109.3 Lektion 1

Zertifikat:

LPIC-1

Version:

5.0

Thema:

109 Netzwerkgrundlagen

Lernziel:

109.3 Grundlegende Netzwerkfehlerbehebung

Lektion:

1 von 2

Einführung

Linux verfügt über sehr flexible und leistungsstarke Netzwerkfunktionen. Darum finden sich Linux-basierte Betriebssysteme oft auf gängigen Netzwerkgeräten, einschließlich teurer kommerzieller Geräte. Linux-Netzwerke könnten eine Zertifizierung für sich sein, weshalb wir in dieser Lektion nur einige grundlegende Werkzeuge zur Konfiguration und Fehlerbehebung behandeln.

Sehen Sie sich vor dieser Lektion unbedingt die vorangegangenen über Internetprotokolle und dauerhafte Netzwerkkonfiguration an, da es im Folgenden um Tools zur Konfiguration und Fehlerbehebung von IPv4- und IPv6-Netzwerken geht.

Obwohl kein eigentliches Prüfungsthema, sind Packet Sniffer wie tcpdump nützliche Werkzeuge zur Fehlersuche. Mit Packet Sniffern können Sie Pakete, die in eine oder aus einer Netzwerkschnittstelle kommen, ansehen und aufzeichnen. Tools wie Hex Viewer und Protocol Analyzer dienen dazu, diese Pakete detaillierter zu betrachten als es ein Sniffer normalerweise erlaubt. Es ist daher wichtig, solche Programme zu kennen.

Der Befehl `ip`

Der Befehl ip ist ein relativ neues Werkzeug, das so ziemlich alles anzeigt und einstellt, was mit Netzwerkkonfigurationen zu tun hat. Diese Lektion behandelt einige der am häufigsten verwendeten Unterbefehle von ip, kratzt aber kaum an der Oberfläche dessen, was der Befehl tatsächlich bietet. Die Dokumentation wird Ihnen helfen, deutlich effizienter damit umzugehen.

Jeder Unterbefehl von ip hat eine eigene Manpage. Der Abschnitt SEE ALSO der ip Manpage zeigt eine Liste:

$ man ip
...
SEE ALSO
       ip-address(8), ip-addrlabel(8), ip-l2tp(8), ip-link(8), ip-maddress(8),
       ip-monitor(8), ip-mroute(8), ip-neighbour(8), ip-netns(8), ip-
       ntable(8), ip-route(8), ip-rule(8), ip-tcp_metrics(8), ip-token(8), ip-
       tunnel(8), ip-xfrm(8)
       IP Command reference ip-cref.ps
...

Einfacher ist der Zugriff über - und den Namen des Unterbefehls zu ip, z.B. man ip-route.

Eine weitere Informationsquelle ist die Hilfefunktion. Für die eingebaute Hilfe schreiben Sie help nach dem Unterbefehl:

$ ip address help
Usage: ip address {add|change|replace} IFADDR dev IFNAME [ LIFETIME ]
                                                      [ CONFFLAG-LIST ]
       ip address del IFADDR dev IFNAME [mngtmpaddr]
       ip address {save|flush} [ dev IFNAME ] [ scope SCOPE-ID ]
                            [ to PREFIX ] [ FLAG-LIST ] [ label LABEL ] [up]
       ip address [ show [ dev IFNAME ] [ scope SCOPE-ID ] [ master DEVICE ]
                         [ type TYPE ] [ to PREFIX ] [ FLAG-LIST ]
                         [ label LABEL ] [up] [ vrf NAME ] ]
       ip address {showdump|restore}
IFADDR := PREFIX | ADDR peer PREFIX
...

Überprüfung von Netzmasken und Routing

IPv4 und IPv6 sind sogenannte geroutete oder routingfähige Protokolle. Sie sind so konzipiert, dass Netzwerkdesigner den Verkehrsfluss steuern. Ethernet ist demgegenüber kein routingfähiges Protokoll, so dass Sie bei einer Reihe von Geräten, die nur über Ethernet miteinander verbunden sind, kaum Einfluss auf den Datenfluss im Netzwerk nehmen können. Alle Maßnahmen zur Kontrolle des Datenverkehrs würde in Verfahren ähnlich den aktuellen Routingprotokollen enden.

Mit Hilfe von Routingprotokollen werden Netzwerke segmentiert, um die Verarbeitungsanforderungen von Verbindungsgeräten zu reduzieren, Redundanz zu schaffen und den Datenverkehr zu verwalten.

IPv4- und IPv6-Adressen bestehen aus zwei Teilen: Die erste Gruppe von Bits bildet den Netzwerkteil, die zweite Gruppe den Hostteil. Die Anzahl der Bits, aus denen der Netzwerkteil besteht, bestimmt die Netzmaske (Netmask), auch _Subnetzmaske genannt. Manchmal wird sie auch als Präfixlänge bezeichnet. Wie immer es benannt sein mag, es handelt sich um die Anzahl der Bits, die der Rechner als Netzwerkteil der Adresse behandelt. Bei IPv4 wird dies manchmal in punktierter Dezimalschreibweise angegeben.

Hier ein Beispiel für IPv4 — die binären Ziffern behalten ihren Platzwert in den Oktetten, auch wenn sie durch die Netzmaske geteilt werden.

192.168.130.5/20

          192      168      130      5
          11000000 10101000 10000010 00000101

20 bits = 11111111 11111111 11110000 00000000

Network = 192.168.128.0
Host    = 2.5

Der Netzwerkteil einer Adresse dient einem IPv4- oder IPv6-Rechner dazu, in seiner Routingtabelle nachzuschauen, über welche Schnittstelle ein Paket versendet werden soll. Wenn ein IPv4- oder IPv6-Host mit aktiviertem Routing ein Paket empfängt, das nicht für den Host selbst bestimmt ist, versucht er, den Netzwerkteil des Ziels mit einem Netzwerk in der Routingtabelle abzugleichen. Findet er einen passenden Eintrag, sendet er das Paket an das in der Routingtabelle angegebene Ziel. Findet er keine Einträge und ist eine Standardroute konfiguriert, geht das Paket an die Standardroute. Ist weder ein Eintrag noch eine Standardroute konfiguriert, wird das Paket verworfen.

Schnittstelle konfigurieren

Wir besprechen hier zwei Werkzeuge, mit denen Sie eine Netzwerkschnittstelle konfigurieren: ifconfig und ip. Das Programm ifconfig ist zwar immer noch weit verbreitet, gilt aber als veraltet und ist auf neueren Systemen möglicherweise nicht mehr verfügbar.

Tip	Bei neueren Linux-Distributionen erhalten Sie mit der Installation des Pakets `net-tools` die alten Netzwerkbefehle.

Bevor Sie eine Schnittstelle konfigurieren, müssen Sie wissen, welche Schnittstellen verfügbar sind. Es gibt mehrere Möglichkeiten, diese zu ermitteln — eine ist die Option -a von ifconfig:

$ ifconfig -a

Eine andere Möglichkeit ist der Befehl ip. Sie finden dazu Beispiele mit ip addr, ip a oder ip address — diese sind synonym. Offiziell lautet der Unterbefehl ip address. Um die Manpage aufzurufen, geben Sie also man ip-address, nicht man ip-addr ein.

Der Unterbefehl link für ip listet die konfigurierbaren Schnittstellen auf:

$ ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:54:18:57 brd ff:ff:ff:ff:ff:ff
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:ab:11:3e brd ff:ff:ff:ff:ff:ff

Ist das sys-Dateisystem eingehängt, können Sie auch den Inhalt von /sys/class/net auflisten:

$ ls /sys/class/net
enp0s3  enp0s8  lo

Um eine Schnittstelle mit ifconfig zu konfigurieren, müssen Sie als root eingeloggt sein oder ein Dienstprogramm wie sudo verwenden, um den Befehl mit Root-Rechten auszuführen:

# ifconfig enp1s0 192.168.50.50/24

Die Linux-Version von ifconfig ist flexibel bei der Angabe der Subnetzmaske:

# ifconfig eth2 192.168.50.50 netmask 255.255.255.0
# ifconfig eth2 192.168.50.50 netmask 0xffffff00
# ifconfig enp0s8 add 2001:db8::10/64

Beachten Sie, dass bei IPv6 das Schlüsselwort add verwendet wurde. Wenn Sie einer IPv6-Adresse kein add voranstellen, erhalten Sie eine Fehlermeldung.

Der folgende Befehl konfiguriert eine Schnittstelle mit ip:

# ip addr add 192.168.5.5/24 dev enp0s8
# ip addr add 2001:db8::10/64 dev enp0s8

Mit ip nutzen Sie denselben Befehl sowohl für IPv4 als auch für IPv6.

Low-Level-Optionen konfigurieren

Der Befehl ip link dient dazu, Schnittstellen- oder Protokolleinstellungen auf niedriger Ebene zu konfigurieren, z.B. VLANs, ARP oder MTUs — oder um eine Schnittstelle zu deaktivieren.

Eine häufige Aufgabe für ip link ist es, eine Schnittstelle zu deaktivieren oder zu aktivieren, was Sie auch mit ifconfig bewerkstelligen können:

# ip link set dev enp0s8 down
# ip link show dev enp0s8
3: enp0s8: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast state DOWN mode DEFAULT group default qlen 1000
    link/ether 08:00:27:ab:11:3e brd ff:ff:ff:ff:ff:ff
# ifconfig enp0s8 up
# ip link show dev enp0s8
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:ab:11:3e brd ff:ff:ff:ff:ff:ff

Manchmal müssen Sie die MTU einer Schnittstelle anpassen. Wie bei der Aktivierung/Deaktivierung von Schnittstellen geschieht dies mit ifconfig oder ip link:

# ip link set enp0s8 mtu 2000
# ip link show dev enp0s3
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 2000 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:54:53:59 brd ff:ff:ff:ff:ff:ff
# ifconfig enp0s3 mtu 1500
# ip link show dev enp0s3
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:54:53:59 brd ff:ff:ff:ff:ff:ff

Die Routingtabelle

Mit den Befehlen route, netstat -r und ip route sehen Sie Routingtabelle ein. Um die Routen zu ändern, nutzen Sie route oder ip route. Hier einige Beispiele für die Anzeige einer Routingtabelle:

$ netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         10.0.2.2        0.0.0.0         UG        0 0          0 enp0s3
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 enp0s3
192.168.150.0   0.0.0.0         255.255.255.0   U         0 0          0 enp0s8
$ ip route
default via 10.0.2.2 dev enp0s3 proto dhcp metric 100
10.0.2.0/24 dev enp0s3 proto kernel scope link src 10.0.2.15 metric 100
192.168.150.0/24 dev enp0s8 proto kernel scope link src 192.168.150.200
$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.0.2.2        0.0.0.0         UG    100    0        0 enp0s3
10.0.2.0        0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.150.0   0.0.0.0         255.255.255.0   U     0      0        0 enp0s8

Beachten Sie, dass es keine Ausgabe für IPv6 gibt. Um die Routingtabelle für IPv6 zu sehen, nutzen Sie route -6, netstat -6r und ip -6 route:

$ route -6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
2001:db8::/64                  [::]                       U    256 0      0 enp0s8
fe80::/64                      [::]                       U    100 0      0 enp0s3
2002:a00::/24                  [::]                       !n   1024 0      0 lo
[::]/0                         2001:db8::1                UG   1   0      0 enp0s8
localhost/128                  [::]                       Un   0   2     84 lo
2001:db8::10/128               [::]                       Un   0   1      0 lo
fe80::a00:27ff:fe54:5359/128   [::]                       Un   0   1      0 lo
ff00::/8                       [::]                       U    256 1      3 enp0s3
ff00::/8                       [::]                       U    256 1      6 enp0s8

Wir verzichten auf ein Beispiel für netstat -r6, da die Ausgabe mit route -6 identisch ist. Teile der Ausgabe des route-Befehls sind selbsterklärend. Die Spalte Flag liefert Informationen über die Route. Das U-Flag zeigt an, dass eine Route aktiv ist. Ein ! bedeutet, dass die Route abgelehnt wird — sie wird also nicht verwendet. Das Flag n markiert, dass die Route nicht gecached wurde. Der Kernel hält einen Cache von Routen für schnellere Lookups vor, getrennt von allen bekannten Routen. Das Flag G weist auf ein Gateway hin. Die Spalte Metric oder Met wird vom Kernel nicht verwendet — sie bezieht sich auf die administrative Distanz zum Ziel. Diese administrative Distanz nutzen Routingprotokolle zur Bestimmung dynamischer Routen. Die Spalte Ref gibt die Anzahl der Verweise bzw. der Verwendungen einer Route. Wie Metric wird sie vom Linux-Kernel nicht verwendet. Die Spalte Use zeigt die Anzahl der Suchvorgänge für eine Route.

In der Ausgabe von netstat -r zeigt MSS die maximale Segmentgröße für TCP-Verbindungen über diese Route an und die Spalte Window die standardmäßige TCP-Fenstergröße. Die Spalte irtt nennt die Umlaufzeit für Pakete auf dieser Route.

Die Ausgabe von ip route und ip -6 route lautet wie folgt:

Zielort
Optionale Adresse, gefolgt von der Schnittstelle
Zum Hinzufügen der Route verwendetes Routingprotokoll
Geltungsbereich der Route — ohne Angabe handelt es sich um einen globalen Bereich oder ein Gateway
Metrik der Route — von dynamischen Routingprotokollen verwendet, um die Kosten der Route zu bestimmen. Sie wird von den meisten Systemen nicht verwendet.
Bei einer IPv6-Route die RFC4191-Routenpräferenz

Einige Beispiele sollen dies verdeutlichen:

IPv4-Beispiel

default via 10.0.2.2 dev enp0s3 proto dhcp metric 100

Das Ziel ist die Standardroute.
Die Gateway-Adresse lautet 10.0.2.2 und ist über die Schnittstelle enp0s3 erreichbar.
Es wurde per DHCP zur Routingtabelle hinzugefügt.
Der Geltungsbereich ist nicht angegeben, so dass er global gilt.
Die Route hat einen Aufwandswert von 100.
Keine IPv6-Routenpräferenz.

IPv6-Beispiel

fc0::/64 dev enp0s8 proto kernel metric 256 pref medium

Das Ziel ist fc0::/64.
Es ist über die Schnittstelle enp0s8 erreichbar.
Es wurde vom Kernel automatisch hinzugefügt.
Der Geltungsbereich ist nicht angegeben, so dass er global gilt.
Die Route hat einen Aufwandswert von 256.
Es hat eine IPv6-Präferenz von medium.

Routen verwalten

Routen verwalten Sie mit route oder ip route. Hier ein Beispiel für das Hinzufügen und Entfernen einer Route mit dem Befehl route. Bei route müssen Sie die Option -6 für IPv6 verwenden:

# ping6 -c 2 2001:db8:1::20
connect: Network is unreachable
# route -6 add 2001:db8:1::/64 gw 2001:db8::3
# ping6 -c 2 2001:db8:1::20
PING 2001:db8:1::20(2001:db8:1::20) 56 data bytes
64 bytes from 2001:db8:1::20: icmp_seq=1 ttl=64 time=0.451 ms
64 bytes from 2001:db8:1::20: icmp_seq=2 ttl=64 time=0.438 ms
# route -6 del 2001:db8:1::/64 gw 2001:db8::3
# ping6 -c 2 2001:db8:1::20
connect: Network is unreachable

Hier das gleiche Beispiel mit dem Befehl ip route:

# ping6 -c 2 2001:db8:1:20
connect: Network is unreachable
# ip route add 2001:db8:1::/64 via 2001:db8::3
# ping6 -c 2 2001:db8:1:20
PING 2001:db8:1::20(2001:db8:1::20) 56 data bytes
64 bytes from 2001:db8:1::20: icmp_seq=2 ttl=64 time=0.529 ms
64 bytes from 2001:db8:1::20: icmp_seq=2 ttl=64 time=0.438 ms
# ip route del 2001:db8:1::/64 via 2001:db8::3
# ping6 -c 2 2001:db8:1::20
connect: Network is unreachable

Geführte Übungen

Mit welchen Befehlen listen Sie Netzwerkschnittstellen auf?
Wie deaktivieren Sie eine Schnittstelle vorübergehend? Und wie aktivieren Sie diese wieder?
Welche der folgenden ist eine sinnvolle Subnetzmaske für IPv4?

0.0.0.255

255.0.255.0

255.252.0.0

/24
Mit welchem Befehl überprüfen Sie Ihre Standardroute?
Wie fügen Sie einer Schnittstelle eine zweite IP-Adresse hinzu?

Offene Übungen

Mit welchem Unterbefehl von ip konfigurieren Sie VLAN Tagging?
Wie konfigurieren Sie eine Standardroute?
Wie erhalten Sie detaillierte Informationen über den Befehl ip neighbour? Was passiert, wenn Sie den Befehl selbst ausführen?
Wie sichern Sie Ihre Routingtabelle? Wie stellen Sie sie wieder her?
Mit welchem ip-Unterbefehl konfigurieren Sie Spanning-Tree-Optionen?

Zusammenfassung

Die Netzwerkkonfiguration erfolgt in der Regel über die Startskripte eines Systems oder ein Hilfsprogramm wie NetworkManager. Die meisten Distributionen verfügen über Werkzeuge, die die Konfigurationsdateien der Startskripte für Sie bearbeiten. Nutzen Sie die Dokumentation Ihrer Distribution, um Einzelheiten zu erfahren.

Die manuelle Netzwerkkonfiguration ermöglicht eine effektivere Fehlerbehebung. Dies ist in kleinen Umgebungen nützlich, z.B. bei der Wiederherstellung von Backups oder bei der Migration auf neue Hardware.

Die in dieser Lektion behandelten Dienstprogramme haben mehr Funktionen als hier besprochen. Es lohnt sich, die Manpages der einzelnen Programme durchzuarbeiten, um sich mit den verfügbaren Optionen vertraut zu machen. Die Befehle ss und ip sind der moderne Weg — andere hier vorgestellte Programme sind, obwohl immer noch gebräuchlich, als Legacy-Tools zu betrachten.

Der beste Weg, sich mit den behandelten Tools vertraut zu machen, ist die Praxis. Mit einem Computer mit wenig Arbeitsspeicher können Sie ein virtuelles Test-Netzwerk mit virtuellen Maschinen einrichten. Drei virtuelle Maschinen reichen aus, um sich mit den aufgeführten Tools vertraut zu machen.

In dieser Lektion werden unter anderem folgende Befehle behandelt:

ifconfig: Älteres Dienstprogramm zur Konfiguration von Netzwerkschnittstellen und zur Überprüfung ihres Status.
ip: Modernes und vielseitiges Dienstprogramm zur Konfiguration von Netzwerkschnittstellen und zur Überprüfung ihres Status.
netstat: Legacy-Befehl zur Anzeige aktueller Netzwerkverbindungen und Routeninformationen.
route: Legacy-Befehl zur Anzeige oder Änderung der Routingtabelle eines Systems.

Lösungen zu den geführten Übungen

Mit welchen Befehlen listen Sie Netzwerkschnittstellen auf?

Mit einem der folgenden Befehle:

ip link, ifconfig -a oder ls /sys/class/net
Wie deaktivieren Sie eine Schnittstelle vorübergehend? Und wie aktivieren Sie diese wieder?

Mit den Befehlen ifconfig oder ip link.

Mit ifconfig:
```
$ ifconfig wlan1 down
$ ifconfig wlan1 up
```
Mit ip link:
```
$ ip link set wlan1 down
$ ip link set wlan1 up
```
Welche der folgenden ist eine sinnvolle Subnetzmaske für IPv4?

0.0.0.255

255.0.255.0

255.252.0.0

X

/24

X

Die anderen aufgelisteten Masken sind ungültig, weil sie die Adresse nicht sauber in zwei Abschnitte unterteilen, wobei der erste Teil das Netzwerk und der zweite den Host definiert. Die linken Bits einer Maske sind immer 1, die rechten Bits sind immer 0.

Mit welchem Befehl überprüfen Sie Ihre Standardroute?

Mit route, netstat -r oder ip route:

$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         server          0.0.0.0         UG    600    0        0 wlan1
192.168.1.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan1
$ netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         server          0.0.0.0         UG        0 0          0 wlan1
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 wlan1
$ ip route
default via 192.168.1.20 dev wlan1 proto static metric 600
192.168.1.0/24 dev wlan1 proto kernel scope link src 192.168.1.24 metric 600

Wie fügen Sie einer Schnittstelle eine zweite IP-Adresse hinzu?

Mit ip address oder ifconfig. Denken Sie daran, dass ifconfig ein veraltetes Werkzeug ist:
```
$ ip addr add 172.16.15.16/16 dev enp0s9 label enp0s9:sub1
```
Der Teil label enp0s9:sub1 fügt einen Alias zu enp0s9 hinzu. Wenn Sie das alte ifconfig nicht benutzen, können Sie dies weglassen. Der Befehl wird dann zwar trotzdem funktionieren, aber die Adresse, die Sie soeben hinzugefügt haben, wird nicht in der Ausgabe von ifconfig auftauchen.

Auch ifconfig ist möglich:
```
$ ifconfig enp0s9:sub1 172.16.15.16/16
```

Lösungen zu den offenen Übungen

Mit welchem Unterbefehl von ip konfigurieren Sie VLAN Tagging?

ip link hat eine Option vlan. Hier ein Beispiel für das Taggen einer Subschnittstelle mit der VLAN-ID 20:
```
# ip link add link enp0s9 name enp0s9.20 type vlan id 20
```

Wie konfigurieren Sie eine Standardroute?

Mit route oder ip route:

# route add default gw 192.168.1.1
# ip route add default via 192.168.1.1

Wie erhalten Sie detaillierte Informationen über den Befehl ip neighbour? Was passiert, wenn Sie den Befehl selbst ausführen?

Lesen Sie dazu die Manpage:
```
$ man ip-neigbour
```
Die Ausgabe zeigt Ihren ARP-Cache an:
```
$ ip neighbour
10.0.2.2 dev enp0s3 lladdr 52:54:00:12:35:02 REACHABLE
```
Wie sichern Sie Ihre Routingtabelle? Wie stellen Sie sie wieder her?

Das folgende Beispiel zeigt Sicherung und Wiederherstellung einer Routingtabelle:
```
# ip route save > /root/routes/route_backup
# ip route restore < /root/routes/route_backup
```
Mit welchem ip-Unterbefehl konfigurieren Sie Spanning-Tree-Optionen?

Ähnlich wie bei der Verwaltung von VLAN-Einstellungen konfigurieren Sie mit ip link den Spanning Tree mit Hilfe des Typs bridge. Das Beispiel zeigt das Hinzufügen einer virtuellen Schnittstelle mit einer STP-Priorität von 50:
```
# ip link add link enp0s9 name enp0s9.50 type bridge priority 50
```