Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

TCP/IP

No description
by

Jörg Hüddersen

on 15 October 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of TCP/IP

110100101010101101010101010010100101010010010101010
TCP/IP Version 4
TCP/IP = Transmission Control Protocol / Internet Protocol
Datenübertragung in segmentierten Computernetzen aller Größenordnungen - vom Heimnetz bis zum weltweiten Internet
Jedes am Netzwerk angeschlossene Gerät hat eine sog. IP-Adresse
Eine IP-Adresse ist eine 32 Bit lange Zahl,
die in 4 Bytes dezimal geschrieben wird:
10.45.3.76 oder
192.168.2.55
sind gültige IP-Adressen, aber nicht
32.345.123.14 (Warum?)
Jede IP-Adresse ist einmalig.
Daten werden in Pakete von bis zu 64 kByte zerlegt. Jedes Paket wird mit Absender- und Empfängeradresse beschriftet. Der Empfänger setzt die Pakete wieder zusammen.
Es gibt zwei Varianten:
TCP und UDP
Bei TCP werden fehlerhaft übertragene Pakete neu angefordert, Übertragungsfehler werden dadurch vermieden.
Bei zeitkritischen Anwendungen (z.B. Audio- und Videostreaming) wird stattdessen UDP (Unified Datagramm Protocol) verwendet, bei dem verloren gegangene oder fehlerhafte Pakete einfach verworfen werden.
Switches verteilen die Daten zwischen den einzelnen Geräten
Exkurs: Das OSI-Schichtenmodell
Bei der Übertragung über das Netzwerk durchlaufen die Daten mehrere Schichten von oben nach unten (Senden) bzw. von unten nach oben (Empfangen). "Genormt" sind dabei die Übergänge zwischen den Schichten.
Im lokalen (Ethernet-) Netzwerk werden Netzwerkgeräte über die sog. MAC-Adresse (MAC = Media Access Control) identifiziert, z.B. E5-D5-3D-5E-7A-73.

Die Umwandlung von IP-Adresse zu MAC-Adresse wird durch das AR-Protokoll (Address Resolution Protocol, ARP) und umgekehrt durch das R-ARP (Reverse-ARP) vorgenommen.

Die erste Hälfte identifiziert den Hersteller des Netzwerkgeräts, die zweite ist eine interne fortlaufende Nummer. Somit sind MAC-Adressen weltweit eindeutig.
Ein Switch ermittelt anhand der Empfänger-MAC-Adresse, an welchem Port ein eingehendes Datenpaket wieder ausgegeben wird. Dazu führt er MAC-Tabellen, welche Netzwerkgeräte über welchen Port erreichbar sind und tauscht diese mit anderen Switches im Netzwerk aus. Vielfaches Hintereinanderschalten von Switches kann dabei problematisch werden.

Über sog. Port-Mirroring können managebare Switches Datenpakete zur Überwachung an einem zweiten Port ausgeben.

Früher verwendete man Hubs, die eingehende Pakete an ALLEN anderen Ports ausgaben und es dem Empfänger überließen, zu entscheiden, ob sie ein Datenpaket annehmen wollen oder nicht.
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
1101001010101011010
110100101010101101010101010010100101010010010101010
Lokal oder weltweit?
Routing von Daten
Neben der IP-Adresse hat ein Netzwerkgerät eine Subnetzmaske und ein Standard- (Default-) Gateway:

IP-Adresse: 192.168.0.4
Subnetzmaske: 255.255.255.0
Default-Gateway: 192.168.0.1
192.168.0.4
192.168.0.1
192.168.0.3
Durch Vergleich von Absender- und Empfängeradresse mit der Subnetzmaske wird entschieden, ob die Zustellung lokal erfolgt oder das Datenpaket (umverpackt) an das Default-Gateway weitergeleitet wird:

192.168.000.003 ... Absender
255.255.255.000 ... Subnetzmaske
192.168.000.004 ... Empfänger

Weichen Absender und Empfänger nur in den Stellen von einander ab, wo in der Subnetzmaske eine Null steht, erfolgt die Zustellung direkt (lokal), andernfalls wird es an das Default-Gateway geleitet.

Achtung: diese Betrachtung erfolgt bitweise, d.h. die IP-Adressen und die Subnetzmaske müssen vor dem Vergleich ins Binärformat umgerechnet werden.
010.016.001.025 ... Absender
255.255.255.000 ... Subnetzmaske
010.016.001.212 ... Empfänger
172.031.110.029 ... Absender
255.255.000.000 ... Subnetzmaske
172.031.154.207 ... Empfänger
192.168.211.115 ... Absender
255.255.255.000 ... Subnetzmaske
081.214.095.156 ... Empfänger
lokale Zustellung

lokale Zustellung
Zustellung über Gateway
084.095.008.125 ... Absender
255.255.240.000 ... Subnetzmaske
084.095.012.088 ... Empfänger
lokale Zustellung
Bitweise Betrachtung des dritten Bytes:
008 = 00001000 ... Absender
240 = 11110000 ... Subnetzmaske
012 = 00001100 ... Empfänger
Routing im Internet

An allen Netzknoten sorgen Router dafür, dass Datenpakete in das richtige Netzsegment weitergeleitet werden. Dazu benutzen sie sog. Routing-Tabellen mit Einträgen wie

Ziel Subnetzmaske Gateway Metrik
70.85.0.0 255.255.0.0 84.13.119.27 1
70.85.0.0 255.255.0.0 173.24.3.180 2
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
192.168.0.45
192.168.0.46
192.168.0.1
77.203.19.89
Die Absender-Adresse wird beim Übergang ins öffentliche Netz vom Router durch die (öffentliche) Adresse der WAN-Schnittstelle des Routers ersetzt. Gleichzeitig merkt sich der Router die private Absender- und die öffentliche Empfängeradresse. Ankommende Antworten werden beim Übergang ins private Netz anhand der Absenderadresse einer zuvor gestellten Anfrage zugeordnet und mit der privaten Adresse des anfragenden Rechners umadressiert. Eingehende Pakete, zu denen keine vorhergehende Anfrage vorliegt, werden verworfen.
Öffentliche und private IP-Adressen

Die weltweit 2^32 (~ 4 Mrd.) zur Verfügung stehenden IP V4-Adressen reichen nicht für alle angeschlossenen Geräte.

In lokalen Netzen werden daher reservierte, sog. private IP-Adressbereiche verwendet:

10.0.0.0 - 10.255.255.255 (Klasse A: 1 privates Netz mit 16.777.216 Adressen)
172.16.0.0 - 172.31.255.255 (Klasse B: 16 private Netze mit jeweils 65.536 Adressen)
192.168.0.0 - 192.168.255.255 (Klasse C: 256 private Netze mit jeweils 256 Adressen)

Datenpakete mit diesen Zieladressen werden im öffentlichen Internet nicht befördert.
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
192.168.0.45
192.168.0.46
192.168.0.1
Network Address-Translation (NAT) und IP-Masquerading
Network Address-Translation (NAT)
77.203.19.80 <-> 192.168.0.45
77.203.19.81 <-> 192.168.0.46
...
Bei echtem NAT existiert für jede private IP-Adresse eine öffentliche Adresse für die WAN-Schnittstelle des Routers.
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
110100101010101101010101010010100101010010010101010
192.168.0.45
192.168.0.46
192.168.0.1
IP-Masquerading
77.203.19.80:50039 <-> 192.168.0.45:80
77.203.19.80:50040 <-> 192.168.0.46:21
...
Beim IP-Masquerading werden an der WAN-Schnittstelle des Routers statt unterschiedlicher IP-Adressen unterschiedliche Ports für jede interne Adresse verwendet.

Zu jeder IP-Adresse gehören 65.535 Ports. Hinter jedem Port steht eine Serversoftware, die die Datenpakete annimmt und verarbeitet. So werden http-Daten (Surfen) immer über den Port 80 gesendet und empfangen. Die Ports 1 bis 1.024 sind als sog. dedizierte Ports fest zugeordnet, über die Ports ab 1.025 können dynamisch weitere Anwendungen abgewickelt werden. Die Portnummer wird mit einem Doppelpunkt an die IP-Adresse angehängt.

Wichtige Ports:
21 - FTP 80 - HTTP 443 - HTTPS
25 - SMTP 110 - POP3 3389 - RDP
77.203.19.80
110100101010101101010101
110100101010101101010101
110100101010101101010101
192.168.0.45
192.168.0.46
192.168.0.1
Virtual Private Networks (VPN)
Virtual Private Networks dienen dazu, Rechner per Internet an ein lokales Netz zu koppeln. Dazu wird ein sog. Tunnel aufgebaut:

Am Eingang des Tunnels werden ausgehende Datenpakete verschlüsselt und in ein neues Datenpaket, das mit der IP-Adresse des Tunnelausgangs adressiert ist, verpackt. Am Tunnelausgang wird das innere Datenpaket entpackt und entschlüsselt und in das dortige lokale Netz eingespeist.
110100101010101101010101
77.203.19.80
186.90.204.5
192.168.0.47
110100101010101101010101
Firewalls und NAT
Unangeforderte Datenpakete an der WAN-Schnittstelle werden verworfen.
Datenpakete, die als Antwort auf eine vorhergehende Anfrage eingehen, werden an den anfragenden Rechner weitergeleitet.
110100101010101101010101010010100101010010010101010
Port-Forwarding
Wenn für einen Port ein Forwarding eingerichtet ist, werden unangeforderte Datenpakete, die auf diesem Port ankommen, nicht verworfen, sondern an den im Port-Forwarding definierten Rechner weitergeleitet.

Will man z.B. einen HTTP-Server (Webserver) hinter einem NAT-Router betreiben, muss ein Port-Forwarding auf Port 80 an den HTTP-Server im Router eingerichtet werden.
DNS
Domain Name Service: Weltweit verteilte Datenbank zur Auflösung von Domainnamen in IP-Adressen und umgekehrt.
Beispiel: Abfrage www.google.de
Root-Nameserver
NIC .de
NIC .com
1a. Anfrage ".de"?
1b. Antwort: "NIC .de" !
2a. Anfrage: "google" ?
2b. Antwort: "ns1.google.com" !
ns1.google.com
3a. Anfrage "www"?
3b. Antwort: "216.58.209.99" !
DNS mit Proxies
Proxies sind Stellvertreter-Server, die Anfragen nach Möglichkeit aus ihrem Cache (Zwischenspeicher) beantworten.

Meist sind mehrere Proxies hinter einander geschaltet, der erste Proxy ist oft der Router ins Internet.
Anfrage "www.google.de" ?
Antwort: "2176.58.209.99" !
Router
DNS-Proxy Provider
Anfrage "www.google.de" ?
Antwort: "2176.58.209.99" !
ggf. Auflösung über Root-Nameserver
Arbeitsplatz-PC
DNS-Eintragstypen (DNS-Rcords)
SOA Start of Authority: Seriennummer, Admin-Mailadresse, TTL, etc.)
A Domainname -> IP V4-Adresse
AAAA Domainname -> IP V6-Adresse
PTR IP-Adresse -> Domainname
NS Nameserver für Sub-Domain
CNAME Aliasname
MX MaileXchanger: Zuständiger SMTP-Server für Mailempfang
SPF Erlaubte Sendeserver für Mail (Sender Policy Framework)

DNS-Zonen und Zonentransfers
Alle Einträge für einen FQDN (Fully Qualified Domain Name) zusammen bilden eine DNS-Zone. Deren Aktualität wird über die Seriennummer festgestellt (meist ist die Seriennummer das Datum der letzten Änderung).

Um die Ausfallsicherheit zu erhöhen, wird die Zone auf mehreren DNS-Servern gespeichert, wobei meist mehrere Slave-Server die Zone von einem Master-Server laden. Die Slave-Server speichern die Zone dann bis zu ihrem Ablauf (TTL) zwischen und antworten in dieser Zeit auf Anfragen. Nach Ablauf der TTL laden sie sie neu vom Master-Server.
DHCP
Dynamic Host Configuration Protocol: IP-Konfiguration wird zentral von einem Server an Clients im Netzwerk ausgegeben. Diese behalten sie für eine vorbestimmte Zeit (Leasetime)
1. DHCP-Server vorhanden?
(DCHPDISCOVER)
2. Ja, ich! (DHCPOFFER)
3. DHCPREQUEST
Fall A: Vorige Leasetime ist abgelaufen:
Bitte um neue Konfiguration!
Fall B: Vorige Leasetime ist noch nicht abgelaufen:
Bitte um Verlängerung der Leasetime!
4. OK! (DHCPACK)
Leasetime
Meist beträgt die Leasetime zwischen 7 und 14 Tagen. Nach Ablauf der Hälfte der Leasetime versucht der Client, die Lease beim urspünglichen DHCP-Server zu erneuern. Gelingt das nicht, benutzt er die IP-Konfiguration weiter bis 7/8 der Leasetime abgelaufen sind. Erst dann versucht der Client, eine neue Lease von einem beliebigen DCHP-Server zu erhalten.

Lease manuell erneuern in der Eingabeaufforderung (muss mit Administratorrechten gestartet werden):

1. ipconfig /release
2. ipconfig /renew

DHCP-Bereichsoptionen
Ein DHCP-Bereich verfügt über einen Pool von gültigen IP-Adressen, die als Bereich ggf. mit Ausschlüssen (z.B. 192.168.0.1 bis 192.168.0.255, Ausschluss 192.168.0.20-192.168.0.30) definiert sind.

Jeder Bereich kann an ein Netzwerkinterface gebunden werden, sodass sich z.B. verschiedene Adressbereiche über einen Server verwalten lassen. ACHTUNG: in einem Netzwerk(segment) sollte immer nur ein DHCP-Server aktiv sein, sonst kann es vorkommen, dass sich Clients bei unterschiedlichen DHCP-Servern unterschiedliche Konfigurationen abholen und es zu Fehlfunktionen (kein Zugriff auf Netzlaufwerke oder das Internet) kommt.


Für jeden Bereich lassen sich verschiedene Optionen festlegen, die an die Clients weitergegeben werden, u.a.:

Subnetzmaske
Router
DNS-Server
DNS-Domänenname
DHCP-Server
DNS-Server mit nslookup abfragen
1. Eingabeaufforderung starten
2. nslookup

Kommandos:

server a.b.c.d Auswahl des DNS-Servers
set type=x Auswahl des Records, der ausgegeben werden soll
A nur IP-Adresse
MX nur MaileXchanger
NS nur zuständige Nameserver
all komplette Zone
FQDN oder IP Records dieser Zone
exit nslookup beenden

Kurzform:
nslookup <FQDN / IP>
gibt einmalig Informationen vom Standard-DNS aus und beendet sich sofort
Full transcript