Netzwerke

Ein Netzwerk (auch LAN = Local Area Network genannt) verbindet mehrere Computer, damit diese auf gemeinsam genutzte Ressourcen wie Laufwerke, Drucker, E-Mails oder Online-Dokumente zugreifen können.

Peer-to-Peer oder Server?

Mit Windows-95, 98- und NT-Computern, aber auch unter DOS, läßt sich ein Peer-to-Peer-Netzwerk aufbauen. Das ist eines, bei dem es nicht (oder nicht unbedingt) einen zentralen Server-Computer gibt, auf dem alle gemeinsam genutzten Daten liegen, sondern jeder PC kann z.B. auf die Festplatte eines anderen PC zugreifen. Natürlich ist der Haken dabei, daß bei derart verteilten Ressourcen keiner der PCs jemals ausgeschaltet werden darf, solange irgend ein anderer noch auf seine Dateien zugreifen will.

In größeren Netzwerken benutzt man deshalb einen zentralen, dedizierten Server, der gewöhnlich mit ausgeschaltetem Bildschirm Tag und Nacht vor sich hin surrt und vor Stromausfällen durch eine USV (Unterbrechungsfreie Strom-Versorgung) geschützt ist.

Ob Server-basiertes oder Peer-to-Peer-Netz - jede für andere Rechner freigegebene Ressource erhält einen Namen, beispielsweise einfach C für das Laufwerk C. Das Ansprechen von Dateien im Netz kann prinzipiell auf zwei Arten erfolgen:

  1. durch Laufwerks-Mapping, d.h. einem freien Laufwerksbuchstaben der Workstation wie etwa D: wird eine bestimmte Server-Ressource (z.B. \\Server1\C) zugewiesen, so daß eine dort befindliche Datei Datei1.txt auf der Workstation als D:\Public\Datei1.txt erreichbar ist;
  2. durch UNC (Universal Naming Convention): Die Ressource wird ohne Laufwerks-Mapping direkt über den Server-Namen angesprochen, beispielsweise \\Server1\C\Public\Datei1.txt. Allerdings unterstützen nicht alle Anwendungs-Programme die Möglichkeit, solche Dateinamen einzugeben.

Die bei Windows 95, 98 und NT möglichen "langen" Dateinamen, die außer der größeren Länge gegenüber den alten DOS-Namen (8.3-Schema!) auch gemischte Groß- und Kleinschreibung und Leerräume erlauben, werden von älteren Peer-to-Peer- oder dedizierten Servern nicht unterstützt. Windows erkennt das und wandelt die langen Namen dann in ihr kurzes 8.3-Äquivalent um; so wird etwa aus "Langer Name.txt" einfach "LANGER~1.TXT". Deshalb sollte man im Netzwerk mit der Benutzung langer Dateinamen vorsichtig sein, insbesondere beim Arbeiten mit mehreren unterschiedlichen Servern.

Topologien: Bus, Stern, Ring

Unter Topologie versteht man die physikalische Struktur des Netzwerks. Es sind drei Arten von Topologien üblich: Bus, Stern, Ring. Diese Struktur hat nichts damit zu tun, ob das Netz ein Peer-to-Peer-Netzwerk ist oder auf einem zentralen Server baisert; sie beschreibt lediglich die Art der Verkabelung. Üblich ist dafür auch eine Bezeichnung wie "xBase-y", wobei x die Transferrate in MBit/s angibt und y die Kabelsorte, z.B. 2 = Koaxkabel, T = Twisted Pair (verdrillte Adernpaare), C = Kupferkabel, ein X steht für "eXtended rate", also erhöhte Geschwindigkeit. "Base" bedeutet Basisband-Technologie, d.h. die Daten werden nicht auf eine Trägerfrequenz aufmoduliert, sondern direkt gesendet. "10Base-T" kennzeichnet also ein Basisband-Netzwerk mit 10 MBit/s über Twisted-Pair-Kabel.

Bus-Topologie

Bei einem als Bus aufgebauten Netzwerk ziehen alle Rechner an einem Strang: Ein einziges Kabel, gewöhnlich ein 50-Ohm-Koaxkabel mit BNC-Steckern, verläuft vom ersten bis zum letzten der maximal 30 Rechner (Thin Ethernet, auch Cheapernet oder 10Base2 genannt). Diese Technik wurde als IEEE 802.3 genormt und eignet sich im Prinzip bis zu 10 MBit/s, einige Speziallösungen schaffen auch 20 MBit/s.

PC1   PC2   PC3   ® Abschlußwiderstand
®_|__ ___ __|__ ____ __|_®   _|_ BNC-T-Stück

An den zwei End-Rechnern befindet sich jeweils ein 50-Ohm-Abschlußwiderstand, der dafür sorgt, daß Signale an den Kabelenden nicht reflektiert werden. Die dazwischenliegenden Computer werden über BNC-T-Stücke in das Kabel eingefügt. Jedes T-Stück muß direkt auf den Netzwerk-Adapter des Rechners aufgesteckt werden; es sind keine Abzweig-Leitungen erlaubt, da diese zu einer Impedanz-Fehlanpassung und somit zu Signal-Reflektionen und Datenverfälschungen führen würden.

Die Bezeichnung "50 Ohm" für ein Koax-Kabel bedeutet übrigens keineswegs, daß man mit einem Ohm-Meter bei einer bestimmten Kabellänge diesen Gleichstrom-Widerstand messen würde. Vielmehr bedeutet eine Kabel-Impedanz von 50 Ohm, daß bei beidseitigem Abschluß eines solchen Kabels mit diesem Widerstand keine Hochfrequenz-Reflektionen an den Kabel-Enden auftreten, und das ist Voraussetzung dafür, daß sich aufeinanderfolgende Daten-Bits nicht durch Reflektions-Laufzeiten gegenseitig stören oder gar auslöschen.

Die maximale Länge vom einen bis zum anderen Ende des Kabels darf bei "Thin Ethernet" 190 m nicht überschreiten, da sonst einerseits die Kollisions-Erkennung wegen zu großer Signallaufzeiten nicht mehr funktioniert, andererseits aber auch die Kabeldämpfung zu groß wird. Der Mindest-Abstand zweier Rechner beträgt 0,5 m.

Wenn ein solches Koaxkabel-Netz einmal nicht funktioniert, ist häufig ein Kabelproblem die Ursache. Die einfachste Methode, die defekte Stelle zu finden, ist, das Netz irgendwo durch Ziehen eines BNC-Steckers aufzutrennen und mit einem Ohm-Meter (ein normales Vielfach-Meßinstrument genügt) jedes der beiden nun offenen Kabelenden daraufhin zu überprüfen, ob der Widerstand zwischen Innenleiter und Außenmantel des Koaxkabels etwa 50 Ohm beträgt. Das müßte der Fall sein, weil ja an beiden Kabelenden 50-Ohm-Abschlußwiderstände sitzen. Dabei sollte man allerdings überall die BNC-T-Stücke von den PCs abziehen, weil andernfalls ein Kontaktproblem des Koax-Außenleiters nicht erkannt wird, solange die erdseitige Verbindung über den Stromnetz-Schutzkontakt noch besteht.

Im PC-Bereich eher unüblich ist das "Thick Ethernet", zu erkennen an den gelben, dickeren Koax-Kabeln. Die maximale Länge darf hier bis zu 500 m betragen, der Mindestabstand zweier Rechner beträgt 2,5 m, und bis zu 100 Rechner lassen sich damit verbinden. Der Anschluß des Kabels an die Netzwerkkarte erfolgt nicht über BNC-Stecker, sondern über eine externe Transceiver-Elektronik (AUI, Attachment Unit Interface), die ihrerseits mit einer 15poligen D-Sub-Buchse der Karte verbunden wird.

Stern-Topologie

Bei einer Stern-Topologie benutzt man normalerweise einen zentralen Hub mit RJ45-Buchsen (die auch bei ISDN-Anschlüssen benutzt werden!) als Knoten. An einen Hub können soviele Rechner mit jeweils einem eigenen Kabel angeschlossen werden, wie der Hub Buchsen aufweist. Die Verbindung erfolgt über ein massefreies, symmetrisch verdrilltes TP-Kabel (Twisted Pair).

Kabel<= RJ45-
Stecker
1 Sendedaten +
2 Sendedaten -
3 Empfangsd. +
4
5
6 Empfangsd. -
7
8
  Belegung eines
RJ45-Steckers für
10/100 MBit/s

(Draufsicht auf die
Stecker-Kontakte)

Es ist übrigens nicht möglich, die RJ45-Buchsen zweier Netzwerkkarten ohne Hub direkt über ein 1:1-Kabel miteinander zu verbinden, wohl aber über ein speziell angefertigtes Kabel, das die Empfangs- und Sendedaten-Adern passend miteinander vertauscht.

Gegenüber der Bus-Technologie hat diese Art der Verkabelung den Vorteil, daß der Ausfall eines Kabelsegments nicht gleich das gesamte Netzwerk lahmlegt. Ferner sind außer den herkömmlichen 10 MBit/s (10BaseT) damit höhere Datenraten möglich: Die Fast-Ethernet-Netze (100BaseTX) schaffen 100 MBit/s, das Gigabit-Netz 1000BaseT (IEEE 802.3ab) sogar 1 GBit/s, also 1000 MBit/s.

PC1 ____ Hub ____ PC2
       
PC3 ____ ____ PC4

Hubs besitzen meist 4, 6, 8 oder 16 RJ45-Anschlüsse für STP-Kabel (Shielded Twisted Pair, zwei abgeschirmte verdrillte Leitungspaare) oder UTP-Kabel (Unshielded Twisted Pair, nicht abgeschirmte verdrillte Leitungspaare). Letztere sollte man nicht zu dicht an anderen Kabeln verlegen, da sie störanfälliger sind. Einige Hubs besitzen zusätzlich noch einen BNC-Anschluß, damit sie mit einem auf der Bus- oder Ring-Topologie basierenden Netz-Segment verbunden werden können, das beispielsweise die einzelnen Stockwerke eines Gebäudes miteinander verbindet.

Ring-Topologie

Im PC-Bereich ist die Ring-Topologie vor allem in Zusammenhang mit Glasfaser-Netzen bekannt (FDDI = Fiber Distributed Data Interface, 100 MBit/s, standardisiert durch ANSI X3T9 und ISO 9314, zwei gegenläufige Ringe). Bis zu etwa 1000 Stationen sind ringförmig miteinander verbunden, und die Entferung kann rund 200 km betragen - weit mehr als bei den anderen Topologien. Ein Ring-Protokoll (Token-Ring) dient zur Vermeidung von Datenpaket-Kollisionen: Ein spezielles Datenpaket, das "Token", wird zyklisch von einer Station abgesandt und durchläuft den Ring im Uhrzeigersinn. Jeder Rechner, der etwas zu senden hat, kann an dieses Token seine Nutzdaten anhängen.

PC1 ___ ___ PC2
|
|
    |
|
PC3 ___ ___ PC4

Das Kabel braucht natürlich nicht wirklich ringförmig verlegt zu werden. Hin- und Rückleitung können in einem einzigen Strang untergebracht werden, so daß sich der Netz-Aufbau ganz ähnlich gestaltet wie etwa beim Verbinden mehrerer ISDN-Geräte an einem Bus.

Drahtlose Netze

IEEE 802.11

Die Möglichkeit, Computer drahtlos zu vernetzen, ist auf den ersten Blick verlockend. Trotzdem sollte man ein drahtloses Netz (WLAN = Wireless LAN) nicht als generellen Ersatz für kabelgebundene Netzwerke betrachten:

Die heutigen "Radio LANs" arbeiten überwiegend mit dem gegenüber Störungen relativ unempfindlichen Spread-Spectrum-Verfahren gemäß der Norm IEEE 802.11, bei dem die Daten auf viele Trägerfrequenzen verteilt werden, typisch mit einer Bandbreite von 20 MHz. In dem für diesen Zweck freigegebenen 83,5 MHz breiten Frequenzbereich bei 2,4 GHz bringt man rechnerisch vier Access Points ohne gegenseitige Störungen unter. Technisch ist der Bereich jedoch in 13 Kanäle unterteilt, die sich gegenseitig überschneiden; man sollte also zwei Access Points, die sich gegenseitig "sehen", nicht unmittelbar benachbarte Kanäle zuweisen.

Bei einer typischen Sendeleistung von 40 mW beträgt die Reichweite innerhalb von Gebäuden bis zu etwa 30 m, außerhalb einige hundert Meter. Die maximale Datenrate von 11 MBit/s wird allerdings nur im Nahbereich erreicht, bei geringerer Feldstärke wird sie automatisch auf 5,5 MBit/s, 2 MBit/s oder sogar auf 1 MBit/s reduziert.

Das Spreizen des Signals erfolgt heute meist mit dem Direct-Sequence-Verfahren (DSSS), seltener durch das zyklische Springen zwischen mehreren Frequenzbändern (FHSS, Frequency Hopping Spread Spectrum). Sicherheitshalber werden die Daten verschlüsselt. Frühere Lösungen benutzten eine 64-Bit-Verschlüsselung, tatsächlich nutzbar sind davon allerdings nur 40 Bit. Heute wird überwiegend eine 128-Bit-Codierung verwendet (WEP = Wired Equivalent Privacy, Sicherheit fast wie in Kabelnetzwerken). Eine zusätzliche Sicherheit erreicht man, indem im Access Point nur bestimmte MAC-Adressen (physikalische Netzwerkadapter-Adressen von Clients) freigegeben werden.

Mit den US-Standards IEEE 802.11a (5,2 GHz) und 802.11g (2,4 GHz) sowie der in einigen Details ausgereifteren europäischen Variante HiperLAN (ETSI-Standard, 5,2 GHz) wurden drahtlose Netze bis 54 MBit/s definiert. Da der Paket-Header stets mit der langsamsten Modulationsart übertragen wird, ist die Abwärts-Kompatibilität gewährleistet. Die volle Datenrate von 54 MBit/s wird allerdings nur bis zu einer Entfernung von etwa 7 m vom Access Point erreicht; bis 25 m sind theoretisch noch 36 MBit/s und bis 40 m Umkreis 11 MBit/s möglich.

DECT

DECT wird bei digitalen schnurlosen Telefonen eingesetzt und eignet sich prinzipiell ebenfalls zur Datenübertragung, wenn auch die erreichbare Geschwindigkeit deutlich unter sonstigen Radio-LANs liegt. Für DECT stehen 10 Kanäle zwischen 1880 und 1900 MHz im Abstand von 1728 kHz zur Verfügung (FDMA = Frequency Division Multiple Access), die Brutto-Bitrate je Kanal beträgt 1152 kBit/s. Im Gegensatz zu GSM und anderen Funkdiensten erfolgt das Senden und Empfangen auf der gleichen Frequenz (TDD = Time Division Duplex, 10 ms Rahmendauer), wobei jeder Kanal durch 12 Zeitschlitze bis zu sechs Gespräche erlaubt (TDMA = Time Division Multiple Access). Die Sendeleistung beträgt zeitlich gemittelt 10 mW.

Bluetooth

Bluetooth ist ein Standard für die Kurzstrecken-Funkübertragung insbesondere zur drahtlosen Anbindung von Peripheriegeräten. Er benutzt das Frequenzband von 2,402 bis 2,480 GHz. Die 79 jeweils 1 MHz breiten Kanäle werden im Frequenzsprung-Verfahren (Frequency Hopping, Spread Spectrum) mit bis zu 1600 Sprüngen je Sekunde abwechselnd benutzt, um Störungen zu minimieren. Mit 1 mW Sendeleistung werden etwa 10 m Reichweite erzielt, mit 100 mW rund 100 m, also deutlich weniger als bei DECT. Im Prinzip erlaubt Bluetooth im Synchronmodus auch eine ISDN-kompatible Sprachübertragung mit 64 kBit/s.

Der normale asynchrone Modus ermöglicht netto bis zu 721 kBit/s im Hauptkanal und 57,6 kBit/s im Rückkanal. Ein alternativer symmetrischer Modus gestattet 432,6 kBit/s in beiden Richtungen. Jedes Bluetooth-Paket besteht aus 72 Bit als Access Code, 54 Bit als Paket-Header und einem Nutzdatenteil von bis zu 2745 Bits. Wie bei Netzwerkkarten wird eine 48-Bit-Adresse gemäß IEEE 802 als eigene Identifikation benutzt. Diejenige Station, die die Verbindung aufbaut, agiert als "Master" und steuert den Übertragungstakt sowie die Frequenzsprünge der "Slaves". Im stromsparenden Standby-Modus prüft ein Bluetooth-Gerät nur alle 1,28 s auf 32 dafür reservierten Kanälen, ob jemand etwas von ihm will, so daß die Antwortzeiten etwas größer sind als bei einer Kabel-Anbindung oder bei WLAN-Lösungen..

Netzwerk-Protokolle

Netzwerke verwenden bestimmte Software-Protokolle, die bestimmen, wer wann etwas senden soll und wie Adressen im Netzwerk vergeben werden, wie etwa NetBEUI, IPX/SPX und TCP/IP.

Bei der Datenübertragung ordnet man die benutzten Protokolle gern in Schichten entsprechend dem von der International Standards Organization ISO genormten OSI-Referenzmodell (Open Standards Interface), das auch bei der ISDN-Übertragung verwendet wird. Jede Schicht baut auf die jeweils darunterliegende auf.

Nr. Englisch Deutsch Beispiele
7 Application layer Anwendungsschicht Web-Browser, Mail-Programm
6 Presentation layer Darstellungsschicht ASCII, HTML, XML, MIME
5 Session layer Steuerungsschicht HTTP, FTP, POP3, SMTP
4 Transport layer Transportschicht TCP, SPX, NetBeui
3 Network layer Vermittlungsschicht IP, IPX, X.25, T.70, T.90NL
2 Data link layer Sicherungsschicht PPP, X.75, LAP, HDLC, T.30
1 Physical layer Bitübertragungs-Schicht IEEE 802, ATM, V.110

Die Protokollschicht 1, die für den reinen Bit-Transport zuständig ist, benutzt bei lokalen Netzwerken über Koax-, STP- und UTP-Kabel gewöhnlich den Ethernet-Standard IEEE 802. Er benutzt das CSMA-Verfahren (Carrier-Sense Multiple Access), um das Senden eines Pakets sofort abzubrechen, wenn z.B. auf dem Koax-Kabel eine Kollision mit einer gleichzeitig sendenden anderen Station erkannt wird. Schnelle großflächige WANs (Wide Area Networks) oder MANs (Metropolitan Area Networks) verwenden dagegen das noch junge ATM-Verfahren (Asynchronous Transfer Mode).

Die Schicht 2 hat für einen fehlerfreien Transport der Daten zu sorgen, beispielsweise durch eine automatische Wiederholung falsch übertragener Pakete. Fehler werden dabei gewöhnlich an einer mitgesendeten Prüfsumme der Datenbytes erkannt (FCS = frame checksum). Hierfür wird bevorzugt der CRC-Algorithmus eingesetzt (cyclic redundancy check), der auch vertauschte Bytes erkennt.

Erst die darüberliegenden Protokollschichten wie NetBeui, IPX/SPX oder TCP/IP bestimmen, was mit den einzelnen Datenpaketen zu geschehen hat. Windows 95/98/NT erlaubt es, mehrere Protokolle zu "binden", sogar an denselben Adapter. Dadurch kann man über das gleiche Netzwerk-Kabel Server ansprechen, die mit unterschiedlichen Protokollen arbeiten, etwa NetBeui und TCP/IP.

Das am häufigsten benutzte Protokoll sollte man in der Systemsteuerung als "Standard-Protokoll" definieren, da Windows dieses Protokoll dann immer als erstes versucht.

NetBeui: Für kleine Netze

Der Vorteil des NetBeui-Protokolls (Network Basic Extended User Interface) ist, daß es ziemlich einfach zu konfigurieren ist, recht schnell ist und mit wenig Overhead arbeitet: Jeder Computer bekommt irgend einen willkürlichen Namen, zum Beispiel "Susi", "Hans" oder "Server". Diese Namen werden intern automatisch den in den Netzwerk-Karten fest eingebrannten, stets eindeutigen Adapternummern zugeordnet. NetBeui ist nicht für Router geeignet, die entfernte Netze miteinander verbinden, da anhand des NetBeui-Namens nicht erkennbar ist, in welchem der verbundenen Netze sich der jeweilige Rechner befindet.

Außer IBM, wo NetBeui entwickelt wurde, hat auch Microsoft das Protokoll in Netzwerk-Treibern für DOS und Windows implementiert. Windows XP unterstützt NetBeui allerdings nicht mehr.

Für NetBeui spricht ein gewichtiger Sicherheits-Aspekt: Wenn Sie ab und zu eine Internet-Verbindung herstellen, könnte im Prinzip ein irgendwo im Web befindlicher Rechner auf die Ressourcen Ihres lokalen Netzwerks zugreifen, wenn dieses wie das Internet das TCP/IP-Protokoll benutzt (dagegen hilft nur ein Firewall). Eine einfache und zuverlässige Lösung, das zu verhindern, ist die Benutzung eines anderen Protokolls als TCP/IP im lokalen Netzwerk - eben NetBeui. Wenn Sie in der Router- oder DFÜ-Netzwerk-Konfiguration NetBeui nicht freigeben, haben andere Internet-Teilnehmer keine Möglichkeit, auf Ihr Netz zuzugreifen.

IPX/SPX von Novell

Das IPX/SPX-Protokoll von Novell ist ähnlich einfach zu konfigurieren wie NetBeui, ist aber über spezielle Vorkehrungen auch für Router geeignet. Allerdings ist IPX/SPX ein proprietäres Protokoll. Es wird zwar beispielsweise von Windows 95/98/NT so gut es geht simuliert; da Novell aber nie alle Details des Protokolls offengelegt hat, wird es immer ein paar IPX/SX-Funktionen geben, die nur mit Novell-eigener Software funktionieren.

Sie sollten IPX/SPX deshalb nur einsetzen, wenn Sie z.B. aufgrund eines Novell-Servers im Netzwerk keine andere Wahl haben. Andernfalls ist bei kleineren Netzen NetBeui und bei größeren TCP/IP vorzuziehen; letzteres wird inzwischen auch von Novell unterstützt.

TCP/IP

Dieses Kapitel ist etwas länger als diejenigen über die vorangegangenen Netzwerk-Protokolle. Sie sehen daran, daß TCP/IP etwas mehr Know-How erfordert als ein NetBeui- oder IPX-Netzwerk. Auf der anderen Seite kommt im Internet-Zeitalter niemand an TCP/IP mehr vorbei. Den Begriff sollte man zunächst zum besseren Verständnis in die Adressierung IP und das Protokoll TCP aufspalten.

Das Internet Protocol (IP)

Das Internet Protocol wird im Internet und in größeren lokalen Netzen eingesetzt. Es ordnet physikalischen Netzwerkkarten-Adressen logische IP-Adressen zu. An deren Struktur ist für einen Router sofort zu erkennen, ob sich ein bestimmter Rechner im eigenen, lokalen Netzwerk befindet oder in einem anderen, entfernten. Jede IP-Adresse besteht aus 32 Bits und somit vier Bytes, die gewöhnlich in Form von vier dezimalen Zahlen (0...255) hingeschrieben werden. Der vordere Teil gibt an, in welchem Netz sich der jeweilige Computer befindet, und der hintere kennzeichnet einen bestimmten Computer in diesem Netz. Die Werte 0 und 255 sind hierbei jeweils verboten, da sie für spezielle Aufgaben reserviert sind.

Außer der eigenen IP-Adresse wird auch eine Subnetz-Maske (subnet mask) angegeben. Das ist ein Bitmuster, anhand dessen der Rechner weiß, welche anderen Adressen sich im eigenen Netz befinden (zu anderen müßte ggf. eine Router-Verbindung oder DFÜ-Netz-Verbindung per Modem oder ISDN hergestellt werden). 0-Bytes in der Subnetz-Maske geben an, daß das IP-Adressenbyte an der entsprechenden Stelle ignoriert werden soll, da es sich um die Adressierung im eigenen lokalen Netz handelt. Maskenbytes mit dem Wert 255 bedeuten, daß es sich um ein anderes, entferntes Netzwerk handelt, wenn das entsprechende IP-Adressenbyte anders lautet als das des eigenen Rechners.

Da einerseits weltweit mehr als 65536 lokale Netze und andererseits Netze mit mehr als 65536 Computern existieren (so viele Möglichkeiten gibt es jeweils mit 2 Bytes), gibt es drei Möglichkeiten, welcher Teil der IP-Adresse als Netzkennung und welcher als lokale Rechnerkennung dient:

Netzklasse Erstes Adr.-Byte Subnetz-Maske Max. Netzgröße ca.
A 1...126 255.0.0.0 16 Mio. Rechner
B 128...191 255.255.0.0 65000 Rechner
C 192...223 255.255.255.0 250 Rechner

Öffentliche und private IP-Adressen

Welche IP-Adresse soll man nun für die Rechner eines bestimmten lokalen Netzwerks einstellen? Es gibt drei Möglichkeiten:

Netzklasse IP-Adr. von bis
A 10.0.0.1 10.255.255.254
B 172.16.0.1 172.31.255.254
C 192.168.0.1 192.168.255.254

Das Domain Name System (DNS) und die HOSTS-Datei

Das Domain Name System erlaubt es, einen Computer statt mit der noch etwas unhandlichen numerischen IP-Adresse mit einem Klartext-Namen anzusprechen. In einem lokalen Netzwerk mit einem NT- oder Linux-Server sind dabei auch dynamisch vergebene IP-Adressen möglich, indem der Server jeder Workstation eine eindeutige Adresse aus seinem Pool (z.B. 192.168.x.y) zuweist.

Das DNS wird auch im Internet benutzt, dort allerdings gewöhnlich mit festen IP-Adressen. Dadurch können Sie im Browser einfach www.shamrock.de eintippen, und der Name Server findet innerhalb ein oder zwei Sekunden heraus, welche IP-Adresse zu diesem Namen gehört. Ein solcher Name Server steht bei jedem größeren Internet-Provider. Jeder kennt aber nur einen kleinen Teil des "Name Space", nämlich die bei diesem Provider selbst registrierten Domain-Namen (die A- oder Address-Records) und, anhand spezieller Name-Server-Einträge (NS records), auch die der benachbarten Server. Anfragen an unbekannte Domains werden an andere Name Server weitergereicht, aber jeder hat auch einen Cache-Speicher, in dem er sich die Antworten über einen begrenzten Zeitraum merkt, um beim nächsten Mal schneller reagieren zu können. Dadurch kann es allerdings ein oder zwei Tage dauern, bis eine umgemeldete Domain überall korrekt geroutet wird.

Ein Name Server kann auch MX-Records enthalten, das sind Mail-eXchange-Einträge, die ausschließlich für das Routing von E-Mails zuständig sind. Falls ein Host unter mehreren Domain-Namen erreichbar ist, verweisen CName-Records von den Alias-Namen auf den wahren Domain-Namen.

Wenn kein Domain Name Service im lokalen Netz zur Verfügung steht, z.B. weil es nicht über einen entsprechenden Server verfügt, kann man sich mit einer Datei HOSTS behelfen, die im Windows-Verzeichnis aller beteiligten Workstations vorhanden sein muß und die Zuordnung von Server-Namen und IP-Adressen regelt. In dieser Datei stehen zeilenweise IP-Adressen und Server-Namen, zum Beispiel:

192.168.61.42 Susi
192.168.61.45 Peter

Die Adressierung bei IP-Netzen erfolgt also in drei Stufen:

  1. die physikalische, fest eingebrannte Adresse der Netzwerkkarte, z.B. 002018289A4F, oder via DFÜ-Netzwerk eine intern vergebene Pseudo-Adresse,
  2. die in der Systemsteuerung oder im DFÜ-Netzwerk eingestellte IP-Adresse (z.B. 194.97.64.118) oder eine dynamisch vom Server vergebene IP-Adresse;
  3. der Rechner-Name (z.B. www.shamrock.de), der entweder vom Name Server oder der Datei HOSTS einer bestimmten IP-Adresse zugeordnet wird.

Das Transmission Control Protocol (TCP)

Das Transmission Control Protocol wurde wie das Internet Protocol 1980 definiert und benutzt die IP-Adressierung, um logische Verbindungen zwischen den beteiligten Applikationen aufzubauen. Außer TCP- werden im Internet auch UDP- (User Datagram Protocol, z.B. Broadcast-Messages ohne Bestätigung) und ICMP-Pakete übertragen (Internet Control Message Protocol, es ist Steuerungszwecken vorbehalten).

Als zusätzliche Unter-Adressierung kann man bei einem per TCP oder UDP erreichbaren Computer auch noch Ports ansprechen, die unterschiedliche Dienstleistungen eines Rechners unter derselben IP-Adresse ermöglichen. Die Ports von 0 bis 1023 sind von der IANA standardisiert. Ports von 1024 bis 49151 sollten bei der IANA zumindest angemeldet werden, während Ports von 49152 bis 65535 frei verwendet werden können. Die wichtigsten Standard-Werte auf der angerufenen Seite (Host) sind:

Dienst Port   Dienst Port
Echo-Port (für Testzwecke)
FTP-Daten (File-Transfer)
FTP-Steuerkommandos
Telnet (Terminal-Zugriff)
SMTP (Mail senden)
DNS (Domain Name System)
DHCP (Dyn.Host Conf.Prot.)
Gopher (Web-Vorläufer)
HTTP (Web-Browser)
POP3 (Mail empfangen)
7
20
21
23
25
53
67
70
80
110
  NNTP (Newsgroups)
NetBIOS Name Service
NetBIOS File/Print Sharing
IMAP4 (Mail-Protokoll)
IRC (Internet Relay Chat)
SSL-HTTPS
SOCKS (Firewall)
Real Audio/Video
SQL (Datenbank-Abfrage)
Bridge/Proxy-Port
119
137
139
143
194
443
1080
1090
1114
8080

Da das IP-Protokoll die einzelnen Datenpakete dem Empfänger unter Umständen auf unterschiedlichen Wegen zuleitet, kann es die korrekte Reihenfolge dieser Pakete bei der Ankunft nicht garantieren. Das darüberliegende TCP-Protokoll puffert die empfangenen Pakete, solange noch einzelne fehlen, was es an den Blocknummern erkennt, und stellt die ursprüngliche Reihenfolge wieder her. Die Software, die diese Aufgabe übernimmt, nennt man TCP/IP-Stack, und in der Windows-Welt ist sie als Datei Winsock.dll (16 Bit) oder Wsock32.dll (32 Bit) implementiert. Die mit den ersten Versionen von Windows 95 gelieferten Treiberdateien waren noch ziemlich fehlerhaft, aber der aktuelle Internet-Explorer von Microsoft installiert stillschweigend ein Update.

Das Windows-DFÜ-Netz

Windows 95, 98 und NT stellen mit dem DFÜ-Netz (Datenfernübertragungs-Netzwerk) eine Möglichkeit zur Verfügung, eine Verbindung zu einem anderen Computer via Modem oder ISDN aufzubauen. Diese Möglichkeit wird als Remote Network Access (RNA) oder auch als Remote Access Service (RAS) bezeichnet. Auch Windows 3.11 sowie Microsofts "Client for MS-DOS" stellten bereits ein DFÜ-Netz zur Verfügung, allerdings nur als Client, nicht als Server. Ferner wurde als Protokoll dafür ausschließlich NetBeui unterstützt, nicht TCP/IP. Diese Einschränkung gilt bei Windows 95/98 auch noch für den optionalen DFÜ-Server, wenn man damit einen RAS-Zugriff auf Dateien erlauben möchte, nicht aber für den Client.

Die DFÜ-Netz-Treiber von Windows sind für Modems ausgelegt. Das bedeutet, daß erst einmal ein Modem über die Systemsteuerung unter "Modems" installiert werden muß; es genügt also nicht, wenn eines an einem COM-Port angeschlossen ist. Bei Benutzen einer ISDN-Karte hat man zwei Möglichkeiten, die in der Dokumentation des Herstellers ausführlicher beschrieben werden:

  1. Es wird ein NDIS-WAN-Treiber des ISDN-Karten-Herstellers installiert. Die ISDN-Karte verhält sich dann nicht wie ein Modem, sondern wie eine Netzwerkkarte. NDIS bedeutet Network Device Interface Standard und stellt die Software-Schnittstelle für Netzwerkkarten-Treiber dar; WAN heißt Wide Area Network. Bei dieser Methode kann man auch eine Kanalbündelung mit (fast) doppelter Geschwindigkeit, aber auch doppelten Gebühren nutzen.
  2. Es wird ein virtuelles Modem des ISDN-Karten-Herstellers benutzt, z.B. der CapiPort-Treiber von AVM; dieser erlaubt das Ansprechen der ISDN-Karte mit AT-Befehlen wie bei einem Modem. Mit einer Initialisierung wie S42=1;S49=98765 wird das bei PPP-Verbindungen gebräuchliche HDLC-Protokoll sowie die abgehende MSN auf die Beispielnummer 98765 eingestellt (Systemsteuerung - Modem - Eigenschaften - Einstellungen - Erweitert).

Bei einem externen ISDN-Adapter mit serieller Schnittstelle, der sich mit AT-Befehlen steuern läßt, muß ebenfalls das HDLC-Protokoll eingestellt werden, z.B. beim Elsa-ISDN/TL mit \N10 %P1.

Der Rechner läßt sich auch anrufen, wenn man im DFÜ-Netzwerk unter "Verbindungen" die Option DFÜ-Server für ein Modem oder eine ISDN-Modem-Emulation aktiviert; ein NDIS-WAN-Treiber funktioniert hierfür leider nicht. Unter Windows 95 benötigt man dazu die Datei RNASERV.DLL aus dem Plus-Pack, bei Windows 98 ist sie bereits enthalten. Ohne diese Datei erscheint die Option DFÜ-Server gar nicht erst im Menü.

Die Verbindungsaufbauzeit ist spürbar kürzer, wenn in der DFÜ-Netz-Konfiguration für die jeweilige Verbindung nur dasjenige Netz-Protokoll aktiviert ist, das die Gegenstelle unterstützt. Beispielsweise sollte man für die Verbindung zu einem Internet-Service-Provider (ISP) das Kästchen "NetBeui" im DFÜ-Netzwerk deaktivieren und nur TCP/IP ankreuzen. Ob dafür in der Systemsteuerung eine feste IP-Adresse angegeben werden muß oder darf, hängt vom jeweiligen Provider ab; meist wird aber mit dynamischen, vom Server vergebenen IP-Adressen gearbeitet. Das Kästchen "Am Netzwerk anmelden" sollte beim Internet-Zugriff ebenfalls deaktiviert sein, da Windows andernfalls zunächst versucht, sich mit Ihrem Windows-Login-Namen beim Provider anzumelden.

Die NetBIOS-Schnittstelle

Die Programmierer von Netzwerk-Applikationen möchten es natürlich dem Anwender überlassen, welche Art von Netzwerk-Protokoll er einsetzt. Nun könnte man in eine Applikation die Unterstützung für alle denkbaren Protokolle mit einbauen; das ist allerdings nicht nur ein enormer Aufwand, sondern hat auch den Haken, daß einerseits manche proprietären Protokolle wie IPX/SPX überhaupt nicht vollständig dokumentiert sind und andererseits die Protokolle auch gewissen Weiterentwicklungen unterworfen sind, die dann auch applikationsseitig Updates erforderlich machen würden.

IBM hat deshalb vor Jahren das Network Basic Input-Output System (NetBIOS) eingeführt, das Applikationen eine einheitliche Programmierschnittstelle unabhängig vom darunterliegenden Protokoll (NetBeui, IPX/SPX, TCP/IP) zur Verfügung stellt. In Windows wird NetBIOS für alle unterstützten Protokolle angeboten, nicht zuletzt deshalb, weil alle vor Windows 2000 entstandenen Netzwerk-Clients von Microsoft selbst auf NetBIOS aufsetzten. Doch auch unter Windows 2000 steht NetBIOS weiterhin zur Verfügung.

NetBIOS arbeitet mit Klartext-Namen für die Computer im Netzwerk. Beim TCP/IP-Protokoll kann man entweder einen WINS-Server benutzen (Windows Internet Naming Service, z.B. NT-Server), der automatisch NetBIOS-Namen festen oder dynamischen IP-Adressen zuweist, oder man benutzt eine Datei LMHOSTS (bei Windows im Windows-Verzeichnis), in der zeilenweise feste IP-Adressen und die zugehörigen NetBIOS-Namen stehen. Beispiel für LMHOSTS:

192.168.83.15 SERVER1
192.168.83.72 WINTEL_CLIENT  \1a
192.168.83.73 WINTEL_HOST    \1a

In diesem Beispiel gibt \1a an der 16. Position im Rechnernamen einen speziellen Applikations-Typ als Hex-Byte an, hier für das Fernwartungsprogramm WinTel von Shamrock Software. Die folgende Tabelle nennt die bei NetBIOS-Applikationen typischerweise verwendeten Werte für das 16. Byte im Namen.

NetBIOS-Applikationstypen im 16. Byte des Namens
Name Hex E=einzeln,
G=Gruppe
Benutzt für
Computer
Computer
'__MSBROWSE__'
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Benutzer
Domain
Domain
Domain
Domain
Domain
'Inet~Services'
'IS~'+Computername
Computer
'IRISMULTICAST'
'IRISNAMESERVER'
'Forte_$ND800ZA'
WinTel-Netzname
Computer oder Applikation
00
01
01
03
06
1F
20
21
22
23
24
30
31
43-46
4C
52
87
6A
BE
BF
03
00
1B
1C
1D
1E
1C
00
2B
2F
33
20
1A
CC-CF
E
E
G
E
E
E
E
E
E
E
E
E
E
E
E
E
E
E
E
E
E
G
E
G
E
G
G
E
E
G
G
E
E
E
Workstation Service
Messenger Service
Master Browser
Messenger Service
RAS Server Service
NetDDE Service
File Server Service
RAS Client Service
MSMail Connector
MS Exchange Store
MS Exchange Directory
Modem Sharing Server
Modem Sharing Client
Microsoft SMS
DEC Pathworks NT TCPIP
DEC Pathworks NT TCPIP
Microsoft Exchange MTA
Microsoft Exchange IMC
Network Monitor Agent
Network Monitor Application
Messenger Service
Domain Name
Domain Master Browser
Domain Controllers
Master Browser
Browser Service Elections
Internet Information Server
Internet Information Server
Lotus Notes Server
Lotus Notes
Lotus Notes
DCA IrmaLan Server
Shamrock WinTel
Shamrock Popup-Messages

Hub, Router, Proxy, Firewall

In der Netzwerk-Literatur liest man immer wieder von Hubs (die haben wir bei der Netzwerk-Topologie "Stern" schon kennengelernt), aber auch von Bridges, Switches, Routern, Proxies und Firewalls. Was ist der Unterschied?

Hub, Bridge und Switch

Bei einem Hub, einer Bridge oder einem Switch handelt es sich um Geräte, die innerhalb eines lokalen Netzwerks eingesetzt werden, um Computer miteinander zu vernetzen.

Ein Hub ermöglichen das Verbinden von mehreren Netzwerkkarten mit RJ45-Anschluß (Twisted-Pair-Kabel) und besitzen manchmal zusätzlich auch einen BNC-Anschluß für den Anschluß an ein Koax-Backbone-Kabel. Hubs besitzen keine Eigenintelligenz: Alle Pakete, gleich welches Netzwerk-Protokoll sie benutzen, finden sich unverändert an allen Anschlüssen des Hubs wieder.

Eine Bridge verbindet Netzwerk-Segmente, die mit unterschiedlichen physikalischen Übertragungsarten arbeiten, beispielsweise ein 100-MBit/s-Segment mit einem 10-MBit/s-Segment. Welches logische Protokoll (wie IPX, TCP/IP oder NetBeui) benutzt wird, prüft sie aber nicht, läßt also alle Pakete durch.

Ein Switch ist im Grunde nichts anderes als eine Bridge. Switches sind aber auch in der Lage, sich zu merken, welche physikalischen Ethernet-Adressen (nicht IP-Adressen!) sich auf welcher Seite des Switches befinden; wenn zwei PCs auf derselben Switch-Seite miteinander "sprechen", werden deren Pakete dann nicht auf die andere Seite kopiert und entlasten so einen Teil des Netzes. Ein Beispiel dafür ist das DSL-Modem der Telekom, das Pakete mit lokalen Netzwerk-Adressen ausfiltert, damit sie nicht ins Internet gelangen.

Router

Router verbinden entfernte Netzwerke miteinander, z.B. das lokale Netz mit dem Internet. Um eine Wählverbindung nicht unnötig aufrechtzuhalten, wenn sie nicht wirklich gebraucht wird, können Router sogenannte Broadcast-Pakete ausfiltern. Es ist auch möglich, die Weiterleitung bestimmter Paketarten (z.B. NetBios) zu sperren. Anwendungs-Software auf Workstations "sieht" das Internet durch den Router völlig transparent, ohne daß z.B. im Web-Browser eine spezielle Konfiguration erforderlich wäre (vgl. Proxy). Router sind meist als externe Hardware realisiert, z.B. für ISDN oder DSL.

Damit ein Router beispielsweise Web-Seiten oder Download-Dateien gleichzeitig für mehrere Netzwerk-Benutzer vom Internet-Provider anfordern und liefern und dabei unterscheiden kann, welche Daten für welche Workstation bestimmt sind, gibt es zwei Verfahren der Adressen-Umsetzung:

Prinzipiell stellt Ihr Internet Service Provider (ISP) beim Web-Zugang nichts anderes als einen Router dar: Sie wählen sich über eine PPP-Verbindung (Point-to-Point Protocol) via Modem oder ISDN bei ihm ein, z.B. mit dem T-Online-Decoder oder mit dem DFÜ-Netzwerk von Windows, und von dort werden Daten von und zu Web-Servern über das Internet geroutet. Ein DNS-Server ermittelt dabei aus einer URL (Universal Resource Locator, so nennt man eine Internet-Adresse wie etwa http://www.shamrock.de/dfu) die zugehörige numerische IP-Adresse. Um häufig aufgerufene Web-Seiten schneller verfügbar zu machen, benutzen viele Internet-Provider Proxy-Rechner mit Cache-Speicher, die nach der LRU-Strategie (last recently used) abgerufene Seiten lokal speichern. Allerdings führt deren Benutzung manchmal dazu, daß man veraltete Versionen der Seiten oder Dateien lädt.

Mit dem Tool tracert (Trace Route), das sowohl bei Windows als auch bei Unix/Linux enthalten ist, läßt sich der Weg der Pakete durch eine Kette von Routern ganz einfach feststellen. Geben Sie an der DOS-Kommandozeile probeweise zum Beispiel mal ein:
tracert www.telekom.de
Sie sehen dann den Weg Ihrer Test-Datenpakete durchs Internet sowie die Laufzeit auf den einzelnen Teilstücken der Verbindung. Eventuelle Probleme lassen sich damit gezielt auf die betroffene Teilstrecke eingrenzen, und Sie wissen besser, bei wem Sie sich beschweren müssen, wenn es mal nicht recht klappt.

Proxy

Ein Proxy verbindet wie ein Router ein lokales Netzwerk mit dem Internet. In der Anwendungs-Software der Workstations (z.B. Browser) ist es jedoch erforderlich, die Proxy-Adresse zu konfigurieren; deshalb ist nicht jede Anwendung für den Proxy-Betrieb geeignet. Teilweise verfügen Proxy-Systeme auch über einen Cache für Internet-Seiten und/oder DNS-Adressen, um diese lokal schneller zur Verfügung zu stellen, wenn sie kurz vorher schon einmal geholt wurden. Ein Proxy ist gewöhnlich als Software auf einem zentralen Server-PC realisiert.

Wenn mehrere Workstations einen Proxy-PC für den gemeinsamen Internet-Zugang über eine einzige Leitung nutzen, werden im Browser IP-Adresse und Portnummer des Proxy-PC konfiguriert. Der Port ist dabei meist 80, 8080 oder 3128. Um eine Seite von einem Webserver anzufordern, konnektiert der Browser die Proxy-Adresse (also nicht direkt den Webserver) und sendet dorthin eine Anforderungszeile, die ähnlich wie ein HTTP-Request aussieht, aber nicht einen relativen Pfad- und Dateinamen enthält, sondern die vollständige URL, zum Beispiel:

GET http://www.skyfile.com/index.htm HTTP/1.0

Damit der Proxy für die unterschiedlichen Dienste wie HTTP, HTTPS, FTP, POP3, SMTP nicht jeweils einen eigenen Port verwalten muß, was wertvolle Systemressourcen verschwenden würde, hat sich mit dem SOCKS-Protokoll ein von vielen Clients (z.B. MS-IE, Netscape) unterstütztes Proxy-Verfahren durchgesetzt, bei dem der Proxy intern nur auf einem einzigen Port "hören" muß und diesen je nach Dienst nach außen passend übersetzt. Für Software, die das SOCKS-Verfahren nicht direkt unterstützt, ist auf dem Client-PC ein Treiber nötig (z.B. SocksCap).

Firewall

Ein Firewall erlaubt das Ausfiltern von Netzwerkdaten nach einstellbaren Kriterien, z.B. Sperrung oder Freigabe bestimmter IP-Adressen und Ports, und Verbindungswünsche aus dem Internet werden abgewiesen. Er kann entweder als Hardware (auch innerhalb eines Routers) oder als Software z.B. auf einem als Proxy dienenden PC realisiert sein. Eine typische Firewall-Konfiguration mit 7 Regeln sieht beispielsweise so aus.

Nr. Richtung Protokoll Erlaubt Bemerkung
1
2
3
4
5
6
7
in+out
out
in
in+out
out
in
in+out
jedes
ICMP
ICMP
UCP
TCP+UDP
TCP
jedes
Ja
Ja
Ja
Ja
Ja
Ja
Nein
Lokales Netz, Adressen 192.168.0.0 - 192.168.0.254
für 3=dest.unreachable, 8=echo request, 30=traceroute
für 0=echo reply, 3=dest.unr.,11=timeout,12=par.prob.
DNS, entfernter Port=53, lokaler Port=1024...5000
für Proxy, Browser usw. (alle Ports, aber nur abgehend)
Ident-Service (teilweise von FTP und SMTP benutzt)
Alles andere ist gesperrt!

Am wichtigsten ist natürlich die letzte Regel, damit alle nicht explizit freigegebenen Ressourcen gesperrt sind. Regel 6 verhindert z.B. beim FTP-Login eine Pause von 10...20 Sekunden, die durch ein Timeout entstehen würde, wenn der eigene PC auf eine Ident-Anfrage des Host nicht antwortet. Die Regeln 2 und 3 geben nur bestimmte ICMP-Codes (Internet Control Message Protocol) frei, um möglichst wenig Angriffsflächen zu bieten. Im lokalen Netz (Regel 1) ist dagegen alles uneingeschränkt erlaubt (Adresse 192.168.0.0 mit Maske 255.255.255.0).


Inhaltsverzeichnis/Copyright - © Shamrock Software GmbH - Das Kopieren des Inhalts auf andere Websites ist nicht gestattet.