R33NET BLOG Rotating Header Image

Juniper

Juniper Netscreen Sessions analysieren

juniper_logoHier beschreibe ich kurz wie man genauere Informationen zu aktuellen Sessions auf der Juniper bekommt. Auf der SSG-550 ist es möglich 256064 Sessions zu halten. Je nachdem wie viele VPNs bzw Daten über die Juniper gehen kann es mal vorkommen das man an das Limit der Sessions kommt. Auch z.B. durch Fehlerhaften Traffic der immer neue Sessions aufbaut aber die alten nicht beendet und diese erst in einen Timeout laufen müssen.

Hier die wichtigsten Befehle:

get session info Zeigt aktuelle Sessions an
get session id Zeigt eine bestimmte Session an
get session policy-id Zeigt Sessions einer bestimmten Policy
get session dst-ip / dst-mac / dst-port) Zeigt Sessions bestimmter Ziele  IP / MAC / Port
get session src-ip / src-mac / src-port Zeigt Sessions bestimmter Quellen IP / MAC / Port
get session service „dns“ Zeigt Sessions eines bestimmten Service an

 

Sessions per Policy Anzeigen
vpn8:vpn8-1(M)-> get session policy-id 3844
id 35/s**,vsys 0,flag 00000040/0000/0001/0000,policy 3844,time 12, dip 0 module 0
if 0(nspflag 800801):10.x.x.61/58022->10.x.x.41/389,17,000000000d0,sess token 3,vlan 0,tun 0,vsd 0,route 20
if 6(nspflag 2002800):10.x.x.61/58022<-10.x.x.41/389,17,000000000000,sess token 4,vlan 0,tun 40000a53,vsd 0,route 0

Session Details anzeigen
vpn8:vpn8-1(M)-> get session id 35
id 35(00000023), flag 00000040/0000/0001/0000, vsys id 0(Root)
policy id 3844, application id 0, dip id 0, state 0
current timeout 70, max timeout 7200 (second)
status normal, start time 45054980, duration 0
session id mask 0, app value 0
ethernet0/0(vsd 0): 10.x.x.61/58022->10.x.x.41/389, protocol 17 session token 3 route 20
gtwy 192.x.x.254, mac 0000000000d0, nsptn info 0, pmtu 1500
flag 800801, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
ethernet0/2(vsd 0): 10.x.x.61/58022<-10.x.x.41/389, protocol 17 session token 4 route 0
gtwy 0.0.0.0, mac 000000000000, nsptn info 40000a53, pmtu 1446
flag 2002800, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin stat

Juniper Firewall Session Analyzer

Von Juniper gibt es noch das Tool FSA „Firewall Session Analyzer“. Hiermit können Reports erstellt werden. Dazu exportiert man alle Sessions von dem VPN Gateway und kann die dann über die Juniper Webseite analysieren lassen. https://tools.juniper.net/fsa/

Die Sessions könnt Ihr auf einen TFTP Server exportieren:
get session > tftp 10.x.x.107 name.txt

Folgende Reports werden erstellt:
Rank based on destination IP address
Rank based on source port
Rank based on source IP address
Rank based on protocol
Rank based on VSD (Virtual System Device)
Rank based on source IP with protocol and destination port information

Wer seine Session nicht zu Juniper hochladen will, kann das auch offline über das Tool „Netscreen Session Analyzer“ NSSA von Tim Eberhard machen. [Download V2.5 beta WIN] nssa

Juniper Netscreen reset (back to factory default)

juniper_logoUm eine Netscreen auf „factory default“ zurück zu setzen benötigt man einen Konsolen Zugriff denn es gehen alle IP Verbindungen verloren. Es wird die Seriennummer des Gerätes benötigt.  Diese steht unten auf dem Gerät oder kann über die CLI abgerufen werden. Die SN dient als login nutzen Sie diese sowohl für den Username als auch für das Passwort. Nach Login folgt die Frage ob Sie das Gerät wirklich zurücksetzen wollen. Nach dem Reset lauten die Logindaten netscreen/netscreen.


ns5xt-> get system | i serial
Serial Number: 0022114340534198, Control Number: 00000000

ns5xt-> exit
login: 0022114340534198
password:
!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n]

Route Summarization (Routenzusammenfassung)

Bei der Routenzusammenfassung geht darum, die Updates die zwischen den Routern gesendet werden möglichst klein zu halten. In diesem Beispiel werden wird die Routen des „Seville“ Routers zusammen fassen.

image

An Seville sind die Subnetze 10.3.4.0, 10.3.5.0,10.3.6.0 und 10.3.7.0 angeschlossen, die alle die Subnetzmaske 255.255.255.0 haben. Als erstes stellen wir alle Subnetzadressen in Binärform da.

00001010 00000011 00000100 00000000 = 10.3.4.0
00001010 00000011 00000101 00000000 = 10.3.5.0
00001010 00000011 00000110 00000000 = 10.3.6.0
00001010 00000011 00000111 00000000 = 10.3.7.0

Jetzt ermitteln wir alle gemeinsamen Bits am Anfang aller Subnetze. Wir sehen das die ersten beiden Oktette in allen vier Subnetzen identisch sind also sind die ersten 16Bit identisch. Die ersten sechst Bits des dritten Oktetts stimmen ebenfalls überein. Das siebte Bit im dritten Oktett weist unterschiedliche Werte auf. Der gemeinsame Anteil der vier Subnetze umfasst die ersten 22 Bits, hier rot dargestellt.

Im nächsten Schritt erstellen wir eine Subnetzadresse für die zusammengefassten Subnetze.
Hier werden die gemeinsamen Bits notiert (ROT) und für die verbleibenden Bits binäre Nullen gesetzt. Sieht wie folgt aus.

00001010 00000011 00000100 00000000 = 10.3.4.0

Jetzt wird die Maske ermittelt. Wir setzten für die gemeinsam genutzten Bits Einsen (rot), für die bleibenden Bits setzen wir Nullen (grün)

11111111 11111111 11111100 00000000 – 255.255.252.0

Jetzt steht unsere zusammengefasste Route fest.

10.3.4.0 /22

Das ganze können wir mit Subnetting überprüfen. Die zusammengefasste Route sollte alle IP-Adressen der vier Subnetze umfassen. Der Adressbereich beginnt bei 10.3.4.0. Die erste gültige Adresse ist 10.3.4.1, die letzte 10.3.7.254. Als Broadcast-Adresse wird die 10.3.7.255 verwendet. Unsere zusammengefasste Route enthalt also alle IP-Adressen der vier zusammengefassten Routen und keine Fremdadressen.

Spanning Tree Protocol (STP IEEE802.1d / RSTP IEEE802.1w)

Spanning Tree Protocol (STP IEEE 802.1d)

Das Spanning Tree Protocol (Schleifenverhinderungsmechanismus) dient zur Vermeidung redundanter Netzpfade (Schleifen) im LAN, speziell in geswitchten Umgebungen. In einem Netzwerk, mit mehreren, untereinander verbundenen Bridges kann es passieren, dass Frames, die zu einer unbekannten MAC geleitet werden sollen, unendlich lange im Kreis laufen.
Funktionsweise: Zur Kommunikation zwischen den Switches wird das Bridge-Protokoll genutzt. Die Bezeichnung Switch ist abgeleitet von Bridge, da Switches die Weiterentwicklung der Bridge sind (Switches werden auch als Multiport-Bridges bezeichnet). Die Pakete dieses Protokolls werden Bridge Protocol Data Unit (BPDU) genannt. Sie werden im Datenfeld eines Ethernet-Datenpaketes (Ethernet-Frame) per Broadcast an die benachbarten Switches versendet.
Zunächst wird unter den Spanning Tree fähigen Bridges im Netz eine sog. Root Bridge gewählt, die die „Chef” des Netzes wird. Dies geschieht, indem alle Bridges ihre Bridge-ID (die jede Bridge besitzt) an eine bestimmte Multicast-Gruppe mitteilen. Die Bridge ID ist 8 Byte lang (2 Bytes Bridge Priority und 6 Bytes MAC Adresse). Die Bridge mit der niedrigsten Priorität wird zur Root Bridge. Sollte die Bridge Priority identisch sein, wird als ergänzendes Kriterium die MAC Adresse der Komponenten benutzt (auch hier gewinnt wieder die Bridge mit der niedrigeren Zahl).
Von der Root Bridge aus werden nun Pfade festgelegt, über die die anderen Bridges im Netz erreichbar sind. Sind redundante Pfade vorhanden, so müssen die dortigen Bridges den entsprechenden Port deaktivieren. Die Pfade, über die kommuniziert werden darf, werden anhand von Pfadkosten bestimmt, die die dortige Bridge übermittelt.
Die Kosten sind abhängig vom Abstand zur Root Bridge und dem zur Verfügung stehenden Uplink zum Ziel. Ein 10 Mbit/s-Uplink hat üblicherweise höhere Pfadkosten als ein 100 Mbit/s-Uplink zum gleichen Ziel, der 10 Mbit Link würde daher als redundanter Pfad geblockt werden. Die Pfadkosten sind nach IEEE-Vorgaben genormt, können aber manuell abweichend festgelegt werden, beispielsweise um bei gleicher Geschwindigkeit einen bevorzugten Uplink auszuwählen, um so die reellen Kosten von Standleitungen widerzuspiegeln. Auf diese Weise ist jedes Teilnetz im geswitchten LAN nur noch über eine einzige, die Designated Bridge, erreichbar. In der grafischen Darstellung ergibt sich ein Baum aus Netzpfaden, der dem Algorithmus sowie dem Protokoll seinen Namen gab.
Die Root Bridge teilt den in der Hierarchie eine Stufe unterhalb liegenden Designated Bridges im Abstand von zwei Sekunden mit, dass sie noch da ist, woraufhin die empfangende Designated Bridge ebenfalls an nachfolgende Bridges die entsprechende Information senden darf. Wenn diese Hello-Pakete ausbleiben, hat sich folglich an der Topologie des Netzes etwas geändert, und das Netz muss sich reorganisieren. Diese Neuberechnung des Baumes dauert im schlimmsten Fall bis zu 30 Sekunden. Während dieser Zeit dürfen die Spanning-Tree fähigen Bridges außer Spanning-Tree-Informationen keine Pakete im Netz weiterleiten. Dies ist einer der größten Kritikpunkte am klassischen Spanning Tree Protokoll, da es möglich ist, mit gefälschten Spanning-Tree-Paketen eine Topologieänderung zu signalisieren und das gesamte Netz für bis zu 30 Sekunden lahmzulegen. Um diesen potenziellen Sicherheitsmangel zu beheben, aber auch um bei echten Topologieänderungen das Netz schnell wieder in einen benutzbaren Zustand zu bringen, wurden schon früh von verschiedenen Herstellern Verbesserungen an der Implementierung des Spanning Tree Protokolls bzw. der dazu verwendeten Algorithmen entwickelt. Eine davon, das Rapid Spanning Tree Protocol (RSTP), ist inzwischen zum offiziellen IEEE-Standard 802.1w geworden.


STP Port Modi
-Listening – Lauscht auf Hello Nachrichten. Es werden keine MAC gelernt. Zwischending zwischen blocking und forwarding
-Learning – Lauscht ebenfalls auf BPDUs, lernt MACs, leitet aber nicht weiter.
-Disabled – Port ist down

Optionale STP Features

Etherchannel
Etherchannel Verbindungen werden als einzelner Link betrachtet und können aus zwei bis 8 Verbindungen zwischen zwei Switches bestehen. Dadurch erhöht sich die Bandbreite und die Anzahl paralleler Verbindungen wird reduziert. Diese Verbindungen werden Trunks genannt. Alle Trunks sind im Etherchannel entweder im forwarding oder im blocking modus

PortFast
PortFast versetzt einen Port, direkt nach dem aktivieren in den forwarding Modus. Da dies auf Ports, an denen Bridges hängen wenig Sinn macht, wird PortFast nur für die Ports aktiviert, an denen PCs, bzw. andere End-Geräte angeschlossen sind. Sie können eine Sicherung aktivieren, die PortFast deaktiviert, sobald ein BPDU eingeht.

Spanning-Tree
Protokoll zum verhindern von Schleifen in geswitchten Netzwerken
STP setzt die Ports entweder in einen FORWARD oder in einen BLOCKING Zustand
FORWARD -> ist Teil des Spanning-Trees -> sendet und empfängt Frames
BLOCKING -> sendet keine Frames und ignoriert eingehende Frames


STP verursacht, dass Frames längere Wege zurücklegen müssen
großer Vorteil ist aber es entstehen keine Schleifen

Funktionsweise STP
-Spanning-Tree-Algorithmus erstellt eine Baumstruktur, in der es immer nur einen Weg zu einem Segment (Kollisionsdomain) gibt
-Da es nur einen Weg gibt, gibt es keine Schleifen
-Es werden nur die Ports in den Spanning-Tree aufgenommen, die gebraucht werden (FORWARD), alle Anderen werden auf BLOCKING gesetzt.
-Es gibt 3 Kriterien, wann ein Port auf FORWARD steht
-STP wählt eine Root-Bridge (alle Ports auf FORWARD)
D-er Port an den Non-Root-Bridges mit den geringsten administrativen Kosten zur Root-Bridge wird Root-Port (FORWARD)
-Der Port zu einem Segment mit den geringsten administrativen Kosten zur Root-Bridge wird Designated-Port genannt (FORWARD)
-Alle anderen Ports werden auf BLOCKING gesetzt

Administrative Kosten (IEEE)

Ethernet Speed Original Kosten Geänderte Kosten
10 MBit/s 100 100
100 MBit/s 10 19
1 GBit/s 1 4
10 GBit/s 1 2

Diese Werte können auch pro Port verändert werden

Rapid Spanning Tree (RSTP IEEE 802.1w)

-RSTP funktioniert ähnlich wie STP
-Root Bridge wird gewählt (selbe Bedingungen)
-Root Ports werden definiert
-Designated Ports werden definiert
-forwarding oder blocking Modus (blocking heißt hier discarding)
RSTP bezeichnet Verbindungen zwischen Switches als link Type und Verbindungen zu Endgeräten als edge Type. Ist ein Gerät direkt angeschlossen, (z.B. PC an Switch) bezeichnet RSTP dies als Point to Point (Full Duplex!!) Verbindung (In diesem Fall edge type pt-pt). Hängen mehrere Geräte (z.B. Hub zwischen PCs und Switch) wird diese als shared bezeichnet (z.B. link Type shared – Hub an Switch).RSTP reduziert die Konvergenzzeit für link Type pt-pt und edge Type pt-pt.

Im discarding Modus werden sämtliche Frames geblockt, außer BPDUs. Der Zeitraum für den learning mode ist bei RSTP kürzer.

Zusätzliche Port Funktionen

Backup Port
Diese Funktion kann nur genutzt werden, wenn ein Switch zwei Verbindungen in ein Netzwerksegment besitzt, also an einem Hub angeschlossen ist. Port 1 sendet BPDUs, welche auf Port 2 ankommen, und trotz dicarding mode angenommen werden. Der Switch weiß nun, dass zwei Verbindungen in dieses Segment bestehen und markiert Port 2 als Backup Port, zu dem bei Ausfall von Port 1, sofort gewechselt werden kann.

RSTP alternate port
RSTP definiert zusätzlich zum root port einen alternativen Port. Dieser Port wird bestimmt, durch die Kosten zur root Bridge. Der „billigste“ Port wird root port und der Zweitplatzierte alternate Port. Sollte der root port ausfallen, wird in kürzester Zeit zum alternate port umgeschaltet, damit wieder Konvergenz hergestellt werden kann.

Cisco Switches nutzen grundsätzlich STP, verhindern automatisch Schleifen, ohne, dass Sie sich um Einstellungen kümmern müssten! Sie können allerdings Änderungen am STP vornehmen, wenn Sie z.B. andere Parameter für Ihr VLAN nutzen wollen.

Befehle (Cisco)

Switch# show spanning-tree zeigt Root-Bridge ID und Eigene-ID

zeigt die Timereinstellungen

zeigt den derzeitigen Portstatus (FWD;BLK)

Switch# show spanning-tree detail Zeigt Infos zu Spanning-Tree pro Interface
Switch# terminal monitor Aktiviert die Ausgabe von Debug-Meldungen
Switch# debug spanning-tree events Gibt Statusmeldungen aus, wenn die STP Topologie geändert wird
Switch(config-if)# spanning-tree cost 2 Ändert die Kosten eines Interfaces
Switch(config)#
spanning-tree vlan 1 root primary
Die Bridge/Switch wird Root-Bridge

(die Priorität wird automatisch verringert)

EtherChannel

Switch(config-if)#

channel-group 1 mode on

Fügt das Interface dem Port-Channel hinzu

(EtherChannels wird als Po1 dargestellt)

Switch# show etherchannel 1 summary Zeigt den Status über den EtherChannel an.

welche Ports sind in dem EtherChannel

PortFast

Switch(config-if)#

switchport mode access

FastPort kann nur für Access-Link aktiviert werden
Switch(config-if)# spanning-tree portfast Aktiviert PortFast für dieses Interface

VLAN – Trunking – VTP

VLAN

VLAN (Virtual LAN) bezeichnet die logische Trennung von Subnetzen innerhalb eines physikalischen Gerätes (meist Switch). Hierbei werden die Frames (Layer 2 Daten) durch das „taggen“ den jeweiligen VLANs zugeordnet. Ausnahme bildet das sog. „native VLAN“. Dieses VLAN wird als einziges nicht markiert. Es muss also auf beiden Seiten des Trunks definiert sein, welches VLAN das native VLAN ist (Standard VLAN 1) und kann für jeden Trunk anders konfiguriert werden.
Da jedes Interface einem einzigen VLAN zugeordnet werden muss (Es sei denn es ist ein Trunkport) wird beim Verlassen des Interfaces die Markierung entfernt, da das Endgerät mit den VLAN Informationen nichts anfangen kann.

Ein Virtual LAN ist im Grunde genommen eine Broadcast-domain. Jeder Port an einem Switch ist eine Kollisionsdomäne, aber alle Ports befinden sich in einer Broadcastdomäne. Würde jeder Port ein eigenes VLAN nutzen, wäre jeder Port sowohl Kollisions-, als Broadcastdomäne.

Sie können auf einem Switch Broadcastdomänen trennen, in dem Sie VLANs definieren und den Ports das entsprechende VLAN zuordnen.

Warum VLAN?
Zusammenfassen in Arbeitsgruppen, oder Abteilungen wird vereinfacht. Entfernungen zwischen Gruppenmitgliedern spielen keine Rolle.
Overhead wird reduziert, da Broadcastdomänen kleiner sind.
Höhere Sicherheit: Wichtige Endgeräte (Server mit Kontodaten) in eigenes VLAN
Traffic aufteilen (z.B. IP Phones in anderes VLAN als PCs)

Einrichten von VLAN

Variante 1
Sie teilen dem Switch einfach mit: Interface 0/1 ist im VLAN 1
Sie benötigen keine Kenntnis der MAC des Gerätes, welches an den Port angeschlossen wird, allerdings sollten Sie eine gute Dokumentation schreiben, um sicher zu gehen, dass Sie die richtigen Geräte mit den richtigen Ports verbinden.

Befehle:

#enable
#vlan database
#vlan 4 name Testlan
#exit
#configure terminal
#interface fastethernet 0/7    oder mehrere     interface range fastethernet 0/9 – 11
#switchport mode access
#switchport access vlan 4
Variante 2
Fast gar nicht genutzt!
Sie lesen die MAC jedes Gerätes aus und weisen MAC Adressen den VLANs zu. Der Vorteil ist, dass Sie mit dem Gerät umziehen können und in Ihrem VLAN bleiben. Der Nachteil ist: Lesen Sie in einer Firma mit 120 PCs, 15 Printservern, 120 IP Phones und weiteren 20 Netzwerkgeräten, die MAC Adressen aus. Viel Spaß! 😉

Trunking

Als trunking wird das verbinden von zwei Switches bezeichnet. Wenn VLANs genutzt werden, bekommen die Frames eine zusätzliche Markierung, die die VLAN Zugehörigkeit definiert. So weiß jeder Switch im Netz, wohin das Frame gehört, bzw. auf welchen Ports der Broadcast raus darf.

Trunking Protokolle

Cisco ISL
Proprietäres Trunking Protokoll von Cisco und kann zwischen zwei Cisco Switches laufen.
ISL verkapselt das Frame vollständig mit Header und Trailer. Im ISL Header finden sich Felder die VLAN und BPDU Informationen enthalten. Außerdem werden im ISL Header die Quell- und Ziel MAC der beiden Switches eingetragen.

IEEE 802.1q
Trunking Protokoll, welches auch zwischen Cisco und Nicht-Cisco Switches läuft. Das Frame wird nicht verkapselt, es wird dem Ethernet Header nur ein 4 Byte Header hinzugefügt und der Trailer wird neu berechnet. Im Header wird nur die Priorität und die VLAN-ID eingetragen.

Damit ein Trunk geformt werden kann, müssen die Ports in den Trunk Mode versetzt werden, bzw. so konfiguriert sein, dass Trunking in Frage kommt. Wenn beide Ports eines Switches auf switchport mode dynamic auto oder switchport mode access (access verhindert trunking komplett) eingestellt sind, wird sich nie ein Trunk formen, da kein Switch im Auto Modus Trunking vorschlägt. Ist ein am Trunk beteiligter Port im switchport mode Trunk oder switchport mode dynamic desirable, wird ein Trunk zwischen den beiden Ports geformt, selbst wenn der andere Port auf auto steht.

Befehle:

#enable
#configure terminal
#interface fastethernet 0/7    oder mehrere     interface range fastethernet 0/9 – 11
#switchport mode dynamic desirable

Das gleiche auf dem entfernten Switch, mit den entsprechenden Portnummern

VLAN Trunking Protokoll – VTP

Cisco Switches nutzen VTP (Cisco Proprietär) um VLAN Konfigurationsinformationen auszutauschen.
So brauchen Sie Ihr VLAN 3 nur auf einem Switch umbenennen, VTP verteilt den neuen Namen. VTP verteilt VLAN Informationen mit Hilfe von Broadcasts. Diese gehen alle 5 Minuten, oder bei Veränderungen vom VTP Server Switch aus. VTP Server wird der Switch, auf dem das VLAN erstellt wurde. Bei jeder Änderung, sendet VTP die neue Konfiguration an alle angeschlossenen Switches. Jedes Update enthält eine Revisionsnummer, die bei jeder Änderung, vor dem Senden um 1 erhöht wird. Empfängt ein Switch ein Update mit höherer Revisionsnummer, überträgt er die VLAN Informationen.

VTP kennt drei Operationsmodi

Server Mode
VTP Server können VLANs erstellen, entfernen oder modifizieren und konfigurieren. Dies müssen Sie sämtlichen VTP Servern und Clients mitteilen. Sie speichern diese Informationen im VRAM.

Client Mode
Ein Client kann keinerlei Änderungen an der VLAN Konfiguration vornehmen. Die Konfigurationsinformationen werden auch nicht gespeichert.
Wozu dann ein Client? Richten Sie mal 30 VLANs auf 17 Switches ohne VTP ein!

Transparent Mode
Hier werden die VTP Informationen zwar weitergeleitet (forward) aber nicht verarbeitet. Im Transparenten Modus gehört der Switch nicht der VTP Domäne an. Speichert aber die VLAN Konfiguration im NVRAM. Es können Änderungen an den VLANs vorgenommen werden, diese werden jedoch nicht bekannt gegeben.

VTP Pruning (VTP Einschränkung)

VTP pruning verhindert, dass Switches, die keine Ports in ein bestimmtes VLAN haben, auch keine Broadcasts für das VLAN empfangen.

Befehle:

#enable
#vlan database
#vtp domain LANTest
#vtp password password
#vtp pruning
#exit

Folgendes Kommando fügt alle VLANs außer 40 – 50 zum Pruning hinzu

Switch(config-if)#switchport trunk pruning vlan except 40-50

Multisubnetzanbindung über Trunks

Trunks
Als Trunk wird eine Verbindung zwischen zwei link-type Geräten (Switch-Switch / Switch-Router) bezeichnet, über die mehr als ein VLAN läuft. Die Interfaces von Switches müssen in den Trunk Modus versetzt werden bzw. in den „dynamic desirable“ Modus. In der Regel laufen über einen Trunk alle angelegten VLANs, es kann jedoch definiert werden, welche VLAN Informationen über den Trunk laufen dürfen. Das Trunkingprotokoll 802.1Q (dot1Q) ist inzwischen Standard, es setzt die VLAN Informationen zwischen dem Ethernet-Header und den Daten ein.

Befehle (Cisco):

VLAN

Switch# vlan database Wechselt in den

VLAN CONFIGURATION MODE

Switch(vlan)#vlan 2 name test Erstellt VLAN 2 mit dem Namen test
Switch(vlan)#exit Speichert die VLAN Einstellungen und verlässt den VLAN Mode
Switch(config)# vlan 2 Erstellt VLAN 2
Switch(config-vlan)# name test Vergibt den Namen test an VLAN 2
Switch(vlan)# no vlan 2 Löscht ein VLAN
Switch(config)# no vlan 2 Löscht ein VLAN
Switch# show vlan Zeigt Infos über die VLANs
Switch(vlan)#vtp server

client

transparent

wechselt den VTP Mode
Switch(vlan)# vtp domain ccna_kurs Ändert die VTP Domain
Switch# vtp status zeigt Überblick über die VTP Einstellungen

Trunking

Switch(config-if)#

switchport mode trunk

dynamic desirable

dynamic auto

Trunk erstellen
Switch# show interface f0/23 trunk zeigt Infos über den Trunk an (ISL – 802.1Q)

access -> kein Trunking
trunk -> immer Trunking
dynamic desirable -> wird Trunking,wenn Gegenseite trunk, dynamic desirable, dynamic auto
dynamic auto -> wird Trunking wenn Gegenseite trunk, dynamic desirable

Routing

Routing

Eine Route ist eine Information, die einem Gerät sagt (Router), wie es ein Paket in ein bestimmtes
Ziel – Sub netz senden kann. Generell hat das Internet Protokoll die Aufgabe, die Datenübertragung zwischen Netzwerken sicherzustellen. Der Sender eines Datenpakets kennt dabei zwar die Zieladresse, nicht aber den Weg dorthin. Jede Station auf dem Weg zum Empfänger muss eine Entscheidung über die Wahl des weiteren Weges fällen. Dieser Vorgang wird als Routing bezeichnet. Im Netzwerk wird das Routing auf der IP-Schicht durchgeführt. Im ISO/OSI-Modell ist Routing eine der wesentlichen Aufgaben der dritten Schicht.
Frames, die der Router empfängt werden „ausgepackt“, so dass ein Packet übrig bleibt. Der Router liest Quell- und Zieladresse aus dem IP Header, gleicht diese mit seiner Routing-Tabelle ab und weiß anhand dieser Informationen, wohin das Datenpaket geschickt werden soll. Je nach Port, wird das Packet wieder „eingepackt“, in den neuen Header kommen die Quell- und Zielinformationen (z.B. MAC), und  werden weiter verschickt. Dieser Schritt wird so oft wiederholt, bis die Daten an Ihrem Bestimmungsort angekommen sind.

Beispiel:
PC1 möchte Daten an PC2 senden. Die PCs sind durch drei Router getrennt.
PC1 packt ein Datenpäckchen. Mit einem Ethernet Header und Trailer versehen wird das Frame an R1 geschickt.

R1 entfernt Header und Trailer des Frames, liest aus dem Packet die Quell- und Ziel IP und konsultiert seine Routing Tabelle. Aus der Tabelle erkennt der Router, dass er das Packet über die Schnittstelle S1 an R2 weiterleiten muss. Es wird ein HDLC Header und Trailer für das Packet generiert, hier werden die Zieldaten eingetragen (1 Byte im Header*). *Bei einer Point to Point HDLC Verbindung ist die Zieladresse nicht wirklich nötig, da es keine anderen Empfänger gibt, daher nur ein Byte! *

R2 entfernt HDLC Header und Trailer und entscheidet ebenfalls anhand der RT, über welches Interface das Packet weitergeleitet werden soll. Da die Verbindung zu R3 über Frame Relay realisiert ist, verkapselt R2 das Packet mit einem Frame Relay Header und Trailer. Im Header wird der DLCI des VC eingetragen.

R3 entfernt ebenfalls FR Header und Trailer. Wieder wird die Ziel IP überprüft und dem Packet werden Ethernet Header und Trailer (Quell- und Ziel MAC) angehangen und das Frame an PC2 weitergeleitet.

Ziele eines Routing Protokolls

-lernen von Routen in alle verfügbaren Netze des Netzwerks und füllen der Routing Tabelle
-die beste Route auswählen, falls mehr als eine Route zum Ziel führt
-bemerken, wenn Routen ungültig werden und diese aus der Tabelle entfernen
-eine Ersatzroute, sofern vorhanden, für die ungültige Route in die Tabelle eintragen
-für neue oder zu ersetzende Routen, so schnell wie möglich, die bestmögliche Route eintragen. Zeit zwischen verlieren einer Route und ersetzen durch neue Route wird Konvergenz Zeit (convergence time) genannt.
-verhindern von Schleifen

Routing Protokolle

Ein Routing-Protokoll ist ein Mechanismus für das dynamische Entdecken der Pfade für
Datenpakete durch das Netzwerk. Routing-Protokolle ermöglichen Routern die Kommunikation mit anderen Routern zum Zweck der Aktualisierung der Tabellen. Beispiele für TCP/IP-Routing-Protokolle sind RIP (Routing Information Protocol), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced IGRP) und OSPF (Open Shortest Path First). Ein routed protocol ist ein OSI Layer 3 entsprechendes Protokoll, welches für logische Adressierung und Routing zuständig ist. Network Layer Pakets können gerouted werden (IP, IPX..). Der Begriff Routing type bezieht sich auf die Art des genutzten Routing Protokolls. (distance vector / link-state).


Statische Routen

Statische Routen werden meist in kleineren, sehr Übersichtlichen Netzwerken eingetragen, da sie weniger Aufwand machen, als die Konfiguration von RPs.
Es gibt zwei Möglichkeiten statische Routen einzutragen:

a) ip route 10.1.2.0 255.255.255.0 10.1.128.252
b) ip route 10.1.3.0 255.255.255.0 serial0

Es wird entweder die IP des Zielinterface angegeben. Bei einer Point to Point Verbindung kann die IP des Zielinterface auch weggelassen werden, schließlich gibt es nur das Ziel am anderen Ende der Leitung.

Interne Routing Protokolle

Interne Routing Protokolle sind für das neue LAN mit dem neuen Sub netz verantwortlich. Sie sorgen dafür, dass die Routen des neuen Netzes so schnell wie möglich zur Verfügung stehen, so dass die Datenpakete eines externen RPs Ihr Ziel erreichen können.

Interne RPs haben einige Merkmale, an denen man sie unterscheiden kann:

Art des RPs:            distance vector / link-state / hybrid

Volle / Partielle Updates:    Volles Update – die gesamte Routing Tabelle wird regelmäßig versandt
Partielles UD – Änderungen werden übertragen. Weniger Overhead.

Konvergenz:            Zeit die das RP braucht um auf Routen Änderungen zu reagieren

Metrik:                Zahlenwert – je geringer der Wert, desto besser die Route

VLSM                variable length subnet mask – mehrere Sub netze innerhalb eines
Klasse A, B oder C Netzwerks

Classless/Classfull:        Classless RPs übertragen die Subnetzmaske im Routing Update
Classfull RPs nicht. Daraus folgt das Classless RPs VLSM unterstützen.

Distance Vector Protokolle: RIP und IGRP

Distance vector Protokolle übertragen in Ihren Updates das Sub Netz und die Metrik (z.B. 10.0.0.0 / 1 ).
Router, die das Update empfangen tragen Einträge nur in Ihre Routing Tabelle ein, sofern unbekannte oder Routen mit besserer Metrik enthalten sind.
Die Updates werden über sämtliche Interfaces versandt, nach Möglichkeit mit Hilfe von Broad- oder Multicasts, und enthalten sowohl die direkt angeschlossenen Netzwerke, als auch gelernte Routen. Router die distance vector Protokolle nutzen lauschen auf Updates Ihrer Nachbarn um neue Routen zu lernen. Die Updates werden periodisch übertragen, so dass ein Ausbleiben eines Updates über einen bestimmten Zeitraum dazu führt, dass Routen die von diesem Nachbar gelernt wurden aus der Routing Tabelle entfernt werden. Routen die von Router X empfangen wurden, bekommen Router X als next hop eingetragen.

RIP 1- Routing Information Protocol
Beim Starten eines Routers kennt dieser nur seine direkt angeschlossenen Netzwerke und sendet diese Routingtabelle an die benachbarten Router. Mit diesen Informationen ergänzt dieser Router seine Routingtabelle und lernt somit, welche Netzwerke jeweils über welchen Router aus erreicht werden können und welche Kosten damit verbunden sind. Um Änderungen im Netzwerk (Ausfall oder Start eines Routers) zu erkennen, wird das Senden der Routingtabellen regelmäßig (alle 30 Sekunden) wiederholt, dabei wird immer die gesamte Routingtabelle an alle Nachbarn gesendet.

-distance vector
-hop count (Anzahl der Hops) dient als Metrik
-Volle Updates alle 30 sek
-Konvergenz 3 bis 5 Min
-Classfull

Die Infinite Metric Value ist 16 Hops

RIP V2
Rip V2 arbeitet genauso wie RIP1, doch hier werden die Subnetzmasken (dadurch CIDR-fähig), Multicast und Authentifikation mit übermittelt.

-überträgt Subnet Mask also Classless (VLSM)
-verfügt über Update Authentifikation
-Update enthält eine Next-Hop IP
-Multicast Updates anstelle der Broadcasts

Ansonsten arbeitet RIP V2 wie RIP.

IGRP – Interior Gateway Routing Protocol

IGRP zählt nicht nur die Hops zum Ziel, die Bandbreite der Verbindungen und die Verzögerung (delay) werden in die Metrik mit einbezogen. Delay addiert die Anzahl der genutzten Ports auf dem Weg. Die Formel zur Errechnung der Metrik ist komplex und nicht Prüfungsrelevant, aus den Eingangswerten (Bandbreite & Delay) ergibt sich ein Wert zwischen 1 und 4294967295. Ein Weg über zwei Router  (R1 -> R3 -> R2) die mit jeweils 100 Mbps verbunden sind, wird dem Weg  über einen Router der mit 56kbps verbunden ist (R1 -> R2) aufgrund der höheren Bandbreite vorgezogen.

-Update Periode 90 sek
-Metrik enthält Bandbreite und Delay; Zuverlässigkeit, MTU und Last können enthalten sein
-Classfull
-Infinite Metric 4294967295
-Konvergenz: Langsam (1 min)

Distance Vector Schleifenverhinderungsmechanismen

Zu den Zielen jedes RPs gehört es Schleifen zu verhindern und ausgefallene Routen durch Brauchbare zu ersetzen. Distance vector Protokolle haben unterschiedlichste Mechanismen für die auftretenden Probleme in Netzwerken.
Hierzu zählen:
Route Poisoning
Damit zusammengebrochene Routen tatsächlich als unbrauchbar im gesamten Netz bekannt werden, werden Sie von dem Router, der dies Feststellt in seinem nächsten Update mit der infinite metric versehen. so erfahren die Nachbarn, dass die Route unbrauchbar ist und können das in Ihren Updates weiterverbreiten.
Split Horizon
Da es vorkommen kann, dass Router Ihre Updates Zeitgleich versenden, könnte es passieren, dass R1 an R2 sendet: Das Netz 10.1.1.0 ist nicht erreichbar! Zeitgleich sendet R2 an R1: Ich habe eine gültige Route ins 10.1.1.0 Netz über R1! R2 weiß jetzt, das die Route ins Netz down ist, doch R1 denkt, dass er das Netz über die von R2 gelernte Route erreichen kann. Damit das nicht passiert wird beim Split Horizon folgendes Angewandt:
Alle Routen, die Interface X als Ausgang nutzen, werden nicht ins Update, welches über Interface X geht eingetragen.

Split Horizon with Poison Reverse (Poison reverse)
Solange das Netzwerk funktioniert und alle Routen up and up sind, verhält sich Poison Reverse wie Split Horizon. Tritt eine Störung auf verhält es sich folgendermaßen:
Es werden im Update Routen eingetragen, welche Interface X verwenden und down sind, mit infinite metric zurückgesandt. Also Split Horizon deaktiviert und die Route „vergiftet“!

Holddown Timer
Die Verbindung zu 10.1.1.0 bricht zusammen (jemand sollte das Kabel checken!)R1 schickt diese Information in seinem Update. Zeitgleich sendet aber R2 seine Updates. R2 lernt, dass die Route ins 10.1.1.0 Netz down ist. R3 lernt von R1, dass diese Route down ist, Zeitgleich hört er jedoch, dass die Route mit einem Hop Count von 2 erreichbar ist und entscheidet sich, gemäß der globalen Ziele aller RPs, für die Route mit dem Hop Count von 2. Er sendet in seinem nächsten Update diese Information an R1, der die Route mit einem Hop Count von 3 einträgt. Die führt zu einem count to infinity, trotz Split Horizon. Ein Holddown Timer sorgt dafür, dass sobald die Information, dass eine Route down ist, rein kommt, alle Informationen bezüglich dieser Route ignoriert werden und verhindert so den Count to Infinity.

Triggered (flash) Updates
Da Updates nur zu festen Zeiten versandt werden, kann es u.U. sehr lange dauern, bis sämtliche Router wissen, dass eine Route down ist. Triggered Updates (auch Flash Updates genannt) werden verschickt, sobald Änderungen auftreten.

RIP
-Update Timer 30 sek
-Hold-Down Timer 180 sek
-Triggered Updates
-Infinite-Metric 16

IGRP
-Updates Timer 90 sek
-Hold-Down Timer 280 sek
-Triggered Updates
-Infinite-Metric 4294967295

Befehle (Cisco)
R1 (config)# router rip
R1 (config)# router igrp    as-nummer    autonomous system (as) router mit derselben
R1 (config-router)# network 10.1.1.0        as arbeiten zusammen
R1 (config-router)# network 10.1.128.0    Die Befehle sind bei RIP & IGRP Identisch
R1 (config-router)# network 10.1.130.0
R1 # show ip route     zeigt die Routing Tabelle

Link-State Protokolle – OSPF und IS-IS
Kernstück von OSPF ist die Nachbarschafts-Datenbank, sie spiegelt die Topologie des Netzes wider. Um den Umfang der auszutauschenden Informationen gering zu halten, wählen OSPF-Router einen designierten Router DR sowie einen Reserve-Router BDR (Backup Designated Router), die als Schnittstellen für den Austausch dienen, das heißt, wenn in einem Netzwerk 10 Router sind (R7 ist der DR), tauschen sämtliche Router nur Updates mit R7 aus, und nicht mehr untereinander. Der OSPF-Router, dessen MAC-Adresse die höchste Router-Priorität besitzt, wird DR. Haben zwei Router die gleiche Priorität, wird der Router mit der höheren Router-ID gewählt.
-design fähig
-schnell
-CPU lastig

Während distance vector Protokolle kaum Topologie Informationen versenden – sie kennen Ihren Nachbarn ja nur, wenn er ein Update versandt hat – erarbeiten sich link-state Protokolle mit Hilfe CPU lastiger Berechnungen und umfangreicher Updates ein genaues Bild der Netzwerktopologie. Sie entdecken Ihre Nachbarn meist noch bevor man sich bemüht Updates auszutauschen. Diese Topologie Informationen und der Djikstra SPF Algorithmus verhindern Schleifen und führen zu einer schnellen Konvergenz(meist weniger als 10 sek).
-VLSM Unterstützung
-Sendet Hello Nachrichten in kurzem Intervall (Hello Intervall) an die Nachbarn
-Partielle Updates, bei Routen Änderungen.
-Volle Updates alle 30 Min

Bevor die Nachbarn gesucht werden, bestimmt jeder OSPF Router seine RID (Router-ID), dies geschieht während das IOS startet. Die Router-ID ist die höchste IP-Adresse eines Loopback Interfaces. Sollte kein Loopback Interface definiert worden sein, wird die höchste IP-Adresse eines Interfaces im Status UP UP genommen.

Danach beginnt die Suche nach Nachbarn mit Hello Paketen. In einem OPSF Hello Paket werden Informationen über:
-Subnet Mask
-Subnet Nummer
-Hello & Dead Intervall
-OSPF Area ID
ausgetauscht. Nur wenn diese Werte bei benachbarten Routern übereinstimmen, werden diese Nachbarn. Sobald sämtliche Topologie Informationen mit den Nachbarn ausgetauscht werden, wechselt der Router seinen Status zu Full. Ein Router kann mehrere Nachbarn mit dem Status Full haben, doch nur einer wird ein fully adjacent neighbor (vollständig angrenzender Nachbar).

Overhead Reduzieren mit Designated Routers

In größeren Netzwerken ist Overhead immer ein Problem. Um den Overhead bei den OSPF Updates zu minimieren, werden von OSPF designated router gewählt, die für die Aktualisierung und Verbreitung der Updates zuständig sind. Das bedeutet, dass in einem Netzwerk mit 10 Routern (R7 ist der DR) tauschen sämtliche Router nur Updates mit R7 aus, nicht auch noch untereinander.

Die Wahl zum DR gewinnt der Router mit der höchsten  OSPF Priorität, falls hier ein gleichstand erzielt wird, gilt die höhere RID. Der zweitplazierte Router wird meist der BDR. Die OSPF Priorität nimmt Werte zwischen 1 und 255 an. Sollte der Wert 0 betragen, kann der Router nie DR werden.

Datenübertragung

OSPF sendet, mit Hilfe eines zuverlässigen Protokolls, LSUs (link-state updates), DDs (Database Description) und LSAs (link-state advertisements) an die Nachbarn. Diese Pakete enthalten Topologie Informationen. Diese Informationen werden verarbeitet (Djikstra) und die daraus resultierenden besten Routen werden in die Routing Tabelle übernommen.

Bei der Konfiguration von OSPF als Routing Protokoll wird eine Prozess ID vergeben. Auf einem Router können mehrere Instanzen von OSPF laufen und mit Hilfe der ID können Sie unterschieden werden.
Netzwerkskalierung mit Areas

Ein Netzwerk, bestehend aus 9 Routern erfordert eine größere Datenbank auf jedem einzelnen Router als ein Netzwerk, unterteilt in 2 Areas. Der Area Border Router (ABR) muss als einziger Router die gesamte Topologie Tabelle sichern, er verbindet die Areas miteinander. Die Router in den einzelnen Areas müssen nichts von der Topologie der anderen Area wissen, außer dem Zugang dazu.

R1 (config)# router ospf prozess-id
R1 (config-router)# network 10.1.1.0 0.0.0.255 area 0    Die Wildcard Mask ist
R1 (config-router)# network 10.1.128.0 0.0.0.255 area 0    die invertierte SM
R1 (config-router)# network 10.1.130.0 0.0.0.255 area 0    und zeigt OSPF an,
welcher Teil der IP    statisch ist.

IS – IS  – Intermediate System to Intermediate System

IS – IS beherrschte nur das Routing von CNLP (Connectionless Network Protocol) zu CNLP. CNLP ist ein OSI Network Layer Protokoll, welches inzwischen kaum noch Verwendung findet. Aus IS – IS hat sich Integrated IS -IS entwickelt. Integrated IS – IS beherrscht auch das Routen von IP Paketen.
OSPF ähnlich
Volle Updates alle 15 Minuten

Balanced Hybrid Protokoll EIGRP – Enhanced IGRP (Cisco – proprietär)
Balanced Hybrid Protokolle unterscheiden sich von distance vector und link-state Protokollen, obwohl sie einige Eigenschaften von beiden in sich vereinen. Durch die Nutzung des Diffusing Update Algorithm (DUAL) überträgt EIGRP mehr Topologie Informationen als distance vector Protokolle, aber weniger als link-state Protokolle. EIGRP errechnet nicht nur die beste Route in ein Netz, sondern legt sich eine Alternativ-Route zurecht, sollte die Beste ausfallen. Diese wird feasible successor (möglicher Nachfolger) route genannt. Sollte also die beste Route ausfallen, steht sofort eine neue Route zur Verfügung.

EIGRP konvergiert sehr schnell, meist sogar noch schneller als OSPF. Zudem fallen hierbei
einige Nachteile von OSPF weg. So erfordert EIGRP erheblich weniger Verarbeitungszeit,
wesentlich weniger Speicher. Der einzige Nachteil ist, EIGRP ist ein proprietäres Cisco-Protokoll.

-Konvergenz in weniger als 3 sek
-Entdeckt Nachbarn noch vor Update-Austausch
-Geringer Planungsaufwand des Netzwerks
-Cisco Proprietär
-Metrik wie IGRP x 256
-Partielle Updates
-Baut, zusätzlich zur RT, Topologie Tabellen

Externe Routing Protokolle

Externe Routing Protokolle kümmern sich um die weltweite Vernetzung, ein neues LAN mit einem neuen Sub netz kümmert sie nicht. Die Routing Tabellen eines externen RPs enthalten, trotz intensiver Anstrengungen die Größe gering zu halten, meist mehr als 100000 Routen in die Netzwerke der Kunden, wo sie von internen RPs weitergeleitet werden.

BGP – Border Gateway Protocol

BGP wird von ISPs genutzt um den Datenaustausch mit Ihren Netzen, den Netzen der Mitbewerber und denen der Kunden zu realisieren. Das BGP führt das Routing zwischen unterschiedlichsten Netzen, jedes mit eigenem Routing Protokoll, durch. Aufgrund dieser Eigenschaft wird als externes Routing Protokoll bezeichnet. Es wird keine Metrik genutzt, da BGP über eine Vielzahl von Alternativ-Routen verfügt. Diese Alternativen werden Policies genannt. Die „Wertigkeit“ dieser Policies entsteht z.B. aus dem Verhältnis zweier ISPs.

Switching

Switching

Da sich Bridges und Switches nur durch die Anzahl der Ports und Prozessorgeschwindigkeit unterscheiden (Switches sind gedopte Bridges), wird hier nicht zwischen beiden unterschieden. Die Logik, die genutzt wird, und auch die Arbeitsweise ist bei beiden Identisch.

Ein Netzwerk, bestehend aus 4 PCs an einem Hub, teilt sich die Geschwindigkeit, denn wenn die PCs gleichzeitig senden, treten Kollisionen auf, wodurch Wartezeiten entstehen. Teilt man das Netz auf, verbindet je 2 PCs mit einem Hub und die Hubs mit Hilfe einer Bridge, verdoppelt sich zwar die Anzahl der Kollisionsdomänen, aber da nur noch zwei PCs in einer KD sind, steigt die effektive Bandbreite.
Bridges nutzen einen Puffer, um Pakete im Speicher behalten zu können, sollte das angeschlossene Netzwerksegment in Benutzung sein.
Transparentes bridging ist die Bezeichnung dafür, dass angeschlossene Geräte keine Kenntnis von der Bridge haben und weder Ihre Anwesenheit, noch Ihr Fehlen bemerken.
Transparente Bridges leiten Frames weiter, sofern dies nötig ist und verwerfen diese, wenn Weiterleitung unnötig/unmöglich ist, um Overhead zu reduzieren. Um dies Effektiv realisieren zu können, folgen Sie folgenden Schema:
MAC Adressen werden von eingehenden Frames gelernt.
Anhand der Ziel MAC wird entschieden ob forward oder filter
Mit Hilfe des Spanning Tree Protokolls wird eine schleifenfreie Umgebung realisiert

Gelernte MAC Adressen werden in die Bridge Table eingetragen. Anhand dieser Tabelle entscheidet die Bridge, ob ein Paket verworfen oder weitergeleitet wird.
Pakete, die auf Port 1 eingehen und Ihr Ziel ebenfalls auf Port 1 haben werden verworfen.

Das Weiterleiten von Frames folgt folgenden Regeln:
– Hat das eingehende Frame als Ziel eine Unicast MAC, wird es am entsprechenden Port ausgegeben, außer Eingangsport = Ausgangsport!
– Ist die Ziel MAC unbekannt, wird das Frame an allen, außer dem Eingangsport ausgegeben
– Ist die Ziel MAC Broad- oder Multicast, wird das Frame an allen Ports, außer dem Eingehenden ausgegeben.
– Trifft keine Regel zu, wird das Frame verworfen

Switching Methoden

Store and Forward
Wartet bis er kompletten Frame empfangen hat
(erkennt er an Checksum)
Dann leitet er ihn weiter
Switch macht Fehlerkontrolle (FCS)

Cut through
Wartet bis er die Bestimmungsadresse des Frames hat (Ethernet header) und leitet gleich weiter
Kein FCS durch Switch

Fragment free
Der Switch empfängt die ersten 64 Byte des Daten-Paketes. Ist dieser Teil fehlerlos werden die Daten weitergeleitet.
Die meisten Fehler und Kollisionen treten während den ersten 64 Byte auf.
Fehlerhafte Pakete werden verworfen.

Vorteile von Switching/Bridging
Kabellängen
Weniger Kollisionen
Höhere Bandbreite

Übersicht einiger Routingprotokolle

Übersicht einiger [für CCNA relevante] Cisco Routingprotokolle

Protokolle Konvergenzzeiten Updates / Advertisement VLSM CIDR Loop Avoidence Mechanism Holddown Timer
Distance Vektor            
RIP Langsam 3 – 5 Minuten Voll, alle 30 Sekunden Classfull Nein Für alle: Poison Reverse, 180 Sekunden
RIP Version 2 Langsam 3 – 5 Minuten Voll, alle 30 Sekunden Classless Ja Route Poisoning, Hold Down Timer, 180 Sekunden
IGRP Langsam 3 – 5 Minuten Voll, alle 90 Sekunden Classfull Nein Triggered Updates oder Flash Updates, 280 Sekunden
          Split Horizon with Poison Reverse  
Link State            
OSPF Schnell unter 10 Sekunden Partiell / Voll (Flooding), alle 30 Min. Classless Ja Nein Nein
Integrated IS – IS Schnell unter 10 Sekunden Partiell / Voll (Flooding), alle 15 Min. Classless Ja Nein Nein
Balanced Hybrid            
EIGRP Sehr Schnell unter 3 Sekunden Partiell, nur bei Bedarf (Änderungen) Classless Ja Nein Nein
Protokolle Geroutete Protokolle Pfade / Infinite Metrik Authentifizierung Designfähig Cisco Proprietär ? – Cast
Distance Vektor     Der Updates      
RIP IP / IPX Maximal 16 Hops Nein Nein Nein Broadcast
RIP Version 2 IP / IPX Maximal 16 Hops Ja Nein Nein Multicast
IGRP IP / IPX 4294967295 Ja Nein Ja  
Link State            
OSPF IP Hello & Death Intervall, 1xdeath = 4xhello Ja Ja Nein Multicast
Integrated IS – IS IP / Ipv6 / CLNP   Ja Ja Nein Multicast
Balanced Hybrid            
EIGRP IP / IPX / DDP / Ipv6 4294967295 * 256 Ja Ja Ja  
Protokolle Algorithmus Administrative Distanzen Protokolle Algorithmus Administrative Distanzen  
Distance Vektor     Link State      
RIP Bellman-Ford-Algorithmus 120 OSPF Dijkstra Algorithm 110  
RIP Version 2   120 Integrated IS – IS   115  
IGRP   100 Balanced Hybrid      
      EIGRP Diffusing Update Algorithm 90 intern / 170 extern / summary route 5