4.2 IP-Adressen setzen
Sie können IP-Adressen manuell direkt am Client oder automatisiert im Netz zuweisen. Für größere Netze sollten Sie vorher eine schlüssige Planung hinsichtlich der Adressen selbst vornehmen. Unterteilen Sie Ihr Netz nach Kriterien wie Filialen, Aufgabenbereichen, Infrastruktur oder auch Datenschutz. Sie können damit auch an Übersichtlichkeit gewinnen. Auch die Gerätenamen, die wiederum mit den IP-Adressen zusammengeführt werden, beziehen Sie in diese Planungen mit ein.
Sie finden in Tabelle 4.4 Anhaltspunkte, die Ihnen vielleicht bei Ihrer Netzplanung helfen können.
|
Konfigurationsfrage |
Problematik/Hinweise |
|---|---|
|
IPv4- oder IPv6-Adressen |
Kommen reine (ältere) IPv4-Geräte vor (Printserver, NAS, Router …)? Das interne »Verwaltungsnetz« und das »Arbeitsnetz« können verschiedene IP-Adressversionen haben. |
|
Feste IP-Adressen ohne DHCP-Server |
Pro: keine zentrale Instanz, die ausfallen kann (DHCP-Server), hohe Ausfall- und Sabotagesicherheit Contra: Übersichtlichkeitsprobleme möglich, zum Teil umständliche Verwaltung, da jedes Gerät einzeln bearbeitet werden muss |
|
Feste IP-Adresse über DHCP-Server |
Pro: vereinfachte netzweite Geräteverwaltung, sogar mit Datenbankeinsatz möglich Contra: Bei einem Ausfall des DHCP-Servers ist kein Netzwerkbetrieb möglich. |
|
IP-Adresse über DHCP-Server |
Pro: Endgerät ist nicht über IP-Adresse identifizierbar. Contra: nicht für Geräte geeignet, wie z. B. Printserver |
|
Unterteilung in Teilnetze oder verschiedene Netze |
Pro: Abbildung von betrieblichen Strukturen, Erhöhung des Datenschutzniveaus Contra: Geräte benötigen bei »Umzug« in ein anderes Teilnetz eine neue IP-Adresse; eine genauere Planung ist notwendig. |
Tabelle 4.4 Hinweise zu Adresszuweisung und Netzkonfiguration
Neben der IP-Adresse müssen Sie auch noch die richtige Netzmaske setzen (siehe Abschnitt 3.5.2, »Netz- und Subnetzmaske, Unterteilung von Netzen«). Im Beispiel möchten Sie zwei IPv4-Teilnetze mit maximal 62 Teilnehmern anlegen:
Beispielaufgabe: Berechnung der Subnetzmaske mit »ipcalc«
Netz 1: 192.168.0.0 – 192.168.0.63
Netz 2: 192.168.0.64 – 192.168.0.127
Verwenden Sie dazu das Werkzeug ipcalc. Sie können das kleine Programm für viele Betriebssysteme bekommen. Es erspart Ihnen die Rechnerei mit den Binärzahlen.
Lösungsweg
-
Ermittlung der Netzmaske:
Eingabe: ipcalc 192.168.0.0 – 192.168.0.63
Ausgabe: deaggregate 192.168.0.0 – 192.168.0.63
192.168.0.0/26
Die Netzmaske in CIDR-Schreibweise lautet /26.
-
Die Berechnung des zweiten Adressblocks führt zum gleichen Ergebnis.
-
Ausgabe der Subnetzmaske in Nicht-CIDR-Schreibweise:
Eingabe: ipcalc /26
Ausgabe: Address: 255.255.255.192
11111111.11111111.11111111. 11000000
In Abschnitt 3.5.3, »Berechnungen«, finden Sie weitere Berechnungen mit ipcalc.
4.2.1 Netzwerkkonfiguration von PCs
Für das Setzen von IP-Adressen und weiteren Einstellungen benutzen Sie meist die Werkzeuge der grafischen Benutzeroberfläche (kurz GUI für Graphical User Interface). Diese sind Ihnen sicher bekannt, deshalb gehe ich nur kurz darauf ein.
Windows 7, 8/8.1 und 10
In Windows 7 klicken Sie folgenden Weg: Systemsteuerung • Netzwerk und Internet • Netzwerk- und Freigabecenter • Verbindung mit einem Netzwerk herstellen (Abbildung 4.2 bis Abbildung 4.4). Der Rechner muss dabei an das Netzwerk angeschlossen sein – im Voraus konfigurieren ohne Netzwerkanschluss funktioniert hier leider nicht.
Sie können nun die Eigenschaften der LAN-Verbindung sehen. Wählen Sie die gewünschte Netzwerkkarte und anschließend das Internetprotokoll Version 4 oder Internetprotokoll Version 6. Anschließend klicken Sie auf Eigenschaften (Abbildung 4.3).
Abbildung 4.2 Netzwerk- und Freigabecenter, Menüpunkt »LAN-Verbindung« wählen
Abbildung 4.3 Eigenschaften von LAN-Verbindung (Windows 7)
Egal, für welche IP-Version Sie sich entschieden haben, hier bestimmen Sie nun, ob sich der Rechner die Adresse von einem DHCP-Server abholt oder eine von Ihnen festgelegte Adresse bekommt (Abbildung 4.4).
Abbildung 4.4 Eintragen der IP-Adresse oder DHCP-Zugriff
In Windows 8/8.1 und 10 erreichen Sie das Netzwerk- und Freigabecenter am einfachsten über die Suche. Unter Windows 8/8.1 öffnen Sie mit (é)+(C) die Charmsbar und klicken auf die mit Suchen beschriftete Lupe, unter Windows 10 erreichen Sie das Suchfeld mit der (é)-Taste.
Geben Sie dort »Netzwerk u« ein; daraufhin bietet Ihnen die Suche bereits das gesuchte Netzwerk- und Freigabecenter als Treffer an. Wenn Sie darauf klicken, öffnet sich ein Fenster wie in Abbildung 4.3. Die weiteren erforderlichen Schritte entsprechen den hier für Windows 7 ausgeführten.
Welchen Eintrag Sie in das Feld Standardgateway setzen müssen, erfahren Sie in Abschnitt 4.7.2, »Festlegen des Standard-Gateways«. Meist wird hier die Adresse des DSL-Routers eingetragen, zumindest bei kleinen Netzen. Windows bietet in dieser Maske auch den Nameserver-Eintrag an. Dies dient der Auflösung von Rechnernamen zu IP-Adressen. Was dies bedeutet, lesen Sie in Abschnitt 4.3.
Linux
Unter Linux bieten Ihnen die meisten Benutzeroberflächen direkten Konfigurationszugriff. Auch hier gelangen Sie über Systemmenüs zur Netzwerkkonfiguration, wobei Sie die Netzwerkschnittstelle auswählen können. Die Einträge für diese entsprechen meist denen von Abbildung 4.2 bis Abbildung 4.4.
Abseits des GUIs können Sie die Konfiguration direkt per Texteditor vornehmen. Damit können Sie bei Masseninstallationen sehr schnell diesen Teil der Konfiguration durchlaufen lassen, indem Sie nur noch per Skript oder Datenbank erzeugte Konfigurationsdateien am vorgesehenen Ort ablegen. Sind Sie viel mit dem Notebook auf Reisen und haben Sie in verschiedenen Netzen eine feste Adresse, brauchen Sie nur die Datei mit den jeweils gültigen Einstellungen zu kopieren und das Netzwerk neu zu starten.
Bei Debian-Linux ist die Datei interfaces im Verzeichnis /etc/network abgelegt. Sie enthält für jede Netzwerkschnittstelle Einträge. Sie sehen im Beispiel Standardeinträge für die Loopback-Netzwerkschnittstelle, für eine Netzwerkkarte mit fester IP-Adresse und für eine, die die Adresse per DHCP bezieht. Die auto-Einträge bewirken, dass die jeweilige Netzwerkschnittstelle bereits beim Systemstart aktiviert wird. Wenn Sie diesen Zusatz weglassen, können Sie die Schnittstelle per Hand (oder auch über ein Shell-Skript zu gegebener Zeit) aktivieren. Damit können Sie z. B. einen nur zeitweise »offenen« Wartungszugang freischalten oder Tests mit Netzwerkanwendungen durchführen, die nur auf diese Netzwerkschnittstelle zugreifen. Genauere Angaben zu den Feinheiten erhalten Sie, indem Sie die Manual-Seiten hierzu lesen (man interfaces).
In der Beispielkonfiguration sehen Sie die Netzwerkkarten (noch) als eth0 und eth1 bezeichnet. Viele Distributionen setzen auf ein neues Bezeichnungsmodell, welches sich auf den Einbauplatz bezieht. Die Bezeichnung der Netzwerkkarte enp0s10 sagt folgendes aus:
-
en: Ethernet
-
p0: Nummer Bus
-
s10: Steckplatz Bus
Möchten Sie an den klassischen Bezeichnungen festhalten, ist dies kein Problem. Genaue Hinweise hierfür entnehmen Sie der Dokumentation Ihrer Linuxdistribution.
Konfigurationsdatei »/etc/network/interfaces«
-
Loopback-Schnittstelle
-
auto lo
iface lo inet loopback -
Netzwerkkarte mit fester IP-Adresse
-
zweite Netzwerkkarte mit IP-Adresse über DHCP-Server
auto eth1
iface eth0-work inet dhcp
Nach jeder Änderung dieser Datei müssen Sie das Netzwerk neu starten. Auf Systemen, welche den klassischen init.d verwenden, geschieht dies durch die Eingabe
/etc/init.d/networking restart
in der Shell. Viele Linux-Systeme verwenden heutzutage den systemd. Für das Netzwerk gibt es einen eigenen Unit, nämlich den networking.service. Darüber hinaus kann zusätzlich der network-manager.service vorhanden sein. Durch die Eingabe von systemctl restart networking.service starten Sie das Netzwerk neu. Dabei wird übrigens versucht, laufende Verbindungen zu halten! Konkret: Bei einer SSH-Sitzung stockt es kurz, sie werden vom System aber nicht getrennt! Bisher werden hierfür noch bekannte Programme wie ifup bzw. ifdown aufgerufen. In Zukunft soll dies entfallen und durch systemd-networkd ersetzt werden. Abbildung 4.5 zeigt Ihnen die Abfrage der Netzwerkkonfiguration mittels ip addr show. Sie können konfigurierte Netzwerkgeräte aber auch schon mit
networkctl status
abfragen.
Sehen Sie sich die Ausgabe in Abbildung 4.5 genau an. Beim Loopback-Gerät und enp0s10 sehen Sie auch jeweils die IPv6-Adresse. Diese Adressen werden automatisch konfiguriert, weil bei der Installation des Systems die IPv6-Unterstützung aktiviert wurde. Wenn Sie hier eingreifen möchten, sollten Sie unbedingt auch das zutreffende Systemhandbuch zurate ziehen. Ferner sehen Sie in der Ausgabe die MAC-Adresse, die Menge bereits transportierter Pakete und weitere Konfigurationseinstellungen, die normalerweise aber nicht geändert werden müssen, z. B. die MTU-Größe.
Bei der IPv6-Adresse handelt es sich um eine Link-local Unicast-Adresse (Tabelle 3.21). Wenn Sie jetzt eine feste IPv6-Adresse (privat, Unique-local Unicast-Adresse) zusätzlich vergeben wollen, ergänzen Sie einfach den Eintrag in interfaces beim Eintrag zu eth0:
Ergänzung »/etc/network/interfaces«
iface eth0 inet6 static
address fd91:e4a5:5e03::5
netmask 48
gateway fd91:e4a5:5e03::1
Abbildung 4.5 Ausgabe von »ip addr show«
Die IP-Konfiguration für Linux ist damit abgeschlossen.
FreeBSD
Unter FreeBSD nehmen Sie die Netzwerkeinstellungen in der zentralen Konfigurationsdatei /etc/rc.conf vor.
Eine IPv4-Adresse benötigt folgende Einträge:
»/etc/rc.conf«, Eintrag einer IPv4-Adresse
ifconfig_re0="inet 192.168.0.25 netmask 255.255.255.0"
defaultrouter="192.168.0.1"
Eine Besonderheit unter FreeBSD sind die Jails. Sie können damit eigene, vom Rest des Systems abgeschottete Umgebungen einrichten. Damit diese Zugriff auf das Netzwerk erhalten, werden Aliase verwendet:
»/etc/rc.conf«, Aliase für Jails
# -- Aliase für Jails
ifconfig_re0_alias0="inet 192.168.0.65 netmask 255.255.255.255"
ifconfig_re0_alias1="inet 192.168.0.66 netmask 255.255.255.255"
ifconfig_re0_alias2="inet 192.168.0.67 netmask 255.255.255.255"
Den Adressbezug vom DHCP-Server fordern Sie mit dieser Zeile für eine Netzwerkkarte an:
»/etc/rc.conf«, Netzwerkkarte mit Adressbezug vom DHCP-Server
ifconfig_rl0="DHCP"
Eine IPv6-Adresse tragen Sie wie folgt ein:
»/etc/rc.conf«, IPv6-Adresse, statisch
ipv6_enable="YES"
ipv6_network_interfaces="ae0"
ipv6_ifconfig_ae0="fd91:e4a5:5e03::dd04 prefixlen 64"
ipv6_defaultrouter="fd91:e4a5:5e03::dd01"
Nachdem Sie neue Einträge gesetzt oder bestehende geändert haben, werden sie nach dem Neustart des Netzwerks wirksam. Für IPv4-bezogene Einträge verwenden Sie:
/etc/rc.d/zentrale/netif restart
IPv6-Einstellungen geben Sie dem System durch den Aufruf
/etc/rc.d/network_ipv6 restart
bekannt. Anschließend kann es notwendig sein, auch
/etc/rc.d/routing restart
auszuführen. Wie unter Linux können Sie mit dem ifconfig-Kommando die aktuell geladenen Netzwerkeinstellungen abfragen. Dieses Kommando hilft Ihnen aber nicht nur bei der Abfrage von Netzwerkeinstellungen, sondern auch bei vielen Konfigurationsarbeiten bis hin zum WLAN.
macOS
Klicken Sie auf œ • Systemeinstellungen • Netzwerk und hier in der linken Spalte auf Ethernet (Abbildung 4.6).
Hier wählen Sie im Punkt Konfiguration die gewünschte Variante aus: DHCP, DHCP mit manueller Adresse, BootP, Manuell, Aus oder PPPoeE-Dienst erstellen.
Klicken Sie auf Weitere Optionen. Hier können Sie weitere Verfeinerungen vornehmen und auch eine IPv6-Adresse konfigurieren (Abbildung 4.7).
Abbildung 4.6 Auswahl der Netzwerkschnittstelle und Konfiguration
Abbildung 4.7 Feinkonfiguration der TCP/IP-Adressen
Die MAC-Adresse und andere physikalische Einstellungen sehen Sie, wenn Sie die Karteikarte Ethernet auswählen. Natürlich können Sie hier entsprechende Änderungen vornehmen (Abbildung 4.8).
Abbildung 4.8 Einstellungen der Netzwerkschnittstelle
4.2.2 IP-Adresskonfiguration von weiteren Netzwerkgeräten
Im Netzwerk finden Sie weitere Geräte vor, denen Sie eine IP-Adresse zuweisen müssen: Konfigurationszugänge von managebaren Switches und Routern, Printservern, Kameras, NAS-Boxen bis hin zu Telefonanlagen und Heizungssteuerungen.
Speziell bei den Printservern begegnen Ihnen eingebaute und externe Modelle. Wenn der Drucker über ein Bediendisplay verfügt, wie es in Abbildung 4.9 gezeigt wird, können Sie die Adresse direkt hierüber setzen. Bei allen anderen Geräten (nicht nur bei den Printservern) hilft Ihnen nur ein Blick in die Installationsanleitung. Sie erfahren daraus die voreingestellte IP-Adresse oder erhalten einen Hinweis darauf, ob das Gerät per DHCP seine Adresse bezieht. Manchmal müssen Sie sogar ein spezielles Konfigurationsprogramm unter Windows bemühen, damit Sie erstmals eine Adresse auf dem neuen Gerät setzen können.
Alle diese Geräte bieten Ihnen auch eine Weboberfläche zur weiteren Einstellung. In Abbildung 4.10 sehen Sie die Netzwerkkonfiguration eines Printservers, der beide IP-Protokollversionen benutzen kann.
Abbildung 4.9 Netzwerkkonfiguration eines »Kyocera Mita FS-1370DN« über das Bedienfeld
Abbildung 4.10 Konfiguration des Printservers eines »Kyocera Mita FS-1370DN« für IPv4 und IPv6
Ändern Sie im Rahmen dieser Erstkonfiguration in jedem Fall das Standardkennwort, das der Hersteller vergeben hat! »Offene« Netzwerkgeräte stellen ein großes Sicherheitsproblem dar und gefährden Ihr Netzwerk.
Sie werden bei einer Umstellung Ihres Netzwerks von IPv4 auf IPv6 auf die »Netzwerkkleingeräte« Rücksicht nehmen müssen. Die älteren und selbst viele der neu ausgelieferten Printserver und Switches beherrschen noch kein IPv6. Firmware-Updates hierfür werden Sie eher selten finden. Ich möchte keine Missverständnisse aufkommen lassen und bezüglich der Switches klarstellen, dass diese selbstverständlich IPv6-Pakete verarbeiten, aber der Konfigurations-Port ist in den meisten Fällen eben nur IPv4-tauglich.
Das Problem können Sie auf verschiedene Arten lösen:
-
Sie können die Server und PCs Ihres Netzwerks für den Dual-Stack-Betrieb konfigurieren. IPv4- und IPv6-Adressen werden gleichberechtigt behandelt.
-
Bezüglich der Printserver haben Sie die Möglichkeit, die alten Geräte durch stromsparende Kleinrechner wie den Raspberry Pi oder den Banana Pi zu ersetzen, wenn es räumlich möglich ist, mehrere Drucker zusammen unterzubringen. Ein Kleinrechner verfügt über mehrere USB-Ports. Daran schließen Sie mehrere Drucker an. Sowohl hinsichtlich der Anschaffungskosten als auch des Stromverbrauchs haben Sie keine Mehrkosten gegenüber den einzelnen Printservern zu erwarten. Ferner haben Sie auch die mit vielen Printserver-Modellen einhergehenden Sicherheitsprobleme aus Ihrem Netz verbannt. Sie haben damit einen schnellen, flexiblen IPv6-Druckserver geschaffen. Eine einfache Installation von Linux oder FreeBSD reicht vollkommen aus. Die Drucker werden auf diesem Gerät installiert bzw. die Warteschlangen darauf angelegt. Meist werden Sie den Druckerspooler cups einrichten, der die PPD-Steuerdateien der Druckerhersteller direkt benutzt.
-
Falls Sie sowieso mit einem »Schattennetz« zur Verwaltung der Switches, Router und anderer Netzwerkkomponenten arbeiten, belassen Sie darauf einfach IPv4, solange die vorhandenen Geräte ihren Dienst verrichten.
4.2.3 Zentrale IP-Adressverwaltung mit dem DHCP-Server
Mit dem Dynamic Host Configuration Protocol (DHCP) können Sie über einen zentralen Rechner (fast alle) Netzwerkgeräte konfigurieren.
An DHCP-Servern kommt niemand im täglichen Internetleben vorbei. Die meisten Internet-Service-Provider teilen Ihnen bei der Einwahl für die Zeit der Verbindung eine IP-Adresse aus einem Pool zu. Meist darf Ihr Rechner oder Router diese Adresse für maximal 24 Stunden behalten – dann vergibt der Dienstleister eine neue Adresse.
Auch für Ihre lokalen Netzwerke bietet DHCP den einen oder anderen Vorteil, aber auch die Nachteile sollen keinesfalls verschwiegen werden:
-
zentrale Netzwerkadministration, auch mit datenbankbasierter Inventarverwaltung
-
einfache Konfiguration der Clients: Sie müssen nur die Einstellung IP-Adresse automatisch beziehen setzen.
-
Zusammen mit dem Bootstrap Protocol (BOOTP) können Sie sogar plattenlose Rechner betreiben – hier müssen Sie am Client fast nichts mehr konfigurieren (Sie müssen nur die Bootreihenfolge im BIOS einstellen).
-
Fällt Ihr DHCP-Server aus, bekommen später hinzukommende Clients keine IP-Adresse.
-
Ein zusätzlicher, böswillig an das Netz angeschlossener DHCP-Server vergibt Adressen zum Zweck eines Angriffs auf das Netzwerk (Rogue DHCP).
-
Eine andere Angriffsmethode besteht darin, den DHCP-Server so lange um Adressvergaben zu bitten, bis der komplette Pool belegt ist. Clients bekommen dann keine Adresse mehr zugewiesen.
-
Wenn Sie den DHCP-Server so konfigurieren, dass eine feste Zuordnung von MAC- zur IP-Adresse vorgenommen wird, erhöht dies nicht die Netzwerksicherheit. Böswillige Menschen ändern entweder die MAC-Adresse passend ab oder setzen gleich eine feste IP-Adresse.
-
Für jedes Subnetz müssen Sie einen eigenen DHCP-Server betreiben (da innerhalb einer Broadcast-Domäne befindlich). Soll der DHCP-Server über das Subnetz erreicht werden, müssen Sie den Router, der das Subnetz mit anderen Netzen verbindet, als DHCP-Relay konfigurieren. In diesem Fall leitet er die Anfragen und Antworten (als Unicast-Nachricht) über die Netzwerkgrenzen hinweg.
Sehen Sie sich den Leistungsumfang des DHCP-Protokolls an. Mit DHCP können Sie noch mehr tun, als IP-Adressen zuzuweisen:
Dynamic Host Configuration Protocol (DHCP)
Zuweisung von:
-
IP-Adresse
-
Netzwerkmaske (Subnetzmaske)
-
Default-Gateway
-
WINS-Server für Microsoft-Rechner
-
DNS-Server (Nameserver)
-
Zeit- und NTP-Server
-
Proxykonfiguration über WPAD
Belegte Ports: UDP 67 (Server), UDP 68 (Client)
RFCs zum Nachlesen: 2131, 2132, 3396, 3442, 3942, 4361, 4833, 5494, 6221, 6422, 6842, 7083, 7227, 7283, 7550 und 8415
Manuelle Adresszuweisung: Für eine angegebene MAC-Adresse wird immer dieselbe IP-Adresse vergeben. Dies ist für alle Netzwerkgeräte von Vorteil, deren Dienste von anderen genutzt werden, wie z. B. Printserver.
Dynamische Zuordnung: Ein anfragender Client bekommt eine beliebige Adresse aus einem festgelegten Adressbereich für eine bestimmte Zeit zugewiesen. Die Zuweisung selbst nennt man Lease, die Zeitspanne der Gültigkeit Leasetime.
Im Vorgriff auf Kapitel 5, »Steuer- und Fehlercodes mit ICMP und ICMPv6 übertragen«, und Kapitel 6, »Datentransport mit TCP und UDP«, sehen Sie in Tabelle 4.5 speziell den Aufbau eines DHCP-Pakets dargestellt.
|
Byte |
Feld |
|---|---|
|
1 |
Anforderung (1) Antwort (2) (op) |
|
1 |
Netzwerktyp (1 für Ethernet) (htype) |
|
1 |
Länge Hardware-Adresse (6 Byte bei MAC-Adresse) (hlen) |
|
1 |
Zahl der DHCP-Relay-Agenten (hops) |
|
4 |
Transaktions-ID (xid) |
|
2 |
abgelaufene Zeit seit Client-Start in Sekunden (secs) |
|
2 |
Gültigkeit der IP-Adresse beim Client, Byte 2 reserviert (flags) |
|
4 |
IP-Adresse des Clients, falls schon vorhanden (alte Adresse) (ciaddr) |
|
4 |
zugeteilte IP-Adresse (yiaddr) |
|
4 |
IP-Adresse des DHCP-Servers (siaddr) |
|
4 |
IP-Adresse des DHCP-Relays (Router) (giaddr) |
|
16 |
Client-MAC-Adresse (chaddr) |
|
64 |
Host-Name des DHCP-Servers, Angabe optional (sname) |
|
128 |
Boot-Image (Dateiname, wenn TFTPboot verwendet wird) (file) |
|
312 |
Optionen (options) |
Tabelle 4.5 Aufbau eines DHCP-Pakets
DHCP-Server finden Sie auch in DSL- und WLAN-Routern. Hier steht Ihnen eine komfortable Weboberfläche für Ihre Einträge zur Verfügung (Abbildung 4.11). Mit wenigen Angaben erhalten Sie für ein kleines Netz den DHCP-Komfort.
Abbildung 4.11 Webkonfigurationsoberfläche mit DHCP-Einrichtung eines DSL-Routers
Die Konfiguration eines DHCP-Servers finden Sie in der Datei dhcpd.conf. Bei Linux und FreeBSD finden Sie die Datei im Verzeichnis /etc bzw. /usr/local/etc. Die wichtigsten Punkte finden Sie hier mit Kommentaren (#) in der Muster-Konfiguration dargestellt:
Muster-Konfiguration der »dhcpd.conf«
# Gültigkeit der Zuweisung (Standard- und Maximalwert)
# in Sekunden
default-lease-time 600;
max-lease-time 7200;
# Der Server ist für das lokale Netz der alleinig
# zuständige:
authoritative;
# Angaben der Subnetzmaske, der Broadcast-Adresse, der
# Router, des Nameservers und des Domain-Namens
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.5.255;
option domain-name-servers 192.168.5.1;
option domain-name "DOMAINNAME.TLD";
# Dynamisch zu vergebender Adressbereich
subnet 192.168.5.0 netmask 255.255.255.0 {
range 192.168.5.50 192.168.5.99;
}
# Feste Adresszuweisung für MAC-Adresse
# Die Addresse liegt außerhalb des Bereichs
# dynamisch zu vergebender Adressen
host schulung1 {
hardware ethernet 01:02:03:1a:1b:1c;
fixed-address 192.168.5.100;
}
Sie finden weitere Optionen in der Dokumentation, die Sie unter Linux oder FreeBSD mit man dhcpd.conf abrufen können. Windows-Benutzer lesen die dem Programm beiliegende Information. Falls Sie eine Datenbanklösung für Ihre Geräteverwaltung erstellen, binden Sie die dhcpd.conf gleich mit ein. Ihr Skript sollte den Kopf dieser Datei inklusive der subnet-Anweisung aus einer eigenen Datei mit der Datenbankabfrage zusammenführen, die die festen Zuweisungen ausgibt. Das ist unkomplizierter zu programmieren als die Lösungen, die explizit Zeileneinträge ändern. Nach jeder Neuerstellung der dhcpd.conf-Datei sollten Sie (oder das Skript) den DHCP-Server neu starten.
Für die Fehlersuche hilft Ihnen ein Packet-Sniffer wie tcpdump. Die (für das Buch kommentierte Ausgabe) finden Sie in Listing 4.1. Es zeigt eine funktionierende Adresszuweisung:
# Adressanforderung durch den Client
IP (tos 0x10, ttl 128, id 0, offset 0, flags [none],
proto UDP (17),
length 328) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP,
Request from 00:18:e7:16:71:30,
length 300, xid 0x1121db06, Flags [none]
Client-Ethernet-Address 00:18:e7:16:71:30 [|bootp]
# Antwort vom DHCP-Server
IP (tos 0x0, ttl 32,
id 33152, offset 0,
flags [DF],
proto UDP (17),
length 576) 192.168.0.1.67 > 192.168.0.103.68: BOOTP/DHCP,
Reply, length 548, xid 0x1121db06, Flags [none]
Your-IP 192.168.0.103
Client-Ethernet-Address 00:18:e7:16:71:30
sname "M-^?" [|bootp]
Listing 4.1 Ausgabe von »tcpdump«
Speziell für die Fehlersuche können Sie dhcpdump benutzen. Dessen Ausgabe ist ausführlicher (Listing 4.2). Auch hier sehen Sie eine funktionierende Zuweisung:
ZE4:~# dhcpdump -i eth1
TIME: 2016-04-24 22:59:13.002
IP: 0.0.0.0 (0:18:e7:16:71:30) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)
OP: 1 (BOOTPREQUEST)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 3bfee54c
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 0.0.0.0
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:18:e7:16:71:30:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 3 (DHCPREQUEST)
OPTION: 50 ( 4) Request IP address 192.168.0.103
OPTION: 55 ( 12) Parameter Request List 1 (Subnet mask)
28 (Broadcast address)
2 (Time offset)
3 (Routers)
15 (Domainname)
6 (DNS server)
119 (Domain Search)
12 (Host name)
44 (NetBIOS name server)
47 (NetBIOS scope)
26 (Interface MTU)
121 (Classless Static Route)
---------------------------------------------------
# Nachfolgend Antwort vom Server
---------------------------------------------------
TIME: 2016-04-24 22:59:13.004
IP: 192.168.0.1 (0:18:4d:57:eb:a8) > 192.168.0.103 (0:18:e7:16:71:30)
OP: 2 (BOOTPREPLY)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 3bfee54c
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 192.168.0.103
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:18:e7:16:71:30:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 5 (DHCPACK)
OPTION: 54 ( 4) Server identifier 192.168.0.1
OPTION: 1 ( 4) Subnet mask 255.255.255.0
OPTION: 51 ( 4) IP address leasetime 86400 (24h)
OPTION: 52 ( 1) Option overload 3 (file and sname field holds options)
OPTION: 28 ( 4) Broadcast address 255.255.255.255
OPTION: 3 ( 4) Routers 192.168.0.1
OPTION: 6 ( 4) DNS server 192.168.0.1
OPTION: 26 ( 2) Interface MTU 576
--------------------------------------------------------
Listing 4.2 Ausgabe von »dhcpdump«
Wenn Sie ein lokales Netz mittels DHCP verwalten, sollten Sie sich über aktuelle Sicherheitsprobleme auf dem Laufenden halten. Als zentraler Dienst ist DHCP auch Ziel von Schadsoftware, die die Störung oder Ausforschung Ihres Netzwerkverkehrs bezweckt.
4.2.4 Zeroconf
Für Zeroconf finden Sie keine einheitliche Einbindung in die verschiedenen Betriebssysteme:
Zeroconf-Implementierungen
-
Microsoft Windows: Ist der Windows-Rechner für den Adressbezug über DHCP eingerichtet, versucht er mehrmals einen DHCP-Server zu erreichen. Schlägt dies fehl, weist er sich eine IP-Adresse aus dem für Zeroconf reservierten Bereich zu (APIPA).
-
Linux, FreeBSD: Hier finden Sie Zeroconf unter dem Namen avahi. Viele Distributionen installieren den dazugehörigen Daemon mit. Dessen Konfigurationsdatei avahi-daemon.conf finden Sie unter /etc/avahi. Meist genügen die Voreinstellungen für den Betrieb. Genaue Ausführungen zu den Einträgen dieser Datei erhalten Sie mit man avahi-daemon.conf.
In der täglichen Netzwerkpraxis begegnet Ihnen Zeroconf, wenn etwas nicht funktioniert. Außer bei Apple-Systemen wird es meist als Notfalllösung eingerichtet. Wenn Sie einen PC für DHCP-Adressbezug konfigurieren und eine Adresse aus dem Zeroconf-Bereich vorfinden, ist entweder der DHCP-Server nicht gestartet oder die Verbindung zu ihm ist gestört.
In der täglichen Arbeit können Sie Zeroconf nutzen, um ein Mini-Netzwerk mit zwei Rechnern über ein Crosskabel schnell in Betrieb zu nehmen. Aber auch hier sind Sie manchmal mit festen IP-Adressen schneller …