 Wir starten mal mit einer kurzen Vorstellungsrunde, für alle, die uns noch nicht kennen, macht jeder gleich einmal für sich selbst. Wir vier zusammen betreiben quasi das autonome System vom Freifing Rheinland-EV. Das machen wir alle ehrenamtlich und der ein oder andere hat da schon Erfahrung mit, in Latchescale-Networks und der ergänzt sich da einfach ein bisschen. Genau, und starten tut Lars. Ja, mein Name ist Lars Brussmann, ich bin Juni-Systematmistrator bei Erwartungssystems. Herr Bertelsmann, Tochter in Güttersloh und ich kümmere mich da von einfachem Nutzer an, wie mein Fallsystem ist voll, zu Angebotserstellungen, Sizing und schwerwiegenden Problemen. Mein Drucker tut nicht und alles möglich. Ja, ich bin Thomas, ich arbeite bei der ARD-Helwig-Data, das ist ein kleiner Service-Provider mit Stammordorben und Ense. Ja, da bin ich unterwegs im Rechenzentrum, ja, schau, wie wir da neue Technologien reinbekommen können. Da haben wir auch ein autonome System, da bin ich auch mit involviert und genau. Ja, ich bin Takt, ich arbeite bei einer kleinen Internet-Suchbude, gibt es seit 18 Jahren, Standorten Mountain View, Dublin und ein paar anderen. Ich persönlich arbeite in Dublin, ich kenne mich darum, dass das Herket-Content bei euch ankommt, mit Terawits pro Sekunde. Ich bin schon ein bisschen rumgekommen im Netzwerk, ich war unter anderem bei Netcolon, Host Europe, 1&1 und ein paar anderen. Kann man einmal erst mal die Fahrt sehen. Ich habe ein privates HS, also nicht ein privates, sondern persönlich jetzt muss man sagen, das ist nämlich eine Public-Eyes-Nummer, 199, 114, das ist meine Spielwiese. Ja, und dieser Wegborn, das war so ein bisschen meine Idee vor zwei Jahren, das aufzuziehen. Ja. Ich bin Max, ich arbeite an der Anstalt auf dem Berge in Paderborn, das ist die Universität Paderborn im Rechenzentrum. Ich kümmere mich um Linux-Geschichten, Storytisch-Geschichten, Netzwerkgeschichten, alles Mögliche, was gerade anfällt. Ich bin im Freifahren Hochstift noch mit aktiv, da das Netz mit aufgebaut und das ist meine Spielwiese viel mehr geflüchtet zu sagen. Was wir jetzt hätten machen wollen, ist, nach der Auswertung des Skillchecks euch schon mal ein Gruppen zu sortieren, das verschieben wir auf nach dem Mittagessen, weil es gerade nicht funktioniert, Technik die begeistert. Das heißt, ihr bleibt jetzt erstmal so sitzen und wir machen jetzt mal ein Erklärwert zu IP Basics. Genau, das machen wir so generell heute und morgen, jetzt erstmal die Basics, dann nach einem Lab zu statischem Routing. Also wir machen mal einmal alles zu Fuß, machen das Ganze dann mit BERT, mit dem werden wir uns heute und morgen mehr beschäftigen, also dem BERT Internet Routing-Diemen. Wir werden was zu OSPF angucken, wie funktioniert es, werden es aufsetzen, werden uns angucken, wie BGP funktioniert, extern, intern, werden was zu Policy-Based Routing machen und noch ein bisschen mit Nuts spielen und natürlich ganz viel debaggen, weil viele Dinge kaputtgehen. Genau, wir haben relativ straffes Programm für zwei Tage oder anderthalb Tage, wir wollen ja morgen hinreichen, früh fertig werden, ihr wollt alle wieder nach Hause, wir wollen nach Hause. Sollten wir zu schnell sein, sollten wir so doof erklären, jeder versteht Dinge anders, melden, einfach mal dazwischenschreien, Nachbarn fragen, sind der Übung, ist das ihr möglichst viel mitnehmend? Wenn unsere Erklärung scheiße ist, könnt ihr uns das auch so sagen, dann versuchen wir es nochmal. Genau, Disclaimer, das Internet mit Terabits wird eigentlich nicht mit Pinguinen gebaut, höchstens welche, die eingesperrt sind, in Cumulus-Hardware oder Ähnlichem, aber das meiste ist irgendwie Hardware, Cisco, Juniper und Visale heißen. Haben wir jetzt gerade nicht, haben wir vor allem nicht für 100 Leute hier, das heißt wir machen das mit Linux VMs, also nur heute. Der ganze Backbone ist auf Linux betrieben, das funktioniert also, uns skaliert so bis zu 4, 5 Gigabit mal ganz geschmeidig, wenn man vernünftige 10-Gig-Netzwerkgarten nimmt. Das Schöne daran ist, alles ist offen, man kann sich angucken, wie haben die Leute das programmiert, wenn es kaputt ist, kann man es heile machen und es kann jeder kostenlos nutzen. Ergo kriegt nachher jeder eine eigene VM, da können wir drauf rum spielen. Los geht's. Ja, wir starten dann mal direkt mit dem ersten Teil, da wollen wir uns mit den IP-Grundlagen beschäftigen und grundsätzlich fangen wir mal ganz unten an. Das heißt, wir starten mal mit dem OSI-Modell, das heißt es gibt halt eine theoretische Modelle oder mehrere theoretische Modelle, die mehr oder weniger praxisbezogen sind. Und grob gesagt basiert es darauf, dass die Schichten voneinander abstraktgetrennt sind. Das heißt, wenn eine Applikation Daten versenden will, dann fängt die ganz oben an von der Application Layer in den Stackers einzukippen. Und jeder Layer hat eine spezielle Aufgabe, die er erfüllt und ganz unten am Ende dieses Stacks. In dem Physical Layer kommt im Grunde ein fertiges Paket auf irgendeinem Übertragungsmedium raus, sei das jetzt WLAN, sei das jetzt Fiber, sei das jetzt Kupfer. Der Physical Layer kümmert sich in den Transport und die anderen Layer haben halt andere Aufgaben, so was wie z.B. Media Access Control. Brauchen wir jetzt sich auch in den Teil eingehen, denke ich mal. Es ist einfach nur wichtig zu verstehen, dass dieser Stack sozusagen dafür da ist, jeweils die Informationen zu ergänzen, die für die jeweilige Schicht wichtig sind. Das heißt, wir haben ganz oben die Applikationen, die halt irgendwelche Daten versenden möchte. Und diese Metadaten, also der Erheader, der oben da dran kommt, der wird halt mit jeder Schicht mehr, solange bis es halt auf dem physischen Kabel landet. Genau, das heißt jede Schicht hat halt individuelle Informationen, die für sie wichtig sind, mal ganz abstrakt gesagt. Genau, dann haben wir das Thema Switching als nächstes genommen. Das heißt, wenn wir jetzt ein physisches Kabel haben, haben wir als allererstes mal irgendwo ein Switch. Der Switch hat mehrere Ports und der Switch ist ja in der Lage, halt ein Paket von A nach B zu schicken. Und das tut der halt auf Layer 2. Das heißt, der kennt die MAC-Adressen von den angebundenen Computern und merkt sich auch, von welchen MAC-Adressen an ein Port Daten empfangen wurden und würde auch Pakete, die an diese MAC-Adresse gerichtet sind von anderen Ports, wieder an diesen Ports zurück schicken. Das heißt, der hat halt intern ein Tabelle, wo drin steht, an welchem Port welche MAC-Adressen gelernt wurden und der kümmert sich dann darum, dass das Paket, was der Switch empfängt, auch nur auf dem Port wieder rauskommt, auf dem man diese MAC-Adresse gelernt hat. Wenn das nicht so wäre, wenn der ein Paket, was er bekommt, an jedem Port raus schieben würde, wer es halten hat. Es gibt verschiedene Arten von Switching-Technologie. Es gibt dann zum Beispiel Switches, die machen Store und Forward. Das bedeutet, dass der ein Paket bekommt, der Store das Paket, also speichert das sozusagen intern ab, guckt wo es hin muss und geht dann her und schiebt es wieder raus. Dann gibt es Switches, die machen Cut and Through. Das heißt, sie gucken sich den Header von dem Paket an, warten, dass die Information da ist und schieben den Rest, während der noch reinkommt, sozusagen schon an den richtigen Port raus. Dann gibt es halt noch Replikationen, das heißt, ich kann halt schon Mid-Report konfigurieren und kann sagen, ich möchte jedes Paket gerne dupliziert haben auf einem anderen Port, um die Daten aus irgendwelchen Analysegründen dann halt nochmal mitzuschnorcheln. Genau, das sind mal grob so diese Aufgaben eines Switches. Da gibt es vielleicht nochmal ein paar Ecken und ein paar Kanten. Wenn das ein paar viele Mac-Adressen werden an so einem Switch, dann wird das, ist das je nachdem, wie der Hersteller das implementiert, dann unterschiedlich. Es gibt Hersteller, die schieben dann halt ein Paket auf allen Ports raus. Das heißt, der Speicher für die Mac-Adressen an einem Port, der ist halt begrenzt. Es gibt halt nicht unbegrenzt viele Mac-Adressen, die sonst Switch lernen kann und wenn der Speicher voll ist, dann gehen die meisten her und senken halt die Zeit, die diesen Mac-Adressen in der Tabelle drin sind. Das heißt, die altern schneller raus, damit wird der Speicher frei und der kann neu reintun. Wenn das auch nicht hilft, gibt es halt nur die Variante an halt umzuschalten, dass sozusagen ein Broadcast-Modus ist, dann hat man einfach kein Switch mehr, sondern hab jedes Paket kommt an allen Ports raus. Kann auch als Attacke benutzt werden, weil ich im Grunde ja forcieren kann, dass der viele Mac-Adressen lernt. Ich muss ja nur einfach Pakete abschicken mit verschiedenen Quelladressen und dann würde der Switch halt diese Mac-Adress-Tabelle sozusagen überfüllen und dann wird der irgendwann mir vielleicht auch Daten schicken, die ich selber normalerweise gar nie bekommen würde, weil der die Mac-Adresse, für die das Paket bestimmt war und mein Port gar nicht gelernt hat. Genau, das mal so ganz grob zu Switches. Was Thomas natürlich jetzt unterdrückt hat, ist die Schweigeminute. Ach so, genau. Wir haben auf dem letzten Denok gelernt, einige waren vielleicht dabei, Leia 2 ist tot. Wir sind hier bei how to build the Internet, das heißt, wir bauen große Netze. Thomas hat gerade schon referiert, es gibt ein paar Probleme, wenn man sich noch Leia 2 anguckt, das skaliert nicht so richtig gut. Wenn man über Terabitscale redet, wie Olli das vorhin getan hat, macht man da auch kein Leia 2 mehr, sondern versucht, das möglichst klein zu halten und nur noch über Leia 3 zu sprechen, also über Routing. Also es geht also dahin, dass die Leia 2-Domain immer kleiner werden und wir versuchen nur noch zu routen. Daher die Aussage, Leia 2 ist tot, bitte um eine Schweigesekunde. Genau, an die meisten Probleme kommt man in Leia 2 dann ran, wenn man versucht, redonante Wege zu bauen. Das heißt, immer dann, wenn ich irgendwo redonante Wege habe, die ich nicht Link aggregieren kann, muss ich irgendeinen Link abschalten, sonst gibt es halt einen Loop, weil der dann halt Pakete irgendwo im Kreis schicken würde. Und das ist eigentlich eine der Hauptterausforderungen. Außerdem kann man dann halt ohne Link aggregieren, das nicht schön multipassig irgendwo konfigurieren. Das heißt, ich kann nicht mehrere Wege aktiv nutzen, sondern ich habe immer im Grunde verschenkte Kapazität. Wenn ich nicht Special-Vendor-Equipment habe, was Link-Aggregierungen über mehrere Geräte hinweg kann, das ist ja auch ein Hauptproblem. Was dann wieder probriert, der ist? Genau. Ja, IPv4 ist alt. Wir wollen jetzt an der Stelle mal ein Disclaimer absetzen. Die meisten, eigentlich alle, glaube ich, Folien, sind Hauptsächlich mit IPv4. Und wir würden nicht empfehlen, das in Produktionen so zu tun, sondern wir würden immer empfehlen, IPv6 natürlich zu deployen, die Einfachheit halber und der Geschwindigkeit halber. Haben wir jetzt gesagt, wir verzichten an der Stelle mal auf IPv6, weil die meisten, ja, alle Methoden, die wir jetzt zeigen oder alle Dinge, die wir jetzt vermitteln, die funktionieren IPv4 halt analog zu IPv6. Das heißt, ja, Disclaimer heißt jetzt, blame uns nicht dafür, dass wir nur IPv4 darstellen. Und in Produktionen besser IPv6 deployen. Und unsere Ausrede ist, dass wir relativ wenig Zeit haben, ja. Ja, der IP, ein IP-Header. Das war so das, wo wir dachten, wir starten mal. Das heißt, wir haben erstmal nochmal eine Ordnung in dieses OSI-Modell. Wir haben erstmal halt die physische Schicht. Danach haben wir halt, das ist quasi der unterste Layer. Danach haben wir den Layer 2. Da ist halt, ja, Mac-Adressierung, haben wir gerade darüber gesprochen, Switching. Das nächste, was wir dann irgendwo so in einem Stack haben, ist mal irgendwo IP. Und dann gedacht, wir zeigen mal so ein IP-Header, was da überhaupt drin ist, ja. Im Grunde ist es einfach eine definierte Anordnung von Bytes, ja. Das heißt, es gibt im IP-Header halt eine gewisse Reihenfolge, in der Informationen darin transportiert werden. Und das Wichtigste, was wir eigentlich mal erwähnen wollten, war eigentlich dann halt die Time to Live. Das finden wir jetzt quasi in der dritten Zeile auf der linken Seite. Die wird im Grunde bei jedem, ja, Router, der quasi das Paket weitergibt, decrementiert. Das heißt, ein Paket wird mit einer gewissen TTL auf die Reise geschickt. Da steht initial halt eine Zahl drin. Und jeder Router, der dieses Paket nimmt und weitergibt an ein anderes Netzwerkssegment, der decrementiert diesen Wert. Wenn der den Wert null erreicht, dann wird das Paket weggeworfen. Der Hintergrund ist, dass man halt keine Geisterpakete in Netz haben will. Das heißt, wenn wir jetzt irgendeine Routing-Schleife haben oder sowas, dann möchte man ja, dass dieses Paket nicht ewig lang im Netz rumgeistert, sondern möchte man eigentlich, dass das Paket nach Erreichen einer gewissen Anzahl von Hops einfach stirbt. Weil die Informationen dann halt nicht ankommen, sondern im Kreis laufen. Genau, das ist eine. Das andere ist halt die Information darüber, welches Protokoll in diesem Paket transportiert wird. Das ist neben der Time to Live, dann haben wir natürlich noch offensichtliche Dinge drin. Ja, Source IP, Destination IP. Genau, das sind im Grunde war so die wichtigsten Dinge, die in so einem IP-Paket drin sind. Es gibt noch ein paar andere Informationen, über die man in detail aus sich dann mal reden kann. Genau. Ein historischer Abriss. Der Disclaimer da oben ist ganz, ganz wichtig. Das, was ich jetzt erzähle, ist nicht mehr aktuell. Ich erzähle es trotzdem. Das liegt daran, dass es heute noch im Jahre 2016 Lehrer an Berufsschulen und sonst so gibt, die das unterrichten als State of the Art. Das halte ich für ganz grob fahrlässig. Und bin also daran und mir ist daran gelegen, als Ausbilder auch selber, dass Menschen wissen, dass das nicht mehr der Realität entspricht. Aber es ist zum historischen Verständnis trotzdem wichtig. Es gab vor langer, langer Zeit mal fünf Netzwerkeklassen, A bis E. Die meisten davon, also A bis C, wird man vermutlich kennen, zumindest schon mal so grob gemerkt haben, dass sich auch manche Unix-Systeme so verhalten, wenn ich dann eine IP aus der ersten Hälfte des IP-Spaces konfiguriere und keine Netzmaske angebe, bei ihr Konfig zum Beispiel, setzt der automatisch eine bestimmte Netzmaske drauf. Das kommt hierher. Was die meisten Leute gleichsetzen ist, Class A heißt Slash 8, Class B heißt Slash 16, Class C heißt Slash 24er Netz. Also mit entsprechender Netzmaske erzählen wir gleich noch ein paar Takte mehr dazu. Der entscheidende Punkt, der hier dann meistens unterschlagen wird, ist, dass hier vorne das Binary Prefix noch dazugehört. Das heißt, diese Klassen teilen den IP-Space vollständig auf. Ich kann also nicht sagen, wenn ich irgendwie ein großes Netz, also das Slash 16 aus diesem IP-Bereich habe, dass das deswegen sofort Class B ist. Das ist Blödsinn. Also wichtig zu mitnehmen, es gab mal Klassen vor langer, langer, langer Zeit. Hier kann man nachlesen, warum das tot ist und seit wann. Darin wurde Classless Interdomain-Routing definiert. Dazu gleich noch ein bisschen mehr. Und es gehören immer zusammen der IP-Space und dann die Klasse. Sollte dir also jemanden treffen, der das anders erklärt, bitte korrigieren. Danke. Noch mal eine Sache für alle, die sich jetzt fragen, was ist eine Netzklasse? Subnetzmaske hat ja jeder schon mal eingehakt irgendwo. Die bestimmt im Grunde darüber, welche anderen Netzwerkteilnehmer zu meinem eigenen Subnetz gehören. Das heißt, die Information IP-Adresse mit der Information Netzmaske lässt ein Computer bestimmen, ob ein anderer Netzwerkteilnehmer zum eigenen Netzwerk gehört oder nicht. Genau. Das Einzige, was von dieser Folie noch stimmt, das sollte man dazu sagen, diesen Block D gibt es nach wie vor. Das sind Multicast-Adressen. Wenn ich nicht nur einen Rechner erreichen möchte, sondern eine Menge von Rechnern benutze ich Multicast. Das ist das Einzige, was aus dieser Tabelle nach wie vor bestand hat. Ja. Statische Zuordnung von irgendwelchen Adressblöcken, also fixe Größen von Netzen, hat man irgendwann herausgefunden, sind vielleicht nicht so praktisch. Man ist dazu übergegangen, Glasless Interdomain-Routing zu machen. Das bedeutet im Klartext, wenn man sich die Subnetzmasse anguckt, die meisten haben schon mal eine Slash 24 Subnetzmaske verwendet zu Hause. Das heißt, dass in allen drei ersten, also vor den drei ersten Punkten, steht 255. Das heißt, ich habe in Summe 24 Bit, die auf 1 sind, bedeutet im Umkehrschluss. Der letzte Teil von der Adresse, die ich da eingebe, ist variabel in dem Netzwerk. Das heißt, alle, die mit den selben ersten drei Zahlen da konfiguriert sind, gehören zum selben Netzwerk. Das heißt, ich habe jetzt mal eine Darstellung gemacht, wie so eine Subnetzmaske eigentlich binär aussieht, weil das ist der relevante Teil. Wie wenn man die binär darstellt, dann hat man halt an dieser Slash-Mutation auf der linken Seite 24 Bit zu verfügigen. Das heißt, wenn man jetzt über das Slash 24 redet, dann hätten wir halt 24 1. Das wäre halt 3 mal 2 von 5. Man kann natürlich jede andere wie die Subnetzmaske jetzt wählen. Das heißt, ich kann damit sagen, okay, mein Netz soll halt größer werden. Das heißt, ich habe mehr Bits hinten zur Verfügung, um die Hausadresse zu definieren. Oder ich kann sagen, mein Netz soll kleiner werden, wenn ich eine Subnetzmaske habe, habe ich halt 8 Bits zur Verfügung, um einen Host in diesem Netzwerk zu adressieren. Das Problem daran ist, dass es halt ziemlich schnell komplex wird, weil diese decimale Darstellung einer IP-Adresse das nicht so schön abbildet. Man kann halt in der decimalen Darstellung einer IP-Adresse nicht sofort erkennen, welche Bits davon jetzt sozusagen zu dem eigenen Netz gehören und welche nicht. Dafür muss man sich halt so eine IP-Adresse am binär aufschreiben oder das im Kopf machen. Ich habe jetzt einfach mal random ein paar Subnetzmasken mal da so dargestellt. Slash 25 heißt halt, ich halbiere das Netzwerk, was man typischerweise zu Hause verwendet, in zwei Teile, indem ich einen Bit von dem Adressraum wegnehme und dann habe ich zwei separate Netze. Das eine Netze, das geht halt von 0 bis 127. Und das andere Netzwerk geht halt von 128 bis 255. Das kann man natürlich auch in die andere Richtung machen. Das heißt, ich könnte jetzt auch aus dem Slash 24 halt, also ich könnte auch 2 Slash 24 die benachbart sind zusammenfassen zu einem Slash 23. Das heißt, ich würde einen Bit von diesem Netzteil sozusagen wegnehmen und den zu dem Hoßteil dazu nehmen. Das heißt, ich habe dann halt in Summe noch 23 Bits und habe aber einen Bit mehr zur Verfügung, um Hoß in den Netzwerk zu adressieren. Das heißt, ich kann in diesem Netzwerk dann 512 Hoß betreiben. Das ist mal ab und zu auch nochmal mal sieht. Das heißt, Slash 16, das ist halt 255, 255, sind 16 Einsen. Die 16 Bit auf dem hinteren Teil kann ich dann halt wieder verwenden, um Hoß zu adressieren. In Summe halt dann 65535 36. Genau, die erste Adresse in den Netzwerk ist immer die Netzadresse. Die letzte Adresse in den Netzwerk ist immer die Broadcast-Adresse. Das ist bei Definition so, einzige Ausnahme 30, Slash 31 heißt, ich habe nur noch ein Bit zur Verfügung, um Hoß zu adressieren. Da bleibt nicht mehr viel übrig für Netz- und Broadcast-Adresse, weil es gibt halt nur zwei Teilnehmer in diesem Netzwerk. Warum hat man das gemacht? In Summe haben wir 32 Bit für eine IPv4-Adresse übrig. Die haben wir von vorne bis hinten. Das heißt, die können wir benutzen. Das kleinste Netzwerk, was man damit bauen kann, nach der Definition, die Thomas gerade genannt hat, muss also 4 IPs haben. Wenn man das Netzwerk angibt, zwei IPs für echte Rechner und eine Broadcast-Adresse. Wenn da sowieso nur zwei Rechner dran sind, ist eine Broadcast-Adresse relativ überflüssig. Wenn ich beide erreichen will, einer bin ich selber, der andere ist klar. Hat man vor ein paar Jahren definiert, dass es auch Slash 31 gibt, wo wirklich nur noch ein Bit übrig hat. Das heißt, man kann auch nur zwei Rechner da rein konfigurieren, spart aber zwei IP-Adressen, die man noch woanders nutzen kann. IPv4 ist alle, deswegen ist das relativ wertvoll. Mittlerweile können das, glaube ich, auch alle Geräte, Linux kann es schon länger. Man hat eine Erdschrutter. Nee, Erdschrutter nicht, aber Mikrotik-Router war das genau. Man hat einen Providerumfeld im Grunde der ziemlich viele, ziemlich kleinen Netze. Das Netzwerk ist halt geroutet. Auf jedem Link, den ich irgendwo habe, zwischen zwei Routern, brauche ich halt auch eine IP-Adresse für jedes Ende. Das ist im Grunde der Grund, weil so größere Netze in ihr nach Haus unterwegs sind, gibt es in so einer Provideinfrastruktur vielleicht nicht so viele. Ein paar IP-Bereiche, die man kennen sollte oder schon mal gesehen haben sollte, die eine besondere Bedeutung haben. Das Erste, vermutlich schon mal jeder gesehen, der sich unter Linux oder Windows oder MacOS oder Solaris, was auch immer, die Netzwerkkonfig angeguckt hat. Da gibt es üblicherweise ein Interface, das heißt LO, Loopback, Loopback 0 oder ähnliches, irgendwas in dem Namensbereich. Da wird die IP 127.001 draufkonfiguriert sein. Die ist per Definition immer das lokale Gerät, auf dem ich gerade bin. Das macht viele Dinge relativ einfach, wenn ich mit mir selber reden will, kann ich immer per Definitionen in dieser IP benutzen. Auf vielen Geräten ist sogar das komplette Slash 8 konfiguriert. Das heißt, auf Linux kann ich 127.1.2.3 pingen und es funktioniert trotzdem, auch wenn die IP gar nicht da ist. Windows ist da pinziger, da muss man die nehmen, die wirklich konfiguriert ist. Das ist aber ein komplettes Slash 8, heißt also knapp 16 Millionen IP. Es sind gerade mal verblasen für den lokalen Rechner per Definition. Hat man mal gemacht, als es noch genug IPs gab. Was gibt es noch? Die nächsten 3, werden die meisten schon mal gesehen haben, RF 10.1918 besagt, dass es IP-Bereiche gibt für Private Use. Die kann jeder benutzen, die sind dem Internet nicht eindeutig, kann ja halt jeder benutzen, deswegen gibt es Doppelung, und sie sind dem Internet auch nicht geroutet. Wer Pakete mit so einem Ziel ins Netz schickt, hat eigentlich die Garantie, dass sie nie ankommen werden. Da gibt es einmal einen großen Bereich, den Internet einen mittelgroßen Bereich und dann immer noch relativ großen, aber kleineren Bereich. Das heißt, die kann jeder frei benutzen, wie er mag. Wir werden nach den 10er-IPs benutzen. Es gibt noch den AP-PAR-Bereich, die Link-Local-Adressen. Es ist so definiert, wenn irgendein Rechner versucht, der IP zu machen, kriegt keiner IP-Adresse, weil kein Server da, weil Pool alle, vergibt er sich aus dem 169-254er-Netz selbstständig eine IP. Ich glaube, die wird aus der MAC-Adresse berechnet und ich glaube, das ist das, was ich für eine IP-PAR-Bereich finde. Sind der Übungen ist, dass zwei Rechner, die ich direkt miteinander verbinde, ohne Infrastruktur, die man miteinander reden können. Quasi auch ein Private-Use-Bereich auch nicht eindeutig. Vor ein paar Jahren kam noch dazu 100.64 slash 10. Also alles mit 164 bis 164 hoch. Auch ein ziemlich großer Bereich. Das hat man definiert für Private-Use für Carrier. Sie vergeben nur noch vor 6 Adressen öffentliche und es wird bei Unity Media genattet, weil sie einfach keine öffentlichen IPs mehr haben. Dass die IP-Pies aus dem RFC 1918 Space benutzen, um sie ihren Kunden zu geben, ist eher dämlich, weil man nicht weiß, was die Kundenintern für IPs konfiguriert haben. Deswegen gibt es zusätzlich diesen Carrier-Grade-Nut-Bereich. Das heißt, Leute wie Unity Media oder Ähnliche könnten, ich weiß gar nicht, ob es jemanden gibt, der das auch tut. Wir vom Reinhard Backbone machen das zum Beispiel, wir könnten aus dem 100.64 Bereich IPs an Kunden vergeben, weil relativ eindeutig sein sollte, dass niemand die intern benutzt. Tut man es doch, als Kunde hat man dann leider Pech gehabt. Aber das ist so der private Bereich für Carrier. Ja, private Bereich, das heißt nicht eindeutigkeit, grenzt da die IP-Adressen jetzt ab von anderen IP-Adressen, die noch mal den normalen Weg an eine IP-Adresser anzukommen, die global eindeutig ist, die führt halt zu einem Provider. Der Provider ist halt eine local Internet Registry, die von der RIPE quasi ein Stückchen IP-Space abbekommen hat. Die RIPE ist eine Regional Internet Registry, die hat IP-Blocks von den globalen IP-Pools bekommen. Solche Regional Internet Registry, es gibt es halt mehrere, es gibt halt APNIC, zum Beispiel die RIPE, ARIN und die sind halt immer für einen größeren Bereich auf der Erde da, IP-Adressen zu vergeben. Die RIPE macht das halt für den europäischen Kontinent und so kommt man halt an global eindeutig IP-Adressen. Das ist für V4 jetzt vielleicht nicht mehr so einfach, eigentlich vielleicht auch unmöglich, außer man wird selber halt zu einem Provider und macht da halt diese Lehrmitgliedschaft und für FV6 kann man sich das halt bei einem Provider besorgen. Es gibt dann halt da für Möglichkeiten anzukommen. Genau. Ja, Routing. Wir wollten jetzt mal erklären, wie kommt überhaupt so ein Paket von A nach B? Das heißt, wenn jetzt ein Paket auf die Reise geht, kann der Computer ja eine Entscheidung treffen, auf welcher Netzwerkkarte dieses Paket überhaupt abgeworfen werden soll. Also der einfachste Fall ist, also da haben wir jetzt mal eine Routing-Tabelle dargestellt, wir haben 126842.0 Slash 24 auf ETH 0, das ist halt eine konfigurierte IP-Adresse auf dem Interface und darum, weil die Netzmaske Slash 24 ist, kann der alles, was mit 1926842 anfängt, auf diesem Interface lokal abwerfen. Das heißt dann halt konkret, dass der Rechner ein APRiQuest startet und sagt so who has 1926842, was nicht 13. Das würden alle anderen in dem Netzwerkssegment mitbekommen und würden dann, wenn die denn diese IP-Adresse konfiguriert haben, eine Antwort schicken und sagen, ja, ich habe mit folgender MAC-Adresse diese IP-Adresse konfiguriert. Damit weiß dann der Rechner Bescheid, also der das Paket an das Ziel absenden will, an welcher MAC-Adresse er dieses Paket jetzt zustellen muss. Das heißt, er packt dann ein IP-Paket, das adressiert ja auf Lea2 sozusagen wieder Schicht, auf Lea2 an die Ziel-Mac-Adresse von dem Computer, der ihm die Antwort geschickt hat und an die Ziel-IP, an die er das sowieso schicken wollte. Das ist der einfachste Fall. Warum ist das wichtig? Nur mit IPs kann ich nicht miteinander reden, weil sich zwei Rechner, die direkt miteinander verbunden sind, nur über Lea2 unterhalten können, also das Datalink-Layer, was direkt über dem Kabel liegt, das arbeitet im Fall von Ethernet mit MAC-Adressen. Das heißt, das ist die einzige Chance, ein Paket von einem Rechner über das Kabel zu einem anderen zu kriegen. Also benutzen wir das ARP-Protokoll, Adress-Resolution-Protokoll, dafür, um diesen Kleber zwischen IP-Adressen und lokaler Zustellung über MAC-Adressen zu machen. Genau, jeder Rechner, der maintained dafür halt noch ein ARP-Cache. Das heißt, wenn man jetzt ARP-Request geschickt hat, dann will man die jetzt nicht vielleicht bei jedem IP-Paket neu schicken und dafür merkt sich der eigene Rechner, welche andere Netzteilnehmer es in einem Netzsegment noch gibt. Das kann man sich selber auch angucken. Es gibt halt ein ARP-Commando und mit dem kann man sich angucken, was gerade in dem ARP-Cache von einem eigenen Computer drin ist. Welche MAC-Adressen sind alle so kennt aus dem Netzwerk? Das sind der Regel halt die, mit denen er oft kommuniziert, vielleicht halt nur der Default-Router, je nachdem. Die zweite Variante ist, ich finde das Netzwerk, dass ich einen Paket schicken möchte, nicht direkt. Ich habe vielleicht dann nur eine Route, die zu diesem Netzwerk hinführt. Im einfachsten Fall eine Default-Route. Default-Route heißt, ich habe das Ziel, also ich habe als Zielnetz sozusagen eine Route, die hat 0.0.0.0. Die fängt im Grunde alle IP-Pakete ein. Das Route in generell funktioniert nach dem Prinzip, dass der spezifischste Eintrag in einer Routing-Tabelle ausgewählt wird. Das heißt, 0.0.0 wird man jetzt sagen so, wenn das von der Priorität ganz oben ist, dann schickt der vielleicht alles dahin. Das ist nicht so, sondern der guckt halt, welcher Eintrag in der Routing-Tabelle am spezifischsten auf das Ziel passt und der wird selektiert. So, im Fall 0.0.0.0. Der hat jetzt ein Paket, das soll was nicht zu einer 172.16. Adresse, dafür hat der erstmal keine Routing-Eintrag, gibt dieses Netzwerk nicht lokal verbunden bei der Routing-Eintrag. Es gibt auch keine statische Route für irgendwas, also würde der das erstmal in den Default-Router schicken. Das ist das, was man auch unter Default-Gateway in der IP-Konfiguration angeben kann. Was dann passiert ist, der muss wieder Layer 2 erstmal den Default-Router finden, dafür schickt der erstmal wieder ein Abrequest raus und fragt so, wer hat denn 168.42.1 konfiguriert? Dann sagt der Router so, ja, habe ich schon konfiguriert, was dann passiert folgendes, dann packt der Computer das Paket ein und der packt das ein mit der MAC-Adresse auf Layer 2 von dem Router, weil das auf dem Medium bei dem Router ja ankommen soll und der packt die Ziel-IP ein von dem Paket 172.16. irgendwas, wo das eigentlich hin soll. Das heißt, das Paket wird dann bei dem Router ankommen, obwohl das an der IP-Adresse in einem anderen Netz gerichtet ist, dann wird dann mal ein Routing-Vorgang bei sich lokal starten. Das heißt, in dem Paket wird immer die MAC-Adresse im lokalen Segment gesetzt, wenn es zum Beispiel zum Router gehen soll und die destination IP bleibt erhalten, übergreifend. Der Router würde dann halt natürlich die TTL wieder dekrimentieren, wenn er das weiterleitet, bis die halt irgendwann mal 0 ist oder wenn es vor 0 am Ziel angekommen ist, ist halt auch gut. Das heißt, der Router würde nicht funktionieren. Es sind ja nur die zwei Einträge drin. Das heißt, der Rechner hat einen Eintrag, was auf seiner Netzwerkarte heißt, unter linux-isernet.0 für ein Netz anliegt und aus welchem Bereich er eine IP hat. Das default gateway ist aber leider nicht aus diesem IP-Bereich, also der Next-Hop da unten. Das heißt, dieser Rechner hätte keine Chance, irgendein Paket loszuwerden. Jetzt gibt es so eine Spezialität, mit der man das heilen könnte. Man könnte halt jetzt auch 162.068.01 und könnte sagen, okay, diese IP-Adresse, auch wenn die nicht zu dem konfigurierten Subnetz gehört, die findest du trotzdem auf diesem Link, dann würde er halt dafür auch wieder Art-Request machen und gucken, ob er das irgendwie finden kann. Das heißt, ich kann den Rechner damit zu zwingen, auf einem bestimmten Interface ein Art-Request zu schicken, wenn ich weiß, dass halt auf dem Interface irgendwo diese IP-Adresse im Netz existiert. Wenn man das tun muss, hat man meistens aber irgendwas Dreckiges konfigurieren. Ja, ich guck wenn die einzelne IP-Adressen an Hosts vergeben, genau. Da liegt manchmal auch das Geld, wenn manchmal auch außerhalb des Subnetzes, außerhalb des eigenen Subnetzes, und dann konfiguriere ich quasi eine statische Interface-Route da rein und dann führt das dazu, dass mein eigener Rootserver einen Request auf dem Segment stickt, für eine IP-Adresse, die nicht in meinem eigenen Subnetz liegt, da kriegt er auch eine Antwort drauf, kein Problem. Und dann schickt er die IP-Pakete mit der Merk-Adresse von dem Router und der Knackpunkt beim Rooting, den man sich klarmachen sollte, jeder Gerät, was irgendwie IP-Pakete von rechts nach links, von oben nach unten oder vorne nach hinten bewegt, hat eine eigene Sicht auf das Netzwerk, und zwar nur die. Also ich von hier sehe, wie ich zu jedem von euch komme, wenn ich mich irgendwo anders hinstelle, sehe ich das Ganze schon anders aus. Das heißt, die Rooting-Entscheidung trifft jedes Gerät für sich und wirft ein IP-Paket in die richtige Richtung, nach eigenem Wissen und Glauben, was die richtige Richtung ist. Es kann also sein, wenn ich hier nach Reihe 3 möchte, ich also einmal außen rumlaufe, weil ich glaube, dass das der beste Weg ist, oder alle Stellen dazwischen mich so schicken würden. Dann werden wir uns gleich noch eingehend mit beschäftigen, vermutlich nach dem Mittagessen, wir werden das auch alles ausprobieren. Ihr werdet auch gleich mal eine ganze Menge guten setzen müssen. Genau. Dann haben wir das Thema Forwarding noch, immer dann wenn sozusagen Paket bei mir eintrifft, was nicht direkt für mich selber ist, sondern was ich sozusagen weiter schicken muss, um das zum Ziel zu bringen, dann sprechen wir über Forwarding. Das Forwarding ist bei Linux halt per Default aus, muss ich halt extra einschalten. Also IP-Forwarding muss man einschalten, damit der über Pakete weiter leitet. Der Defaultverhalten wäre halt so, da kommt ein Paket an mit einer Ziel-IP-Adresse auf dem Interface, dann verwirft er es einfach so. Wenn das nicht sein eigener IP-Adresse ist. Wenn ich das IP-Routing einschalte, wird das Paket nehmen, wird in seine Routing-Tabelle so reingucken, was habe ich denn da so ein Ziel-IP-Adressen und wird das dann halt auf den Weg schicken, wo es halt am nächsten weitergeht. Genau. Ist jetzt so ein bisschen Haarspalterei, aber Routing ungleich Forwarding. Routing tut jedes Gerät, Routing tut euer Handy. Es muss wissen, wo muss ein Paket hin. Das heißt, diese Routing-Entscheidung trifft es, Forwarding wird es vermutlich nicht tun, weil es keine Pakete von rechts nach links weiterleitet, wobei vielleicht tut es das, wenn es ein B-Lan-Hotspot ist. Dann macht es sogar auch Forwarding. Genau, Pakete werden dokumentiert, haben wir schon gesagt, TTL bis sie abgelaufen ist. Genau. Netzwerk-Konfiguration. Es gibt so ein paar Dinge, die haben sich in der letzten Zeit geändert. Wir haben gesagt so Rest in Peace, F-Config, Rout, Wlan, BR, TTL, Tunn, CTL, kurze Schweigengute. Noch ein kurzer Erklär, warum sind die alle gestorben? Also sie funktionieren alle noch, sie gehen alle noch, man kann sie noch benutzen. Man sollte sich das aber langsam abgewöhnen. Warum? F-Config kann zum Beispiel meines Wissens keine zweite IP-Adresse auf ein Interface konfigurieren. Mittlerweile geht das ja. Das heißt, man macht so Konstrukte wie eth0.0 unter Linux, hat also nachher ein Arschvoll-Interface, auf dem jeder nur eine IP drauf ist. Das ist schon doof. Es kann lange Interface-Namen nicht korrekt anzeigen. Dann bin ich mal in einen sehr bösen Back gelaufen mit HardBeat, also wollte eine Failover-IP haben auf einem Cluster. Der guckt sich an, nachdem er es konfiguriert oder dekonfiguriert hat, hat das geklappt, was ich gerade gemacht habe. Kann das aber leider nicht feststellen, weil F-Config nicht den ganzen Namen anzeigt. Das ist dann auch so ein Thema. Viele der Sachen sind etwas angefasst worden, als IPv6 kamen. Manche schlechter, manche besser. Das ist eher die Liste der Dinge, die schlechter geworden sind. Zumindest die ersten beiden. Ich glaube, Route kann gar kein IPv6. Route Binary. Wenn ich mir nicht ganz sicher habe, habe ich nie mehr benutzt. Das Vlan Binary ist auch relativ easy. Ich klebe ein Vlan-Tag auf Pakete drauf oder baue mir dafür Interfaces oder auch weggeschmissen. Funktioniert alles noch. BLCTL configuriert Bridges. Wenn ich also mein Linux-System zu einem Switch machen möchte, mehrere Netzwerkkarten externe oder virtuelle Netzwerkkarten intern, alle auf Layer 2 verbinden möchte, kann ich das mit einer Bridge machen. Ich stelle also die Funktionität eines Switches her. Das kann man mittlerweile auch mit IP machen. Tanz-CTL zum Befummeln von Tunnel-Interfaces brauche ich auch nicht mehr. Auch das kann das Schweizer Armee messen. Ja, jetzt haben wir kurz über Vlan gesprochen. Haben wir noch nicht erzählt, was das so richtig ist. In dem Header eines Pakets gibt es auch ein Feld, das ist dazu da, die Vlan-Adi zu signalisieren, in der dieses Paket transportiert werden soll. Die Vlan-Adi ist so ein bisschen wie eine Maskierung, kann man sich so vorstellen. Das ist ein Tag, das klebt der sendende Gerät oder irgendein Gerät auf dem Weg dazwischen an dieses Paket dran und das signalisiert dem Switch so. Da kommt ein Paket rein und bitte schickt dieses Paket nur auf den Ports raus, die auch Mitglied in diesem Vlan sind. Das heißt, ich kann jetzt ein Ports konfigurieren. Die sollen den Datenverkehr empfangen von zum Beispiel allen VLANs oder die sollen Datenverkehr nur dann empfangen, wenn da ein bestimmtes Vlan-Tag auftritt. Das heißt, der Switch, mal im einfachsten Fall, es gibt dann noch eine Unterscheidung zwischen TACT und ANTACT. Wenn man ein TACT-Paket hat, ist da so ein Vlan-Tag dran. Also da ist die Information enthalten, welchem Vlan dieses Paket gehört. Und wenn man jetzt im einfachsten zwei Ports hat, die TACT sind, dann schickt ein Server ein Paket auf den Weg, in dem steht halt drin Vlan5. Und dann wird der Switch halt schauen so, welche Ports habe ich denn jetzt, die auch entweder ANTACT, also ohne Vlan-Tact, zu Vlan5 gehören. Oder welche Drunk-Ports, also welche Ports, auf denen alle VLANs kommuniziert werden können, gehören zu Vlan5. Also welche sind da berechtigt Pakete zu empfangen. Und dann trifft der Switch halt die Entscheidung, an welchen Ports er dieses Paket halt raus schicken kann. Es gibt natürlich jetzt noch Ports, die ANTACT sind. Da hat der Switch sozusagen die Konfiguration, wenn da jetzt ein Paket eintrifft von einem Gerät, was kein Vlan-Tact da dran gehangen hat. Dann trifft das bei dem Switch ein. Und der Switch, der würde an dieses Paket dann halt ein Vlan-Tact dranhängen, z.B. nicht Vlan5. Und wird das dann halt, wenn das Paket an einem Port den Switch verlässt, der TACT ist, auch an das Paket dann wirklich anhängen. Das heißt man sieht das hinterher auch in dem IP-Paket. Warum macht man den Zauber? Gerade wenn man größere Netze hat, meistens im Access-Bereich, wie z.B. in der Uni für 20-30.000 Leute, hat man schon mal so, ich glaube, wir haben 30.000 Ports in Summe. Da sind schon mal genug Switche, die man administrieren muss. Wenn ich jetzt für jedes Netz einen eigenen Switch bräuchte, weil es ein eigenes Layer-2-Segment sein soll, die nicht miteinander reden können, sondern geroutet werden müssen, bräuchte ich noch echt viel Hardware. Also nutzt man Vlan's, um die Switche zu haben. Also eine Sache noch, das Vlan kann halt ein Design zwischen 1 und 4096. Da gibt es jetzt noch Spezialitäten von bestimmten Herstellern. Man kann halt bestimmte Switches haben. Die können z.B. Vlan 35.000 oder so was können die von alleine erst mal nicht? Die alten Switche konnten Vlan's bis 254, glaube ich, das ist vor so 10, 15 Jahre her. Wenn man noch etwas neuere Geschichten hat, was ich geschenkt gekriegt habe, ist so 10 Jahre alt. Gibt es noch so Altlasten aus Token Ring und FDDI. Also Token Ring ist so ein Ring-Netzwerk. Manche mögen sich erinnern. FDDI ist dasselbe in Mitglasfaser statt Kupfer. Dafür gibt es auf alten Cisco Switches, die Vlan's 1001 bis 1005, die blockiert sind, die ich auch nicht anders benutzen kann. Da bin ich die Tage sehr hart reingerannt. Ja. Ja. Max hat es gerade schon angedeutet. Ich habe hier einen Spicer-Taschen-Messer für Netzwerker. Da ist im Grunde alles drin. In so einem konsistenten Befehlschema. Damit kann ich halt die verschiedenen Dinge machen, die wir jetzt immer so aufgelistet haben. Ich kann da halt Vlan's mitkonfigurieren. Ich kann damit Bridges einrichten. Also quasi zwei Netzwerkadapter überbrücken. Sei das jetzt Virtuello oder sein das physische Netzwerkadapter. Ich kann mit dem Tool halt IP-Adressen konfigurieren. Ich kann damit Routen setzen. Und ich kann mir damit, ich habe ja gerade einen App-Cache anzeigen lassen. Das ist halt total gut, weil ich dann halt sehe, wer es in meiner Nachbarschaft. Was wir noch nicht erzählt haben, es gibt ja für V6 noch quasi Neighbor Discovery. Das neue ARB. Das kann die V6-Nachbarn finden. Das heißt, in V6 nennt man das nicht mehr ARB, sondern da ist es halt die Neighbor Discovery. Gibt es auch das Neighbor Discovery-Protokoll. Das gibt es zum Beispiel nur mit IP. Das hätte in der Rest-in-Pieces-Liste eigentlich auch noch auftauchen müssen. Das geht mit IP-Name beides. Wie funktioniert das Ding? Das Teil heißt einfach nur IP. Das ist relativ kurz. Danach gebe ich an, womit ich arbeiten möchte. Layer 2-Adressen, Routen, Neighbor-Cache, Tunneln, was auch immer. Und danach ist es eine relativ ähnlich aufgebaute Sündtags. Wir zeigen gleich auch noch ein paar Grammatiken. Das Ding ist deswegen Networkers best friend, wenn man es abkürzen kann. Dann kann man abkürzen soweit möglich. Also IPL tut auch. Oder IP Route Add kann ich abkürzen zu IPRA. Für Tippfaule hochgradig geeignet. Ja, genau. Ja. Das mal die Referenz zu IP-Link, was alles kann. Ich kann damit einen Link aktivieren. Ich kann damit quasi Pormiscus-Mode einschalten. Ich kann die MAC-Adresse damit setzen. Ich kann damit die MTU setzen. Ich kann damit also das Ding an der App, der ein Paket umgebrochen werden muss. Das heißt, dass die Größe, wie groß ein Paket sein kann, dass es auf dem Link transportiert werden kann. Das kann halt sein, dass manche Linkspakete mit 1.500 Beid, was in die Folge ist, halt nicht übertragen können. Genau. Das ist eine starke Kürztefassung, damit es sinnvoll auf die Folien passt. Das Ding ist im Zweifelfall noch dreimal länger. Die Hilfe kriegt man mit IP Sub-Command Help. Also IP-Link Help, und dann kann man das Ding an den Link transportieren. Die Man-Pay-Dels sind echt gut. Ich habe halt ein IP-ADDR-Ad address zufügen, um eine neue IP-Adress hinzuzufügen. Die ganzen Kommandos gibt es auch noch mal mit IP-6. Dann kann ich IP-6-Adress AD-Ad machen und eine IP-V6-Adresse hinzufügen. Hobe ich das, dass ich das IP-6 nicht zwingend brauche, das Ding ist schlau genug zu erkennen, dass man eine V6-Adresse gibt und nutzt die einfach ohne zu mopmern. Da sind wir im Lab angekommen. Habe ich jetzt aber schnell, ne? Ja. Gibt es noch Fragen aus dem Auditorium? Haben noch ungefähr eine Viertelstunde Zeit, bis zwingende Mittagspause ist. Gibt es noch Wissensdurs, den wir stillen können? Heute nicht, nein. Nein. Das haben wir aus Zeitgründen rausgehauen, vielleicht, wenn es sich entwickelt, aber ich glaube ja nicht. Doch. Also wir haben das deshalb gesagt, weil wir zusammen die DE noch besucht haben und wir hatten einen interessanten Vortrag, der genau darüber gesprochen hat, dass es eine Herausforderung ist, wenn man jetzt sehr viel Computing-Infrastruktur hat und mehrere links parallel benutzen möchte, Ausfallsicherheit hinzubekommen und alle links gleichzeitig zu benutzen. Und darum hat er gesagt, dass diese Probleme sind mit Lea 2 nicht effektiv lösbar und hat dann vorgestellt, dass er im Grunde komplett routet zu jedem einzelnen System in seinem Netzwerk. Das heißt, er spricht halt OSPF ZeroConf und der Switch, der dann am nächsten ist, kriegt die Informationen, welcher IP-Adresse dann dem Link dran hängt und verbreitet die dann weiter per BGP im eigenen Netzwerk und damit bekommt er halt auch sowas wie Equal-Cross-Multiparticle und sowas. Weil er die über mehrere Links sieht, die diese Server in seinem Netzwerk und kann dann halt Pakete entweder über Link A oder Link B dahin schicken. Also das war halt einfach der Grund, die haben gesagt so, wir haben eine riesige Infrastruktur, wir haben ganz viele Links und wir möchten nicht die Hälfte davon ungenutzt lassen. Es gibt keine effiziente Lösung für das Problem in Lea 2. Darum machen wir das einfach nicht mehr mit Lea 2, sondern machen das halt nur noch mit IP-Routing. Also das ist das primäre Thema im Datacenter-Bereich, wo man halt große Bandbreiten haben möchte. Das heißt, man channelt mehrere Links zusammen ins Cisco-Sprech, weil Linux heißt das ganze Bonding, kann IP übrigens auch mittlerweile. Und dann hat man das Problem, dass man Spanning Tree am Start hat. Lea 2 sollte ja loopfrei sein, ansonsten passiert das, was Thomas vorhin sagte. Das Paket eine Schleife drehen, das will man nicht, dann werden Links voll. Das gibt relativ schnell relativ fiese Effekte im Netz. Man sucht sich erst mal einen Wolf. Das heißt, wenn ich mehrere Pfade habe von meinem großen Router zu meinen Servern, die unten hängen in meinem Schaubild in der Luft hier, heißt das, dass ich mehrere Pfade davon totmachen muss. Das heißt, es fließen keine Daten darüber. Ich verliere also Bandbreite, muss aber für teuer Geld im Rechenzentrumsbereich, Switche, Links und Ähnliches bereitstellen. Das heißt, es kostet mich. Es nutzt mir aber nur dann was, wenn eine der Kisten hoch geht und mein Failover funktioniert. Wenn ich das ganze per Layer 3 mache, das Stichwort ist IP Fabric, wo man schön viel googeln kann, werden alle Links gleichzeitig benutzt. Es erhöht ein bisschen die Komplexität, weil alle meine Server unten irgendeine Art von dynamischem Routing sprechen müssen. Also da sind wir wirklich im Datacenterbereich, wo das hochgradig relevant wird. Für Standard-Access-Netze wird man das einfach so weitermachen, wie man es bisher tut. Man kann das nach dem Modell machen, zum Beispiel Firewall-Ling. Das heißt, ich habe entweder auf dem Routing-Wig irgendwo die Firewall, aber ich habe jetzt nicht mehr wie früher von meinem Layer 2-Segment irgendwo eine Firewall, die gehen davon aus, dass alle Systeme einfach per se in einem nicht-vertrauenswürdigen Netzwerk hängen und Firewallen dann einfach auf den einzelnen System. Ein zusätzlicher Vorteil davon ist, wenn ich das OSPF zum Beispiel mache, dass die Konvergenz halt schneller ist als bei Spanning 3 zum Teil. Bis der den gesamten Baum neu berechnet hat in Spanning 3, man dauern, das OSPF-Kondue geht da schneller. MSTP, Multiple Spanning 3. Ja, das MSTP, Multiple Spanning 3. Ah so, Johannes hat gerade gefragt, was ist mit Multiple Spanning 3? Also MSTP, ja. Schmerzen. Man möchte im Rechenzentrum kein Spanning 3 haben, egal welches. Ja, das ist richtig. Da haben wir das nächste Problem, gerade wenn wir über Freifunk reden und das, was die meisten vermutlich tun, sind wir bei Batman. Das heißt, wir haben eine riesen große Layer 2-Domäne, wie im Hochstift, Parabon, haben ungefähr 1.000 Knoten. Da sind stellenweise 2.000 bis 3.000 Leute parallel drin. Das heißt, wir reden mal irgendwie über 4.000 Geräte, die da am Start sind, die Knoten gehören ja auch dazu. Und da drin, das haben wir eine riesen Broadcast Wolke. Einer schmeißt an einer Stelle was rein, zum Beispiel ein Up-Paket. Das muss per Broadcast an alle gesendet werden, weil ich habe ja noch keinen Empfänger, den will ich ja kriegen. Analog für IPv6. Und ich habe einen riesen Wust an Daten, das heißt, wir reden mittlerweile knapp über, ich glaube, ein Ambit an Grundrauschen, was man nur in dieser blöden Wolke hat, aufgrund der Einschränkung, die Layer 2 mitbringt. Hätte ich ein reines Roting-Protokoll, also ein Layer 3-Protokoll, hätte ich das Problem nicht, weil die Layer 2-Domänen kleiner sind. Das heißt, meine Broadcast-Bereiche sind viel kleiner. Es gibt noch eine Besonderheit beim Batman. Es gibt ja noch die verteilte Adress-Tabelle. Also manche Dinge lassen sich vielleicht damit auch auflösen, aber nicht, wenn sie denn funktioniert. Wenn sie denn funktioniert, ja. Vorne war, glaube ich, noch eine Frage. Ja, das ist streaming.media.ccc.de. Das wäre der Livestream von dem, was wir hier gerade tun. Wir arbeiten noch an einem SignalAngel, dass wir auch aus dem IAC irgendwelche Fragen beantworten können. Kommt vielleicht dann später noch, genau. VLANs, das heißt, du meinst, du hast jetzt zwei verschiedene VLANs, und die möchtest du verbinden. Der am besten halt in einem Hostsystem. Also manche Switches können das. Die können so VLAN-Mappings machen innen drin. Man kann das aber auch in einem Hostsystem machen. Das heißt, du baust quasi zwei VLANs auf den Interfaces und packst die zum Bridge. Dann sind die halt verbunden. Dann packen die per VLAN-Tag rein mit VLAN, was nicht vier, sind gebridged und gehen wieder mit VLAN zwei raus. Ich hätte mal eine Rückfrage. Möchtest du das gerouten, oder möchtest du das VLANs auf Layer 2 zusammenstopfeln, also quasi zwei virtuelle Switche verbinden? Also bei dem miteinander verbinden ist das Paket quasi unverändert. Das heißt, es geht da durch, ohne irgendwas zu verändern. Und beim Rooting wäre das halt so, dass der Host selber ein IP-Adress hat. Ich hätte einen IP-Adress in VLAN 2 und würde selber adressiert werden, um ein Paket durchzuschieben. Oder irgendein teurer Router mit einer San Francisco Bridge da drauf macht das. Ja. Du meinst, ein eigenes Hubnetz pro VLAN? Ja. Ja, also du kannst beliebig viele Subnetze in einem Netzwerkssegment verwenden. Als VLAN begrenzt ja im Grunde das Netzwerkssegment. Und man kann auch beliebig viele verschiedene Subnetze in einem Sektnetzwerkssegment verwenden. Die kommen sich nicht in die Quere. Das ist aber nicht unbedingt schön. Also schaut man halt, dass das Netzwerkssegment in Leer 2 auch da aufhört, wo mein IP aufhört. Ich versuche schon immer, ein Netzwerkssegment mit einem IP-Space zu verwenden. Ja. In einem Netzwerk verwenden dann halt. Ja. Das klingt aber nach Schmerz. Wenn ich feier wollte, dann sollte man VLANs wirklich sauber trennen, irgendwo dazwischen sinnvollerweise auf dem Router oder ähnlichem. Ja. Also das Rooting ist halt heutzutage mit der Hardware so bis 10 Gigabit gar kein Problem mehr. Also wir haben jetzt ein E3, glaube ich. Also mit Linux Hardware, mit ernsthaften Routern, die das in Hardware machen, sind 10 Gigabit lächerlich. Ja. Also wir haben jetzt ein E3, glaube ich, im Einsatz bei den Servern, die wir verwenden und die machen gerade irgendwie so 3, 4 Gigabit ohne Probleme. Also die haben kein Load. Ich glaube, Oli hat da ausgerechnet, wenn das so skaliert, kommen wir in Summe auf 70 Gigabit über alle Maschinen problemlos. Also wenn das Linie ja skaliert mit der Load der Maschinen. Gibt es sonst noch Fragen? Sonst würden wir hier mal einen Cup machen. Ich möchte dazu sagen, wie das jetzt mit dem Essen aussieht. Drei, zwei, eins. Ach so. Okay. Ja, Philipp.