Wirtschaftsinformatik (Bachelor-Studiengang): Rechnernetze/Onlinedienste (2. Semester)

Sie sind hier: StartseiteWirtschaftsinformatikRechnernetze/Onlinedienste: TCP/IP (Teil 2)

BM / CM, Kurs vom 01.10.2002 - 31.03.2003

Rechnernetze/Onlinedienste: TCP/IP (Teil 2): Internet Control Message Protocol (ICMP) (Aufbau des ICMP-Pakets, Echo und Echo Reply, Time exceeded), Adressauflösung (ARP/RARP) (Address Resolution Protocol (ARP), Zielstation im selben Subnetz, Zielstation im fremden Subnetz, Reverse Address Resolution Protocol (RARP)), Dynamic Host Configuration Protocol (DHCP) (DHCP-Informationen, Arbeitsweise), Network Address Translation (NAT) (Anwendungsfälle, Single User Account), Domain Name Service (DNS) (Vergabe der Adressen, Auflösungsalgorithmus, DNS-Server-Arten (Rollen), Resource Records (RR)), Werkzeuge für die Netzanalyse.

  1. Internet Control Message Protocol (ICMP)
  2. Adressauflösung (ARP)
  3. Dynamic Host Configuration Protocol (DHCP)
  4. Network Address Translation (NAT)
  5. Domain Name Service (DNS)
  6. Werkzeuge für die Netzanalyse

OSI-Einbindung:

OSI-Einbindung

Bildbeschreibung "OSI-Einbindung": Übertragungs- und Sicherungsschicht = Lokales Netz bzw. WAN; Vermittlungsschicht = ARP und RARP (Teilschicht 1), IP (Teilschicht 2), IGMP und ICMP (Teilschicht 3); Transportschicht = TCP und UDP; Anwendungsschicht (oberste Schicht) = DHCP und DNS.

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Internet Control Message Protocol (ICMP)

Aufbau des ICMP-Pakets

Aufbau des ICMP-Pakets

Bildbeschreibung "Aufbau des ICMP-Pakets": Der ICMP-Teil des 32 bit Paketes setzt sich zusammen aus Type (8 bit), Code (8 bit), Checksumme (16 bit) und ICMP-Datenbereich (32 bit). Des Weiteren enthält ein ICMP-Paket den typischen IP-Frame mit Version, IHL, Paketlänge, Kennung, Flags, Fragment Offset, TTL, Header-Checksumme, Quell-/Ziel-IP-Adresse und Optionen/Füllbits. Protokoll ist hier 1, Service ist 0.

Das ICMP ist in dem Sinne in IP integriert, als dass es im Datenteil eines IP-Pakets integriert ist und dass bestimmte Felder im IP-Header gesetzt sind.

Die verschiedenen Arten von ICMP-Paketen werden durch eine bestimmte Nummer im Type-Feld unterschieden.

Eine Auswahl:

Der Aufbau des ICMP-Pakets ist abhängig vom Type-Wert.

Erläuterungen:

Das Feld Code enthält in Abhängigkeit vom Typ noch weitere Informationen, z.B. bei Anforderungen die Art bzw. bei Antworten Fehlercodes.

Das Feld Checksumme enthält die ICMP-Kopf-Prüfsumme, d.h. über die ersten 8 byte.

Häufig wird im ICMP-Datenteil das betroffene IP-Paket (IP-Header mit 8 byte Daten) angefügt, um dem Empfänger eine Möglichkeit der Rekonstruktion zu geben.

Funktion: Source Quench dient der Flusskontrolle

Funktion: Router Advertisement dient der Bekanntgabe mehrerer Router (ca. alle 7-10 Min.) - dient jedoch nicht zum Austausch von Router-Informationen.
Die Bekanntgabe kann auch explizit angefordert werden.

Funktion: Time Exceeded: Wenn maximale Anzahl von Hops erreicht und IP-Frame verworfen wurde.

Echo und Echo Reply

Echo und Echo Reply

Bildbeschreibung "Echo und Echo Reply": Enthält 8 bit Type (8/0), 8 bit Code (0), 16 bit Checksumme, 16 bit Identifier, 16 bit Sequenznummer und 32 bit Optionale Daten.

ICMP-Typ 8 (echo) ist die Aufforderung, eine Antwort (echo reply) an den Sender zurückzusenden.

Verschiedene Echo-Requests desselben Senders erhalten denselben Identifier-Wert, während jede Aufforderung aufsteigend durchnummeriert (Sequenznummer) wird.

Am Ende dürfen nochmax. 216-1 byte beliebige Daten angehängt werden.

Time exceeded

Time exceeded

Bildbeschreibung "Time exceeded": Enthält 8 bit Type (11), 8 bit Code (0/1), 16 bit Checksumme, 32 bit Identifier und Sequenznummer (0), 32 bit IP-Kopf mit den ersten 8 byte Daten.

Dauert die Übertragung eines IP-Pakets zu lange (Ablaufen des TTL-Wertes (a) oder min. ein Fragment wird innerhalb einer bestimmten Zeitspanne vermisst (b)), wird diese ICMP-Meldung an den Sender zurückgesendet und das bzw. die Pakete verworfen.

Im Falle von (a) ist Code 0, bei (b) 1.

In den Daten wird zwecks Rekonstruktion der Anfang des verworfenen IP-Pakets angegeben.

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Adressauflösung (ARP/RARP)

Address Resolution Protocol (ARP)

Diese Einordnung ist etwas problematisch, da ein Zugriff auf die Adressen des Link-Layer (MAC-Adresse) notwendig ist. Korrekter wäre eine Einordnung in einen Management-Bereich.

Umsetzung der IP-Adresse in MAC-Adresse (LAN), da nur dann eine andere Station mit Hilfe der IP-Adresse angesprochen werden kann.

MAC-Adressen sind

Zielstation im selben Subnetz

Sender und Empfänger benutzen dasselbe LAN - genauer beide befinden sich in derselben Broadcast-Domain:

Prüfung, ob MAC-Adresse schon im Cache ist:

Cache = Zwischenspeicher mit Ergebnissen der vorherigen Anfragen bzw. fest eingestellten Werten.

Zielstation im fremden Subnetz

Sender und Empfänger sind über mindestens einen Router verbunden. Die kann anhand der IP-Adresse und der Netzwerkmaske festgestellt werden.

  1. Router-MAC-Adresse in der Cache-Tabelle
    • Vorhanden: Adresse verwenden
    • Nicht vorhanden: Mac-Adresse des Router bestimmen (wie vorheriges Verfahren)
  2. Senden des Pakets an den Router
  3. Router prüft anhand IP-Adresse, ob Zielrechner in einem der direkt an ihm angeschlossenen LAN ist
    • Falls nicht: Neuen Router samt dessen MAC-Adresse bestimmen und an diesen senden
    • Falls doch: an diese Zielstation direkt senden, nötigenfalls MAC-Adresse bestimmen
  4. Dies wiederholt sich, bis Zielstation erreicht ist.

Zum Cache:

Einträge sind jeweils ein Paar: (IP-Adresse, MAC-Adresse) ergänzt durch Verwaltungsinformation.

Statische Einträge vom Administrator, z.B. Kommando arp (Windows).

Dynamische Einträge mit Zeitstempel

Reverse Address Resolution Protocol (RARP)

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Dynamic Host Configuration Protocol (DHCP)

Ziele:

Auf den Stationen muss sich eine "dynamisch wachsende" Realisierung des TCP/IP-Stack befinden.

Weiterentwicklung des alten BOOTP.

Lease = Vergabe einer IP-Adresse für eine gewisse Zeit.

DHCP-Server und Clients:

DHCP-Server und Clients

Bildbeschreibung "DHCP-Server und Clients": Der DHCP-Server hat Verbindung zum LAN, ebenso wie verschiedene DHCP-Clients. Der Server greift zusätzlich noch auf einen Adress-Pool mit weiteren Parametern zu.

DHCP-Informationen

Über DHCP werden dynamisch vergeben bzw. b ekannt gemacht:

Die automatische Vergabe hat neben der besseren Ausnutzung des IP-Adressraums den großen Vorteil der Arbeitsersparnis der System-/Netzwerkadministratoren.

(Fast) alle Internet-Service-Provider arbeiten mit DHCP.

Arbeitsweise

Schritt 1: Lease-Anforderung

Schritt 2: Lease-Angebot

Alle angesprochenen DHCP-Server antworten mit Broadcast Informationen: MAC-Adresse, angebotene IP-Adresse samt Subnetzmaske, DHCP-Server-Adresse, Dauer der Lease: DHCPOFFER

Kommt keine Server-Antwort ( kein DHCP-Server erreicht oder keiner mit freier Adresse): Warten und erneuter Versuch, später Versuche alle 5 Minuten.

Schritt 3: Lease-Auswahl

Schritt 4: Lease-Bestätigung

Schritt 5: Benutzung der IP-Adresse

Keine nennenswerten Ergänzungen.

Schritt 6: Erneuerung des Lease

Nach Ablauf einer Lease muss die Adresse sofort freigegeben und alle sonstigen Netzaktivitäten eingestellt werden.

Nach Zusammenbruch des Client: Verkürztes Verfahren unter Verwendung der alten IP-Adresse, so dass oft dann die alte weiterbenutzt werden kann.

Hinweise:

Router müssen so konfiguriert sein, dass sie als Mittler zu den DHCP-Server dienen können: als DHCP-Relay. Diese Router werden als RFC 1542-konform bezeichnet.

Für jedes Subnetz: eigener DHCP-Adressbereich

Möglichst mehrere DHCP-Server (Ausfallsicherheit):

Dies hat den Vorteil, dass nach Ausfall des eigentlichen DHCP-Server wenigstens 25 % der Adressen vergeben werden können. Sind im Normalbetrieb alle Adressen des eigentlichen Server (75 %) vergeben, können die restlichen 25 % aufgrund der Broadcast-Anfragen auch vergeben werden.

Ersatz-DHCP-Server:

Ersatz-DHCP-Server

Bildbeschreibung "Ersatz-DHCP-Server": Zwei Netzwerke mit jeweils einem DHCP-Server und mehreren DHCP-Clients sind durch einen Router gekoppelt.

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Network Address Translation (NAT)

Bei der Network Address Translation im allgemeinen wird bestimmten internen Adressen eine oder mehrere externe Adressen mit einem Router zugeordnet:

Ziele:

Anwendungsfälle

Fall 1: 1:1-Umsetzung (klassisches NAT)

Fall 2: Mehre interne : 1 externe Adresse (PAT)

Zuordnung der internen IP/Port-Adressen auf eine externe IP-Adresse (und umgekehrt).

Fall 3: 1 interne : mehrere externe Adressen

Verschleierung der Anwendungsstationsadresse

Fall 4: Mehre interne : mehrere externe Adressen

Fall 2 ist der in der Praxis am häufigsten vorkommende.

Realisierung:

  1. Proxy (Stellvertreter)-Prozess
    • Verschleiern der Clients
    • Cache (Optimierung bei mehrfachem Zugriff auf dieselben Daten)
    • Kontrolle der Zugriffe auf beiden Seiten
      Anfertigen von Log-Dateien
  2. Router mit NAT/PAT

Single User Account

Single User Account

Bildbeschreibung "Single User Account": Verschiedene Clients greifen auf ein lokales Netzwerk zu. Ein Router (zuständig für NAT) verbindet das lokale Netz mit dem Internet. Schnittstelle zum Internet ist der Einwahlknoten des Providers (ISP).

Bitte bei derartigen Konstruktionen die Geschäftsbedingungen der Provider beachten.

Erläuterungen:

Dynamischer Aufbau einer Tabelle:

Der Auf-/Abbau der Tabelle muss dynamisch erfolgen.

Alle Verbindungen nach außen müssen in beiden Richtungen eindeutig über folgendes N-Tupel identifizierbar sein:

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Domain Name Service (DNS)

Namensraum:

Namensraum

Bildbeschreibung "Namensraum": Beispiel www.fhtw-berlin.de. www ist der Stations-/Service-Name, fhtw-berlin.de die Second-Level-Domain. .de kennzeichnet die Top-Level-Domain. Beispiel für Third-Level-Domain wäre f4.fhtw-berlin.de.

Alte Top-Level-Domains:

Neue Top-Level-Domains:

Vergabe der Adressen

Begriffe:

Zone = Bereich der DNS-Namen, für die der DNS-Server zuständig ist, d.h. von denen er Daten hat.

Authoritätsszone = Zone.

Intern wird für jede Zone eine Datei angelegt, so dass ein DNS-Server mit mehreren Dateien (Zonen) arbeiten kann.

Hierarchie und Authoritätszonen:

Hierarchie und Authoritätszonen

Bildbeschreibung "Hierarchie und Authoritätszonen": Erster Zonen-Bereich (Hierarchie-Ebene 1) = .de, .fr, .edu (bilden jeweils eine Zone). Zweiter Zonen-Bereich (Hierarchie-Ebene 2) = tu-berlin, fu-berlin, fhtw-berlin. Dritter Zonen-Bereich (Hierarchie-Ebene 3, beispielhaft für fhtw-berlin) = rz, f1, f2, f3, f4.

Mechanismus:

Mechanismus (Teil 1)

Bildbeschreibung "Mechanismus (Teil 1)": Anfrage an einen DNS-Server. Station 1 enthält Anfrager und Resolver, Station 2 den DNS-Server.

Mechanismus (Teil 2)

Bildbeschreibung "Mechanismus (Teil 2)": Der beauftragte DNS-Server 1 befragt andere, um die Anforderung des Resolvers zu erfüllen: Rekursiver Modus.

Mechanismus (Teil 3)

Bildbeschreibung "Mechanismus (Teil 3)": Der Resolver befragt selbst andere, um die Anforderung bearbeiten zu können. Ein DNS-Server ohne Antwort gibt eine Adresse eines anderen DNS-Server zurück, von dem geglaubt wird, er hätte die Antwort.

Auflösungsalgorithmus

  1. Prüfung der Anfrage, ob Antwort in der Datenbank vorhanden ist: Falls ja: Dem Client antworten
  2. Ermittlung der Top-Level-Domain
  3. Anfrage an Top-Level-Domain-Server
  4. Dort Prüfung und Rücksendung der IP-Adresse des zuständigen DNS-Server (Nachsehen in Datenbank aller gültigen Domain-Namen)
  5. Direkte Nachfrage bei diesem DNS-Server
  6. Dort Prüfung und Rückantwort mit der IP-Adresse
  7. Dem Client antworten

Dieses Verfahren läuft entweder automatisch durch den ersten DNS-Server ab (rekursiver Modus), oder durch den Resolver selbst.

DNS-Server-Arten (Rollen)

Für jede Zone (können) existieren:

Dies sind Rollen, die durch jeden Server eingenommen werden können. Auch gleichzeitig, d.h. ein DNS-Server kann für eine bestimmte Zone der primäre Server sein und für eine andere der sekundäre.

Resource Records (RR)

Die Datensätze der DNS-Datenbank sind in Resource Records (RR) abgelegt. Dies sind ASCII-Zeilen mit einem bestimmten syntaktischen Aufbau.

Für jede Zone gibt es eine Datei mit den notwendigen RR.

Diese Dateien müssen mit einem Replikationsmechanismus regelmäßig zwischen den DNS-Server ausgetauscht werden (Ausnahme: Cache-Only-Server).

Neben der Definition der Zone müssen auch die Verweise auf die höheren Domänen (Zonen) vorhanden sein, damit der obige Auflösungsalgorithmus durchgeführt werden kann.

Die MX-Records definieren die E-Mail-Server der Zonen; hierüber finden die E-Mails ihren Weg zum Ziel, da in der E-Mail-Adresse die Domain und damit indirekt die Zone angegeben ist.

Zum Menü Wirtschaftsinformatik | Zum Seitenanfang

Werkzeuge für die Netzanalyse

Ping (Nach Echolot beim U-Boot):

Trace Route (traceroute, tracert):

ipconfig/ifconfig:

Ausgabe der Einstellungen, insbesondere nach DHCP-Konfigurierung; es kann der eigene Name bzw. die Parameter einer (Ethernet-)Schnittstelle ausgegeben und gesetzt werden.

arp:

Anzeige des Inhalts eines lokalen ARP-Caches sowie Setzen fester Einträge, z.B. MAC/IP-Adressen von häufig benutzten Server (um Netzbelastung durch unnötige ARP-Anfragen zu senken).

netstat:

Anzeige der aktuellen Verbindungen sowie Statistik, z.B. Anzahl der Pakete, Anzahl der Fehler

nslookup:

Anfrage von DNS-Einträgen, u.a. welche IP-Adresse ein symbolischer Name hat, dasselbe in umgekehrter Richtung, welche E-Mail-Server eingetragen sind. Es können alle RR abgefragt werden.

tcpdump:

tcpdump listet die Pakete auf der IP-Ebene zwecks Analyse auf.