|
Bereiche von IPv4-Adressen werden meist als Kombination von Netzwerk-(Basis)-Adresse und
(Subnetz)-Maske angegeben, nur selten in der Form von..bis Mit Hilfe von Bit-Operatoren wird festgestellt, ob sich eine untersuchte Adresse innerhalb oder außerhalb des Bereichs befindet. |
Der Grund für diese ungewöhnliche Methode ist die praktische technische
Ausführung: Bit-Operationen sind weitaus schneller als arithmetische Vergleiche und lassen sich gut an die Hardware auslagern. |
 Netzwerk
|
Zusammenarbeit - Lokal und weltweit |
| IPv4 | Internet Protocol IPv4 |
| Live-Test | Fällt eine Test-Adresse in einen Bereich von IPv4 Adressen ? |
| Darstellung | Im 256er-System, dezimal, hexadezimal oder binär, CIDR |
| Sub-Netze | Beispiele für die Aufteilung eines LAN in Sub-Netze |
| Anwendung | Browser, Firewall, Server, ... |
| Links |
Ausgewählte
Links zum Thema IPv4-Bereich und Maske
|
Darstellung |
|||||||||||||||||||||
| IPv4-Adressen werden meistens als Strings von 4 Ziffern im 256er-System dargestellt. | In diesem Kapitel werden andere Darstellungs-Formate demonstriert. | ||||||||||||||||||||
|
|||||||||||||||||||||
String im 256er-SystemDieses Format wird am häufigsten verwendet. Der Anblick ist zwar gewohnt, die Interpretation jedoch meistens unklar:Es handelt sich um 4 Ziffern im 256er-System: Die 4 Stellen haben folgende Werte:
|
In Systemen kleinerer Zahlen (Binär, Octal, Dezimal, Hexadezimal) wird für jede Ziffer ein eigenes Symbol verwendet, z.B. '0' bis '9' für das Dezimalsystem. Da es keinen Sinn ergibt, für das IP-System 256 verschiedene Symbole als Ziffern zu verwenden, werden die Ziffern einfach durch Dezimal-Zahlen 0..255 dargestellt. Als Trennzeichen zwischen den Ziffern wird ein . Punkt verwendet. |
||||||||||||||||||||
DezimalzahlIntern wird eine IPv4-Adresse wie eine 4-Byte Dezimalzahl verwendet.4 Byte = 32 Bit entspricht genau der Wort-Breite derzeit gängiger PC. Daher lassen sich IPv4-Adressen in allen Programmiersprachen durch positive ganze Zahlen gut darstellen. |
Vorsicht: Das höchst-wertige Bit (Bit 31) wird meist als → Vorzeichen-Bit genutzt. Verwenden sie daher nach Möglichkeit für Adressen und Masken "Unsigned" Variablen-Typen. Ganzzahlige Dezimalzahlen (Long..Unsigned) lassen sich ausgezeichnet mit → Bit-Operatoren kombinieren - Genau das wird zur Verarbeitung von IP-Adressen und Masken benötigt ! |
||||||||||||||||||||
CIDRClassless Inter-Domain Routing bedeutet den Abschied von den unflexiblen privaten → LAN-Klassen A,B,C.• In den meisten LAN-Klassen bestehen die Masken nur aus den Ziffern 0 oder 255. • Die Masken moderner Netzwerke lassen sich wesentlich flexibler gestalten. • Dabei werden (von links nach rechts) nur direkt aufeinander folgende 1-Bits berücksichtigt. Man kann daher mit CIDR nur Bereiche von 1,2,4,8,16,32,64,128,.. Adressen angeben, nicht jedoch Bereiche von 10,12,24,... Adressen. • Die CIDR-Syntax gibt nach einem / Zeichen die Anzahl der 1-Bits in der Maske an. Die LAN-Klassen A, B, C entsprechen daher /8 /16 /24 Diese Syntax ist für IPv4 selten, aber Standard für die Nachfolge-Version → IPv6. |
Verwenden sie zur Aufwärts-Kompatibilität mit IPv6 nur Masken,
die aus 2 klar getrennten Teilen bestehen:
Links alle 1-Bits, rechts alle 0-Bits.
Andere Masken sind zwar in IPv4 zulässig, jedoch nicht empfehlenswert.► Test einer legalen Maske (beide Angaben sind äquivalent) ► Test einer für CIDR illegalen Maske |
||||||||||||||||||||
Sub-Netze |
|
| Eine besondere Bedeutung haben Sub-Netze innerhalb eines privaten lokalen Netzwerks. Jeder Gruppe von Geräten oder AnwenderInnen wird ein eigener Bereich von Adressen zugeordnet. | Das vereinfacht die Einstellung von Zugriffs-Rechten (Firewall, Server, ..) und erleichtert die Administration. |
Beispiel AGrößere private Netzwerke verwenden meist ein LAN der Klasse A. Für solche LANs ist nur die Adresse 10.0.0.0 reserviert.● Klicken sie die einzeln angeführten Bereiche, um sie im Live-Beispiel dieser Seite einzustellen. Klicken sie danach den Würfel 
um zufällige Test-Adressen zu erzeugen. Die erzeugten Zufalls-Adressen
liegen mit 50% Wahrscheinlichkeit innerhalb des eingestellten Bereichs.● Analysieren sie, wie mit Hilfe von Bereich und Maske entschieden wird, ob die Test-Adresse innerhalb des Bereichs liegt. ► Alle Geräte liegen im Bereich Die einzelnen PC-Adressen werden normalerweise nicht direkt aus diesem Bereich vergeben, das wäre sehr unübersichtlich. Jeder größere Bereich wird von der IT-Abteilung bzw. von der/dem IT-AdministratorIn unterteilt (z.B. nach Gebäude oder Abteilung). |
► Die zweite Ziffer wird zur Unterscheidung von maximal 255 Abteilungen verwendet. Die erste Abteilung erhält z.B. den Bereich Die zweite Abteilung erhält 10.2.0.0/255.255.0.0 die dritte Arbetilung 10.3.0.0/255.255.0.0 usw. Jede Abteilung verfügt über 65535 IPv4-Adressen. ► Die dritte Ziffer wird zur Unterscheidung von maximal 255 Gruppen innerhalb einer Abteilung verwendet. In der 23. Abteilung sind z.B. diese Gruppen möglich: Erste Gruppe Zweite Gruppe Jede Gruppe verfügt über 255 IPv4-Adressen. ► Für jeden einzelnen PC im LAN sind daher normalerweise die ersten 3 Stellen der IPv4-Adresse vorgegeben. Die letzte Stelle muss sich von allen anderen PC der Gruppe unterscheiden. |
Beispiel CAuch bei einfachen privaten Netzwerken ist eine Einteilung der IP-Adressen sinnvoll.● Als privates LAN kann ein Bereich 192.168.*.0 verwendet werden. Für * können sie jede Zahl 0..255 einsetzen. ► Im Beispiel wird dieser Bereich verwendet: Alle Geräte des LAN liegen in diesem Bereich. |
► Gemeinsam genutzte Geräte (Server, Router, Drucker, ...) erhalten z.B. fixe Adressen im unteren Bereich Dieses Subnetz hat Platz für 127 fix adressierte Geräte. ► Private Arbeits-PC erhalten vom → DHCP-Server eine dynamische Adresse im oberen Bereich Dieses Subnetz hat Platz für 127 variabel (z.B. mit↓ DHCP) adressierte Geräte. ► Beachten sie das (höchstwertige) Bit 7 der letzten Stelle. Dieses Bit mit dem dezimalen Wert 128 unterscheidet zwischen den beiden Sub-Netzen. |
Anwendung |
|
|
In vielen Situationen, die mit einem (lokalen) Netzwerk zu tun haben,
wird nach Bereichen von IP-Adressen gefragt bzw. entschieden. Hier werden einige typische Beispiele vorgestellt. |
Mit guten Kenntnisse von IP-Adressen, Bereichen, Masken usw. lassen sich die gebotenen Funktionen optimal an die gewünschten Ziele anpassen. |
BrowserJeder Browser eines PC im Netzwerk muss eingestellt werden, um ins Internet zu gelangen. Suchen sie nach einem Menü oder ähnlich.• In gut konfigurierten Netzwerken erhält jeder Browser automatisch alle notwendigen Daten. Dazu muss er allerdings auf 'automatische Netzwerk-Konfiguration' eingestellt sein. Router
►
IP-Adresse und Port des
→ Routers (Proxy-Servers, Verbindung mit dem Internet) müssen
eingetragen werden. In diesem Fall wird jede Anfrage des
Browsers (an beliebige Webserver) über den Router geleitet.
|
Ausnahmen:
Diese Eintragung ist notwendig, wenn im LAN ein oder mehrere Web-Server
betrieben werden. Browser-Anfragen an eigene Server dürfen
nicht an den eingetragenen Router geleitet werden,
sondern direkt an den Server im LAN.► Dazu wird entweder Name und / oder Adresse jedes Servers einzeln eintragen, besser jedoch alle PC des LAN mit Angabe von Basis-Adresse & Maske oder (bei modernen Browsern) nach CIDR-Syntax, z.B.
192.168.0.0/255.255.255.0
►
Am Server-PC selbst werden zusätzlich der Name
localhost und die Adresse 127.0.0.1 eingetragen.
192.168.0.0/24 |
FirewallEin Firewall unterbindet unerwünschten Daten-Verkehr.
Er beurteilt jedes ein- oder ausgehende Daten-Paket nach den Adressen und
Ports von Sender und Empfänger.► Man kann beliebig viele Regeln aufstellen, um bestimmte Pakete zu blockieren (deny) oder durchzulassen (allow). • Der wichtigste Firewall arbeitet am Router-PC. Dort gibt es keine Information über Programme, nur über Adressen und Ports ! • Die Firewalls der einzelnen PC haben geringere Bedeutung. Dort gibt es zusätzlich Informationen über die ausführenden Programme. Das wird von einigen Programmen bei der Konfiguration verwendet, macht die Einstellung jedoch meist unnötig kompliziert. |
Für die Anwendung der Regeln sind je nach Software und Einstellung mehrere Strategien möglich, z.B. • Es werden alle Regeln in einer festgelegten Reihenfolge durchlaufen oder • Die Regeln werden so lange durchlaufen, bis eine davon zutrifft. Je nach Strategie werden die Regeln und ihre Reihenfolge unterschiedlich formuliert. Faustregel:
•
Verbieten sie zunächst jeden Daten-Verkehr, z.B.
für diesen Bereich (alle IPv4-Adressen, alle Ports):
0.0.0.0/0.0.0.0
•
Erlauben sie danach schrittweise den Verkehr auf einzelnen Ports
für eine möglichst kleine und genau angegebene Gruppe von Adressen, z.B.aus dem LAN ausgehende Anfragen auf Port 80 (Webserver) für 192.168.0.0/255.255.255.0
d.h. für Web-Anfragen von allen PC des eigenen LAN.
|
Webserver
Ein Webserver stellt auf Anfragen von Browsern Web-Dokumente
(Webseiten, Bilder, ...) zur Verfügung.
Die Konfiguration des
→ Apache Webservers erlaubt die genaue Abstimmung der
Zugriffs-Rechte für jedes einzelne Verzeichnis (Ordner), kombiniert
mit jeder beliebigen Gruppe von Adressen.Auch in diesem Falle wird zuerst der Zugriff auf alle Verzeichnisse bzw. für alle Adressen verboten: deny from all
|
Danach wird der Zugang zum Verzeichnis der Web-Dokumente (Webseiten, Bilder, ...) für einen bestimmten Bereich erlaubt, z.B. für die PC des eigenen LAN: allow from 192.168.0.0/255.255.255.0
Diese Einstellung gilt ebenso für alle Unter-Verzeichnisse.Danach können optional die Rechte für einzelne Verzeichnisse anders eingestellt (erweitert oder eingeschränkt) werden. Der → Schutz vertraulicher Daten mit Name und Passwort ist möglich und kann je nach IP-Adresse des Clients unterschiedlich konfiguriert werden. |
DHCP-Server
Ein
→ DHCP-Server vergibt IP-Adressen an neu gestartete PC des LAN.
Das wichtigste Detail bei der Konfiguration eines DHCP-Servers ist die Angabe des zu vergebenden Adress-Bereichs. • Einige Adressen ihres LAN müssen für fix adressierte Geräte reserviert werden (Server, Router, Drucker, ...). Dafür reserviert man meistens die ersten Adressen (mit den kleinsten End-Ziffern). • Alle anderen Adressen soll der DHCP-Server nach Bedarf vergeben. Dafür verwendet man meist die letzten Adressen (mit den größten End-Ziffern). • Die Adresen mit den End-Ziffern 0 und 255 werden nicht verwendet. |
Beispiel:
Ihr gesamtes lokales Netzwerk (LAN) ist durch diesen Bereich definiert:
192.168.0.0/255.255.255.0
Der folgende Bereich definiert die obere Hälfte ihres Adress-Bereichs,
aus welchem der DHCP-Server die Adressen für maximal 127 PC vergibt:
192.168.0.0/24
192.168.0.128/255.255.255.128
Für Server, Router, Drucker und andere gemeinsam verwendete = fix
adressierte Ger%auml;te bleiben 127 Adressen, z.B.
192.168.0.128/25
192.168.0.1
192.168.0.2 |
Samba Fileserver
Ein Fileserver stellt Datei-Speicherplatz im LAN zur Verfügung,
in Windows-Nomenklatur 'Netz-Laufwerke' (ähnlich Festplatten, CD und DVD).
In der
→ Samba-Konfiguration werden die einzelnen verwalteten Verzeichnisse
als Shares bezeichnet.
|
Für jedes Share sind die Zugriffs-Rechte getrennt einstellbar, und zwar sowohl nach User-Name und Passwort als auch nach IP-Bereich des verwendeten PC. ● Auch auf Samba wird die Faustregel angewendet: Alles verbieten, Ausnahmen erlauben:
hosts deny = 0.0.0.0/0
hosts allow = 192.168.0.0/24 |
MySQL Datenbank ServerEin SQL Server verwaltet Datenbanken
Der Standard Datenbank Server
→ MySQL bietet die Möglichkeit, den Zugriff auf Datenbanken,
einzelne Tabellen und sogar einzelne Felder sehr genau abzustimmen.
|
Die Zugriffs-Rechte werden in erster Linie mit Name und Passwort eingestellt. Sie lassen sich mit dem IP-Bereich kombinieren. So ist es z.B. möglich, dem gleichen User unterschiedliche Rechte einzuräumen, je nachdem von wo er sich am SQL Server anmeldet. |
|
|
Wikipedia:
Internet Protocol,
IPv4,
IPv6,
(Subnetz)-Maske,
CIDR,
Broadcast,
Proxy,
Router,
Private LANs
|
Elektronik-Kompendium (de): IPv4, IP-Routing, ARP |
> System
> Netzwerk
> IP
> LAN & Maske
|
|