Netzwerktechnik, Band 3 E-Book

Netzwerktechnik, Band 3

Verantwortliche Personen:

This eBook has been created using the ePub-Converter of eLML (eLesson Markup Language). See www.eLML.org for more details about creating platform-independent online content.

Aufbauend auf den Lehrbüchern Netzwerktechnik, Band 1 und Netzwerktechnik, Band 2 versucht dieses Lehrbuch zum einen Wissen zu vertiefen, und zum anderen, WAN-Technologien vorzustellen. Klassische Übertragungstechniken wie X.25, Frame-Relay und ISDN bilden die erste Hälfte dieses Werks. Man mag sich die berechtigte Frage stellen, warum X.25 Bestandteil eines Lehrbuchs ist, der aus dem Jahr 2010 stammt. Die Antwort ist ganz einfach: Wir haben selbst heute noch einen Großkunden, der diese Technik einsetzt und unter anderem dieses Buch von uns bezieht.

Frame-Relay wird in Deutschland immer seltener, insbesondere seit dem Durchbruch der VPN-Technik. Trotz dieser starken Tendenz besteht weiterhin noch Bedarf. Daher wurde es ebenfalls berücksichtigt.

Bei ISDN ist es sehr ähnlich. Obwohl es heute für die Übertragung von Daten nicht mehr vorzugsweise eingesetzt wird, ist das Verständnis dieser Technik nach wie vor nötig, weil nicht immer ein direkter Zugang zum Internet über DSL oder ein Kabelnetzwerk möglich ist.

Routing-Protokolle, wie OSPF und EIGRP und weitere artverwandte Themen runden das Werk ab.

In der Hoffnung, dass es uns gelungen ist, ein praxisnahes, übersichtliches und gut verständliches Buch zu veröffentlichen, wünschen wir dem Leser viel Spaß!

Rukhsar KhanAirnet Technologie- und Bildungszentrum GmbHSeptember 2010

Die ISDN-Technik war in den 1990er Jahren im kommerziellen Bereich die bekannteste und meist eingesetzte Technik, wenn es um Remote-Access-Anbindungen ging. In den letzten Jahren wurde sie allerdings aufgrund der DSL- und VPN-Technologie immer mehr vom Markt verdrängt. Heute findet man ISDN im Remote-Access-Bereich oft nur im Zusammenhang mit Backup-Verbindungen vor. Auch wenn es keine bessere Alternative als eine Anbindung über ISDN gibt, findet man diese Technik im Bereich der Datenkommunikation noch im Einsatz.

Dieses Kapitel beschreibt die Grundlagen vom ISDN und Dial-on-Demand Routing (DDR). Weiterhin ist auch das Point-to-Point Protocol (PPP) Bestandteil dieses Kapitels.

Das PPP ist in RFC 1661 definiert. Es stellt eine standardisierte Methode zur Übertragung der unterschiedlichsten Protokolle der Vermittlungsschicht über die verschiedensten Technologien der Bitübertragungsschicht zur Verfügung. Beim PPP handelt es sich um ein Protokoll der Sicherungsschicht, das in zwei Subschichten aufgeteilt ist. Die untere Subschicht heißt Link Control Protocol (LCP) und ist für den Auf- und Abbau der Verbindung zuständig. Weiterhin bietet LCP mehrere Optionen, die während dem Verbindungsaufbau mit der gegenüberliegenden Seite ausgehandelt werden können. Die wohl bekannteste Option ist die Authentifizierung. Nachdem sich die Kommunikationspartner auf gemeinsame LCP-Parameter geeinigt haben, wird die LCP-Phase erfolgreich abgeschlossen und das PPP führt die Authentifizierung durch. Bei Erfolg nimmt das PPP die Funktionen der zweiten Subschicht wahr. Hierbei handelt es sich um das Network Control Protocol (NCP). In der NCP-Phase geht es darum, alle konfigurierten Protokolle der Vermittlungsschicht zwischen den Kommunikationspartnern auszuhandeln. Für jedes Schicht-3-Protokoll gibt es ein eigenständiges NCP. Das NCP für das IP wird IP Control Protocol (IPCP) genannt. Das NCP für das IPX-Protokoll heißt demnach IPX Control Protocol (IPXCP). Auch CDP, das sogar ein Protokoll der Sicherungsschicht ist, hat ein eigenständiges NCP (CDPCP) und kann somit über PPP übertragen werden. Nachdem die Kommunikationspartner alle NCPs erfolgreich ausgehandelt und konfiguriert haben, wird auch diese Phase abgeschlossen. Das PPP ist ab diesem Zeitpunkt funktionsfähig und kann Daten der beiden Kommunikationspartner übertragen.

In der Abbildung sind einige LCP-Optionen aufgeführt. Bezüglich der Option Authentifizierung (Authentication) kann auf Cisco-Routern zwischen dem Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP) und Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) ausgewählt werden. Es besteht auch die Möglichkeit, mehr als ein Authentifizierungsprotokoll anzugeben. Werden mehrere Protokolle angegeben, wird während der LCP-Aushandlungsphase in der konfigurierten Reihenfolge versucht, eines dieser Protokolle mit dem Kommunikationspartner auszuhandeln. Kann ein Protokoll erfolgreich ausgehandelt werden, wird es ohne Berücksichtigung der weiteren Protokolle verwendet.

Die Option Rückruf (Callback) bietet die Möglichkeit, dass ein angewählter Router nach erfolgreicher Authentifizierung die Verbindung wieder abbaut und anschließend einen Rückruf initiiert. Dies wird meistens praktiziert, um die Verbindungskosten einer anderen Kostenstelle zuzuweisen. Durch die Option Komprimierung (Compression) können Datenpakete komprimiert und anschließend in kleinere Einheiten über das Netzwerk übertragen werden. Hierdurch lässt sich auf langsamen WAN-Verbindungen ein besserer Datendurchsatz erreichen. Die Option Multilink ermöglicht es, Daten über mehrere ISDN-B-Kanäle zu verteilen. Auch hierdurch soll der Datendurchsatz erhöht werden. Diese Option wird immer im Zusammenhang mit Bandwidth-on-Demand (BoD) eingesetzt. Hierbei handelt es sich um die Fähigkeit eines Routers, bei Bedarf weitere ISDN-B-Kanäle zu aktivieren. BoD ist später beschrieben.

Während der LCP-Aushandlungsphase können sich die Kommunikationspartner auf das PAP einigen. Anschließend findet die Authentifizierung über dieses Protokoll statt. Beim PAP wird das Passwort im Klartext über das Netzwerk übertragen. Bei Erfolg wird eine Success-Meldung an den Einwahlrouter gesendet. Andernfalls wird der Verbindungswunsch durch eine Failure-Meldung abgewiesen.

Die Kommunikationspartner können sich während der LCP-Aushandlungsphase alternativ auf das CHAP einigen. In der Abbildung wählt sich ein Kundenrouter in einen Access-Server eines Internet-Service-Providers ein. Das CHAP wird zunächst ausgehandelt (CHAP-Negotiation). Anschließend sendet der Access-Server eine Challenge. In dieser Challenge befindet sich eine Zufallszahl, der Hostname des Access-Servers und eine ID-Nummer. Zufallszahl und ID-Nummer werden vom Access-Server später noch benötigt. Daher merkt er sie sich. Wenn die Challenge beim Kundenrouter ankommt, ermittelt er auf Grundlage des empfangenen Hostnamen das Passwort für den Zugriff zum Access-Server aus einer lokalen Benutzerdatenbank. Anschließend werden Zufallszahl, Passwort und die ID-Nummer kombiniert und ein mathematischer Hash-Algorithmus (MD5) wird über sie angewendet. Das Ergebnis ist ein Hash-Wert, der mathematisch nicht zurückgerechnet werden kann. Hash-Werte sind eine Abfolge von Zeichen, die jemandem, der die CHAP-Aushandlung über das Netzwerk abhört, keine sinnvollen Informationen liefern. Sie enthalten allerdings für den Access-Server alle notwendigen Informationen, um die Authentizität des Kundenrouters zu verifizieren.

Dieser Hash-Wert wird dann zusammen mit dem Hostnamen des Kundenrouters und der gleichen ID-Nummer in einer Response-Meldung an den Access-Server zurückgesendet. Auch der Access-Server ermittelt auf Grundlage des empfangenen Hostnamen das Passwort des Kundenrouters aus seiner lokalen Benutzerdatenbank. Dieses Passwort muss mit dem Passwort, das auf dem Kundenrouter konfiguriert ist, übereinstimmen. Die vorgemerkte Zufallszahl, die ID-Nummer und das Passwort werden dann kombiniert und der mathematische Hash-Algorithmus (MD5) wird über sie angewendet. Das Ergebnis ist ein Hash-Wert, der mit dem vom Access-Server ursprünglich erzeugten Hash-Wert übereinstimmen muss. Sollte es sich um identische Hash-Werte handeln, wird vom Access-Server der Zugriff erlaubt und eine Success-Meldung ergeht an den Kundenrouter. Die Hash-Werte können allerdings nur übereinstimmen, wenn der Hash-Algorithmus zweimals auf die gleichen Informationen angewendet wurde. Sollten die Passwörter auf den beiden Komponenten unterschiedlich sein, werden zwei ungleiche Hash-Werte gebildet. In diesem Fall wird vom Access-Server der Zugriff verweigert und eine Failure-Meldung an den Kundenrouter gesendet.

Wie in der Abbildung zu sehen, wählt sich bei der Rückruf-Implementierung vom PPP ein Callback-Client bei einem Callback-Server ein. Der Client sendet einen Callback-Request an den Server, der mit einem Callback-Accept antwortet. Danach findet eine Authentifizierung statt und die Verbindung wird wieder abgebaut. Sollte die Authentifizierung erfolgreich sein, wird vom Server der Rückruf initiiert. Anschließend findet wieder eine Authentifizierung statt. Sollte diese erfolgreich sein, ist die Verbindung hergestellt und Daten können zwischen beiden Nachbarn ausgetauscht werden.

Durch die Funktion PPP-Komprimierung können Datenpakete komprimiert werden. Die Art der Daten bestimmt allerdings das Komprimierungsverhältnis. Textdateien lassen sich zum Beispiel sehr gut komprimieren. Daher kann hier ein sehr gutes Komprimierungsverhältnis erreicht werden. Binärdateien können nicht so gut komprimiert werden und führen daher zu einem schlechteren Komprimierungsverhältnis. Ein durchschnittliches Verhältnis aus der Praxis wäre 1:1,7.

Die ursprüngliche Motivation zur Entwicklung von PPP-Multilink war der Wunsch, mehrere B-Kanäle in ISDN-Umgebungen optimal auszunutzen. Es kann jedoch auch auf nicht-ISDN-Verbindungen eingesetzt werden. PPP-Multilink wird eingesetzt, wenn zwei oder mehr B-Kanäle zu einem Ziel aufgebaut werden. Die Datenpakete werden vom sendenden Router fragmentiert und mit einzelnen Sequenznummern versehen. Anschließend werden die Fragmente symmetrisch auf alle verfügbaren B-Kanäle verteilt. Auf der gegenüberliegenden Seite werden sie dann durch die Sequenznummern wieder in die richtige Reihenfolge zusammengesetzt und zum Ziel weitergeleitet.

Diese Abbildung zeigt eine PPP-Konfiguration zusammen mit dem PAP. Durch den Befehl encapsulation ppp im Schnittstellen-Konfigurationsmodus der BRI0-Schnittstelle wird zunächst das Point-to-Point-Protokoll aktiviert. Anschließend wird durch die Befehle ppp authentication pap und ppp pap sent-username... das PAP konfiguriert. Der zweite dieser beiden Befehle legt den PAP-Benutzernamen sowie das Passwort fest, mit dem sich der lokale Router in den entfernten Router einwählt. Dieser Benutzername und das Passwort müssen auf dem entfernten Router durch den Befehl username ... password ..., der im globalen Konfigurationsmodus eingegeben wird, angelegt sein.

Weiterhin ist hier eine sogenannte Two-Way-CHAP-Konfiguration zu sehen. Hierbei versenden beide Router nach der LCP-Aushandlung eine Challenge-Meldung. Anschließend beantworten sie sich gegenseitig diese Meldungen durch jeweils eine Response-Meldung. Daraufhin folgt jeweils eine Success- oder Failure-Meldung. Der Befehl ppp authentication chap aktiviert das CHAP. Für dieses Protokoll wird ebenfalls ein Benutzername und ein Passwort benötigt. Bei der CHAP-Konfiguration wird der Hostname eines entfernten Routers durch den Befehl username ... (globaler Konfigurationsmodus) auf dem lokalen Router als Benutzername angelegt. Das verwendete Passwort muss auf beiden Nachbar-Routern übereinstimmen.

In dieser Abbildung wurde durch den Befehl ppp chap hostname jeweils ein alternativer Hostname für die CHAP-Authentifizierung verwendet. Router 1 verwendet den alternativen Hostnamen Test1 während Router 2 den alternativen Hostnamen Test2 verwendet. Daher wurde der Benutzername auf beiden Routern entsprechend angepasst.

Durch den Befehl debug ppp negotiation kann die gesamte PPP-Aushandlung verifiziert werden. Es geht um die Beispielkonfiguration, die unter 1.1.10 vorgenommen wurde. Die Ausgabe dieses Debug-Befehls wurde während eines Verbindungsaufbaus, der durch Router 1 initiiert wurde, aufgenommen.

In Zeile 5 wird vom LCP zunächst ein Outgoing Configure Request(O CONFREQ) versendet. Bei dieser Anfrage geht es um den Wunsch, CHAP auszuhandeln. Dies ist durch Zeile 6 ersichtlich. In Zeile 8 ist zu sehen, dass der Nachbar-Router ebenfalls eine derartige Anfrage (I CONFREQ) an den lokalen Router sendet. Anschließend versendet Router 1 ein Outgoing Configure Acknowledge(O CONFACK, Zeile 11). Er bestätigt hiermit, dass CHAP verwendet werden kann. Die gleiche Information wird auch vom Nachbar-Router empfangen (I CONFACK, Zeile 14). Der LCP-Zustand wechselt auf State is Open (Zeile 17). Anschließend findet eine Two-Way-CHAP-Authentifizierung (Zeilen 18–26) statt. Dabei werden die alternativen CHAP-Hostnamen verwendet. O Challenge, I Response und O Success stellen die erste der beiden CHAP-Aushandlungen dar. Bei der Ausgabe I Challenge, O Response und I Success geht es um die zweite CHAP-Aushandlung.

Als nächstes geht es um die Aushandlung der Network-Control-Protokolle (NCPs). Es wird vom IPCP ein Outgoing Configure Request(O CONFREQ, Zeile 29) versendet. Bei dieser Anfrage geht es um den Wunsch, die IP-Adresse 172.16.1.1 (Zeile 30) zu verwenden. Der Nachbar-Router bestätigt diese Anfrage mit einem Incoming Configure Acknowledge(I CONFACK, Zeile 38). Router 1 empfängt auch von seinem Nachbarn ein Incoming Configure Request(I CONFREQ, Zeile 32). Dieser möchte die IP-Adresse 172.16.1.2 (Zeile 33) verwenden. Router 1 bestätigt ihm den Einsatz dieser Adresse durch ein Outgoing Configure Acknowledge(O CONFACK, Zeile 34). Auch eine gegenseitige CDPCP-Aushandlung (Zeilen 31, 36, 37, 41) findet ungefähr zeitgleich statt. Nach den Aushandlungen wechseln sowohl IPCP (Zeile 40) als auch CDPCP (Zeile 42) ihren Zustand auf State is Open. Dies zeigt, dass die Protokolle erfolgreich ausgehandelt wurden. Als letztes wird vom IPCP noch die Hostroute von Router 2 in die IP-Routing-Tabelle aufgenommen (Zeile 43).

Wie soeben in der Debugging-Ausgabe gesehen, wurde die IP-Adresse von Router 2 (172.16.1.2) in die IP-Routing-Tabelle von Router 1 übernommen. Die Abbildung zeigt, dass diese IP-Adresse mit einer /32er Subnetzmaske aufgenommen wurde. Einträge, die mit dieser Subnetzmaske in die Routing-Tabelle aufgenommen werden, heißen Hostrouten. Da ein Router Datenpakete immer gemäß seiner spezifischsten Routing-Information weiterleitet (Longest-Prefix-Match), werden alle Datenpakete, die von Router 1 an die Adresse 172.16.1.2 zu versenden sind, gemäß diesem Eintrag weitergeleitet.

Hier ist die Protokollarchitektur vom ISDN-Basisanschluss (S0) zu sehen. Die Bitübertragungsschicht dieses Anschlusses wurde durch die ITU-T genormt und ist im Standard I.430 festgelegt. ISDN unterscheidet zwischen einem D-Kanal und zwei B-Kanälen. Der D-Kanal verwendet auf der Sicherungsschicht das Protokoll Q.921. Dieses Protokoll ist auch unter dem Namen LAPD bekannt. Es wird für die Kommunikation mit dem lokalen Switch des ISDN-Netzbetreibers verwendet. Auf der Vermittlungsschicht verwendet der D-Kanal das Protokoll Q.931. Dieses Protokoll ist für die Ende-zu-Ende-Signalisierung verantwortlich und wird auch DSS1 genannt.

Das Protokoll, das auf der Sicherungsschicht für die B-Kanäle genutzt wird, kann selbst bestimmt werden. PPP ist heute das am häufigsten eingesetzte Protokoll. Sämtliche Protokolle der Vermittlungsschicht, die vom eingesetzten Protokoll auf der Sicherungsschicht unterstützt werden, können über ISDN übertragen werden.

Wie in dieser Abbildung zu sehen, stellt der ISDN-Basisanschluss einen S0-Bus zur Verfügung. Dieser besteht aus zwei B-Kanälen, die mit einer Bitrate von jeweils 64 kbit/s betrieben werden. Die B-Kanäle sind zum Übertragen der Nutzdaten bestimmt. Weiterhin gibt es einen D-Kanal, der eine Bitrate von 16 kbit/s hat. Hierbei handelt es sich um einen Kanal, der zum Signalisieren verwendet wird. Jeder Verbindungsauf- und Abbau wird über diesen Kanal initiiert. Die ISDN-Rufnummern werden auch über den D-Kanal übertragen. Weiterhin werden auf dem S0-Bus 48 kbit/s für das Übertragen von Rahmen- und Synchronisationsbits belegt. Somit wird eine maximale Übertragungsrate von 192 kbit/s zur Verfügung gestellt.

In den USA haben die B-Kanäle auch eine Bitrate von jeweils 64 kbit/s. Da es allerdings keinen separaten D-Kanal gibt, findet die Signalisierung innerhalb der B-Kanäle statt. 64 kbit/s ergeben 8 kbyte/s. Aus jedem Byte wird ein Bit für die Signalisierung geklaut. Diese Technik heißt Robbed-Bit-Signalling. Somit werden pro B-Kanal 8 kbit/s für die Signalisierung reserviert. Daher stehen zum Übertragen der Nutzdaten jeweils nur 56 kbit/s zur Verfügung.

In der Abbildung ist zu sehen, dass der ISDN-Basisanschluss in mehrere Referenzpunkte (Reference Points) und Funktionale Gruppen (Functional Groups) aufgeteilt ist. Diese Aufteilung ist im Prinzip vergleichbar mit dem ISO/OSI-Referenzmodell. Durch dieses Referenzmodell wurde der gesamte Kommunikationsprozess in mehrere Schichten unterteilt, damit die Gesamtkomplexität aufgelöst wird. Jede Schicht arbeitet innerhalb ihres Bereichs autark. Sie kann auch weiterentwickelt werden, ohne dass eine andere Schicht davon betroffen ist. Durch standardisierte Schnittstellen können die Schichten aufeinander zugreifen.

Im Vergleich wird die Schnittstellenfunktion beim ISDN-Basisanschluss durch die Referenzpunkte und die Schichtenfunktion durch die funktionalen Gruppen erreicht. Die folgenden Referenzpunkte wurden festgelegt:

R, S, T, U.

Weiterhin wurden die folgenden funktionalen Gruppen definiert:

NT1, NT2, TE1, TA, TE2.

Nicht-ISDN-fähige Komponenten sind unter der funktionalen Gruppe TE2 definiert und werden über den Referenzpunkt R an einen Terminal-Adapter (TA) angeschlossen. Der TA wird mit seinem zweiten Anschluss an den S- oder T-Referenzpunkt angeschlossen. Diese beiden Referenzpunkte sind für ISDN-fähige Komponenten bestimmt und haben identische Eigenschaften. Bei der funktionalen Gruppe TE1 geht es um die ISDN-fähigen Komponenten, die sowohl an den S- als auch an den T-Referenzpunkt angeschlossen werden. Der U-Referenzpunkt stellt die Schnittstelle zum ISDN-Switch des Netzbetreibers zur Verfügung. Auf Teilnehmerseite wird das NT1 an diesen Referenzpunkt angeschlossen. Das NT1 ist eine Schicht-1-Komponente und ist für die physikalische und elektrische Terminierung zuständig. Das NT2 stellt eine funktionale Gruppe dar, die häufig in Nebenstellenanlagen implementiert ist. Wird keine Nebenstellenanlage betrieben, gibt es kein NT2.

Der Local-Access-Loop, der in jeden Haushalt führt, besteht aus einem 2-adrigen, verdrillten Kupferkabel. Die maximale Bandbreite dieses Kabels beträgt 1100 kHz. Hiervon werden bis zu 120 kHz vom ISDN belegt. Das NT1 wird an den Local-Access-Loop angeschlossen und stellt dem Teilnehmer einen neuen, 4-adrigen Anschluss zur Verfügung. Dieser Anschluss wird verwendet, um die ISDN-Komponenten zu verbinden. Die Abbildung visualisiert diese physikalischen Eigenschaften.

Wählleitungen haben die Eigenschaft, dass sie erst bei Bedarf aufgebaut werden. Diese Eigenschaft wird in der Cisco-Terminologie Dial-on-Demand Routing (DDR) genannt. Es soll allerdings nicht jeder Datenverkehr in der Lage sein, die Verbindung aufzubauen. Daher muss auf dem Router ein sogenannter Interesting-Traffic