Versuch III: Netzverkehr und Fehlerquellen

Begreifen des Patchfeldes:
- Vor Ihnen auf dem Tisch ist ein Switch ("Hewlett Packard"), ein Hub und ein Patchfeld aufgebaut. Über diesen Switch erfolgt der Uplink der beiden Hosts pcnmXov und pcnm1prot.
- Das Patchfeld dient dazu, die empfindlichen Portbuchsen des Switches vor Beschädigung und Abnutzung zu bewahren. Im Idealfall sollten Sie am Switch gar nichts umstecken müssen.
- Werfen Sie nun einen Blick auf Abbildung 5.1, um das Patchfeld zu verstehen. Buchse Nr. 9 ist mit Buchse Nr. 13 verbunden, Buchse Nr. 10 mit Buchse Nr. 14 und so weiter...
- Die Stecker der Kabel "pcrnp10nmX" (gelb), "pcnmXov" (grau) und "pcnmXprot" (grau) sollten sich in den Patchbuchsen Nr. 9, 10 und 11 befinden. Sollte dem nicht so sein, dann stecken Sie sie bitte dort hin und belassen sie dort bis zum Ende aller Zeiten.
- Buchse Nr. 13 des Patchfeldes muss über ein Cross-Connect-Kabel mit einem beliebigen Port des Switches verbunden sein (achten Sie auf die kreuzförmige Kabelbeschriftung). Die Buchsen Nr. 14 und 15 des Patchfeldes müssen ebenfalls mit irgendwelchen Ports des Switches verbunden sein, allerdings über normale Kabel (keine Cross-Connects).
Starten des Protokollanalyse-Programms:
Loggen Sie sich mit der Praktikumskennung am pcnmXprot ein. Starten Sie das Prokotollanalyse-Programm ethereal (mittels sudo ethereal). Löschen Sie alle noch bestehenden Display-Filter (siehe Hinweis) und starten Sie eine Messung, die Ihnen einen Überblick über die Rechner des Praktikumsnetzes gibt und aus der Sie die Auslastung des Netzes ersehen können. Es ist hilfreich, einen Filter zum Ignorieren des NFS-Traffics zu setzen. Beachten Sie auch die unten angegebenen Hinweise.
Ermittlung des DNS-Servers:
Ermitteln Sie den oder die Rechner im Netz, die als DNS-Server dienen. Erstellen Sie dazu einen Filter, der Nameserver-Anfragen filtert. Welchen Traffic beobachten Sie, und woraus können Sie die IP-Addresse des Nameservers ersehen? Falls Sie keine Nameserver-Anfragen im Netz beobachten, starten Sie mit nslookup selber eine.
Fehlerquellen im Netzwerk:
Starten Sie eine Messung, und das Programm menetekel, welches fehlerbehafteten Netzverkehr simuliert (das Programm menetekel ist zur Zeit nicht installiert). Beobachten Sie die Auswirkungen im Netzwerk. Was für Fehler und Störungen können Sie beobachten? Beenden Sie nach der Messung das Programm und starten Sie das Aufräum-Skript cleanup.sh.
Hub und Switch:
Wir wollen den Uplink der Hosts pcnmXov und pcnmXprot nunmehr über den Hub führen (und nicht mehr über den Switch).
- Ziehen Sie aus den Buchsen Nr. 14 und 15 des Patchfeldes die beiden Verbindungskabel heraus. Am Switch ändern Sie nichts.
- Verbinden Sie nun mit zwei anderen Kabeln die Buchsen Nr. 14 und 15 des Patchfeldes mit zwei beliebigen Ports des Hubs.
- Der Hub muss über das rote Cross-Connect-Kabel mit Port 24 des Switches verbunden sein.
- Beobachten Sie nun mit dem Protokollanalysator die Änderungen im Netzverkehr. Welche Unterschiede im Traffic können Sie feststellen, wenn Sie den Uplink über den Switch mit dem Uplink über den Hub vergleichen? Ist aus Management-Sicht ein geswitchtes Netz von Vorteil? Was für Nachteile sind damit verbunden?
- Sie können die beiden Hosts für den nächsten Versuch am Hub belassen.

Abbildung 5.1:

Patchfeld, Hub und Switch

Hinweis

Das Programmfenster des Protokollanalyse-Programms ethereal ist in drei Unterfenster aufgeteilt. Im oberen sehen Sie eine Zusammenfassung des mitgehörten Netzverkehrs. Im mittleren können Sie sich einzelne Pakete anzeigen und den Protokollstack dekodieren lassen. Im unteren sehen Sie eine hex-Darstellung der gesnifften Pakete. Wenn Sie im mittleren Fenster ein Feld im Protokollheader selektieren, so werden im unteren Fenster die zugehörigen Bytes markiert.
Sie können jetzt im Menü "Capture" mit Start eine Messung beginnen. Im daraufhin erscheinenden Auswahlfenster haben Sie die Möglichkeit, einen Filter auszuwählen. Als Interface sollte eth0 eingestellt sein. Mit OK beginnen Sie die Messung, mit Stop beenden Sie diese wieder. Im Verlauf der Messung sehen Sie auch Statistiken über die Art der geloggten Pakete. Sie können die komplette Messung oder einzelne Pakete davon mittels des Menuepunktes Print im Menue File in eine Textdatei exportieren und für Ihre Ausarbeitungen verwenden.
In Ethereal werden zwei Arten von Filtern bereitgestellt: Display-Filter und Capture-Filter. Capture-Filter ermöglichen es, vor Beginn einer Messung genau anzugeben, welche Art von Paketen mitgeloggt bez. ignoriert werden soll. Display-Filter ermöglichen nachträglich präzise Filterung der bereits dekodierten Pakete. Im RNP werden Capture-Filter eingesetzt.
Für die Erstellung von Capture-Filtern wird die normale tcpdump-Filter-Syntax benutzt. Einige Filter sind schon voreingestellt. Eigene Filter können Sie folgendermassen erstellen: Im Menue Edit den Punkt "Capture Filters" selektieren, im Feld "Filter name" und "Filter string" jeweils den Namen und den Filter eingeben, auf New klicken um den neuen Filter anzulegen und Save, um das Filterfile zu sichern. Achtung: Filter, die Sie selber erstellen, werden nach dem Neustart von ethereal überschrieben. Die Syntax der Capture-Filter ist (vereinfacht) die folgende:
```
[not] primitive [ and|or [not] primitive ...]
```
Ein primitive ist dabei ein Identifier (zum Beispiel eine Ip-Addresse oder eine Port-Nummer) mit einem Qualifier davor, der angibt, worum es sich beim nachfolgenden Identifier handelt. Als Qualifier sind möglich: host, net und port für eine Host-Addresse, eine Netz-Addresse oder eine Portnummer; src bzw. dst, falls es sich um die Quell- bzw. Zieladdresse handelt und ether, ip, arp, icmp, tcp und upd zum Filtern nach Protokoll. Die genaue Syntax der Capture-Filter können Sie z.B. der Manpage zu tcpdump(1) entnehmen.
Filterbeispiele:
- tcp port 23
  TCP-Verkehr auf Port 23, Telnet
- not host 192.215.168.10 and tcp port 23
  TCP-Verkehr auf Port 23, aber nichts vom Rechner 192.215.168.10
- src host 192.215.168.10 and dst host 192.215.168.11
  Verkehr zwischen diesen zwei Rechnern, nur eine Richtung.
Die Portnummern finden Sie in der Datei /etc/services.