Sie sind auf Seite 1von 117

Schnellkurs Rechnernetze

Prof. Dr. Thomas Specht


T.Specht@hs-mannheim.de

Hochschule Mannheim University of Applied Sciences


Lernen per Inverted Classroom

• Was ist das?


 bislang
• habe ich den Stoff als Frontveranstaltung präsentiert
• Sie haben zugehört und den Stoff zu Hause vertieft
 Inverted Classroom
• Sie lernen den Stoff anhand meines Skripts (+ Literatur) zu Hause
• ich beantworte aufgelaufene Fragen in der Vorlesung
• Für welche Kapitel der Vorlesung?
 1. Schritt: Kapitel Rechnernetze
• Warum?
 ist eigentlich Stoff des Moduls EI (Einführung in die Informatik)
 Zeitersparnis in der Vorlesung
 Erprobung innovativer Lernformen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 2


Gliederung

1. Grundbegriffe
2. OSI-Referenzmodell
3. TCP/IP-Modell

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 3


Grundbegriffe: Kabel- und Funkverbindungen

• Rechnernetz
 verbindet mehrere Rechner miteinander über Kabel oder Funk
 LAN (Local Area Network): Campusgebunden (Gebäude, Unternehmen, Uni)
 WLAN (Wireless LAN): Drahtloses, funkbasiertes LAN
 WAN (Wide Area Network): Globales Netz (Internet)
 Subnetz (Subnet): Teil eines Rechnernetzes, z.B. für Gebäude / Stockwerk
• Internetanbindung über Kupfer-Telefonkabel
 DSL (Digital Subscriber Line): Digitale Datenübertragung über Telefonkabel
 ADSL (Asymmetric DSL): Höhere Empfangs- als Sendebandbreite
 VDSL (Very High Speed DSL): Übertragungsbandbreite ≥25 Mbit/s
• DSL-Modem (DSL Modulator / Demodulator)
 wandelt digitale Datenpakete in analoge Signale auf Telefonleitung um
 Modulation: digital  analog (Senden)
 Demodulation (analog  digital)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 4


Grundbegriffe: Internet und Intranet

• Internet
 weltweite Verbindung von lokalen Rechnernetzwerken (LANs)
 globaler Informations- und Datenaustausch
 öffentlich zugänglich
• Intranet: Unternehmensinternes Informations- und Datennetz
 lokaler Informationsaustausch innerhalb eines Unternehmens
 Zugriff nur für Autorisierte (z.B. Mitarbeiter des Unternehmens / einer Abteilung)
• mit Login und Passwort geschützt
• oft sogar nur innerhalb des Unternehmensnetzes oder per VPN
 Typische Inhalte:
• Organisationsstruktur
• Telefonliste
• Informationen der Verwaltung, des Betriebsrats …
• Formulare (Dienstreisen, Beantragung von Visitenkarten …)
• Wiki für unternehmensinternen Informationsaustausch
• selbe Technologien (TCP/IP, HTTP, HTML …)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 5


Grundbegriffe: Passive Komponenten (mechanisch)

• Netzwerkkabel mit –steckern


 Kupferkabel (bis 10Gbit/s, preiswert, leicht zu verlegen)
 Glasfaserkabel (ab 10 Gbit/s, teuer, aufwändig zu verlegen)
• Netzwerksteckdosen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 6


Grundbegriffe: Aktive Komponenten (elektronisch) 1/2

• Netzwerkkarte
 im Computer eingebaut, oft im Chipsatz integriert
 fast immer nach Ethernet-Standard
• WLAN-Karte
 im Computer / Tablet / Smartphone eingebaut, oft im Chipsatz integriert
• WLAN Access Point (Sender / Empfänger für WLAN-Zugang)
 Reichweite max. 2-3 Wände, max. 1 Stahlbetondecke

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 7


Grundbegriffe: Aktive Komponenten (elektronisch) 2/2

• Switch
 mehrere Computer an eine Ethernetdose anschließen („Netzwerk-Verteiler“)
• Router
 verbindet LANs untereinander und mit dem WAN
• Anbindung von Etagen / Gebäuden ans Rechenzentrum
• Anbindung des Rechenzentrums ans Internet
 zielabhängiges Routing von Datenbakten („Navi für Datenpakete“)
• DSL-Modem
 Internetanbindung über Telefonkabel
 ADSL: bis 16 MBit  veraltet
 VDSL: bis 250 MBit (per Vectoring)
• DSL-Router vereint
 DSL-Modem zur IP-Anbindung über Telefonnetz
 einfacher Router
 Switch (meist für 4 Geräte)
 WLAN Access Point
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 8
Gliederung

1. Grundbegriffe
2. OSI-Referenzmodell
3. TCP/IP-Modell

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 9


OSI-Referenzmodell

Schicht (Layer) Technische


Aufgaben
Nr Name Realisierung
7 Anwendung Anwendung Anwendung
(Application) (WWW, FTP, Remote Login …)
6 Darstellung Datenformate, Kompression,
(Presentation) Verschlüsselung Anwendungs-/
Middleware-
5 Sitzung Prozesskommunikation, Synchronisation, Protokoll
(Session) Sitzungsmanagement
4 Transport Segmentierung in Datenpakete,
(Transport) End-zu-End-Verbindung Quell-  Zielrechner TCP/IP-
Protokollstack
3 Vermittlung Punkt-zu-Punkt-Vermittlung von Paketen, (Betriebssystem)
(Network) Routing
2 Sicherung Fehlerfreie Datenblockübertragung,
(Data Link) Zugriff auf Übertragungsmedium Netzwerkkarte
(Hardware)
1 Bitübertragung Physikalische Übertragung von Datenbits
(Physical)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 10


OSI-Referenzmodell: Beispieltechnologien

Schicht (Layer)
Beispieltechnologien
Nr Name
7 Anwendung HTML, FTP, E-Mail, Web Services
(Application)
6 Darstellung
(Presentation) HTTP/HTTPS, FTP, SMTP, IMAP, SOAP, REST,
5 Sitzung VPN (Virtual Private Network)
(Session)
4 Transport TCP (Transmission Control Protocol),
(Transport) UDP (User Datagram Protocol)
3 Vermittlung IP (Internet Protocol)
(Network)
2 Sicherung
(Data Link)
Ethernet, WLAN, VDSL, GSM/LTE
1 Bitübertragung
(Physical)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 11


Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 12


Bitübertragungsschicht: Aufgaben

• Übertragung einzelner Bits und Bytes über


 Funk (WLAN 400/600/866/1733 Mbit/s)

 Kupferkabel (Ethernet: 1 Gbit/s, künftig 10 Gbit/s)

 Glasfaserkabel (≥ 10Gbit/s)

 Telefonkabel (ADSL: ≤ 16 Mbit/s, VDSL 50/100/250 MBit/s)


Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 13
Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 14


Sicherungsschicht: Aufgaben

• Nutzdaten
 in einzelne zu übertragende Frames (Blöcke) aufteilen
• Frames
 beim Senden
• mit Prüfsumme versehen
• mit Start- und Ziel-MAC-Adresse versehen  nächste Folie
 per OSI-Schicht 1(Bitübertragungsschicht)
• versenden
• über Switches anhand Ziel-MAC-Adresse zum Zielrechner weiterleiten
 nicht routingfähig
 funktioniert nur innerhalb eines lokalen Netzes (d.h. IP-Subnetzes)
 beim Empfang
• Prüfsummenfehler erkennen
 und in Grenzen beheben
• keine Neuanforderung fehlerhafter Datenpakete
 muss auf OSI-Schicht 3 (Netzwerkprotokoll) erfolgen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 15


MAC-Adresse

• MAC: Medium Access Control


 Zugangssteuerung und eindeutige Adressierung auf OSI Schicht 2
 jede Netzwerkkarte hat MAC-Adresse als eindeutige Kennung
• hardwaregebunden
• ändert sich nicht bei Standortwechsel
• MAC-Adresse im Ethernet
 6 Byte, dargestellt im Format hh:hh:hh:hh:hh:hh (h=Hexadezimalziffer)
Hersteller Fortlaufende Seriennummer
• erste 3 Byte: Herstellerkennung (z.B. gehört 98:e7:43:xx:xx:xx Dell)
• zweite 3 Byte: Fortlaufende Seriennummer
 Sonderfall
• ff:ff:ff:ff:ff:ff
 Broadcast an alle erreichbaren Netzwerkkarten
 natürlich nur im eigenen lokalen Netz (d.h. IP-Subnetz)
 weil nicht routingfähig

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 16


MAC-Adresse: Vergabe

• jeder Hersteller reserviert sich ≥1 Herstellerkennung (erste 3 Byte)


• physikalische Netzwerkkarte (Ethernet, WLAN)
 weltweit eindeutige MAC-Adresse
• aus Pool des Hardware-Herstellers
• Kennung (letzte 3 Bytes) fortlaufend vom Hersteller vergeben
• virtuelle Netzwerkkarte (z.B. einer VM)
 im lokalen Netz eindeutige MAC-Adresse
• aus freigegebenem Pool des Hypervisor-Anbieters
• Vergabe:
 statisch: Anwender konfiguriert MAC-Adresse manuell
 dynamisch: Hypervisor vergibt automatisch freie MAC-Adresse
 Beispiele
• Hyper-V-Netzwerkkarten:
 00:15:5d:xx:xx:xx statisch oder dynamisch konfigurierte MAC-Adressen
• VMWare-Netzwerkkarten:
 00:50:56:xx:xx:xx statisch konfigurierte MAC-Adressen
 00:0c:29:xx:xx:xx dynamisch konfigurierte MAC-Adressen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 17


MAC-Adresse: Verwendung

• Start- und Ziel-MAC-Adresse in jedem versendeten Frame (Datenpaket)


• Zugangsbegrenzung
 MAC-Adressen aller erlaubten Geräte im Switch registrieren
 nicht registrierten MAC-Adressen wird Netzzugang verweigert
 sinnvoll z.B. für WLANs
• Frames in Switches auf korrekte Netzwerkbuchse weiterleiten
 und so dem Zielrechner zustellen
• MAC-Adresse abfragen
 Windows: ipconfig /all
 Linux: ifconfig
 zu einer IP-Adresse: per ARP (Address Resolution Protocol)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 18


Unmanaged Switches

Uplink zum
Angeschlossene
Router
Geräte

• Switch als einfacher Netzwerkverteiler


 schachtelbar  nicht empfehlenswert aus Performancegründen
• Endgerät (Rechner, Drucker …) an Switch-Buchse angeschlossen
 Switch erkennt und lernt an Buchse angeschlossenes Gerät automatisch:
• max. Übertragungsgeschwindigkeit
• MAC-Adresse (sobald Endgerät ersten Frame verschickt)
• Unmanaged Switches brauchen nicht konfiguriert werden
 Switch schaltet eingehende Frames (Datenpakete) nur auf eine Buchse durch
• weiß, an welcher Buchse welche MAC-Adresse eines Geräts hängt
• entlastet angeschlossenes Gerät von irrelevanten Datenpaketen
• Ausnahme: Broadcast an alle angeschlossenen Geräte
• Uplink führt zum Router (oder übergeordnetem Switch)
 moderne Switches erkennen Buchse mit Uplink automatisch
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 19
Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 20


Vermittlungsschicht: Aufgaben

• Nutzdatenpakete zwischen zwei Endgerät (Rechnern) übertragen


 beschränkte Größe der Datenpakete (ca. 1.5 kByte)
 mit Prüfsumme abgesichert
• zusätzlich zur Prüfsumme auf OSI-Schicht 2
• fehlerhafte Datenpakete werden
 erkannt
 bei nicht korrigierbaren Fehlern erneut angefordert
 Standardprotokoll: IP (Internet Protocol)
• andere Protokolle behandeln wir nicht
• Endgerät (Rechner) eindeutig identifizieren
• Routing im Internet
 Router leiten Datenpakete standortübergreifend durchs Netz

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 21


IP (Internet Protocol)

• eindeutige Adressierung und Routing auf OSI-Schicht 3


 zwischen lokalen Netzen (IP-Subnetzen)
• daher der Name Internet (zwischen Netzen)
• jedes Endgerät (Rechner) hat IP-Adresse als eindeutige Kennung
 an Unternehmen / Standort gebunden
• jedes Unternehmen hat eigenen zusammenhängenden IP-Adressbereich
 ändert sich bei Standortwechsel
• z.B. hat mein Laptop zu Hause ganz andere IP-Adresse als an Hochschule
 IP-Adresse
• IPv4 (4 Byte), z.B.: 192.168.178.1
• IPv6 (16 Byte), z.B.: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344
• Routing im Internet
 Router leiten Datenpakete anhand Ziel-IP-Adresse durchs Netz

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 22


Knappe IPv4-Adressen

• zunehmende Vernetzung in Unternehmen


 Computer an praktisch jedem Arbeitsplatz, Mobilgeräte
 Gebäudeautomation (Heizung, Kühlung, Beleuchtung, Verdunkelung, Alarm)
 Vernetzung der Produktionsanlagen, Industrie 4.0
 Voice over IP löst klassisches Telefonnetz ab
• zunehmende Vernetzung in Privathaushalten
 Mobilgeräte (Tablet PC, Smartphone)
 Netzwerkspeicher, privat betriebene Server
 Unterhaltungselektronik (Smart-TV, Internet-Radio, Streaming)
 Voice over IP löst klassisches Telefonnetz ab
 Haushaltsgeräte (E-Herd, Waschmaschine, Mikrowelle)
 Hausautomation (Rollläden, Lampen, Heizung, Videoüberwachung)

IPv4-Adressen werden knapp, kaum noch freie Adressbereiche

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 23


IPv4 und IPv6

• IPv4: "alte" Version des Internet Protocol


 seit 1983 im Einsatz
 Länge: 4 Byte
• 2564 ≈ 4,294 Mrd. IP-Adressen  weltweit nicht ausreichend
• knappen Adressraum umgehen u.a. mit NAT
 genauer: SNAT-Masquerading
 z.B.: 192.168.178.1
• IPv6: "neue" Version des Internet Protocol
 seit 1998 standardisiert
 Länge: 16 Byte
• reicht ewig, auch für Internet of Things
 z.B.: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344
 diverse Mängel
• unausgereift
• fehlerhafte Implementierungen
• geringe Praxisrelevanz
 deshalb in dieser Vorlesung nicht berücksichtigt
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 24
IPv4-Adressen

• jede IP-Adresse besteht aus


 Netzanteil (identifiziert Netz, in dem Rechner hängt, z.B. Firma oder Abteilung)
 Hostanteil (identifiziert Rechner innerhalb des Netzes)
• ursprünglich nur Class A, B und C-Netze
Class Adressaufbau Subnetzmaske
1. Byte 2. Byte 3. Byte 4. Byte
A %0 7 Bit Netzanteil 24 Bit Hostanteil 255.0.0.0
B %10 14 Bit Netzanteil 16 Bit Hostanteil 255.255.0.0
C %110 21 Bit Netzanteil 8 Bit Hostanteil 255.255.255.0
 Class A-Netze: max. 224-2* = 16 777 214 Rechner im Subnetz
 Class B-Netze: max. 216-2* = 65 534 Rechner im Subnetz
 Class C-Netze: max. 28-2* = 254 Rechner im Subnetz
 abzüglich
• .0 repräsentiert das Subnetz
• .255 Broadcast an alle Subnetz-Mitglieder
• auf Dauer zu unflexibel

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 25


IPv4-Adressen: CIDR

• neuerdings Classless Inter-Domain Routing (CIDR)


 flexible bitweise Aufteilung zwischen Netzanteil und Hostanteil
• Anzahl Bits des Netzanteils spezifiziert durch CIDR-Suffix /nn
 nn entspricht Anzahl I-Bits in Subnetzmaske
• restliche Bits (32-nn) für Hostanteil
 Notation für Subnetze
• Netzadresse.0.0/nn
Basisadresse Hostanteil 0 CIDR-Suffix

 Beispiele
172.17.0.0/16 16 Bit Netz, 16 Bit Host Subnetzmaske 255.255.0.0
192.168.178.0/24 24 Bit Netz, 8 Bit Host Subnetzmaske 255.255.255.0
172.17.48.64/28 28 Bit Netz, 4 Bit Host Subnetzmaske 255.255.255.240

vordere 4 Bit (128er, 64er, 32er, 16er): Netzanteil


hintere 4 Bit (8er, 4er, 2er, 1er): Hostanteil
Subnetz umfasst IP-Adressen 172.17.48.65 - 172.17.48.79

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 26


IPv4-Adressen: Beispiel

• privates Subnetz hinter einem DSL-Router


 Subnetz: 192.168.178.0/24
 Subnetz-Maske: 255.255.255.0
 Basisadresse: 192.168.178.0
 Gateway (Router): 192.168.178.1
 verfügbar für Endgeräte: 192.168.178.2 - 192.168.178.254
 Broadcast-Adresse: 192.168.178.255

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 27


ARP (Address Resolution Protocol)

• ermittelt zu einer IP-Adresse die zugehörige MAC-Adresse


 d.h. die physikalisch anzusprechende Netzwerkkarte des Zielrechners
 keine direkte Beziehung zwischen IP- und MAC-Adresse
• weder MAC-Adresse aus IP-Adresse ableitbar noch umgekehrt
 wenn Rechner den Standort wechselt (z.B. Büro  Home Office)
• bleibt MAC-Adresse konstant
• ändert sich IP-Adresse

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 28


ARP: Funktionsweise

• Rechner s mit IP-Adresse IPs und MAC-Adresse MACs


 möchte an Rechner e mit IP-Adresse IPe Datenpaket senden
• kennt dessen MAC-Adresse MACe nicht
• beide im selben IP-Subnetz
Nachricht an MAC-Adresse ff:ff:ff:ff:ff:ff
 alle Netzwerkkarten im Subnetz
→s sendet ARP Request als MAC Broadcast im gemeinsamen IP-Subnetz
• Inhalt: IPs, MACs, IPe
• jeder Empfänger im Subnetz prüft, ob er die IP-Adresse IPe hat
 wenn ja, erstellt und sendet er ARP Response mit
• eigener IPe, MACe
• an MACs (d.h. anfragenden Rechner s) oder an alle per Broadcast
→s empfängt ARP Response von e
• Inhalt: IPe, MACe
• speichert Zuordnung IPe MACe in lokalen ARP-Cache
 abfragbar mit arp -a
 Verfallszeit ca. 5 Minuten

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 29


ARP: Beispielablauf im Subnetz 192.168.178.0/24

Router (Gateway)
IP: 192.168.178.1
MAC: 21:3f:bb:17:11:31

Rechner
IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33
1: 192.168.178.144?
Rechner s Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
IP: 192.168.178.152
MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 30


ARP: Beispielablauf im Subnetz 192.168.178.0/24

Router (Gateway)
IP: 192.168.178.1
MAC: 21:3f:bb:17:11:31

Rechner
IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33

Rechner s Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

2: 192.168.178.144?
Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
IP: 192.168.178.152
MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 31


ARP: Beispielablauf im Subnetz 192.168.178.0/24

3: ARP Request Router (Gateway)


MAC: ff:ff:ff:ff:ff:ff IP: 192.168.178.1
IPs: 192.168.178.120 MAC: 21:3f:bb:17:11:31
MACs: 5e:fb:71:24:38:17
IPe: 192.168.178.144 Rechner
IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33

Rechner s Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
IP: 192.168.178.152
MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 32


ARP: Beispielablauf im Subnetz 192.168.178.0/24

4: Router (Gateway) MAC + ARP


IP: 192.168.178.1 nicht
MAC: 21:3f:bb:17:11:31 routingfähig

Rechner
4:
IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33

Rechner s Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse 4: MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
IP: 192.168.178.152
4: MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 33


ARP: Beispielablauf im Subnetz 192.168.178.0/24

Router (Gateway)
IP: 192.168.178.1
MAC: 21:3f:bb:17:11:31

Rechner
5: ARP Response IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33
MAC: 5e:fb:71:24:38:17
IPe: 192.168.178.144
Rechner s MAC: 47:3b:25:14:31:11 Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
IP: 192.168.178.152
MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 34


ARP: Beispielablauf im Subnetz 192.168.178.0/24

Router (Gateway)
IP: 192.168.178.1
MAC: 21:3f:bb:17:11:31

Rechner
IP: 192.168.178.13
MAC: 47:3a:ca:e7:71:33

Rechner s Rechner e
IPs: 192.168.178.120 IPe: 192.168.178.144
MACs:5e:fb:71:24:38:17 MACe:47:3b:25:14:31:11

6. in ARP-Cache eintragen
Rechner
ARP-Cache von Rechner s IP: 192.168.178.151
IP-Adresse MAC-Adresse MAC: 31:5f:ab:a7:1c:81
192.168.178.1 21:3f:bb:17:11:31
192.168.178.151 31:5f:ab:a7:1c:81
192.168.178.152 41:af:7b:47:13:22 Rechner
192.168.178.144 47:3b:25:14:31:11 IP: 192.168.178.152
MAC: 41:af:7b:47:13:22

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 35


Zuordnung von IP-Adressen an Endgeräte

• statisch konfiguriert
 IP-Adresse beim Rechenzentrum anfordern
• muss eindeutig sein
• muss im Subnetz des betreffenden Routers liegen
 manuell in Netzwerkkonfiguration des Rechners eintragen
 Vorteil: IP-Adresse ändert sich nicht  wichtig für Server
• dynamisch per DHCP (Dynamic Host Configuration Protocol)
 für jedes Subnetz mindestens ein DHCP-Server, der IP-Adresspool verwaltet
 DHCP-Server weist jedem Rechner beim Booten dynamische IP-Adresse zu
• kein Aufwand mit manueller IP-Adressvergabe
• in verschiedenen Umgebungen nutzbar (daheim, Büro, Flughafen, Hotspots)
• gängige Praxis
 Server und Peripheriegeräte statisch konfigurieren
 Mitarbeiterrechner (Desktops, Laptops, alle Mobilgeräte) per DHCP

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 36


Zuweisung DHCP-Adresse an Endgerät 1/4

Endgerät 1 Endgerät 2 Endgerät 3


IP: - IP: 192.168.178.101 IP: 192.168.178.114
MAC: 5e:fb:71:24:38:17 MAC: 5e:fb:71:23:31:47 MAC: 5e:fb:71:84:37:84

DHCP DISCOVER
Broadcast

IP-Adresspool: 192.168.178.101 - 192.168.178.199


IP-Adresse MAC-Adresse
DHCP Server 192.168.178.101 5e:fb:71:23:31:47
IP: 192.168.178.20
MAC: 5e:fb:81:27:19:11
192.168.178.114 5e:fb:71:84:37:84

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 37


Zuweisung DHCP-Adresse an Endgerät 2/4

Endgerät 1 Endgerät 2 Endgerät 3


IP: - IP: 192.168.178.101 IP: 192.168.178.114
MAC: 5e:fb:71:24:38:17 MAC: 5e:fb:71:23:31:47 MAC: 5e:fb:71:84:37:84

DHCP OFFER:
192.168.178.102 IP-Adresspool: 192.168.178.101 - 192.168.178.199
IP-Adresse MAC-Adresse
DHCP Server 192.168.178.101 5e:fb:71:23:31:47
IP: 192.168.178.20 192.168.178.102 5e:fb:71:24:38:17
MAC: 5e:fb:81:27:19:11
192.168.178.114 5e:fb:71:84:37:84

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 38


Zuweisung DHCP-Adresse an Endgerät 3/4

Endgerät 1 Endgerät 2 Endgerät 3


IP: 192.168.178.102 IP: 192.168.178.101 IP: 192.168.178.114
MAC: 5e:fb:71:24:38:17 MAC: 5e:fb:71:23:31:47 MAC: 5e:fb:71:84:37:84

DHCP REQUEST:
192.168.178.102 IP-Adresspool: 192.168.178.101 - 192.168.178.199
IP-Adresse MAC-Adresse
DHCP Server 192.168.178.101 5e:fb:71:23:31:47
IP: 192.168.178.20 192.168.178.102 5e:fb:71:24:38:17
MAC: 5e:fb:81:27:19:11
192.168.178.114 5e:fb:71:84:37:84

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 39


Zuweisung DHCP-Adresse an Endgerät 4/4

Endgerät 1 Endgerät 2 Endgerät 3


IP: 192.168.178.102 IP: 192.168.178.101 IP: 192.168.178.114
MAC: 5e:fb:71:24:38:17 MAC: 5e:fb:71:23:31:47 MAC: 5e:fb:71:84:37:84

DHCP ACK:
192.168.178.102 IP-Adresspool: 192.168.178.101 - 192.168.178.199
IP-Adresse MAC-Adresse
DHCP Server 192.168.178.101 5e:fb:71:23:31:47
IP: 192.168.178.20 192.168.178.102 5e:fb:71:24:38:17
MAC: 5e:fb:81:27:19:11
192.168.178.114 5e:fb:71:84:37:84

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 40


Zuweisung DHCP-Adresse an Endgerät: Ablauf

1. Endgerät (DHCP Client)


 DHCP DISCOVER Broadcast-Anfrage mit eigener MAC-Adresse senden
2. DHCP-Server
 in Zuordnungstabelle gültiges Lease für diese MAC-Adresse suchen
 wenn (noch) nicht vorhanden
• freie IP-Adresse für MAC-Adresse des Endgeräts vorreservieren
 DHCP OFFER an Endgerät mit angebotener IP-Adresse senden
3. Endgerät (DHCP Client)
 DHCP OFFER mit angebotener IP-Adresse vom DHCP-Server empfangen
 DHCP REQUEST an DHCP-Server senden  IP-Adresse akzeptieren
4. DHCP-Server
 IP-Adresse an MAC-Adresse des Endgeräts zuordnen
 DHCP ACK an Endgerät: IP-Adresse, Gateway, Subnetz-Maske, DNS-Server
5. Endgerät (DHCP Client)
 konfiguriert seine Netzwerkkarte entsprechend

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 41


DHCP: Lease

• "gemietete" Zuordnung einer IP-Adresse an eine MAC-Adresse (d.h. Endgerät)


 zeitlich befristete Lease Time ("Mietdauer")
• beginnt von neuem, wenn Endgerät mit Rechnernetz verbunden
• verfällt bei Nichtbenutzung nach konfigurierter Lease Time  wird ungültig
 Grund der zeitlichen Befristung
• knappe IP-Adressen aus DHCP-Adresspool effektiv ausnutzen
• selten genutzte Endgeräte blockieren keine IP-Adressen
• Konsequenzen
 IP-Adresse des Endgeräts kann sich im Laufe der Zeit ändern
• wenn Lease wegen Nichtbenutzung verfallen
 für Server und Drucker untauglich
• mögliche Abhilfe: Vorreservierung im DHCP-Server
 Zuordnung MAC-Adresse ↔ IP-Adresse fix konfigurieren
 Endgerät erhält vom DHCP-Server immer dieselbe (fixe) IP-Adresse

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 42


Router

Uplink zum Internet-Provider /


Interne
Seite Rechenzentrum

• verbindet internes Netz mit Internet-Provider oder Rechenzentrum


 via Uplink
• Spezialfall: DSL-Router
 Router mit eingebautem DSL-Modem
 Uplink über Telefonleitung statt über Ethernet
 oft kleiner Switch (4 Ports) mit eingebaut

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 43


Router: Funktionsweise

• Anschlüsse
 Uplink
• zum / vom Internet-Provider oder Rechenzentrum
 direkt am Router hängen meist nur Unter-Router / Switches
• Router-Anschlüsse kostbar und teuer
• Endgeräte (Rechner, Drucker …) indirekt über Switches angeschlossen
• IP-Adressen
 interne IP-Adressen liegen im vom Router verwalteten Bereich
• Netzanteil stimmt mit Router-Konfiguration überein
• max. Anzahl Endgeräte durch Netzklasse bzw. CIDR-Suffix vorgegeben
 externe IP-Adressen liegen nicht im vom Router verwalteten Bereich
• Netzanteil stimmt nicht mit Router-Konfiguration überein
• werden über Uplink zum übergeordneten Router weitergeleitet
• Routing-Tabellen
 legen fest, an welchen Router-Anschluss welche IP-Adressbereiche hängen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 44


Kleinunternehmen: 1 Subnetz mit Router

231.19.48.1

231.19.48.2 Uplink zum


Router
Uplink zum
Internet-Provider
231.19.48.4 Switch
Router
• zuständig für Class C-Netz 231.19.48
→ IP-Adressen, die mit 231.19.48 beginnen
liegen im eigenen Netz
231.19.48.7
→ alle anderen IP-Adressen müssen zum IP-
Class C-Netz Provider ("nach außen") geroutet werden
231.19.48.x • Subnetzmaske 255.255.255.0

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 45


Großunternehmen: Mehrere Subnetze, Router-Hierarchie

Router Rechenzentrum Uplink zum


231.19.x.y
IP-Provider

Abteilungsrouter Abteilungsrouter Abteilungsrouter Abteilungsrouter


231.19.48.1 231.19.49.1 231.19.50.1 231.19.51.1

Switch Switch

231.19.48.10 231.19.48.11 231.19.48.12 231.19.51.10 231.19.51.11

Eigener Router mit eigenem Subnetz für jede Abteilung

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 46


Heimnetz: 1 Subnetz, DSL-Router

192.168.178.100

Uplink zum
192.168.178.101 Internet-Provider

DSL-Router

192.168.178.10

• DSL-Router vereint
 DSL-Modem zur IP-Anbindung über Telefonnetz
 einfacher Router
 Switch (meist für 4 Geräte)
 WLAN Access Point

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 47


Rechner per IP-Adresse ansprechen 1/3

• Senderechner s mit IP-Adresse IPs und MAC-Adresse MACs:


 möchte Datenpaket an Empfängerrechner e mit IP-Adresse IPe senden
1. s prüft, ob e im selben IP-Subnetz
 per Subnetz-Maske Netzanteil aus IPs extrahieren und mit IPe vergleichen
2. falls im selben Subnetz (Details siehe vorige Folien)
a) falls IPe im lokalen ARP-Cache von s
• zugehörige MACe aus lokalem ARP-Cache auslesen
• Datenpaket an MACe schicken
b) falls IPe nicht im lokalen ARP-Cache von s
• zugehörige MACe per MAC Broadcast ermitteln
• Zuordnung IPe, MACe in lokalen ARP-Cache von s eintragen
• Datenpaket an MACe schicken

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 48


Rechner per IP-Adresse ansprechen 2/3

3. falls nicht im selben Subnetz


 e nicht per ARP auffindbar, weil nicht routingfähig
 deshalb Vermittlung per Router r nötig
• jedes Subnetz hat einen Router (auch als Gateway bezeichnet)
• meist IP-Adresse .1 im eigenen Subnetz
 Beispiel: IP-Subnetz 192.168.178.0/24 hat Gateway 192.168.178.1
a) s ermittelt aus seinen Netzwerkeinstellungen IP-Adresse des Routers IPr
b) s ermittelt MAC-Adresse des Routers MACr per ARP
• möglich, weil r im eigenen Subnetz
c) s sendet Datenpaket an MACr
• darin IPe weiterhin enthalten

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 49


Rechner per IP-Adresse ansprechen 3/3

d) Router r liest IPe aus und schaut in eigener Routing-Tabelle nach


• falls IPe in vom Router r verwaltetem Subnetz
 r ermittelt MACe per ARP
 r schickt Datenpaket an MACe
→ Ziel erreicht
• falls IPe nicht in vom Router r verwaltetem Subnetz
 Router r
• liest aus seiner Routing-Tabelle IP-Adresse IPfr des Folgerouters fr
• ermittelt MAC-Adresse des Folgerouters MACfr per ARP
• leitet Datenpakt an MACfr weiter
• weiter mit Schritt d) für Folgerouter fr

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 50


Routing: Beispiel

• Nutzer ruft auf seinem Arbeitsplatzrechner s


 IP-Adresse: IPs = 141.17.15.41
 MAC-Adresse: MACs = 14:67:45:31:f6:5f
• per Web Browser
 Sendeport: PORTs=14761
• die Webseite http://www.spechtshome.de auf
 www.spechtshome.de per DNS abgebildet auf IP-Adresse IPe = 231.15.67.31
 Webserver hat
• IP-Adresse: IPe = 231.15.67.31
• MAC-Adresse: MACe = fe:dc:54:13:89:1d
• Empfangsport: PORTe = 80
• und erhält Webseite index.html
 als Antwort auf seinem Browser-Port PORTs=14761

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 51


Routing: Beispielablauf 1/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r1
IPr1
MACr1

• s
 liest Gateway-Adresse IPr1 aus seiner Netzwerkkonfiguration
• ist zugleich 1. Router
 ermittelt per ARP MAC-Adresse MACr1 des 1. Routers
 sendet HTTP Request an MACr1
• MAC: Sender: MACs Empfänger: MACr1 (nächster Router r1)
• IP: Sender: IPs:PORTs Empfänger: IPe:PORTe (Web Server, Port 80)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 52


Routing: Beispielablauf 2/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r2
IPr2
MACr2

• r1
 prüft, ob IPe im eigenen Subnetz liegt  nein
 liest Folgerouter IPr2 auf dem Weg zu IPe aus seiner Routingtabelle
• ermittelt per ARP dessen MAC-Adresse MACr2
 ersetzt im HTTP Request auf MAC-Ebene
• Absenderadresse S durch seine eigene  MACr1
• Empfängeradresse E durch Folgerouter  MACr2
 lässt IP-Adressen für Sender S und Empfänger E unverändert
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 53
Routing: Beispielablauf 3/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r2
IPr2 IPr3 aus Routingtabelle, ARP IPr3  MACr3
MACr2
S: MACr2 E: MACr3 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r3
IPr3
MACr3

• r2
 prüft, ob IPe im eigenen Subnetz liegt  nein
 leitet HTTP Request anhand seiner Routing-Tabelle an r3 weiter

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 54


Routing: Beispielablauf 4/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r2
IPr2 IPr3 aus Routingtabelle, ARP IPr3  MACr3
MACr2
S: MACr2 E: MACr3 S: IPs:PORTs E: IPe:PORTe Nutzdaten
Router r3
IPr3 IPr3 und IPe gleiches Subnetz  ARP IPe  MACe
MACr3
S: MACr3 E: MACe S: IPs:PORTs E: IPe:PORTe Nutzdaten
Rechner e • r3 prüft, ob IPe im eigenen Subnetz liegt  ja
IPe  ermittelt MACe per ARP
MACe  sendet HTTP Request an MACe, sich selbst (MACr3) als Abs.
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 55
Routing: Beispielablauf Antwort 1/4

• e
 sendet HTTP Response zurück an MACr3
• MAC: Sender: MACe Empfänger: MACr3 (nächster Router r3)
• IP: Sender: IPe:PORTe Empfänger: IPs:PORTs (Browser, Port 14761)
 d.h. zurück an Absender des HTTP Request

Router r3
IPr3
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Rechner e
IPe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 56


Routing: Beispielablauf Antwort 2/4

• r3
 erkennt, dass IPs nicht im eigenen Subnetz
 sucht in seiner Routingtabelle nächsten Router in Richtung IPs
• findet IPr2
• erfragt per ARP MACr2 des Routers IPr2
 leitet Antwort an MACr2 weiter

Router r2
IPr2
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Rechner e
IPe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 57


Routing: Beispielablauf Antwort 3/4

• r2
 erkennt, dass IPs nicht im eigenen Subnetz
 findet in seiner Routingtabelle nächsten Router IPr1 in Richtung IPs
• erhält per ARP MACr1 des Routers IPr1 und leitet Antwort dorthin weiter
Router r1
IPr1
MACr1
S: MACr2 E: MACr1 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r2
IPr2 IPr1 aus Routingtabelle, ARP IPr1  MACr1
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Rechner e
IPe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 58


Routing: Beispielablauf Antwort 4/4
Rechner s • r1 erkennt, dass IPs im eigenen Subnetz
IPs  löst IPs per ARP in MACs auf und leitet Antwort dorthin weiter
MACs  Antwort an Browserport übergeben
S: MACr1 E: MACs S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r1
IPr1 IPr1 und IPs gleiches Subnetz  ARP IPs  MACs
MACr1
S: MACr2 E: MACr1 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r2
IPr2 IPr1 aus Routingtabelle, ARP IPr1  MACr1
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPs:PORTs Nutzdaten
Rechner e
IPe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 59


Managed Switches

Uplink zum
Angeschlossene
Router
Geräte

• arbeiten auf OSI-Schicht 2 und 3


 MAC-Adresse (Schicht 2) für
• Adressierung des Geräts (welches Gerät an welcher Buchse)
• gezieltes Ansprechen der entsprechenden Buchse
 IP-Adresse (Schicht 3) für
• Zuordnung eines Rechners zu VLANs (virtuellen LANs)
• Netzwerküberwachung
• Administration oft über Weboberfläche
• in Unternehmen ausschließlich Managed Switches
 zentral vom Rechenzentrum verwaltet und remote-überwacht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 60


Unmanaged vs. Managed Switches vs. Router

unmanaged managed Router


hat eigene IP-Adresse - ja
VLAN-Unterstützung - ja
mehrere Subnetze - nur per VLAN ja
Routing anhand IP-Adresse - ja
Netzwerküberwachung / Logging - ja
Ferndiagnose per Remote-Zugriff - ja
Konfigurationsaufwand - je nach Produkt sehr hoch
Angriffsmöglichkeiten für Hacker sehr gering hoch (per Remote-Zugriff)
Hardwareaufwand nur Netzwerkchips eingebauter Computer
Kosten geringer höher sehr hoch

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 61


Nochmal: Heimnetz: 1 Subnetz, DSL-Router

192.168.178.100

Uplink zum
192.168.178.101 Internet-Provider
IP-Adresse vom
DSL-Router Internet Provider:
192.168.178.1 231.15.67.31

192.168.178.10

• DSL-Router
 erhält vom Internet-Provider eine IP-Adresse, z.B. 231.15.67.31
• Grund: IP(V4)-Adressen knapp und teuer
 mappt alle Heimnetz-Geräte
• auf diese eine IP-Adresse per NAT (Network Address Translation)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 62


NAT (Network Address Translation)

• NAT: Network Address Translation


 Routing-bedingte Änderungen im Header von IP-Paketen (OSI-Schicht 3)
 ermöglicht Anbindung beliebig vieler (physikalischer oder virtueller) Endgeräte
• an nur eine IP-Adresse
• Anwendungsbeispiele
 DSL-Router beinalten NAT
• alle Endgeräte des Heimnetzes an Internet anbinden
• mit nur 1 vom IP-Provider bereitgestellten, weltweit eindeutigen IP-Adresse
 Virtualisierungsumgebungen (Hypervisoren) stellen NAT bereit
• alle VMs eines physikalischen Rechners ans LAN anbinden
• mit nur 1 Netzwerkkarte und 1 IP-Adresse des Host-Rechners
 Docker stellt NAT bereit
• alle Container eines Dockerized Host ans LAN anbinden
• mit nur 1 Netzwerkkarte und 1 IP-Adresse des Host-Rechners

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 63


Source NAT, Destination NAT

• Source NAT (SNAT)


 ersetzt Absenderadresse und -portnummer des IP-Pakets
 Spezialfall: Masquerading
• ersetzt
 Absenderadresse des IP-Pakets durch die des Routers
 Absenderportnummer durch freie Portnummer des Routers
• Anwendungsbeispiel: DSL-Router ("Fritzbox")
• Destination NAT (DNAT)
 ersetzt Zieladresse und -portnummer des IP-Pakets
 Spezialfall: Port Forwarding
• ersetzt
 Router-Zieladresse des IP-Pakets durch konkreten Rechner dahinter
 Router-Zielportnummer des IP-Pakets durch Portnummer des Zielrechners
• Anwendungsbeispiel: Portfreigaben in DSL-Router für
 Online-Spiele
 im Heimnetz betriebene Web Server

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 64


SNAT (Source NAT)

• oft einfach als NAT bezeichnet


 weil weitaus häufiger als DNAT
• bildet mehrere Source-Rechner s1, s2 … auf 1 IP-Adresse ab, damit diese
 IP-Datenpakete an Außenwelt (meist Internet) absenden können
 die zugehörigen Antwortpakete von außen empfangen können
• werden automatisch wieder dem Source-Rechner si zugeordnet
 umgekehrter Weg (Anfrage von Außenwelt) bei SNAT nicht vorgesehen
→ wäre DNAT (Destination NAT)  mit SNAT kombinierbar (Port Mapping)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 65


SNAT: Masquerading

• IP Masquerading: Spezialfall von SNAT


• für ausgehende IP-Anfragepakete des Source-Rechners s
 Absenderadresse IPs und -port PORTs
• ersetzen durch Adresse IPr plus freien Port PORTr des SNAT-Routers r
• Zuordnung IPs, PORTs ↔ PORTr gespeichert in SNAT-Tabelle
 um Antwortpaket dem ursprünglichen Rechner s zuordnen zu können
 für eingehende IP-Antwortpakete am Port PORTr des SNAT-Routers r
• aus SNAT-Tabelle IP-Adresse IPs und Port PORTs des Absender auslesen
 diesem die Antwort an PORTs zustellen
• falls keine Zuordnung in SNAT-Tabelle gefunden (und kein Port Mapping)
 IP Paket wegwerfen (unerwünschte Anfrage von außen)
 dadurch Rechner hinter SNAT relativ sicher gegen Angriffe
• ermöglicht Anbindung beliebig vieler Rechner über 1 IP-Adresse ans Internet
 dadurch Weiternutzung von IPv4 möglich
 oft werden diese Rechner auch gleich per DHCP mit IP-Adressen versorgt

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 66


SNAT: Masquerading: Anwendungsbeispiele

• DSL-Router ("Fritzbox")
 viele Source-Rechner des Heimnetzes
• auf 1 IP-Adresse des Internet-Providers abgebildet
• bekommen zugleich IP-Adresse per DHCP zugewiesen
 ausgehende Anfragen der Source-Rechner s über IPs, PORTs
• werden durch freien Port PORTr des DSL-Routers r ersetzt
• DSL-Router r
 ersetzt IPs, PORTs durch IPr, PORTr
 sendet Anfrage stellvertretend für s ins Internet
 empfängt Antwort auf diese Anfrage aus dem Internet
 leitet diese anhand SNAT-Tabelle an IPs, PORTs weiter
• ähnlich funktionieren
 bridge-Netzwerk, um n Docker-Container an 1 Dockerized Host anzubinden
 Internes Bridge-Netzwerk von Hypervisoren (z.B. Hyper-V)
• um n virtuelle Maschinen über 1 Netzwerkkarte an LAN / Internet anzubinden

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 67


SNAT Masquerading: Beispiel 1/2

• Nutzer ruft auf seinem Arbeitsplatzrechner s2 im Heimnetz hinter DSL-Router


 IP-Adresse: IPs2 = 192.168.178.112
 MAC-Adresse: MACs2 = 14:67:45:31:f6:5f
• per Web Browser
 Sendeport: PORTs2c =14761
• die Webseite http://www.spechtshome.de auf
 www.spechtshome.de per DNS abgebildet auf IP-Adresse IPe = 231.15.67.31
 Webserver hat
• IP-Adresse: IPe = 231.15.67.31
• MAC-Adresse: MACe = fe:dc:54:13:89:1d
• Empfangsport: PORTe = 80
• und erhält Webseite index.html
 als Antwort auf seinem Browser-Port PORTs=14761

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 68


SNAT Masquerading: Beispiel 2/2
Rechner s1 Rechner s2
IP: 192.168.178.113 IP: 192.168.178.112
MAC: 14:67:45:31:f6:5e MAC: 14:67:45:31:f6:5f
SNAT-Routing (Masquerading)
DSL-Router r1 via Gateway
IP: 231.15.67.31
MAC: 34:67:45:31:16:54
Routing
Router r2
IP: 214.15.67.31
MAC: 14:67:41:32:f6:5c
Routing
Router r3
IP: 231.15.67.1
MAC: 14:67:41:12:16:1d
ARP
Rechner e
IP: 231.15.67.31
MAC: fe:dc:54:13:89:1d

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 69


SNAT Masquerading: Beispielablauf 1/4
Rechner s1 Rechner s2
IPs1 IPs2
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs1 MACs2
S: MACs2 E: MACr1 S: IPs2:PORTs2c E: IPe:PORTe Nutzdaten
SNAT-Tabelle r1
Sender Router- SNAT-Rout. r1
IP PORT PORT IPr1
s1 s1a r1a MACr1
s1 s1b r1b
s2 s2a r1c
s2 s2b r1d

… … …

• s
 liest Gateway-Adresse IPr1 aus seiner Netzwerkkonfiguration
• zugleich SNAT-Router
 ermittelt per ARP MAC-Adresse MACr1 des SNAT-Routers
 sendet HTTP Request an MACr1
• MAC: Sender: MACs2 Empfänger: MACr1 (nächster Router r1)
• IP: Sender: IPs2:PORTs2c Empfänger: IPe:PORTe (Web Server, Port 80)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 70


SNAT Masquerading: Beispielablauf 2/4
Rechner s1 Rechner s2
IPs1 IPs2
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs1 MACs2
S: MACs2 E: MACr1 S: IPs2:PORTs2c E: IPe:PORTe Nutzdaten
SNAT-Tabelle r1
Sender Router- SNAT-Rout. r1
IP PORT PORT IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
s1 s1a r1a MACr1
s1 s1b r1b
S: MACr1 E: MACr2 S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
s2 s2a r1c
s2 s2b r1d Router r2
s2 s2c r1e IPr2
… … … MACr2
• r1
 ersetzt IP-Adresse und Port des Absenders IPs2:PORTs2c
• durch eigene IP-Adresse und eigenen freien Port IPr1:PORTr1e
• trägt Abbildung IPs2:PORTs2c  r1e in eigene SNAT-Tabelle ein
 liest Folgerouter IPr2 auf dem Weg zu IPe aus seiner Routingtabelle
• ermittelt per ARP dessen MAC-Adresse MACr2
 ersetzt im HTTP Request auf MAC-Ebene
• Absenderadresse S durch seine eigene  MACr1
• Empfängeradresse E durch Folgerouter  MACr2
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 71
SNAT Masquerading: Beispielablauf 3/4
Rechner s1 Rechner s2
IPs1 IPs2
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs1 MACs2
S: MACs2 E: MACr1 S: IPs2:PORTs2c E: IPe:PORTe Nutzdaten
SNAT-Tabelle r1
Sender Router- SNAT-Rout. r1
IP PORT PORT IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
s1 s1a r1a MACr1
s1 s1b r1b
S: MACr1 E: MACr2 S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
s2 s2a r1c
s2 s2b r1d Router r2
s2 s2c r1e IPr2
… … …
IPr3 aus Routingtabelle, ARP IPr3  MACr3
MACr2
S: MACr2 E: MACr3 S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
Router r3
IPr3
MACr3

• r2
 prüft, ob IPe im eigenen Subnetz liegt  nein
 leitet HTTP Request anhand seiner Routing-Tabelle an r3 weiter

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 72


SNAT Masquerading: Beispielablauf 4/4
Rechner s1 Rechner s2
IPs1 IPs2
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs1 MACs2
S: MACs2 E: MACr1 S: IPs2:PORTs2c E: IPe:PORTe Nutzdaten
SNAT-Tabelle r1
Sender Router- SNAT-Rout. r1
IP PORT PORT IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
s1 s1a r1a MACr1
s1 s1b r1b
S: MACr1 E: MACr2 S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
s2 s2a r1c
s2 s2b r1d Router r2
s2 s2c r1e IPr2
… … …
IPr3 aus Routingtabelle, ARP IPr3  MACr3
MACr2
S: MACr2 E: MACr3 S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
Router r3
IPr3 IPr3 und IPe gleiches Subnetz  ARP IPe  MACe
MACr3
S: MACr3 E: MACe S: IPr1:PORTr1e E: IPe:PORTe Nutzdaten
Rechner e • r3 prüft, ob IPe im eigenen Subnetz liegt  ja
IPe:PORTe
 ermittelt MACe per ARP
MACe
 sendet HTTP Request an MACe
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 73
SNAT Masquerading: Beispielablauf Antwort 1/4

• e
 sendet HTTP Response zurück an MACr3
• MAC: Sender: MACe Empfänger: MACr3 (nächster Router r3)
• IP: Sender: IPe:PORTe Empfänger: IPr1:PORTr1e
 d.h. zurück an SNAT

Router r3
IPr3
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Rechner e
IPe:PORTe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 74


SNAT Masquerading: Beispielablauf Antwort 2/4

• r3
 erkennt, dass IPr1 nicht im eigenen Subnetz
 sucht in seiner Routingtabelle nächsten Router in Richtung IPr1
• findet IPr2
• erfragt per ARP MACr2 des Routers IPr2
 leitet Antwort an MACr2 weiter

Router r2
IPr2
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Rechner e
IPe:PORTe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 75


SNAT Masquerading: Beispielablauf Antwort 3/4

• r2
 findet in seiner Routingtabelle Router IPr1
• erhält per ARP MACr1 des Routers IPr1 und leitet Antwort dorthin weiter

SNAT-Rout. r1
IPr1
MACr1
S: MACr2 E: MACr1 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Router r2
IPr2 IPr1 aus Routingtabelle, ARP IPr1  MACr1
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Rechner e
IPe:PORTe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 76


SNAT Masquerading: Beispielablauf Antwort 4/4
Rechner s1 Rechner s2 • r1 findet in seiner SNAT-Tabelle
IPs1 IPs2  Mapping PORTr1e  IPs2:PORTs2c
MACs1 MACs2  leitet Antwort dorthin weiter
S: MACr1 E: MACs2 S: IPe:PORTe E: IPs2:PORTs2c Nutzdaten
SNAT-Tabelle r1
Sender Router- SNAT-Rout. r1
IP PORT PORT IPr1 IPs2 aus SNAT-Tabelle r1, ARP IPs2  MACs2
s1 s1a r1a MACr1
s1 s1b r1b
S: MACr2 E: MACr1 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
s2 s2a r1c
s2 s2b r1d Router r2
s2 s2c r1e IPr2
… … …
IPr1 aus Routingtabelle, ARP IPr1  MACr1
MACr2
S: MACr3 E: MACr2 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Router r3
IPr3 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr3
S: MACe E: MACr3 S: IPe:PORTe E: IPr1:PORTr1e Nutzdaten
Rechner e
IPe:PORTe IPr3 aus Gateway-Eintrag, ARP IPr3  MACr3
MACe

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 77


DNAT (Destination NAT)

• teilt empfangene IP-Datenpakete 1 IP-Adresse IPe


 anhand Portnummer PORTe auf mehrere Empfänger f1 … fn auf, um
• empfangene Datenpakete an zuständigen Server weiterzuleiten
 ersetzt hierzu IPe:PORTe durch IPfi:PORTfi
 basierend auf DNAT-Tabelle
• Antwort des zuständigen Server via IPe an Absender zurückzuschicken
• für Aufrufer ist nur ein Server IPe sichtbar
 der die Last intern weiterverteilt
• Spezialfälle
 Portöffnung nach außen bei SNAT  Kombination von SNAT und DNAT
• gibt Server-Port hinter einem SNAT für Zugriff von außen frei
 Port Forwarding
• ein zentraler Empfangsrouter ersetzt
 Router-Zieladresse des IP-Pakets durch konkreten Rechner dahinter
 Router-Zielportnummer des IP-Pakets durch Portnummer des Zielrechners

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 78


DNAT: Port Mapping: Anwendungsbeispiele

• DSL-Router ("Fritzbox")
 kann Ports nach außen öffnen, z.B.
• Port 21 FTP Server
• Ports 80, 443: Web Server
• Port 3389: Remote Desktop
 Serverdienste von unterschiedlichen Rechnern des Heimnetzes erbringbar
• Aufrufer denkt, der DSL-Router habe seine Anfrage verarbeitet
 in Wirklichkeit war es ein interner Server
 von außen eingehende Anfragen werden
• stellvertretend für interne Server vom DSL-Router IPr empfangen
• anhand ihrer Portnummer PORTr per DNAT-Tabelle (Port Mapping)
 auf internen Server IPfi:PORTfi weitergeleitet und dort verarbeitet
• Antwort wird vom DSL-Router stellvertretend für internen Server IPfi
 über PORTr nach außen verschickt
 Gefahr: Portfreigaben nach außen ermöglichen Hackerangriffe
• ähnlich funktionieren
 Port Mappings von Docker-Containern
• um Zugriffe vom Dockerized Host zu ermöglichen
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 79
DNAT: Port Mapping: Beispiel 1/2

• Nutzer ruft auf seinem Bürorechner s


 IP-Adresse: IPs = 141.17.15.41
 MAC-Adresse: MACs = 14:67:45:31:f6:5f
• per Web Browser
 Sendeport: PORTs=14761
• die Webseite http://www.spechtshome.de auf
 www.spechtshome.de per DynDNS abgebildet auf
• IP-Adresse IPe = 231.15.67.31
• ist Adresse des DSL-Routers für das Heimnetz
 Web Server befindet sich im Heimnetz hinter dem DSL-Router
 Webserver läuft auf
• IP-Adresse: IPf2 = 192.168.178.11
• MAC-Adresse: MAC2 = fe:dc:54:13:89:1d
• Empfangsport: PORTe4 = 80
• und erhält Webseite index.html
 als Antwort auf seinem Browser-Port PORTs=14761
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 80
DNAT: Port Mapping: Beispiel 2/2
Rechner f1 Rechner f2
IP: 192.168.178.113 IP: 192.168.178.11
MAC: 14:67:45:31:f6:5e MAC: fe:dc:54:13:89:1d
DNAT-Routing (Port Mapping)
DSL-Router e
IP: 231.15.67.31
MAC: 34:67:45:31:16:54
Routing
Router r2
IP: 214.15.67.31
MAC: 14:67:41:32:f6:5c
Routing
Router r1
IP: 141.17.15.1
MAC: 14:67:41:12:16:1d

Rechner s
Gateway-Eintrag
IP: 141.17.15.41
MAC: 14:67:45:31:f6:5f

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 81


DNAT: Port Mapping: Beispielablauf 1/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPsPORTs E: IPe:PORTe4 Nutzdaten
Router r1
IPr1
MACr1

• s
 liest Gateway-Adresse IPr1 aus seiner Netzwerkkonfiguration
• ist zugleich 1. Router
 ermittelt per ARP MAC-Adresse MACr1 des 1. Routers
 sendet HTTP Request an MACr1
• MAC: Sender: MACs Empfänger: MACr1 (nächster Router r1)
• IP: Sender: IPs:PORTs Empfänger: IPe:PORTe4 (Web Server, Port 80)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 82


DNAT: Port Mapping: Beispielablauf 2/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPsPORTs E: IPe:PORTe4 Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe4 Nutzdaten
Router r2
IPr2
MACr2

• r1
 prüft, ob IPe4 im eigenen Subnetz liegt  nein
 liest Folgerouter IPr2 auf dem Weg zu IPe4 aus seiner Routingtabelle
• ermittelt per ARP dessen MAC-Adresse MACr2
 ersetzt im HTTP Request auf MAC-Ebene
• Absenderadresse S durch seine eigene  MACr1
• Empfängeradresse E durch Folgerouter  MACr2
 lässt IP-Adressen für Sender S und Empfänger E unverändert
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 83
DNAT: Port Mapping: Beispielablauf 3/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPsPORTs E: IPe:PORTe4 Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe4 Nutzdaten
Router r2
IPr2 IPr2 und IPe gleiches Subnetz  ARP IPe  MACe
MACr2
S: MACr2 E: MACe S: IPs:PORTs E: IPe:PORTe4 Nutzdaten
DNAT-Rout. e
IPe
MACe

• r2
 prüft, ob IPe im eigenen Subnetz liegt  ja
 leitet HTTP Request an e weiter

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 84


DNAT: Port Mapping: Beispielablauf 4/4
Rechner s
IPs
IPr1 aus Gateway-Eintrag, ARP IPr1  MACr1
MACs
S: MACs E: MACr1 S: IPsPORTs E: IPe:PORTe4 Nutzdaten
Router r1
IPr1 IPr2 aus Routingtabelle, ARP IPr2  MACr2
MACr1
S: MACr1 E: MACr2 S: IPs:PORTs E: IPe:PORTe4 Nutzdaten
Router r2
DNAT-Tabelle e IPr2 IPr2 und IPe gleiches Subnetz  ARP IPe  MACe
Eing. Forward an MACr2
Port IP PORT
e1 f1 f1a S: MACr2 E: MACe S: IPs:PORTs E: IPe:PORTe4 Nutzdaten
e2 f1 f1b
DNAT-Rout. e
e3 f2 f2a
IPe IPf2 aus DNAT-Tabelle e, ARP IPf2  MACf2
e4 f2 f2b
e5 f2 f2c MACe
… … S: MACe E: MACf2 S: IPs:PORTs E: IPf2:PORTf2b Nutzdaten
Rechner f1 Rechner f2 • e prüft, ob Port Mapping für PORTe4 vorliegt
IPf2 IPf2:PORTf2b
→ja, e4  IPf2:PORTf2b, findet MACf2 per ARP
MACf2 MACf2
→HTTP Request an MACf2 auf Port PORTf2b
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 85
DNAT: Port Mapping: Beispielablauf Antwort 1/4

• f2
 sendet HTTP Response zurück an e

DNAT-Rout. e
IPe
MACe
S: MACf2 E: MACe S: IPf2:PORTf2b E: IPs:PORTs Nutzdaten
Rechner f1 Rechner f2
IPf2 IPf2:PORTf2b IPe aus Gateway-Eintrag, ARP IPe  MACe
MACf2 MACf2

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 86


DNAT: Port Mapping: Beispielablauf Antwort 2/4

• e
 findet Port Mapping für IPf2:PORTf2b  IPe:PORTe4
• ersetzt Absenderadresse S: IPf2:PORTf2b durch sich selbst (IPe:PORTe4)
 erkennt, dass Zieladresse IPs nicht im eigenen Subnetz
 sucht in seiner Routingtabelle nächsten Router in Richtung IPs
• findet IPr2
• erfragt per ARP MACr2 des Routers IPr2
 leitet Antwort an MACr2 weiter
Router r2
DNAT-Tabelle e IPr2
Eing. Forward an MACr2
Port IP PORT
e1 f1 f1a S: MACe E: MACr2 S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
e2 f1 f1b
DNAT-Rout. e
e3 f2 f2a
IPe IPr2 aus Routingtabelle, ARP IPr2  MACr2
e4 f2 f2b
e5 f2 f2c MACe
… … S: MACf2 E: MACe S: IPf2:PORTf2b E: IPs:PORTs Nutzdaten
Rechner f1 Rechner f2
IPf2 IPf2:PORTf2b IPe aus Gateway-Eintrag, ARP IPe  MACe
MACf2 MACf2

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 87


DNAT: Port Mapping: Beispielablauf Antwort 3/4

• r2
 erkennt, dass IPs nicht im eigenen Subnetz
 findet in seiner Routingtabelle nächsten Router IPr1 in Richtung IPs
• erhält per ARP MACr1 des Routers IPr1 und leitet Antwort dorthin weiter
Router r1
IPr1
MACr1
S: MACr2 E: MACr1 S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
Router r2
DNAT-Tabelle e IPr2 IPr1 aus Routingtabelle, ARP IPr1  MACr1
Eing. Forward an MACr2
Port IP PORT
e1 f1 f1a S: MACe E: MACr2 S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
e2 f1 f1b
DNAT-Rout. e
e3 f2 f2a
IPe IPr2 aus Routingtabelle, ARP IPr2  MACr2
e4 f2 f2b
e5 f2 f2c MACe
… … S: MACf2 E: MACe S: IPf2:PORTf2b E: IPs:PORTs Nutzdaten
Rechner f1 Rechner f2
IPf2 IPf2:PORTf2b IPe aus Gateway-Eintrag, ARP IPe  MACe
MACf2 MACf2

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 88


DNAT: Port Mapping: Beispielablauf Antwort 4/4
Rechner s • r1 erkennt, dass IPs im eigenen Subnetz
IPs  IPs per ARP in MACs aufösen + Antwort dorthin
MACs  Antwort an Browserport übergeben
S: MACr1 E: MACs S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
Router r1
IPr1 IPr1 und IPs gleiches Subnetz  ARP IPs  MACs
MACr1
S: MACr2 E: MACr1 S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
Router r2
DNAT-Tabelle e IPr2 IPr1 aus Routingtabelle, ARP IPr1  MACr1
Eing. Forward an MACr2
Port IP PORT
e1 f1 f1a S: MACe E: MACr2 S: IPe:PORTe4 E: IPs:PORTs Nutzdaten
e2 f1 f1b
DNAT-Rout. e
e3 f2 f2a
IPe IPr2 aus Routingtabelle, ARP IPr2  MACr2
e4 f2 f2b
e5 f2 f2c MACe
… … S: MACf2 E: MACe S: IPf2:PORTf2b E: IPs:PORTs Nutzdaten
Rechner f1 Rechner f2
IPf2 IPf2:PORTf2b IPe aus Gateway-Eintrag, ARP IPe  MACe
MACf2 MACf2

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 89


Kombination von SNAT und DNAT
Rechner s1 Rechner s2 Rechner f2
IP: 192.168.178.113 IP: 192.168.178.112 IP: 192.168.178.11
MAC: 14:67:45:31:f6:5e MAC: 14:67:45:31:f6:5f MAC: fe:dc:54:13:89:1d
SNAT-Routing DSL-Router r1 DNAT-Routing (Port Mapping)
(Masquerading) IP: 231.15.67.31
MAC: 34:67:45:31:16:54
Routing Routing
Router r2
IP: 214.15.67.31
MAC: 14:67:41:32:f6:5c
Routing Routing
Router r3
IP: 231.15.67.1
MAC: 14:67:41:12:16:1d
ARP Gateway
Rechner e
IP: 231.15.67.31
MAC: fe:dc:54:13:89:1d
• SNAT Masquerading  für Laptop s1
 damit er per DSL-Router im Internet surfen kann
• DNAT Port Mapping  für Web Server f2
 hinter DSL-Router via Portfreigabe (Port Mapping) aus Internet erreichbar
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 90
VPN (Virtual Private Network): Einsatzszenarien

• Außeneinbindung ins Unternehmensnetz


 weitere Unternehmensstandorte
 Regionalbüros
 Außendienstmitarbeiter
• Außeneinbindung ins Hochschulnetz
 Professoren: Home Office, WLAN der Hochschule, unterwegs
 Mitarbeitern: Home Office, WLAN, unterwegs
 Studenten: Studentenwohnheim, Privatwohnung, unterwegs

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 91


VPN (Virtual Private Network): Randbedingungen

• eigene Standleitung zu jedem Prof, Student nach Hause nicht finanzierbar


• öffentliches Internet nutzen
 schließt auch WLAN Hot Spots, Internetcafés … ein
 so absichern, dass es wie eine private Standleitung wirkt
• Zugriffsschutz muss gewährleistet sein
 Authentifizierung und Autorisierung
 verschlüsselte Datenübertragung

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 92


VPN: Logische Architektur

• Außenstandort virtuell so behandeln, als ob er


 über eigens verlegtes privates Kabel mit dem Unternehmen verbunden wäre
• kein anderer kann mithören oder sich auf dieses Netzwerk verbinden
 Bestandteil des internen Unternehmensnetzes wäre
• Zugriff auf interne IT-Infrastruktur (Server, Drucker, Datenbanken …)
• unternehmensinterne IP-Adresse
• Außendienstmitarbeiter können arbeiten, als ob sie im Unternehmen säßen

Home Office Hochschule


Heidelberg VPN Mannheim

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 93


VPN: Technische Realisierung
VPN Client

WLAN
HotSpot
Flughafen

Home Office VPN


Heidelberg Tunneling
Gateway

Unternehmensnetz
Regionalbüro
Singapur
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 94
VPN Gateway und VPN Client

• Unternehmen stellt ein VPN Gateway zur Verfügung


 oft im Router integriert
 "Tunnelportal" ins interne Netz (eine Art gesicherter "Hintereingang")
 DNS-Name und IP-Adresse bekannt
 über bestimmten TCP/IP-Port ansprechbar
 erfordert Zertifikat + Authentifizierung, um darauf zugreifen zu können
 sämtlicher Datenverkehr erfolgt verschlüsselt
• jeder von außen zugreifende Rechner benötigt VPN Client-Software
 das andere Ende des "Tunnels"
 Name / IP-Adresse des VPN Gateways wird einkonfiguriert
 außerdem Zertifikat nötig, um das VPN Gateway ansprechen zu dürfen

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 95


VPN: Aufbau einer Tunnelverbindung

• Benutzer startet auf seinem Rechner VPN Client Software


 wählt VPN-Gateway aus (z.B. das der HS Mannheim: eva.hs-mannheim.de)
 authentifiziert sich mit Benutzernamen und Passwort
• VPN Client baut Tunnelverbindung zum VPN Gateway auf
 VPN Gateway prüft Zertifikat, Benutzername und Passwort
 VPN Client konfiguriert virtuelle Netzwerkkarte auf Benutzerrechner
• IP-Adresse: durch VPN Gateway vergeben (Adresspool des Unternehmens)
• Gateway: VPN Gateway
• DNS: DNS-Server des Unternehmens
 VPN Client manipuliert Benutzerrechner
• alle physikalischen Netzwerkkarten des Benutzerrechners gesperrt
• Datenverkehr über virtuelle Netzwerkkarte automatisch verschlüsselt
• virtuelle Netzwerkkarte spricht physikalische Netzwerkkarte an
• Anwendungssoftware kommuniziert zwangsläufig über virtuelle Netzwerkkarte

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 96


Arbeiten mit dem VPN

• Benutzerrechner verhält sich so, als ob er im Unternehmen steht


 sieht sämtliche internen Ressourcen des Unternehmens, inkl. Drucker …
 Heimnetz des Benutzers nicht mehr ansprechbar
• kein Zugriff mehr auf Server + Drucker des Heimnetzes
 Zugriff auf das Internet nun über das Unternehmensnetz(!)
 verschlüsseltes VPN reduziert Übertragungsgeschwindigkeit
• Zugriff auf Heimnetz des Benutzers
 erst wieder nach Trennen der VPN-Verbindung möglich

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 97


Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 98


Transportschicht (Transport Layer)

• Bestandteil des Betriebssystems


• Aufgaben:
 Datenstrom in einzelne Datenpakete zerlegen ("segmentieren")
 Datenpakete auf Empfängerseite wieder zusammenfügen
• Standardprotokolle
 TCP (Transmission Control Protocol)
• verbindungsorientiert (muss geöffnet und geschlossen werden)
• bidirektionale Socket-Verbindung (senden und empfangen)
• fehlerhafte Datenpakete werden automatisch erneut angefordert
• Anwendung: Datenübertragung
 UDP
• verbindungslos
• unidirektional (nur in eine Richtung)
• keine Fehlerkorrektur
• Anwendung: Echtzeitübertragung von Sprache (Voice over IP), Musik, Video

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 99


TCP/IP-Socket

79
80
TCP/IP
...
129.69.89.41
schach.tae.de
TCP/IP-Port
... 80
1234 1234
TCP/IP
... ...
129.69.89.37 129.69.89.31 TCP/IP-Adresse
dame.tae.de halma.tae.de Rechnername

• Socket
• TCP/IP-basierter Kommunikationspunkt eines Rechners
• festgelegt durch IP-Adresse des Rechners + Port-Nummer (0 – 65535)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 100


TCP/IP-Socket-Verbindung

• Kommunikationskanal zwischen zwei Rechnern


 bidirektional (d.h. Senden und Empfangen auf dem selben Port)
 Ansprechen eines Servers (Senden) und Abholen des Ergebnisses (Empfang)
• Server-Port
 jeder Serverdienst eines Servers muss auf eigenem Port senden + empfangen
 Ports 0-1023 normiert
• Port 21: FTP-Server
• Port 80: Webserver über HTTP
• Port 443: Webserver über HTTPS
 Ports 1024 bis 65535 frei definierbar
• Client-Port
 frei wählbar (kann automatisch erfolgen)
 Port pro Rechner nur ein einen Clientprozess vergebbar
• damit Antwortnachricht an passenden Clientprozess zugestellt werden kann
 in der Regel: Server-Port ≠ Client-Port

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 101


Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 102


Sitzungsschicht (Session Layer)

• Bestandteil des Anwendungsdienstes (Server und Client)


• Aufgabe:
 Sitzungssteuerung (Auf- und Abbau logischer Verbindungen)
 Ver- und Entschlüsselung (z.B. TLS/SSL)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 103


Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 104


Darstellungsschicht (Presentation Layer)

• Bestandteil des Anwendungsdienstes (Server und Client)


• Aufgaben:
 Festlegung auf gemeinsame Datenformate (z.B.: ASCII, Unicode)
 Datenkompression und –dekompression

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 105


Gliederung

2. OSI-Referenzmodell
1. OSI Schicht 1: Bitübertragungsschicht
2. OSI Schicht 2: Sicherungsschicht
3. OSI Schicht 3: Vermittlungsschicht
4. OSI Schicht 4: Transportschicht
5. OSI Schicht 5: Sitzungsschicht
6. OSI Schicht 6: Darstellungsschicht
7. OSI Schicht 7: Anwendungsschicht

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 106


Anwendungsschicht (Application Layer)

• Anwendungssoftware und -dienste


 Server: bietet Anwendungsdienste an (z.B. WWW-Server, DLNA-Server)
 Client: nutzt Anwendungsdienste über das Netzwerk
Dienst / Protokoll Port Verschlüs. Anwendung
telnet Telecommunication Network 23 -
Remote Kommandozeile
ssh Secure Shell 22 j
Login
rdp Remote Desktop Protocol 3389 j grafisch (Windows)
ftp File Transfer Protocol 21 -
Dateitransfer
sftp Secure FTP 115 j
http Hypertext Transfer Protocol 80 -
World Wide Web
https HTTP Secure 443 j
smtp Send Mail Transfer Protocol 25 - Mail versenden
pop3 Post Office Protocol V3 110 - Mails empfangen
imap3 Internet Message Access 220 - Mail abrufen, Mail bleibt auf
Protocol V3 Server

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 107


DNS (Domain Name System)

• Globaler verteilter hierarchischer Namensdienst im Internet


• OSI-Schichten 5 (Sitzung), 6 (Darstellung) und 7 (Anwendung)
• Forward lookup: Rechnername → IP-Adresse
nslookup www.heise.de
Server: nice.rz.fh-mannheim.de Name und IP-Adresse des
Address: 141.19.1.75:53 antwortenden DNS-Servers
Nicht-autorisierende Antwort: Nicht der DNS-Server der Domain
Name: www.heise.de
Address: 193.99.144.85
• Reverse lookup: IP-Adresse → Rechnername
nslookup 193.99.144.85
Server: nice.rz.fh-mannheim.de Name und IP-Adresse des
Address: 141.19.1.75:53 antwortenden DNS-Servers
Name: www.heise.de
Address: 193.99.144.85

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 108


DNS: Hierarchische Struktur

root

com gov edu org mil us de uk …

fraunhofer hs-mannheim …

iao iese … informatik ki informationstechnik sw

www www james anja alf …


Legende:
james.ki.hs-mannheim.de
Root
Top Level Domain
Domain
Rechner

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 109


DNS: Funktionsweise

• Namensauflösung innerhalb einer Domain


 durch zuständigen DNS-Server
 Forward und Reverse Lookup
 je Domain mindestens 2 DNS-Server (→ Redundanz)
• DNS-Server
 zuständig für eine (oder mehrere) Internet-Domain(s)
 kennt alle Rechner und Subdomains der von ihm verwalteten Domain
 hat Verweis auf übergeordnete DNS-Server
• leitet Anfrage nach oben weiter, wenn er Namen nicht selbst auflösen kann
• kann sich rekursiv fortsetzen bis zu Root DNS Servern
• Caching oft nachgefragter Domains zur Performancesteigerung
• Rechner, der im Internet über Rechnername erreichbar sein soll
 benötigt Rechnername
 muss Mitglied einer Domain sein
 muss in DNS-Server der Domain registriert sein

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 110


DNS: Ablauf Forward lookup (vereinfacht)

root

de
leitet Anfrage weiter
DNS
leitet Anfrage
weiter

fraunhofer leitet Anfrage


leitet Anfrage DNS DNS hs-mannheim
weiter
weiter

iao ki
DNS DNS

192.54.34.29 www www.iao.fraunhofer.de alf


kann ich auflösen!
192.54.34.29
ruft www.iao.fraunhofer.de auf

versucht www.iao.fraunhofer.de
aufzulösen
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 111
World Wide Web (WWW)

• grafisch bedienbares weltweites Informationssystem


 Zugriff über Web-Browser (für fast alle Plattformen verfügbar)
 Navigation durch Anklicken von Links auf andere Seiten / Medienelemente
• Technische Basis
 Protokoll: HTTP / HTTPS
 Seitenbeschreibungssprache: HTML (Hypertext Markup Language)
 einheitliches Namensschema: URL (Uniform Resource Locator)
• WWW ist einer unter vielen Anwendungsdiensten im Internet
 Internet ≠ WWW

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 112


WWW: Grundbegriffe 1/2

• Nutzer (User)
 menschlicher Nutzer des Web
 sitzt am Web Browser
• Seite (Page)
 eine einzelne HTML-Seite
 abrufbar über ihre URL
 kann andere Dokumenttypen (Texte, Bilder, Videos ...) enthalten
• Webauftritt (Web Site)
 Menge aller Seiten und weiterer Ressourcen, z.B.
• eines Unternehmens oder einer Organisation
• einer Privatperson
• zu einem bestimmten Thema
• Einstiegsseite (Homepage)
 Einstiegsseite zu einem Webauftritt

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 113


WWW: Grundbegriffe 2/2

• Portal
 speziell entworfene Betriebsoberfläche für das Web
 bündelt häufig benötigte Dienste
 Beispiele:
• Portale von Netzprovidern / Internetdienstleistern (z.B. T-Online, MSN)
• Portale von Medienunternehmen (z.B. Stern, Focus)
• Shopping-Portale (z.B. amazon, ebay)
• Suchmaschine (search engine)
 Recherche in großen Dokumentenbeständen (z.B. WWW)
• schnelle Volltextsuche nach Inhalten (Texte, Bilder, Musik, Videos)
• Ursprung im Information Retrieval
 indiziert anhand Metadaten, Überschrift, Dokumenteninhalt
 finanziert durch Werbung, gesponserte Links
 Beispiele: google, MS bing

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 114


Gliederung

1. Grundbegriffe
2. OSI-Referenzmodell
3. TCP/IP-Modell

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 115


OSI-Referenzmodell vs. TCP/IP-Modell

• OSI-Referenzmodell
 eher theoretischer Natur
 detailliert auf
• untersten Schichten (Bitübertragung, Sicherung)
 für Anwendungsentwicklung irrelevant
• obersten Schichten (Sitzung, Darstellung, Anwendung)
 Trennung in der Praxis oft schwierig
• TCP/IP-Modell
 praxisnahe
• sehr gut für Anwendungsentwicklung geeignet
 abstrahiert von untersten Schichten (Bitübertragung, Sicherung)
• irrelevant für Anwendungsentwicklung, ob Ethernet, WLAN, LTE ...
 detailliert auf mittleren Schichten (Vermittlung, Transport)
• TCP/IP-Protokoll bildet technische Basis des Internet
 darauf basieren Anwendungsdienste
• WWW, DNS, SMTP, POP3, IMAP, FTP, SSH ...
 deshalb Basis für diese Vorlesung
Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 116
OSI- und TCP/IP-Modell im Vergleich

OSI-Schicht
TCP/IP-Schicht Aufgaben
Nr Name
7 Anwendung Anwendung
(Application) (WWW, FTP, Remote Login …)
6 Darstellung Anwendung Datenformate, Kompression,
(Presentation) (Application) Verschlüsselung
5 Sitzung Prozesskommunikation, Synchronisation,
(Session) Sitzungsmanagement
4 Transport Segmentierung in Datenpakete,
Transport
(Transport) End-zu-End-Verbindung Quell-  Zielrechner
3 Vermittlung Punkt-zu-Punkt-Routing von Paketen
Internet
(Network)
2 Sicherung Fehlerfreie Datenblockübertragung,
(Data Link) Netzwerkzugang Zugriff auf Übertragungsmedium
1 Bitübertragung (Network Access) Physikalische Übertragung von Datenbits
(Physical)

Prof. Dr. Thomas Specht: Schnellkurs Rechnernetze 117

Das könnte Ihnen auch gefallen