Aktive Netzkomponenten E-Book

Aktive Netzkomponenten

Verantwortliche Personen:

This eBook has been created using the ePub-Converter of eLML (eLesson Markup Language). See www.eLML.org for more details about creating platform-independent online content.

Dieses Lehrbuch vermittelt Grundkenntnisse und gibt darüber hinaus tiefgehenden und fundierten Einblick in Techniken, die zum Aufbau und Betrieb großer LANs erforderlich sind. Hierbei ist auch die historische Entwicklung – angefangen bei den Koaxialkabeln 10Base2 und 10Base5 über Bridges, Router und Layer-2-Switches – der LAN-Technik berücksichtigt, damit der Leser versteht, warum Multilayer-Switches heute bevorzugt eingesetzt werden.

Beginnend mit einer grundlegenden Beschreibung von Cisco-Routern und -Switches wird insbesondere das Spanning-Tree-Protokoll besonders detailliert dargestellt. Auch Layer-3-Funktionen wie Inter-VLAN-Routing und HSRP bilden einen wesentlichen Teil des Buchs. Zuletzt wird noch der Aufbau und die Anwendung von Zugriffs-Filtern sowie eine Basissicherheit auf Cisco-Switches behandelt.

In der Hoffnung, dass es uns gelungen ist, ein praxisnahes, übersichtliches und gut verständliches Lehrbuch zu veröffentlichen, wünschen wir dem Leser viel Spaß!

Rukhsar KhanAirnet Technologie- und Bildungszentrum GmbHSeptember 2010

Die Entwicklung des LAN-Bereichs in den letzten zwei Jahrzehnten war gigantisch. Während Ende der 1980er Jahre bzw. sogar bis Mitte der 1990er Jahre noch viele LANs auf der Grundlage von Koaxialkabeln mit einer Übertragungsgeschwindigkeit von gerade einmal 10 Mbit/s für alle angeschlossenen Komponenten aufgebaut waren, existieren heute bereits dedizierte Verbindungen mit mehreren Gigabit pro Sekunde. Die Übertragungsgeschwindigkeit allein ist jedoch nicht ausschlaggebend. Die Effizienz eines Netzwerks wird von vielen weiteren Faktoren bestimmt.

Die Abbildung zeigt die zwei klassischen Koaxialkabel 10Base2 und 10Base5. 10Base2 – aufgrund des geringen Kabeldurchmessers oft auch Thin-Ethernet genannt – unterstützt eine maximale Segmentlänge von ca. 2 * 100 m (genau 185 m). 10Base5 – aufgrund des größeren Kabeldurchmessers auch Thick-Ethernet genannt – hat eine maximale Segmentlänge von 5 * 100 m. Es handelt sich hierbei jeweils um Segmente, die allen angeschlossenen Komponenten eine gemeinsame (shared) Übertragungsgeschwindigkeit von 10 Mbit/s zur Verfügung stellen.

Wird die maximale Segmentlänge erreicht, kann durch sogenannte Repeater eine Verlängerung des Segmentes vorgenommen werden. Repeater sind Signalverstärker, die lediglich das elektrische Signal auf der physikalischen Schicht verstärken. Bis zu fünf Segmente können durch vier Repeater miteinander verbunden werden. Ein weiterer Repeater ist hiernach nicht mehr zulässig.

Es gibt eine bekannte Repeater-Regel, die 5-4-3-2-1 genannt wird. Diese Regel besagt, dass fünf Segmente über vier Repeater miteinander verbunden werden dürfen. Lediglich drei der insgesamt fünf Segmente dürfen aktiv sein, was bedeutet, dass nur auf drei Segmenten Komponenten angeschlossen sein dürfen. Auf zwei Segmenten dürfen keine Komponenten angeschlossen werden. Diese Segmente dienen lediglich der Verlängerung des Gesamtnetzwerks. Das Gesamtnetzwerk stellt eine große Kollisionsdomäne dar.

Der Hauptnachteil der obigen Netzwerkumgebung besteht darin, dass keine logische Trennung vorgenommen wurde. Jede Komponente, die in einer Kollisionsdomäne angeschlossen ist, teilt sich die Bandbreite mit jeder anderen angeschlossenen Komponente. In einer Kollisionsdomäne darf zu einer gegebenen Zeit nur ein einziges Signal existieren. Versenden zwei Komponenten gleichzeitig Daten, kommt es zu einer Kollision. Diese muss anschließend bereinigt werden. Um die 1990er Jahre herum gab es viele solcher Netzwerkumgebungen. Diese wuchsen damals überproportional, bis gewaltige Überlastsituationen auftraten. Als Lösung hierzu wurden Bridges eingesetzt. Diese nahmen eine logische Trennung des Netzwerks auf der Sicherungsschicht (Data Link Layer) vor. So stellte zum Beispiel jeder Port einer Bridge eine eigenständige Kollisionsdomäne dar. Hierdurch war ein paralleles Datenaufkommen möglich, was zu einem effektiv höheren Durchsatz des Gesamtnetzwerks führte. Bridges hatten jedoch einen Nachteil: Sie mußten gemäß der Spezifikation IEEE 802.1d empfangene Broadcasts auf jeden Port – außer dem empfangenden Port – weiterleiten. Daher bildete die Bridge eine einzige Broadcast-Domäne. (Abbildung).

Da die LAN-Protokolle, die um die 1990er Jahre eingesetzt wurden, sehr broadcastintensiv waren, gab es in den damaligen Bridging-Umgebungen eine sehr hohe Broadcastlast. Je größer die Netzwerke wurden, umso größer wurde auch die Broadcastlast. Die Antwortzeiten im Netzwerk stiegen enorm an, bis eine vernünftige Kommunikation nicht mehr möglich war. Als Lösung hierfür wurden Anfang bis Mitte der 1990er Jahre verstärkt Router eingesetzt. Router bilden pro Schnittstelle eine eigenständige Broadcast-Domäne. Die Broadcasts einer Broadcast-Domäne x werden nicht in eine Broadcast-Domäne y übertragen. Der Router ist sozusagen eine Broadcast-Barriere.

Ein Hauptnachteil von Routern ist die Verzögerungszeit während der Übertragung von Datenpaketen. Router sind Komponenten, die auf der Netzwerkschicht arbeiten, und müssen daher alle Datenpakete, die sie weiterleiten, bis zu dieser Schicht verarbeiten. Dies bedeutet im Einzelnen, dass die Datenpakete an der empfangenden Schnittstelle bis zum IP-Header zunächst entkapselt werden. Anschließend wird die IP-Adresse des Ziels aus dem IP-Header ausgelesen. Dann wird die Routing-Tabelle nach einem passenden Eintrag durchsucht. Sollte eine Route für die Ziel-IP-Adresse vorhanden sein, wird ermittelt, auf welcher Ausgangsschnittstelle das Datenpaket versendet werden muss. Anschließend wird das IP-Paket neu gekapselt und über die Ausgangsschnittstelle versendet. Dieser Prozess war bei den damaligen Routern softwarebasierend und löste mehrere CPU-Interrupts aus. Auch diese Tatsache trug zu der höheren Verzögerungszeit während der Datenübertragung bei.

Mitte der 1990er Jahre wurden Switches entwickelt. Im Prinzip funktionieren sie wie ihre Vorgänger, die Bridges. In der Abbildung ist zu sehen, dass auch Switches pro Interface eine eigenständige Kollisionsdomäne bilden und der gesamte Switch eine einzige Broadcast-Domäne ist. Der Hauptunterschied zu den Bridges besteht jedoch in der Übertragungszeit. Bridges waren, genauso wie Router, softwarebasierend. Dementsprechend hatten sie hohe Verzögerungszeiten während der Übertragung von Datenframes. Switches hingegen sind hardwarebasierend. Sie haben sogenannte ASIC-Chips, die das Weiterleiten von Datenframes aus der Hardware ermöglichen. Switches sind in anderen Worten „hardwarebasierende Bridges“. Der Datendurchsatz eines Switches ist um ein Vielfaches höher als der Durchsatz der alten Bridges.

Durch die VLAN-Implementierung werden anstelle einer großen Broadcast-Domäne viele kleine Broadcast-Domänen aufgebaut. Hierdurch kann die Broadcastlast zwar besser kontrolliert werden, jedoch besteht auch in jedem Netzwerk die Anforderung, dass viele VLANs miteinander kommunizieren müssen. An dieser Stelle ist wieder ein Router erforderlich. In der Abbildung ist ein externer Router zu sehen, der jeweils ein Interface in jedem VLAN hat. Somit ist er in der Lage, zwischen den VLANs zu routen. Diese Implementierung hat jedoch wieder den Nachteil, dass der Router softwarebasierend ist und somit sehr hohe Verzögerungszeiten während der Datenübertragung anfallen.

Eine endgültige Lösung, die allen heutigen Anforderungen im LAN-Bereich gerecht wird, stellen Multilayer-Switches bzw. Layer-3-Switches dar. Diese sind seit Ende der 1990er Jahre verfügbar. Bei einem Multilayer-Switch handelt es sich um eine Komponente, die sowohl Daten auf der Sicherungsschicht (Layer 2) als auch auf der Vermittlungsschicht (Layer 3) weiterleiten kann. Sowohl die Layer-2- als auch die Layer-3-Daten werden sehr schnell durch die Hardware verarbeitet. Hierfür stehen die bereits erwähnten ASIC-Chips zur Verfügung. Somit ist ein langsamer, externer Router für die Layer-3-Funktion nicht mehr erforderlich. Die Abbildung zeigt unsere bekannte VLAN-Umgebung, bestehend aus vier VLANs. Daten innerhalb eines VLANs werden vom Multilayer-Switch über den Layer 2, Daten zwischen VLANs werden über den Layer 3 weitergeleitet. Anders als bei externen Routern entspricht der Datendurchsatz des Layer-3-Forwardings dem des Layer-2-Forwardings.

Ein aktuelles Netzwerkdesign, das heute in vielen LANs eingesetzt wird, ist in der Abbildung oben zu sehen. Es besteht aus einer Netzzugangsschicht (Access Layer), kurz Zugangsschicht, und einer Verteilungsschicht (Distribution Layer). Die Zugangsschicht stellt den Zugangspunkt zum Netzwerk zur Verfügung. Hier werden Etagen-Switches eingesetzt, die den Endstationen eine optimale Anbindung an das Unternehmensnetzwerk ermöglichen. Bei den Switches der Zugangsschicht handelt es sich in der Regel um Layer-2-Switches. Die Verteilungsschicht könnte aus zwei Multilayer-Switches bestehen. Hierbei handelt es sich um die Switches, die für die Gebäudeverteilung verantwortlich sind. Die Switches der Zugangsschicht werden redundant an die beiden Multilayer-Switches angeschlossen. Die Multilayer-Switches haben auch untereinander eine oder mehrere Verbindungen. Dies könnte das Netzwerkdesign innerhalb eines Gebäudes sein. Man spricht hierbei von einem Switch-Block.

Sollte die Anforderung bestehen, einen großen Campus zu vernetzen, könnte das Netzwerkdesign aus der Abbildung oben zu einer Kernschicht (Core Layer) erweitert werden. Die Kernschicht wäre für die Anbindung der einzelnen Gebäude innerhalb des Campus verantwortlich. Die Abbildung unten zeigt zwei Switch-Blöcke, die über zwei Switches auf der Kernschicht redundant miteinander verbunden sind. Jeder weitere Switch-Block würde auf die gleiche Weise angebunden werden.

So ergibt sich eine Drei-Stufen-Hierarchie, bestehend aus Zugangs-, Verteilungs- und Kernschicht (Access-, Distribution- und Core-Layer). Jede Schicht hat eine bestimmte Aufgabe. Wie bereits erwähnt, hat die Zugangsschicht die Aufgabe, Endstationen optimal anzubinden. Auf der Verteilungsschicht sollten die rechenintensiven Funktionen durchgeführt werden. Hierzu zählt zum Beispiel die VLAN-Terminierung und somit das Inter-VLAN-Routing sowie komplexe Access-Control-Lists (Filter). Auch die Root- und die Backup-Root-Funktion des Spanning-Tree-Protokolls sollten sich auf der Verteilungsschicht abspielen. Im Normalfall wird zwischen der Verteilungs- und der Zugangsschicht über Layer 2 weitergeleitet und zwischen der Verteilungs- und der Kernschicht über Layer 3 geroutet. Jegliche Layer-2-Funktionen wie z. B. die VLANs und die Spanning-Tree-Topologie sollten an der Verteilungsschicht enden und nicht zur Kernschicht weitergereicht werden. Es soll also zwischen den einzelnen Switch-Blöcken immer über Layer 3 geroutet werden. Hierdurch wird die Broadcastlast stark eingeschränkt. Was dies alles nun genau zu bedeuten hat, wird im Laufe des Lehrbuchs näher erläutert.

Bei diesem Design handelt es sich um ein mehrfach redundantes Netzwerk. Ein derartiges Netzwerkdesign hat den Vorteil, dass mehrere Teilstrecken ausfallen können, das Netzwerk aber weiterhin funktionsfähig bleibt. Auch die Konvergenzzeit spielt eine wesentliche Rolle im Falle eines Ausfalls. Unter Konvergenzzeit wird die Zeit verstanden, die ein Netzwerk benötigt, nach Ausfall einer Teilstrecke Alternativpfade zu aktivieren. Je geringer die Konvergenzzeit in einem Netzwerk ist, umso schneller können die Komponenten die aufgrund des Ausfalls unterbrochene Kommunikation wieder aufnehmen. Die beiden Abbildungen (oben und unten) zeigen zwei verschiedene Netzwerkausfälle. Die Daten werden dann über einen Alternativpfad übertragen.

Bevor jedoch auf die Einzelheiten dieses Netzwerkdesigns eingegangen werden kann, müssen wir uns noch viele Grundlagen erarbeiten. Diese werden in den nächsten Kapiteln vermittelt. Weiter hinten in diesem Buch wird auf die Feinheiten eines solchen Netzwerkdesigns eingegangen.

Dieses Kapitel beschreibt die Grundlagen von Cisco-Routern, angefangen bei dem initialen Zugang, über den Konsolen-Port und die einzelnen Konfigurationsmodi, über die Grundfunktionalitäten bis hin zu den Basisbefehlen.

Wie in der Abbildung zu sehen, stehen auf Cisco-Routern zunächst zwei Konfigurationsquellen zur Verfügung. Es ist zum einen der asynchrone Konsolen-Port und zum anderen der asynchrone Auxiliary-Port. Beide Ports sind standardmäßig auf eine Geschwindigkeit von 9600 Bit/s eingestellt. Die Geschwindigkeit kann bei Bedarf auf folgende Werte abgeändert werden:

Über den Konsolen-Port wird die initiale Konfiguration des Routers vorgenommen. Ein VT100-Terminal oder ein PC mit einer Terminal-Emulationssoftware wird über die serielle Schnittstelle (EIA/TIA-232) an den Konsolen-Port angeschlossen. Hierfür wird mit jedem Router ein sogenanntes Rollover-Kabel mit einem entsprechenden Adapter für die EIA/TIA-232-Schnittstelle mitgeliefert. Die Einstellungen für die Terminal-Emulationssoftware lauten wie folgt:

Durch den Konsolen-Port wird auf das sogenannte Command Line Interface (CLI) zugegriffen. Das CLI ist die Konfigurationsoberfläche des Routers.

Der Auxiliary-Port wird verwendet, um ein Modem anzuschließen. Er ermöglicht eine Fernwartung des Routers. Dieser Port muss allerdings für den Betrieb eines Modems explizit konfiguriert werden. Der einzige funktionelle Unterschied zwischen dem Auxiliary- und dem Konsolen-Port ist, dass am Auxiliary-Port ein Modem betrieben werden kann, am Konsolen-Port nicht.

Nach der initialen Konfiguration, also nachdem Passwörter, IP-Adresse(n) und virtuelle Terminal-Leitungen (für Telnet und SSH erforderlich) konfiguriert wurden, kann über das Netzwerk auf das Command-Line-Interface zugegriffen werden. Dies ist über einen Telnet- oder SSH-Client möglich. Es besteht auch die Möglichkeit, eine bereits vorgefertigte Konfigurationsdatei von einem TFTP-Server herunterzuladen. Trivial File Transfer Protocol (TFTP) ist ein Protokoll der TCP/IP-Protokollfamilie, das für einfachen Dateitransfer zwischen IP-Komponenten verwendet wird. Weiterhin kann auf dem Router eine SNMP-Konfiguration vorgenommen werden. Simple Network Management Protocol (SNMP) ist ein Protokoll der TCP/IP-Protokollfamilie, das für die Verwaltung (Management) von IP-Komponenten eingesetzt wird. Nach einer SNMP-Konfiguration ist es möglich, den Router über eine zentrale Network Management Station (NMS) zu verwalten. Netzwerkmanagementstationen sind in der Regel Windows- oder Unix-Maschinen, auf denen eine oder mehrere Netzwerkmanagement-Anwendungen betrieben werden. Cisco Works oder Hewlett Packard OpenView sind Beispiele solcher Anwendungen. Siehe Abbildung.

Neuere Access-Router von Cisco, die Integrated Services Router (ISR) genannt werden, unterstützen noch zusätzlich eine Software namens Cisco Router and Security Device Manager (SDM). Hierbei handelt es sich um eine HTTP- bzw. HTTPS-basierende Software, die das Konfigurieren und Überwachen (Monitoring) der Geräte über eine grafische Oberfläche ermöglicht. Die Dateien, die zum SDM gehören, werden zusätzlich zur IOS-Datei in den Flash-Speicher des Routers kopiert. Anschließend ist eine HTTP- bzw. HTTPS-Konfiguration erforderlich, damit der SDM aktiviert wird. Auf dem PC wird eine SDM-Client-Software installiert. Es besteht auch die Möglichkeit, den SDM über einen Webbrowser zu starten. In der Abbildung ist das Startfenster der SDM-Client-Software zu sehen. Nachdem hier die IP-Adresse des Routers eingetragen worden ist, wird der SDM gestartet.

Das Startfenster des SDM, auch Homepage genannt, ist in der Abbildung zu sehen. Hier werden generelle Informationen über die Plattform, den verfügbaren Speicher, die IOS- und SDM-Version sowie die Informationen über einige Interfaces und Features angezeigt.

In der Abbildung wurde anschließend die Schaltfläche „Configure“ angeklickt. Hier können sämtliche Konfigurationen vorgenommen werden.

Die Abbildung zeigt zuletzt die Schaltfläche „Monitor“, die zum Überwachen des Gerätes verwendet wird. Da ISRs bei Einsatz eines Advanced-Security-Feature-Sets viele Sicherheitsprotokolle und -funktionen zur Verfügung stellen, eignet sich diese Schaltfläche ganz besonders zum Überwachen dieser Features.

Wird auf einen Router über Telnet, SSH oder über den Konsolen- bzw. Auxiliary-Port zugegriffen, beginnt er in einem sogenannten Benutzermodus (User Mode). Dieser Modus wird von Cisco auch häufig „Look-only-Mode“ genannt, da es hier nur möglich ist, einige wenige Konfigurationsparameter anzuschauen. Sollen Verifikationen oder Konfigurationsänderungen vorgenommen werden, muss in den privilegierten Modus (Privileged Mode) gewechselt werden. Der privilegierte Modus ist mit einem Administratorzugang auf Windows-Systemen vergleichbar. Das heißt, dass ein Benutzer im privilegierten Modus komplette Verfügungsberechtigung über das gesamte System hat. Im privilegierten Modus werden sämtliche Verifikationsbefehle (show- und debug-Befehle) eingegeben. Aus dem privilegierten Modus kann auch in den globalen Konfigurationsmodus (Global Configuration Mode) gewechselt werden. Hier werden globale Konfigurationsbefehle eingegeben. Weiterhin kann vom globalen Konfigurationsmodus in weitere Submodi gewechselt werden, um zum Beispiel schnittstellenspezifische Konfigurationen wie das Vergeben einer IP-Adresse und Subnetzmaske durchzuführen. Es gibt viele Submodi, auf die aus dem globalen Konfigurationsmodus zugegriffen werden kann. Einige dieser Submodi sind in der Abbildung aufgeführt. Manche Submodi haben auch noch einen weiteren Submodus.

Alle Befehle, die im globalen Konfigurationsmodus (Global Configuration Mode) oder in einem der Submodi eingegeben werden, sind bei korrekter Befehlssyntax sofort im DRAM aktiv. Sie sind allerdings noch nicht im NVRAM abgespeichert. Sollte der Router an dieser Stelle ausgeschaltet werden oder abstürzen, geht die Konfiguration verloren.

In der Abbildung ist unter Punkt 1 ein Zugriff auf den Router über den Konsolenport (con0) zu sehen. Es wird der Prompt Router> angezeigt. Dabei kennzeichnet das Zeichen „>“ den User-Mode. Das Wort „Router“ im Prompt kennzeichnet den Hostnamen des Routers. Der Hostname „Router“ wird standardmäßig auf einen unkonfigurierten Router verwendet. Er sollte allerdings gemäß einer eigenen Namenskonvention umbenannt werden.

Um aus dem Benutzermodus in den privilegierten Modus zu wechseln, wird der Befehl enable eingegeben. Der Prompt Router# kennzeichnet, dass der Benutzer sich im privilegierten Modus befindet. Von hier aus wird der Befehl configure terminal eingegeben, um zum globalen Konfigurationsmodus zu gelangen. Der Prompt verändert sich auf Router(config)#. Von hier kann in weitere Submodi gewechselt werden. Unter Punkt 3 und 4 ist zu sehen, dass in den Schnittstellen- bzw. Leitungskonfigurations-Modus gewechselt wurde. Anschließend ändert sich wieder der Prompt. Es kann allerdings anhand des Prompts nicht erkannt werden, auf welcher Schnittstelle oder auf welcher Leitung sich der Benutzer befindet.

Zum Verlassen eines Submodus wird der Befehl exit eingegeben. Somit gelangt man wieder in den globalen Konfigurationsmodus. Dieser kann ebenfalls durch den Befehl exit verlassen werden. Man gelangt so wieder zum privilegierten Modus. Hier kann der Befehl disable eingegeben werden, um zurück zum Benutzermodus zu kommen. Siehe Abbildung.

Zum Verlassen eines Submodus kann auch der Befehl end eingegeben werden. Durch end gelangt der Benutzer direkt in den privilegierten Modus. Alternativ kann auch die Tastenkombination „CTRL+Z“ gedrückt werden. Siehe Abbildung.

Der Befehl end und die Tastenkombination „CTRL+Z“ können sowohl aus allen Submodi als auch aus dem globalen Konfigurationsmodus eingegeben werden, um in den privilegierten Modus zu gelangen.

Wie in der Abbildung zu sehen, kann die Konsolensitzung sowohl aus dem privilegierten als auch aus dem Benutzermodus durch die beiden Befehle exit oder logout beendet werden.

Eine Online-Hilfe ist in jedem Modus verfügbar. Bei Eingabe eines Fragezeichens werden alle Befehle, die in dem jeweiligen Modus verfügbar sind, angezeigt. Rechts neben den Befehlen steht immer eine zusätzliche Beschreibung. In der Abbildung wurde das Fragezeichen im privilegierten Modus eingegeben. Aus Platzgründen wurde nur ein Teil der Ausgabe angezeigt.

Bei Eingabe eines unbekannten Befehls im globalen Konfigurationsmodus oder in einem Submodus wird folgende Fehlermeldung angezeigt:

% Invalid input detected at '^' marker.

In der Abbildung wurde der Befehl isp eingegeben. Dieser Befehl existiert nicht. Der Router gibt somit die obige Fehlermeldung aus. Unterhalb des Buchstabens „p“ wird zusätzlich ein Marker (^) angezeigt. Dieser Marker bedeutet, dass es keinen Befehl gibt, der mit den beiden Buchstaben „is“ beginnt und als dritten Buchstaben ein „p“ hat. Es gibt allerdings mindestens einen Befehl, der mit dem Buchstaben „i“ beginnt und als zweiten Buchstaben ein „s“ hat, denn ansonsten würde der Marker unterhalb der Buchstaben „i“ oder „s“ angezeigt werden.

Als nächstes wird ein „i?“ eingegeben. Wird direkt nach einem Buchstaben oder einer Buchstabenfolge ein Fragezeichen eingegeben, ist darunter die sogenannte Worthilfe zu verstehen. Hierdurch kann überprüft werden, welche Befehle mit dem angegebenen Buchstaben oder der Buchstabenfolge beginnen. In unserem Beispiel werden alle Befehle aufgelistet, die als Anfangsbuchstaben ein „i“ haben.

Folgt einem Befehl ein Leerzeichen und anschließend ein Fragezeichen, wird die Syntax dieses Befehls angezeigt. Diese Funktion ist unter dem Begriff Befehlssyntax-Hilfe definiert. Der Befehl interface wurde ausgewählt (Zeile 8). Anschließend kommt ein Leerzeichen und dann ein Fragezeichen. Es werden mehrere Parameter angeboten. Der Parameter FastEthernet wurde als nächstes ausgewählt. Diesem Parameter folgt wieder ein Leerzeichen und anschließend ein Fragezeichen (Zeile 16). Die Befehlssyntax-Hilfe wird erneut in Anspruch genommen. Es wird eine Option 0-0 angezeigt. Entgegengesetzt der Ausgabe des Routers (Zeile 17; <0-0> FastEthernet interface number), handelt es sich hierbei um eine Slot-Nummer. Modulare Geräte unterscheiden zwischen einzelnen Slots. Auf dieser Plattform gibt es allerdings nur die Slot-Nummer 0. Die Option 0 wird anschließend ausgewählt. Um wieder die Worthilfe in Anspruch zu nehmen, folgt direkt danach ein Fragezeichen. Als nächstes wird ein Schrägstrich (/) als einzige Auswahl angeboten. Der Schrägstrich wird ausgewählt. Danach folgt wieder direkt ein Fragezeichen (Worthilfe). Zuletzt wird die Option 0-1 angezeigt. Dies bedeutet, dass Slot 0 auf dieser Plattform die FastEthernet-Schnittstelle 0 und 1 zur Verfügung stellt. Durch die Eingabe interface FastEthernet 0/0 wird letztlich auf die erste FastEthernet-Schnittstelle zugegriffen. Dies ist durch den neuen Prompt Router(config-if)# ersichtlich. Der Befehl interface FastEthernet 0/1 würde auf die zweite FastEthernet-Schnittstelle zugreifen.

Es ist zu sehen, dass die Wort- und Befehlssyntax-Hilfe an jeder Befehlsverzweigung in Anspruch genommen werden können.

Sind die Anfangsbuchstaben eines Befehls eindeutig, kann dieser abgekürzt werden. So ist in der Abbildung zum Beispiel der Anfangsbuchstabe „i“ noch nicht eindeutig. Es gibt mehrere Befehle, die mit „i“ beginnen. Die Anfangsbuchstaben „in“ sind allerdings eindeutig. Das heißt, dass Sie den Befehl interface nicht immer ausschreiben müssen, sondern mit „in“ einfach abkürzen können. Es kann auch die Tab-Taste gedrückt werden, wenn die Anfangsbuchstaben eines Befehls eindeutig sind. Nach dem Drücken der Tab-Taste wird der Befehl vom Router automatisch ausgeschrieben.

Müssen lange Konfigurationszeilen während des Eintippens korrigiert werden, ist es sehr zeitintensiv, die Links- oder Rechts-Taste so lange gedrückt zu halten, bis der Cursor an der richtigen Stelle erscheint. Zur Optimierung können Enhanced Editing Features genutzt werden (Abb. oben und unten). Am häufigsten werden die Tastenkombinationen „CTRL+A“ und „CTRL+E“ verwendet. „CTRL+A“ führt den Cursor zum Anfang einer Konfigurationszeile. „CTRL+E“ führt ihn an das Ende der Konfigurationszeile.

Standardmäßig werden auf jeden Router die letzten zehn Befehle in einen Puffer gespeichert. Zur Wiederholung dieser Befehle muss dann lediglich die UP- oder Down-Taste betätigt werden. Die UP-Taste bewirkt, dass die Befehle in der zuletzt eingegebenen Reihenfolge wiederholt werden. Die Down-Taste führt die umgekehrte Wiederholung der Befehle durch.

Der Puffer kann manuell vergrößert werden. So lässt der Befehl terminal history size, der im privilegierten Modus eingegeben wird, einen Puffer von maximal 256 Konfigurationszeilen zu. Siehe Abbildung.

In der Abbildung wurde zunächst der Befehl configure terminal eingegeben. Der Router wechselt in den globalen Konfigurationsmodus, was man am Prompt Router(config)# in Zeile 3 sehen kann. Anschließend wurde in dieser Zeile der Befehl hostname Router-FFM eingegeben. In Zeile 5 ist zu sehen, dass der Prompt sofort auf Router-FFM(config)# wechselt. Der Befehl wurde richtig eingegeben und daher mit sofortiger Wirkung aktiviert. Jeder Router im Netzwerk sollte mit einem eindeutigen Hostnamen konfiguriert werden. Anhand des Prompts kann dann immer erkannt werden, auf welchen Router man sich befindet.

Jeder Router sollte vor unbefugtem Zugriff durch ein sogenanntes „enable“-Passwort geschützt werden. Der Besitz des „enable“-Passworts ermöglicht den Zugriff zum privilegierten Modus. Dieses Passwort wird allerdings in der Konfiguration im Klartext angezeigt. Daher sollte Gebrauch von einem „enable secret“-Passwort gemacht werden, da dieses durch den MD5-Algorithmus verschlüsselt wird. Message Digest 5 (MD5) ist ein mathematischer Algorithmus, der Daten so verschlüsselt, dass sie nicht mehr entschlüsselt werden können. Die Abbildung zeigt die beiden Befehle des globalen Konfigurationsmodus enable password airnet1 (Zeile 3) und enable secret airnet2 (Zeile 5). Das „enable“-Passwort wurde auf „airnet1“ und das „enable secret“-Passwort auf „airnet2“ gesetzt.

Die Verschlüsselung des „enable secret“-Passworts ist freilich nur eine optische Verschlüsselung. Das Passwort wird lediglich in der Konfiguration verschlüsselt angezeigt. Sollte ein Benutzer allerdings über das Telnet Protokoll auf den Router zugreifen, muss er das „enable secret“-Passwort eingeben, um zum Privileged-Mode zu gelangen. Alle Eingaben, die über das Telnet Protokoll durchgeführt werden, gehen im Klartext über das Netzwerk. Dies bedeutet, dass jemand mit geeigneten Tools das Passwort im Netzwerk abfangen kann.

Normalerweise wird lediglich das „enable secret“-Passwort konfiguriert, da es verschlüsselt ist. Die beiden Passwörter „enable“ und „enable secret“ können, wie in unserem Beispiel, auch parallel konfiguriert werden. In diesem Fall wird das „enable secret“-Passwort als tatsächliches Passwort verwendet, während das „enable“-Passwort funktionslos ist. Das „enable secret“-Passwort sollte daher nicht gleich dem „enable“-Passwort sein, da letzteres in der Konfiguration im Klartext angezeigt wird und somit die Nutzung des „enable secret“-Passworts sinnlos wäre.

In Zeile 7 ist anschließend zu sehen, dass der globale Konfigurationsmodus durch den Befehl exit verlassen wird. Weiterhin ist durch Zeile 9 ersichtlich, dass der privilegierte Modus durch den Befehl disable verlassen und in den Benutzermodus gewechselt wird. Im Benutzermodus wird nun der Befehl enable (Zeile 13) eingegeben. Nun findet eine Passwortabfrage statt. Wie in der Klammer dargestellt, muss nun das „enable secret“-Passwort „airnet2“ eingegeben werden, damit ein Zugriff zum privilegierten Modus möglich ist.

Das „enable“- bzw. „enable secret“-Passwort sollte noch mit weiteren Passwörtern ergänzt werden. So sollte zum Beispiel auch der Konsolen-Port vor unbefugtem Zugriff geschützt werden. Die Abbildung zeigt, wie hierzu durch den Befehl line console 0 (Zeile 3) zunächst vom globalen Konfigurationsmodus in den Leitungskonfigurationsmodus der Konsole gewechselt wird. Anschließend wird der Befehl login (Zeile 5) gefolgt von dem Befehl password airnet (Zeile 7) eingegeben. Anschließend wird durch den Befehl end (Zeile 9) der Leitungskonfigurationsmodus verlassen, und es wird logout (Zeile 11) eingegeben. Somit wird die Konsolensitzung beendet. Zum erneuten Anmelden wird die Taste Return (Zeile 17) gedrückt. Eine Passwortabfrage (Zeile 22) erscheint nun auf dem Bildschirm. Das in Zeile 7 konfigurierte Passwort „airnet“ wird eingegeben. Daraufhin wird der Zugriff im Benutzermodus ermöglicht (Zeile 24).

Wäre der Befehl login im Leitungskonfigurationsmodus nicht konfiguriert worden, fände beim Einloggen keine Passwortabfrage statt. Das heißt, dass das Passwort auf einer Leitung immer nur im Zusammenhang mit dem Befehl login funktioniert.