Transport Schicht wird sichergestellt, dass die Daten,
die vom Application Layer verschickt werden, auch wirklich am Ziel ankommen.

HTTP GET

TCP HTTP GET

TCP Acknowledgment
Web Server
TCP HTTP OK Webseite
Web Browser
TCP Acknowledgment

Der Application Layer (HTTP) gibt seine Daten an den Transport Layer (TCP) weiter, da der
Application Layer keine Protokolle besitzt, die das zuverlässige Ausliefern der Daten gewährleisten
können. TCP hängt seinen Header vor die Application Layer Daten und schickt diese zum Web
Server. Die Transport Schicht auf dem Web Server empfängt die Daten und schickt zuerst einmal eine
Bestätigung zurück zum Web Browser. Dann werden die Daten an den Application Layer (HTTP)
weiter gegeben. Der Web Server schickt dann die angeforderten Daten auf die gleiche Weise zurück
und der Web Browser bestätigt dann wieder den Empfang der Daten.

Das Kommunizieren zweier benachbarter Schichten auf einem Computer nennt man auch adjacent-
layer-interaction.

Konzept Beschreibung
same-layer-interaction Die Protokolle der einzelnen Schichten benutzen
zwischen zwei Computern Headerinformationen um mit dem gleichen Protokoll auf dem
anderen Computer zu kommunizieren.
adjacent-layer-interaction Eine Schicht stellt für die darüber liegende Schicht Dienste und
auf einem Computer Funktionen bereit. Die höher liegende Schicht fordert dann die
darunter liegende Schicht auf, die gewünschte Funktion
auszuführen.

5
TCP/IP Internetwork Layer

Hauptbestandteil dieser Schicht ist das Internet Protocol (IP). Das Internet Protocol kann man mit der
Post vergleichen. So wie man die Absender- und Empfänger-Adresse auf einen Brief schreibt,
definiert auch das Internet Protocol Adressen
(IP-Adressen), um die Pakete vom Sender zum Empfänger zu übertragen. Auch welchen Weg das
Paket durch das Netz nimmt, wird durch das Internet Protocol geregelt. So genannte Router
entscheiden wohin die Pakete weitergeleitet werden.
Das Internet Control Message Protocol (ICMP) dient zur Übertragung von Fehler- und
Diagnoseinformationen.

R2
HTTP GET

TCP HTTP GET

IP TCP HTTP GET


R1
Web Server
IP: 1.1.1.1 Destination 1.1.1.1 Web Browser
IP: 2.2.2.2
R3 Source 2.2.2.2

TCP/IP Network Interface Layer

In dieser Schicht ist geregelt, dass zur Übermittlung von IP-Paketen ein Host über ein bestimmtes
Protokoll an einem Netz angeschlossen sein muss. Welches Protokoll dafür werdet werden muss, ist
nicht weiter definiert. Das TCP/IP-Modell greift daher auf bereits vorhandene Protokolle (Ethernet,
HDLC, PPP) zurück.
R2

R1
Web Server
IP: 1.1.1.1 IP data Web Browser
IP: 2.2.2.2
Eth IP data Eth PPP IP data PPP Eth IP data Eth

Die IP-Pakete müssen, um zum Empfänger zu gelangen, zu R2 geschickt werden. Dies wird über
Ethernet gemacht und somit erhalten die Pakete einen Ethernet Header und einen Ethernet Trailer.
R2 muss die Pakete zu R1 weiterleiten. Dieses Mal werden die IP-Pakete über einen Serielle
Verbindung verschickt und somit wird ein PPP Header und Trailer verwendet. R1 liefert das Paket
wieder über Ethernet aus und schneidet den PPP Header und Trailer ab und erstellt einen neuen
Ethernet Header und Trailer.

ISO OSI-Referenzmodell

Wie gesagt, das OSI-Referenzmodell hat sich auf dem Markt nie richtig durchsetzen können. Dennoch
wird das OSI-Modell sehr häufig als Referenz benutzt, wenn es um die Entwicklung oder das
Verständnis von Netzwerkprotokollen geht. Wie auch das TCP/IP-Modell ist das OSI-Modell ebenfalls
in Schichten gegliedert. TCP/IP besitzt vier, das OSI-Model besitzt sieben Schichten. Das Prinzip ist,
dass eine Schicht der jeweils über ihr liegenden Schicht Dienste bereitstellt. Im OSI-Modell sind keine
Protokolle definiert, es ist lediglich definiert, was für Aufgaben eine Schicht erfüllen muss.

7 Application Layer Anwendungsschicht


6 Presentation Layer Darstellungsschicht
5 Session Layer Sitzungsschicht
4 Transport Layer Transportschicht
3 Network Layer Netzwerkschicht
2 Data Link Layer Sicherungsschicht
1 Physical Layer Bitübertragungsschicht

6
Application Layer
Der Application Layer enthält eine Vielzahl an Protokollen, die einzelne Anwendungen zur Erbringung
ihrer Dienste definiert haben. Zum Beispiel das FTP-Protokoll zum Übertragen von Dateien oder das
HTTP-Protokoll zum Anzeigen von Webseiten.

Presentation Layer
In der Darstellungsschicht wird die Darstellung der Daten definiert. Wenn Sender und Empfänger
verschiedene Zeichensätze (ASCII, Unicode) verwenden, dann werden die Daten in dieser Schicht an
den jeweiligen Zeichensatz angepasst. Auch die Darstellung von Bildern (GIF, JPEG) wird hier
geregelt.

Session Layer
Die Sitzungsschicht regelt den Verbindungsauf- und abbau. Die gesamte Sitzungsverwaltung ist hier
definiert. Die zu sendenden und empfangenen Daten werden dann der jeweiligen Sitzung zugeordnet.

Transport Layer
Der Transport Layer übernimmt den Transport der Daten vom Sender zum Empfänger. Grundlegende
Aufgaben sind den Datenfluss zu steuern und die korrekte Übertragung der Daten sicherzustellen.
TCP und UDP sind die zwei Protokolle, die zur Transportschicht gehören.

Network Layer
Der Network Layer hat als Hauptaufgabe, die Verbindung zwischen den einzelnen Knoten im
Netzwerk herzustellen. Weiter ist die Netzwerkschicht für die Routenwahl zuständig. Das Internet
Protocol ist das Hauptprotokoll in der Netzwerkschicht.

Data Link Layer


Die gesicherte Übertragung ist Hauptaufgabe der Sicherungsschicht. Wann darf überhaupt gesendet
werden (CSMA/CD). Hier werden die Daten in kleinere Frames aufgeteilt und zum Empfänger
geschickt. Die Frames besitzen zusätzlich einen Trailer, in dem sich meist ein Feld mit der
Checksumme des Frames befindet. Über diese Checksumme, erfolgt dann die Fehlererkennung
(keine Fehlerbehebung). Im Data Link Layer wird auch die physikalische Adressierung (MAC-Adresse)
vorgenommen. Zusätzlich muss Layer 2 auch erkennen können, was für Layer 3 Informationen (IP-
Pakete oder IPX-Pakete) der Frame enthält, damit er die Daten an das richtige Layer 3 Protokoll
weitergeben kann. Die wird mit Hilfe eines Type-Feldes im Layer 2 Header garantiert.
Beim IEEE Ethernet wird Layer 2 nochmals in zwei Unterschichten aufgeteilt, in Media Access Control
(MAC, 802.3) und Logical Link Control (LLC, 802.2)

Physical Layer
In der Bitübertragungsschicht sind im Wesentlichen die Details über die Eigenschaften des
Übertragungsmediums definiert. Hier sind alle notwendigen Details definiert, die das Übertragen der
Bits ermöglichen. Eigenschaften von Übertragungsmedien sind z.B. die maximal erlaubte Kabellänge,
die Übertragungsgeschwindigkeit, der Frequenzbereich, die Wellenlänge, die Anzahl der Adern im
Kabel oder die Form der Stecker.
Vergleich TCP/IP – OSI
OSI TCP/IP
Application
Anwendungs-
Presentation Application
orientiert
Session
Transport Transport
Network Internet
Transport-orientiert
Data Link
Network
Physical

7
Datenverkapselung
Daten, die über ein Netzwerk übertragen werden sollen, durchlaufen den TCP/IP Protokollstapel.
Dabei fügt jede Schicht vor die Daten einen Header mit Informationen ein. Diese Informationen dienen
der korrekten Zustellung der Daten. Dieses Einfügen von Informationen bezeichnet man als
Verkapselung (encapsulation).

Application Layer Data


Transport Layer Header TCP Data
Internet Layer Header IP Header TCP Data
Network Layer Header Eth. Header IP Header TCP Data

Um bei Diskussionen einen besseren Überblick, darüber zu behalten, in welcher Schicht man sich
gerade befindet, haben sich verschiedene Termini für die Daten eingebürgert.

Segment Header TCP Data


Packet Header IP Header TCP Data
Frame Header Eth. Header IP Header TCP Data Trailer Eth.

Ethernet

Um einen kleinen Überblick zu erlangen, hier kurz einige Ethernet Standards.


10Base2 und 10Base5
Diese beiden Standards unterscheiden sich ein wenig in den jeweils verwendeten Kabeln. Beide
verwenden aber Koaxial-Kabel zur Verbindung der einzelnen Hosts. Es gibt in diesen Standards keine
Hubs oder Switches, es wird vielmehr ein großer Kabel-Bus aufgebaut

Wenn eine Station sendet, dann empfangen alle Stationen auf dem Bus die Daten und entscheiden
dann aufgrund der MAC-Adresse, ob diese Daten für die jeweilige Station relevant sind oder nicht.
Doch was passiert, wenn zwei Stationen gleichzeitig etwas senden wollen. Carrier sense multiple
access with collision detection (CSMA/CD) ist ein Algorithmus, der zum einen das Auftreten von
Kollisionen verringern und zum anderen wissen soll, was zu tun ist, falls eine Kollision auftritt. Nachteil
an diesen Standards ist es, dass die Kabel sehr teuer und die maximalen Kabellängen begrenzt sind.
10Base2 => maximal 185 Meter
10Base5 => maximal 500 Meter

10Base-T
10Base-T löst einige Probleme von 10base2 und 10Base5, denn man kann nun zur Verkabelung, die
bereits vorhandenen Telefonkabel benutzen, die zudem auch noch weitaus günstiger sind als die
Koaxial-Kabel.

Die Verkabelung wird mit Hilfe von Hubs realisiert, was die Verkabelung viel einfacher gestaltet. Man
verkabelt die Stationen sternförmig, aber physikalisch bleibt weiterhin die Bus-Struktur erhalten. D.h.
Wenn eine Station sendet, dann empfangen weiterhin alle anderen Stationen die Daten. Ein Hub ist
so zusagen ein Multiport Repeater.

Hub

8
Als Kabel werden bei 10Base-T Category 5 (CAT5) UTP (Unshielded Twisted Pair) Kabel verwendet.
Als Stecker kommen RJ-45 Stecker zum Einsatz.
Zum Verbinden eines Hosts mit einem Hub benutzt man ein „straight-through“ Kabel. Zum Verbinden
eines Hosts mit einem anderen Host (ohne Hub) oder zum Verbinden zweier Hubs mit einander muss
man ein „crossover“ Kabel verwenden. Der Unterschied zwischen den beiden Kabeltypen ist der, dass
bei einem Crossover Kabel die Sende und Empfangsadern gekreuzt werden.

1000BASE-T
Straight-through ist das Kabel wie beim 10Base-T bzw. 100Base-TX geschaltet. Cross-Over werden
zusätzlich die Pins 4 und 5 mit 7 und 8 getauscht.

Geräte die auf 1,2 senden & auf 3,6 empfangen Geräte die auf 3,6 senden und auf 1,2 empfangen
PC NICs Hubs
Router Switches
Wireless Access Point (Ethernet interface) —
Netzwerkdrucker —
straight-through crossover

1 1 1 1
2 2 2 2
3 3 3 3
4 4 4 4
5 5 5 5
6 6 6 6
7 7 7 7
8 8 8 8

Verhindern von Kollisionen


Um Kollisionen verhindern zu können, muss man erst einmal wissen, wo Kollisionen überhaupt
auftreten können. Kollisionen können innerhalb einer „collision domain“ auftreten. Eine collision
domain definiert eine Anzahl von Geräte, dessen Frames mit einander kollidieren können. Alle Geräte
bei 10Base2, 10Base5 und 10Base-T benutzen eine Bus-Struktur, bei der Frames aller Stationen mit
einander kollidieren können. Damit ist der gesamte Bus eine collision domain.
Es gibt nun zwei Dinge, die die Performance des Netzwerks verbessern können. Zum einen ist das
LAN Switching und zum anderen Full Duplex Ethernet.

LAN Switching
LAN Switches verringern die Anzahl der Kollisionen erheblich oder eliminieren sie sogar. Im
Gegensatz zu Hubs haben Switches keinen einzelnen, gemeinsam genutzten internen Bus, der die
empfangenen elektrischen Signale über alle anderen Ports sendet. Stattdessen führen Switches
folgende Schritte aus:
- Switches werten die Bits in dem empfangenen Frame aus, so dass sie den Frame
normalerweise über einen erforderlichen und nicht über alle anderen Ports weitersenden.
- Wenn ein Switch mehrere Frames über denselben Port weiterleiten muss, puffert er sie im
Speicher (Hubs haben keinen Buffer) und sendet einen nach dem anderen Frame, so dass
Kollisionen vermieden werden.
- Mit dieser Technik besitzt nun jeder Port am Switch die volle Bandbreite (10 oder 100MBit/s)
und muss diese nicht mehr mit allen anderen Ports teilen.

CSMA/CD (Carrier Sense Multiple Access with Collision Detection)


CSMA/CD ist das Standard Zugriffsverfahren bei Ethernet bedeutet sinngemäß: vielfacher Zugriff auf
den Träger nach vorherigem Abhören des Trägers (Wobei der Träger das Medium also das
Netzwerkkabel ist). Dieses Verfahren wird angewendet bei der Bus- (Baum-) Struktur des Netzes,
neuerdings auch bei der Sterntopologie. Da hier alle Stationen parallel an das Kabel angeschlossen
sind, kann jede Station zu einem beliebigen Zeitpunkt Daten auf das Kabel geben. Wenn aber
gleichzeitig zwei Stationen Daten auf dem Kabel übertragen, kommt es zu Kollision und damit zur
Verfälschung der Information.

Bildlich gesprochen sieht das etwa wie folgt aus: Ein Rechner im Netzwerk will Daten senden und
"hört" auf dem Kabel, ob gerade ein anderer sendet. Ist dem nicht so sendet der Rechner seine Daten
wild drauf los. Durch das gleichzeitige "Mithören" erkennt der sendende Rechner ob seine Signale klar
sind oder durch andere Sender verfälscht werden.

9
CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)
CSMA/CA ist ein eine modifizierte Version des CSMA/CD-Zugriffsverfahrens hauptsächlich für
WLANs. Wie bei CSMA/CD hören alle teilnehmenden Stationen physikalisch den Verkehr auf dem
Funkkanal mit. Wenn eine Station übertragen will, wartet sie, bis das Medium frei ist. Danach wartet
sie noch eine vorbestimmte Zeitperiode (DIFS) plus einer zufällig gewählten Zeitspanne, bevor sie
ihren Frame übertragen will. Auch in dieser Zeitspanne (Wettbewerbsfenster) wird der Funkkanal
weiter überwacht. Wenn keine andere Station innerhalb des Wettbewerbsfensters vor dem gewählten
Zeitpunkt mit der Übertragung beginnt, sendet die Station ihren Frame. Hat aber eine andere Station
innerhalb der Wartezeit mit der Übertragung begonnen, wird der Zeitzähler angehalten und nach der
Übertragung der anderen Station weiter benutzt. Auf diese Weise gewinnen Stationen, die nicht
übertragen durften, an Priorität und kommen mit einer erhöhten Wahrscheinlichkeit in den nächsten
Wettbewerbsfenstern zum Zug. Eine Kollision kann nur entstehen, wenn zwei oder mehrere Stationen
die gleiche Zeitscheibe auswählen. Diese Stationen müssen die Wettbewerbsprozedur erneut
durchlaufen.

Full Duplex Ethernet


Wie erkennt eine Station eine Kollision? Wenn eine Station Daten über die Sendeadern sendet, dann
leitet die Netzwerkkarte die Daten mit Hilfe eines Loopback-Schaltkreises direkt zu den
Empfangsadern zurück. Wenn die Station nun Daten einer anderen Station empfängt
(Empfangsadern), dann erkennt die Station eine Kollision, da sich die beiden Datenströme gegenseitig
überlagern. Dieses Verfahren nennt man auch Half-Duplex.
Wenn man nun einen Switch benutzt und nur eine Station an einem Port angeschlossen ist, dann
können keine Kollisionen auftreten und man kann diesen Loopback-Schaltkreis deaktivieren. Somit
kann man gleichzeitig senden und empfangen und man besitzt die volle Bandbreite (10 oder
100MBit/s) in beide Richtungen.

WLAN

Die IEEE hat bisher vier WLAN Standards definiert. 802.11 (1997), 802.11a, 802.11b und 802.11g

Dies geschieht im Zusammenspiel der folgenden Organisationen:

Organisation Aufgabe
ITU-R Weltweite Standardisierung von Kommunikationsgeräte auf
Strahlungsebene; Vergibt Frequenzen

IEEE Standardisierung der Wireless LANs (802.11)

Wi-Fi Alliance Ein Industriekonsortium die Interoperabilität von WLAN


Geräten durch Ihr Wi-Fi Certified Programm fördert.

Federal Communications U.S. Behörde zur Vergabe von Frequenzen in den USA
Commission (FCC)

10
Feature 802.11a 802.11b 802.11g
Zulassungsjahr 1999 1999 2003
Max Speed mit DSSS — 11 Mbps 11 Mbps
Max Speed mit OFDM 54 Mbps — 54 Mbps
Frequenzband 5 GHz 2.4 GHz 2.4 GHz
Channel (nichtüberlagernd)* 23 (12) 11 (3) 11 (3)
Stdgeschwindigkeiten (Mbps) 6, 12, 24 1, 2, 5.5, 11 6, 12, 24
*in den USA

Ad-hoc

Ad-Hoc WLANS bestehen idR aus wenigen Clients die direkt miteinander kommunizieren.

Infrastructure

Infrastruktur WLANS bestehen aus beliebig vielen Clients, die alle ihre Kommunikation über den
Acces Point (AP) laufen lassen.

Modus Service Set Name Beschreibung


Ad hoc Independent Basic Direkte Kommunikation; AP unnötig
Service Set (IBSS)
Infrastructure (ein AP) Basic Service Einzelnes WLAN; Alle Geräte greifen
Set (BSS) auf den AP zu.
Infrastructure (als ein AP) Extended Service Set Mehrere APs erzeugen ein einzelnes WLAN
(ESS) größere Abdeckung; Roaming

WLAN Übertragung (Layer 1)


Anstelle von Lichtwellen oder Strömen werden beim WLAN Funkwellen zur Datenübertragung
genutzt. Funkwellen können durch Überlagerung „unbrauchbar“ werden. Da nicht alle
Frequenzbänder lizenziert werden, gilt für die unlizenzierten Bereiche, dass Geräte die in
unlizenzierten Frequenzbereichen betrieben werden, bestimmte Ausgangsleistungen nicht
überschreiten dürfen.Mikrowellen z.B. erzeugen im 2,4GHz Frequenzbereich Störungen, Sie sollten
Ihren AP also nicht neben eine Mikrowelle stellen ;-)

Frequenzbereich Name Beispielgeräte


900 KHz Industrial, Scientific, ältere Mobiltelefone
Mechanical (ISM)

2.4 GHz ISM Neuere Mobiltelefone, 802.11,


802.11b, 802.11g WLANs

5 GHz Unlicensed National Information Neuere Mobiltelefone, 802.11,


Infrastructure (U-NII) 802.11a, 802.11n WLANs

11
Frequency Hopping Spread Spectrum (FHSS) nutzt alle Frequenzen in einem Band, allerdings
nutzt nur 802.11 FHSS, die anderen Standards nutzen:

Direct Sequence Spread Spectrum (DSSS) teilt das Frequenzband 2,4 GHz (2.402 GHz - 2.483
GHz) in 11 Frequenzbereiche (Kanäle) auf.

Wie Sie sehen können, ist die Überlagerung der Kanäle 1,6 und 11 so gering, dass diese 3 Kanäle
parallel betrieben werden können, ohne sich gegenseitig zu stören.

Wenn Sie eine ESS einrichten, sollten Sie darauf achten, dass Sie Kanäle nutzen die nicht
überlappen. Jedes Teilnetz in dem ESS hat eine eigene Übertragungsgeschwindigkeit, addiert man
alle Teilgeschwindigkeiten des ESS erhält man die WAN-Kapazität des ESS.

Orthogonal Frequency Division Multiplexing (OFDM) arbeitet wie DSSS.

Name Genutzt von


FHSS 802.11
DSSS 802.11b
OFDM 802.11a, 802.11g
Abdeckung &
Geschwindigkeit

IEEE Standard Max Speed StdSpeeds Freqband Nichtüberlappend


(Mbps) (Mbps) Kanäle
802.11b 11 1, 2, 5.5 2.4 GHz 3
802.11a 54 6, 9, 12, 18, 24, 36, 48 5 GHz 12
802.11g 54 wie 802.11a 2.4 GHz 3

Media Acces (Layer 2)


Da WLAN kein FDX kann, ist ein Mechanismus zur Kollisionserkennung/vermeidung notwendig.
WLANs nutzen carrier sense multiple access with collision avoidance (CSMA/CA).
1. Auf Traffic lauschen
2. Random Timer bevor gesendet wird
3. Nach dem Timer erneutes lauschen, wenn kein Traffic, senden.
4. Nach dem Senden des gesamten Frames auf ACK warten
5. Wenn kein ACK kommt, erneutes Senden (ab Schritt 1)

WLAN Checkliste
1. Überprüfen, dass das existierende LAN funktioniert, inkl DHCP, VLANs und Internet
2. AP installieren und überprüfen: IP, Maske und Gateway
3. AP konfigurieren und überprüfen der WLAN Einstellungen, ohne Sicherheitsmassnahmen
(SSID, IEEE Standard, Kanal und Power)
4. Installation und Konfiguration eines WLAN Clients, ebenfalls ohne Sicherheit
5. Verifizieren, dass das WLAN läuft (Wo steht der AP? Metall oder Störquellen? Bereich des
WLANs?)
6. Konfiguration von Sicherheitsfeatures auf AP und Client
7. Verifizieren, dass das WLAN auch mit Sicherheitsfeatures läuft

12
Sicherheit von WLANs
Angriff Lösung
War drivers (umherfahrende Surfer) Authentifikation
Hacker stehlen Informationen aus WLAN Starke Verschlüsselung
Hacker greifen auf Netzwerk zu Authentifikation
AP Installation durch Mitarbeiter Intrusion Detection Systems (IDS), inkl Cisco SWAN
Rogue AP (Fremd AP getarnt) Authentifikation, IDS/SWAN

Sicherheitsstandards
Name Jahr von wem
Wired Equivalent Privacy (WEP) 1997 IEEE
Interim Cisco Lösung auf 2001 Cisco, IEEE 802.1x Extensible Authentication
802.11i wartend Protocol (EAP)
Wi-Fi Protected Access (WPA) 2003 Wi-Fi Alliance
802.11i (WPA2) 2005+ IEEE

SSID Cloaking
Beim SSID Cloaking wird die SSID nicht im WLAN mitgeteilt. Diese Schutzfunktion kann von Clients
leicht umgangen werden.
MAC Filterung
Hier können nur Clients zugreifen, die die Richtige MAC haben, allerdings lassen sich MAC Adressen
überschreiben, so dass auch dieser Schutz nur gegen die einfachsten Attacken schützt.
WEP mit PSK
Wann immer ein PSK genutzt wird, wird dieser idR selten bis gar nicht geändert. Da in der 64-Bit
Verschlüsselung von WEP nur 40 Bit dem Key gehören, kann WEP leicht geknackt werden.
Cisco Interimslösung zwischen WEP und IEEE 802.11i
Hier wird Nutzer Authentifikation mit Hilfe von 802.1x, Dynamic Key Exchange und neue
Verschlüsselung für jedes Paket betrieben. Proprietäres TKIP.
WPA
Eine Mischung aus WEP und der Cisco Interimslösung. Temporal Key Integrity Protocol (TKIP) wurde
weiterentwickelt.
IEEE 802.11i und WPA-2
Hier wurden sämtliche Features von WPA und Ciscos Interimslösung weiter verbessert und auch eine neue
Verschlüsselungsmethode eingeführt: Advanced Encryption Standard (AES)

Standard Key-Distribution Geräteauthetifikation Userauthetifikation Verschlüsselung


WEP statisch Ja (schwach) keine Ja (schwach)
Cisco dynamisch Ja Ja (802.1x) Ja (TKIP)
WPA beide Ja Ja (802.1x) Ja (TKIP)
802.11i (WPA2) beide Ja Ja (802.1x) Ja (AES)

Ethernet Adressierung
Die Adressierung der Stationen erfolg bei Ethernet über die MAC-Adresse (Media Access Control).
Diese MAC-Adresse ist 6 Byte (also 6 * 8 Bits = 48 Bits) lang und wird üblicherweise in hexadezimaler
Schreibweise angegeben.
0000.0C12.3456
Des Weiteren unterscheidet man zwischen Unicast, Multicast und Broadcast Adressen. Die
Broadcast-Adresse (FFFF.FFFF.FFFF) ist wohl die am meisten verwendete Adresse, um eine Gruppe
von Stationen anzusprechen. Multicast-Adressen werden benutzt, um nur einen Teil der Stationen
anzusprechen. IP benutzt z.B. die MAC-Adresse 0100.5Exx.xxxx, um alle IP-Stationen anzusprechen.
Der zweite Teil der Adresse ist hierbei beliebig.
Unicast (einer) Multicast (mehrere) Broadcast (alle)

13
Die IEEE hat das Format und die Vergabe der MAC-Adressen geregelt. Jede Netzwerkkarte weltweit
besitzt eine eindeutige MAC-Adresse. Die erste Hälfte der Adresse (3 Byte) identifiziert den Hersteller
der Netzwerkkarte (OUI = organizationally unique identifier). In der zweiten Hälfte der Adresse vergibt
der Hersteller eine fortlaufende Nummer. Die Adresse ist fest in der Netzwerkkarte auf einem ROM
gespeichert. Sie wird deshalb auch burned-in address (BIA) genannt.
Aufbau eines Ethernet Frames
7 1 6 6 2 1 1 1-2 5 Variabel 4
D S
SNAP
Dest. Soure S S
Preamble SD Length Control 3 OUI Data FCS
Address Address A A
2 Type
P P

Nicht jedes Feld eines Ethernet Frames ist wirklich interessant, aber die Bedeutung einiger Felder
sollte sitzen.
In den Feldern befinden sich Destination Address und Source Address die MAC-Adressen des
Empfängers und des Absenders eines Frames. Das FCS-Feld (Frame Check Sequence) befindet sich
im Trailer des Ethernet Frames und beinhaltet eine Prüfsumme, mit der der Empfänger überprüfen
kann, ob der Frame fehlerfrei übertragen wurde. Dazu bildet der Empfänger aus den empfangenen
Daten ebenfalls eine Prüfsumme und vergleicht seine mit der aus dem FCS-Feld. Stimmen beide
überein, wurde der Frame fehlerfrei übertragen.
Ethernet muss wissen, was es für Daten übermittelt, damit es die Daten an das entsprechende Layer
3 Protokoll (IP, IPX) weiterreichen kann. Für diese Aufgabe wurde das DSAP-Feld (Destination
Service Access Point) definiert. In diesem Feld steht ein 1 Byte langer Code (E0 = IPX) mit dem das
Layer 3 Protokoll identifiziert wird. Die IEEE dachte aber nicht daran, dass so viele Protokolle
registriert werden, so dass der Platz von 1 Byte nicht mehr ausreichte. Um Platz für weitere Protokolle
zu schaffen wurde ein weiteres Feld eingefügt. Das SNAP-Feld (Subnetwork Access Protocol) bietet
nun 2 Byte Platz für neue Protokolle.

Die maximal Größe des Data-Feldes beträgt 1500 Bytes und wird auch als MTU (maximum
transmission unit) bezeichnet. Das bedeutet, dass die Layer 3 Daten eine maximale Größe von 1500
Byte besitzen dürfen.

Weitere Ethernet Standards


Ethernet wird stetig weiterentwickelt, um weitere Distanzen und höhere Bandbreiten zu erreichen. Aus
diesem Grund gibt es schon eine Reihe weiterer Ethernet Standards.
Ethernet  IEEE 802.3
Fast Ethernet  IEEE 802.3u
Gigabit Ethernet  IEEE 802.3z (optisch) und IEEE 802.3ab (elektrisch)
10-Gigabit Ethernet  IEEE 802.3ae

Internet Protocol (IP)


Das Internet Protocol (IP) ist das meist verwendete Layer 3 Protokoll. Neben den Internet Protocol
befinden sich in dieser Schicht auch noch das OSI Protokoll Connectionless Network Service (CLNS),
Novells Internetwork Packet Exchange (IPX) und das AppleTalk Datagram Delivery Protocol (DDP). In
diesem Buch wird das Hauptaugenmerk auf IP gerichtet, da wie bereits erwähnt dieses Protokoll am
meisten verwendet wird.
Die Aufgaben von IP beschränken sich im Wesentlichen darauf, die logische Adressierung der Hosts
im Netzwerk und das Routing (Wegewahl) der IP-Pakete von Sender zu Empfänger. Zum Thema
Routing finden Sie in diesem Buch ein eigenes Kapitel. Auf die logische Adressierung soll aber in
diesem Kapitel schon näher eingegangen werden.

14
IP-Adressierung

Ein Großteil der Prüfung zur Zertifizierung zum CCNA beinhaltet die logische Addressierung in einem
Netzwerk mit Hilfe von IP-Adressen und das Unterteilen von Netzen in kleinere Teilnetze, auch
Subnetze genannt.

Die IP-Adresse

Die IP-Adresse ist ein 32-Bit langer Binärwert.


11000000101010000000000000000001

Dieser Wert wird in 4 Byte (1 Byte = 8 Bit) unterteilt.


11000000 10101000 00000000 00000001

Aufgrund der besseren Lesbarkeit findet man die IP-Adresse üblicherweise in dezimaler Schreibweise
vor. Hierfür wird der Binärwert von jedem Byte in einen Dezimalwert umgerechnet und die vier Zahlen
getrennt durch einen Punkt angegeben.
192.168.0.1

IP-Adressen umrechnen (Binär - Dezimal)


Um eine IP-Adresse vom Binärwert in den Dezimalwert umzurechnen, muss man sich die Wertigkeit
der Bits etwas genauer anschauen.

Bitposition 7 6 5 4 3 2 1 0
Dezimalwert 128 64 32 16 8 4 2 1

Der Dezimalwert errechnet sich aus der Formel 2Bitposition.


Beispiel: Das folgende Byte in den Dezimalwert umrechnen

10101000
Bitposition 7 6 5 4 3 2 1 0
Binärwert 1 0 1 0 1 0 0 0
Dezimalwert 128 0 32 0 8 0 0 0

In dem Beispiel wird für jede Bitposition in dem das entsprechende Bit des Binärwertes auf 1 steht die
Formel 2Bitposition angewendet. An Ende bildet man die Summe aus den Werten und erhält den
entsprechenden Dezimalwert für 10101000.
128 + 32 + 8 = 168

IP-Klassen
Es werden fünf Klassen von IP-Adressen unterschieden.

Klasse Netzwerk-Bits Host-Bits Gültige Netze


A 7 24 1.0.0.0 – 126.0.0.0
B 14 16 128.1.0.0 – 191.254.0.0
C 21 8 192.0.1.0 – 223.255.254.0
D Diese Klasse ist für Multicast-Adressen reserviert.
E Reserviert für zukünftige Anwendungen.

Unterscheiden kann man die verschiedenen Klassen anhand der höherwertigen Bits im ersten Byte
der IP-Adresse. Wenn das erste Bit des ersten Bytes auf 0 steht, dann handelt es sich bei der IP-
Adresse immer um eine Klasse A Adresse. Sind die ersten beiden Bits auf 10, dann ist es eine Klasse
B Adresse und sollten die ersten drei Bits auf 110 stehen, dann handelt es sich um eine Klasse C
Adresse.
Klasse Bits des ersten Bytes
A 0
B 1 0
C 1 1 0
D 1 1 1 0
E 1 1 1 1 1

15
Die folgende Tabelle zeigt für jede Klasse die mögliche Anzahl von Netzen und die Hosts pro Netz an.

Klasse Anzahl Netze Anzahl Hosts je Netz


A 27-2 = 126 224-2 = 16.777.214
B 214-2 = 16.382 216-2 = 65.534
C 221-2 = 2.097.150 28-2 = 254

Die Formel zum Errechnen der Netzanzahl lautet z.B. 2Netzwerk-Bits-2. Bei einem Klasse A Netz hat man
sieben Netzwerk-Bits zur Verfügung und jeder Wert stellt ein neues Netz dar, deshalb rechnet man
27-2 = 126 Netze. Die minus 2 macht man deshalb, weil man das erste Netz (alle Netzwerk-Bits auf 0)
und das Letzte Netz (alle Netzwerk-Bits auf 1) nicht verwendet bzw. diese schon für andere Zwecke
reserviert sind.

Aber auch von den restlichen Netzen können nicht alle für die öffentliche Vergabe verwendet werden,
da einige für die private Nutzung reserviert sind. Weiter sind einige Netze für andere Zwecke
vorgesehen. Zum Beispiel die Adresse 127.0.0.1, auch besser bekannt als localhost oder Loopback
Interface, ist Bestandteil des 127.0.0.0 Netzes und wird ebenfalls nicht verwendet. Des Weiteren gibt
es noch die APIPA (Automatic Private IP Addressing) Adressen. Diese Adressen werden automatisch
auf Microsoft-Systemen vergeben, wenn der PC für das automatische Beziehen einer IP-Adresse von
einem DHCP-Server konfiguriert ist, aber kein DHCP-Server erreichbar ist. Dieser Adressbereich
erstreckt von 169.254.0.0 bis 169.254.255.255.

Zusätzlich zu den Klassen A, B und C existieren noch zwei weitere Klassen. Die Klasse D ist
reserviert für Multicast-Adressen. Hier ein Auszug einiger Multicast-Adressen.

224.0.0.1 Alle Geräte in diesem Subnetz


224.0.0.2 Alle Router in diesem Subnetz
224.0.0.5 OSPF
224.0.0.9 RIPv2
224.0.0.10 EIGRP

Die Klassen D und E sind für die Zertifizierung zum CCNA nicht relevant. Für die Vergabe von
öffentlichen IP-Adressen ist die IANA (Internet Assigned Numbers Authority) zuständig.

Private IP-Adressbereiche (RFC 1918)


Neben den öffentlichen IP-Adressen gibt es auch private IP-Adressbereiche in jeder Klasse. Diese IP-
Adressbereiche sind für die private Verwendung (z.B. innerhalb eines Unternehmens oder Zuhause)
reserviert und werden im Internet niemals vergeben. Folgende Adressbereiche sind privat:

Klasse A 10.0.0.0 - 10.255.255.255


Klasse B 172.16.0.0 - 172.31.255.255
Klasse C 192.168.0.0 - 192.168.255.255

Die Nutzung von privaten IP-Adressen hat seine Vor und Nachteile. Ein Vorteil ist z.B., dass man nicht
extra bei der IANA einen IP-Adressbereich erwerben muss, sondern jeder kann die privaten
Adressbereiche für sich völlig frei nutzen. Eine private IP-Adresse bietet darüber hinaus auch eine
gewisse Sicherheit, denn ein PC mit einer privaten IP-Adresse kann von einem Hacker aus dem
Internet nicht direkt angesprochen werden, da die Internet-Router Pakete mit privaten IP-Adressen
nicht routen. Ein Nachteil kann sein, dass man zusätzlichen Aufwand betreiben muss, um mit einer
privaten IP-Adresse trotzdem ins Internet zu gelangen. Dafür könnte man zum Beispiel einen NAT-
Router oder einen Proxy-Server einsetzen, der konfiguriert und gewartet werden muss.

16
Die Subnet Mask
Die Subnet-Mask dient dazu, herauszufinden in welchem Subnetz sich eine IP-Adresse befindet.
Dazu ist die Subnet-Mask in 2 Bereiche gegliedert, Netzwerk- und Host-Bereich. Als Beispiel soll die
IP-Adresse 161.243.10.6 dienen. Hierbei handelt es sich um eine Klasse B IP-Adresse, demzufolge ist
die Standard Subnet-Mask 255.255.0.0. Stellt man dich diese Subnet-Mask in binärer Schreibweise
vor, dann identifizieren die 1er-Bits den Netzwerk-Bereich und die 0er-Bits den Host-Bereich.
11111111 . 11111111 . 00000000 . 00000000

Angenommen, wir möchten etwas zu einem PC mit der IP 161.243.10.6 schicken, dann müssen wir
vorher wissen, ob sich dieser PC in unserem Netz befindet. Ist das der Fall, können wir die Pakete
direkt zum Empfänger schicken. Befindet sich der PC aber in einem anderen Netz, dann können wir
dem Empfänger das Paket nicht direkt zustellen, sondern müssen es zu unserem Standard-Gateway
(Router) schicken. Dieser Router ist dann dafür verantwortlich, dass die Pakete den Weg ins Zielnetz
finden und somit beim Empfänger ankommen. Um nun herauszufinden, ob sich der Empfänger im
selben Netz/Subnetz befindet, macht der PC nichts anderes als eine bitweise
UND-Verknüpfung
UND-Verknüpfung zwischen der IP und der Subnet-Mask. Da der Host-
0 0 0
Bereich in der Subnet-Mask immer 0 ist, erhält man bei einer UND-
0 1 0
Verknüpfung ebenfalls immer eine 0. Somit kommt man auf die Netz-
/Subnetz-Adresse in dem sich diese IP-Adresse befindet. 1 0 0
1 1 1
Subnet-Mask 11111111 . 11111111 . 00000000 . 00000000
IP-Adresse 10100001 . 11110011 . 00001010 . 00000110
Subnetz-Adresse 10100001 . 11110011 . 00000000 . 00000000

Für jede IP-Klasse gibt es eine Standard Subnet-Mask. Diese Subnet-Mask setzt sich aus den
Netzwerk- und Host-Bits zusammen. Ein Klasse A Netz besitzt 8 Netzwerk- und 24 Host-Bits. Wie
oben schon beschrieben, sind in der Subnet-Mask alle Netzwerk-Bits auf 1 gesetzt und alle Host-Bits
auf 0.

Klasse A 255.0.0.0 Das sind die Standard Subnet-Masks für die IP-Klassen. Die
Klasse B 255.255.0.0 Subnet-Mask kann aber auch anders aussehen. Das ist der Fall,
Klasse C 255.255.255.0 wenn man ein Netz in kleinere Subnetze unterteilt. Für das Thema
Subnetting ist es auch sehr wichtig zu Wissen zu welcher Klasse
das verfügbare Netz gehört und was für eine Standard Subnet-Mask diese Klasse besitzt.

Subnetting
Ein Klasse A Netz bietet Platz für über 16 Millionen Endgeräte. Das sind so viele Hosts, dass selbst
ein sehr großes international agierendes Unternehmen den Platz nicht ausfüllen wird. Das führt dazu,
dass eine Menge Adressen verschwendet werden. Und das ist gerade in der heutigen Zeit kritisch, da
langsam die verfügbaren Adressen ausgehen. Es gibt eine Menge Ansätze, die den drohenden
Engpass eindämmen sollen. Subnetting setzt genau an dem eben geschilderten Problem an. Das
Klasse A Netz wird nicht als Ganzes einem Unternehmen zugeteilt, sondern ein Unternehmen erhält
nur eine Teilmenge des Netzes und andere Unternehmen können dann ebenfalls einen Teil des
Netzes nutzen. Das bedeutet man teilt ein Netz in kleinere Teilnetze/Subnetze auf.

Prägen Sie sich folgende Tabelle sehr gut ein:

Bitanzahl Wert
1 128
2 192
3 224
4 240
5 248
6 252
7 254
8 255

17
TCP und UDP
Die Protokolle TCP und UDP arbeiten beiden auf der Transport-Schicht (OSI Layer 4). OSI Layer 4
kann folgende Funktionen bereitstellen.

Funktion Erklärung
Verbindungsorientiert Bedeutet, ob vor dem senden von Daten eine Verbindung
oder aufgebaut werden muss (verbindungsorientiert) oder nicht
verbindungslos (verbindungslos).
Dieser Prozess fordert das nochmalige senden von
Fehlerbehebung Segmenten an, wenn diese nicht beim Ziel eingetroffen
sind.
Mit welcher Übertragungsgeschwindigkeit können Daten
Flusssteuerung
zwischen zwei Endpunkten ausgetauscht werden.
Anwendungen senden oft große Mengen an Daten, die
Segmentierung der aber nicht alle in ein Paket passen. Deshalb müssen
Anwendungsdaten große Datenmengen in kleinere Segmente aufgeteilt
werden.

Transmission Control Protocol (TCP)


TCP ist wohl am meisten für seine Fehlerbehebung (Error Recovery) bekannt, aber es bietet noch
mehr Features.
Multiplexing mit Hilfe von Portnummern
Fehlerbehebung (Zuverlässigkeit)
Flusssteuerung mit Hilfe von Windowing
Verbindungsaufbau und –abbau
geordneter Datentransfer
Segmentierung

Aufbau eines TCP Segmentes


Bit 0 Bit 15 Bit 16 Bit 31

Source Port (16) Destination Port (16)

Sequence Number (32)

Acknowledgement Number (32)


U|A|P|R|S|F
Header
Reserved (6) R|C|S|S|Y|I Window (16)
Length (4) G|K|H|T|N|N

Checksum (16) Urgent (16)

Options and Paddings

Data (variabel)

Im Folgenden wird nicht auf alle, aber auf einiger dieser Felder näher eingegangen.

Multiplexing mit Hilfe von Portnummern


Angenommen auf einem Computer laufen zur selben Zeit drei Anwendungen, ein Web Server, ein
eMail Server und ein Oracle Server. Wie kann der Computer nun die Daten, die er empfängt, den
einzelnen Anwendungen zuordnen? Mit Hilfe von TCP oder UDP. Beide Protokolle benutzen
Portnummern, um die Daten einer Anwendung zu zuordnen.

Web Server  Port 80


eMail Server  Port 25
Oracle Server (Listener)  Port 1526

18
Das bedeutet, wenn der Computer einen Frame erhält und im TCP Header als Destination Port 80
angegeben ist, dann weis der Computer, dass er diese Daten zum Web Server weiterleiten muss und
nicht zum eMail Server oder zum Oracle Server.
Multiplexing basiert auf einem Konzept, dass sich Socket nennt. Ein Socket besteht aus einer IP-
Adresse, einem Transport Layer Protcol und einer Portnummer.

Socket
IP-Adresse 192.168.30.1
Protokoll TCP
Portnummer 80

Da eine Verbindung zwischen zwei Sockets immer eindeutig ist, kann man problemlos mehrere
Anwendung auf einem Computer laufen lassen. Server-Anwendungen verwenden meist festgelegte
Portnummern, um einen Dienst bereit zustellen. Client-Anwendungen vergeben sich ihren Source Port
meist dynamisch, sie weisen sich einen ungenutzten Port größer gleich 1024 zu, da die Ports 1-1023
für Server-Anwendungen, wie Web Server (80) und eMail Server (25,143), reserviert sind.

Fehlerbehebung (Error Recovery)


Um Fehler zu beheben nummeriert TCP die Bytes der Daten im Sequence und Acknowledgement
Feld.

Angenommen der Empfänger senden im TCP Header ein Acknowledgement Feld mit dem Wert 4000,
dann bedeutet dass der Empfänger erwarte als nächstes das Byte 4000. Der Wert im Sequence Feld
gibt die Nummer des ersten Bytes im Segment an.
In diesem Beispiel ist jedes TCP Segment 1000 Byte lang.
Sender Empfänger

1000 Byte Data, Sequence = 1000

1000 Byte Data, Sequence = 2000

1000 Byte Data, Sequence = 3000

no Data, Acknowledgement = 4000

Angenommen es tritt ein Fehler bei der Übertragung des zweiten Segmentes auf, so dass die
Prüfsumme aus dem FCS Feld des Ethernet Trailers nicht mehr übereinstimmt. Der Empfänger
quittiert dann nur bis zu der Sequence Number, die er in der richtigen Reihenfolge ohne Lücken
empfangen hat, also 1999. Demnach erwartet er Byte Nummer 2000 als Nächstes. Der Sender
schickt das zweite Segment nochmals und erhält dieses Mal eine Quittierung vom Empfänger bis
3999, da der Empfänger das zweite Segment nun erhalten hat und davor bereits Segment 3
empfangen hat.
Sender Empfänger

1000 Byte Data, Sequence = 1000

1000 Byte Data, Sequence = 2000

1000 Byte Data, Sequence = 3000

no Data, Acknowledgement = 2000

1000 Byte Data, Sequence = 2000

no Data, Acknowledgement = 4000

Flusssteuerung mit Hilfe von Windowing

Um den Fluss der Daten zu kontrollieren nutzt TCP ebenfalls die Sequence und Acknowledgement
Felder. Zusätzlich wird ein weiteres Feld, das Window Feld, benutzt. Dieses Feld enthält die maximale
Anzahl an Bytes die Übertragen werden können, ohne das der Empfänger eine Bestätigung
(Acknowledgement) schicken muss. Dieser Wert fängt klein an und wird immer größer, solange keine
Fehler auftreten. Wenn die Anzahl an Bytes erreicht ist, dann hört der Sender auf zu senden und
warte auf eine Bestätigung des Empfängers.

19
Sender Empfänger

ACK = 1000, Window = 2000

1000 Byte Data, Sequence = 1000

1000 Byte Data, Sequence = 2000

ACK = 3000, Window 3000

1000 Byte Data, Sequence = 3000

1000 Byte Data, Sequence = 4000

1000 Byte Data, Sequence = 5000

ACK = 6000, Window 4000

Verbindungsaufbau und –abbau


Eine Verbindung wird immer zwischen den beiden Sockets von Sender und Empfänger aufgebaut.
Der Verbindungsaufbau erfolgt nach einem 3-Wege-Konzept
Sender Empfänger

SEQ=200, SYN, DPort=80, SPort=1027

SEQ=1450, ACK=201, SYN, ACK, DPort=1027, SPort=80

SEQ=201, ACK=1451, ACK, DPort=80, SPort=1027

Beim Verbindungsaufbau werden zwei Flags (SYN, ACK) gesetzt. Das SYN Flag bedeutet, dass die
Sequence Numbers abgeglichen werden. Das ACK Flag besagt, dass das Acknowledgement Feld
gültig ist, also einen gültigen Wert besitzt. Wie man sehen kann ist im ersten Segment, das gesendet
wird, das ACK Flag nicht gesetzt, da es die das erste Segment der Verbindung ist, das gesendet wird,
also kann man in diesem Segment auch keine Bestätigung vornehmen. In alle Segmenten,
ausgenommen dem Ersten, ist für die Dauer der Verbindung das ACK Flag immer gesetzt, da das
Acknowledgement Feld einen gültigen Wert enthält.

Der Verbindungsabbau erfolgt nach einem 4-Wege-Konzept. Auch hier wird wieder ein Flag gesetzt,
das FIN (Finished) Flag.
Sender Empfänger

SEQ=1000, ACK, FIN

ACK=1001, ACK

SEQ=1470, ACK=1001, ACK, FIN

ACK=1471, ACK

Der Sender zeigt an, indem der das FIN Flag setzt, dass er die Verbindung beenden möchte. Der
Empfänger erhält die Nachricht und benachrichtig die Anwendung darüber, dass die Gegenstelle die
Verbindung beenden möchte. Da es eine Weile dauern kann, bis die Anwendung eine Nachricht
zurück gibt, bestätigt der Empfänger erstmal nur den erhalt des ersten Segments, sonst würde der
Sender dieses Segment immer wieder erneut senden. Nachdem Die Anwendung darüber informiert
ist, dass die Verbindung beendet wird, schickt der Empfänger ebenfalls ein Segment mit einem FIN
Flag zum Sender. Dieser bestätigt den Erhalt mit einem Acknowledgement und die Verbindung wurde
beendet.

20
Verbindungsorientiert oder Verbindungslos
Die beiden Termini verbindungsorientiert (connection-oriented) und verbindungslos (connectionless)
werden sehr oft im Zusammenhang mit Netzwerkprotokollen gebraucht. Doch was bedeuten diese
beiden Begriffe eigentlich?

verbindungsorientiert – Ein Protokoll muss vor dem Senden der eigentlichen Daten, noch
Informationen austauschen oder es müssen Voreinstellungen getroffen werden
verbindungslos – Ein Protokoll tauscht vor dem Senden der Daten keine Informationen aus
und es müssen auch keine Voreinstellungen getroffen werden.

TCP ist verbindungsorientiert, weil es vor dem Senden der Daten erst eine Verbindung mit dem
Empfänger aufbaut und dabei Informationen (siehe Verbindungsaufbau und -abbau) austauscht.
Ebenso wie TCP ist auch SPX (Sequenced Packet Exchange), ein Transport Layer Protokoll von
Novell verbindungsorientiert.
Wenn Sie Frame-Relay und einen permanent virtual circuit (PVC) verwenden, dann tauschen Sie
keine Informationen vor dem Senden der Daten aus, aber Sie müssen gewisse Voreinstellungen in
den Frame-Relay Switches vornehmen. Das gleiche passiert bei ATM PVCs. Damit sind Frame-Relay
und ATM PVCs auch verbindungsorientiert.
Viele denken, dass der Begriff verbindungsorientiert etwas mit Zuverlässigkeit (reliability) oder
Fehlerbehebung (error recovery) zu tun hat. Dem ist nicht so, denn ein Protokoll, das
verbindungsorientiert ist, muss noch lange keine Fehlerbehebung durchführen können.

Verbindungstyp zuverlässig Protokollbeispiele


verbindungsorientiert ja TCP, SPX
verbindungsorientiert nein Frame-Relay, ATM, PPP
verbindungslos ja TFTP
verbindungslos nein UDP, IP

Segmentierung der Daten


Jedes Data Link Layer Protokoll (z.B. Ethernet) besitzt eine so genannte maximum transmission unit
(MTU). Diese MTU sagt aus, wie viele Bytes das Data Feld maximal enthalten darf. Wie weiter oben
bereit erwähnt befinden sich in diesem Feld die Informationen der Layer 3 Protokoll (z.B. IP). Diese
Informationen bestehen, aus einem Layer 3 Header und den Daten, die aus Layer 4 übergeben
wurden.
Ethernet hat, wie viele andere Data Link Protokolle, eine MTU von 1500 Bytes. Das bedeutet, wenn
man die Bytes abrechnet, die der IP und der TCP Header einnehmen (jeweils 20 Byte), kommt man
auf eine maximale Segmentgröße von 1460 Bytes. TCP muss also, wenn es große Mengen an Daten
verschicken soll, die Daten in maximal 1460 Byte große Segmente teilen.
User Datagram Protocol (UDP)
Anders als TCP ist UDP ein verbindungsloses und unzuverlässiges Protokoll. Das bedeutet, die Daten
werden einfach gesendet, ohne vorher eine Verbindung aufzubauen oder das irgendwelche
Voreinstellungen getroffen werden müssen. Mit unzuverlässig ist gemeint, dass der Erhalt der Daten
nicht bestätigt wird, so das der Sender keine Garantie hat, ob die Daten beim Empfänger
angekommen sind.
Es gibt jedoch auch einige Funktionen von TCP, die auch von UDP erfüllt werden können und dass
sogar schneller. UDP muss die Daten, die es verschicken soll, ebenso wie TCP segmentieren und es
benutzt das gleiche System zum Multiplexing (Ports).
Anwendungen, die UDP benutzen, können mit Datenverlust leben oder haben einen Mechanismus zur
Fehlerbehebung im Programmcode integriert. Beispiele wären zum einen DNS (Domain Name
Service), wenn eine Anfrage verloren geht, dann stellt der Benutzer halt eine neue Anfrage an den
DNS-Server. Ein anderes Beispiel wären NFS (Network File System) und TFTP (Trivial File Transfer
Protocol). Beide haben im Programmcode eine Fehlerbehebung integriert und können somit gefahrlos
UDP als Transport Layer Protokoll einsetzen.

21
Aufbau eines UDP Frames
Bit 0 Bit 15 Bit 16 Bit 31

Source Port (16) Destination Port (16)

Length (16) Checksum (16)

Data (variabel)

Die Übertragung der Daten mit Hilfe von UDP anstatt von TCP ist schneller, da nicht auf eine
Bestätigung gewartet werden muss und der Overhead ist geringer, da der Header kleiner ist. Ein UDP
Header ist 8 Byte lang und ein TCP Header mindestens 20 Byte.

Route Summarization (Routen Zusammenfassung)

Beim Zusammenfassen von Routen geht es darum, dass die Updates, die die Router versenden,
möglichst klein gehalten werden. Hierzu ist es Sinnvoll mehrere Routen zu einer zusammen zu
fassen. Damit dies funktioniert, wird die jeweilige Netzadresse binär betrachtet. Genauer gesagt, nur
der Teil der Adresse, der sich bei den Subnetzen unterscheidet.
172.1.4.0 /25 In diesem Beispiel ist es das dritte Oktett, welches die 4 Netze unterscheidet.
172.1.4.128 /25
172.1.5.0 /24
172.1.6.0 /24
172.1.7.0 /24
Das betreffende Oktett wird nun binär dargestellt und exakt untereinander geschrieben.
4 = 00000100
4 = 00000100
5 = 00000101
6 = 00000110
7 = 00000111
Jetzt wird geprüft, bis zu welcher Bitposition sind die Adressen Identisch.
4 = 00000100 In diesem Beispiel ist es die 6. Bitposition des 3. Oktetts.
4 = 00000100 Da jedes Oktett jeweils 8 Bit hat, handelt es sich also um
5 = 00000101 die 22. Position
6 = 00000110
7 = 00000111
Die absolute Bitposition wird nun zur Subnetmaske, wodurch die Zusammenfassung unseres
Beispieles also 172.1.4.0 /22 bzw. SN 172.1.4.0 SM 255.255.252.0 ist.
Wichtig: Nur Aufeinanderfolgende Subnetze können zusammengefasst werden. Sollten Subnetze
ausgelassen worden sein bzw. auf den Routern gemischt worden sein, ist eine Zusammenfassung
nicht mehr möglich.
Beispiel 2:
10.4.0.0 /16 00000100
10.5.0.0 /17 00000101
10.5.128.0 /17 00000101
10.6.0.0 /16 00000110
10.7.0.0 /16 00000111
10.8.0.0 /16 00001000
10.9.0.0 /16 00001001
10.10.0.0 /16 00001010
10.11.0.0 /16 00001011 Zusammengefasst: 10.0.0.0 /12
Überprüfen Sie die Ergebnisse mit Hilfe von Subneting

22
Switching

Da sich Bridges und Switches nur durch die Anzahl der Ports und Prozessorgeschwindigkeit
unterscheiden (Switches sind gedopte Bridges), wird hier nicht zwischen beiden unterschieden. Die
Logik, die genutzt wird, und auch die Arbeitsweise ist bei beiden Identisch.

Ein Netzwerk, bestehend aus 4 PCs an einem Hub, teilt sich die Geschwindigkeit, denn wenn die PCs
gleichzeitig senden, treten Kollisionen auf, wodurch Wartezeiten entstehen. Teilt man das Netz auf,
verbindet je 2 PCs mit einem Hub und die Hubs mit Hilfe einer Bridge, verdoppelt sich zwar die Anzahl
der Kollisionsdomänen, aber da nur noch zwei PCs in einer KD sind, steigt die effektive Bandbreite.
Bridges nutzen einen Puffer, um Pakete im Speicher behalten zu können, sollte das angeschlossene
Netzwerksegment in Benutzung sein.
Transparentes bridging ist die Bezeichnung dafür, dass angeschlossene Geräte keine Kenntnis von
der Bridge haben und weder Ihre Anwesenheit, noch Ihr Fehlen bemerken.
Transparente Bridges leiten Frames weiter, sofern dies nötig ist und verwerfen diese, wenn
Weiterleitung unnötig/unmöglich ist, um Overhead zu reduzieren. Um dies Effektiv realisieren zu
können, folgen Sie folgenden Schema:
MAC Adressen werden von eingehenden Frames gelernt.
Anhand der Ziel MAC wird entschieden ob forward oder filter
Mit Hilfe des Spanning Tree Protokolls wird eine schleifenfreie Umgebung realisiert

Gelernte MAC Adressen werden in die Bridge Table eingetragen. Anhand dieser Tabelle
entscheidet die Bridge, ob ein Paket verworfen oder weitergeleitet wird.
Pakete, die auf Port 1 eingehen und Ihr Ziel ebenfalls auf Port 1 haben werden verworfen.

Das Weiterleiten von Frames folgt folgenden Regeln:


Hat das eingehende Frame als Ziel eine Unicast MAC, wird es am entsprechenden Port
ausgegeben, außer Eingangsport = Ausgangsport!
Ist die Ziel MAC unbekannt, wird das Frame an allen, außer dem Eingangsport ausgegeben
Ist die Ziel MAC Broad- oder Multicast, wird das Frame an allen Ports, außer dem
Eingehenden ausgegeben.
Trifft keine Regel zu, wird das Frame verworfen

Switching Methoden

Store and Forward


Wartet bis er kompletten Frame empfangen hat
(erkennt er an Checksum)
Dann leitet er ihn weiter
Switch macht Fehlerkontrolle (FCS)

Cut through
Wartet bis er die Bestimmungsadresse des Frames hat (Ethernet header) und leitet gleich weiter
Kein FCS durch Switch

Fragment free
Der Switch empfängt die ersten 64 Byte des Daten-Paketes. Ist dieser Teil fehlerlos werden die Daten
weitergeleitet.
Die meisten Fehler und Kollisionen treten während den ersten 64 Byte auf.
Fehlerhafte Pakete werden verworfen.

Vorteile von Switching/Bridging


Kabellängen
Weniger Kollisionen
Höhere Bandbreite

23
Spanning Tree Protocol (STP IEEE 802.1d)

Das Spanning Tree Protocol (Schleifenverhinderungsmechanismus) dient zur Vermeidung


redundanter Netzpfade (Schleifen) im LAN, speziell in geswitchten Umgebungen. In einem Netzwerk,
mit mehreren, untereinander verbundenen Bridges kann es passieren, dass Frames, die zu einer
unbekannten MAC geleitet werden sollen, unendlich lange im Kreis laufen.
Funktionsweise:
Zur Kommunikation zwischen den Switches wird das Bridge-Protokoll genutzt. Die Bezeichnung
Switch ist abgeleitet von Bridge, da Switches die Weiterentwicklung der Bridge sind (Switches werden
auch als Multiport-Bridges bezeichnet). Die Pakete dieses Protokolls werden Bridge Protocol Data
Unit (BPDU) genannt. Sie werden im Datenfeld eines Ethernet-Datenpaketes (Ethernet-Frame) per
Broadcast an die benachbarten Switches versendet.
Zunächst wird unter den Spanning Tree fähigen Bridges im Netz eine sog. Root Bridge gewählt, die
die „Chef” des Netzes wird. Dies geschieht, indem alle Bridges ihre Bridge-ID (die jede Bridge besitzt)
an eine bestimmte Multicast-Gruppe mitteilen. Die Bridge ID ist 8 Byte lang (2 Bytes Bridge Priority
und 6 Bytes MAC Adresse). Die Bridge mit der niedrigsten Priorität wird zur Root Bridge. Sollte die
Bridge Priority identisch sein, wird als ergänzendes Kriterium die MAC Adresse der Komponenten
benutzt (auch hier gewinnt wieder die Bridge mit der niedrigeren Zahl).
Von der Root Bridge aus werden nun Pfade festgelegt, über die die anderen Bridges im Netz
erreichbar sind. Sind redundante Pfade vorhanden, so müssen die dortigen Bridges den
entsprechenden Port deaktivieren. Die Pfade, über die kommuniziert werden darf, werden anhand von
Pfadkosten bestimmt, die die dortige Bridge übermittelt.
Die Kosten sind abhängig vom Abstand zur Root Bridge und dem zur Verfügung stehenden Uplink
zum Ziel. Ein 10 Mbit/s-Uplink hat üblicherweise höhere Pfadkosten als ein 100 Mbit/s-Uplink zum
gleichen Ziel, der 10 Mbit Link würde daher als redundanter Pfad geblockt werden. Die Pfadkosten
sind nach IEEE-Vorgaben genormt, können aber manuell abweichend festgelegt werden,
beispielsweise um bei gleicher Geschwindigkeit einen bevorzugten Uplink auszuwählen, um so die
reellen Kosten von Standleitungen widerzuspiegeln. Auf diese Weise ist jedes Teilnetz im geswitchten
LAN nur noch über eine einzige, die Designated Bridge, erreichbar. In der grafischen Darstellung
ergibt sich ein Baum aus Netzpfaden, der dem Algorithmus sowie dem Protokoll seinen Namen gab.
Die Root Bridge teilt den in der Hierarchie eine Stufe unterhalb liegenden Designated Bridges im
Abstand von zwei Sekunden mit, dass sie noch da ist, woraufhin die empfangende Designated Bridge
ebenfalls an nachfolgende Bridges die entsprechende Information senden darf. Wenn diese Hello-
Pakete ausbleiben, hat sich folglich an der Topologie des Netzes etwas geändert, und das Netz muss
sich reorganisieren. Diese Neuberechnung des Baumes dauert im schlimmsten Fall bis zu 30
Sekunden. Während dieser Zeit dürfen die Spanning-Tree fähigen Bridges außer Spanning-Tree-
Informationen keine Pakete im Netz weiterleiten. Dies ist einer der größten Kritikpunkte am
klassischen Spanning Tree Protokoll, da es möglich ist, mit gefälschten Spanning-Tree-Paketen eine
Topologieänderung zu signalisieren und das gesamte Netz für bis zu 30 Sekunden lahmzulegen. Um
diesen potenziellen Sicherheitsmangel zu beheben, aber auch um bei echten Topologieänderungen
das Netz schnell wieder in einen benutzbaren Zustand zu bringen, wurden schon früh von
verschiedenen Herstellern Verbesserungen an der Implementierung des Spanning Tree Protokolls
bzw. der dazu verwendeten Algorithmen entwickelt. Eine davon, das Rapid Spanning Tree Protocol
(RSTP), ist inzwischen zum offiziellen IEEE-Standard 802.1w geworden.

24
STP Port Modi
Listening - Lauscht auf Hello Nachrichten. Es werden keine MAC gelernt. Zwischending zwischen
blocking und forwarding
Learning - Lauscht ebenfalls auf BPDUs, lernt MACs, leitet aber nicht weiter.
Disabled - Port ist down

Optionale STP Features

Etherchannel

Etherchannel Verbindungen werden als einzelner Link betrachtet und können aus zwei bis 8
Verbindungen zwischen zwei Switches bestehen. Dadurch erhöht sich die Bandbreite und die Anzahl
paralleler Verbindungen wird reduziert. Diese Verbindungen werden Trunks genannt. Alle Trunks sind
im Etherchannel entweder im forwarding oder im blocking modus

PortFast

PortFast versetzt einen Port, direkt nach dem aktivieren in den forwarding Modus. Da dies auf Ports,
an denen Bridges hängen wenig Sinn macht, wird PortFast nur für die Ports aktiviert, an denen PCs,
bzw. andere End-Geräte angeschlossen sind. Sie können eine Sicherung aktivieren, die PortFast
deaktiviert, sobald ein BPDU eingeht.

Spanning-Tree

Protokoll zum verhindern von Schleifen in geswitchten Netzwerken


STP setzt die Ports entweder in einen FORWARD oder in einen BLOCKING Zustand
FORWARD  ist Teil des Spanning-Trees  sendet und empfängt Frames
BLOCKING  sendet keine Frames und ignoriert eingehende Frames

1 Sendet Broadcast

2 Empfängt von 1 und leitet weiter zu 3, aber


1 2 3 ignoriert, weil Blocking

Blocking
3 Empfängt von 1, aber leitet nicht weiter, da
der Port zu 2 auf Blocking steht

STP verursacht, dass Frames längere Wege zurücklegen müssen


großer Vorteil ist aber es entstehen keine Schleifen

Funktionsweise STP

Spanning-Tree-Algorithmus erstellt eine Baumstruktur, in der es immer nur einen Weg zu


einem Segment (Kollisionsdomain) gibt
Da es nur einen Weg gibt, gibt es keine Schleifen
Es werden nur die Ports in den Spanning-Tree aufgenommen, die gebraucht werden
(FORWARD), alle Anderen werden auf BLOCKING gesetzt.
Es gibt 3 Kriterien, wann ein Port auf FORWARD steht
STP wählt eine Root-Bridge (alle Ports auf FORWARD)
Der Port an den Non-Root-Bridges mit den geringsten administrativen Kosten zur Root-Bridge
wird Root-Port (FORWARD)
Der Port zu einem Segment mit den geringsten administrativen Kosten zur Root-Bridge wird
Designated-Port genannt (FORWARD)
Alle anderen Ports werden auf BLOCKING gesetzt

25
Administrative Kosten (IEEE)

Ethernet Speed Original Kosten Geänderte Kosten


10 MBit/s 100 100
100 MBit/s 10 19
1 GBit/s 1 4
10 GBit/s 1 2
Diese Werte können auch pro Port verändert werden

Befehle

Switch# show spanning-tree zeigt Root-Bridge ID und Eigene-ID


zeigt die Timereinstellungen
zeigt den derzeitigen Portstatus (FWD;BLK)
Switch# show spanning-tree detail Zeigt Infos zu Spanning-Tree pro Interface
Switch# terminal monitor Aktiviert die Ausgabe von Debug-Meldungen
Switch# debug spanning-tree events Gibt Statusmeldungen aus, wenn die STP
Topologie geändert wird
Switch(config-if)# spanning-tree cost 2 Ändert die Kosten eines Interfaces
Switch(config)# Die Bridge/Switch wird Root-Bridge
spanning-tree vlan 1 root primary (die Priorität wird automatisch verringert)

EtherChannel
Switch(config-if)# Fügt das Interface dem Port-Channel hinzu
channel-group 1 mode on (EtherChannels wird als Po1 dargestellt)
Switch# show etherchannel 1 summary Zeigt den Status über den EtherChannel an.
welche Ports sind in dem EtherChannel

PortFast
Switch(config-if)# FastPort kann nur für Access-Link aktiviert
switchport mode access werden
Switch(config-if)# spanning-tree portfast Aktiviert PortFast für dieses Interface

VLAN
Switch# vlan database Wechselt in den
VLAN CONFIGURATION MODE
Switch(vlan)#vlan 2 name test Erstellt VLAN 2 mit dem Namen test
Switch(vlan)#exit Speichert die VLAN Einstellungen und verlässt
den VLAN Mode
Switch(config)# vlan 2 Erstellt VLAN 2
Switch(config-vlan)# name test Vergibt den Namen test an VLAN 2
Switch(vlan)# no vlan 2 Löscht ein VLAN
Switch(config)# no vlan 2 Löscht ein VLAN
Switch# show vlan Zeigt Infos über die VLANs
Switch(vlan)#vtp server wechselt den VTP Mode
client
transparent
Switch(vlan)# vtp domain ccna_kurs Ändert die VTP Domain
Switch# vtp status zeigt Überblick über die VTP Einstellungen

Trunking
Switch(config-if)# Trunk erstellen
switchport mode trunk
dynamic desirable
dynamic auto
Switch# show interface f0/23 trunk zeigt Infos über den Trunk an (ISL – 802.1Q)
access  kein Trunking
trunk  immer Trunking
dynamic desirable  wird Trunking,wenn GS trunk, dynamic desirable, dynamic auto
dynamic auto  wird Trunking wenn GS trunk, dynamic desirable

26
Rapid Spanning Tree (RSTP IEEE 802.1w)

RSTP funktioniert ähnlich wie STP


Root Bridge wird gewählt (selbe Bedingungen)
Root Ports werden definiert
Designated Ports werden definiert
forwarding oder blocking Modus (blocking heißt hier discarding)
RSTP bezeichnet Verbindungen zwischen Switches als link Type und Verbindungen zu Endgeräten
als edge Type. Ist ein Gerät direkt angeschlossen, (z.B. PC an Switch) bezeichnet RSTP dies als
Point to Point (Full Duplex!!) Verbindung (In diesem Fall edge type pt-pt). Hängen mehrere Geräte
(z.B. Hub zwischen PCs und Switch) wird diese als shared bezeichnet (z.B. link Type shared - Hub an
Switch).RSTP reduziert die Konvergenzzeit für link Type pt-pt und edge Type pt-pt.

Im discarding Modus werden sämtliche Frames geblockt, außer BPDUs. Der Zeitraum für den learning
mode ist bei RSTP kürzer.

Zusätzliche Port Funktionen

Backup Port

Diese Funktion kann nur genutzt werden, wenn ein Switch zwei Verbindungen in ein
Netzwerksegment besitzt, also an einem Hub angeschlossen ist. Port 1 sendet BPDUs, welche auf
Port 2 ankommen, und trotz dicarding mode angenommen werden. Der Switch weiß nun, dass zwei
Verbindungen in dieses Segment bestehen und markiert Port 2 als Backup Port, zu dem bei Ausfall
von Port 1, sofort gewechselt werden kann.

RSTP alternate port

RSTP definiert zusätzlich zum root port einen alternativen Port. Dieser Port wird bestimmt, durch die
Kosten zur root Bridge. Der „billigste“ Port wird root port und der Zweitplatzierte alternate Port. Sollte
der root port ausfallen, wird in kürzester Zeit zum alternate port umgeschaltet, damit wieder
Konvergenz hergestellt werden kann.

Cisco Switches nutzen grundsätzlich STP, verhindern automatisch Schleifen, ohne, dass Sie sich um
Einstellungen kümmern müssten! Sie können allerdings Änderungen am STP vornehmen, wenn Sie
z.B. andere Parameter für Ihr VLAN nutzen wollen.

VLAN und Trunking

Ein Virtual LAN ist im Grunde genommen eine Broadcast-domain. Jeder Port an einem Switch ist eine
Kollisionsdomäne, aber alle Ports befinden sich in einer Broadcastdomäne. Würde jeder Port ein
eigenes VLAN nutzen, wäre jeder Port sowohl Kollisions-, als Broadcastdomäne.

Sie können auf einem Switch Broadcastdomänen trennen, in dem Sie VLANs definieren und den
Ports das entsprechende VLAN zuordnen.

Warum VLAN?
Zusammenfassen in Arbeitsgruppen, oder Abteilungen wird vereinfacht. Entfernungen zwischen
Gruppenmitgliedern spielen keine Rolle.
Overhead wird reduziert, da Broadcastdömänen kleiner sind.
Höhere Sicherheit: Wichtige Endgeräte (Server mit Kontodaten) in eigenes VLAN
Traffic aufteilen (z.B. IP Phones in anderes VLAN als PCs)

27
Einrichten von VLAN

Variante 1
Sie teilen dem Switch einfach mit: Interface 0/1 ist im VLAN 1
Sie benötigen keine Kenntnis der MAC des Gerätes, welches an den Port angeschlossen wird,
allerdings sollten Sie eine gute Dokumentation schreiben, um sicher zu gehen, dass Sie die richtigen
Geräte mit den richtigen Ports verbinden.
enable
vlan database
vlan 4 name Testlan
exit
configure terminal
interface fastethernet 0/7 oder mehrere interface range fastethernet 0/9 - 11
switchport mode access
switchport access vlan 4

Variante 2
Fast gar nicht genutzt!
Sie lesen die MAC jedes Gerätes aus und weisen MAC Adressen den VLANs zu. Der Vorteil ist, dass
Sie mit dem Gerät umziehen können und in Ihrem VLAN bleiben. Der Nachteil ist: Lesen Sie in einer
Firma mit 120 PCs, 15 Printservern, 120 IP Phones und weiteren 20 Netzwerkgeräten, die MAC
Adressen aus. Viel Spaß! ;-)

Trunking

Als trunking wird das verbinden von zwei Switches bezeichnet. Wenn VLANs genutzt werden,
bekommen die Frames eine zusätzliche Markierung, die die VLAN Zugehörigkeit definiert. So weiß
jeder Switch im Netz, wohin das Frame gehört, bzw. auf welchen Ports der Broadcast raus darf.

Trunking Protokolle

Cisco ISL

Proprietäres Trunking Protokoll von Cisco und kann zwischen zwei Cisco Switches laufen.
ISL verkapselt das Frame vollständig mit Header und Trailer. Im ISL Header finden sich Felder die
VLAN und BPDU Informationen enthalten. Außerdem werden im ISL Header die Quell- und Ziel MAC
der beiden Switches eingetragen.

IEEE 802.1q

Trunking Protokoll, welches auch zwischen Cisco und Nicht-Cisco Switches läuft. Das Frame wird
nicht verkapselt, es wird dem Ethernet Header nur ein 4 Byte Header hinzugefügt und der Trailer wird
neu berechnet. Im Header wird nur die Priorität und die VLAN-ID eingetragen.

Damit ein Trunk geformt werden kann, müssen die Ports in den Trunk Mode versetzt werden, bzw. so
konfiguriert sein, dass Trunking in frage kommt. Wenn beide Ports eines Switches auf switchport
mode dynamic auto oder switchport mode access (access verhindert trunking komplett) eingestellt
sind, wird sich nie ein Trunk formen, da kein Switch im Auto Modus Trunking vorschlägt. Ist ein am
Trunk beteiligter Port im switchport mode trunk oder switchport mode dynamic desirable, wird ein
Trunk zwischen den beiden Ports geformt, selbst wenn der andere Port auf auto steht.
enable
configure terminal
interface fastethernet 0/7 oder mehrere interface range fastethernet 0/9 - 11
switchport mode dynamic desirable
Das gleiche auf dem entfernten Switch, mit den entsprechenden Portnummern

28
VLAN Trunking Protokoll - VTP

Cisco Switches nutzen VTP (Cisco Proprietär) um VLAN Konfigurationsinformationen auszutauschen.


So brauchen Sie Ihr VLAN 3 nur auf einem Switch umbenennen, VTP verteilt den neuen Namen. VTP
verteilt VLAN Informationen mit Hilfe von Broadcasts. Diese gehen alle 5 Minuten, oder bei
Veränderungen vom VTP Server Switch aus. VTP Server wird der Switch, auf dem das VLAN erstellt
wurde. Bei jeder Änderung, sendet VTP die neue Konfiguration an alle angeschlossenen Switches.
Jedes Update enthält eine Revisionsnummer, die bei jeder Änderung, vor dem Senden um 1 erhöht
wird. Empfängt ein Switch ein Update mit höherer Revisionsnummer, überträgt er die VLAN
Informationen.

VTP kennt drei Operationsmodi

Server Mode
VTP Server können VLANs erstellen, entfernen oder modifizieren und konfigurieren. Dies müssen Sie
sämtlichen VTP Servern und Clients mitteilen. Sie speichern diese Informationen im VRAM.

Client Mode
Ein Client kann keinerlei Änderungen an der VLAN Konfiguration vornehmen. Die
Konfigurationsinformationen werden auch nicht gespeichert.
Wozu dann ein Client? Richten Sie mal 30 VLANs auf 17 Switches ohne VTP ein!

Transparent Mode
Hier werden die VTP Informationen zwar weitergeleitet (forward) aber nicht verarbeitet. Im
Transparenten Modus gehört der Switch nicht der VTP Domäne an. Speichert aber die VLAN
Konfiguration im NVRAM. Es können Änderungen an den VLANs vorgenommen werden, diese
werden jedoch nicht bekannt gegeben.

VTP Pruning (VTP Einschränkung)

VTP pruning verhindert, dass Switches, die keine Ports in ein bestimmtes VLAN haben, auch keine
Broadcasts für das VLAN empfangen.

enable
vlan database
vtp domain LANTest
vtp password password
vtp pruning
exit

Folgendes Kommando fügt alle VLANs außer 40 – 50 zum Pruning hinzu


Switch(config-if)#switchport trunk pruning vlan except 40-50

Multisubnetzanbindung über Trunks

Trunks
Als Trunk wird eine Verbindung zwischen zwei link-type Geräten (Switch-Switch / Switch-Router)
bezeichnet, über die mehr als ein VLAN läuft. Die Interfaces von Switches müssen in den Trunk
Modus versetzt werden bzw. in den „dynamic desirable“ Modus. In der Regel laufen über einen Trunk
alle angelegten VLANs, es kann jedoch definiert werden, welche VLAN Informationen über den Trunk
laufen dürfen. Das Trunkingprotokoll 802.1Q (dot1Q) ist inzwischen Standard, es setzt die VLAN
Informationen zwischen dem Ethernet-Header und den Daten ein.

29
VLAN
VLAN (Virtual LAN) bezeichnet die logische Trennung von Subnetzen innerhalb eines physikalischen
Gerätes (meist Switch). Hierbei werden die Frames (Layer 2 Daten) durch das „taggen“ den jeweiligen
VLANs zugeordnet. Ausnahme bildet das sog. „native VLAN“. Dieses VLAN wird als einziges nicht
markiert. Es muss also auf beiden Seiten des Trunks definiert sein, welches VLAN das native VLAN
ist (Standard VLAN 1) und kann für jeden Trunk anders konfiguriert werden.
Da jedes Interface einem einzigen VLAN zugeordnet werden muss (Es sei denn es ist ein Trunkport)
wird beim verlassen des Interfaces die Markierung entfernt, da das Endgerät mit den VLAN
Informationen nichts anfangen kann.

Beispiel: Switch Host 1 VLAN 1:


Host 1 VLAN 1 IP: 10.10.10.10
SM: 255.255.255.0
Gateway: 10.10.10.1
VLAN 2
Host 2 Host 2 VLAN 2:
IP: 10.10.20.10
SM: 255.255.255.0
Gateway: 10.10.20.1
VLAN 2
Host 3 Host 3 VLAN 2:
IP: 10.10.20.20
SM: 255.255.255.0
VLAN 1 Gateway: 10.10.20.1
Host 4
Host 4 VLAN 1:
IP: 10.10.10.20
Jedes VLAN nutzt ein eigenes Subnetz. Ohne Router können SM: 255.255.255.0
die beiden VLANs nicht miteinander kommunizieren. Trunk Gateway: 10.10.10.1
VLAN 1
Problem: Jedes Subnetz benötigt jedoch einen eigenen &
Gateway (Routerinterface), die Anbindung an den Router erfolgt VLAN 2
allerdings nur über ein physikalisches Interface.

Lösung: Definieren Sie logische Interfaces auf dem Router. Je


ein Subinterface für ein VLAN. Binden Sie die Subinterfaces an Router
die entsprechenden VLANs. Achten Sie darauf dem Router
mitzuteilen, welches Trunkingprotokoll Sie verwenden!!

Konfiguration Switch: VLAN 1 existiert immer und ist Konfiguration Router: Der Router leitet Informationen an
daher auch das native VLAN. bekannte Netze (angeschlossen)
enable Alle Interfaces sind im VLAN 1. enable weiter, ohne Routingprotokoll.
configure terminal configure terminal
vlan 2 VLAN 2 anlegen interface fastethernet 0/0.1 Subinterface 1 anlegen
name vlan2 Name für VLAN vergeben encapsulation dot1Q 1 native VLAN1 an SubIF binden
exit ip address 10.10.10.1 255.255.255.0 IP des SubIF
interface fastethernet 0/2
switchport access vlan 2 VLAN 2 an Interface binden interface fastethernet 0/0.2 Subinterface 2 anlegen
interface fastethernet 0/3 encapsulation dot1Q 2 VLAN2 an SubIF binden
switchport access vlan 2 VLAN 2 an Interface binden ip address 10.10.20.1 255.255.255.0 IP des SubIF
interface fastethernet 0/24 interface fastethernet 0/0 Wechsel zum physik. IF
switchport mode trunk IF in Trunkmodus setzen no shutdown Hochfahren der IFs
exit exit
exit exit
copy running-config startup-config copy running-config startup-config

30
Routing

Eine Route ist eine Information, die einem Gerät sagt (Router), wie es ein Paket in ein bestimmtes
Ziel - Subnetz senden kann. Generell hat das Internet Protokoll die Aufgabe, die Datenübertragung
zwischen Netzwerken sicherzustellen. Der Sender eines Datenpakets kennt dabei zwar die
Zieladresse, nicht aber den Weg dorthin. Jede Station auf dem Weg zum Empfänger muss eine
Entscheidung über die Wahl des weiteren Weges fällen. Dieser Vorgang wird als Routing bezeichnet.
Im Netzwerk wird das Routing auf der IP-Schicht durchgeführt. Im ISO/OSI-Modell ist Routing eine der
wesentlichen Aufgaben der dritten Schicht.
Frames, die der Router empfängt werden „ausgepackt“, so dass ein Packet übrig bleibt. Der Router
liest Quell- und Zieladresse aus dem IP Header, gleicht diese mit seiner Routing-Tabelle ab und weiß
anhand dieser Informationen, wohin das Datenpaket geschickt werden soll. Je nach Port, wird das
Packet wieder „eingepackt“, in den neuen Header kommen die Quell- und Zielinformationen (z.B.
MAC), und werden weiter verschickt. Dieser Schritt wird so oft wiederholt, bis die Daten an Ihrem
Bestimmungsort angekommen sind.

Beispiel:
PC1 möchte Daten an PC2 senden. Die PCs sind durch drei Router getrennt.
PC1 packt ein Datenpäckchen. Mit einem Ethernet Header und Trailer versehen wird das Frame an
R1 geschickt.

R1 entfernt Header und Trailer des Frames, liest aus dem Packet die Quell- und Ziel IP und konsultiert
seine Routing Tabelle. Aus der Tabelle erkennt der Router, dass er das Packet über die Schnittstelle
S1 an R2 weiterleiten muss. Es wird ein HDLC Header und Trailer für das Packet generiert, hier
werden die Zieldaten eingetragen (1 Byte im Header*). *Bei einer Point to Point HDLC Verbindung ist die
Zieladresse nicht wirklich nötig, da es keine anderen Empfänger gibt, daher nur ein Byte! *

R2 entfernt HDLC Header und Trailer und entscheidet ebenfalls anhand der RT, über welches
Interface das Packet weitergeleitet werden soll. Da die Verbindung zu R3 über Frame Relay realisiert
ist, verkapselt R2 das Packet mit einem Frame Relay Header und Trailer. Im Header wird der DLCI
des VC eingetragen.

R3 entfernt ebenfalls FR Header und Trailer. Wieder wird die Ziel IP überprüft und dem Packet
werden Ethernet Header und Trailer (Quell- und Ziel MAC) angehangen und das Frame an PC2
weitergeleitet.

Ziele eines Routing Protokolls

lernen von Routen in alle verfügbaren Netze des Netzwerks und füllen der Routing Tabelle
die beste Route auswählen, falls mehr als eine Route zum Ziel führt
bemerken, wenn Routen ungültig werden und diese aus der Tabelle entfernen
eine Ersatzroute, sofern vorhanden, für die ungültige Route in die Tabelle eintragen
für neue oder zu ersetzende Routen, so schnell wie möglich, die bestmögliche Route
eintragen. Zeit zwischen verlieren einer Route und ersetzen durch neue Route wird
Konvergenz Zeit (convergence time) genannt.
verhindern von Schleifen

Routing Protokolle

Ein Routing-Protokoll ist ein Mechanismus für das dynamische Entdecken der Pfade für
Datenpakete durch das Netzwerk. Routing-Protokolle ermöglichen Routern die Kommunikation mit
anderen Routern zum Zweck der Aktualisierung der Tabellen. Beispiele für TCP/IP-Routing-Protokolle
sind RIP (Routing Information Protocol), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced
IGRP) und OSPF (Open Shortest Path First). Ein routed protocol ist ein OSI Layer 3 entsprechendes
Protokoll, welches für logische Adressierung und Routing zuständig ist. Network Layer Pakets können
gerouted werden (IP, IPX..). Der Begriff Routing type bezieht sich auf die Art des genutzten Routing
Protokolls. (distance vector / link-state).

31
10.1.1.0

10.1.1.251

10.1.128.251 s0 R1 s1 10.1.130.251

10.1.128.252 s0 s0 10.1.130.253

s1 10.1.129.252
10.1.129.253 s1
R2 R3
10.1.2.252 10.1.3.253

10.1.2.0 10.1.3.0

Statische Routen

Statische Routen werden meist in kleineren, sehr Übersichtlichen Netzwerken eingetragen, da sie
weniger Aufwand machen, als die Konfiguration von RPs.
Es gibt zwei Möglichkeiten statische Routen einzutragen:

a) ip route 10.1.2.0 255.255.255.0 10.1.128.252


b) ip route 10.1.3.0 255.255.255.0 serial0

Es wird entweder die IP des Zielinterface angegeben. Bei einer Point to Point Verbindung kann die IP
des Zielinterface auch weggelassen werden, schließlich gibt es nur das Ziel am anderen Ende der
Leitung.

Interne Routing Protokolle

Interne Routing Protokolle sind für das neue LAN mit dem neuen Subnetz verantwortlich. Sie sorgen
dafür, dass die Routen des neuen Netzes so schnell wie möglich zur Verfügung stehen, so dass die
Datenpakete eines externen RPs Ihr Ziel erreichen können.

Interne RPs haben einige Merkmale, an denen man sie unterscheiden kann:

Art des RPs: distance vector / link-state / hybrid

Volle / Partielle Updates: Volles Update - die gesamte Routing Tabelle wird regelmäßig
versandt
Partielles UD - Änderungen werden übertragen. Weniger Overhead.

Konvergenz: Zeit die das RP braucht um auf Routen Änderungen zu reagieren

Metrik: Zahlenwert - je geringer der Wert, desto besser die Route

VLSM variable length subnet mask - mehrere Subnetze innerhalb eines


Klasse A, B oder C Netzwerks

Classless/Classfull: Classless RPs übertragen die Subnetzmaske im Routing Update


Classfull RPs nicht. Daraus folgt das Classless RPs VLSM
unterstützen.

32
Distance Vector Protokolle: RIP und IGRP

Distance vector Protokolle übertragen in Ihren Updates das Subnetz und die Metrik (z.B. 10.0.0.0 / 1 ).
Router, die das Update empfangen tragen Einträge nur in Ihre Routing Tabelle ein, sofern unbekannte
oder Routen mit besserer Metrik enthalten sind.
Die Updates werden über sämtliche Interfaces versandt, nach Möglichkeit mit Hilfe von Broad- oder
Multicasts, und enthalten sowohl die direkt angeschlossenen Netzwerke, als auch gelernte Routen.
Router die distance vector Protokolle nutzen lauschen auf Updates Ihrer Nachbarn um neue Routen
zu lernen. Die Updates werden periodisch übertragen, so dass ein Ausbleiben eines Updates über
einen bestimmten Zeitraum dazu führt, dass Routen die von diesem Nachbar gelernt wurden aus der
Routing Tabelle entfernt werden. Routen die von Router X empfangen wurden, bekommen Router X
als next hop eingetragen.

RIP 1- Routing Information Protocol

Beim Starten eines Routers kennt dieser nur seine direkt angeschlossenen Netzwerke und sendet
diese Routingtabelle an die benachbarten Router. Mit diesen Informationen ergänzt dieser Router
seine Routingtabelle und lernt somit, welche Netzwerke jeweils über welchen Router aus erreicht
werden können und welche Kosten damit verbunden sind. Um Änderungen im Netzwerk (Ausfall oder
Start eines Routers) zu erkennen, wird das Senden der Routingtabellen regelmäßig (alle 30
Sekunden) wiederholt, dabei wird immer die gesamte Routingtabelle an alle Nachbarn gesendet.

distance vector
hop count (Anzahl der Hops) dient als Metrik
Volle Updates alle 30 sek
Konvergenz 3 bis 5 Min
Classfull

Die Infinite Metric Value ist 16 Hops

RIP V2

Rip V2 arbeitet genauso wie RIP1, doch hier werden die Subnetzmasken (dadurch CIDR-fähig),
Multicast und Authentifikation mit übermittelt.

überträgt Subnet Mask also Classless (VLSM)


verfügt über Update Authentifikation
Update enthält eine Next-Hop IP
Multicast Updates anstelle der Broadcasts

Ansonsten arbeitet RIP V2 wie RIP.

IGRP - Interior Gateway Routing Protocol

IGRP zählt nicht nur die Hops zum Ziel, die Bandbreite der Verbindungen und die Verzögerung
(delay) werden in die Metrik mit einbezogen. Delay addiert die Anzahl der genutzten Ports auf dem
Weg. Die Formel zur Errechnung der Metrik ist komplex und nicht Prüfungsrelevant, aus den
Eingangswerten (Bandbreite & Delay) ergibt sich ein Wert zwischen 1 und 4294967295. Ein Weg über
zwei Router (R1 -> R3 -> R2) die mit jeweils 100 Mbps verbunden sind, wird dem Weg über einen
Router der mit 56kbps verbunden ist (R1 -> R2) aufgrund der höheren Bandbreite vorgezogen.
Update Periode 90 sek
Metrik enthält Bandbreite und Delay; Zuverlässigkeit, MTU und Last können enthalten sein
Classfull
Infinite Metric 4294967295
Konvergenz: Langsam (1 min)

33
Distance Vector Schleifenverhinderungsmechanismen

Zu den Zielen jedes RPs gehört es Schleifen zu verhindern und ausgefallene Routen durch
Brauchbare zu ersetzen. Distance vector Protokolle haben unterschiedlichste Mechanismen für die
auftretenden Probleme in Netzwerken.
Hierzu zählen:
Route Poisoning
Damit zusammengebrochene Routen tatsächlich als unbrauchbar im gesamten Netz bekannt werden,
werden Sie von dem Router, der dies Feststellt in seinem nächsten Update mit der infinite metric
versehen. so erfahren die Nachbarn, dass die Route unbrauchbar ist und können das in Ihren
Updates weiterverbreiten.
Split Horizon
Da es vorkommen kann, dass Router Ihre Updates Zeitgleich versenden, könnte es passieren, dass
R1 an R2 sendet: Das Netz 10.1.1.0 ist nicht erreichbar! Zeitgleich sendet R2 an R1: Ich habe eine
gültige Route ins 10.1.1.0 Netz über R1! R2 weiß jetzt, das die Route ins Netz down ist, doch R1
denkt, dass er das Netz über die von R2 gelernte Route erreichen kann. Damit das nicht passiert wird
beim Split Horizon folgendes Angewandt:
Alle Routen, die Interface X als Ausgang nutzen, werden nicht ins Update, welches über Interface X
geht eingetragen.

Split Horizon with Poison Reverse (Poison reverse)


Solange das Netzwerk funktioniert und alle Routen up and up sind, verhält sich Poison Reverse wie
Split Horizon. Tritt eine Störung auf verhält es sich folgendermaßen:
Es werden im Update Routen eingetragen, welche Interface X verwenden und down sind, mit infinite
metric zurückgesandt. Also Split Horizon deaktiviert und die Route „vergiftet“!

Holddown Timer
Die Verbindung zu 10.1.1.0 bricht zusammen (jemand sollte das Kabel checken!)R1 schickt diese
Information in seinem Update. Zeitgleich sendet aber R2 seine Updates. R2 lernt, dass die Route ins
10.1.1.0 Netz down ist. R3 lernt von R1, dass diese Route down ist, Zeitgleich hört er jedoch, dass die
Route mit einem Hop Count von 2 erreichbar ist und entscheidet sich, gemäß der globalen Ziele aller
RPs, für die Route mit dem Hop Count von 2. Er sendet in seinem nächsten Update diese Information
an R1, der die Route mit einem Hop Count von 3 einträgt. Die führt zu einem count to infinity, trotz
Split Horizon. Ein Holddown Timer sorgt dafür, dass sobald die Information, dass eine Route down ist,
rein kommt, alle Informationen bezüglich dieser Route ignoriert werden und verhindert so den Count
to Infinity.

Triggered (flash) Updates


Da Updates nur zu festen Zeiten versandt werden, kann es u.U. sehr lange dauern, bis sämtliche
Router wissen, dass eine Route down ist. Triggered Updates (auch Flash Updates genannt) werden
verschickt, sobald Änderungen auftreten.

RIP
Update Timer 30 sek
Hold-Down Timer 180 sek
Triggered Updates
Infinite-Metric 16

IGRP
Updates Timer 90 sek
Hold-Down Timer 280 sek
Triggered Updates
Infinite-Metric 4294967295

Befehle
R1 (config)# router rip
R1 (config)# router igrp as-nummer autonomous system (as) router mit derselben
R1 (config-router)# network 10.1.1.0 as arbeiten zusammen
R1 (config-router)# network 10.1.128.0 Die Befehle sind bei RIP & IGRP Identisch
R1 (config-router)# network 10.1.130.0

R1 # show ip route zeigt die Routing Tabelle

34
Link-State Protokolle - OSPF und IS-IS

Kernstück von OSPF ist die Nachbarschafts-Datenbank, sie spiegelt die Topologie des Netzes wider.
Um den Umfang der auszutauschenden Informationen gering zu halten, wählen OSPF-Router einen
designierten Router DR sowie einen Reserve-Router BDR (Backup Designated Router), die als
Schnittstellen für den Austausch dienen, das heißt, wenn in einem Netzwerk 10 Router sind (R7 ist
der DR), tauschen sämtliche Router nur Updates mit R7 aus, und nicht mehr untereinander. Der
OSPF-Router, dessen MAC-Adresse die höchste Router-Priorität besitzt, wird DR. Haben zwei Router
die gleiche Priorität, wird der Router mit der höheren Router-ID gewählt.
design fähig
schnell
CPU lastig

Während distance vector Protokolle kaum Topologie Informationen versenden - sie kennen Ihren
Nachbarn ja nur, wenn er ein Update versandt hat - erarbeiten sich link-state Protokolle mit Hilfe CPU
lastiger Berechnungen und umfangreicher Updates ein genaues Bild der Netzwerktopologie. Sie
entdecken Ihre Nachbarn meist noch bevor man sich bemüht Updates auszutauschen. Diese
Topologie Informationen und der Djikstra SPF Algorithmus verhindern Schleifen und führen zu einer
schnellen Konvergenz(meist weniger als 10 sek).
VLSM Unterstützung
Sendet Hello Nachrichten in kurzem Intervall (Hello Intervall) an die Nachbarn
Partielle Updates, bei Routen Änderungen.
Volle Updates alle 30 Min

Bevor die Nachbarn gesucht werden, bestimmt jeder OSPF Router seine RID (Router-ID), dies
geschieht während das IOS startet. Die Router-ID ist die höchste IP-Adresse eines Loopback
Interfaces. Sollte kein Loopback Interface definiert worden sein, wird die höchste IP-Adresse eines
Interfaces im Status UP UP genommen.

Danach beginnt die Suche nach Nachbarn mit Hello Paketen. In einem OPSF Hello Paket werden
Informationen über:
Subnet Mask
Subnet Nummer
Hello & Dead Intervall
OSPF Area ID
ausgetauscht. Nur wenn diese Werte bei benachbarten Routern übereinstimmen, werden diese
Nachbarn. Sobald sämtliche Topologie Informationen mit den Nachbarn ausgetauscht werden,
wechselt der Router seinen Status zu Full. Ein Router kann mehrere Nachbarn mit dem Status Full
haben, doch nur einer wird ein fully adjacent neighbor (vollständig angrenzender Nachbar).

Overhead Reduzieren mit Designated Routers

In größeren Netzwerken ist Overhead immer ein Problem. Um den Overhead bei den OSPF Updates
zu minimieren, werden von OSPF designated router gewählt, die für die Aktualisierung und
Verbreitung der Updates zuständig sind. Das bedeutet, dass in einem Netzwerk mit 10 Routern (R7 ist
der DR) tauschen sämtliche Router nur Updates mit R7 aus, nicht auch noch untereinander.

Die Wahl zum DR gewinnt der Router mit der höchsten OSPF Priorität, falls hier ein gleichstand
erzielt wird, gilt die höhere RID. Der zweitplazierte Router wird meist der BDR. Die OSPF Priorität
nimmt Werte zwischen 1 und 255 an. Sollte der Wert 0 betragen, kann der Router nie DR werden.

Datenübertragung

OSPF sendet, mit Hilfe eines zuverlässigen Protokolls, LSUs (link-state updates), DDs (Database
Description) und LSAs (link-state advertisements) an die Nachbarn. Diese Pakete enthalten Topologie
Informationen. Diese Informationen werden verarbeitet (Djikstra) und die daraus resultierenden besten
Routen werden in die Routing Tabelle übernommen.

Bei der Konfiguration von OSPF als Routing Protokoll wird eine Prozess ID vergeben. Auf einem
Router können mehrere Instanzen von OSPF laufen und mit Hilfe der ID können Sie unterschieden
werden.

35
Netzwerkskalierung mit Areas

Ein Netzwerk, bestehend aus 9 Routern erfordert eine größere Datenbank auf jedem einzelnen Router
als ein Netzwerk, unterteilt in 2 Areas. Der Area Border Router (ABR) muss als einziger Router die
gesamte Topologie Tabelle sichern, er verbindet die Areas miteinander. Die Router in den einzelnen
Areas müssen nichts von der Topologie der anderen Area wissen, außer dem Zugang dazu.

R1 (config)# router ospf prozess-id


R1 (config-router)# network 10.1.1.0 0.0.0.255 area 0 Die Wildcard Mask ist
R1 (config-router)# network 10.1.128.0 0.0.0.255 area 0 die invertierte SM
R1 (config-router)# network 10.1.130.0 0.0.0.255 area 0 und zeigt OSPF an,
welcher Teil der IP
statisch ist.

IS - IS - Intermediate System to Intermediate System

IS - IS beherrschte nur das Routing von CNLP (Connectionless Network Protocol) zu CNLP. CNLP ist
ein OSI Network Layer Protokoll, welches inzwischen kaum noch Verwendung findet. Aus IS - IS hat
sich Integrated IS -IS entwickelt. Integrated IS - IS beherrscht auch das Routen von IP Paketen.
OSPF ähnlich
Volle Updates alle 15 Minuten

Balanced Hybrid Protokoll EIGRP - Enhanced IGRP (Cisco – proprietär)

Balanced Hybrid Protokolle unterscheiden sich von distance vector und link-state Protokollen, obwohl
sie einige Eigenschaften von beiden in sich vereinen. Durch die Nutzung des Diffusing Update
Algorithm (DUAL) überträgt EIGRP mehr Topologie Informationen als distance vector Protokolle, aber
weniger als link-state Protokolle. EIGRP errechnet nicht nur die beste Route in ein Netz, sondern legt
sich eine Alternativ-Route zurecht, sollte die Beste ausfallen. Diese wird feasible successor (möglicher
Nachfolger) route genannt. Sollte also die beste Route ausfallen, steht sofort eine neue Route zur
Verfügung.

EIGRP konvergiert sehr schnell, meist sogar noch schneller als OSPF. Zudem fallen hierbei
einige Nachteile von OSPF weg. So erfordert EIGRP erheblich weniger Verarbeitungszeit,
wesentlich weniger Speicher. Der einzige Nachteil ist, EIGRP ist ein proprietäres Cisco-Protokoll.

Konvergenz in weniger als 3 sek


Entdeckt Nachbarn noch vor Update-Austausch
Geringer Planungsaufwand des Netzwerks
Cisco Proprietär
Metrik wie IGRP x 256
Partielle Updates
Baut, zusätzlich zur RT, Topologie Tabellen

Externe Routing Protokolle

Externe Routing Protokolle kümmern sich um die weltweite Vernetzung, ein neues LAN mit einem
neuen Subnetz kümmert sie nicht. Die Routing Tabellen eines externen RPs enthalten, trotz intensiver
Anstrengungen die Größe gering zu halten, meist mehr als 100000 Routen in die Netzwerke der
Kunden, wo sie von internen RPs weitergeleitet werden.

BGP - Border Gateway Protocol

BGP wird von ISPs genutzt um den Datenaustausch mit Ihren Netzen, den Netzen der Mitbewerber
und denen der Kunden zu realisieren. Das BGP führt das Routing zwischen unterschiedlichsten
Netzen, jedes mit eigenem Routing Protokoll, durch. Aufgrund dieser Eigenschaft wird als externes
Routing Protokoll bezeichnet. Es wird keine Metrik genutzt, da BGP über eine Vielzahl von Alternativ-
Routen verfügt. Diese Alternativen werden Policies genannt. Die „Wertigkeit“ dieser Policies entsteht
z.B. aus dem Verhältnis zweier ISPs.

36
Security

Paketfilter .... oder was ist eine ACL?

Cisco Router sind in der Lage unerwünschten Verkehr mit Hilfe von Access Control Lists zu
unterbinden. In diese Listen werden Hostadressen, IP Bereiche oder allgemeine Angaben, sowohl als
Quellinformation, als auch als Zielinformation eingetragen. Jede ACL enthält als letzte Zeile den
„Eintrag“ deny any any. Solange nichts Entsprechendes eingetragen wird, wird also jeglicher
Verkehr für jedermann auf dem entsprechenden Interface untersagt.
Bevor Sie wild ACLs anlegen, sollten Sie sich ein Bild Ihres Netzwerks verschaffen und sorgfältig
planen, wo Sie welche ACL einsetzen wollen. Fehlersuche kann im Umgang mit ACLs langwierig
werden.
Es gibt drei Arten von ACLs:

Standard ACL
Die Standard ACLs werden im IOS mit den Zahlenwerten 1-99 & 1300-1999 angesprochen. Hier
können nur die Quell IPs eingetragen werden. Subnetze werden mit Wildcard Masken eingegeben.
Können sowohl eingehend, als auch ausgehend gesetzt werden.
Konfiguration:
enable
configure terminal
interface ethernet 0
ip access-group 2 in
exit
access-list 2 deny host 10.1.2.1
access-list 2 permit any

Extended ACL
Beherrschen sämtliche Funktionen, von Standard ACLs. Zusätzlich können hier auch Zieladressen,
Quell - & Zielportnummern, Protokolle. ACL Nummern 100-199 & 2000-2699.
Konfiguration:
enable
configure terminal
interface ethernet 0
ip access-group 102 in
exit
access-list 102 deny tcp host 10.1.2.1 any eq tftp
access-list 102 deny tcp host 10.1.2.1 any eq http
access-list 102 permit ip any any

Named ACL
Hier werden anstelle der ACL Nummern Namen vergeben. Diese Namen sind frei wählbar. Named
ACLs beherrschen sämtliche Funktionen von Extended ACLs. Zusätzlich ist es möglich einzelne
Zeilen aus der ACL zu entfernen, was bei anderen ACL nicht möglich ist, dort wird die ACL entfernt
Konfiguration:
enable
configure terminal
interface ethernet 0
ip access-group Erna in
exit
ip access-list extended Erna
deny tcp host 10.1.2.1 192.168.0.0 0.0.0.255
deny tcp host 10.1.2.1 172.16.0.0 0.0.0.255
permit ip any any

Access Control Lists


Standard IP ACL
Extended IP ACL
Named IP ACL
o Standard
o Extended
Router muss gewählt werden
Richtung (IN | OUT)
Am Ende jeder ACL steht immer ein DENY ANY

37
Standard ACL
Nummer 1-99 und 1300-1999
Platzierung nah an Destination (Ziel)
Filterung
o Source IP
Konfigurationsbeispiel:
(config)# access-list 1 remark erlaubt Bob keine Zugriff auf R1
(config)# access-list 1 deny 192.168.30.12 0.0.0.0
oder
(config)# access-list 1 deny host 192.168.30.12
(config)# access-list 1 permit any
(config-if)# ip access-group 1 in|out

Extended ACL
Nummer 100-199 und 2000-2699
Platzierung nah an Source (Absender)
Filterung
o Protocol
o Source and Destination IP
o Source and Destination Port
Konfigurationsbeispiel:
(config)# access-list 101 remark Bob kein Telnet mehr erlauben
(config)# access-list 101 deny tcp host 192.168.3.12 any eq 23
(config)# access-list 101 permit ip any any
(config-if)# ip access-group 101 in|out

Named ACL
verwendet Namen anstatt von Nummern
einzelne Zeilen können gelöscht werden
Standard sowie Extended ACL können erstellt werden
Konfigurationsbeispiel:
(config)# IP access-list EXTENDED TestACL1
(config-ext-nacl)# deny tcp host 192.168.30.12 any eq 23
(config-ext-nacl)# permit ip any any
(config-if)# ip access-group TestACL1 in

Kontrollmöglichkeiten
show running-config
show access-list

Network Address Translation (NAT)


Beim NAT werden Private IP Adressen vom Router in öffentliche Adressen übersetzt, so dass Sie z.B.
durchs Internet geroutet werden können. Die Übersetzung kann statisch geschehen, einer bestimmten
privaten IP wird eine bestimmte öffentliche IP zugewiesen. Bei wenigen Rechnern im Netz und vielen
reservierten öffentlichen IPs ist das machbar. Beim dynamischen NAT werden den Hosts öffentliche
IPs aus einem Pool zugewiesen. Funktioniert aber nur für so viele Host, wie IPs im Pool existieren.
Damit die anderen Hosts auch in Internet dürfen, kann mit Overload und PAT übersetzt werden. Beim
Overload NAT mit PAT werdenden öffentlichen IPs mehr als eine private IP zugeordnet. Damit der
Router unterscheiden kann, welches Paket für welchen Host bestimmt ist, werden unterschiedliche
Portnummern genutzt.

Cisco Definitionen
Cisco definiert vier NAT Adress-Begriffe
Inside local (Inside private) - Die Host IP im Firmeneigenen Netzwerk
Inside global (Inside public) - Die öffentliche IP des Hosts aus dem Firmennetzwerk
Outside global (Outside public) - Die öffentliche IP des entfernten Rechners
Outside local (Outside private) - Die private IP des entfernten Rechners

Beispiel

(config)# interface ethernet 0


(config-if)# ip nat inside
(config-if)# exit

38
(config)# interface serial 1
(config-if)# ip nat outside

Befehle zum Prüfen


# show running-config
# show ip nat translations
# show ip nat statistics

Statisches NAT- eine private IP wird in genau eine öffentliche IP übersetzt


(config)# ip nat inside source static 172.16.0.100 172.21.0.100
(config)# ip nat inside source static 172.16.0.105 172.21.0.105
...
(config)# ip nat inside source static 172.16.0.110 172.21.0.110

Dynamisches NAT- ein Gruppe von privaten IPs auf einen POOL von öffentlichen IPs übersetzt
Welche Gruppe von privaten IPs wird genattet (Standard ACL)
(config)# access-list 1 remark ACL für dynamisches NAT
(config)# access-list 1 permit 172.16.0.0 0.0.255.255

Einen Pool an öffentlichen IPs definieren


(config)# ip nat pool NAT_POOL 172.21.0.100 172.21.0.105 netmask 255.255.0.0
Verbinden von privater Gruppe mit öffentlichem Pool
(config)# ip nat inside source list 1 pool NAT_POOL
Löschen der dynamischen Einträge
(config)# ip nat translation timeout 30 (in Sekunden / Standard sind 24 Stunden)

overloading NAT with PAT- eine Gruppe von privaten IPs wird auf eine öffentliche IP übersetzt
(IP von ip nat outside Interface am Router)
Welche Gruppe von privaten IPs wird genattet (Standard ACL)
(config)# access-list 1 remark ACL für dynamisches NAT
(config)# access-list 1 permit 172.16.0.0 0.0.255.255
Verbinden von privater Gruppe mit OUTSIDE INTERFACE
(config)# ip nat inside source list 1 interface S1 overload

Static NAT
einem Host wird eine feste Public Adresse zugewiesen
Konfiguration:
Interface
ip nat inside
ip nat outside

global
ip nat inside source static 10.1.1.1 200.1.1.1
ip nat inside source static 10.1.1.2 200.1.1.2

show
show ip nat translations
show ip nat statistics

Dynamic NAT
einem Host wird eine Public Adresse dynamisch aus einem Pool zugewiesen
Konfiguration:

Interface
ip nat inside
ip nat outside

global
ip nat pool TEST1 200.1.1.1 200.1.1.2 netmask 255.255.255.252
access-list 1 permit 10.1.1.1
access-list 1 permit 10.1.1.2
ip nat inside source list 1 pool TEST1

39
show
show ip nat translations
show ip nat statistics
debug ip nat
clear ip nat translation * löschen der NAT Table

Overloading NAT with PAT


mehreren Host wird dieselbe Public Adresse zugewiesen, aber die Ports werden angepasst
Konfiguration:
Interface
ip nat inside
ip nat outside

global
access-list 1 permit 10.1.1.1
access-list 1 permit 10.1.1.2
ip nat inside source list 1 interface S0 overload

show
show ip nat translations
show ip nat statistics
debug ip nat
clear ip nat translation * löschen der NAT Table

WAN

Ein Wide Area Network, ist ein Rechnernetz, das sich im Unterschied zu einem LAN über einen sehr
großen geografischen Bereich erstreckt. Die Anzahl der angeschlossenen Rechner ist auf keine
bestimmte Anzahl begrenzt. WANs erstrecken sich über Länder oder sogar Kontinente. WANs werden
benutzt, um verschiedene LANs, aber auch einzelne Rechner miteinander zu vernetzen. WAN-Netze
bestehen aus leitungsvermittelten Verbindungen, Punkt-zu-Punkt-Verbindungen, paketorientierte
Verbindungen und virtuellen privaten Netzen.

Analoge und Digitale Modems


Ähnlich wie ein Telefon, das Schallwellen in ein analoges elektrisches Signal überträgt, wandelt ein
Modem eine Zeichenkette von Binärzahlen auf einem Computer in ein analoges elektrisches Signal
um. Ein Modem sendet einfach ein analoges Signal in das öffentliche Telefonnetz und erwartet ein
analoges Signal aus dem Telefonnetz. Entsprechend prüft das empfangende Modem das eingehende
analoge Signal, indem es das Signal als binäre Einsen oder Nullen interpretiert.

40
WAN-Verbindungen und Ihre Geschwindigkeit

WAN-Verbindungen nutzen unterschiedliche Geschwindigkeiten, abhängig von der Leitung und der
TELCO (Telephone Company). Die TELCO bestimmt, wie schnell Sie Daten von A nach B senden
dürfen, was in der Regel abhängig von Ihrem Geldbeutel ist. Sie bekommen also von Ihrem Anbieter
eine Vorgabe bezüglich der Leitungsgeschwindigkeit, die so genannte Taktrate. Cisco unterscheidet
zwischen Taktgeber und Taktempfänger bei den seriellen Verbindungen. Die Taktrate muss, sofern
Ihr Router als Taktgeber genutzt wird (z.B. bei hausinternen „WAN“ Verbindungen) explizit
eingerichtet werden.

DCE (Digital Communications Equipment)


Als DCE wird immer der Taktgeber bezeichnet. Dies ist entweder eine CSU/DSU (Channel Service
Unit / Digital Service Unit) oder ein Modem (Ausnahme: Hausinterne Verbindungen). Sollten Sie Ihren
Router als DCE nutzen, so muss mit dem Interfacekommando clock rate die Taktrate in Bit
angegeben werden (clock rate 56000 definiert eine 56k Leitungsgeschwindigkeit).

DTE (Digital Terminal Equipment)


Als DTE wird immer der Taktempfänger bezeichnet, also meist Ihr Router. Hier sind keine
gesonderten Konfigurationsschritte notwendig.

OSI-Schicht 2 WAN Protokolle

Es gibt unterschiedliche WAN Protokolle. Für die Prüfung benötigen Sie tiefergehende Kenntnisse der
Protokolle HDLC, PPP und Frame Relay. Die anderen sind der Vollständigkeit halber erwähnt.
Zu beachten ist, dass auf jedem Gerät, welches Sie in der WAN-Verbindung nutzen wollen das
gleiche Protokoll genutzt wird. Es ist ebenso wichtig, wie die korrekte Einrichtung von DCE und DTE.
Sollten Sie bei DCE/DTE und oder L2 Protokoll fehlerhafte Einstellungen nutzen, so haben Sie den
Interfacestatus up down (Layer 1 up, Layer 2 down). Diesen Fehler bekommen Sie übrigens auch bei
unterschiedlichen Duplex-Einstellungen.

ATM (Asynchronous Transfer Mode)

Andere WAN-Technologien eignen sich vor allem für Internetzugänge von Privathaushalten oder
kleinen Büros.
ATM (Asynchronous Transfer Mode) hingegen kommt meist ähnlich wie Frame Relay als
Paketvermittlungsdienst oder als Vermittlungstechnik im zentralen Netzwerk von
Telefongesellschaften zum Einsatz. Weil ATM ähnlich wie Frame Relay arbeitet, wird es auch als
Paketvermittlungsdienst (Packet - Switching) angesehen. Trotzdem wird ATM, weil es mit Zellen einer
festen Länge arbeitet, häufiger als Zellvermittlungsdienst (Cell - Switching) bezeichnet.
Um ATM verwenden zu können, wird der Router mit einem ATM - Dienst über eine Zugangsleitung an
einen ATM-Switch angeschlossen, der sich im Netzwerk des Providers befindet, im Grunde die
gleiche Verbindungsstruktur wie bei Frame Relay. Bei mehreren Standorten benötigt jeder Router eine
Anschlussstrecke zum ATM-Netzwerk und je nach Bedarf virtuelle Verbindungen („VC“ Virtual Circuit )
zwischen den Standorten. ATM benutzt (wie auch Frame Relay) permanente virtuelle Verbindungen
(Permanent Virtual Circuit, PVC).

DSL (Digital Subscriber Line)

Die DSL-Basisdienste haben einige Ähnlichkeiten mit Analogmodems, weisen aber auch
Unterschiede dazu auf. Einige wichtige Eigenschaften sind:
- DSL ermöglicht das gleichzeitige Senden analoger Sprachsignale und digitaler Datensignale
über dieselbe Teilnehmeranschlussleitung.
- Der Teilnehmeranschluss muss in der lokalen Vermittlungsstelle neben dem traditionellen
Voice Switch noch mit einem anderen Gerät verbunden werden, in diesem Fall mit einem
DSL-Zugangsmultiplexer (DSL Access Multiplexer, DSLAM).
- Mit DSL kann ein Telefongespräch gleichzeitig mit einer Datenverbindung stattfinden.
- Anders als bei Modems ist die Datenverbindung bei DSL immer aktiviert. Man braucht somit
keine Telefonnummer zu wählen oder zu senden, um eine Verbindung herzustellen. DSL
bringt große Vorteile mit sich: Bereits vorhandene Telefone lassen sich weiterhin benutzen,
die bisherige Telefonnummer bleibt erhalten und sobald DSL eingerichtet ist, kann der
Benutzer das quasi immer aktive Internet nutzen, ohne eine Nummer zu wählen.

41
Frame Relay

Frame Relay als alternativer WAN-Dienst hat viele Vorteile gegenüber Punkt-zu-Punkt-Verbindungen,
vor allem dann, wenn viele Standorte über ein WAN angebunden werden. Frame Relay ist ein Ableger
von ISDN (Integrated Services Digital Network), genauer der Daten - Paket vermittelnde Teil von
ISDN, der von ISDN abgekoppelt und als eigenständiger Dienst angeboten wird.
Frame Relay dient speziell zur Verbindung vieler Standorte über WAN.

LMI – Types

In der nächsten Abbildung ist ein Hauptstandort mit zwei als BO1 und BO2 gekennzeichneten
Geschäftsstellen verbunden. R1, der Router des Hauptstandortes, benötigt dazu zwei serielle
Schnittstellen und zwei separate CSU/DSUs. Aber was geschieht, wenn das Unternehmen auf zehn
Standorte anwächst?
Oder auf 100 oder 500? Für jede Punkt-zu-Punkt-Verbindung benötigt R1 eine eigene serielle
Schnittstelle und eine eigene CSU/DSU.

42
Viele Standorte (k), voll vermascht, brauchen bei (dedizierten) Punkt-zu-Punkt Verbindungen:
1/2*(k-1)*k Verbindungen und (k-1) Interfaces und CSUs/DSUs pro Standort!
Beispiel: bei 100 Standorten braucht man 1/2*99*100 = 4950 Verbindungen und 100 CSUs/DSUs
zuzüglich Router mit jeweils 99 Ports (für jede Verbindung zu einem anderen Standort je einen Port)!
DCE ist immer der Frame Relay-Switch (im WAN), der Router eines Access-Links ist also immer
DTE!

Virtual Circuit (VC) ist die logische Verbindung zwischen je zwei Routern, die nicht die physische
Verbindung repräsentiert!
VCs teilen sich den Access-Link und das Frame Relay Netzwerk!

Frame Relay braucht nur einen sogenannten 'Access-Link' (eine physische Verbindung) von einem
Router an jedem Standort zu einem benachbarten Frame Relay-Switch (im Internet), über den dann
alle VCs laufen. Jedes VC kann dabei eine unterschiedliche Verkapselungsmethode (ietf oder cisco,
s.u.) benutzen!
Es gibt 2 Arten von VCs:
- permanent (PVC) vom Provider vordefiniert, es gibt eine 'Leitung' mit einer bestimmten CIR
(s.u.)!
- switched (SVC) wird vom Provider dynamisch zugewiesen, so kann man bei Bedarf noch
zusätzliche 'Leitungen' dazubekommen, die wieder 'abgeschaltet' werden,
wenn der Bedarf nicht mehr besteht. Dies ist aber teuer und wird kaum
gemacht!
Da für Frame Relay ein statistisches Multiplexing Verfahren benutzt wird, bekommt man vom
Provider dynamisch die Bandbreite zugeteilt, die gerade benötigt wird. Dabei sichert der Provider eine
bestimmte Bandbreite zu, die man jederzeit nutzen kann. Dies ist die zugesicherte Bandbreite, also
'Committed Information Rate' oder CIR. Reicht diese Bandbreite einmal nicht aus und sind in der
'Frame Relay-Wolke' noch Kapazitäten frei, so kann man diese problemlos benutzen! Dies sollte
jedoch immer nur kurzfristig geschehen und nicht zu sehr ausgenutzt werden. Der Provider sichert
sogar eine Bandbreite zu, die für solche kurzfristigen Überschreitungen der CIR zur Verfügung steht,
dies ist die 'Committed Burst Rate' CBR.
Der Frame Relay-Header enthält ein ('discard eligible'=) DE - Flag (Annahme verweigert).
Selbst beim Überschreiten der CBR versucht Frame Relay noch, alle Pakete zuzustellen, jedoch
werden diese automatisch mit dem DE - Flag gekennzeichnet, so dass sie verworfen werden, wenn
die verfügbaren Kapazitäten beim Provider nicht reichen. Die maximale Bandbreite, bis zu der
versucht wird, (DE-'ge'flag'te) Frames zuzustellen, wird als 'Excess Burst Rate' bzw. EBR bezeichnet.
Adressierung mittels 'data-link connection Identifier' (DLCI), der in einem zusätzlichen Ethernet-Frame
(-Feld) untergebracht ist! Die Layer 3 Pakete werden in einem Frame Relay-Header und -Trailer
(LAPF) verkapselt. LAPF (Link Access Procedure Frame Bearer Service), aka ITU Q.922-A stellt
Fehlererkennung mit einem eigenen FCS (Frame Check Sequence) -Feld im Trailer zur Verfügung
und definiert auch ein Feld für den DLCI.
Was LAPF jedoch nicht bereitstellt, ist ein Feld für den (Layer 3 Protokoll-) Typ, wodurch ohne
weiteres kein Multi-Protokoll Betrieb mehr möglich wäre.
Zur Sicherstellung des Multi-Protokoll Betriebs gibt es 2 Lösungen:
1. von Cisco, diese Lösung fügt einen zusätzlichen Header mit einem 2 Byte Protokollfeld zwischen
dem LAPF-Header und dem Paket ein.
2. RFC 1490 (später erweitert durch die RFC 2427), die auch in die Spezifikationen der ITU
(Q.933-E) und des ANSI (T1.617-F) eingeflossen sind. Auch RFC 1490 baut einen zusätzlichen
Header ähnlich der Cisco-Lösung zwischen LAPF-Header und Paket ein.
Frame Relay-Switches interessieren sich nicht für das Protokollfeld und ignorieren beide o.g.
Lösungen. Die Router an den Enden einer Frame Relay-Verbindung benutzen jedoch die in dieser
Verkapselung enthaltenen Protokollfelder, weshalb man die Router auf die verwendete Methode
konfigurieren muss!

43
Konfiguration

S1 S0 DCE S1 DCE S0
10.0.0.1 10.0.0.2

R2 R1 R3
DLCI 100 FR Switch DLCI 200
R1 (Frame-Relay Switch)

(config)# frame-relay switching  aktiviert das Frame-Relay Switching


(config)# int S0
(config-if)# no ip address
(config-if)# encapsulation frame-relay  auf Frame-Relay umstellen
(config-if)# clock rate 4000000  Clock Rate auf DCE-Seite einstellen
(config-if)# frame-relay intf-type dce  Den Interface-Type auf DCE einstellen
(config-if)# frame-relay route 100 interface S1 200  Die PVC Route definieren
(config-if)# no shutdown  Interface hochfahren
(config)# int S1
(config-if)# no ip address
(config-if)# encapsulation frame-relay  auf Frame-Relay umstellen
(config-if)# clock rate 4000000  Clock Rate auf DCE-Seite einstellen
(config-if)# frame-relay intf-type dce  Den Interface-Type auf DCE einstellen
(config-if)# frame-relay route 200 interface S0 100  Die PVC Route definieren
(config-if)# no shutdown  Interface hochfahren

R2
(config)# int S1
(config-if)# encapsulation frame-relay  auf Frame-Relay umstellen
(config-if)# ip address 10.0.0.1 255.0.0.0  IP Adresse zuweisen
(config-if)# frame-relay interface-dlci 200  entfernte DLCI vergeben
(config-if)# no shutdown
R3
(config)# int S0
(config-if)# encapsulation frame-relay  auf Frame-Relay umstellen
(config-if)# ip address 10.0.0.2 255.0.0.0  IP Adresse zuweisen
(config-if)# frame-relay interface-dlci 100  entfernte DLCI vergeben
(config-if)# no shutdown

Show-Befehle:
# show ip interface brief
# show frame-relay pvc
# show frame-relay map

Optional kann man noch den LMI-Type für einen Access-Link verändern
(config)# int S0
(config-if)# frame-relay lmi-type ansi

(config)#int S1
(config-if)# frame-relay lmi-type ans

HDLC (High Level Data-Link Control Protocol)

Die beiden verbreitetesten Protokolle für Punkt – zu – Punkt -Verbindungen auf der OSI-Schicht 2
(Sicherungsschicht) sind High Level Data Link Control Protocol (HDLC) und Point-to-Point Protocol
(PPP). Weil Punkt-zu-Punkt-Verbindungen relativ einfach aufgebaut sind, wird unter HDLC nur wenig
Aufwand betrieben. Im Einzelnen muss HDLC feststellen, ob die Daten die Leitung ohne Fehler
durchlaufen haben, wobei HDLC im Fehlerfall den Daten - Frame verwirft. Darüber hinaus muss
HDLC den Pakettyp innerhalb des Daten-Frames bezeichnen, damit das empfangende Gerät ihn
erkennt.

Konfiguration: HDLC ist auf Cisco Routern das Standardprotokoll bei seriellen Verbindungen, so dass
hier lediglich auf die korrekte Konfiguration von DCE und DTE zu achten ist. Sollte jedoch im Vorfeld
ein anderes Protokoll aktiv gewesen sein, kann mit Hilfe des encapsulation hdlc Kommandos
auf HDLC umgestellt werden.

44
PPP (Point to Point Protocol)

PPP ist ein Protokoll auf der OSI-Sicherungsschicht für Punkt-zu-Punkt-Verbindungen zwischen zwei
Routern. Im Grunde ist es ein „aufgebohrtes“ HDLC. Zusätzlich zu dem reinen Übertragungsprotokoll
nutzt PPP ein Link Control Protocol (LCP), welches Zusatzfunktionen ermöglicht:
- Authentifizierung mit PAP oder CHAP
- Multilink (Kanal- oder Leitungsbündelung)
- LQM (Link Qualitiy Monitoring) Leitungsqualitätsüberwachung
- Schleifenerkennung mit Hilfe der Magic Number

Konfiguration PAP:
Router 1 DCE
interface s0/0/0 Spricht serielles Interface 0/0/0 an
encapsulation ppp Setzt L2 Protokoll auf PPP
ppp authentication pap Nutzt PAP als Authentifikationsmethode
ppp pap sent-username x password y Sendet PAP Nutzername x und Passwort y
clock rate 2000000 Setzt Leitungsgeschw. auf 2 MBit
exit
username a password b Definiert Nutzer a mit Passwort b

Router2 DTE
interface s0/1 Spricht serielles Interface 0/1 an
encapsulation ppp Setzt L2 Protokoll auf PPP
ppp authentication pap Nutzt PAP als Authentifikationsmethode
ppp pap sent-username a password b Sendet PAP Nutzername a und Passwort b
exit
username x password y Definiert Nutzer x mit Passwort y

Konfiguration CHAP:
Router 1 DCE
interface s0/0/0 Spricht serielles Interface 0/0/0 an
encapsulation ppp Setzt L2 Protokoll auf PPP
ppp authentication chap Nutzt CHAP als Authentifikationsmethode
clock rate 4000000 Setzt Leitungsgeschw. auf 4 MBit
exit
username Berlin password test Definiert Nutzer Berlin mit Passwort test
hostname Hamburg Setzt den Routernamen auf Hamburg

Router2 DTE
interface s0/1 Spricht serielles Interface 0/1 an
encapsulation ppp Setzt L2 Protokoll auf PPP
ppp authentication chap Nutzt CHAP als Authentifikationsmethode
exit
username Hamburg password test Definiert Nutzer Hamburg mit Passwort test
hostname Berlin Setzt Hostname auf Berlin

45
CDP - Cisco Discovery Protocol

Merkmale :

CDP erstellt vollautomatisch eine Liste angeschlossener Geräte die auch CDP unterstützen und
aktiviert haben.
CDP ist Cisco proprietär.
CDP liegt auf OSI – Layer 2 und ist im LLC (Logical Link Protocol) angesiedelt.
Die darunter liegende Schicht muss SAP (Subnetwork Access Protocol) unterstützen.
CDP ist Medien und Protokollunabhängig und kann daher Ethernet, FDDI, ATM sowie andere
Verfahren.

Prinzip :

Jedes CDP aktivierte Gerät sendet periodisch Nachrichten (Advertisements) zu einer Multicast
Adresse (01-00-0C-CC-CC-CC) und empfängt auch Nachrichten von anderen benachbarten CDP –
Geräten.
Enthaltene Info’s der Advertisements :
- Gerätenamen
- Betriebssystemversion
- Schnittstellenbezeichner
- Management – IP – Adressen
- Holdtime des Paketes
Bleibt die periodische Aktualisierung aus wird die alte Info nach Ablauf der Holdtime verworfen.
Standardmäßig wird alle 60 Sekunden mit einer Holdtime von 180 Sekunden ein CDP – Paket
geschickt.
CDP hat keine Sicherheitsmechanismen dadurch kann ein solches Paket abgehört und gefälscht
werden.
CDPv2 ermöglicht schnellere Fehlersuche durch mehr Infos.

Befehle und ihre Bedeutungen zu CDP :

show cdp - Status des CDP’s anzeigen


show cdp traffic - Infos über CDP – Datenverkehr anzeigen
show cdp neighbors - Infos über benachbarte Geräte anzeigen
show cdp entry - Infos über ein bestimmtes CDP – Gerät (Eintrag)
show cdp interface - Infos über Interfaces auf denen CDP aktiviert ist
cdp run - globale Aktivierung von CDP
cdp enable - aktivieren von CDP für ein spezielles Interface
cdp timer - Einstellungen für Sendeintervall von CDP – Updates
cdp holdtime - Einstellungen für Zeit die ein CDP – Paket gehalten wird
clear cdp table - Tabelle mit CDP - Infos löschen

46
VPN

Ziele eines VPN

 Privatsphäre (Privacy) – Verhindern, dass jemand, der ein Datenpaket kopiert, die
enthaltenen Daten lesen kann.
 Authentifikation – Überprüfen, dass die Datenquelle gültig ist und nicht einem Angreifer
gehört.
 Datenintegrität – Sicherstellen, dass die Datenpakete während des Transports nicht
geändert wurden.
 Antireplay – Verhindern, dass „der Mann in der Mitte“, sich mit Hilfe von kopierten Paketen
einer gültigen Datenquelle, als gültige Quelle tarnen kann.

In einem VPN (VPN Tunnel) werden den Datenpaketen zusätzliche Header angehangen, die Felder
enthalten um diese Funktionen erfüllen zu können.

VPN Bezeichnungen

Intranet Ein VPN zwischen zwei Niederlassungen einer Firma


Extranet Ein VPN zwischen zwei „befreundeten“ Firmen
Access Ein VPN Zugang zu einer Firma aus dem Internet
Um ein VPN bilden zu können muss auf beiden Seiten Hard/Software eingerichtet sein, welche die
gewünschten Standards erfüllt.
Beispiel:
Router
Adaptive Sicherheitsvorrichtungen (Adaptive Security Appliances (ASA))
PIX Firewalls (Alt)
VPN concentrators (Alt)
VPN Client Software

RFC 4301 IPsec

IPsec Verschlüsselung
Es werden zwei Algorithmen genutzt. Einer zum Verschlüsseln der Daten, der Zweite zum
Entschlüsseln.
 Daten und SessionKey (shared key) werden durch den Verschlüsselungsalgorithmus zum
Verschlüsselten Datenpaket.

 Der Sender verkapselt das Paket mit VPN und neuem IP Header und sendet es an den
Empfänger.

 Der Empfänger entschlüsselt das Paket mit Hilfe des SessionKey und des Algorithmus.

Algorithmus Key Länge (Bits) Kommentare


Data Encryption Standard (DES) 56 älter & unsicherer als die anderen Methoden
Triple DES (3DES) 56 x 3 3 DES Keys werden genutzt
Adv Encryption Standard (AES) 128 and 256 Wird als beste Methode betrachtet; Weniger
Rechenaufwand als 3DES
Die Verwendung von Pre-Shared Keys (PSK) birgt das Problem, dass der PSK „nie“ geändert wird.
Lösung: Dynamic key exchange

RFC 4306 Internet Key Exchange IKE

IKE nutzt Diffie-Hellman (DH) key exchange zum sicheren Austauschen von Key Informationen. Der
Key wird verschlüsselt übertragen. Je länger der Verschlüsselungs-Key, desto länger der DH-Key
Option Key Länge
DH-1 768-bit
DH-2 1024-bit
DH-5 1536-bit

47
Authentifikation und Datenintegrität

Datenintegritätschecks können mit Hilfe des IPsec Authentication Header (AH) protocol realisiert
werden. Auch hier wird mit shared keys gearbeitet, allerdings mit den Hash Werten.
Der Hashed-based Message Authentication Code (HMAC) wird vom Sender im VPN Header
mitgesandt. Der Empfänger errechnet den Hash Wert des Paketes und wenn der Wert mit dem Wert
aus dem Header übereinstimmt gilt das Paket als unverändert.

Der Authentifikationsprozess nutzt ein private/public Key Verfahren ähnlich dem DH.
Mit Hilfe des private Key wird der Integritätswert errechnet und im VPN Header hinterlegt. Der
Empfänger prüft das Paket mit dem public Key und wenn der errechnete Wert mit dem des VPN
Headers übereinstimmt ist klar, dass der Sender authentisch ist.

Funktion Method Beschreibung


Datenintegrität HMAC-MD5 HMAC-MD5 nutzt 128-bit shared key; 128-bit hash Wert.
Datenintegrität HMAC-SHA HMAC–Secure Hash Algorithm unterschiedliche key Größen
SHA-1 [160], SHA-256 [256], SHA-512 [512]) besser als MD5
Authentifikation PSK Beide VPN Geräte benötigen selben Key
Authentifikation Digitale Auch Rivest, Shamir, and Adelman (RSA) Signaturen genannt.
Signaturen private/public Key Verfahren.

Zwei der Protokolle von IPsec sind Encapsulating Security Payload (ESP) und IP Authentication
Header (AH). ESP definiert die Regeln nach denen die vier Ziele erreicht werden und AH ist für
Authentifikation und Datenintegrität. Ein IPsec VPN kann beide gleichzeitig nutzen, aber auch jeweils nur eine
Funktion.
Beispiel: AH übernimmt Authentifikation und Datenintegrität, während ESP die Privatsphäre schützt.

Feature ESP? AH?


Authentifikation Ja (schwach) Ja (stark)
Datenintegrität Ja Ja
Verschlüsselung Ja Nein
Antireplay Ja Nein

SSL VPN

Secure Socket Layer (SSL) Verbindungen werden aufgebaut, wenn die Verbindung zwischen Browser
und HTTP Server sicher sein soll, z.B. bei der Eingabe und dem Transfer von
Kreditkarteninformationen. Auf Port 443 wird eine SSL Verbindung zwischen dem Browser und dem
Server aufgebaut.
Wenn ein Unternehmen jedoch mit einem Mitarbeiter außerhalb des Firmennetzwerkes Daten
austauschen und Anwendungen bereitstellen möchte, sollte die Verbindung dauerhaft gesichert sein.

Web VPN

Der Mitarbeiter verbindet sich, über das Internet, mit dem Web VPN Server über seinen Browser.
Diese Verbindung ist bereits mit SSL gesichert. Der Web VPN Server stellt eine HTML Seite mit
sämtlichen Anwendungen und Daten, auf die der Mitarbeiter zugriff hat, bereit.

48
IPv6

Hauptsächlich wegen der Adressknappheit, begannen 1995 die Arbeiten an IPv6.

 Vergrößerung des Adressraums von 232 =4.294.967.296 Adressen bei IPv4,


auf 2128 =340.282.366.920.938.463.463.374.607.431.768.211.456 Adressen bei IPv6
 Autokonfiguration von IPv6-Adressen
 Mobile IP und vereinfachte Umnummerierung („Renumbering“)
 Dienste wie IPSec, QoS und Multicast „serienmäßig“
 Vereinfachung und Verbesserung der Header

IPv6-Adressen werden nicht in dezimaler, sondern in hexadezimaler Form dargestellt. Doppelpunkte


teilen die Adresse in acht Blöcke von jeweils 16 Bit.

Beispiel einer IPv6-Adresse:


5002:0000:0000:08d3:0000:0000:0000:1354

Führende Nullen eines Teilbereiches dürfen in verkürzter Schreibweise weggelassen werden.


Demnach wird aus 0001:0002:abcd:0003:000f:0035:600a:a0d0 in Langform
1:2:abcd:3:f:35:600a:a0d0 in verkürzter Schreibweise.
Zur Zusammenfassung können aufeinander folgende 16-Bit-Gruppen mit dem Wert 0000 durch zwei
aufeinander folgende Doppelpunkte ersetzt werden. Allerdings darf dies nur einmal angewandt
werden, da sonst nicht mehr nachvollzogen werden kann, wie die IPv6 Adresse aussah.

Beispiel:
5002:0000:0000:08d3:0000:0000:0000:1354
5002::8d3:0:0:0:1354 RICHTIG
5002:0:0:8d3::1354 RICHTIG
5002::8d3::1354 FALSCH

Im Extremfall können sämtliche Adressteile entfallen :: , was


0000:0000:0000:0000:0000:0000:0000:0000 entspricht.

Adressbereiche werden bei IPv6 durch Präfixe angegeben. Die Anzahl der „festen“ Bits wird an die
IPv6 Adresse mit / angehangen.

Beispiel:
5002:0000:0000:08d3:0000:0000:0000:1354/48 bedeutet
5002:0000:0000: Präfix (Adressbereich) und 08d3:0000:0000:0000:1354 Subnet- & Hostbereich

Subnetze werden als Adressbereiche ebenfalls durch den Präfix bestimmt. Netzmasken, wie bei IPv4,
gibt es bei IPv6 nicht mehr.

Beispiel:
5002:0000:0000:08d3:0000:0000:0000:1354/64 bedeutet
5002:0000:0000: 48 Bit Präfix, 08d3 16 Bit Subnetz und :0000:0000:0000:1354 64-Bit Hostbereich.

Die ersten 64 Bit der IPv6-Adresse dienen üblicherweise der Netzadressierung, die letzten 64 Bit
werden zur Host-Adressierung verwendet. Grund:

Autokonfiguration

Dynamisch
Stateful autoconfiguration: IPv6 Geräte senden beim Eintritt in ein Netzwerk eine Multicast Anfrage
(nicht Broadcast wie IPv4) an FF00::/8 Adressen. Die Multicast Adresse FF02::1:2 ist für DHCP
Anfragen an unbekannte Server reserviert und wird sogar an den passenden Server gerouted.
Stateful DHCPv6 Server überwachen Ihre Clients (lease time), während stateless DHCPv6 Server
Ihre Clients „unbeaufsichtigt“ lassen.
Es werden IPv6 IP, Präfix, default Router und DNS IPs an den Client gesandt.

49
Stateless autoconfiguration: Das Gerät nutzt die NDP (Neighbor Discovery Protocol)Funktion des
IPv6 Protokolls. NDP beherrscht ARP (MAC Adressen von Nachbarn lernen). Es werden zwei Arten
von Nachrichten versandt: Router Solicitation RS – All Routers – Identity Yourselves
Router Advertisement RA – All Nodes:
Prefix Is 2340:1111:AAAA:1::/64
Default Router Is
2340:1111:AAAA:1:213:19FF:FE7B:5004
Die letzten 64 Bit der IP werden mit der EUI-64 Adresse gefüllt.

Nachricht RS RA
Multicast FF02::2 FF02::1
Ziel der MC Alle Router des Links Alle IPv6 Knoten im Link

Statisch
Sie können die gesamte IPv6 Adresse statisch konfigurieren, müssen sich die entsprechenden
Informationen besorgen. Diese IP kann unter Umständen bereits vergeben sein.

Sie können als Alternative nur den Präfix definieren und jedes Gerät errechnet seine EUI-64 Adresse
und füllt auf.

EUI-64
Eine MAC Adresse besteht aus 6 Byte, 6 Byte entsprechen 48 Bit. Die fehlenden 16 Bit (FF:FE)
werden in für die EUI-64 MAC zwischen Byte Nr 3 und Byte Nr 4 eingefügt.

00:34:56:78:9A:BC

0034:5678:9ABC
0234:56FF:FE78:9ABC

Das 7. Bit (universal/local (U/L) bit) der OUI zeigt an, ob es sich um eine Burned-in oder eine
Konfigurierte MAC handelt. Burned-in = 0 Konfiguriert = 1

Wissenswerte IPv6 Adressen


Es gibt IPv6 Adressen mit unterschiedlichen Eigenschaften.
Durch das Präfix sind diese erkennbar:
 ::/128 (128 0-Bits) ist die undefinierte Adresse, ähnlich der 0.0.0.0 in IPv4
 ::1/128 (127 0-Bits, 1 1-Bit) ist die Adresse des eigenen Standortes (localhost, loopback).
 fe80::/10 (fe80… bis febf…) sind so genannte linklokale Adressen (link local unicast
addresses)
 Diese sollen von Routern nicht weitergeleitet werden und sind daher nur im gleichen Teilnetz
erreichbar. Interessant werden sie bei der Autokonfiguration.
 fec0::/10 (fec0… bis feff…) waren die Nachfolger der privaten IP-Adressen
 ff00::/8 (ff…) stehen für Multicast-Adressen.
 ff01::1, ff02::1: All Nodes Adressen. Entspricht dem Broadcast.
 ff01::2, ff02::2, ff05::2: All Routers Adressen, adressiert alle Router in einem Bereich.
 Alle anderen Adressen gelten als Global Unicast Adressen. Von diesen sind jedoch bisher nur
die folgenden Bereiche zugewiesen:
 ::/96 (96 0-Bits) stand für IPv4-Kompatibilitätsadressen, welche in den letzten 32 Bits die IPv4-
Adresse enthielten (dies galt nur für globale IPv4 Unicast-Adressen).
 0:0:0:0:0:FFFF::/96 (80 0-Bits, gefolgt von 16 1-Bits) steht für IPv4 mapped (abgebildete) IPv6
Adressen. Die letzten 32 Bits enthalten die IPv4-Adresse. Ein geeigneter Router kann diese
Pakete zwischen IPv4 und IPv6 konvertieren.
 2000::/3 (Bitfolge 001) stehen für die von der IANA vergebenen globalen Unicast-Adressen,
also routbare und weltweit einzigartige Adressen.
 2001-Adressen werden an Provider vergeben, die diese dann wieder an ihre Kunden verteilen
 2002-Präfixe Adressen des Tunnelmechanismus 6to4

50
Befehle & Konfigurationsbeispiele IPv6

Adressenvergabe
Router(config)#ipv6 unicast-routing Aktiviert die Weiterleitung von IPv6 Unicasts
Router(config)#interface fastethernet 0/0 Wechselt zum Interface
Router(config-if)#ipv6 enable Aktiviert IPv6; vergibt link-local IP
Router(config-if)#ipv6 address 3000::1/64 Vergibt statische IP
Router(config-if)#ipv6 address Vergibt Präfix & trägt EUI-64 MAC als Hostteil
2001:db8:0:1::/64 eui-64 ein.
Router(config-if)#ipv6 address Definiert eigene link-local IP
fe80::260:3eff:fe47:1530/64 linklocal
Router(config-if)#ipv6 unnumbered Spezifiziert ein nicht nummeriertes Interface
type/number und spricht es mit der type/number Adresse an.

RIPng

Router(config)#ipv6 router rip name Wechsel zu RIPng mit name als PID;
Router(config-router)#maximumpaths 2 Anzahl der Equal-Cost Routen; 1-64 Std 4
Router(config)#interface serial 0/0 Wechselt zum Interface
Router(config-if)#ipv6 rip name enable Aktiviert RIPng auf Interface; Lernt automatisch

Routerconfig Beispiel:

Austin Router Houston Router


Router>enable Router>enable
Router#configure terminal Router#configure terminal
Router(config)#hostname Austin Router(config)#hostname Houston
Austin(config)#ipv6 unicastrouting Houston(config)#ipv6 unicastrouting
Austin(config)#interface fastethernet 0/0 Houston(config)#interface fastethernet 0/0
Austin(config-if)#ipv6 enable Houston(config-if)#ipv6 enable
Austin(config-if)#ipv6 address Houston(config-if)#ipv6 address
2001:db8:c18:2::/64 eui-64 2001:db8:c18:2::/64 eui-64
Austin(config-if)#ipv6 rip tower enable Houston(config-if)#ipv6 rip tower enable
Austin(config-if)#no shutdown Houston(config-if)#no shutdown
Austin(config-if)#interface fastethernet 0/1 Houston(config-if)#interface fastethernet 0/1
Austin(config-if)#ipv6 enable Houston(config-if)#ipv6
Austin(config-if)#ipv6 address Houston(config-if)#ipv6 address
2001:db8:c18:1::/64 eui-64 2001:db8:c18:3::/64 eui-64
Austin(config-if)#ipv6 rip tower enable Houston(config-if)#ipv6 rip tower enable
Austin(config-if)#no shutdown Houston(config-if)#no shutdown
Austin(config-if)#exit Houston(config-if)#exit
Austin(config)#exit Houston(config)#exit
Austin#copy running-config startup-config Houston#copy running-config startup-config

51
IPv6 durch IPv4 Tunneln

Juneau Router Fairbanks Router


Router>enable Router>enable
Router#configure terminal Router#configure terminal
Router(config)#hostname Juneau Router(config)#hostname Fairbanks
Juneau(config)#ipv6 unicastrouting Fairbanks(config)#interface tunnel0
Juneau(config)#interface tunnel0 Fairbanks(config-if)#ipv6 address
Juneau(config-if)#ipv6 address 2001:db8:c003:1104::2/64
2001:db8:c003:1104::1/64 Fairbanks(config-if)#tunnel source serial 0/0
Juneau(config-if)#tunnel source serial 0/0 Fairbanks(config-if)#tunnel destination
Juneau(config-if)#tunnel destination 10.1.1.2 10.1.1.1
Juneau(config-if)#tunnel mode ipv6ip Fairbanks(config-if)#tunnel mode ipv6ip
Juneau(config-if)#interface fastethernet 0/0 Fairbanks(config-if)#interface fastethernet 0/0
Juneau(config-if)#ipv6 address Fairbanks(config-if)#ipv6 address
2001:db8:c003:111e::1/64 2001:db8:c003:111f::1/64
Juneau(config-if)#no shutdown Fairbanks(config-if)#no shutdown
Juneau(config-if)#interface serial 0/0 Fairbanks(config-if)#interface serial 0/0
Juneau(config-if)#ip address 10.1.1.1 Fairbanks(config-if)#ip address 10.1.1.2
255.255.255.252 255.255.255.252
Juneau(config-if)#clock rate 56000 Fairbanks(config-if)#no shutdown
Juneau(config-if)#no shutdown Fairbanks(config-if)#exit
Juneau(config-if)#exit Fairbanks(config)#exit
Juneau(config)#exit Fairbanks#copy running-config startup-config
Juneau#copy running-config startup-config

Router(config)#ipv6 route 2001:db8:c18:3::/64 Erzeugt eine statische Route mit dem Next-Hop-Ziel
2001:db8:c18:2::2/64 2001:db8:c18:2::2/64
Router(config)#ipv6 route 2001:db8:c18:3::/64 Erzeugt die statische Route auf Fa0/0
fastethernet 0/0
Router(config)#ipv6 route 2001:db8:c18:3::/64 Route mit Next-Hop auf Interface Fa0/0
fastethernet 0/0 2001:db8:c18:2::2
Router#clear ipv6 rip Leert die RIP Routing Tabelle & falls vorhanden IPv6 Tabelle
Router#clear ipv6 route Leert die IPv6 Tabelle
Router#clear ipv6 route 2001:db8:c18:3::/64 Entfernt definierte Route
Router#clear ipv6 traffic Setzt alle Traffic counter zurück
Router#debug ipv6 packet Debug-Infos der IPv6 Pakete
Router#debug ipv6 rip Debug-Infos der RIP Transaktionen
Router#debug ipv6 routing Debug-Infos der IPv6 Routing Table & Cache Updates
Router#show ipv6 interface Zeigt Infos aller IPv6 Interfaces
Router#show ipv6 interface brief Wie oben nur zusammengefasster
Router#show ipv6 neighbors ND Cache wird gezeigt
Router#show ipv6 protocols Zeigt Parameter der aktiven Routing Prozesse
Router#show ipv6 rip Infos zum aktiven RIP Prozess
Router#show ipv6 route Routing Tabelle
Router#show ipv6 route summary Routing Tabelle zusammengefasst
Router#show ipv6 routers Zeigt empfangene Ras
Router#show ipv6 static Zeigt nur statische Routen
Router#show ipv6 static 2001:db8:5555:0/16 Infos zur definierten Route
Router#show ipv6 static interface serial 0/0 Infos zum definierten Interface
Router#show ipv6 static detail Detaillierte Infos zu statischen Routen
Router#show ipv6 traffic Traffic Infos
Router#show ipv6 tunnel Infos zu IPv6 Tunneln

52
Diverses
Zugangsmöglichkeiten zum Router / Switch

Console (COM1) Auxiliary (Modem) Telnet / vty (Netzwerk)


↓ ↓ ↓
> User Mode
↓ enable ↓ ↑ disable ↑
# Enable Mode
↓ configure terminal ↓ ↑ exit oder CTRL+Z ↑
(config) Configuration Mode
↓ interface ↓ ↓ router ↓ ↓ line ↓
(config-if) Interface (config-router) Router (config-line) Line

- Änderung im Config Mode werden sofort wirksam (!Vorsicht!)


o Das Ethernet-Interface am Router deaktivieren, wenn man mit Telnet verbunden ist,
ist nicht ratsam

Passwörter

- Login-Passwörter
o können pro Line vergeben werden (auch verschiedene)
o ermöglicht Zugang zum User Mode
- enable-Passwort
o ermöglicht Zugang zum Enable Mode
o steht im Klartext in den Konfigurationen
 (config)# service password-encryption
 verschlüsselt das enable-Passwort
 ist aber sehr leicht zu knacken
- enable-Secret
o ermöglicht Zugang zum Enable Mode
o ist dem enable-Passwort zu bevorzugen
 wenn beide enable-Passwörter konfiguriert sind, wird das Secret benutzt
o steht verschlüsselt in den Konfigurationen (MD5 Hash)
- Passwort-Recovery (Router 2500 Serie)

Speicher im Router

Flash 1. Welches IOS soll geladen ROM


IOS werden ? Urloader

2. IOS wird geladen

3. Startup-config wird geladen


RAM 4. copy startup running NVRAM
Arbeitsspeicher startup-config
running-config

53
Startup-Config / Running-Config

Startup-Config
- wird beim neustarten des Routers geladen
Running-Config
- enthält die derzeitige Konfiguration des Routers

# copy running-config startup-config  speichert Änderungen auch nach einem Neustart


# copy running-config|startup-config tftp  sichert die Konfiguration auf einem TFTP-Server

Konfigurationen zurücksetzen ?
FALSCH mit # copy startup-config running-config
o Dieser Befehl ware ein Merge, ein zusammenfügen der Konfigurationen
Running-Config Startup-Config
hostname Berta Hostname Anna
Int e0 ip address 192.168.0.2 Int e0 ip address 192.168.0.1
Int e0 shutdown

Hostname Anna
Int e0 ip address 192.168.0.1
Int e0 shutdown

RICHTIG den Router/Switch neustarten


o Der Router/Switch lädt dann beim Booten die Startup-Config

54
Passwort Recovery

Zu allererst ist zu sagen, dass der Ablauf des Passwort Recovery-Vorgangs abhängig vom
verwendeten Modell ist. Die verschiedenen Abläufe können unter
http://www.cisco.com/warp/public/474/ abgerufen werden.
Beim Laden des IOS muss die Start-Up-Konfiguration ignoriert werden. Dies erreicht man in dem man
den Registereintrag ändert. Den Registereintrag kann man mit dem show version Befehl abfragen. In
der letzten Zeile der Bildschirmausgabe wird der Registereintrag angezeigt
Vorraussetzung für diesen Vorgang ist, das man über Konsolenzugang zum Gerät verfügt!

Ablauf des Passwort Recovery bei Router der 2500 Serie:

- der Registereintrag muss von 0x2102 auf 0x2142 geändert werden


- in den Enable-Modus wechseln (es wird kein Passwort abgefragt)
- Konfiguration wird vorgenommen
o ein neues Enable-Passwort wird vergeben
- Konfiguration wird gespeichert
- Register wird wieder auf 0x2102 geändert
o nach einem Neustart wird die Start-Up-Konfiguration wieder eingelesen

Durchführen eines Passwort Recovery bei einem Router der 2500 Serie:

- Konsolenkabel an den Router/Switch anschließen


- HyperTerminal starten (Start / Programme / Zubehör / Kommunikation / HyperTerminal)
- Verbindung zum Router über die COM-Schnittstelle herstellen
- Router wird eingeschaltet
- während der ersten 20 Sekunden des Bootvorgangs CTRL + BREAK drücken
- beim Router der 2500 Serie
o >o/r 0x2142  Registereintrag wird geändert
o >i  Router startet neu
Aktueller Weg: Anstelle der kryptischen Befehle nutzen Sie nun confreg und reset.

- nach dem Neustart erscheint die Frage, ob in den Setup-Mode gewechselt werden soll
 NEIN !

Nun müssen Sie nur noch die Passwörter ändern und das Register zurücksetzen, damit Ihre
Konfigurationen bei einem Neustart nicht wieder ignoriert.

- Router > enable  wechseln in den Enable-Mode


- Router# copy startup running  alte Konfig laden
- R123 # configure terminal  wechseln in den Configuration-Mode
- R123 (config)# enable secret cisco  neues Enable-Passwort vergeben
- R123 (config)# config-register 0x2102  Registereintrag wieder zurücksetzen
- R123 (config)# CTRL+Z  Configuration-Mode verlassen
- R123 # copy running-config startup-config  Konfiguration speichern
- R123 # reload  neustarten

55
Bootvorgang
RAM:
 Arbeitsspeicher

 Beinhaltet die Running Config

Power on Self Test


(Hardware Erkennung und
ROM:
Überprüfung)
 enthält Basic Cisco IOS (ähnl. BIOS)

 ROMMON für Low Level Debugging und


Passwort Recovery

 Limited Function IOS (RXBoot Mode)


(grundlegende IP Verbindungen, um IOS von
z.B. TFT zu laden falls Flash defekt)

Laden des Basis


Cisco
Flash: IOS aus dem ROM in den
 Enthält Cisco IOS RAM
 Langsamer als RAM

NV RAM:
 Ist im Flash enhalten

 Speichert Startup-Config
Laden des IOS aus dem
Flash in den RAM

Laden der Startup-Config aus


dem NV RAM in den RAM

(Startup-Config wird zu
Running-Config)

56
2 Wege um zu konfigurieren welches OS geladen wird

1. Config register

 Teilt dem Router mit, welches OS zu laden ist


o Normales IOS
o ROMMON
o Limited Function IOS (RXBoot Mode)

Standart Config Register

Bit 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0
Po
siti
on

Hex 2 1 0 2
Binär0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0

Bitposition 0 – 3 (Boot Field)


Gesetzt zu Hex Auswirkung
0 ROMMON wird geladen
1 RXBOOT wird geladen
2-F Lädt Image welches durch den
Boot System Befehl in Startup-Config angegeben
ist

Bitposition 4 - 7
Gesetzt zu Hex Auswirkung
4 Ignoriere NV RAM (Startup-Config)

57
Befehle

Router- Verbindungen

show user Zeigt momentane Benutzer an


telnet IP-Adresse Wechsel zum Router IP-Adresse
STRG + 6 danach X Zurück zum Ausgangsrouter
show sessions Zeigt alle Verbindungen
disconnect X Trennt Verbindung X

IP Einstellungen

ip host name Adresse Ordnet IP einen Namen zu


ip name-server DNS festlegen (max 6)
ip domain-lookup Teilt IOS mit einen DNS zu benutzen
show hosts Zeigt host Namen
no shutdown Interface hochfahren
ping IP-Adresse Sendet Ping an IP-Adresse
ip default-gateway IP-Adresse Setzt Standart Gateway

Interface einstellungen
show interfaces Zeigt interfaces an
show interface status zeigt Infos zu allen Interfaces
Anzeige:
FastEthernet 0/1 is up line Protocoll is up
Kabel auf beiden Seiten verbunden auf beiden Seiten gleiches Layer 2 Protokoll
Nur wenn beides up ist kann gesendet werden!
show mac-address table Zeigt Mac-Adressen Tabelle
duplex Stellt Full/Half Duplex ein
speed Stellt Geschwindigkeit ein
CDP
show cdp Zeigt Informationen mittels CDP
cdp run CDP global aktivieren
(alle Interfaces)
cdp enable CDP für das jeweilige Interface aktivieren
(Im Untermodus d. jeweiligen Interfaces)
show cdp interface Zeigt Interfaces auf denen CDP läuft
show cdp traffic Zeigt Anzahl empfangener / gesendeter Pakete an
show cdp neighbor Zeigt Geräte an die an ein Interface angeschlossen sind
show cdp neighbor detail Zeigt Informationen zu allen Geräte an die an ein Interface
angeschlossen sind
show cdp entry name Zeigt Informationen zu Name

Port Security

Befehl Auswirkung
switchport port security Port Security aktivieren
switchport port security mac-address MAC- Port setzen der geschützt werden soll
Adresse
switchport port security maximum Anzahl Anzahl erlaubter MAC-Adressen pro Interface (Max
132)
switchport port security mac-address sticky “Klebt” erste MAC-Adresse die einen Frame sendet an
den Port
switchport port mode Switchport Mode setzen (Accesslink, Trunk….)
switchport port mode port-security violation Setzt Aktion bei Verletzung
interface range fas0/1 -10 Konfiguriert ausgewählte Interfaces gleichzeitig

58
Spanning Tree

show spanning tree Spanning tree anzeigen


spanning tree vlan1 priority Priorität einstellen
spanning tree vlan1 priority root primary Setzt priorität unter der aktuellen Root bridge
spanning tree vlan1 priority root secondary Setzt priorität über der aktuellen Root bridge
hello time Konfiguriert hello time
max age Konfiguriert max age time

Etherchannel
channel-group Zahl mode on Aktiviert Etherchannel

Port Fast
spanning-tree portfast Aktiviert portfast
(Interface Config Mode)
spanning-tree portfast default Deaktiviert Portfast

Boot System

Kein Befehl Versucht IOS zu laden in folgender Reihenfolge:


 1 Datei im Flash
 TFTP
 ROM
 ROMMON

boot system ROM IOS vom ROM wird geladen


boot system flash Erste Datei aus dem Flash wird geladen
boot system flash Dateiname IOS Dateiname wird geladen
boot system tftp Dateiname 10.1.1.1 IOS Dateiname wird vom TFTP Server geladen

59
Holddown
Protokolle Konvergenzzeiten Updates / Advertisement VLSM CIDR Loop Avoidence Mechanism
Timer
Distance Vektor
RIP Langsam 3 – 5 Minuten Voll, alle 30 Sekunden Classfull Nein Für alle: Poison Reverse, 180 Sekunden
RIP Version 2 Langsam 3 – 5 Minuten Voll, alle 30 Sekunden Classless Ja Route Poisoning, Hold Down Timer, 180 Sekunden
Triggered Updates oder Flash
IGRP Langsam 3 – 5 Minuten Voll, alle 90 Sekunden Classfull Nein 280 Sekunden
Updates,
Split Horizon with Poison Reverse
Link State
OSPF Schnell unter 10 Sekunden Partiell / Voll (Flooding), alle 30 Min. Classless Ja Nein Nein
Integrated IS – IS Schnell unter 10 Sekunden Partiell / Voll (Flooding), alle 15 Min. Classless Ja Nein Nein
Balanced Hybrid
EIGRP Sehr Schnell unter 3 Sekunden Partiell, nur bei Bedarf (Änderungen) Classless Ja Nein Nein
Protokolle Geroutete Protokolle Pfade / Infinite Metrik Authentifizierung Designfähig Cisco Proprietär ? - Cast
Distance Vektor Der Updates
RIP IP / IPX Maximal 16 Hops Nein Nein Nein Broadcast
RIP Version 2 IP / IPX Maximal 16 Hops Ja Nein Nein Multicast
IGRP IP / IPX 4294967295 Ja Nein Ja
Link State
Hello & Death Intervall, 1xdeath =
OSPF IP Ja Ja Nein Multicast
4xhello
Integrated IS – IS IP / Ipv6 / CLNP Ja Ja Nein Multicast
Balanced Hybrid
EIGRP IP / IPX / DDP / Ipv6 4294967295 * 256 Ja Ja Ja
Protokolle Algorithmus Administrative Distanzen Protokolle Algorithmus Administrative Distanzen
Distance Vektor Link State
RIP Bellman-Ford-Algorithmus 120 OSPF Dijkstra Algorithm 110
RIP Version 2 120 Integrated IS – IS 115
IGRP 100 Balanced Hybrid
Diffusing Update 90 intern / 170 extern / summary route
EIGRP
Algorithm 5
61
Leitungsarten, -geschwindigkeiten und –längen:

CSU/DSU Connector Stecker Pin-Anzahl


EIA/TIA 232 TIA 25
EIA/TIA 449 TIA 37
EIA/TIA 530 TIA 25
X.21 ITU 34
V.35 ITU 15

Max. Speed:
Distanz in Meter (m)
EIA/TIA 232 EIA/TIA 449
Data (bps) EIA/TIA 530
V.35
X.21
2 400 60 1250
4 800 30 625
9 600 15 312
19 200 15 156
38 400 15 78
115 200 3,7 -
T1 (1 544 000) - 15

WAN Speed:
Art des Kabels Name Signaltyp Bit Rate
56 DS0 56 kbps
(with 1 robbed bit of 8
=> 8 Byte sind 56 Bit)
64 DS0 64 kbps
T1 DS1 1,544 Mbps 24 DS0s
+ 8 kbps Overhead
T3 DS3 44,736 Mbps 28 DS1s
+ management
overhead
E1 ZM 2,048 Mbps 32 DS0s
E3 M3 34,064 Mbps 16 E1s
+ management
overhead
J1 Y1 2,048 Mbps 32 DS0s
(Japanischer Standard)

SONET Speed:
(SONET = Synchronous Optical Network -> optische Verbindungen -> Glasfaser…)
Optischer Träger Geschwindigkeit
gerunded
OC-1 52 Mbps
OC-3 155 Mbps
OC-12 622 Mbps
OC-48 2,4 Gbps
OC-192 9,6 Gbps
OC-768 40 Gbps
Dokumentation eines LAN

Was gehört in eine Dokumentation?

Ein ordentlich dokumentiertes Netzwerk ist für Netzwerker die beste Unterstützung. Gut dokumentierte
Netze sind leicht umzusetzen, da sämtliche Informationen gesammelt vorliegen.
Daher ist es wichtig, diese so ausführlich wie nötig und so knapp wie möglich zu halten. Die
Dokumentation umfasst in der Regel mehrere Seiten mit Soft- und Hardwarelistings aber auch ein
logischer Netzwerkplan (vorzugsweise A3 laminiert) ist wichtig, besonders wenn ein bestehendes LAN
erweitert oder geändert werden soll.

Hier ein Überblick welche Informationen in der Dokumentation zu finden sein sollten:

 Topologie des Netzwerkes (logischer Netzplan)


 Subnetze
 Lageplan und Standorte der Anschlussdosen und Endgeräte (physischer Netzplan)
 Internet Zugang (Provider, IPs ...)
 E-Mail Accounts
 Rechnerkonfigurationslisten (Im Überblick, keine sicherheitskritischen Details)
 Telekommunikationsanlagen
 Glossar

Was Sie ebenfalls erfassen sollten:

 PC-Hardware (Server und Clients)


Netzteil(e), Lüfterart und -anzahl , Mainboard, RAM, CPUs, Steckkarten, Festplatten und
andere Laufwerke, Monitore, Tastaturen, Zeigegeräte, externe Komponenten
 PC-Software (Server und Clients) Betriebssystem mit Servicepacks, Anwendersoftware,
Treiber
 Netzwerkkomponenten: Netzwerkdrucker, Router, Switches, Patchfelder ...
 Konfiguration der Netzwerkkomponenten im Überblick keine sicherheitskritischen Details

Wo fange ich an?

Das sieht im ersten Moment nach viel Arbeit aus. Ist es auch. Doch wenn Sie strukturiert vorgehen,
dauert die Dokumentation des LAN nicht lange. Wenn Sie die Dokumentation noch vor der
Realisierung des LAN beginnen, werden Sie mit der Umsetzung schneller vorankommen, da Ihnen
sämtliche Informationen gesammelt vorliegen und Sie sich die Zeit zum Suchen und Grübeln
ersparen.

Sie werden auf den letzten Seiten eine Beispieldokumentation finden und auch eine Checkliste,
welche Ihnen die Arbeit erleichtern werden.
*Die Checkliste sende ich Ihnen als Exceltabelle

Wie detailliert muss das sein?

Schwere Frage. Grundsätzlich sollte die Dokumentation so detailliert sein, dass Ihr Nachfolger / Ihre
Vertretung ohne größere Schwierigkeiten das LAN übernehmen und administrieren kann.
Andererseits ist diese Informationsfülle einem „Eindringling“ ebenfalls sehr hilfreich. Sie sollten also
sicherheitskritische Informationen in einer gesonderten Dokumentation festhalten, die weder im
Server- / Adminraum ausliegt, noch in elektronischer Form auf einem Server / Rechner vorliegt.
Sichern Sie sicherheitsrelevante Informationen auf einem Wechseldatenträger (CD, DVD ...), welcher
im feuerfesten Safe liegt. Ein Exemplar in Papierform darf zur Verwendung ruhig daneben liegen.
Vielleicht liegt hier ja auch das Backup der Netzwerkhardware- und Serverkonfigurationen.

Zu guter letzt...

Schreiben Sie Ihre Dokumentation so, dass auch ein „weniger qualifizierter“ Kollege sie versteht.
Wichtig ist, dass Sie mit Hilfe von Glossar und Fußnoten erklären, was Sie realisiert haben, wo und
warum es so realisiert wurde. Häufig ergeben sich in solchen Momenten noch Ideen zur
Verbesserung des LAN.

63
Beispiel

Ein Unternehmen expandiert und bezieht neue Räumlichkeiten. Es handelt sich hierbei um eine
Anzeigenzeitung, die das Gelände auf dem sich die Druckerei befindet, verlässt. Zwischen der
Geschäftsstelle und der Druckerei soll eine VPN-Verbindung realisiert werden. In der Geschäftstelle
sind Dockingstationen für die Notebooks der Außendienstmitarbeiter vorhanden, so dass nur wenige
feste Clients vorhanden sind. Das LAN der Geschäftsstelle soll ebenfalls dokumentiert werden. Die
Druckerei wird minimal dokumentiert, da hier keine Änderungen vorgenommen werden, außer dem
VPN.

Logischer Netzplan (Erster Entwurf mit dem Packet Tracer)

Logischer Netzplan mit Subnetzinformationen

*Wenn Sie jetzt anfangen die Geräte zu konfigurieren, haben Sie schon wesentlich weniger Arbeit, da
alle LAN relevanten Informationen bereits vor Ihren Augen sind. Wenn die Konfiguration (inklusive
Grundkonfiguration: Hostname, SSH/HTTPS Zugang, DNS ...)bis zu diesem Punkt realisiert worden
ist, testen Sie sie. Sicherheitsfeatures werden später hinzugefügt um Fehlersuche zu minimieren.

64
Lageplan

Wie Sie sehen, ist der Standort jeder Netzwerkkomponente eingezeichnet. Dies sollten Sie ebenfalls
noch mal als Liste anfertigen. Nicht jeder kommt mit Lageplänen zurecht.

Beispiel:

Switch 0 R 1.102 19“ Rack


Router HQ R 1.102 19“ Rack
Server 0 R 1.102 19“ Rack
PC 0 R 1.103 Schreibtisch vor Fenster
...

Nun ist eine Liste mit den physikalischen Interfacebelegungen erforderlich, Sie wollen doch sicherlich
nicht durch „Ausprobieren“ das richtige Kabel finden, oder?

Gerät - Quellinterface Gerät - Zielinterface Informationen


Switch 0 - Fa 0/1 Router HQ - Fa 0/1 Trunkverbindung
Switch 0 - Fa 0/2 Server 0 - NIC VLAN 10
Switch 0 - Fa 0/3 Printer 0 - NIC VLAN 5 - FE 16
Switch 0 - Fa 0/4 PC 0 - NIC VLAN 5 - FE 12
Switch 0 - Fa 0/5 PC 2 - NIC VLAN 5 - FE 11
Switch 0 - Fa 0/6 PC 1 - NIC VLAN 5 - FE 10
Switch 0 - Fa 0/7 Dock 1 VLAN 5 - FE 13
Switch 0 - Fa 0/8 Dock 2 VLAN 5 - FE 14
Switch 0 - Fa 0/9 Dock 3 VLAN 5 - FE 15
Switch 0 - Fa 0/10 Besprechungsraum 1.1 VLAN 5 - FE 19
Switch 0 - Fa 0/11 Besprechungsraum 1.2 VLAN 5 - FE 20
Switch 0 - Fa 0/12 Besprechungsraum 1.3 VLAN 5 - FE 21
Switch 0 - Fa 0/13 Besprechungsraum 1.4 VLAN 5 - FE 22
Switch 0 - Fa 0/24 Admin-Notebook-NIC VLAN 2 - FE 18
Router HQ - Fa 0/0 TELCO Telcoanschluss-Serverraum

Wenn Sie Sicherheitsfeatures wie Port-Security verwenden, sollten Sie sich ebenfalls die Mac-
Adressen Ihrer Netzwerkkomponenten notieren, da Sie im Falle einer Austausch NIC entweder die
„alte“ Mac in die NIC schreiben müssen, oder die „neue“ Mac dem Switch mitteilen müssen.

65
Internetzugang

Hier notieren Sie die relevanten Informationen, die Sie von Ihrem ISP erhalten haben. Änderungen
müssen hier sofort eingepflegt werden. Sie können diese Informationen in der regulären
Dokumentation hinterlegen, sofern Sie Ihre Firewall und andere Sicherheitsmaßnahmen konfiguriert
haben.

Beispiel:

Provider: TELCO Ltd


IP: 78.183.207.5
SM: 255.255.255.252
Account: xyz987
Passwort: abc123

Mail-Accounts

Diese Accounts vervollständigen Ihre Dokumentation. Wenn Sie einen Mailserver betreiben, sollten
Sie die Accounts zur Dokumentation des Servers legen.

Beispiel:

info@firma.de Serverdaten: pop... smtp ... User: xyz PW: abc


Zugang: Frau Meier PC 1, Herr Müller PC 0
...

Rechnerkonfigurationslisten

Legen Sie eine Liste mit den Rechnerkonfigurationen an. Hier wird eingetragen, welche IPs und
Gateways verwendet werden, DHCP und DNS, Zugriffsberechtigungen und sonstige Dienste.

Beispiel:

PC0 IP 172.16.5.2, SM: 255.255.255.192, GW: 172.16.5.1, DNS 172.16.10.2, kein DHCP.
Vollzugriff auf Server 0, löst Versand an Druckerei aus.
Dienste: FTP, HTTP, HTTPS, POP3 und SMTP

PC 1 IP 172.16.5.3, SM: 255.255.255.192, GW: 172.16.5.1, DNS 172.16.10.2, kein DHCP.


Vollzugriff auf Server 0.
Dienste: HTTP, HTTPS, POP3 und SMTP

PC 2 IP 172.16.5.4, SM: 255.255.255.192, GW: 172.16.5.1, DNS 172.16.10.2, kein DHCP.


Vollzugriff auf Server 0.
Dienste: HTTP, HTTPS, POP3 und SMTP

Serv 0 IP 172.16.10.2, SM: 255.255.255.252, GW: 172.16.10.1, DNS 172.16.10.1, kein DHCP.
Überträgt Druckdaten per SSH/SCP durch VPN Tunnel.
Dienste: SSH/SCP, POP3 und SMTP

TK-Anlagen

Sollte eine TK-Anlage in Betrieb sein, empfiehlt es sich auch hier die relevanten Daten zu
dokumentieren. Relevante Daten sind z.B. welcher Port bedient welche Durchwahl, welcher Bus wird
von welchen Leitungen genutzt.....

66
Netzwerkhardware

Hier dokumentieren Sie Ihre Netzwerkhardware. Welche Geräte sind im Einsatz, wie ist die
Ausstattung der Geräte, werden Ports gespiegelt, oder Subinterfaces genutzt...auch Kabel werden
hier aufgeführt, mit Längen- und Typbezeichnung.
Hier können Sie auch Konfigurationshinweise (NAT, Routingprotokolle...) hinterlegen.

Gerät Cisco 2811 Router

Grundausstattung 128 MB Ram, 256 MB Flash, Fastethernet 2 Ports


Konsolen Port, Aux Port, CF Schnittstelle, 2 USB 2.0 Ports
IOS Version 12.4 T
Erweiterungen keine

Konfigurationshinweise Fastethernet 0/0 ist die Outside-Schnittstelle und auch der IPSec Tunnelendpunkt
Fastethernet 0/1 ist mit 3 Subinterfaces versehen.
Fa 0/1.1 ist das Administrative Subinterface, wird nicht geroutet
Fa 0/1.5 ist dem VLAN 5 zugeordnet und das Inside Interface für das NAT
Fa 0/1.10 ist dem VLAN 10 zugeordnet und wird zum IPSec Tunnel geroutet
Allen Interfaces ins ACLs implementiert, sowie IDS und Firewall
SSH und HTTPS können zum Administrieren verwendet werden.
Zugansdaten sind in der Security-Doku hinterlegt.
OSPF mit Updateauthentifikation wird als Routingprotokoll genutzt.

Gerät Cisco 2960 Switch

Grundausstattung 24 Port 100 Mbit + 2 Gigabitport Switch, Konsolen Port


IOS Version12.4 T

Erweiterungen keine

Konfigurationshinweise Bis auf Port Fa 0/1 sind alle Ports im Access Modus,
Fa 0/1 ist ein Trunk ohne Beschränkungen
Alle Ports außer Fa 0/24 sind im VLAN 5, Fa 0/24 ist im VLAN 2
VLAN 2 ist das administrative VLAN

Gerät HP Laserjet 9999 N

Grundausstattung Laserdrucker mit 64 MB Ram,


Postscriptfähig, Prozessor 600 MHz .....
100 Mbit Network Interface Card und Printserver-Feature
Erweiterungen Duplexeinheit, Extrapapierfach 1500 Blatt

Konfigurationshinweise keine Besonderheiten. IP: 172.16.5.62 /26 GW: 172.16.5.1

67
Soft- und Hardwaredokumentation

Seit Windows XP ist es für den Admin schwierig ein Image von einem bestehenden Rechner
anzulegen, da neue Hardwarekomponenten im Ersatzrechner erheblich Probleme bereiten. Oft
funktioniert das Image nicht auf dem Ersatzrechner, besonders wenn das Mainboard einen völlig
anderen Chipsatz verwendet. Deshalb ist es wichtig die Hardware so vollständig wie möglich zu
dokumentieren, um bei Bedarf, einen „identischen“ Ersatzrechner einsetzen zu können.

Bei der Serverhardware ist es besonders wichtig jede Komponente zu dokumentieren, um im Falle
einer Störung das Serverkonzept nochmals zu überprüfen und ggf. abzuändern.

Gleichzeitig kann diese Liste als Inventurliste genutzt werden und auch im Falle von Serviceverträgen
dem Dienstleister zur Verfügung gestellt werden.

Bezeichnung PC 0 Seriennr.

Hardware intern
Netzteil Hiper HI-T 485, 450 W, 120mm Lüfter 123456
Lüfteranzahl 2
Lüfter 1 Gehäusefront, 92mm, Zalmann XY12
Lüfter 2 Gehäuserückseite, 92mm, Zalmann XY12
Mainboard Gigabyte GA-ABi945P, Intel i945P Chipset abc645
Mainboard 4 S-ATA, 1 IDE, 1 Floppy, Gigabit LAN (Marvell AB12),
Mainboard Intel Graphicsi945 XY 128 MB shared, 4 USB 2.0
CPU Intel Core2Duo E6550, 2MB Cache 6544df
RAM 1 GB (2 x 512) DDR 2 800 Kingston ABC3 4774, 5575
PCIe-Karten 0
PCI-Karten 0
Anzahl HDD 1
HDD 1 Samsung ABC 123 S-ATA2 160 GB efg456
Anzahl optische
LW 1
Optisch 1 TEAC DVD-Rom ABC987 987654
Anzahl sonstige
LW 1
Laufwerk 1 TEC XYZ 3,5" Floppy 3210

Hardware extern
Anzahl Monitore 1
Monitor Acer x223W, 22" TFT, analog xyzabc12
Tastatur Logitech ABC 54545
Zeigegerät Logitech XYZ 123987
Anzahl Drucker 0
Sonstige Peripherie 1
USB Scanner HP Scanner BLA hijk45

Software
Betreibssystem Windows XP Professional
Servicepacks Service Pack 2 + Updates bis 11.04.2008
Treiberversionen stand 11.04.2008, Backup auf
Treiber Server0
Antivirus Kaspersky Antivir Pro
Anti-Spyware XP-Antispy
Anwendersoftware MS-Office 2007, Adope Creative Suite XY

68
Glossar

Der mühseligste Teil der Dokumentation und gleichzeitig auch einer der wichtigsten. Sie können nicht
davon ausgehen, dass jeder in der Lage ist, Ihre Kürzel und Bezeichnungen zu verstehen. Auch ist
nicht jeder Admin ein geschulter Netzwerker, häufig sind es Quereinsteiger, die fachlich top sind, aber
die Netzwerkterminologie kaum kennen.

Beispiel:

Mac-Adresse Eindeutige Hardwareadresse jedes Netzwerkgerätes. Wird von Switches zum


weiterleiten der Daten gelesen.

NIC Network Interface Card - Ihre Netzwerkkarte, meist Bestandteil des Mainboards

Gateway Logische Netzwerkadresse an die der Host alle Daten sendet, die nicht in seinem
Subnetz sind.

Subnetz Logische Einteilung eines Netzwerksegments. Alle Hosts in einem Subnetz können
ohne Router miteinander kommunizieren. Broadcasts erreichen alle Teilnehmer des
Subnetzes.

NAT NetworkAddressTranslation - übersetzt private IP-Adressen in öffentliche IP-Adressen

IPS Intrusion Prevention System - Cisco Lösung zur Ergänzung der Firewall, verhindert
Eindringen ins Netz auf z.B. Protokollebene.

IDS Intrusion Detection System - Cisco Lösung zur Ergänzung der Firewall, erkennt und
meldet Eindringlinge im Netz.

ACL Access Control List - IP- und Portbasierte Zugriffskontrolle


...

Die Security-Dokumentation

Hier „dürfen“ Sie alle sicherheitsrelevanten Informationen hinterlegen.

Was sind sicherheitsrelevante Informationen?

Beispiel:

 Userdaten, wie Accountname und Passwort. Hierzu gehören auch die Zugangsdaten der
Netzwerkgeräte.
 Verschlüsselungsmethoden und deren Schlüssel.
 Updateauthentifikationen der Netzwerkkomponenten (Routingupdates, Antivirupdates ...).
 VPN-Tunneldaten: IPs der Tunnelendpunkte, VPN Kennworte/Zertifikate, gültige VPN User ...
 Firewall, IDS, IPS und ACL Konfiguration.

Abschluss

Achten Sie darauf Ihr Netzwerk in kleinen Abschnitten zu konfigurieren und testen Sie nach jedem
Abschnitt, ob die volle Funktionalität gegeben ist. Erzeugen Sie grundsätzlich Backups von Ihren
Konfigurationen, auch von den Zwischenschritten. So können Sie immer „einen Schritt zurück“ gehen.
Sicherheitsfeatures sind immer die letzten Schritte der Konfiguration und häufig auch die größte
Fehlerquelle. Sichern Sie, wenn alles so arbeitet wie geplant, die Konfigurationsdateien Ihrer
Netzwerkgeräte und Hosts.

69
Konfigurationsmodule Cisco Router

Router (Standardkommando vor Verlassen)


copy running-config startup-config Kopiert Konfiguration aus RAM in FLASH

Hostname
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#hostname Router1 Setzt den Hostnamen

Telnet-Passwort
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#line vty 0 4 Wechselt zu den Telnet Lines 0 bis 4
(config-line)#password tel_pw Setzt das Telnet Kennwort
(config-line)#login Aktiviert die Kennwortabfrage

Konsolen-Passwort
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#line console 0 Wechselt zum Konsolenzugang
(config-line)#password con_pw Setzt das Konsolenkennwort
(config-line)#login Aktiviert die Kennwortabfrage

Enable Password & Secret


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#enable password cisco1 Setzt das unverschlüsselte Enable Kennwort
(config)#enable secret cisco Setzt das verschlüsselte Enable Secret
Benutzer anlegen
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#username NUTZER password PW Legt NUTZER mit Kennwort PW an

SSH
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip domain-name domä.ne Erzeugt den Domänennamen domä.ne
(config)#line vty 0 4 Wechselt zu den vty lines 0 bis 4
(config-line)#login local Lokale Nutzer und Kennworte werden verwendet
(config-line)#transport input telnet ssh Aktiviert den SSH und Telnet Zugang auf den VTYs
(config-line)#exit Verlässt das Submenü
(config)#crypto key generate rsa Aktiviert SSH und erzeugt ein RSA Schlüsselpaar

DNS Nutzung
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#no ip domain-lookup Deaktiviert DNS Anfragen
ODER
(config)# ip domain-lookup Aktiviert DNS Anfragen

Kennwortverschlüsselung
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#service password-encryption Gesetzte und zukünftige Kennworte werden verschlüsselt hinterlegt
ODER
(config)#no service password-encryption Kennworte werden unverschlüsselt hinterlegt

71
HTTP aktivieren (CMD/SMD)
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip http server Aktiviert den HTTP-Server auf dem Gerät
(config)#ip http server secure Aktiviert den Secure HTTP-Server (SSL) auf dem Gerät

Show Befehle
>enable Wechselt in den privileged mode
#show running-config Zeigt die aktuelle Konfiguration
#show version Zeigt die aktuelle IOS Version
#show users Zeigt angemeldete Nutzer
#show sessions Zeigt aktive Sitzungen
#show cdp CDP Status Informationen
#show cdp traffic CDP Traffic Informationen
#show cdp neighbors CDP Nachbar Informationen
#show cdp entry CDP Geräte Eintrag
#show cdp interface CDP Interface Informationen
#show ip interface brief Liefert einen globale Überblick über die Interfaces
#show ip interface status Liefert eine Statusübersicht der Interfaces
#show ip interface fastethernet 0/1 Zeigt Informationen zum Interface fastethernet 0/1
#show ip route Zeigt die Routing-Tabelle an
#show ip protocols Zeigt Routing Informationen

Interfacekonfiguration
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#interface fa 0/1 Wechselt zum Interface Fastethernet 0/1
(config-if)#ip add 192.168.11.2 255.255.255.0 Definiert IP-Adresse auf Interface
(config-if)#no shutdown Aktiviert das Interface
(config-if)#exit Eine Ebene abwärts
(config)#interface serial 0/1 Wechselt zum seriellen Interface 0/1
(config-if)#ip add 192.168.12.2 255.255.255.0 Definiert IP-Adresse auf Interface
(config-if)#encapsulation hdlc Setzt das Protokoll der seriellen Schnittstelle auf HDLC*

72
ODER
(config-if)#encapsulation ppp Setzt das Protokoll der seriellen Schnittstelle auf PPP**
ODER
(config-if)#encapsulation frame-relay Setzt das Protokoll der seriellen Schnittstelle auf Frame-Relay***
(config-if)#clock rate 64000 Setzt die Leitungsgeschwindigkeit auf DCE-Seite auf 64 KBps
(config-if)#bandwith 128 Setzt die Bandbreiteninformation auf 128 KBps
(config-if)#no shutdown Aktiviert das Interface

*Ist Standard, **Weitere Konfigurationsschritte möglich, ***Weitere Konfigurationsschritte nötig


Subinterfaces
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#interface fa 0/1.1 Wechselt zum SubInterface Fastethernet 0/1.1
(config-subif)#encapsulation dot1Q 1 Definiert Trunkart 802.1Q und VLAN ID auf Subinterface
ODER
(config-subif)#encapsulation isl 1 Definiert Trunkart ISL und VLAN ID auf Subinterface
(config-subif)#ip add 192.168.11.2 255.255.255.0 Definiert IP-Adresse auf Interface
(no shutdown wird auf HauptInterface gesetzt)

Frame-Relay
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#interface serial 0/1 Wechselt zum seriellen Interface 0/1
(config-if)#ip add 192.168.12.2 255.255.255.0 Definiert IP-Adresse auf Interface
(config-if)#encapsulation frame-relay Setzt das Protokoll der seriellen Schnittstelle auf Frame-Relay
(config-if)#frame-relay interface-dlci 476 Definiert DLCI 476 auf diesem Interface
(config-if)#frame-relay map ip 192.168.101.10 499 broadcast Bindet Remote IP an DLCI und verteilt BC Informationen
(config-if)#no shutdown Aktiviert das Interface

73
PPP
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#interface serial 0/1 Wechselt zum seriellen Interface 0/1
(config-if)#ip add 192.168.12.2 255.255.255.0 Definiert IP-Adresse auf Interface
(config-if)#encapsulation ppp Setzt das Protokoll der seriellen Schnittstelle auf PPP
(config-if)#ppp authentification pap Aktiviert PAP
(config-if)#ppp pap sent-username NUTZER password PW Definiert PAP Benutzerauthentifikation
ODER
(config-if)#ppp authentification chap Aktiviert CHAP
(config-if)#ppp multilink Aktiviert Multilink
(config-if)#no shutdown Aktiviert das Interface

Statische Routen
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip route 10.20.30.0 255.255.255.0 192.168.0.17 Definiert Route in 10.20.30.0 Netz über Next-Hop 192.168.0.17
ODER
(config)#ip route 10.20.30.0 255.255.255.0 serial 0/0 Definiert Route in 10.20.30.0 Netz über Ausgangsinterface s0/0

Gateway of last resort


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.17 Setzt die Default Route
ODER
(config)#ip default-network 192.168.0.17 Setzt die Default Route

RIP
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#router rip Aktiviert RIP und wechselt ins Router-Submenü
(config-router)#network 12.0.0.0 Fügt das Netzwerk zu RIP hinzu (Classfull)
(config-router)#network 172.16.0.0 Fügt das Netzwerk zu RIP hinzu (Classfull)

74
RIP Version 2
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#router rip Aktiviert RIP und wechselt ins Router-Submenü
(config-router)#version 2 Aktiviert RIPv2
(config-router)#network 12.0.0.0 Fügt das Netzwerk zu RIP hinzu (Classfull)
(config-router)#network 172.16.0.0 Fügt das Netzwerk zu RIP hinzu (Classfull)

RIP Show Befehle


>enable Wechselt in den privileged mode
#show ip rip database Zeigt die RIP Datenbank
#debug ip rip Zeigt RIP Aktivitäten in Echtzeit

OSPF
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#router OSPF 4711 Aktiviert OSPF, vergibt PID 4711 und wechselt ins Router-Submenü
(config-router)#network 12.0.0.0 0.0.255.255 area 1 Fügt das 12.0.0.0 /16 Netz zur OSPF Area 1 hinzu
(config-router)#network 172.20.0.0 0.0.0.255 area 1 Fügt das 172.20.0.0 /24 Netz zur OSPF Area 1 hinzu
(config-router)#no auto-summary Deaktiviert die Autosummary Funktion
(config-router)#exit Eine Ebene abwärts
(config)#interface fa 0/1 Wechselt zum Interface Fastethernet 0/1
(config-if)#ip ospf cost 25 Definiert OSPF Kosten von 25 (max 65535)
(config-if)#ip ospf hello-interval 3 Definiert OPSF Hello-Interval 3 Sekunden
(config-if)#ip ospf dead-interval 12 Definiert OSPF Dead-Interval 12 Sekunden
(config-if)#ip ospf priority 17 Setzt die OSPF Priorität auf 17 (0-255 ist möglich)
(config-if)#ip ospf authentication message-digest Setzt & aktiviert OSPF Authentifikation auf MD verschlüsselt
ODER
(config-if)#ip ospf authentication Setzt & aktiviert OSPF Authentifikation ohne MD
(config-if)#ip ospf authentication-key bis8zeic Nicht-MD-Kennwort wird gesetzt (8 Zeichen Maximal)
ODER
(config-if)#ip ospf message-digest-key 6 md5 bis16zeichen MD Kennwort mit Key ID 6, MD5 verschlüsselung wird gesetzt

75
OSPF Troubleshooting Befehle
>enable Wechselt in den privileged mode
#show ip ospf Zeigt Grundlegende Infos zu OSPF
#show ip ospf interface Zeigt OSPF Infos aller Interfaces
#show ip ospf interface fastethernet 0/0 Zeigt OSPF Infos dieses Interfaces
#show ip ospf border-routers Zeigt ABR Informationen
#show ip ospf neighbor Listet alle Nachbarn auf
#show ip ospf neighbor detail Detailierte Liste der Nachbarn
#show ip ospf database Zeigt die OSPF Datenbank
#clear ip route * Löscht die gesamte Routing Tabelle
#clear ip route 10.0.0.0 Entfernt die Route aus der Routing Tabelle
#clear ip ospf process Leert den OSPF Prozess komplett (Nachbarn,Topologie, Routing)

EIGRP
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#router eigrp 2 Aktiviert EIGRP, setzt die AS 2 und wechselt ins Router-Submenü
(config-router)#network 12.0.0.0 0.0.255.255 Fügt das Netz zu EIGRP hinzu
(config-router)#network 172.20.0.0 0.0.0.255 Fügt das Netz zu EIGRP hinzu
(config-router)#no auto-summary Deaktiviert die Autosummary Funktion

EIGRP Troubleshooting
>enable Wechselt in den privileged mode
#show ip eigrp neighbors Zeigt Infos zu EIGRP Nachbarn
#show ip eigrp topology Zeigt EIGRP Topologie
#show ip eigrp interfaces Zeigt alle EIGRP Interfaces
#show ip eigrp interfaces 5 Zeigt alle EIGRP Interfaces aus AS 5
#show ip eigrp traffic Zeigt EIGRP Traffic Infos
#debug eigrp packet Zeigt Echtzeitinformationen zu EIGRP Paketen
#debug eigrp neighbor Zeigt Echtzeitinformationen zu EIGRP Nachbarn

76
Standard ACL
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)#access-list 2 deny host 10.1.2.1 Definiert ACL 2 (standard) Verbot für Host 10.1.2.1
(config)#access-list 2 permit any Umgeht deny any welches automatisch gesetzt wird
(config)#interface ethernet 0 Wechselt zum Interface
(config-if)#ip access-group 2 in Bindet die ACL in eingehende Richtung an Interface

Extended ACL
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)#access-list 102 deny tcp host 10.1.2.1 any eq tftp Definiert ACL 102 (ext) TFTP Verbot für Host 10.1.2.1
(config)#access-list 102 deny tcp host 10.1.2.1 any eq 80 Definiert ACL 102 (ext) HTTP Verbot für Host 10.1.2.1
(config)#access-list 102 permit ip any any Umgeht deny any any welches automatisch gesetzt wird
(config)#interface ethernet 0 Wechselt zum Interface
(config-if)#ip access-group 102 in Bindet die ACL in eingehende Richtung an Interface

Named ACL
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)#ip access-list extended ERNA Erstellt eine Extended ACL mit Namen ERNA, wechsel in Submenü
(config-ext-nacl)#deny tcp host 10.1.2.1 any eq 80 Verbietet Host Zugriff auf HTTP
(config-ext-nacl)# permit ip any any Umgeht deny any any welches automatisch gesetzt wird
(config-ext-nacl)#exit Eine Ebene abwärts
(config)#interface ethernet 0 Wechselt zum Interface
(config-if)#ip access-group ERNA in Bindet die ACL in eingehende Richtung an Interface

77
NAT (Standard)
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)# interface ethernet 0 Wechselt zum Interface
(config-if)# ip nat inside Definiert Interface als Inside Interface
(config-if)# exit Eine Ebene abwärts
(config)# interface serial 1 Wechselt zum Interface
(config-if)# ip nat outside Definiert Interface als Outside Interface

>enable Wechselt in den privileged mode


# show running-config Zeigt aktuelle Konfiguration
# show ip nat translations Zeigt NAT übersetzungen
# show ip nat statistics Zeigt NAT Statistiken
#clear ip nat translations * Leert die gesamte NAT Tabelle
#clear ip nat translations inside IP outside IP Leert die NAT Tabelle entfernt bestimmte in/out IP

Statisches NAT (eine private IP wird in genau eine öffentliche IP übersetzt)


>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)# ip nat inside source static 172.16.0.100 72.21.0.100 Übersetzt 172.16.0.100 privat in 72.21.0.100 öffentlich
(config)# ip nat inside source static 172.16.0.105 72.21.0.105 Übersetzt 172.16.0.105 privat in 72.21.0.105 öffentlich
... …
(config)# ip nat inside source static 172.16.0.110 72.21.0.110 Übersetzt 172.16.0.110 privat in 72.21.0.110 öffentlich

Dynamisches NAT (ein Gruppe privater IPs auf POOL öffentlicher IPs übersetzen)
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)# access-list 1 permit 172.16.0.0 0.0.255.255 Welche Gruppe von privaten IPs wird genattet (Standard ACL)
(config)# ip nat pool N_POOL 72.21.0.100 72.21.0.105 netmask 255.255.0.0 Einen Pool an öffentlichen IPs definieren
(config)# ip nat inside source list 1 pool N_POOL Verbinden von privater Gruppe mit öffentlichem Pool

78
overloading NAT with PAT (eine Gruppe von privaten IPs wird auf eine öffentliche IP übersetzt)
>enable Wechselt in den privileged mode
#configure terminal Wechselt in den globalen Konfigurationsmodus
(config)# access-list 1 permit 172.16.0.0 0.0.255.255 Welche Gruppe von privaten IPs wird genattet (Standard ACL)
(config)# ip nat inside source list 1 interface S1 overload Verbinden von privater Gruppe mit OUTSIDE INTERFACE

Konfigurationsmodule Cisco Switches

Switches (Standardkommando vor Verlassen)


copy running-config startup-config Kopiert Konfiguration aus RAM in FLASH

Hostname
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#hostname switch1 Setzt den Hostnamen

Benutzer anlegen
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#username NUTZER password PW Legt NUTZER mit Kennwort PW an

SSH
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip domain-name domae.ne Erzeugt den Domänennamen domä.ne
(config)#line vty 0 4 Wechselt zu den vty lines 0 bis 4
(config-line)#login local Lokale Nutzer und Kennworte werden verwendet
(config-line)#transport input telnet ssh Aktiviert den SSH und Telnet Zugang auf den VTYs
(config-line)#exit Verlässt das Submenü
(config)#crypto key generate rsa Aktiviert SSH und erzeugt ein RSA Schlüsselpaar

79
Telnet-Passwort
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#line vty 0 4 Wechselt zu den vty lines 0 bis 4
(config-line)#password tel_pw Setzt das Telnet Kennwort
(config-line)#login Aktiviert die Kennwortabfrage

Konsolen-Passwort
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#line console 0 Wechselt zum Konsolenzugang
(config-line)#password con_pw Setzt das Konsolenkennwort
(config-line)#login Aktiviert die Kennwortabfrage

Enable Password & Secret


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#enable password cisco1 Setzt das unverschlüsselte Enable Kennwort
(config)#enable secret cisco Setzt das verschlüsselte Enable Secret

VLANS definieren (1)


>enable Wechselt in den privileged mode
#VLAN database Wechselt in das VLAN Submenü
(vlan)#VLAN2 name VLAN 2 Legt VLAN2 mit dem Namen VLAN2 an

VLANS definieren (2)


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#vlan 2 Legt VLAN2 an und wechselt in VLAN Submenü
(config-vlan)#name VLAN2 Bennent das VLAN

80
VLANS adressieren
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#int vlan2 Wechselt zum Interfacce VLAN 2
(config-if)#ip add 192.168.11.2 255.255.255.0 Definiert IP auf VLAN2
(config)#int vlan3 Wechselt zum Interfacce VLAN 3
(config-if)#ip add 192.168.11.3 255.255.255.0 Definiert IP auf VLAN3
(config)#int vlan4 Wechselt zum Interfacce VLAN 4
(config-if)#ip add 192.168.11.4 255.255.255.0 Definiert IP auf VLAN4
* Der no shutdown Befehl sollte nur auf dem Administrativen VLAN gesetzt
werden.

VTP Operationen
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#vtp mode server Setzt den VTP Modus auf Server*
ODER * VLAN Informationen werden verteilt, auch neue VLANS
(config)#vtp mode client Setzt den VTP Modus auf Client**
ODER **VLAN Informationen werden angenommen, aber nicht gespeichert
(config)#vtp mode transparent Setzt den VTP Modus auf Transparent***
***VLAN Informationen werden weitergeleitet und gespeichert,neue VLANS nicht
(config)#vtp domain TESTDOM Setzt die VTP Domäne auf TESTDOM
(config)#vtp domain password vtp_pw Setzt das Domänenkennwort

VLAN an Interface binden


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#int fa 0/5 Wechselt zum Interface
(config-if)#switchport access vlan2 Bindet VLAN2 an Interface
(config-if)#no shut Fährt Interface hoch
(config)#int fa 0/6 Wechselt zum Interface
(config-if)#switchport access vlan3 Bindet VLAN3 an Interface
(config-if)#no shut Fährt Interface hoch

81
Interface Modus setzen
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#int fa 0/5 Wechselt zum Interface
(config-if)#switchport mode trunk Versetzt das Interface in den Trunk-Modus
ODER
(config-if)#switchport mode access Versetzt das Interface in den Access-Modus*
ODER *(für Endgeräte verwenden)
(config-if)#switchport mode dynamic auto Interface verhandelt mit Gegenstelle über Modus**
ODER ** (wenn beide Seiten auf Auto stehen wird kein Trunk geformt)
(config-if)#switchport mode dynamic desirable Interface verhandelt mit Gegenstelle(Trunk wird vorgeschlagen)
(config-if)#spanning-tree portfast ALT!!! Aktiviert Portfast auf dem Interface (Nur auf IFs zu Hosts setzen)
ODER
(config)#spanning-tree portfast default Aktiviert Portfast auf allen Access-Ports
Port Security
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#int fa 0/5 Wechselt zum Interface
(config-if)#switchport port-security mac-address sticky "Klebt" die erste empfangene MAC an das Interface
ODER
(config-if)#switchport port-security mac-address MAC Bindet die MAC an das Interface
(config-if)#switchport port-security violation shutdown Definiert shutdown als Aktion bei Fehlerhafter MAC*
ODER * Standard Einstellung
(config-if)#switchport port-security violation protect Definiert Protect als Aktion bei Fehlerhafter MAC**
ODER ** Frame wird verworfen, aber keine Log-Meldung
(config-if)#switchport port-security violation restrict Definiert Restrict als Aktion bei Fehlerhafter MAC**
*** Frame wird verworfen & Log-Meldung
(config-if)#switchport port-security maximum 2 Definiert Zahl der MAC, die an Interface gebunden werden können
(config-if)#switchport port-security Aktiviert Port Security
Etherchannel
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#interface range fa 0/1 - 4 Wechselt zur Range Fastethernet Port 1 - 4
(config-if-range)#channel-group 1 mode on Aktiviert auf der Range den Etherchannel 1

82
DNS Nutzung
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#no ip domain-lookup Deaktiviert DNS Anfragen
ODER
(config)# ip domain-lookup Aktiviert DNS Anfragen

Kennwortverschlüsselung
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#service password-encryption Gesetzte und zukünftige Kennworte werden verschlüsselt hinterlegt
ODER
(config)#no service password-encryption Kennworte werden unverschlüsselt hinterlegt

Spanning Tree
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
Setzt die Bridge Priorität für VLAN 2 auf 4096 (immer ein
(config)#spanning-tree vlan 2 priority 4096 Vielfaches)
(config)#spanning-tree mode pvst Aktiviert den PerVlanSpanningTree
ODER
(config)#spanning-tree mode rapid-pvst Aktiviert den PerVlanRapidSpanningTree
ODER
(config)#spanning-tree mode mst Aktiviert den MultipleInstancesSpanningTree

HTTP aktivieren (CMD/SMD)


>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#ip http server Aktiviert den HTTP-Server auf dem Gerät
(config)#ip http server secure Aktiviert den Secure HTTP-Server (SSL) auf dem Gerät

83
CDP
>enable Wechselt in den privileged mode
#conf t Wechselt in den globalen Konfigurationsmodus
(config)#cdp run Globale aktivierung von cdp
(config)#int fa 0/3 Wechselt zum Interface
(config-if)#cdp enable Aktiviert CDP auf Interface
(config-if)#cdp timer Sendeintervall von CDP-Messages
(config-if)#cdp holdtime Paket-halte-Zeit von CDP
STRG+Z Wechselt zum privileged mode
#clear cdp table Leert die CDP Einträge

Show Befehle
>enable Wechselt in den privileged mode
#show running-config Zeigt die aktuelle Konfiguration
#show version Zeigt die aktuelle IOS Version
#show ip interface brief Liefert einen globale Überblick über die Interfaces
#show ip interface status Liefert eine Statusübersicht der Interfaces
#show ip interface fastethernet 0/1 Zeigt Informationen zum Interface fastethernet 0/1
#show vlan (database) Zeigt Informationen zu den Vlans (alter Befehl)
#show vlan brief Globale Informationen zu den VLANS
#show vlan status Statusinformationen zu den VLANS
#show vlan id 2 Zeigt nur von VLAN 2 Informationen, nach id
#show vlan name vlan0002 Zeigt nur von VLAN 2 Informationen, nach name
#show spanning-tree Liefert detailierte Informationen zum STP
#show users Zeigt angemeldete Nutzer
#show sessions Zeigt aktive Sitzungen
#show cdp CDP Status Informationen
#show cdp traffic CDP Traffic Informationen
#show cdp neighbors CDP Nachbar Informationen
#show cdp entry CDP Geräte Eintrag
#show cdp interface CDP Interface Informationen
#show etherchannel Zeigt Informationen zu allen Etherchannels

84