os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

The bridge section of "Advanced Networking".

Browse source 
Submitted by:	Johann Kois <J.Kois@web.de>
This commit is contained in:
Martin Heinen 2003-02-04 00:23:46 +00:00
parent 14ed46dab5
commit 8c365a51a1
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=15899
1 changed files with 224 additions and 28 deletions

252
de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.sgml
View file

@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.19 2003/01/12 19:04:26 mheinen Exp $
basiert auf: 1.195
$FreeBSDde: de-docproj/books/handbook/advanced-networking/chapter.sgml,v 1.25 2003/02/02 18:44:42 mheinen Exp $
basiert auf: 1.196
-->
<chapter id="advanced-networking">
@ -14,10 +14,11 @@
<firstname>Johann</firstname>
<surname>Kois</surname>
<contrib>&Uuml;bersetzt von </contrib>
<!-- j.kois@web.de, 05. Januar 2003 -->
<!-- j.kois@web.de, 02. Februar 2003 -->
</author>
</authorgroup>
</chapterinfo>
<title>Weiterf&uuml;hrende Netzwerkthemen</title>
<sect1 id="advanced-networking-synopsis">
@ -39,38 +40,35 @@
</listitem>
<listitem>
<para>Wissen, wie Sie mit FreeBSD eine Bridge einrichten.</para>
<para>Eine Bridge unter FreeBSD einrichten k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man ein Netzwerkdateisystem
installiert.</para>
<para>Ein Netzwerkdateisystem (NFS) einrichten k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man einen plattenlosen Rechner &uuml;ber das
Netzwerk startet.</para>
<para>Einen plattenlosen Rechner &uuml;ber das Netzwerk starten
k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man einen Netzwerkinformationsserver (NIS)
f&uuml;r gemeinsame Benutzerkonten einrichtet.</para>
<para>Einen Netzwerkinformationsserver (NIS) f&uuml;r gemeinsame
Benutzerkonten einrichten k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man automatische Netzwerkeinstellungen
mittels DHCP einrichtet.</para>
<para>Automatische Netzwerkeinstellungen mittels DHCP vornehmen
k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man einen Domain Name Server (DNS)
einrichtet.</para>
<para>Einen Domain Name Server (DNS) einrichten k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man, unter Verwendung des NTP-Protokolls,
Uhrzeit und Datum synchronisiert, sowie einen Zeitserver
einrichtet.</para>
<para>Unter Verwendung des NTP-Protokolls Uhrzeit und Datum
synchronisieren, sowie einen Zeitserver einrichten k&ouml;nnen.</para>
</listitem>
<listitem>
@ -84,13 +82,11 @@
</listitem>
<listitem>
<para>Wissen, wie man zwei Computer &uuml;ber PLIP
verbindet.</para>
<para>Zwei Computer &uuml;ber PLIP verbinden k&ouml;nnen.</para>
</listitem>
<listitem>
<para>Wissen, wie man IPv6 auf einem FreeBSD-Rechner
einrichtet.</para>
<para>IPv6 auf einem FreeBSD-Rechner einrichten k&ouml;nnen.</para>
</listitem>
</itemizedlist>
@ -469,7 +465,7 @@ host2.example.com link#1 UC 0 0
<title>Rechner mit zwei Heimatnetzen</title>
<indexterm>
<primary>dual homed hosts</primary>
<primary>Dual-Homed-Hosts</primary>
</indexterm>
<para>Es gibt noch eine Konfigurationsm&ouml;glichkeit, die wir
@ -607,7 +603,7 @@ host2.example.com link#1 UC 0 0
(Host) ausgef&uuml;hrt. Angezeigt werden die Gateway-Rechner
entlang des Verbindungspfades. Schlie&szlig;lich wird der
Zielrechner erreicht oder es kommt zu einem Verbindungsabbruch
(z. B. durch Nichterreichbarkeit eines
(z.B. durch Nichterreichbarkeit eines
Gateway-Rechners).</para>
<para>F&uuml;r weitere Informationen lesen Sie bitte die
@ -943,7 +939,7 @@ wi0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500
jeder, der es will, kann Ihre Daten lesen. Deshalb gibt es die
Verschl&uuml;sselung. Durch die Verschl&uuml;sselung der durch
die Luft versendeten Daten machen Sie es einem Dritten sehr
viel schwerer, Ihre Daten abzufangen, bzw. auf diese
viel schwerer, Ihre Daten abzufangen oder auf diese
zuzugreifen.</para>
<para>Die gebr&auml;uchlichsten Methoden, um Daten zwischen
@ -1083,12 +1079,212 @@ wi0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500
</sect1>
<sect1 id="bridging">
<sect1info>
<authorgroup>
<author>
<firstname>Steve</firstname>
<surname>Peterson</surname>
<contrib>Geschrieben von </contrib>
</author>
</authorgroup>
</sect1info>
<title>LAN-Kopplung mit einer Bridge</title>
<para>Dieser Abschnitt ist noch nicht &uuml;bersetzt. Lesen Sie
bitte <ulink
url="http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/bridging.html">
das Original in englischer Sprache</ulink>.</para>
<sect2>
<title>Einf&uuml;hrung</title>
<indexterm><primary>Subnetz</primary></indexterm>
<indexterm><primary>Bridge</primary></indexterm>
<para>Manchmal ist es n&uuml;tzlich, ein physikalisches Netzwerk
(wie ein Ethernetsegment) in zwei separate Netzwerke aufzuteilen,
ohne gleich IP-Subnetze zu erzeugen, die &uuml;ber einen Router
miteinander verbunden sind. Ein Ger&auml;t, das zwei Netze
auf diese Weise verbindet, wird als <emphasis>Bridge</emphasis>
bezeichnet. Jedes FreeBSD-System mit zwei Netzkarten kann
als Bridge fungieren.</para>
<para>Die Bridge arbeitet, indem sie die MAC Layeradressen (Ethernet
Adressen) der Ger&auml;te in ihren Netzsegmenten lernt. Der
Verkehr wird nur dann zwischen zwei Netzsegmenten weitergeleitet,
wenn sich Sender und Empf&auml;nger in verschiedenen Netzsegmenten
befinden.</para>
<para>In vielerlei Hinsicht entspricht eine Bridge daher einem
Ethernet-Switch mit sehr wenigen Ports.</para>
</sect2>
<sect2>
<title>Situationen, in denen <emphasis>Bridging</emphasis> angebracht
ist</title>
<para>Eine Bridge wird vor allem in folgenden zwei Situationen
verwendet.</para>
<sect3>
<title>Hohes Datenaufkommen in einem Segment</title>
<para>In der ersten Situation wird Ihr physikalisches Netz
mit Datenverkehr &uuml;berschwemmt. Aus irgendwelchen
Gr&uuml;nden wollen Sie allerdings keine Subnetze verwenden,
die &uuml;ber einen Router miteinander verbunden sind.</para>
<para>Stellen Sie sich einen Zeitungsverlag vor, in dem sich die
Redaktions- und Produktionsabteilungen in verschiedenen Subnetzen
befinden. Die Redaktionsrechner verwenden den Server A f&uuml;r
Dateioperationen, und die Produktionsrechner verwenden den
Server B. Alle Benutzer sind &uuml;ber ein gemeinsames
Ethernet-LAN miteinander verbunden. Durch den hohen Datenverkehr
sinkt die Geschwindigkeit des gesamten Netzwerks.</para>
<para>W&uuml;rde man die Redaktionsrechner und die
Produktionsrechner in separate Netzsegmente auslagern,
k&ouml;nnte man diese beiden Segmente &uuml;ber eine Bridge
verbinden. Nur der f&uuml;r Rechner im <emphasis>anderen</emphasis>
Segment bestimmte Verkehr wird dann &uuml;ber die Brigde in
das andere Netzsegment geleitet. Dadurch verringert sich das
Gesamtdatenaufkommen in beiden Segmenten.</para>
</sect3>
<sect3>
<title>Filtering/Traffic Shaping Firewall</title>
<indexterm><primary>Firewall</primary></indexterm>
<indexterm><primary>IP-Masquerading</primary></indexterm>
<para>Die zweite h&auml;ufig anzutreffende Situation tritt auf,
wenn Firewallfunktionen ben&ouml;tigt werden, ohne dass
IP-Maskierung (NAT - Network Adress Translation) verwendet wird.</para>
<para>Ein Beispiel daf&uuml;r w&auml;re ein kleines Unternehmen,
das &uuml;ber DSL oder ISDN an ihren ISP angebunden ist. Es
verf&uuml;gt &uuml;ber 13 weltweit erreichbare IP-Adressen, und
sein Netzwerk besteht aus 10 Rechnern. In dieser Situation ist
die Verwendung von Subnetzen sowie einer routerbasierten Firewall
schwierig.</para>
<indexterm><primary>Router</primary></indexterm>
<indexterm><primary>DSL</primary></indexterm>
<indexterm><primary>ISDN</primary></indexterm>
<para>Eine brigdebasierte Firewall kann konfiguriert und in den
ISDN/DSL-Downstreampfad ihres Routers eingebunden werden, ohne
sich um IP-Adressen k&uuml;mmern zu m&uuml;ssen.</para>
</sect3>
</sect2>
<sect2>
<title>Die LAN-Kopplung konfigurieren</title>
<sect3>
<title>Auswahl der Netzkarten</title>
<para>Eine Bridge ben&ouml;tigt mindestens zwei Netzkarten.
Leider sind unter FreeBSD&nbsp;4.x nicht alle verf&uuml;gbaren
Netzkarten daf&uuml;r geeignet. Lesen Sie &man.bridge.4;, um
sich &uuml;ber Details der unterst&uuml;tzten Karten zu
informieren.</para>
<para>Installieren und testen Sie beide Netzkarten, bevor Sie
fortfahren.</para>
</sect3>
<sect3>
<title>Anpassen der Kernelkonfiguration</title>
<indexterm><primary>Kernelkonfiguration</primary></indexterm>
<indexterm>
<primary>Kernelkonfiguration</primary>
<secondary>options BRIDGE</secondary>
</indexterm>
<para>Um die Kernelunterst&uuml;tzung f&uuml;r die LAN-Kopplung
zu aktivieren, f&uuml;gen Sie</para>
<programlisting>options BRIDGE</programlisting>
<para>in Ihre Kernelkonfigurationsdatei ein, und erzeugen einen
neuen Kernel.</para>
</sect3>
<sect3>
<title>Firewallunterst&uuml;tzung</title>
<indexterm><primary>Firewall</primary></indexterm>
<para>Wenn Sie die Bridge als Firewall verwenden wollen, m&uuml;ssen
Sie zus&auml;tzlich die Option <varname>IPFIREWALL</varname>
einf&uuml;gen. F&uuml;r weitere Informationen zur Konfiguration
der Bridge als Firewall lesen Sie bitte den entsprechenden Abschnitt
des Handbuchs (<xref linkend="firewalls">).</para>
<para>Wenn Sie Nicht-IP-Pakete (wie z.B. ARP) durch Ihre
Bridge leiten wollen, m&uuml;ssen Sie eine zus&auml;tzliche,
undokumentierte Option verwenden. Es handelt sich um
<literal>IPFIREWALL_DEFAULT_TO_ACCEPT</literal>.
Beachten Sie aber, dass Ihre Firewall durch diese Option per
Voreinstellung alle Pakete akzeptiert. Sie sollten sich also
&uuml;ber die Auswirkungen dieser Option im Klaren sein,
bevor Sie sie verwenden.</para>
</sect3>
<sect3>
<title>Unterst&uuml;tzung f&uuml;r Traffic Shaping</title>
<para>Wenn Sie die Bridge als Traffic-Shaper verwenden wollen,
m&uuml;ssen Sie die Option <literal>DUMMYNET</literal> in
Ihre Kernelkonfigurationsdatei einf&uuml;gen. Lesen Sie
&man.dummynet.4;, um weitere Informationen zu erhalten.</para>
</sect3>
</sect2>
<sect2>
<title>Die LAN-Kopplung aktivieren</title>
<para>F&uuml;gen Sie die Zeile</para>
<programlisting>net.link.ether.bridge=1</programlisting>
<para>in <filename>/etc/sysctl.conf</filename> ein, um die Bridge
zur Laufzeit zu aktivieren, sowie die Zeile</para>
<programlisting>net.link.ether.bridge_cfg=<replaceable>if1</replaceable>,<replaceable>if2</replaceable></programlisting>
<para>um die LAN-Kopplung f&uuml;r die festgelegten Ger&auml;te
zu erm&ouml;glichen (ersetzen Sie dazu <replaceable>if1</replaceable>
und <replaceable>if2</replaceable> mit den Namen Ihrer Netzkarten).
Wenn Sie die Datenpakete via &man.ipfw.8; filtern wollen, sollten
Sie zus&auml;tzlich Folgendes einf&uuml;gen:</para>
<programlisting>net.link.ether.bridge_ipfw=1</programlisting>
</sect2>
<sect2>
<title>Leistung</title>
<para>Meine Bridge/Firewall besteht aus einem Pentium90-System mit
einer 3Com 3C900B und einer 3Com 3C905B Netzkarte. Die
gesch&uuml;tzte Seite des Netzwerks l&auml;uft im 10&nbsp;mbps
Halbduplex-Modus, und die Verbindung zwischen der Bridge und
meinem Router (einem Cisco 675) l&auml;uft im 100&nbsp;mbps
Fullduplex-Modus. Ohne aktivierte Paketfilterung habe ich
festgestellt, dass die Bridge Pings vom gesch&uuml;tzten Netzwerk
zum Cisco-Router um etwa 0,4&nbsp; Millisekunden verz&ouml;gert.</para>
</sect2>
<sect2>
<title>Sonstige Informationen</title>
<para>Wenn Sie via <command>telnet</command> auf die Bridge zugreifen
wollen, ist es in Ordnung, einer der beiden Netzkarten eine IP-Adresse
zuzuweisen. Es besteht Einigkeit dar&uuml;ber, dass es eine schlechte
Idee ist, beiden Karten eine IP-Adresse zuzuweisen.</para>
<para>Wenn Sie verschiedene Bridges in Ihrem Netzwerk haben, kann es
dennoch nicht mehr als einen Weg zwischen zwei Arbeitspl&auml;tzen
geben. Das hei&szlig;t, Spanning tree link Management wird nicht
unterst&uuml;tzt.</para>
</sect2>
</sect1>
<sect1 id="nfs">