TCP / IP. Scriptum zu meinem Unterricht, speziell im Rahmen des Lernfeldes Vernetzte IT- Systeme.

Transkript

1 Dirk Bangert Hochtaunusschule Oberursel TCP / IP Scriptum zu meinem Unterricht, speziell im Rahmen des Lernfeldes Vernetzte IT- Systeme. Vorbemerkungen TCP / IP ist das Netzwerkprotokoll des Internets. Die Geschichte des Internets wird oft in Zusammenhang mit einem Auftrag des DoD (Department of Defense, U.S. amerikanisches Verteidigungsministerium) gebracht. Ein Computernetzwerk, das auch bei Ausfall mehrerer Knoten weiterhin funktioniert, sollte geschaffen werden. 1 Genaugenommen ist TCP / IP nicht ein Protokoll, sondern eine Ansammlung von einzelnen Protokollen, weshalb auch oft von der TCP / IP Protocol Suite gesprochen wird. Dies wird auch im Namen deutlich: Transmission Control Protocol / Internet Protocol - schon hier zweimal der Begriff Protokoll. Das vorliegende Scriptum ist ausschließlich zur Ergänzung meines Unterrichts gedacht. Weder erhebt es Anspruch auf Vollständigkeit, noch ist es zum Selbststudium geeignet. Es behandelt den Einsatz von TCP / IP im Ethernet- LAN. 1 Für eine alternative Sicht der Historie: Hätt ich dich heut erwartet...? ; c t 21/99 S.128

2 DoD Modell Die Schichten des DoD Modells Das DoD Modell, auch TCP/IP -Modell genannt, teilt sich in vier Schichten (Layer) 2. Application Layer: Transport Layer: Internet Layer: Network Layer Diese Bezeichnung verwirrt ein wenig. Nicht Applikationen wie ein - Client oder WWW-Browser sind hier gemeint sondern Dienste, die von eben diesen Applikationen genutzt werden. Hier wird eine verbindungsorientierte Kommunikation ermöglicht. Haben Sie sich beim Surfen in drei unabhängigen Browserfenstern, begleitet vom parallelen Download einer Datei und dem Abruf Ihrer s, schon mal gefragt, wie ihr Rechner es schafft alle ankommenden Daten so zu sortieren, dass sie bei der richtigen Anwendung landen? Transaktionskodierung ist die Lösung. Für jede Kommunikation zwischen Client- und Serverprozess wird ein Port ausgehandelt, über den der Datenaustausch stattfindet Hier werden logische (IP -) Adressen vergeben, was nicht heißt, dass dies Zwingenderweise logisch geschieht ;-) Bemerkenswert ist, dass diese Adressen einen Netz- und einen Host- Anteil besitzen. Dies vereinfacht die Wegfindung zum Ziel. Ein Postmitarbeiter in Tokio muss schließlich auch nicht wissen wo in Bad Homburg die Goethestrasse 4711 ist, nur um eine Grußkarte an Lieschen Meier auf die (hoffentlich richtige) Reise zu schicken. Die Wegefindung nennt man Routing. Übrigens: Die Kombination von Port und IP- Adresse wird als Socket bezeichnet. Hier wird es technisch. Die verwendete Netzwerkhardware wird hier definiert. Welches Übertragungsmedium (Kupferleitung, LWL, Luft) wird verwendet? Mit welchem Zugriffsverfahren wird es genutzt? Welche Steckertypen sind mit welcher Anschlussbelegung zu gebrauchen? Wie werden Signale ( 0 und 1 ) dargestellt? Wie lauten die Hardwareadressen (MAC bei Ethernet)? 2 Bezüge zum OSI Layer: DoD Network- Layer OSI 1,2 DoD Internet- Layer OSI 3 DoD Transport- Layer OSI 4 DoD Application- Layer OSI 5-7

3 Datenfluss im DoD Modell Beim Sender wird eine Nachricht also von jeder Schicht verpackt und mit einer Kontrollinformation (Header) versehen. Danach wird sie an die nächste Schicht weitergeleitet... bis der Network-Layer all dies als Lichtblitze oder elektro-magnetische Wechselfelder dem Empfänger übermittelt. Dieser freut sich über das Paket und packt es genüßlich Schicht für Schicht aus. Bei einer (interaktiven) Telnet-Sitzung muss für jedes eingegebene Zeichen ein solches Paket generiert und gesendet werden. Kopieren Sie hingegen eine 5 MB große Datei im LAN, muss diese in viele kleine Pakete aufgeteilt werden, die einzeln übertragen und beim Empfänger wieder zusammengesetzt werden. Im Internet können diese einzelnen Pakete dann noch verschiedene Routen zum Empfänger wählen, zwischenzeitlich weiter zerstückelt und ggfs. wieder rekombiniert werden und letztlich in beliebiger Reihenfolge beim Empfänger ankommen. Der hat dann den Salat und darf all die lustigen Pakete auspacken, sortieren und wieder zur Originaldatei zusammenbauen.

4 Network Layer Der Anschluss einer Station an ein Netzwerk geschieht i.d.r. durch einen Netzwerkadapter, Network Interface Card (NIC) genannt. Im LAN Bereich hat sich hier die Ethernet-Technologie durchgesetzt. Token-Ring Netzwerke befinden sich jedoch weiterhin im Einsatz. Zunehmend an Bedeutung gewinnen Funknetze (WLAN bzw. Bluetooth). Ethernet nutzt das Zugriffsverfahren CSMA / CD: Bei Ethernet werden die Daten in sog. Frames aufgeteilt, die folgendem prinzipiellen Aufbau gehorchen: Nach der Präambel, die zur Synchronisation von Sender- und Empfängertakt dient folgt der Starting Frame Delimiter, der den Anfang der Botschaft signalisiert. Ziel- und Absenderadresse folgt die Angabe des übergeordneten Protokolls. Nun erst kommt das Feld mit den Daten (s.u.). Die Prüfsumme schließt das Paket ab.

5 Dass ein Frame bei einem konkurrierenden Zugriffsverfahren, wie dem von Ethernet genutzten CSMA/ CD, eine maximale Größe hat, erscheint einsichtig. Dass er jedoch eine minimale Größe nicht unterschreiten darf, begründet sich in der Forderung nach einer gesicherten Kollisionserkennung. Es ist leicht nachvollziehbar, dass die MAC-Adressen eindeutig sein müssen, d.h. eine MAC-Adresse darf netzwerkweit nur einmal auftreten. Die ersten 24 bit der MAC Adresse bilden den Vendor-Code, dessen Adressbereich (die anderen 24 bit) vom Hersteller frei belegt werden kann. Die Vergabe der Vendor-Codes geschieht von der IEEE. Die Angabe der MAC-Adressen geschieht in der Praxis durch 12stellige Hex-Werte. Ein Server unter Last pumpt unablässig solche Pakete, an viele Adressen in beliebiger Reihenfolge, raus. Stationen erkennen anhand der Ziel-MAC-Adresse, wenn Pakete an sie gerichtet sind, und lesen die Daten ein. Sollte anhand der CRC-Prüfsumme ein Fehler erkannt werden, verwirft die empfangende Station dies Paket. Achtung: Eine Rückbestätigung bzw. Fehlermeldung findet auf dem Networklayer nicht statt! Diese muss von den übergeordneten Protokollen (s. folgende Kapitel) vorgenommen werden. Das folgende Beispiel zeigt die Win98 Netzwerkkonfiguration einer 3Com-NIC.

6 Internet Layer Ziel des Internetlayers ist es, die Abgründe des Networlayers 3 hinter einer einheitlichen Schnittstelle zu verbergen. Sieht man von Feinheiten 4 ab, bilden IP-Adressen den Kern des Geschehens im Internet-Layer. Sie sind im Gegensatz zu MAC-Adressen nicht hardwaregebunden sondern logisch. Stellen Sie sich beispielsweise vor, die Netzwerkkarte Ihres Rechners ist einem Defekt erlegen. Nach dem Austausch der Karte müssen sie eben nicht allen Kumpels mitteilen, dass Sie eine neue MAC Adresse haben. IP erledigt dies für Sie-Ihre bekannte IP-Adresse ist weiterhin erreichbar! IP-Adressen Jede Station im IP -Netz muss eine eindeutige Adresse haben. Unter IPv4 sind dies 32-Bit- Werte. x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Um diese besser handhaben zu können werden die Adressen in Dotted Decimal Notation angegeben. Hierzu wird der 32-Bit-Wert in vier Octetts geteilt, die einzeln in das Dezimalsystem gewandelt und durch Punkte getrennt notiert werden. Zum Beispiel Mit 32 Bit ließen sich ca. 4,3 Milliarden einzelne Adressen generieren. Grundgedanke bei IP ist jedoch, diese 32 Bit in zwei Bereiche aufzuteilen. Einen Teil, der ein Netzwerk adressiert und einen Teil, der eine Station (Host) in diesem Netzwerk adressiert. Dies Prinzip lässt sich relativ gut mit Telefonnummern vergleichen und sind zwei solche, jedoch in verschiedenen Ortsnetzen. Der Kenner sieht sofort: die erste Nummer befindet sich im grossen Frankfurt (Vorwahl 069), die zweite im provinziellen Korbach (Vorwahl 05631). Wählt man in Korbach nun die Frankfurter Nummer, erkennt die zuständige Orts-Vermittlungsstelle anhand der Vorwahl 069 (Netz-ID), dass es nach Frankfurt geht und schaltet eine entsprechende Verbindung. Erst die Vermittlungsstelle in Frankfurt kümmert sich dann darum, eine Verbindung zum Teilnehmer (123456) herzustellen. Die Vermittlungsstelle in Korbach muss also nur wissen, an wen sie Informationen zum Frankfurter Netz ausliefern kann. Die Zustellung zum einzelnen Teilnehmer des örtlichen Netzes übernimmt dann die zuständige Ortsvermittlung. Auch in IP-Netzen existieren solche Vermittlungsstellen. Man nennt sie Router. Sie dienen zur Kopplung von IP-Netzen. Da die Router nicht die Teilnehmer aller Netze kennen müssen sondern nur den Weg zum Zielnetz, halten sich die von ihnen zu verwaltenden Datenmengen annähernd in Grenzen. Diese werden in sogenannten Routing-Tables verwaltet. Für IP wurden somit mehrere Klassen von Netzwerken geschaffen. Class A für große, Class B für mittlere und Class C für kleine Netze. Weiterhin existieren noch Class D (Multicast) sowie Class E (für Forschungszwecke reserviert). Bei Class A Netzen wird das erste Octett zur Adressierung des Netzwerkes, die restlichen drei Octetts zur Adressierung eines Hosts in einem dieser Netze genutzt. Bei Class B Netzen verwendet man zwei Octetts zur Netz- und zwei zur Hostadressierung. Analog werden bei Class C die ersten drei Octetts zur Netz- und das letzte zur Hostadressierung verwendet. 3 Nicht nur unterschiedliche Ethernetkarten- auch FDDI, Token- Ring, ISDN, ADSL und andere befremdende Techniken können hier lauern. 4 In grober, nahezu unverzeihbarer Fahrlässigkeit 5 Binär:

7 Class A Net ID Host ID Class B Class C Net ID Net ID Host ID Host ID Doch wie erkennt man anhand der IP -Adresse, um welche Netzklasse es sich handelt? Die Klassen werden durch spezielle Bitmuster im ersten Octett gekennzeichnet. In der folgenden Tabelle sind die Muster sowie daraus abgeleitete Kenngrößen angegeben. Netzklasse 1. Octett binär 1. Octett dezimal Anzahl der Netze 6 Anzahl der Hosts 7 Class A: 0 x x x x x x x = = Class B: 1 0 x x x x x x = = Class C: x x x x x = = 256 Es gibt also recht wenige große Netze (Class A), diese aber mit der aberwitzigen Anzahl von ca. 16 Millionen Stationen pro Netz! Andererseits erscheint ein Class C Netz mit maximal 254 nutzbaren Hostadressen schon für viele LANs als zu gering. Was sagt uns nun beispielsweise die IP -Adresse ? Eine Analyse der einzelnen Octetts hilft weiter: => Class B Netz 2. Class B => Somit dienen die ersten beiden Octetts zur Adressierung des Netzes 3. Netzadresse => Host => 9.77 Doch nicht alle Adressen in einem IP-Netz können genutzt werden. Ist die Host-ID komplett mit Nullen gefüllt, handelt es sich um die Adresse des Netzes selbst. Ist die Host-ID komplett mit Einsen gefüllt, handelt es sich um die Broadcast-Adresse des Netzes. Broadcasts sind Rundrufe im Netz, die jeden Teilnehmer ansprechen. Exemplarisch wird das Netz betrachtet. Eben diese Adresse ist die des Netzes, ist dessen Broadcastadresse. In einem Class C Netz stehen also nur 254 Adressen zur Vergabe an Stationen zur Verfügung. Weiterhin ist das Netz reserviert. Besonders hervorzuheben ist die Adresse Sie ist verknüpft mit dem Namen localhost, einem Spitznamen für den eigenen Rechner. Diese Adresse ist an kein physikalisches Gerät (Netzwerkkarte, Modem etc.) gebunden, man spricht hier vom loopbackdevice. Einige Programme (z.b. X-Windows auf UNIX-Systemen) nutzen es zur Kommunikation zwischen ihren Modulen. Auch ein ping auf diese Adresse ist aufschlussreich. Es wird nämlich ausschließlich der TCP / IP-Stack des Betriebssystems angesprochen. Sollte dieser ping nicht fehlerfrei funktionieren, kann man sich die Suche nach defekten Netzwerkkarten oder Leitungen ersparen, die Software funktioniert nicht. Folgende Zusammenstellung zeigt weitere Bitmuster und deren Sonderfunktionen von IP-Adressen. Einige davon dürfen nur während des Systemstarts verwendet werden. 6 Die abgeleiteten Werte sind als theoretisch anzusehen, sie unterliegen in der Praxis einigen Einschränkungen 7 dito

8 Bitmuster Funktion aktueller Host mit Netzwerkund Host-ID 1) Host ID aktueller Host mit dieser Host- ID im aktuellen Netz 1) Broadcast im lokalen Netz Net ID Broadcast im angegebenen Netz Loopback innerhalb des TCP/IP Stacks, für Testzwecke 1) Nur beim Startup, z.b. DHCP-Client, erlaubt Und wie kommt man an eine IP Adresse? Solange man sein Netzwerk nicht mit dem Internet verbindet, könnte man eigentlich beliebige IP -Adressen verwenden. Besteht allerdings eine Internetverbindung, benötigt man offiziell zugewiesene Adressen. Verwaltet und vergeben werden diese vom NIC (Network Information Center). In Deutschland ist das DeNIC zuständig. Für private Netze sind spezielle Adressbereiche reserviert, die nicht in das Internet geroutet werden. Diese können (gem. RFC 1918) somit hemmungs- und problemlos genutzt werden. Dies sind: bis bis bis Neuerdings wurde von der IANA (Internet Assigned Numbers Authority) auch das Netz für private Netze reserviert, speziell für DHCP-Clients (s.u.), die keinen Server finden. Das ganze hat natürlich auch einen neuen Namen: APIPA (Automatic Privat IP Adressing). Subnetmask Ohne Angabe einer Subnetmask ist keine IP -Adresse eindeutig. Subnetmasks sind wie IP -Adressen 32 Bit-Werte. Die punktierte Dezimalschreibweise hat sich auch hier durchgesetzt. Wie der Name vermuten lässt, dienen Subnetmasks zum Bilden von Unternetzen, indem der vorhandene Host- Adressraum in mehrere Subnetze aufgeteilt wird. Die durch die Maske spezifizierten Bits der IP- Adresse sind als Netzwerkadresse zu interpretieren. Man leiht sich also Bits aus dem Host-Bereich, um diese zur Adressierung von Unternetzen zu missbrauchen. Diese Bits sind immer die MSB s des Hostbereichs! Für jede Netzklasse gibt es eine Standard-Subnetmask, mit der keine Veränderung herbeigeführt wird. Dafür werden einfach alle Bits des Netzbereichs auf 1 und alle Bits des Hostbereichs auf 0 gesetzt.

9 Class A Class B Class C Eine verkürzte Schreibweise hat sich durchgesetzt. Dabei wird nur die Anzahl der Einsen in der Subnetmask angegeben / 16 entspricht also / Um den Netzanteil einer IP Adresse zu bestimmen muss man diese mit der Subnetmask UND verknüpfen. Dadurch wird der Hostanteil der IP ausgeblendet. Beispiel Das Netz soll in 5 Teilnetze aufgeteilt werden. Um 5 Netze zu adressieren, sind 3 Bit notwendig. Dass dadurch letztlich 8 Netze entstehen muss als Kompromiss in Kauf genommen werden. Die Subnetmask hat somit folgende binäre Form: Dies entspricht Betrachten wir das zweite Octett, in dem die Subnetze adressiert werden, so existieren die Verteilungen: 000xxxxx, 001xxxxx, xxxxx: Hieraus lassen sich die Adressbereiche der einzelnen Subnetze ermitteln Nr. 2. Octett binär 2. Octett dezimal Subnetz Hostbereich Broadcast x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

10 Achtung: Kommunikation zwischen den Subnetzen ist nur über Router möglich! Ob mit oder ohne Subnetting, will eine Station ein IP-Paket senden, muss sie prüfen, ob die Empfängeradresse im eigenen Netz ist. Ist dies nicht der Fall, muss die Station das Paket an den Router senden. Die Überprüfung geschieht mit logischen UND-Verknüpfungen in drei Schritten: 1. Eigene IP UND eigene Subnetmask = Ergebnis1 2. Ziel IP UND eigene Subnetmask = Ergebnis2 3. Ergebnis1 = Ergebnis2: gleiches Netz, sonst verschiedene Netze Beispiel Rechner A ( / 8) pingt auf Rechner B ( ). 1. Eigene IP Subnetmask E1 = Ziel IP Subnetmask AND = E E1 = E2 gleiches Netz Fragmentierung Um nun möglichst friedfertig mit dem Networkdevice umzugehen, kennt IP dessen max. Rahmenlänge (MTU) und passt seine Datagrammgröße daran an. Aber was widerfährt dem Datagramm, wenn es das LAN verlässt? Unbekannte Übertragungsstrecken mit noch ungeahnten MTU s lauern dort. Was droht, wenn die MTU des Datagramms zu groß für das neue Übertragungsnetz ist? Kleinhacken und dann an anderer Stelle wieder zusammenbasteln! Diese Pressfleisch- Methode nennt man Fragmentieren. Multicast-Adressen Bei Netzwerkanwendungen wie Videoconferencing" benötigen mehrere Clients gleichzeitig die selben Daten. IP müsste diese für jeden Client einzeln adressieren und versenden. Bei 30 Clients also jeweils 30 Datagramme mit identischem Inhalt aber differenter Ziel-IP. Eine unnötige Server- und Netzwerkbelastung. Abhilfe schaffen hier Mutlicastadressen. Diese umfassen den Bereich der Netzklasse -D, von bis

11 Für Teilnehmer an einer Multicast-Session wird vom Server jeweils nur ein Datagramm mit einer vereinbarten Multicast-Ziel Adresse generiert und versendet. Alle Teilnehmer an dieser Session reagieren dann auf dies Datagramm. Format eines IP-Datagramms Version IP-Protokollversion IHL (Internet Header Length) Die Angabe der Länge des IP -Headers erfolgt in 32- Bit-Worten. Da das Feld Options nicht unbedingt auf Wortlänge endet, wird der Header gegebenenfalls aufgefüllt. Type of Service Total Length Identification Alle Bits haben nur "empfehlenden" Charakter. 'Precedence' bietet z.b. die Möglichkeit, Steuerinformationen vorrangig zu befördern. Gesamtlänge des Datagramms in Bytes. Eindeutige Kennung eines Datagramms. Dieses und die beiden folgenden Felder steuern die Reassembly. Anhand dieses Feldes und der 'Source Address' ist die Zusammengehörigkeit von Fragmenten zu detektieren. Flags Die beiden niederwertigen Bits haben folgende Bedeutung: Don't fragment: Für Hosts, die keine Fragmentierung unterstützen More fragments: Zum Erkennen, ob alle Fragmente eines Datagramms empfangen wurden Fragment Offset Time-to-live (TTL) Protocol Die Datenbytes eines Datagramms werden numeriert und auf die Fragmente verteilt. Das erst Fragment hat Offset 0, für alle weiteren erhöht sich der Wert um die Länge des Datenfeldes eines Fragments. Jedes Datagramm hat eine vorgegebene maximale Lebensdauer, die hier angegeben wird. Auch bei Routing-Fehlern (z. B. Schleifen) wird das Datagramm irgendwann aus dem Netz entfernt. Jeder Router sollte diesen Wert um 1 dekrementieren. Da sich unterschiedliche Protokolle auf IP stützen, muß das übergeordnete Protokoll (ULP, Upper Layer Protocol) angegeben werden. Einige ULPs sind 1: ICMP Internet Control Message P. 3: GGP Gateway-to-Gateway P. 6: TCP Transmission Control P. 8: EGP Exterior Gateway P. 17: UDP User Datagram P.

12 Header Checksum Source Address Destination Address Options Padding Prüfsumme nur über den IP -Header IP-Adresse des Absenders IP-Adresse des Empfängers Optionales Feld für weitere Informationen Füllbits, um die Headerlänge ggf. auf ein Vielfaches von 32 Bit zu ergänzen. Routing Router dienen als Vermittler zwischen IP -Netzen. Adressiert ein Rechner ein Ziel, dessen IP sich außerhalb seines (Sub-) Netzes befindet, so sendet er das Paket an seinen Router 8 (s.o.). Dieser entscheidet anhand seiner Routingtabellen, wohin er dieses Paket weiterreicht. Entweder kann er das Ziel direkt adressieren oder er leitet das Paket an einen anderen Router weiter. Die Notwendigkeit, die Routingtabellen auch in grossen Netzwerken auf eine handhabbare Grösse zu beschränken, war die Intention für die Aufteilung des IP -Adressraums in Netzwerkklassen (s.o.). Router kennen entweder einen direkten Weg zum Ziel oder sie kennen einen anderen Router, der über weitere Informationen zur Zieladressierung verfügt. Daher müssen Sie nur die Kenntnis über einen begrenzten Ausschnitt des Netzwerks haben, nicht jedoch das ganze Netz persönlich kennen. Sie können aber ihre Tabellen dynamisch abgleichen und aktualisieren. Dadurch kann im Netz dynamisch auf Ausfälle einzelner Knoten reagiert werden. Jedoch tauschen die Router dann beispielsweise alle 30 sec. ihre Tabellen aus, was bei entsprechend grossen Tabellen eine ganz gehörige Netzlast erzeugen kann. Als Protokolle kommen u.a. RIP (Routing Information Protocol), RIP2 und OSPF (Open Shortest Path First) zum Einsatz. Beispielhaft hier die Rotuingtabelle eines Routers unter LINUX: 9 Destination Gateway Genmask Flags Metric Ref Use Iface * U eth * U eth UG eth0 default UG eth0 Da Router die über ihre Networkdevices ein- und ausgehenden Datenpakete bis auf den Internetlayer ( OSI 3) auspacken, um Source und Destination IP zu ermitteln, eignen sie sich auch wunderbar dazu, diesen Datenverkehr zu kontrollieren. Router trennen Broadcastdomains so, dass der ARP-Request einer Arbeitsstation nicht durch das ganze weltweite Firmennetz (oder gar Internet) geleitet wird sondern lokal begrenzt bleibt (vgl. Trennung der Collision-Domains durch Switches). Broadcasts werden nicht geroutet! 8 Fatalerweise wird er unter den meisten Betriebssystemen Default Gateway genannt. Echte Gateways sind aber nicht Bestandteil des Internetlayers ( OSI- 3) sondern des Application- Layers ( OSI- 7). 9 In diesem Router sind offenbar zwei NICs, eth0 und eth1. Diese befinden sich in den Netzen / 8 und / 24 => hierfür ist der Rechner selbst das Default Gateway (*). Als Router ( Gateway ) in das Netz / 16 ist der Router mit der IP (über eth0) eingetragen. Der letzte Eintrag, die Default Route, wird genutzt, wenn keine andere Route greift.

13 Mit geeigneter Zusatzsoftware können Router Filterregeln auf den Datenverkehr anwenden. Pakete von bzw. an entsprechende Netze/ Hosts können weitergereicht oder abgeblockt werden. Man spricht in diesem Fall von einer Firewall (genau: Paketfilter auf OSI-Layer 3). Classless InterDomain Routing -CIDR Die Aufteilung des Adressraums in Klassen führte zwar zu Routingtabellen mit handhabbaren Größen, allerdings auch zu einer großen Verschwendung von IP -Adressen. Heute zu Tage ist für viele Firmen ein Class-C-Netz zu klein, ein Class B-Netz aber nicht verfügbar. Als kurzfristige Lösung, bevor IPv6 flächendeckend verfügbar ist, wurde CIDR entwickelt (RFC 1519). Danach wird die Welt in vier Regionen geteilt, denen jeweils ein zusammenhängender Bereich der noch freien Class-C-Adressen zugeordnet wird Europa Nordamerika Mittel- und Südamerika Asien und pazifischer Raum Reserviert für zukünftige Nutzung Benötigt ein Unternehmen nun beispielsweise 1000 IP -Adressen, bekommt es einfach aus dem entsprechenden Pool vier benachbarte Netze zugewiesen. Damit daraus ein zusammenhängendes Netz wird, muss das Gegenteil von Subnetting stattfinden- Supernetting. Eine geeignete Subnetmask muss also verwendet werden. 10 ARP Nun sind IP-Adressen ja eine schöne Erfindung- logisch... wie gesagt. Blöd ist aber, dass auf dem Networklayer (da, wo physikalisch adressiert wird) unsere schicken IP-Adressen keine Relevanz besitzen. Hier müssen Hardwareadressen ran. Um die notwendige Verknüpfung zwischen IP - und MAC- Adressen herzustellen, dient das ARP (Adress Resolution Protocol). Jede Station verwaltet ihren eigenen ARP-Cache. Dieser beinhaltet aktuelle Bezüge von IP -Adres sen zu MAC-Adressen. Soll an eine Station gesendet werden, deren MAC noch nicht im ARP-Cache des Senders eingetragen ist, broadcastet dieser einen ARP-Request (MAC-Broadcast an ff:ff:ff:ff:ff:ff ). Die angesprochene Station ist clever und vermerkt die Zuordnung von Sender-IP zu Sender-MAC in ihrem ARP-Cache. Danach antwortet sie pflichtbewusst auf die Anfrage. Beispiel: 10 Spätestens seit CIDR sollte auch mit der Unsitte aufgeräumt sein, dass beim Subnetting das erste und das letzte Subnetz nicht genutzt werden dürfen.

14 PC_1 IP MAC: "A" PC_2 IP MAC: "B" PC_3 IP MAC: "C" ping ARP- Cache C Ethernet ARP- Cache B C PC_4 IP MAC: "D" PC_1 IP MAC: "A" PC_2 IP MAC: "B" PC_3 IP MAC: "C" ARP- Cache C ARP Broadcast from A "Who has ? Tell !" ARP- Cache B C PC_4 IP MAC: "D"

15 PC_1 IP MAC: "A" PC_2 IP MAC: "B" PC_3 IP MAC: "C" ARP- Cache C Ethernet ARP- Cache B C A PC_4 IP MAC: "D" PC_1 IP MAC: "A" PC_2 IP MAC: "B" PC_3 IP MAC: "C" ARP- Cache C ARP- Reply From Ethernet at D To ARP- Cache B C A PC_4 IP MAC: "D"

16 PC_1 IP MAC: "A" PC_2 IP MAC: "B" PC_3 IP MAC: "C" ARP- Cache C D Ethernet ARP- Cache B C A PC_4 IP MAC: "D" DHCP Das Dynamic Host Configuration Protocol ermöglicht die dynamische Vergabe von IP -Adressen. D.h.: Clients benötigen keine lokal eingetragene IP sondern erbeten diese von einer höheren Instanz, dem DHCP-Server. Dieser verwaltet einen zu vergebenden IP-Adressraum (IP-Range). Hierzu senden DHCP-Clients beim Boot einen DHCP-Request (IP-Broadcast von an ), um vom DHCP-Server eine gültige IP-Adresse zu bekommen. Die zugewiesene IP-Adresse hat i.d.r. eine vom Server bestimmte Gültigkeitsdauer ( Leasetime ). Folgendes Protokoll zeigt die Netzwerkbemühungen eines startenden Windows98SE-DHCP-Clients (MAC: 00:e0:4c:59:3:c5), dessen eingetragener DHCP-Server nicht antwortete: No. 1-3 zeigen typische DHCP-Requests des Clients; No. 4 zeigt dann einen APIPA-ARP Request auf die IP ; Nachdem dieser ARP -Request nicht beantwortet wurde, mopste sich der Client besagte IP und funkte damit im Netz herum! APIPA Ahoi!

17 Besser der folgende Fall... Dieser zeigt den gleichen Client, jedoch bei reagierendem DHCP-Server: No. 1 zeigt den typischen DHCP -Request,.Der Server (MAC 00:50:da:4f:55:83) reagiert und plant die IP zu vergeben. Dies ist hier natürlich nicht sichtbar. No 2,3: hier testet der Server vorsichtshalber mittels ARP-Request, ob die IP nicht schon belegt ist. Immerhin könnte sie statisch vergeben sein No zeigen, wie der Server und der Client sich- letztlich gütig- auf die Client-IP einigen. No. 12: Hier versucht nun der Client, seine eigene IP auf Gültigkeit zu prüfen. ISPs (Internet Service Provider) setzen DHCP bei Wählverbindungen ein, um ihre begrenzte Anzahl öffentlicher IP -Adressen auf die eingewählten Teilnehmer zu verteilen. Folge: Bei jeder neuen Einwahl erhält der Client i.d.r. eine neue IP-Adresse. Administratoren setzen DHCP in LANs ein, um sich die Verwaltung der Clients zu erleichtern. Aber Vorsicht: niemals mehr als einen DHCP Server pro Broadcast-Domain, sonst ist nicht sichergestellt, welcher Server wem, womit antwortet (=> Admins Heaven ). Bei weitergehenden Überlegungen stellt man schnell fest, dass das klassische Konzept der dynamischen IP -Adressvergabe auch mit dem des DNS kollidiert.

18 Transport Layer TCP Dieses Protokoll implementiert einen verbindungsorientierten, sicheren Transportdienst als Schicht-4- Protokoll. Die Sicherheit wird durch positive Rückmeldungen (acknowledgements) und Wiederholung fehlerhafter Blöcke erreicht. Fast alle Standardanwendungen vieler Betriebssysteme nutzen TCP und das darunterliegende IP als Transportprotokoll, weshalb man die gesamte Protokollfamilie allgemein unter 'TCP/IP' zusammenfaßt. TCP läßt sich in lokalen und weltweiten Netzen einsetzen, da IP und die darunterliegenden Schichten mit den unterschiedlichsten Netzwerk-und Übertragungssystemen arbeiten können (Ethernet, Funk, serielle Leitungen,...). Zur Realisierung der Flußkontrolle wird ein Fenstermechanismus (sliding window). TCP-Verbindungen sind vollduplex. Wie bei allen verbindungsorientierten Diensten muß zunächst eine virtuelle Verbindung aufgebaut und bei Beendigung der Kommunikation wieder abgebaut werden. "Verbindungsaufbau" bedeutet hier eine Vereinbarung beider Stationen über die Modalitäten der Übertragung (z. B. Fenstergröße, Akzeptieren eines bestimmten Dienstes, usw.). Ausgangs- und Endpunkte einer virtuellen Verbindung werden durch Ports identifiziert. Die Fenstergröße gibt an, wieviel Bytes gesendet werden dürfen, bis die Übertragung quittiert werden muß. Erfolgt keine Quittung, werden die Daten nochmals gesendet. Die empfangene Quittung enthält die Nummer des Bytes, das als nächstes vom Empfänger erwartet wird - womit auch alle vorhergehenden Bytes quittiert sind. Die Fenstergröße richtet sich zunächst nach der maximalen Größe eines IP-Datagramms, sie kann aber dynamisch mit der Quittung des Empfängers geändert werden. Werden die Ressourcen knapp, wird die Fenstergröße verringert. Beim Extremfall Null wird die Übertragung unterbrochen, bis der Empfänger erneut quittiert. Neben einem verläßlichen Datentransport ist so auch die Flußkontrolle gewährleistet. Die TCP-Übertragungseinheit zwischen Sender und Empfänger wird als 'Segment' bezeichnet. Jedem TCP-Block ist ein Header vorangestellt, der aber wesentlich umfangreicher als die bisherigen ist: Format eines TCP-Headers Source Port Destination Port Sequence Number Identifiziert den sendenden Prozeß. Identifiziert den Prozeß des Zielknotens. TCP betrachtet die zu übertragenden Daten als numerierten Bytestrom, wobei die Nummer des ersten Bytes beim Verbindungsaufbau festgelegt wird. Dieser Bytestrom wird bei der Übertragung in Blöcke (TCP -Segmente) aufgeteilt. Die 'Sequence Number' ist die Nummer des ersten Datenbytes im jeweiligen Segment (--> richtige Reihenfolge über verschiedene Verbindungen eintreffender Segmente wie-

19 derherstellbar). Die verwendete initiale Sequence Number einer Verbindung sollte vom Betriebssystem zufällig gewählt werden. Acknowledgement Number Data Offset Reserved Code Window Checksum Urgent Pointer Options Hiermit werden Daten von der Empfängerstation bestätigt, wobei gleichzeitig Daten in Gegenrichtung gesendet werden. Die Bestätigung wird also den Daten "aufgesattelt" (Piggyback). Die Nummer bezieht sich auf eine Sequence-Nummer der empfangenen Daten; alle Daten bis zu dieser Nummer (ausschließlich) sind damit bestätigt --> Nummer des nächsten erwarteten Bytes. Die Gültigkeit der Nummer wird durch das ACK-Feld (--> Code) bestätigt. Da der Segment -Header ähnlich dem IP -Header Optionen enthalten kann, wird hier die Länge des Headers in 32-Bit-Worten angegeben. Reserviert für spätere Nutzung Angabe der Funktion des Segments: URG Urgent-Pointer (siehe unten) ACK Quittungs -Segment (Acknowledgement -Nummer gültig) PSH Auf Senderseite sofortiges Senden der Daten (bevor Sendepuffer gefüllt ist) und auf Empfangsseite sofortige Weitergabe an die Applikation (bevor Empfangspuffer gefüllt ist) z. B. für interaktive Programme. RST Reset, Verbindung abbauen SYN Das 'Sequence Number'-Feld enthält die initiale Byte-Nummer (ISN) Numerierung beginnt mit ISN + 1. In der Bestätigung übergibt die Zielstation ihre ISN (Verbindungsaufbau). FIN Verbindung abbauen (Sender hat alle Daten gesendet), sobald der Empfänger alles korrekt empfangen hat und selbst keine Daten mehr loswerden will. Spezifiziert die Fenstergröße, die der Empfänger bereit ist anzunehmen, kann dynamisch geändert werden. Prüfsumme über Header und Daten. Markierung eines Teils des Datenteils als dringend. Dieser wird unabhängig von der Reihenfolge im Datenstrom sofort an das Anwenderprogramm weitergegeben (URG-Code muß gesetzt sein). Der Wert des Urgent-Pointers markiert das letzte abzuliefernde Byte; es hat die Nummer <Sequence Number> + <Urgent Pointer>. Dieses Feld dient dem Informationsaustausch zwischen beiden Stationen auf der TCP -Ebene, z. B. die Segmentgröße (die Ihrerseits von der Größe des IP-Datagramms abhängen sollte, um den Durchsatz im Netz optimal zu gestalten).

20 TCP-Handshake Um eine TCP -Verbindung auf- bzw. wieder abzubauen dienen Handshake-Verfahren. Dadurch wird sichergestellt, dass der Kommunikationspartner existiert und kommunikationsbereit ist oder die existierende Verbindung wird geregelt abgebaut. Verbindungsaufbau: Verbindungsabbau: Schritt 1: Schritt 2: Schritt 3: Der Client sendet hierzu ein TCP-Segment (Sequencenumber x) mit gesetztem syn-bit an den Socket des Servers. Dieser antwortet durch ein TCP-Segment mit gesetzten syn- und ack-bits (Sequencenumber y und Acknowledgement Number x+1) Der Client etabliert die Verbindung nun endgültig durch ein Segment mit gesetztem ack-bit (Sequencenumber x+1 und Acknowledgement Number y+1) Beim Verbindungsabbau wird das fin-bit statt des syn-bits verwendet. Er kann entweder durch: 4 Segmente (jeder Partner sendet jeweils ein Segment mit gesetztem fin-bit und ein Segment mit gesetztem fin-bit + ack-bit) oder 2 Segmente (beide Partner senden jeweils ein Segment mit gesetztem fin- und fin+ack-bit) TCP-Handshake beim Berbindungsabbau TCP-Handshake beim Verbindungsaufbau