access-list 1 remark das it meine ACL
access-list 1 deny host xxx.xxx.xxx.xxx
access-list 1 permit any
#ip access-list standart acl-2
(config-std-nacl)# deny 192.168.10.0 0.0.0.255
(config-std-nacl)# permit any
do show access-list
ip access-group acl-2 out
access-list 100 deny tcp host 192.168.10.1
[deny protokoll quelle ziel ]
ip access-list : device
ip access-class: virtuelle devices (vty etc.)
Freitag, 28. Mai 2010
Donnerstag, 27. Mai 2010
(E)IGRP
IGRP zuletzt in V12.0, nicht mehr in gebrauch, weil nicht an Netzmasken gebunden, also eben nicht Classfull.
EIGRP ist das erweiterte IGRP mit Netzmaske, ist also Classfull
1. Varianz --> Multiplikator für Kostenvektoren als Alternativ-ROuter.
2. AS: Autonome Systemnummer wie bei RIP ("domainname")
r1(config)# router eigrp 100
Setzen einer Systemnummer für den Verbund ("Workgroup" bzw. "Domainname", somit keine unsinnigen LSA-Pakete )
r1(config-router)# network 10.0.0.1 [wildcat]
(Es werden alle 10.0.0.0-Netze benutzt.)
show ip protocols
show ip eigrp neighbour_s_
show ip eigrp topology
show ip router
Achtung: EIGRP ist mit dem Buchstaben "D" gekennzeichnet!
Metric_ospf=Summe(Cost)
Metric_RIP=HopCounter
Metric_EIGRP=BWmin + Delay | BANDBREITEmin + Delay + ...
(... = Load+Reli+MTU )
router egrip 100
variance 128
v6
addresstypen
unicast: 1:1 Global (unique global address), Lokal (unique local addresses), Verbindungs-lokale Adressen (link local unicast addresses)
anycast: 1:x
multicast: eine gruppe im netz
registry /23
isp /32
Site Prefix /48
Subet Prefix /64
Unicast-Prefix ist immer FC00::/7 , 1 Bit für lokal oder reserved. 0-> not reserved, 1 lokal
FD00: --> ist immer der private bereich
EIGRP ist das erweiterte IGRP mit Netzmaske, ist also Classfull
1. Varianz --> Multiplikator für Kostenvektoren als Alternativ-ROuter.
2. AS: Autonome Systemnummer wie bei RIP ("domainname")
r1(config)# router eigrp 100
Setzen einer Systemnummer für den Verbund ("Workgroup" bzw. "Domainname", somit keine unsinnigen LSA-Pakete )
r1(config-router)# network 10.0.0.1 [wildcat]
(Es werden alle 10.0.0.0-Netze benutzt.)
show ip protocols
show ip eigrp neighbour_s_
show ip eigrp topology
show ip router
Achtung: EIGRP ist mit dem Buchstaben "D" gekennzeichnet!
Metric_ospf=Summe(Cost)
Metric_RIP=HopCounter
Metric_EIGRP=BWmin + Delay | BANDBREITEmin + Delay + ...
(... = Load+Reli+MTU )
router egrip 100
variance 128
v6
addresstypen
unicast: 1:1 Global (unique global address), Lokal (unique local addresses), Verbindungs-lokale Adressen (link local unicast addresses)
anycast: 1:x
multicast: eine gruppe im netz
registry /23
isp /32
Site Prefix /48
Subet Prefix /64
Unicast-Prefix ist immer FC00::/7 , 1 Bit für lokal oder reserved. 0-> not reserved, 1 lokal
FD00: --> ist immer der private bereich
Mittwoch, 26. Mai 2010
OSPF
RouterID setzen
R1(config)# interface loopback 0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
Nur ein Host. Man könnte nun das IF auch auf ein VLAN binden.
router ospf 100
Jedes OSPF-Instanz benötigt eine Prozessnummer. Hier: 100
network 10.0.0.1 0.0.0.3 area 0
# Vorsicht! EIntragung geschieht als Wildcat ->
# Es gilt: 0 muss passen, gesetzte bits sind frei
# Netmask ist nicht bei allen Router-Releases erlaubt
show ip protocols
show ip route [ospf]
show ip ospf neighbour
show ip ospf database
show history
R2(config)#router ospf 100
R2(config-rtouer)#rotuer-id 2.2.2.2
network 10.0.0.0 0.255.255.255 area 0
# nehme alle 10er-Netze
R6(config)# router ospf 1ßß
R6(config-rouer)# router-id 6.6.6.6
network 0.0.0.0 255.255.255.255 area 0
gib alle netzwerke raus
OSPF gebunden auf ein einzelnes Interface: (IPv6-Kompatibel)
R4(config)# router ospf 100
R4(config-router)# router-id 4.4.4.4
R4(config-router)# exit
R4(config)#int ser0/0/0
r4(config-if)# ip ospf 100 area 0
GNS3 -> Packetracer
---
Authentifizierung und Stub-Area Flag.
ip ospf hello-interval 9
update alle 9 sekunden
sho ip ospf neigh
sho ip ospf int ser0/0/0
achtung: alle timer (z.B. hello-timer ) müssen gleich sein!
sonst keine konnektivität bzw. kein austausch.
Verhindern von Fluten von Abgleich-Paketen:
1x DR Designated Router Hauptstern, MaxRouterId gewinnt, weil Layer 3, sofern keine Prioritäten vorhanden 224.0.0.6
1x BDR Backup Designated Router Stern 224.0.0.6
n x DR-Other Sonstige 224.0.0.5
ip ospf priority 100
priorität vs. routerid setzen
r(config-if)# ip ospf cost 1000
setze den kostenwert auf 1000
R1(config)# interface loopback 0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
Nur ein Host. Man könnte nun das IF auch auf ein VLAN binden.
router ospf 100
Jedes OSPF-Instanz benötigt eine Prozessnummer. Hier: 100
network 10.0.0.1 0.0.0.3 area 0
# Vorsicht! EIntragung geschieht als Wildcat ->
# Es gilt: 0 muss passen, gesetzte bits sind frei
# Netmask ist nicht bei allen Router-Releases erlaubt
show ip protocols
show ip route [ospf]
show ip ospf neighbour
show ip ospf database
show history
R2(config)#router ospf 100
R2(config-rtouer)#rotuer-id 2.2.2.2
network 10.0.0.0 0.255.255.255 area 0
# nehme alle 10er-Netze
R6(config)# router ospf 1ßß
R6(config-rouer)# router-id 6.6.6.6
network 0.0.0.0 255.255.255.255 area 0
gib alle netzwerke raus
OSPF gebunden auf ein einzelnes Interface: (IPv6-Kompatibel)
R4(config)# router ospf 100
R4(config-router)# router-id 4.4.4.4
R4(config-router)# exit
R4(config)#int ser0/0/0
r4(config-if)# ip ospf 100 area 0
GNS3 -> Packetracer
---
Authentifizierung und Stub-Area Flag.
ip ospf hello-interval 9
update alle 9 sekunden
sho ip ospf neigh
sho ip ospf int ser0/0/0
achtung: alle timer (z.B. hello-timer ) müssen gleich sein!
sonst keine konnektivität bzw. kein austausch.
Verhindern von Fluten von Abgleich-Paketen:
1x DR Designated Router Hauptstern, MaxRouterId gewinnt, weil Layer 3, sofern keine Prioritäten vorhanden 224.0.0.6
1x BDR Backup Designated Router Stern 224.0.0.6
n x DR-Other Sonstige 224.0.0.5
ip ospf priority 100
priorität vs. routerid setzen
r(config-if)# ip ospf cost 1000
setze den kostenwert auf 1000
Dienstag, 25. Mai 2010
Das RIP-Protokoll
Ähnlich wie beim (R)STP sucht das RIP-Protokoll die schnellste Route -
Allerdings zwischen Routern.
Es arbeitet mit so genannten Distanz-Vektoren auf jedem Segment, vergleichbar mit den "Leitungskosten" beim (R)STP. Diese werden "Metrik" genannt.
Bei RIP sendet alle 30 Sekunden seine Routen-Tabellen inklusive seiner Metrik an seine anliegenden Nachbar-Router, welche diese Tabellen einander aufrechnen.
Das RIP-Protokoll wird wie folgt auf dem Router aktiviert.
router(config)# router rip
Konfiguriere rip
router(config-rip)# version 2
Schalte auf Version 2
Alternativ kann auch wie folgt gearbeitet werden:
"send version 1 2" und "receive version 1 2"
Dann wird version 1 als auch 2 gesendet / empfangen.
router(config-rip)# network 192.168.0.0
Es darf veröffentlicht werden, dass ich 192.168.0.0 Routen kann.
router(config-rip)# timers 60
Alle 60 Sekunden geschieht ein Update mit den umliegenden Routern.
Erweitertes RIP
Wenn man mit einem Routing-Port aber zum Provider steht, können nun Probleme auftauchen:
So sollen interne Routen nicht nach außen gegeben werden.
Vielleicht möchte man zudem eine Default-Route geben, wenn eine Route nicht gefunden wird.
fa0/1 ist 10.0.0.1
Router(config)# router rip
Router(config)# default-information originate
Ich bin ein default-router für unbekannte Routernrouter(config-rip)# passive-interface fastethernet0/1
Ich empfange von fastethernet0/1 RIP, aber ich sende dorthin kein RIP
do ip route 192.168.0.1 255.255.255.0 10.0.0.1
Hat ein Paket 16 Hops (Verbindungen) überquert, verfällt es.
Routen die also nicht publiziert werden sollen, werden mit der Metrik 16 veröffentlicht.
show ip protocol
Allerdings zwischen Routern.
Es arbeitet mit so genannten Distanz-Vektoren auf jedem Segment, vergleichbar mit den "Leitungskosten" beim (R)STP. Diese werden "Metrik" genannt.
Bei RIP sendet alle 30 Sekunden seine Routen-Tabellen inklusive seiner Metrik an seine anliegenden Nachbar-Router, welche diese Tabellen einander aufrechnen.
Das RIP-Protokoll wird wie folgt auf dem Router aktiviert.
router(config)# router rip
Konfiguriere rip
router(config-rip)# version 2
Schalte auf Version 2
Alternativ kann auch wie folgt gearbeitet werden:
"send version 1 2" und "receive version 1 2"
Dann wird version 1 als auch 2 gesendet / empfangen.
router(config-rip)# network 192.168.0.0
Es darf veröffentlicht werden, dass ich 192.168.0.0 Routen kann.
router(config-rip)# timers 60
Alle 60 Sekunden geschieht ein Update mit den umliegenden Routern.
Erweitertes RIP
Wenn man mit einem Routing-Port aber zum Provider steht, können nun Probleme auftauchen:
So sollen interne Routen nicht nach außen gegeben werden.
Vielleicht möchte man zudem eine Default-Route geben, wenn eine Route nicht gefunden wird.
fa0/1 ist 10.0.0.1
Router(config)# router rip
Router(config)# default-information originate
Ich bin ein default-router für unbekannte Routernrouter(config-rip)# passive-interface fastethernet0/1
Ich empfange von fastethernet0/1 RIP, aber ich sende dorthin kein RIP
do ip route 192.168.0.1 255.255.255.0 10.0.0.1
Hat ein Paket 16 Hops (Verbindungen) überquert, verfällt es.
Routen die also nicht publiziert werden sollen, werden mit der Metrik 16 veröffentlicht.
show ip protocol
Montag, 24. Mai 2010
Das (Rapid-)Spanning-Tree-Protokoll (R)STP
Wenn man Switche redunant mit einander verbindet, können so genannte "Loops" auftreten: Frames laufen im Netzwerk immer wieder im Kreis umher, weil sie kein Ziel finden.
Dagegen hilft das Spanning-Tree-Protocoll (STP = IEEE802.1D), welches einen definierten Weg durch ein Netzwerk sucht, um so ggf. Kreis-Leitungen ab-, aber im Notfall auch wieder einzuschalten:
So wird eine Wurzelhirachie generiert.
Das STP ist ein Timer-Basierendes Protokoll auf OSI-Layer 2 und wird nur von Switchen unterstützt; Router und Hubs können ignorieren es.
Das Nachfolgeprotokoll nennt sich RSTP = IEEE802.1W und ist ein beschleunigtes STP.
Schließlich wurden das MSTP (802.1S) und RSTP in 802.1Q überführt.
Wie findet sich der Root-Knoten (Der Kopf der Kaskade) und wie findet man Slave-Knoten (das Ende der Kaskade)?
Jeder Switch nimmt beim Einschalten eine so genannte Bridge-ID an, welche aus 8 Byte besteht:
Die führenden zwei Bytes bestimmen einen Kostenfaktor für eine Priorität, welche individuell bestimmt werden kann, um so bestimmte Switche/Wege zu priorisieren.
Die folgenden 6 Bytes sind die MAC-Adresse des Gerätes.
Wir gehen im Beispiel von der gleichen Priorität 7 aus. Die MAC-Anteile sind zufällig.
1. Beim Einschalten wechseln alle Ports eines Switches in den Zustand "NDP", einem "Non Designated Port": Hier können keine normalen "Datenpakete" passieren - nur Austauschdatenpakete für das (R)STP-Protokoll..
Zudem wird die so genannte "BridgeID" in einem Zwischenspeicher namens "RootID" gespeichert.
2. Jedes Gerät sendet nun an seine anliegenden Nachbarn ein so genanntes "Hello": In diesem Paket wird die eigene RootID weiter geleitet.
Der Empfänger überprüft nun dieses "Hello" (Auch "BPDU" = Bridge Packed Data Unit genannt).
Ist das Hello kleiner als die eigene RootID, wird dieses Hello als RootID gespeichert: Hier hin können also Daten weiter geschickt werden. Dieser Port ist also ein so genannter RP ("Root Port").
Es gibt an jeder Bridge immer nur maximal einen RP geben.
3. Wenn der Nachbar ein Paket mit einem Hello gesendet hat, welches kleiner als die eigene BridgeID ist, befindet sich dort ein DP ("Designated Port"):
Von diesem Port können Daten eintreffen, aber dorthin können keine Daten gesendet werden.
4. Trifft von einem Nachbarn ein Paket mit einem Hello ein, welches größer als die eigene BridgeID aber kleiner als die RootID ist, befindet sich dort ein NDP - ein Non-Designated-Port.
5. Es verbleibt nun eine Bridge mit lediglich eingehenden ("Designated") Ports: Diese Bridge bezeichnet man als so genannte "Root-Bridge". Es handelt sich hier um die Bridge A.
6. Timeouts.
Trifft innerhalb von 30 Sekunden an einem Port kein "Hello" ein, entsteht dort ein DP.
War dieser DP zuvor ein RP, so übernimmt die Bridge die BridgeID wieder als RootID und wir beginnen wieder bei 2.
<<< Kurzfassung.
0. Alle Ports sind NDP: Kein Datenverkehr, nur Hello, RID = BID.
1. Ist das Hello des Nachbarn kleiner als meine RID, ist dort ein RP und RID wird zu Hello.
2. Ist das Hello des Nachbarn größer als meine BID, ist dort ein DP.
3. Kein Hello mehr vom Port --> Neustart.
>>>
Wichtige Befehle dazu:
show interface vlan 1
show span-tree
spanning-tree vlan 1 root primary |
Ich bin der optimale Weg zum Ziel
Wie erkenne ich die verschiedenen Rechner?
Schnellerer RSTPenable
config terminal
interface fastethernet0/1
spanning-tree mode rapid-pvst
--
CCNA Kurzreferenz Markt & Technik
Dagegen hilft das Spanning-Tree-Protocoll (STP = IEEE802.1D), welches einen definierten Weg durch ein Netzwerk sucht, um so ggf. Kreis-Leitungen ab-, aber im Notfall auch wieder einzuschalten:
So wird eine Wurzelhirachie generiert.
Das STP ist ein Timer-Basierendes Protokoll auf OSI-Layer 2 und wird nur von Switchen unterstützt; Router und Hubs können ignorieren es.
Das Nachfolgeprotokoll nennt sich RSTP = IEEE802.1W und ist ein beschleunigtes STP.
Schließlich wurden das MSTP (802.1S) und RSTP in 802.1Q überführt.
Wie findet sich der Root-Knoten (Der Kopf der Kaskade) und wie findet man Slave-Knoten (das Ende der Kaskade)?
Jeder Switch nimmt beim Einschalten eine so genannte Bridge-ID an, welche aus 8 Byte besteht:
Die führenden zwei Bytes bestimmen einen Kostenfaktor für eine Priorität, welche individuell bestimmt werden kann, um so bestimmte Switche/Wege zu priorisieren.
Die folgenden 6 Bytes sind die MAC-Adresse des Gerätes.
Wir gehen im Beispiel von der gleichen Priorität 7 aus. Die MAC-Anteile sind zufällig.
1. Beim Einschalten wechseln alle Ports eines Switches in den Zustand "NDP", einem "Non Designated Port": Hier können keine normalen "Datenpakete" passieren - nur Austauschdatenpakete für das (R)STP-Protokoll..
Zudem wird die so genannte "BridgeID" in einem Zwischenspeicher namens "RootID" gespeichert.
2. Jedes Gerät sendet nun an seine anliegenden Nachbarn ein so genanntes "Hello": In diesem Paket wird die eigene RootID weiter geleitet.
Der Empfänger überprüft nun dieses "Hello" (Auch "BPDU" = Bridge Packed Data Unit genannt).
Ist das Hello kleiner als die eigene RootID, wird dieses Hello als RootID gespeichert: Hier hin können also Daten weiter geschickt werden. Dieser Port ist also ein so genannter RP ("Root Port").
Es gibt an jeder Bridge immer nur maximal einen RP geben.
3. Wenn der Nachbar ein Paket mit einem Hello gesendet hat, welches kleiner als die eigene BridgeID ist, befindet sich dort ein DP ("Designated Port"):
Von diesem Port können Daten eintreffen, aber dorthin können keine Daten gesendet werden.
4. Trifft von einem Nachbarn ein Paket mit einem Hello ein, welches größer als die eigene BridgeID aber kleiner als die RootID ist, befindet sich dort ein NDP - ein Non-Designated-Port.
5. Es verbleibt nun eine Bridge mit lediglich eingehenden ("Designated") Ports: Diese Bridge bezeichnet man als so genannte "Root-Bridge". Es handelt sich hier um die Bridge A.
6. Timeouts.
Trifft innerhalb von 30 Sekunden an einem Port kein "Hello" ein, entsteht dort ein DP.
War dieser DP zuvor ein RP, so übernimmt die Bridge die BridgeID wieder als RootID und wir beginnen wieder bei 2.
<<< Kurzfassung.
0. Alle Ports sind NDP: Kein Datenverkehr, nur Hello, RID = BID.
1. Ist das Hello des Nachbarn kleiner als meine RID, ist dort ein RP und RID wird zu Hello.
2. Ist das Hello des Nachbarn größer als meine BID, ist dort ein DP.
3. Kein Hello mehr vom Port --> Neustart.
>>>
Wichtige Befehle dazu:
show interface vlan 1
show span-tree
spanning-tree vlan 1 root primary |
Ich bin der optimale Weg zum Ziel
Wie erkenne ich die verschiedenen Rechner?
Schnellerer RSTPenable
config terminal
interface fastethernet0/1
spanning-tree mode rapid-pvst
--
CCNA Kurzreferenz Markt & Technik
Samstag, 22. Mai 2010
Serielle (Wähl)Verbindungen
Möchte man Wählverbindungen verbinden, benötigt man ein serielles Interface.
Dazu schlagen wir noch einmal zurück zum Eintrag: "Serielle Wählverbindungen"
Die DCE-Seite (Modem --- hier arbeitet eine Clock die konfiguriert werden muss!)
router(config)# interface ser0/0/0
Auswahl des seriellen Interface ser0/0/0
router(config-if)# clock rate 128000
Setzen der Clockrate
router(config-if)# ip address 10.0.0.2 255.255.255.0
IP-Adresse 10.0.0.2 /24 setzen
router(config-if)# do show controllers serial 0/0/0
Anzeigen des Interface
Die DTE-Seite (Terminal)
router(config)# interface ser0/0/0
Auswahl des seriellen Interface 0/0/0
router(config-if)# ip address 10.0.0.1 255.255.255.0
Setzen einer IP-Adresse
router(config-if)# no shutdown
Hochfahren des Gerätes
router(config-if)# do show controllers serial 0/0/0
Anzeigen des Interface
Dazu schlagen wir noch einmal zurück zum Eintrag: "Serielle Wählverbindungen"
Die DCE-Seite (Modem --- hier arbeitet eine Clock die konfiguriert werden muss!)
router(config)# interface ser0/0/0
Auswahl des seriellen Interface ser0/0/0
router(config-if)# clock rate 128000
Setzen der Clockrate
router(config-if)# ip address 10.0.0.2 255.255.255.0
IP-Adresse 10.0.0.2 /24 setzen
router(config-if)# do show controllers serial 0/0/0
Anzeigen des Interface
Die DTE-Seite (Terminal)
router(config)# interface ser0/0/0
Auswahl des seriellen Interface 0/0/0
router(config-if)# ip address 10.0.0.1 255.255.255.0
Setzen einer IP-Adresse
router(config-if)# no shutdown
Hochfahren des Gerätes
router(config-if)# do show controllers serial 0/0/0
Anzeigen des Interface
DHCP konfigurieren
Ein DHCP-Server verteilt IPs an Rechner aus einem IP-Adress-Pool anhand der MAC-Adresse des Clients.
Einen DHCP-Server in einem Router zu aktivieren ist sehr einfach:
router(config)# ip dhcp pool mein-dhcp-pool
Erstelle einen DHCP-Pool mit dem Namen "mein-dhcp-pool"
router(dhcp-config)# network 192.168.0.0 255.255.255.0
Definiere aus welchem Netzwerk ich einen DHCP-Broadcast annehme
router(dhcp-config)# default-router 192.168.0.254
Definiere das Gateway.
router(dhcp-config)# dns-server 192.168.0.254
router(dhcp-config)# dns-server 10.0.0.1
Setze einen DNS-Server mit der IP 192.168.254 und 10.0.0.1 . In höheren IOS-Versionen können die DNS-Server auch in einer Zeile geschrieben werden.
router(dhcp-config)# domain-name testnetz.local
Gebe den Domain "testnetz.local" bekannt. Nur bei den höheren IOS-Versionenrouter(dhcp-config)# lease 1 2 3
Leasetime: Es empfieht sich nicht mehr durch Clients genutzte IPs wieder dem Pool zukommen zu lassen. Hier handelt es sich um 1 Tag 2 Stunden 3 Minuten. Ebenfalls ist der Wert "Infinity" erlaubt.
Die Option "Lease" ist aber in niedrigeren IOS-Versionen nicht vorhanden. In einingen Versionen kann man sich dann wie folgt behelfen:
router(dhcp-config)# option 51 0E10
Setze die DHCP-Option 51: Leasetime auf 0x0e10 = 3600 Sekunden = 60 Minuten
Siehe dafür auch RFC2132 unter http://www.faqs.org/rfcs/rfc2132.html
router(dhcp-config)# exit
Wechsel in den Config-Modus
router(config)# ip dhcp excluded-address 192.168.0.200 192.168.0.254
Die Adressen 192.168.0.200 bis 192.168.0.254 dürfen nicht verteilt werden.
router(config)# do show ip dhcp binding
Zeige mir, welcher Client sich grade wo im Netzwerk zugeordnet hat.
So weit so gut.
Doch wie binde ich einen Client mit einer bestimmten MAC-Adresse auf eine bestimmte IP?
In einigen IOSversionen ist folgendes möglich:
router(config)# ip dhcp pool hannelore
Definiere einen IP-Pool mit dem Namen "hannelore"
router(dhcp-config)# host 192.168.0.253
Definiere für den Bereich "hannelore" die IP 192.168.0.253
router(dhcp-config)# hardware-address c7e3.a700.2321 ieee802
Binde diesen IP-Pool auf die MAC-adresse c7e3.a700.2321.
router(dhcp-config)# client-name pc_hannelore
Vergebe den Client-Namen "c7e3.a700.2321" an das Gerät, sofern es erscheint.
router(dhcp-config)# default-router 192.168.0.254
Definiere das Gateway.
router(dhcp-config)# dns-server 192.168.0.254
Setze einen DNS-Server mit der IP 192.168.254
router(dhcp-config)# dns-server 10.0.0.1
Setze einen zweiten DNS-Server mit IP 10.0.0.1
router(dhcp-config)# exit
Wechsel in den Config-Modus
Hinweis: Die auf die Mac-Adresse gebundene IP-Adresse wurde im vorherigen Beispiel mit einem "exclude" ausgeschlossen. Das sollte man auf jeden Fall prüfen, denn bei einer Doppelbelegung wird nicht in jeder IOS-Version eine Fehlermeldung ausgegeben. So können sich unter ungünstigen Umständen dynamische IP-Pools und statische Pools einander beeinträchtigen.
Daher sei der folgende Befehle zur Überprüfung sehr empfohlen, die leider erste bei neueren IOS-Versionen zu finden sind:
router# show ip dhcp conflictZeit Probleme bei im Zuweisungspool auf.
Optional kann die Adresse als Parameter dahinter angegeben werden.
router# show ip dhcp database
Zeige die DHCP Zuweisungen
Weitere Optionen:
router(dhcp-config)# netbios-node-type h-node
Folgende Typen können gesetzt werden: b, p, m, oder h.
router(dhcp-config)# netbios-name-server 192.168.0.254
Folgende Typen können gesetzt werden: b, p, m, oder h.
Um nun einen DHCP-Client auf einem Ethernet-Device zu aktivieren benötigt weniger Schritte:
switch(config-if)# ip address dhcp
Dieses Interface erhält seine IP über DHCP
Eigentlich doch sehr einfach, oder?
Einen DHCP-Server in einem Router zu aktivieren ist sehr einfach:
router(config)# ip dhcp pool mein-dhcp-pool
Erstelle einen DHCP-Pool mit dem Namen "mein-dhcp-pool"
router(dhcp-config)# network 192.168.0.0 255.255.255.0
Definiere aus welchem Netzwerk ich einen DHCP-Broadcast annehme
router(dhcp-config)# default-router 192.168.0.254
Definiere das Gateway.
router(dhcp-config)# dns-server 192.168.0.254
router(dhcp-config)# dns-server 10.0.0.1
Setze einen DNS-Server mit der IP 192.168.254 und 10.0.0.1 . In höheren IOS-Versionen können die DNS-Server auch in einer Zeile geschrieben werden.
router(dhcp-config)# domain-name testnetz.local
Gebe den Domain "testnetz.local" bekannt. Nur bei den höheren IOS-Versionenrouter(dhcp-config)# lease 1 2 3
Leasetime: Es empfieht sich nicht mehr durch Clients genutzte IPs wieder dem Pool zukommen zu lassen. Hier handelt es sich um 1 Tag 2 Stunden 3 Minuten. Ebenfalls ist der Wert "Infinity" erlaubt.
Die Option "Lease" ist aber in niedrigeren IOS-Versionen nicht vorhanden. In einingen Versionen kann man sich dann wie folgt behelfen:
router(dhcp-config)# option 51 0E10
Setze die DHCP-Option 51: Leasetime auf 0x0e10 = 3600 Sekunden = 60 Minuten
Siehe dafür auch RFC2132 unter http://www.faqs.org/rfcs/rfc2132.html
router(dhcp-config)# exit
Wechsel in den Config-Modus
router(config)# ip dhcp excluded-address 192.168.0.200 192.168.0.254
Die Adressen 192.168.0.200 bis 192.168.0.254 dürfen nicht verteilt werden.
router(config)# do show ip dhcp binding
Zeige mir, welcher Client sich grade wo im Netzwerk zugeordnet hat.
So weit so gut.
Doch wie binde ich einen Client mit einer bestimmten MAC-Adresse auf eine bestimmte IP?
In einigen IOSversionen ist folgendes möglich:
router(config)# ip dhcp pool hannelore
Definiere einen IP-Pool mit dem Namen "hannelore"
router(dhcp-config)# host 192.168.0.253
Definiere für den Bereich "hannelore" die IP 192.168.0.253
router(dhcp-config)# hardware-address c7e3.a700.2321 ieee802
Binde diesen IP-Pool auf die MAC-adresse c7e3.a700.2321.
router(dhcp-config)# client-name pc_hannelore
Vergebe den Client-Namen "c7e3.a700.2321" an das Gerät, sofern es erscheint.
router(dhcp-config)# default-router 192.168.0.254
Definiere das Gateway.
router(dhcp-config)# dns-server 192.168.0.254
Setze einen DNS-Server mit der IP 192.168.254
router(dhcp-config)# dns-server 10.0.0.1
Setze einen zweiten DNS-Server mit IP 10.0.0.1
router(dhcp-config)# exit
Wechsel in den Config-Modus
Hinweis: Die auf die Mac-Adresse gebundene IP-Adresse wurde im vorherigen Beispiel mit einem "exclude" ausgeschlossen. Das sollte man auf jeden Fall prüfen, denn bei einer Doppelbelegung wird nicht in jeder IOS-Version eine Fehlermeldung ausgegeben. So können sich unter ungünstigen Umständen dynamische IP-Pools und statische Pools einander beeinträchtigen.
Daher sei der folgende Befehle zur Überprüfung sehr empfohlen, die leider erste bei neueren IOS-Versionen zu finden sind:
router# show ip dhcp conflictZeit Probleme bei im Zuweisungspool auf.
Optional kann die Adresse als Parameter dahinter angegeben werden.
router# show ip dhcp database
Zeige die DHCP Zuweisungen
Weitere Optionen:
router(dhcp-config)# netbios-node-type h-node
Folgende Typen können gesetzt werden: b, p, m, oder h.
router(dhcp-config)# netbios-name-server 192.168.0.254
Folgende Typen können gesetzt werden: b, p, m, oder h.
Um nun einen DHCP-Client auf einem Ethernet-Device zu aktivieren benötigt weniger Schritte:
switch(config-if)# ip address dhcp
Dieses Interface erhält seine IP über DHCP
Eigentlich doch sehr einfach, oder?
Verbinden von VLANs mit einem Layer3-Switch
Bei einem Layer-3-Switch erweist sich das Routing als sehr einfach -
Man schafft einfach eine Verbindung mit dem Trunk-Port eines anderen Switches.
switch(config)# interface fastethernet0/1
Wähle das Interface fastethernet0/1 zur Konfiguration
switch(config-if)# switchport trunk encapsulation dot1q
Bereite auf das DTP-Protokoll vor
switch(config-if)# switchport mode trunk
Schalte explizit den Switchport auf "Trunk"
switch(config-if)# speed 100
Geschwindigkeit auf 100 MBit
switch(config-if)# duplex full
Vollduplex
switch(config-if)# no shutdown
Das Interface nun starten.
switch(config-if)# exit
Das Interface verlassen
switch(config)# interface vlan 100
Wir definieren die virtuelle Benutzergruppe 100
switch(config-vlan)# ip address 192.168.111.254 255.255.255.0
Wir verknüpfen vlan 100 mit der IP 192.168.111.254/24
switch(config-vlan)# exit
Wir beenden das Interface
switch(config)# interface vlan 200
Wir definieren die virtuelle Benutzergruppe 200
switch(config-vlan)# ip address 192.168.222.254 255.255.255.0
Wir verknüpfen vlan 200 mit der IP 192.168.222.254/24
switch(config-vlan)# exit
Wir beenden das Interface.
Analog zum vorhergehenden Beispiel "Router on a Stick" sollten nun die Netze unter einander erreichbar sein.
do show port vlan
Man schafft einfach eine Verbindung mit dem Trunk-Port eines anderen Switches.
switch(config)# interface fastethernet0/1
Wähle das Interface fastethernet0/1 zur Konfiguration
switch(config-if)# switchport trunk encapsulation dot1q
Bereite auf das DTP-Protokoll vor
switch(config-if)# switchport mode trunk
Schalte explizit den Switchport auf "Trunk"
switch(config-if)# speed 100
Geschwindigkeit auf 100 MBit
switch(config-if)# duplex full
Vollduplex
switch(config-if)# no shutdown
Das Interface nun starten.
switch(config-if)# exit
Das Interface verlassen
switch(config)# interface vlan 100
Wir definieren die virtuelle Benutzergruppe 100
switch(config-vlan)# ip address 192.168.111.254 255.255.255.0
Wir verknüpfen vlan 100 mit der IP 192.168.111.254/24
switch(config-vlan)# exit
Wir beenden das Interface
switch(config)# interface vlan 200
Wir definieren die virtuelle Benutzergruppe 200
switch(config-vlan)# ip address 192.168.222.254 255.255.255.0
Wir verknüpfen vlan 200 mit der IP 192.168.222.254/24
switch(config-vlan)# exit
Wir beenden das Interface.
Analog zum vorhergehenden Beispiel "Router on a Stick" sollten nun die Netze unter einander erreichbar sein.
do show port vlan
Routing von VLANs:
"Router on a Stick"
Wenn man Switches über eine Trunk-Leitung verbunden hat, möchte man diese aber vielleicht auch in andere Netze routen.
Wie stellt man das am einfachsten an?
Man erstellt auf Seiten des Switches zum Router eine Trunk-Leitung, wie bereits gezeigt.
Auf dem Router arbeitet man dann weiter.
Wir wollen nun für 2 Vlans, vlan 100 und vlan 200 im netz 192.168.111.0/32 bzw. 192.168.222.0/32 jeweils einen Gateway auf der 192.168.111.254 bzw. 192.168.222.254 errichten.
router(config)# interface fastethernet0/0.123
Wir konfigurieren ein Subiterface "123" auf dem Interface fastethernet0/0.
router(config-if)# encapsulation dotq1 100
Wir binden dieses Interface an das vlan 100.
router(config-if)# ip address 192.168.111.254 255.255.255.0
Wir machen uns unter 192.168.111.254/24 im vlan 100 bemerkbar.
Analog dazu erfolgen die Eingaben für das nächste Netzwerk;
Lediglich ein neues beliebiges subinterface, z.B. fastethernet0/0.124, muss genutzt werden.
Um nun auch noch die Leitung zu starten, fehlen wenige Handgriffe:
router(config)# interface fastethernet0/0
Das Hauptinterface auswählen.
router(config-if)# speed 100
Leistungsgeschwindigkeit 100 MBit
router(config-if)# duplex full
Voll-Duplex-Modus
router(config-if)# no shutdown
Hochfahren
router(config-if)# exit
Verlassen des Interface
Anschließend kann man sich noch einmal das "verzapfte" in ruhe ansehen:
router(config)# show ip interface brief
So fern wir nicht an den lokalen PCs vergessen haben die Gateway-Adresse einzutragen, sind wir nun fertig und man kann alle Subetze unter einander erreichen.
Wie stellt man das am einfachsten an?
Man erstellt auf Seiten des Switches zum Router eine Trunk-Leitung, wie bereits gezeigt.
Auf dem Router arbeitet man dann weiter.
Wir wollen nun für 2 Vlans, vlan 100 und vlan 200 im netz 192.168.111.0/32 bzw. 192.168.222.0/32 jeweils einen Gateway auf der 192.168.111.254 bzw. 192.168.222.254 errichten.
router(config)# interface fastethernet0/0.123
Wir konfigurieren ein Subiterface "123" auf dem Interface fastethernet0/0.
router(config-if)# encapsulation dotq1 100
Wir binden dieses Interface an das vlan 100.
router(config-if)# ip address 192.168.111.254 255.255.255.0
Wir machen uns unter 192.168.111.254/24 im vlan 100 bemerkbar.
router(config-if)# exit
Verlassen des Sub-Interface
Analog dazu erfolgen die Eingaben für das nächste Netzwerk;
Lediglich ein neues beliebiges subinterface, z.B. fastethernet0/0.124, muss genutzt werden.
Um nun auch noch die Leitung zu starten, fehlen wenige Handgriffe:
router(config)# interface fastethernet0/0
Das Hauptinterface auswählen.
router(config-if)# speed 100
Leistungsgeschwindigkeit 100 MBit
router(config-if)# duplex full
Voll-Duplex-Modus
router(config-if)# no shutdown
Hochfahren
router(config-if)# exit
Verlassen des Interface
Anschließend kann man sich noch einmal das "verzapfte" in ruhe ansehen:
router(config)# show ip interface brief
So fern wir nicht an den lokalen PCs vergessen haben die Gateway-Adresse einzutragen, sind wir nun fertig und man kann alle Subetze unter einander erreichen.
VLAN-Liste in Geräten teilen:
DTP ist tot, es lebe das VTP-Protokoll
Das VTP-Protokoll synchronisiert Trunk-Lines, damit VLANs nicht auf jedem Gerät einzeln eingegeben werden müssen.
Es gibt einige Grundregeln, die im Zusammenhang mit diesem Protokoll wichtig sind.
Wie schalte ich das VTP-Protokoll auf einem Router oder einem Switch ein?
switch(config)# show vtp status
Zeige uns den aktuellen vtp-status
switch(config)# vtp domain vtp-arbeitsgruppe
Benenne die VTP-Arbeitsgruppe als "vtp-arbeitsgruppe"
switch(config)# vtp password meinkennwort
Setze ein Kennwort für die Arbeitsgruppe (optional)
swtich(config)# vtp mode server | client | transparent
Setze den Modus.
Folgende Modis sind möglich:
Beim Abgleich von VTP-Listen "gewinnt" immer der Benutzer, dessen Revisionsnummer größer ist, als die Revisionsnummern der anderen Benutzer.
Baut man also z.B. einen gebrauchten VTP-Server ein, sollte man tunlichst darauf achten, diesen zunächst auf "transparent" zu setzen, damit dieser die Netze der anderen empfängt.
Es gibt einige Grundregeln, die im Zusammenhang mit diesem Protokoll wichtig sind.
- VTP ist ein Cisco-Protokoll. Ist es aktiviert, kann es nicht mehr deaktiviert werden.
- VTP wird nicht über einen Router hinaus übertragen.
- VLANs werden auf Revisionslisten verwaltet.
Listen mit neueren (größeren) Revisionsnummern überschreiben ältere (kleinere) Revisionslisten. - Auch Switches können Arbeitsgruppen bilden:
So genannte VTP-Domains trennen VLAN-Arbeitsgruppen-Listen
Wie schalte ich das VTP-Protokoll auf einem Router oder einem Switch ein?
switch(config)# show vtp status
Zeige uns den aktuellen vtp-status
switch(config)# vtp domain vtp-arbeitsgruppe
Benenne die VTP-Arbeitsgruppe als "vtp-arbeitsgruppe"
switch(config)# vtp password meinkennwort
Setze ein Kennwort für die Arbeitsgruppe (optional)
swtich(config)# vtp mode server | client | transparent
Setze den Modus.
Folgende Modis sind möglich:
| server: | Hier können vtp-listen angelegt werden, die verteilt werden. |
| client: | Hier können keine vtp-listen angelegt werden; diese werden nur von den anderen Nachbarn übernommen.Ggf. wird die liste anderen Nachbarn zur Abschrift üebrgeben. |
| transparent: | Dieser VTP-Partner empfängt listen, teilt aber selber keine aus. dennoch kann man ihm lokal selbst listen hinzu fügen. |
Beim Abgleich von VTP-Listen "gewinnt" immer der Benutzer, dessen Revisionsnummer größer ist, als die Revisionsnummern der anderen Benutzer.
Baut man also z.B. einen gebrauchten VTP-Server ein, sollte man tunlichst darauf achten, diesen zunächst auf "transparent" zu setzen, damit dieser die Netze der anderen empfängt.
Verbinden von Switchen mit VLANs:
Das DTP-Protokoll 802.1Q
Das Dynamic Trunk Protokoll (DTP-Protokoll) verbindet Geräte die virtuelle physikalische Gruppen (VLANs) enthalten. Es ist ein Hersteller-offenes Protokoll.
Beim DTP-Protokoll müssen lokal an jedem Gerät die vlan-Arbeitsgruppen eingegeben werden.
Arbeitsgruppen werden nicht unter einander weiter gegeben!
Um einen Switch mit einem anderen Switch oder Router zu verbinden, nimmt man sich einfach einen Anschlussport und definiert ihn als "trunk-port" -
Dabei sollte auf jeden Fall die Leitungsgeschwindigkeit und der Duplex-Mode gesetzt werden!
Wir nehmen beispielhaft die Leitung "fastethernet0/20" auf einem Switch.
switch(config)# interface fastethernet0/20
Wir konfigurieren das Interface fastethernet0/24
switch(config-if)# switchport trunk
Der Eingangsport wird nun ein "Trunk-Port" zum Zusammenschalten von Switchen
switch(config-if)# speed 100
Setze die Geschwindigkeit auf 100 MBit
switch(config-if)# duplex full
Setze auf Voll-Duplex.
Natürlich müssen auf jedem Switch die jeweiligen "Trunkports" definiert werden.
Twunkports können NICHT als Zugangs-Ports (Access-Ports) für Endgeräte benutzt werden, die das 802.1Q-Protokoll nicht unterstützen.
Beim DTP-Protokoll müssen lokal an jedem Gerät die vlan-Arbeitsgruppen eingegeben werden.
Arbeitsgruppen werden nicht unter einander weiter gegeben!
Um einen Switch mit einem anderen Switch oder Router zu verbinden, nimmt man sich einfach einen Anschlussport und definiert ihn als "trunk-port" -
Dabei sollte auf jeden Fall die Leitungsgeschwindigkeit und der Duplex-Mode gesetzt werden!
Wir nehmen beispielhaft die Leitung "fastethernet0/20" auf einem Switch.
switch(config)# interface fastethernet0/20
Wir konfigurieren das Interface fastethernet0/24
switch(config-if)# switchport trunk
Der Eingangsport wird nun ein "Trunk-Port" zum Zusammenschalten von Switchen
switch(config-if)# speed 100
Setze die Geschwindigkeit auf 100 MBit
switch(config-if)# duplex full
Setze auf Voll-Duplex.
Natürlich müssen auf jedem Switch die jeweiligen "Trunkports" definiert werden.
Twunkports können NICHT als Zugangs-Ports (Access-Ports) für Endgeräte benutzt werden, die das 802.1Q-Protokoll nicht unterstützen.
VLANs - oder auch:
Konfigurieren von virutellen Arbeitsgruppen auf einem Switch
An einem Switch können verschiedenen Ports zu Arbeitsgruppen zusammen gefasst werden.
Diese Arbeitgruppen arbeiten sodann im Verbund und werden physisch von den anderen Ports getrennt.
Wird z.B. ein Broadcast in dieser Arbeitsgruppe abgesetzt, bleibt dieser in dieser Arbeitsgruppe --
Er erreicht keine der anderen Arbeitsgruppen.
Man verbindet also Eingangsports (Switchports bzw. Collision-Domains) zu Netzwerk-Arbeitsgruppen (Broadcast-Domains).
Anzeigen von VLAN-Arbeitsgruppen.
switch# show vlan brief
Einige Arbeitsgruppen sind von Haus aus vorbereitet.
Wird ein Switch in den Urzustand gebracht, werden alle Eingangsports (Switchports/Collision-Domains) der arbeitsgruppe vlan 1 zugeordnet.
Hinzufügen von VLAN-Arbeitsgruppen
switch(config)# vlan 100
Wir konfigurieren die virtuelle Gruppe 100
switch(config-vlan)# name marketing
Der Name "marketing" wird der Gruppe 100 zugeordnet
switch(config-vlan)# exit
Verbinden von Eingangsports mit einer Arbeitsgruppe
switch(conf)# interface fastethernet0/1
Wir konfigurieren das interface fastethernet0/1
switch(conf-inf)# switchport access vlan 100
Wir setzen den Switchport als Zugangsport für das vlan 100
switch(conf-inf)# exit
Diese Arbeitgruppen arbeiten sodann im Verbund und werden physisch von den anderen Ports getrennt.
Wird z.B. ein Broadcast in dieser Arbeitsgruppe abgesetzt, bleibt dieser in dieser Arbeitsgruppe --
Er erreicht keine der anderen Arbeitsgruppen.
Man verbindet also Eingangsports (Switchports bzw. Collision-Domains) zu Netzwerk-Arbeitsgruppen (Broadcast-Domains).
Anzeigen von VLAN-Arbeitsgruppen.
switch# show vlan brief
Einige Arbeitsgruppen sind von Haus aus vorbereitet.
Wird ein Switch in den Urzustand gebracht, werden alle Eingangsports (Switchports/Collision-Domains) der arbeitsgruppe vlan 1 zugeordnet.
Hinzufügen von VLAN-Arbeitsgruppen
switch(config)# vlan 100
Wir konfigurieren die virtuelle Gruppe 100
switch(config-vlan)# name marketing
Der Name "marketing" wird der Gruppe 100 zugeordnet
switch(config-vlan)# exit
Verbinden von Eingangsports mit einer Arbeitsgruppe
switch(conf)# interface fastethernet0/1
Wir konfigurieren das interface fastethernet0/1
switch(conf-inf)# switchport access vlan 100
Wir setzen den Switchport als Zugangsport für das vlan 100
switch(conf-inf)# exit
Eingangsports an einem Switch definieren:
Port-Policies durch Mac-Filterung
Ein Switch hat nunmal viele Ports - aber oft möchte man garnicht, dass ein jeder seinen PC in eine Buchse einstecken kann. Daher schaltet man zunächst von der Konsole aus alle Ports an einem Router oder Switch ab.
switch(config)# interface range fastethernet0/0-24
switch(config-if-range)# shutdown
Doch so ein toter Router verfehlt natürlich seine Aufgabe.
Wie kann man nun doch einen "vertrauensvollen" Rechner an einen Port bringen?
switch(config)# interface fastethernet0/1
Wir konfigurieren Interface fastethernet0/0
switch(config-if)# switchport mode access
Wir definieren diesen Eingangsport als "Zugriffsport" für ein Gerät
switch(config-if)# switchport port-security
Wir schalten die Mac-Security ein.
switch(config-if)# switchport port-security maximum 1
An diesem Port darf nur eine mac-adresse zugreifen
switch(config-if)# switchport port-security mac-address 02:01:0A:0B:0C:FF
Als Zugriffskritierium für diesen Port gilt die die Mac-Adresse 02:01:0A:0B:0C:FF des Endgerätes.
switch(config-if)# switchport port-security violation shutdown
Sollte an dem Port ein Gerät mit einer anderen Portadresse eingesteckt werden, schalte den Port ab.
Der Port muss dann wieder manuell vom Systemverwalter herauf gefahren werden.
In der Praxis wäre dieses Vorgehen sehr Zeitaufwändig. Man stelle sich vor, man möchte alle Ports ausser 0,10,20 definieren.
Also abeitet man wie folgt:
switch(config)# interface range fastethernet0/1-9, fastethernet0/11-19, fastethernet0/21-24
Wir konfigurieren alle 24 Ports ausser 0, 10 und 20.
switch(config-if-range)# switchport mode access
Alle Ports sind Zugriffsports für Endgeräte
switch(config-if-range)# switchport port-security
Schalte die mac-filterung ein.
switch(config-if-range)# switchport port-security maximum 1
Es gibt eine Mac-Adresse, der wir vertrauen
switch(config-if-range)# switchport port-security mac-address sticky
Lerne selbstständig Mac-Adressen
switch(config-if-range)# switchport port-security violation restrict
Schalte bei einem Sicherheitsverstoß auf den Modus "restict": Der Port belebt sich nach dem Einstecken des richtigen Gerätes wieder von selbst.
Violation-Modes:
switch(config)# interface range fastethernet0/0-24
switch(config-if-range)# shutdown
Doch so ein toter Router verfehlt natürlich seine Aufgabe.
Wie kann man nun doch einen "vertrauensvollen" Rechner an einen Port bringen?
switch(config)# interface fastethernet0/1
Wir konfigurieren Interface fastethernet0/0
switch(config-if)# switchport mode access
Wir definieren diesen Eingangsport als "Zugriffsport" für ein Gerät
switch(config-if)# switchport port-security
Wir schalten die Mac-Security ein.
switch(config-if)# switchport port-security maximum 1
An diesem Port darf nur eine mac-adresse zugreifen
switch(config-if)# switchport port-security mac-address 02:01:0A:0B:0C:FF
Als Zugriffskritierium für diesen Port gilt die die Mac-Adresse 02:01:0A:0B:0C:FF des Endgerätes.
switch(config-if)# switchport port-security violation shutdown
Sollte an dem Port ein Gerät mit einer anderen Portadresse eingesteckt werden, schalte den Port ab.
Der Port muss dann wieder manuell vom Systemverwalter herauf gefahren werden.
In der Praxis wäre dieses Vorgehen sehr Zeitaufwändig. Man stelle sich vor, man möchte alle Ports ausser 0,10,20 definieren.
Also abeitet man wie folgt:
switch(config)# interface range fastethernet0/1-9, fastethernet0/11-19, fastethernet0/21-24
Wir konfigurieren alle 24 Ports ausser 0, 10 und 20.
switch(config-if-range)# switchport mode access
Alle Ports sind Zugriffsports für Endgeräte
switch(config-if-range)# switchport port-security
Schalte die mac-filterung ein.
switch(config-if-range)# switchport port-security maximum 1
Es gibt eine Mac-Adresse, der wir vertrauen
switch(config-if-range)# switchport port-security mac-address sticky
Lerne selbstständig Mac-Adressen
switch(config-if-range)# switchport port-security violation restrict
Schalte bei einem Sicherheitsverstoß auf den Modus "restict": Der Port belebt sich nach dem Einstecken des richtigen Gerätes wieder von selbst.
Violation-Modes:
| Protect: | Dropt die Pakete |
| Restict: | Droppt die Pakete. Die Fehlversuche werden gezählt. |
| Shutdown: | Schaltet den Port ab und sendet eine Nachricht via SNMP. |
Netzwerkbereiche
IPv4-Netze sind in Klassen unterteilt, für die bestimmte Netz- und Host-Anteile üblich aber nicht (mehr) bindend sind.
Alte Netzwerkimplementierungen errechnen anhand des ersten Oktetts die Netzwerkmaske.
Daher die CID-Darstellung mit "/" üblich ist, in der die Netzwerkmaske nach einer IP angegeben wird, kann derweil darauf verzichtet werden.
Gültige Hostbereiche
Um selbst in privaten Netzwerken mit validen IP-Adressen arbeiten zu können, wurden bestimmte Netzwerkbereiche im IPv4-Adress-Pool frei gehalten.
Obendrein ist in jedem Router im Betriebssystem verankert, dass diese Adressen nicht in das Internet getragen werden bzw. werden sollen...:
Netzbereich 10.0.0.0/8 ( 10.0.0.0 bis 10.255.255.255.255 )
Netzbereich 172.16.0.0/12 (172.16.0.0.172.bis 172.31.255.255 )
Netzbereich 192.168.0.0/16 (192.168.0.0 bis 192.168.255.255 )
Opendrein wurde der so genannte APIPA(Automatic Private IP Adressing)-Netzwerkbereich (auch "Zeroconf" genannt: Zero Configuration Networking) definiert: Dieser wird immer dann von einem Netwerkgerät selbst "ausgeknobelt" und verwendet, wenn z.B. kein DHCP-Server eine eindeutige IP-Adresse an das Netzwerkgerät vergibt.
In diesem automatischen Bereich finden sich die Geräte eigenständig.
Netwerkbereich 169.254.0.0/16 (169.254.0.0 bis 169.254.255.255)
(Es gibt eine gegenteilige Beschreibung nach RFC330, die den IP-Bereich 169.254.1.0 bis 169.254.254.255 angibt.)
Alte Netzwerkimplementierungen errechnen anhand des ersten Oktetts die Netzwerkmaske.
Daher die CID-Darstellung mit "/" üblich ist, in der die Netzwerkmaske nach einer IP angegeben wird, kann derweil darauf verzichtet werden.
Gültige Hostbereiche
| Klasse | Erstes Oktett | Übliche Netzmaske | Netzanteil | Hostanteil | Adressbereich |
| A | 0xxx'xxxx | 255.0.0.0 | 2^(8-1) = 128 Netze | 2^24 - 2 = 16777214 IP-Hosts | 0.0.0.0 - 127.255.255.255 |
| B | 10xx'xxxx | 255.255.0.0 | 2^(16-2) = 16384 Netze | 2^16 - 2 = 65534 IP-Hosts | 128.0.0.0-191.255.255.255 |
| C | 110x'xxxx | 255.255.255.0 | 2 ^(24-3) = 2097152 Netze | 2 ^8 - 2 = 254 IP-Hosts | 192.0.0.0- 223.255.255.255 |
| D | 1110'xxxx | Multicast-Bereich | |||
| E | 1111'xxxx | Reserviert | |||
Um selbst in privaten Netzwerken mit validen IP-Adressen arbeiten zu können, wurden bestimmte Netzwerkbereiche im IPv4-Adress-Pool frei gehalten.
Obendrein ist in jedem Router im Betriebssystem verankert, dass diese Adressen nicht in das Internet getragen werden bzw. werden sollen...:
Netzbereich 10.0.0.0/8 ( 10.0.0.0 bis 10.255.255.255.255 )
Netzbereich 172.16.0.0/12 (172.16.0.0.172.bis 172.31.255.255 )
Netzbereich 192.168.0.0/16 (192.168.0.0 bis 192.168.255.255 )
Opendrein wurde der so genannte APIPA(Automatic Private IP Adressing)-Netzwerkbereich (auch "Zeroconf" genannt: Zero Configuration Networking) definiert: Dieser wird immer dann von einem Netwerkgerät selbst "ausgeknobelt" und verwendet, wenn z.B. kein DHCP-Server eine eindeutige IP-Adresse an das Netzwerkgerät vergibt.
In diesem automatischen Bereich finden sich die Geräte eigenständig.
Netwerkbereich 169.254.0.0/16 (169.254.0.0 bis 169.254.255.255)
(Es gibt eine gegenteilige Beschreibung nach RFC330, die den IP-Bereich 169.254.1.0 bis 169.254.254.255 angibt.)
Abonnieren
Posts (Atom)