layer 2 pakete über router

[marzli2]

hallo,

haben wir zwar im kurs oft gekärt, aber in der prüfung war ich mir nicht mehr ganz sicher, von daher nochmal ohne nachgucken in den lehrbüchern:

wenn ich z.b. von pc1 zu pc2 daten sende und diese über 2 router gehen


pc1 -- router 1-----WAN------router2--pc2
und die daten nun bei pc 2 ankommen habe ich:

1. ip adresse pc1
2. ip adresse pc2
3. mac adresse pc 1
4. mac adresse von router 2

vielleicht kann mir das jemand nochmal ganz simpel und kurz erklären. router ersetzen ja die mac adressen. aber wie nochmal im detail. quell mac bleibt?? und ip adressen ja sowieso?
danke

[firefox80]

Wenn die Pakete am Router1 von pc1 ankommen, nimmt er NAT vor. Dabei ersetzt er die Infos, die er vom pc1 hat durch seine eigenen und speichert, dass er das gemacht hat. über die öffentliche schnittstelle des routers gelangen die pakete ins internet. der router2 weiss jetzt nur dass er pakete von router1 bekommen hat und hat keine infos über dessen lan dahinter.
dem router2 muss man jetzt bekannt geben, was er mit eingehenden paketen machen soll. (port forwarding bzw dmz einstellen)
so gelangt das paket dann an pc2

verständlich?

[Blacky_24]

Wegen der Beschränkheit der Forensoftware in 2 Teilen:

Zitat von firefox80 Wenn die Pakete am Router1 von pc1 ankommen, nimmt er NAT vor. Dabei ersetzt er die Infos, die er vom pc1 hat durch seine eigenen und speichert, dass er das gemacht hat. über die öffentliche schnittstelle des routers gelangen die pakete ins internet. der router2 weiss jetzt nur dass er pakete von router1 bekommen hat und hat keine infos über dessen lan dahinter. dem router2 muss man jetzt bekannt geben, was er mit eingehenden paketen machen soll. (port forwarding bzw dmz einstellen) so gelangt das paket dann an pc2

Ah ja.

Zitat von firefox80 verständlich?

Nein. Ausserdem ist es falsch.

Was Du da beschreibst ist ein Sonderfall (NAPT) eines Sonderfalls (NAT) des Routings. Das Konstrukt "NAT" wurde erst Jahre nach dem Router "erfunden" und sollte in erster Linie das Problem der "knappen" IPv4-Netze entschärfen (irgendwann dann fälschlicherweise zum Security-Merkmal hochstilisiert). Ursprünglich beschrieben in RFC 1631, später dann überarbeitet in RFC 3022 und dort sehr schön definiert:

Basic Network Address Translation or Basic NAT is a method by which IP addresses are mapped from one group to another, transparent to end users. Network Address Port Translation, or NAPT is a method by which many network addresses and their TCP/UDP (Transmission Control Protocol/User Datagram Protocol) ports are translated into a single network address and its TCP/UDP ports. Together, these two operations, referred to as traditional NAT, provide a mechanism to connect a realm with private addresses to an external realm with globally unique registered addresses.

Viele Leute kennen Router nur als Geräte die NATten und sind der irrigen Auffassung dass NAT = Routing sei. Das ist falsch und nur der Tatsache geschuldet, dass mittlerweile in fast jedem Haushalt ein Router steht der irgendwie NAT machen muss weil der ISP bei der Einwahl gerade mal eine IP-Adresse rausrückt (s.o.: "knapper Adressraum", im Zusammenhang zu sehen auch RFC 1918).

Wir konnten auch schon vor NAT routen - und das hat sogar funktioniert.

Die Fragestellung bezieht sich konkret auf Ethernets als Quelle und Senke einer gerouteten Verbindung. Was die WAN-Strecke dazwischen ist wissen wir nicht. Das könnte ein Ethernet sein, es könnte aber auch ein Token Ring oder ein Frame-Relay oder gar ein VPN sein.

[Blacky_24]

MAC-Adressen sind eine spezifische Eigenschaft von Ethernets, ob dadrauf nun TCP/IPoder IPX/SPX oder AppleTalk (würg) läuft ist dem Ethernet herzlich egal.

Auf der anderen Seite wird ein Token Ring oder Frame Relay ziemlich verständnislos auf eine MAC-Adresse schauen weil diese Layer 2-Protokolle mit dem Konzept MAC-Adresse schlicht nichts anfangen können.

Abgesehen davon geht das Gerücht um dass man Ethernet nicht routen kann. Man kann ein Ethernet zwar "grösser" machen bis zu einem bestimmten Punkt aber man kann es nicht routen. Ethernet wohnt auf OSI2, geroutet wird aber auf OSI3 - und da wohnen andere Protokolle.

Man muss also zwei Fälle unterscheiden:

LAN1-Router1-EthernetWAN-Router2-LAN2

und:

LAN1-Router1-NichtEthernetWAN-Router2-LAN2

Im ersten Fall läuft das WAN über ein Ethernet und da muss es zwangsläufig MAC-Adressen geben da die Router untereinander Ethernet-Frames austauschen (mit den IP-Paketen drin). Also schickt R1 einen Frame an R2 und im Frame-Header steht R1 als Absender und R2 als Empfänger. In dem Frame steckt wiederum ein IP-Paket mit einem eigenen Ip-Header. Sehr schön anzusehen mit einem Sniffer. Das Ethernet zwischen den beiden Routern hat nix mit den LANs hinter den Routern zu tun - sonst hätten wir bestenfalls ein geswitchtes Netz und die Router wären keine Router sondern Bridges und das Internet gäbe es bis heute nicht.

Der Router2 wiederum nimmt das Frame auf der WAN-Seite an, extrahiert den IP-Teil, packt den in einen neuen Frame mit seiner LAN-MAC als Absender und der MAC des Ziel-Hosts als Empfänger und schickt den über sein LAN-Interface raus.

Was bitte soll das auch anders funktionieren? Bekanntlich gibt es da ja auch noch sowas wie ARP. Wie soll ARP funktionieren wenn im LAN2 MAC-Adressen von LAN1 auftauchten? Die Router müssten auch noch MAC-Tabellen führen oder wie? Deswegen haben wir doch TCP/IP auf OSI3 um von dem Kram wegzukommen und überhaupt routen zu können.

Der Vollständigkeit halber: O.a. Fall 2: Müsste jedem klar sein dass Ethernet-Frames und MACs auf der WAN-Strecke ungefähr so sinnvoll ist wie ein Euter an einem Ochsen.

Nun das Wort zum Sonntag: Wer das nicht begriffen hat sollte DRINGENDST diese Defizite ausbügeln, zumindest wenn er damit hausieren geht dass er irgendwelche "Prüfungen" (Freischwimmer?) gemacht hat. Normalerweise lernt man das am zweiten und dritten Tag jeder Basis-Netzwerkschulung. Wer das nicht kennt oder versteht sollte sich ernsthaft mit der Frage auseinander setzen ob er den richtigen Beruf hat, das ist fast so als ob man als Nichtschwimmer Bademeister sein wollte. Wer weiterführende Literatur sucht und sich nicht durchs WWW wühlen will soll sich für ein paar Euronen z.B. gebraucht in eBay das Buch "Interconnections" von Radia Perlmann kaufen, die hat einen guten Teil von dem ganzen Kram (mit-) erfunden und weiss wovon sie schreibt, ausserdem hat sie eine lockere und lustige Schreibe die auch ein absolut blutiges Newbie verstehen kann.

Gruss
Markus

[marzli2]

lass jetzt mal nat weg. spielt keine rolle in diesem fall. (ok hätte kein wan angeben sollen)

pc1 -- router 1-----router2--pc2
und die daten nun bei pc 2 ankommen habe ich:

1. ip adresse pc1
2. ip adresse pc2
3. mac adresse pc 1
4. mac adresse von router 2
ist das so korrekt?

ip adressen sind klar. und router ersetzen mac adressen. von daher sollte das paket bei pc2 die mac adresse von router 2 beinhalten...

[marzli2]

so, hier wie ich es richtig meine: ist das so korrekt?

www.zuckermandel.de/mac-router.JPG

[Blacky_24]

Zitat von marzli2 so, hier wie ich es richtig meine: ist das so korrekt? www.zuckermandel.de/mac-router.JPG

Im Prinzip zeigt diese rustikale Grafik genau das was ich oben so wortreich versucht habe zu erklären.

Gruss
Markus

[marzli2]

danke für die (sehr zynischen) posts, blacky_24. ich bin stolz darauf, diese höchst kontrastreiche grafik ohne kommerzwerkzeuge wie visio & co. erstellt zu haben

[Blacky_24]

Bei einem Wettbewerb für ASCII-Art sicher nicht chancenlos.

Das mit dem Zynismus weise ich zurück, Sonntags bin ich immer sehr milde gestimmt

Gruss
Markus

[Schnufix]

....dass Ethernet-Frames und MACs auf der WAN-Strecke ungefähr so sinnvoll ist wie ein Euter an einem Ochsen.

Netter Vergleich Ich hät's nicht besser schreiben können....

Carsten