109.1: Fundamentals of internet protocols 109.2: Basic network configuration 109.3: Basic network troubleshooting 109.4: Configure client side DNS

Transkript

1 LPI-Zertifizierung 109.1: Fundamentals of internet protocols 109.2: Basic network configuration 109.3: Basic network troubleshooting 109.4: Configure client side DNS Landesakademie für Fortbildung und Personalentwicklung an Schulen Baden-Württemberg Copyright ( ) 2008, 2009 by Andreas Grupp This work is licensed under the Creative Commons Attribution-Noncommercial-Share Alike 2.0 Germany License. To view a copy of this license, visit or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

2 LAN-Adressierung Damit Rechner untereinander kommunizieren können, benötigen sie im LAN eine Hausnummer - eine Rechner- Adresse. Um zielgerichtet kommunizieren zu können, muss diese Adresse eindeutig sein. Hallo 4 hier hast Du was! Hallo 1, Danke für die Botschaft! Nur der angesprochene Rechner reagiert. Alle anderen Rechner ignorieren Message.

3 Adressen bei mehreren Netzen A.1 A.2 A.3 A.4 A.5 B.1 B.2 B.3 B.4 B.5 A.6 Gateway/ Router Netz A Campus Area Network Metropolitan Area Network Wide Area Network (WAN) z.b. Internet Gateway's/Router verbinden LANs/WANs Mehrdeutige Adressen werden durch einen Netzwerk- Identity-Prefix verhindert. Netz B So ist es wieder möglich, dass der Rechner A.3 zielgerichtet mit dem Rechner B.5 kommuniziert. B.6

4 IP-basierende Netzwerke (IPV4) Verwenden eine 32-Bit-Rechneradresse. Rechneradresse enthält Netz-ID und Rechner-ID. Beispiel: Netz-ID Rechner-ID Trennlinie für beide ID's wird durch eine überlagerte 32-Bit Netz-Maske realisiert u. angegeben

5 Darstellung von IP-Adressen 32-Bit-Ziffern sind schlecht zu merken. Zur einfacheren Darstellung werden die einzelnen Bytes (4x8 Bit) deshalb getrennt und als Dezimalzahl geschrieben. Zur Trennung wird jeweils ein Dezimalpunkt verwendet Damit ergibt sich für dieses Beispiel die IP-Adresse

6 Darstellung der Netzmaske Für die Netzmaske gibt es wie bei den IP-Adressen die Variante "dotted-decimal"/"dotted-quad" um eine übersichtlicher Darstellung zu erhalten. Im vorigen Beispiel wäre dies also die Netzmaske Gesamt: / Die einfache Struktur einer Netzmaske erlaubt eine noch einfachere Art der Darstellung. Dabei wird nur die Anzahl der 1 -Bit's angegeben. Beispiel: /24 Diese Variante wird auch als CIDR-Darstellung bezeichnet.

7 Broadcast- und Netz-Adresse Die unterste Adresse eines Netz-Adressbereichs sollte/kann nicht für einen Rechner verwendet werden. Gründe: Historisch da FreeBSD die als Broadcast- Adresse verwendet hat. Die oberste Adresse eines Netz-Bereichs darf nicht für einen Rechner verwendet werden da sie (jetzt per RFC- Definition) die Broadcast-Adresse ist. Ein Datenpaket mit der Broadcast-Adresse als Zieladresse wird von allen Rechnern im LAN empfangen und verarbeitet. Im vorigen Beispiel (24-Bit Netzmaske) wäre die Broadcast-Adresse also und die Netz- ID

8 Gateway, Default Route Rechner: Ziel-IP "log. UND" eigene SN-Maske => Netz-ID mit eigener Netz-ID identisch? Falls ja: IP-Paket wird auf LAN-Ebene direkt an Empfänger adressiert (via MAC-Adresse Empfänger) Falls nein: IP-Paket wird auf LAN-Ebene an Gateway gesendet (via MAC-Adresse des Gateways) Zuordnung IP <=> MAC via ARP

9 Gateway, Default Route r-andreas:~ # ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=3.10 ms r-andreas:~ # ping -c 1 PING ( ) 56(84) bytes of data. 64 bytes from ( ): icmp_seq=1 ttl=54 time=20.7 ms r-andreas:~ # arp -n Address HWtype HWaddress Flags Mask Iface ether 00:0D:88:FC:C0:5F C eth ether 00:09:52:01:21:3A C eth0 r-andreas:~ # route -n Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface U eth U lo UG eth0

10 Routen setzen Für aktive Interfaces bzw. IP-Adressen auf einem Interface automatische Route Default-Route mit IP-Adresse od. Hostname des Gateways möglich: route add default gw Default-Route wird meist auch automatisch über DHCP- Client gesetzt Beispiel für Setzen einer statischen Route: route add -net netmask dev eth0 route add -net netmask gw router Anzeige der Routing-Tabelle: route [-n], ip route [show], netstat -r

11 /sbin/route Die Routingtabelle existiert nicht als Datei, sondern nur im Kernelspeicher. route muss also nach jedem Systemstart neu ausgeführt werden. route Anzeige der aktuellen Routingtabelle route -n Numerische Anzeige ohne Namensauflösung Beispiel: r-laptop4:~ # route -n Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface UH tun UGH tun U vmnet U eth UG tun UG tun U vmnet U lo UG eth0 Flags (Auswahl): U Route ist "up" H Ziel der Route ist ein einzelner Host G Route führt zu einem Gateway

12 Netzklassen Präfix Adressbereich NM Netze Hosts A B C D Multicast-Adr. E Reserviert Netzklassen haben praktisch keine Bedeutung mehr! Mehr oder weniger Auflösung mit Einführung von Variable Length Subnet Mask (VLSM) und Classless Inter Domain Routing (CIDR) Falls bei manchen Tools aber z.b. keine Angabe zur Netzmaske Rückgriff auf Default für Klasse

13 Private IP-Bereiche Reserviert für private Netze: / / /16 (od /12) / /24 (od /16) Link Local für autom. private Netze (APIPA, Zeroconf): Gesamter "Link Local" Bereich ist / / /24 für APIPA frei /24 u /24 von IANA reserviert. Hosts aus "privaten Adressbereichen" benötigen für den Zugang zum Internet eine "Network Address Translation (NAT)". Im Linux-Umfeld hört man meist nur "IP- Masquerading was aber nur eine NAT-Spezialform ist.

14 Localhost IP-Adresse auf eigenen Rechner abgebildet Wird normalerweise auf Loopback-Interface gelegt Erreichbarkeits-Test z.b. mit einem ping testet "nur" den lokalen TCP/IP-Stack aber keine Netzwerkkarte. "localhost" als zugeordneter Namen für Für lokalen Rechner sogar ganzes Netzwerk /8 reserviert (siehe auch zugehörige Route unter Linux). Unter Linux kommunizieren etliche Dienste untereinander über die localhost-adresse.

15 IP-Adressierung - Aufgaben Gültige IP-Adresse? /23 Gültige IP? / Netzmaske: Netz: /22 Netz-ID, IP-Range, Broadcast? /16 LAN-Server? Öffentl. Webserver? LAN-Server? Öffentl. Webserver? /16 LAN-Server? Öffentl. Webserver?

16 Netzwerk-Konfiguration Eigentliche Konfiguration erfolgt mit ip bzw. ifconfig. ip ist wesentlich mächtiger aber auch komplexer (erlaubt aber auch User Abfragen) ifconfig ist zumindest zur Diagnose der vorhandenen Netzwerk-Karten sinnvoll. Einzelne Karte durch Angabe der Device-Bezeichnung. Beispiel: ifconfig eth0 r-andreas:/sbin # ip addr show dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 100 link/ether 00:30:05:40:51:33 brd ff:ff:ff:ff:ff:ff inet /24 brd scope global eth0 r-andreas:/sbin # ifconfig eth0 eth0 Link encap:ethernet Hardware Adresse 00:30:05:40:51:33 inet Adresse: Bcast: Maske: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 Sendewarteschlangenlänge:100 RX bytes: ( Mb) TX bytes: (460.8 Mb)

17 ifconfig Hierfür gibt es den Befehl ifconfig. Voraussetzung ist, dass das Interface existiert, d.h. entspr. Kernelmodule geladen sind. ifconfig <interface> <optionen> ifconfig lo ifconfig eth broadcast netmask Ohne Optionen listet ifconfig die verfügbaren Interfaces und deren Konfiguration auf Gängige Optionen: <IP-Adresse> - Die auf dem Interface zu setzende IP-Adresse netmask <mask> - Die Netzmaske des Interfaces add zum Hinzufügen weiterer IP-Adressen down Interface runterfahren up Interface hochfahren Aktuelle Versionen von ifconfig setzen bzw. entfernen automatisch Routingeinträge für das Interface

18 Netzwerk-Konfiguration mit ifconfig ifconfig eth0 [down up] dient zum Start bzw. Stop eines Interface's (hier eth0) ifconfig -a Zeigt auch down -Interfaces an (erkennbar falls Schlüsselwort UP in den Device- Eigenschaften 3. Zeile fehlt). ifconfig eth0 netmask konfiguriert ein Interface Zweite IP-Nummer auf eine Netzwerk-Karte mit ifconfig eth0: Anschließend setzen der Netzmaske, z.b.: ifconfig eth0:1 netmask

19 Netzwerk-Konfiguration mit ip Kontrolle der bisherigen Device-Einstellungen: ip link show [eth0] (ohne Device ganze Liste) 3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:0d:88:fc:c0:5c brd ff:ff:ff:ff:ff:ff Interface starten bzw. Stoppen (hoch/runterfahr.): ip link set {up down} dev eth0 IP-Adresse auf Interface binden: ip address add dev eth0 local \ /24 broadcast + Beispiel zur Kontrolle der IP-Einstellungen: ip address show dev eth0 3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:0d:88:fc:c0:5c brd ff:ff:ff:ff:ff:ff inet /24 brd scope global eth0 inet6 fe80::20d:88ff:fefc:c05c/64 scope link valid_lft forever preferred_lft forever

20 ifup, ifdown Implementierung / Verhalten distributionsabhängig z.b. Debian-Varianten: Binary (in Wirklichkeit auch nur eines, Hardlink) Konfiguration via /etc/network/interfaces ifup -a / ifdown -a / ifup eth0 z.b. Red-Hat/SUSE Shellskript (auch nur eines, Symlink) Konfig. via Konfig.-Dateien /etc/sysconfig/network Kein ifup -a, aber ifup eth0 usw.

21 Netzkonfiguration bei Debian/Ubuntu Variante 1: NetworkManager überwacht Kernel-Events und startet Interfaces selbstständig. Sinnvoll für Desktopsysteme. In der Ubuntu-Oberfläche wird dies als Roaming Mode bezeichnet. Variante 2: Netzwerkkarte(n) werden beim Booten bzw. Shutdown über Skripte gestuert. Für Server sinnvoll! Konfiguration via /etc/network/interfaces Siehe hierzu auch man interfaces

22 Netzkonfiguration bei opensuse,... Variante 1: NetworkManager überwacht Kernel-Events und startet Interfaces selbstständig. Sinnvoll für Desktopsysteme. Variante 2: Netzwerkkarte(n) werden beim Booten bzw. Shutdown über Skripte gesteuert. Für Server sinnvoll! Konfiguration via einzelne Steuerdateien im zentralen Konfigurationsverzeichnis /etc/sysconfig/network Konkret z.b. /etc/sysconfig/network/ifcfgeth0 BOOTPROTO='dhcp' BROADCAST='' ETHTOOL_OPTIONS='' IPADDR='' MTU='' NAME='82801DB PRO/100 VE (LOM) Ethernet Controller' NETMASK='' NETWORK='' STARTMODE='auto'

23 Datenfluss im Netz Kapselung Routing Entkapselung Modifizierte Grafiken von "Kbrose" - Wikipedia

24 Wichtigste Protokolle im TCP/IP Transport-Layer TCP, RFC793 Verbindungsorientiert Segmente als PDU Zuverlässig Geordnete Datenrekonstruktion beim Empfänger (Reassemblierung) Flusskontrolle Overhead min. 20 Octets Bsp.: http, smtp, ftp UDP, RFC768 Verbindungslos (Transaktionsorientiert) Datagramme als PDU "Best effort" Ansatz Kleiner Overhead von 8 Octets Bsp.: DNS, VoIP, Videostr., Spiele, SNMP, TFTP, DHCP, RIP

25 Applikations-"Multiplexing" Ports bis 1023 sind "well known ports" Ports von 1023 bis werden vom OS dynamisch zugewiesen od. können vom User für spezifische Server-Applikationen verwendet werden sieher hierzu auch die Datei /etc/services Layer 5-7 ftp telnet smtp dns http dns Application-Layer der DOD- Protocol-Suite tftp snmp syslog rip Ports Layer 4 TCP Transport-Layer UDP Layer 3 DOD-Internet-Layer (IP-Protocol)

26 /etc/services... finger 79/tcp # Finger finger 79/udp # Finger # David Zimmerman <dpz&rutgers.edu> http 80/tcp # World Wide Web HTTP http 80/udp # World Wide Web HTTP www 80/tcp # World Wide Web HTTP www 80/udp # World Wide Web HTTP www-http 80/tcp # World Wide Web HTTP www-http 80/udp # World Wide Web HTTP # Tim Berners-Lee <timbl&w3.org> http 80/sctp # HTTP # IETF TSVWG # Randall Stewart <rrs&cisco.com> # [RFC4960] # 81 Unassigned (Removed on )... Dient u.a. C-Funktionen wie getservbyname() zur Zuordnung eines Protokollbezeichners zu einem Port Aufgeführte Ports bedeuten nicht, dass hier ein Dienst läuft!

27 LPIC relevante Ports 20 ftp-datenkanal 21 ftp-kontrolkanal 22 Secure Shell (SSH) 23 Telnet 25 Simple Mail Tranfer Protocol (SMTP) 53 Domain Name System (DNS) 80 Hypertext Transfer Protocol (HTTP) 110 Post Office Protocol V3 (POP3) 119 Network News Transfer Protocol (NNTP) 139 NetBIOS Session Service (Microsoft/SMB Datei- und Druckshare) 143 Internet Mail Access Protocol (IMAP) 161 Simple Network Management Protocol (SNMP) 443 HTTPS (HTTP über SSL/TLS) 465 SMTPS (SMTP über SSL/TLS, nicht registriert) 993 IMAPS (IMAP über SSL/TLS) 995 POP3S (POP3 über SSL/TLS)

28 /bin/netstat Abhängig von Optionen, zeigt netstat Infos u.a. über Netzverbindungen, Routingtabellen und Interface-Statistiken. Häufige Optionen: -c kontinuierliche Anzeige -i Verbindungsstatistik der Interfaces -r Routingtabelle (wie route) -n Numerischer Modus netstat -t, -u, -w, -x, -a zeigt die aktiven Sockets für TCP, UDP, RawIP, Unix oder Alle. r-laptop4:~ # netstat -rn Kernel IP Routentabelle Ziel Router Genmask Flags MSS Fenster irtt Iface UH tun UGH tun U vmnet U eth UG tun UG tun U vmnet U lo UG eth0

29 /bin/netstat r-laptop3:~ # netstat -i Kernel Schnittstellentabelle Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth BMRU eth BMU lo LRU vmnet BMRU vmnet BMRU r-andreas:~ # netstat -tn Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State tcp : :80 VERBUNDEN tcp : :57348 VERBUNDEN tcp : :34794 VERBUNDEN tcp : :22 TIME_WAIT tcp : :2049 VERBUNDEN tcp : :993 CLOSE_WAIT tcp : :993 VERBUNDEN tcp : :111 TIME_WAIT tcp : :989 TIME_WAIT

30 ICMP das Internet Control Message Protocol Ein paar Messagetypen: Host confirmation (echo-request u. -Reply, z.b. ping) Unreachable Destination oder Service mit Codes 0 = net unreachable 1 = host unreachable 2 = protocol unreachable 3 = port unreachable Time exceeded (gezielte Ausnutzung bei traceroute)... Achtung: Firewalls sperren manche ICMP-Typen (Windows-Firewall sperrt sogar echo-request)

31 ping Sendet ICMP ECHO_REQUESTs an Zielhost Wartet auf ICMP ECHP_REPLY und zeigt Round-Trip- Time (RTT) an Linux-ping sendet dauerhaft (Abbruch mit Strg + C) Vielzahl an Parametern (siehe man-page) -t Time to live einstellen -c Anzahl der pings begrenzen -Q Quality of service -s Größe des Datenbereichs (Default 56)

32 traceroute traceroute testet jeden Hop (Router) auf dem Weg von der Quelle zum Ziel über UDP-Datenpaket mit gezielt gesetztem TTL-Wert: Time to live -Wert (TTL) wird pro Hop dekrementiert Bei TTL=0 sendet Hop-Router normalerweise eine ICMP Time to live exceeded Meldung an Quelle zurück. traceroute startet mit TTL=1 und inkrementiert dann den TTL-Wert fortlaufend (je 3 Proben pro Hop) Misst wie ping die Round-Trip-Time (RTT) Div. Security-Appliances verweigern Erzeugung von Time-to-live-exceeded Meldungen * in traceroute

33 traceroute Auch traceroute hat eine Fülle an Optionen: -p um Zielport für Testpacket festzulegen -f Startwert für TTL festlegen (Default ist 1) -n Nummerische Darstellung ohne Namensaufl. -m maximale Hopanzahl (Default 30) Üblicherweise nur für root verfügbar (in sbin-verzeichnis) r-andreas:/sbin # traceroute traceroute to ( ), 30 hops max, 40 byte packets using UDP 1 server.grupp.private ( ) ms ms ms 2 router.grupp.private ( ) ms ms ms 3 * * * ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 7 heise2.f.de.plusline.net ( ) ms ms ms 8 * * * 9 * * heise2.f.de.plusline.net ( )(N!) ms

34 tracepath Alternative zu traceroute Startet Analyse schon auf lokalem Rechner Versucht zusätzlich Erkennung der "Maximum Transfer Unit (MTU)" auf einzelnen Abschnitten der Gesamtroute Soll nicht nur für root sondern auch für User verfügbar sein (bei opensuse z.b. derzeit nicht) r-andreas:/sbin # tracepath 1: r-andreas.grupp.private ( ) 0.244ms pmtu : server.grupp.private ( ) 0.893ms 2: router.grupp.private ( ) 1.638ms 3: p549edc5c.dip.t-dialin.net ( ) 1.943ms pmtu : ( ) ms 5: ( ) asymm ms 6: ( ) asymm ms 7: heise2.f.de.plusline.net ( ) asymm ms 8: heise2.f.de.plusline.net ( ) asymm ms!H Resume: pmtu 1492

35 Bsp.-Anwendungen telnet User-Frontend für das Telnet-Protokoll. Wird meist für Remote-Zugang zu Server verwendet. Kann aber auch für Protokolltests auf andere Dienste verwendet werden z.b.: telnet 80 Ansonsten als extrem unsicher einzustufen da Kommunikation unverschlüsselt (Passwörter!!!). Secure Shell (SSH) ist dann vorzuziehen!!!

36 File Transfer Protocol - ftp Das File Transfer Protocol dient zur Übertragung von Dateien im Netzwerk über TCP/IP. Es nutzt die TCP- Ports 21 (Kommandokanal) und 20 (Datenkanal). Die wichtigsten Befehle von FTP sind: open <Hostname> Stellt eine Verbindung zum gewünschten Host her. Dabei wird Username und Passwort abgefragt. close Schließt eine bestehende Verbindung dir Zeigt das aktuelle Inhaltsverzeichnis cd <Verzeichnis> Wechselt in das angegebene Verzeichnis. lcd <Verzeichnis> Wechselt das Verzeichnis auf der Client Seite (local change dir).

37 ftp-kommandos (Fortsetzung) pwd Print Working Dir - aktuelles Server-Verzeichnis get Datei Kopiert eine Datei vom Server zum Client. mget Dateien Kopiert viele Dateien vom Server zum Client. put Datei Kopiert eine Datei vom Client zum Server. mput Dateien Kopiert viele Dateien vom Client zum Server. del Datei Löscht eine Datei auf dem Server. binary Wechselt in den Binärmodus. ascii Wechselt in den Textmodus. quit Beendet FTP. Viele ftp-server erlauben den Zugriff auch für nicht authentifizierte User. Der Login geschieht mit User anonymous, Passwort sollte dann die eigene Mailadresse sein.

38 DNS-Konfiguration Konfigurationsdatei /etc/resolv.conf nameserver (max. drei Einträge durch weitere nameserver-zeilen) domain grupp.private (lokale Domain z. Suche) search mars.private (bis zu sechs weitere Suchdomains in Zeile verlangsamen Anfragen!) Datei wird bei DHCP-Clients von diesem temporär "überschrieben" Bei Problemen mit Namensauflösung Inhalt anzeigen: cat /etc/resolv.conf Dann Erreichbarkeit des DNS-Servers testen, z.b.: ping

39 DNS-Utilities & Co. host, dig (oder auch nslookup) dienen für Anfragen an das Domain Name System (DNS) Da viele Dienste namensbasierend arbeiten gehören diese Werkzeuge zur Standardfehlersuche host ist ein relativ einfaches DNS-Lookup-Tool. Zusatzoptionen erlauben aber auch Detailausgaben dig erlaubt wesentlich komplexere Abfragen (auch gezielt an eine bestimmten DNS-Server) whois gehört genau genommen nicht direkt zu den DNS-Tools. Über das WHOIS-Protokoll (RFC3912) werden zu einer Domain div. Daten aus WHOIS- Datenbank extrahiert.

40 /etc/hosts Lokale IP-zu-Namenszuordnung in /etc/hosts möglich tk.grupp.private Reihenfolge (DNS zuerst, Hosts-Datei zuerst, ) über hosts-zeile in /etc/nsswitch.conf hosts: files dns hosts: files mdns4_minimal [NOTFOUND=return] dns Hosts-Datei auch relevant zum Setzen des Domainnamens für Rechner r-laptop4.grupp.private r-laptop4

41 Hostname des Systems Abfrage über /bin/hostname hostname r-laptop4 hostname -f r-laptop4.grupp.private Setzen des Hostnames in /etc/hostname Setzen des Domainnamens in /etc/hosts (siehe vorherige Folie) Anzeige Domainnamen neben hostname -f auch via dnsdomainname möglich