Advanced Networking LEx - Exam

Aufgabe 1)

Du hast ein großes, unternehmensweites Netzwerk, das sowohl für interne als auch externe Routen dynamische Routing-Protokolle einsetzt. Nach Diskussionen mit dem Netzwerkteam wurden zwei Protokolle in Betracht gezogen: OSPF (Open Shortest Path First) und EIGRP (Enhanced Interior Gateway Routing Protocol). Du sollst analysieren, welches Protokoll für verschiedene Szenarien besser geeignet ist und die Netzwerkleistung optimiert.

a)

Erläutere, wie der Dijkstra-Algorithmus in OSPF zur Berechnung des kürzesten Pfades verwendet wird. Beschreibe die Schritte und nenne ein Beispiel, welches das Szenario veranschaulicht.

Lösung:

Verwendung des Dijkstra-Algorithmus in OSPF zur Berechnung des kürzesten Pfades:

• Schritt 1: InitialisierungZu Beginn werden alle Knoten im Netzwerk identifiziert. Der Startknoten wird auf den aktuellen Knoten gesetzt, und die Distanzen zu allen anderen Knoten werden auf unendlich gesetzt, außer die Distanz zu sich selbst, die null beträgt.
• Schritt 2: Entfernungen aktualisierenDie distanzen zu benachbarten Knoten des aktuellen Knotens werden überprüft. Falls eine geringere Distanz gefunden wird, wird diese aktualisiert. Diese Entfernungen werden in einer Liste (Priority Queue) gespeichert.
• Schritt 3: Auswahl des nächsten KnotensDer Knoten mit der kürzesten bekannten Distanz, der noch nicht besucht wurde, wird als nächster aktueller Knoten gewählt.
• Schritt 4: WiederholungSchritte 2 und 3 werden so lange wiederholt, bis alle Knoten besucht wurden oder die kürzesten Pfade zu allen Knoten gefunden wurden.
• Schritt 5: Aufbau des kürzesten PfadesNach Abschluss des Algorithmus können die kürzesten Pfade von einem Startknoten zu allen anderen Knoten bestimmt werden, indem man die berechneten Distanzen und Verbindungen verwendet.

• Gegeben sei ein Netzwerk mit den Knoten A, B, C, D und den Verbindungen mit folgenden Kosten:

   A --1--> B, B --3--> C, A --4--> C, B --1--> D, C --1--> D

• Initialisierung: Startknoten A, Distanzen: A=0, B=unendlich, C=unendlich, D=unendlich
• Distanzen aktualisieren vom Startknoten A: Distanzen: A=0, B=1, C=4, D=unendlich
• Nächster Knoten: B, Distanzen aktualisieren über B: Distanzen: A=0, B=1, C=4, D=2
• Nächster Knoten: D, Distanzen aktualisieren über D: Distanzen: A=0, B=1, C=3, D=2
• Nächster Knoten: C, keine weiteren Aktualisierungen notwendig
• Der kürzeste Pfad ist somit gefunden:A -> B -> D -> C

b)

Angenommen, Du verwaltest ein Netzwerk, das aus mehreren Subnetzen besteht. Wie würde die Hierarchisierung der Areas in OSPF helfen, und wie verbessert dies die Skalierbarkeit des Netzwerks?

Lösung:

Hierarchisierung der Areas in OSPF:

• Konzept der AreasOSPF (Open Shortest Path First) verwendet eine hierarchische Struktur, um große Netzwerke effizient zu verwalten. Diese Struktur besteht aus einer einzelnen Backbone-Area (Area 0) und mehreren anderen, sogenannten regulären Areas, die mit der Backbone-Area verbunden sind.
• Vorteile der Hierarchisierung
• Reduzierte Größe der Routing-TabellenDurch die Aufteilung des Netzwerks in verschiedene Areas wird die Größe der Routing-Tabellen in jedem Router reduziert, da jeder Router nur die Routen innerhalb seiner eigenen Area vollständig kennt und weniger Informationen über andere Areas benötigt.
• Bessere NetzwerksegmentierungProbleme wie Netzwerk-Ausfälle oder Änderungen in einer Area beeinflussen die anderen Areas nicht direkt. Dies verbessert die Zuverlässigkeit und Stabilität des Netzwerks.
• Optimierte Berechnung von Routing-InformationenBei Änderungen im Netzwerk müssen Routing-Informationen nur innerhalb der betroffenen Area neu berechnet werden, nicht im gesamten Netzwerk. Dies verringert den Rechenaufwand und die Netzwerkbelastung durch Routing-Updates.
• Verbesserung der Skalierbarkeit
• LastverteilungIndem das Netzwerk in kleinere, überschaubare Einheiten (Areas) gegliedert wird, kann die Last der Routing-Berechnungen besser verteilt werden. Dies vermeidet Engpässe und sorgt für eine effizientere Nutzung der Ressourcen in größeren Netzwerken.
• Einfache NetzwerkverwaltungDie hierarchische Struktur erleichtert die Verwaltung des Netzwerks, da Administratoren sich auf kleinere Teile des Netzwerks konzentrieren können, ohne das gesamte Netzwerk im Detail kennen zu müssen.
• Skalierung ohne große VeränderungNeue Areas oder Subnetze können leicht hinzugefügt werden, ohne das gesamte Netzwerkdesign ändern zu müssen. Das Netzwerk kann so organisch wachsen, ohne die bestehenden Strukturen wesentlich zu beeinträchtigen.

• Angenommen, ein Unternehmen hat drei Hauptabteilungen (Vertrieb, Technik, Verwaltung), die jeweils ein eigenes Subnetz haben. Diese Subnetze könnten in OSPF in verschiedene Areas aufgeteilt werden: Area 1 für Vertrieb, Area 2 für Technik und Area 3 für Verwaltung, mit einer übergreifenden Backbone-Area (Area 0), die die zentrale Steuerung übernimmt.
• Bei einem Ausfall oder einer Änderung im technischen Bereich (z.B. Area 2) sind die anderen Bereiche (Areas 1 und 3) nicht direkt betroffen, was zu einer insgesamt stabileren Netzwerkumgebung führt.

c)

Vergleiche die administrative Distanz von OSPF und EIGRP. Welche Auswirkungen hat die geringere administrative Distanz von EIGRP auf die Routenwahl, wenn beide Protokolle in einem Netzwerk konfiguriert sind?

Lösung:

Vergleich der administrativen Distanz von OSPF und EIGRP:

• Definition der administrativen DistanzDie administrative Distanz (AD) ist ein Maß für die Vertrauenswürdigkeit einer Route, die von einem Routing-Protokoll bereitgestellt wird. Eine niedrigere AD bedeutet eine höhere Vertrauenswürdigkeit.
• Administrative Distanz von OSPF und EIGRP
  • OSPF: 110
  • EIGRP (interner): 90
• Auswirkungen der geringen administrativen Distanz von EIGRP auf die Routenwahl:
• Bevorzugung von EIGRP-RoutenWenn sowohl OSPF als auch EIGRP im selben Netzwerk konfiguriert sind, wird der Router die Routen, die von EIGRP stammen, bevorzugen, da EIGRP eine niedrigere administrative Distanz (90) als OSPF (110) hat.
• Redundanz und LastverteilungDie geringere AD von EIGRP bedeutet, dass OSPF-Routen normalerweise nur dann verwendet werden, wenn keine EIGRP-Routen verfügbar sind. Dies kann zu einer gewissen Lastverteilung führen, aber OSPF wird in diesem Fall eher als Backup verwendet.
• Netzwerkplanung und -verwaltungNetzwerkadministratoren müssen sich der unterschiedlichen AD bewusst sein, um sicherzustellen, dass die erwarteten Pfade und Protokolle bevorzugt werden. In gemischten Umgebungen kann es notwendig sein, die AD manuell zu konfigurieren, um das gewünschte Verhalten zu erzwingen.

• Angenommen, ein Netzwerk besteht aus drei Bereichen, in denen beide Protokolle konfiguriert sind:
• Subnetz A verwendet EIGRP
• Subnetz B verwendet OSPF
• Subnetz C verwendet sowohl EIGRP als auch OSPF
• Wenn ein Router eine Route zu einem Zielnetzwerk erhalten kann, sowohl von Subnetz A (EIGRP) als auch von Subnetz B (OSPF), wird die EIGRP-Route wegen der geringeren administrativen Distanz (90) bevorzugt.
• Falls jedoch die Verbindung zu Subnetz A ausfällt, wird der Router die OSPF-Route (AD 110) verwenden, solange sie verfügbar ist, und damit die Konnektivität aufrechterhalten.

Aufgabe 2)

Inter-Domain-Routing mit BGP (Border Gateway Protocol)Inter-Domain-Routing benutzt das Border Gateway Protocol (BGP), um Routing-Informationen zwischen autonomen Systemen (AS) im Internet auszutauschen.

• BGP ist ein Pfadvektorprotokoll
• Verwendet TCP-Port 179
• AS-Path: Liste von AS-Nummern
• Routenpräferenz: Local Preference, Multi-Exit Discriminator (MED)
• BGP-Nachrichtentypen: OPEN, UPDATE, KEEPALIVE, NOTIFICATION
• iBGP (intern) vs. eBGP (extern)
• Konvergenzzeit und Stabilität sind kritisch
• Routing-Policies und Filterregeln wichtig

a)

Erkläre den Unterschied zwischen iBGP und eBGP. Welche Rolle spielt der AS-Path in beiden Fällen und warum ist dies für die Routenwahl wichtig?

Lösung:

Inter-Domain-Routing mit BGP (Border Gateway Protocol)

Inter-Domain-Routing benutzt das Border Gateway Protocol (BGP), um Routing-Informationen zwischen autonomen Systemen (AS) im Internet auszutauschen.

• BGP ist ein Pfadvektorprotokoll
• Verwendet TCP-Port 179
• AS-Path: Liste von AS-Nummern
• Routenpräferenz: Local Preference, Multi-Exit Discriminator (MED)
• BGP-Nachrichtentypen: OPEN, UPDATE, KEEPALIVE, NOTIFICATION
• iBGP (intern) vs. eBGP (extern)
• Konvergenzzeit und Stabilität sind kritisch
• Routing-Policies und Filterregeln wichtig

Unterschied zwischen iBGP und eBGP

BGP kann in zwei Varianten betrieben werden: iBGP (internes BGP) und eBGP (externes BGP).

• iBGP (internes BGP): iBGP wird verwendet, um BGP-Routing-Informationen innerhalb desselben Autonomen Systems (AS) zu verteilen. Die Router innerhalb eines AS, die iBGP verwenden, sind normalerweise vollständig vermascht. Dies bedeutet, dass jeder Router mit jedem anderen Router im AS direkt kommuniziert. iBGP verwendet nicht denselben AS-Path, um Schleifen zu erkennen; stattdessen werden Router-IDs verwendet.
• eBGP (externes BGP): eBGP wird verwendet, um Routing-Informationen zwischen unterschiedlichen Autonomen Systemen (AS) auszutauschen. Ein eBGP-Nachbar ist ein Router, der zu einem anderen AS gehört. Hier ist der AS-Path entscheidend, da er die Liste der AS-Nummern enthält, durch die die Route bereits geführt wurde. Dies hilft, Routing-Schleifen zu vermeiden und beeinflusst die Routenwahl erheblich.

Rolle des AS-Path in beiden Fällen

Der AS-Path ist eine wesentliche Komponente in BGP, insbesondere bei eBGP. Der AS-Path:

• Enthält eine Liste der AS-Nummern, durch die die Routing-Information geführt wurde.
• Wird verwendet, um Routing-Schleifen zu vermeiden. Wenn ein Router sieht, dass seine eigene AS-Nummer im AS-Path einer Route enthalten ist, werden diese Route verworfen.
• Beeinflusst die Routenwahl. Kürzere AS-Paths werden oft bevorzugt, da sie als effizienter betrachtet werden.

Bei iBGP ist der AS-Path vorhanden, aber er wird nicht für die Schleifenvermeidung verwendet. Stattdessen werden andere Mechanismen wie Router-IDs genutzt. Dennoch kann der AS-Path genutzt werden, um Entscheidungen über die beste Route zu treffen, insbesondere wenn iBGP-Router Routen von mehreren eBGP-Peers erhalten.

• Zusammenfassung: Der AS-Path spielt eine kritische Rolle in eBGP für die Schleifenvermeidung und die Routenwahl. In iBGP wird er weniger für Schleifenvermeidung genutzt, ist aber immer noch relevant für die Pfadbewertung.

b)

Betrachte ein autonomes System (AS) mit drei Routern. Diese sind über iBGP verbunden. Die AS-Paths der empfangenen Routen sind wie folgt:

• Router A: AS100 AS200 AS300
• Router B: AS100 AS250 AS300
• Router C: AS400 AS300

Lösung:

Inter-Domain-Routing mit BGP (Border Gateway Protocol)

Inter-Domain-Routing benutzt das Border Gateway Protocol (BGP), um Routing-Informationen zwischen autonomen Systemen (AS) im Internet auszutauschen.

• BGP ist ein Pfadvektorprotokoll
• Verwendet TCP-Port 179
• AS-Path: Liste von AS-Nummern
• Routenpräferenz: Local Preference, Multi-Exit Discriminator (MED)
• BGP-Nachrichtentypen: OPEN, UPDATE, KEEPALIVE, NOTIFICATION
• iBGP (intern) vs. eBGP (extern)
• Konvergenzzeit und Stabilität sind kritisch
• Routing-Policies und Filterregeln wichtig

Aufgabe:

Betrachte ein autonomes System (AS) mit drei Routern. Diese sind über iBGP verbunden. Die AS-Paths der empfangenen Routen sind wie folgt:

• Router A: AS100 AS200 AS300
• Router B: AS100 AS250 AS300
• Router C: AS400 AS300

Wenn die Local Preference und der Multi-Exit Discriminator gleich sind, welche Route wird gewählt und warum?

Lösung:

Da die Local Preference und der Multi-Exit Discriminator (MED) gleich sind, greift BGP auf den nächsten Kriterium für die Routenwahl zurück: den AS-Path. BGP bevorzugt in der Regel die Route mit dem kürzesten AS-Path.

• Router A: AS100 AS200 AS300 (AS-Path-Länge = 3)
• Router B: AS100 AS250 AS300 (AS-Path-Länge = 3)
• Router C: AS400 AS300 (AS-Path-Länge = 2)

In diesem Fall hat die Route über Router C den kürzesten AS-Path mit einer Länge von 2. Daher wird die Route über Router C gewählt, weil sie als effizienter angesehen wird.

• Zusammenfassung: Die Route über Router C wird gewählt, weil sie den kürzesten AS-Path (AS400 AS300) hat im Vergleich zu den anderen verfügbaren Routen.

c)

Angenommen, du erhältst eine UPDATE-Nachricht von einem Nachbar-AS über eBGP. Diese Nachricht enthält eine neue Route zu einem Zielnetzwerk. Welche Informationen in der UPDATE-Nachricht sind entscheidend und wie könnten Routing-Policies angewendet werden, um zu entscheiden, ob diese Route akzeptiert wird?

Lösung:

Inter-Domain-Routing mit BGP (Border Gateway Protocol)

Inter-Domain-Routing benutzt das Border Gateway Protocol (BGP), um Routing-Informationen zwischen autonomen Systemen (AS) im Internet auszutauschen.

• BGP ist ein Pfadvektorprotokoll
• Verwendet TCP-Port 179
• AS-Path: Liste von AS-Nummern
• Routenpräferenz: Local Preference, Multi-Exit Discriminator (MED)
• BGP-Nachrichtentypen: OPEN, UPDATE, KEEPALIVE, NOTIFICATION
• iBGP (intern) vs. eBGP (extern)
• Konvergenzzeit und Stabilität sind kritisch
• Routing-Policies und Filterregeln wichtig

Aufgabe:

Angenommen, du erhältst eine UPDATE-Nachricht von einem Nachbar-AS über eBGP. Diese Nachricht enthält eine neue Route zu einem Zielnetzwerk. Welche Informationen in der UPDATE-Nachricht sind entscheidend und wie könnten Routing-Policies angewendet werden, um zu entscheiden, ob diese Route akzeptiert wird?

Lösung:

Eine BGP UPDATE-Nachricht enthält mehrere wichtige Informationen, die zur Annahme oder Ablehnung einer Route führen können. Zu den entscheidenden Informationen gehören:

• AS-Path: Eine Liste der AS-Nummern, durch die die Route führt. Dies ist wichtig, um Schleifen zu erkennen und zu entscheiden, ob der Pfad akzeptabel ist.
• Network Layer Reachability Information (NLRI): Die Zielnetzwerke, für die diese Route gültig ist.
• Next Hop: Die nächste IP-Adresse, zu der die Pakete weitergeleitet werden sollen.
• Local Preference: Ein Wert, der die Präferenz für eine Route innerhalb eines AS anzeigt (obwohl dies eher bei iBGP relevant ist).
• Multi-Exit Discriminator (MED): Ein Wert, der festlegt, welche von mehreren möglichen Routen bevorzugt werden soll.
• Origin: Der Ursprung der Route, z.B. IGP, EGP, oder INCOMPLETE.
• Communities: Eine optionale Attribute, das zusätzliche Routing-Informationen oder -Anweisungen enthält.

Routing-Policies und Filterregeln:

Routing-Policies, auch als Routing-Filter bezeichnet, können auf verschiedene Attribute der BGP-UPDATE-Nachricht angewendet werden, um zu entscheiden, ob eine Route akzeptiert oder abgelehnt wird. Beispiele für solche Policies umfassen:

• AS-Path-Filter: Filter, die basierend auf bestimmten AS-Nummern oder AS-Pfadmustern entscheiden, ob eine Route akzeptiert wird. Zum Beispiel könnten Routen verworfen werden, die durch bestimmte unerwünschte AS geleitet werden.
• Prefix-Filter: Filter, die auf spezifische IP-Präfixe oder Präfix-Ranges achten. Nur bestimmte Netzwerke könnten erlaubt oder blockiert werden.
• Community-Filter: Filter, die basierend auf bestimmten Community-Attributen Entscheidungen treffen. Bestimmte Routen könnten akzeptiert oder abgelehnt werden, je nachdem, welche Community-Werte sie tragen.
• Next-Hop-Filter: Entscheidungsregeln, die basieren darauf, welche IP-Adresse als Nächster Hop angegeben ist. Einige Next-Hops könnten als vertrauenswürdiger oder bevorzugter betrachtet werden.

Zusammengefasst:

• Die wichtigsten Informationen in einer UPDATE-Nachricht sind AS-Path, NLRI, Next Hop, Local Preference, MED, Origin und Communities.
• Routing-Policies und Filterregeln können verwendet werden, um anhand dieser Informationen zu entscheiden, ob die empfangene Route akzeptiert wird. Policies könnten auf den AS-Path, Prefixe, Communities, oder anderen Attributen basieren.

d)

Wenn du eine Netzwerkumgebung administrierst, in der BGP verwendet wird, wie würdest du Konvergenzzeiten optimieren und gleichzeitig die Stabilität des Netzwerks sicherstellen? Diskutiere konkrete Strategien und Mechanismen.

Lösung:

Inter-Domain-Routing mit BGP (Border Gateway Protocol)

Inter-Domain-Routing benutzt das Border Gateway Protocol (BGP), um Routing-Informationen zwischen autonomen Systemen (AS) im Internet auszutauschen.

• BGP ist ein Pfadvektorprotokoll
• Verwendet TCP-Port 179
• AS-Path: Liste von AS-Nummern
• Routenpräferenz: Local Preference, Multi-Exit Discriminator (MED)
• BGP-Nachrichtentypen: OPEN, UPDATE, KEEPALIVE, NOTIFICATION
• iBGP (intern) vs. eBGP (extern)
• Konvergenzzeit und Stabilität sind kritisch
• Routing-Policies und Filterregeln wichtig

Aufgabe:

Wenn du eine Netzwerkumgebung administrierst, in der BGP verwendet wird, wie würdest du Konvergenzzeiten optimieren und gleichzeitig die Stabilität des Netzwerks sicherstellen? Diskutiere konkrete Strategien und Mechanismen.

Lösung:

Die Optimierung von Konvergenzzeiten und gleichzeitig die Sicherstellung von Netzstabilität in einer BGP-Umgebung erfordern eine durchdachte Planung und den Einsatz spezifischer Strategien und Mechanismen. Hier sind einige konkrete Ansätze:

• BGP-Timers optimieren:
• Keepalive Interval: Reduziere das Keepalive-Intervall, um schnellere Detection von nicht erreichbaren Nachbarn zu ermöglichen. Standard: 60 Sekunden.
• Hold Time: Reduziere die Hold Time, um schneller eine nicht mehr erreichbare Route zu erkennen. Standard: 180 Sekunden. Eine Verkürzung auf z.B. 90 Sekunden kann Konvergenzzeiten reduzieren.
• Route Flap Damping:
• Route Flap Damping kann helfen, die Stabilität zu verbessern, indem es Routen bestraft, die häufige Statusänderungen durchlaufen (Flapping). Dies verhindert, dass instabile Routen das gesamte Netzwerk beeinträchtigen.
• Graceful Restart Mechanismen:
• Nutzt Mechanismen wie BGP Graceful Restart, um dafür zu sorgen, dass BGP-Session-Neustarts aufgrund von temporären Fehlern die Netzwerkkonvergenz nicht stark beeinträchtigen.
• Prefix- und AS-Path-Filter:
• Setze Prefix- und AS-Path-Filter, um nur bestimmte Routen durchzulassen und unerwünschte Routen zu blockieren. Dies verhindert, dass fehlerhafte oder unerwünschte Routen in das Netzwerk gelangen und die Stabilität beeinträchtigen.
• Aggregation und Summarization:
• Route Aggregation und Summarization kann helfen, die Anzahl der Routen zu reduzieren, was die Berechnungslast der BGP-Tabellen verringert und die Konvergenzzeiten verbessert.
• iBGP Full-Mesh vermeiden:
• Verwende Route-Reflektoren oder Confederations, um das Full-Mesh innerhalb eines AS zu vermeiden. Dies reduziert die Anzahl der notwendigen iBGP-Verbindungen und kann somit die Konvergenzzeiten verbessern.
• Monitoring und Analyse:
• Setze Monitoring-Tools und Analyse-Methoden ein, um Netzwerkstatus und Routenänderungen in Echtzeit zu überwachen. Dies hilft, Probleme frühzeitig zu erkennen und gezielt zu handeln.
• Session Protection:
• Verwende Mechanismen zur Session Protection, wie z.B. Bidirectional Forwarding Detection (BFD), um BGP-Sitzungen schneller zu erkennen und wiederherzustellen.

Zusammengefasst:

• Durch die Optimierung von BGP-Timern, den Einsatz von Route Flap Damping, Graceful Restart Mechanismen, und durch den Einsatz von Filterregeln, Aggregation und Summarization können sowohl die Konvergenzzeiten verbessert als auch die Stabilität des Netzwerks sichergestellt werden.
• Zusätzlich können Monitoring-Tools und Mechanismen zur Session Protection verwendet werden, um das Netzwerk proaktiv zu überwachen und Probleme schnell zu beheben.

Aufgabe 3)

Multiprotocol Label Switching (MPLS) ist eine Technik zur Datenweiterleitung in Netzwerken, bei der Pakete anhand kurzer Label statt längerer Netzwerkadressen weitergeleitet werden. MPLS beschleunigt den Datenverkehr in Netzwerken durch Vermeidung der komplexen Paketverarbeitung an jedem Knoten. MPLS ermöglicht die Einrichtung von virtuellen privaten Netzwerken (VPNs) und Traffic Engineering. Die Label Distribution erfolgt durch Protokolle wie LDP oder RSVP-TE. Die wichtigsten Komponenten von MPLS sind der Label Switching Router (LSR) und der Label Edge Router (LER). Qualitätssteuerung (QoS) kann durch Priorisierung von Labels erfolgen. MPLS erstellt feste Pfade, sogenannte Label Switched Paths (LSPs).

a)

Erkläre den Ablauf des Label Switching in einem MPLS-Netzwerk anhand der folgenden Komponenten: Label Edge Router (LER) und Label Switching Router (LSR). Welche Rolle spielt das Label Distribution Protocol (LDP) in diesem Ablauf? Du kannst ein schematisches Diagramm einfügen, um Deine Erklärung zu verdeutlichen.

Lösung:

In einem MPLS-Netzwerk erfolgt die Datenweiterleitung durch die Zusammenarbeit von Label Edge Routers (LERs) und Label Switching Routern (LSRs). Hier ist eine detaillierte Erläuterung des Ablaufs:

• Label Edge Router (LER):Ein LER befindet sich am Rand des MPLS-Netzwerks und ist verantwortlich für das Hinzufügen und Entfernen von Labels zu und von den IP-Paketen. Wenn ein Paket in das MPLS-Netzwerk eintritt, untersucht der LER die Zieladresse des Pakets, entscheidet über den geeigneten Label Switched Path (LSP) und versieht das Paket mit einem entsprechenden Label. Dieses gelabelte Paket wird dann ins Netzwerk weitergeleitet.
• Label Switching Router (LSR):Ein LSR ist ein Router innerhalb des MPLS-Kerns, der anhand des Labels entscheidet, wie das Paket weitergeleitet wird. Der LSR tauscht das eingehende Label gegen ein neues aus und leitet das Paket entsprechend den definierten LSPs weiter. Diese Abläufe erhöhen die Effizienz der Datenweiterleitung, da die komplexe Paketverarbeitung auf dem betroffenen Layer vermieden wird.
• Label Distribution Protocol (LDP):Das LDP ist ein Protokoll, das für die Verteilung der Labels zwischen den Routern verantwortlich ist. Es ermöglicht den LSRs und LERs, sich über die verwendeten Labels und die entsprechenden LSPs zu informieren. LDP stellt sicher, dass alle Router im Netzwerk wissen, welche Labels zu verwenden sind und wie Pakete entlang der LSPs weitergeleitet werden. Ohne LDP wäre die Koordination und effiziente Weiterleitung in einem MPLS-Netzwerk nicht möglich.

Hier ist ein schematisches Diagramm, das den beschriebenen Vorgang veranschaulicht:

                          +--------+       +--------+      +--------+      +--------+      +--------+                          | LER1   |       | LSR1   |      | LSR2   |      | LSR3   |      | LER2   |                          +--------+       +--------+      +--------+      +--------+      +--------+                            |                |               |               |               |  IP-Paket (A) --> Label A  | Label A --> Label B  | Label B --> Label C  | Label C --> Label D  | Label D --> IP-Paket (B)

Wie im Diagramm dargestellt handelt LER1 das ankommende IP-Paket und versieht es mit dem Label A. Jeder LSR tauscht das empfangene Label gegen ein neues Label aus und leitet das Paket weiter, bis es schließlich den LER2 erreicht, der das Label entfernt und das IP-Paket zum endgültigen Ziel weiterleitet.

b)

Nehmen wir an, die LSPs in einem MPLS-Netzwerk werden zur Optimierung des Traffics verwendet. Ein Netzbetreiber möchte sicherstellen, dass Pakete mit hoher Priorität ein garantierte Bandbreite zugewiesen bekommen. Wie kann MPLS zur Umsetzung dieser QoS-Maßnahme verwendet werden? Berechne die erforderliche Bandbreite, wenn die durchschnittliche Paketgröße 1.500 Bytes beträgt und 1.000 Pakete pro Sekunde über den Pfad gesendet werden. Zeige dies mit entsprechenden Formeln und rechne für eine Datenrate in Megabit pro Sekunde (Mbps).

Lösung:

In MPLS-Netzwerken kann Quality of Service (QoS) durch die Priorisierung von Labels umgesetzt werden, sodass Pakete mit hoher Priorität eine garantierte Bandbreite zugewiesen bekommen. Hier erkläre ich, wie dies funktionieren kann und berechne die erforderliche Bandbreite.

• Durchführung von QoS in MPLS:MPLS unterstützt QoS, indem es Labels unterschiedlichen Prioritätsstufen zuweist. Diese Labels werden dann von den Routern genutzt, um Pakete entsprechend ihrer Priorität zu behandeln. Zum Beispiel können hochpriorisierte Labels so konfiguriert werden, dass sie bevorzugt weitergeleitet werden und eine garantierte Bandbreite erhalten. Dies wird durch die Einrichtung fester Pfade (Label Switched Paths, LSPs) erreicht, die speziell für diese Pakete reserviert sind.

Nun zur Berechnung der erforderlichen Bandbreite:

Gegeben:

• Durchschnittliche Paketgröße: 1.500 Bytes
• Anzahl der Pakete pro Sekunde: 1.000 Pakete/sek

Schritt-für-Schritt-Berechnung:

• Schritt 1: Paketgröße in Bits umrechnen:Die Paketgröße in Bytes muss in Bits umgerechnet werden (1 Byte = 8 Bits).

  Formel:

  • 1.500 Bytes = 1.500 * 8 Bits = 12.000 Bits
• Schritt 2: Datenrate in Bits pro Sekunde (bps) berechnen:Die Datenrate entspricht der Anzahl der Bits, die pro Sekunde übertragen werden müssen.

  Formel:

  • (1.500 Bytes/Paket) * 8 Bits/Byte * 1.000 Pakete/sek = 12.000.000 Bits/sek
• Schritt 3: Umrechnen in Megabit pro Sekunde (Mbps):Da 1 Megabit = 1.000.000 Bits, teilen wir die Datenrate durch 1.000.000.

  Formel:

  • 12.000.000 Bits/sek / 1.000.000 = 12 Mbps

Zusammenfassung:

Die erforderliche Bandbreite beträgt 12 Megabit pro Sekunde (Mbps), um 1.000 Pakete pro Sekunde mit einer durchschnittlichen Paketgröße von 1.500 Bytes zu übertragen.

Aufgabe 4)

Betrachte die beiden Protokolle IPSec und SSL/TLS, die verwendet werden, um Netzwerksicherheit zu gewährleisten, indem sie Abhören und Angriffe verhindern. Während IPSec auf der Netzwerkschicht operiert und IP-Pakete sichert, funktioniert SSL/TLS auf der Transportschicht und sichert die Datenübertragung durch Verschlüsselung und Integritätsschutz. Beide Protokolle nutzen Algorithmen wie AES, RSA und SHA zur Unterstützung der Sicherheitsmechanismen.

a)

Erkläre die Hauptunterschiede zwischen IPSec und SSL/TLS hinsichtlich ihrer Anwendungsbereiche und Implementierungsebene. Nutze Beispiele wie VPN-Dienste für IPSec und HTTPS-Webseiten für SSL/TLS zur Veranschaulichung.

Lösung:

Hauptunterschiede zwischen IPSec und SSL/TLS hinsichtlich ihrer Anwendungsbereiche und Implementierungsebene

• Anwendungsbereiche:
  • IPSec: IPSec wird hauptsächlich in virtuellen privaten Netzwerken (VPNs) verwendet, um sichere Verbindungen über unsichere Netzwerke wie das Internet aufzubauen. Zum Beispiel nutzen viele Unternehmen IPSec, um sichere Verbindungen für ihre Remote-Mitarbeiter zu gewährleisten.
  • SSL/TLS: SSL/TLS wird häufig verwendet, um die Sicherheit der Datenübertragung zwischen Webbrowsern und Webservern zu gewährleisten. Das bekannteste Beispiel ist die Sicherung von HTTPS-Webseiten, wo das TLS-Protokoll die Kommunikation verschlüsselt und die Integrität der übertragenen Daten sicherstellt.
• Implementierungsebene:
  • IPSec: IPSec arbeitet auf der Netzwerkschicht (Layer 3 des OSI-Modells). Es sichert IP-Pakete direkt, indem es entweder den gesamten Paketinhalt (Tunnelmodus) oder nur die Nutzlast des Pakets (Transportmodus) verschlüsselt. Der Tunnelmodus wird oft für VPNs genutzt, während der Transportmodus innerhalb sicherer Netzwerke verwendet wird.
  • SSL/TLS: SSL/TLS arbeitet auf der Transportschicht (Layer 4 des OSI-Modells). Es sichert die durch Transportprotokolle wie TCP übertragenen Daten. SSL/TLS wird dabei in Anwendungen wie Webbrowsern und E-Mail-Clients implementiert, ohne dass Änderungen an den darunterliegenden IP-Paketen erforderlich sind.

• Anwendungsbereich: IPSec wird für VPNs genutzt, während SSL/TLS vor allem für sichere Webverbindungen (HTTPS) verwendet wird.
• Implementierungsebene: IPSec operiert auf der Netzwerkschicht und sichert IP-Pakete, während SSL/TLS auf der Transportschicht arbeitet und die Datenübertragung zwischen Anwendungen schützt.

b)

Beschreibe, wie die Sicherheitsmechanismen der Verschlüsselung, Authentifizierung und Datenintegrität in IPSec und SSL/TLS implementiert werden. Gehe dabei auf die spezifischen Anwendungen von AH und ESP in IPSec sowie auf die Verwendung von Zertifikaten in SSL/TLS ein.

Lösung:

Implementierung der Sicherheitsmechanismen in IPSec und SSL/TLS

• Verschlüsselung:
  • IPSec: Verschlüsselung in IPSec wird hauptsächlich durch das Encapsulating Security Payload (ESP) Protokoll durchgeführt. ESP verschlüsselt die Nutzlast der IP-Pakete, um sicherzustellen, dass nur autorisierte Empfänger den Inhalt lesen können. Häufig verwendete Verschlüsselungsalgorithmen sind AES und 3DES.
  • SSL/TLS: In SSL/TLS erfolgt die Verschlüsselung der Datenübertragung zwischen Client und Server. SSL/TLS nutzt symmetrische Verschlüsselungsalgorithmen wie AES zur Sicherstellung der Vertraulichkeit der übertragenen Daten nach dem initialen Schlüsselaustausch, der durch asymmetrische Algorithmen wie RSA oder Diffie-Hellman durchgeführt wird.
• Authentifizierung:
  • IPSec: Die Authentifizierung in IPSec kann durch das Authentication Header (AH) Protokoll erfolgen. AH stellt sicher, dass die Daten wirklich von dem angegebenen Absender stammen, indem es einen Authentifizierungswert berechnet, der über den gesamten IP-Header und die Nutzlast des Pakets geht. Es wird häufig in Kombination mit ESP eingesetzt, um sowohl Authentifikation als auch Verschlüsselung zu bieten.
  • SSL/TLS: In SSL/TLS erfolgt die Authentifizierung hauptsächlich durch digitale Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden. Beim Aufbau einer SSL/TLS-Verbindung sendet der Server sein Zertifikat an den Client, der dieses überprüft, um die Identität des Servers zu verifizieren. Optional kann auch der Client ein Zertifikat senden, um sich gegenüber dem Server zu authentifizieren.
• Datenintegrität:
  • IPSec: Datenintegrität wird in IPSec sowohl durch AH als auch durch ESP erreicht. Beide Protokolle nutzen kryptografische Hash-Funktionen wie SHA (Secure Hash Algorithm), um sicherzustellen, dass die Daten während der Übertragung nicht verändert wurden. Der Integritätswert wird zusammen mit den Daten übertragen und vom Empfänger überprüft.
  • SSL/TLS: SSL/TLS gewährleistet die Datenintegrität durch die Verwendung von Hash-Algorithmen wie SHA, die in die HMAC (Hash-based Message Authentication Code) Methode eingebunden sind. Jeder übertragenen Nachricht wird ein HMAC-Wert hinzugefügt, der vom Empfänger überprüft wird, um Veränderungen während der Übertragung zu erkennen und zu verhindern.

• IPSec: Verschlüsselung durch ESP, Authentifizierung durch AH, und Datenintegrität durch AH und ESP. IPSec wird auf Netzwerkebene implementiert und sichert die IP-Pakete.
• SSL/TLS: Verschlüsselung der Datenübertragung, Authentifizierung durch digitale Zertifikate, und Datenintegrität durch HMAC. SSL/TLS wird auf der Transportschicht implementiert und sichert die Kommunikationskanäle zwischen Anwendungen.

d)

Diskutiere die Vor- und Nachteile der verwendeten Algorithmen (z.B. AES, RSA, SHA) in Bezug auf die Leistungsfähigkeit und Sicherheit beider Protokolle. Gehe dabei auf mögliche Schwachstellen ein und schlage eventuelle Verbesserungen vor.

Lösung:

Vor- und Nachteile der verwendeten Algorithmen (AES, RSA, SHA) in Bezug auf die Leistungsfähigkeit und Sicherheit von IPSec und SSL/TLS

• Advanced Encryption Standard (AES):
  • Vorteile:
    • Sehr sicher, da es eine hohe Schlüssellänge (z.B. 256 Bits) bietet.
    • Schnelle Verschlüsselung und Entschlüsselung, was zu einer guten Leistungsfähigkeit führt.
    • Weit verbreitet und von vielen Sicherheitsstandards anerkannt und unterstützt.
  • Nachteile:
    • Bei unsachgemäßer Implementierung könnten Seitenkanalangriffe (z.B. Timing-Angriffe) möglich sein.
    • Erfordert zusätzliche Schutzmaßnahmen gegen brute-force Angriffe, obwohl diese bei ordnungsgemäßer Schlüssellänge unwahrscheinlich sind.
  • Verbesserungen:
    • Vermeidung von bekannten Implementierungsfehlern.
    • Verwendung von hardwarespezifischen Optimierungen zur Abwehr von Seitenkanalangriffen.
• Rivest-Shamir-Adleman (RSA):
  • Vorteile:
    • Sehr sicher, wenn lange Schlüssel (z.B. 2048 oder 4096 Bits) verwendet werden.
    • Geeignet für Schlüsselaustausch und digitale Signaturen.
  • Nachteile:
    • Relativ langsamer als symmetrische Algorithmen wie AES, was zu Leistungsproblemen führen kann.
    • Schwachstellen bei unsachgemäßer Implementierung (z.B. Pseudozufallszahlengenerator-Schwächen).
    • Anfällig für Angriffe bei Einsatz zu kurzer Schlüssel.
  • Verbesserungen:
    • Verwendung modernerer und effizienterer Algorithmen wie Elliptic Curve Cryptography (ECC) für vergleichbare Sicherheit bei kürzeren Schlüssellängen.
    • Implementierung sicherer Zufallszahlengeneratoren zur Schlüsselgenerierung.
• Secure Hash Algorithm (SHA):
  • Vorteile:
    • Sicher und stark, wenn die neuesten Varianten (z.B. SHA-256, SHA-3) verwendet werden.
    • Schnelle Hash-Berechnungen, was die Leistung nur minimal beeinträchtigt.
    • Weit verbreitet und von vielen Sicherheitsstandards anerkannt und unterstützt.
  • Nachteile:
    • Ältere Varianten (z.B. SHA-1) sind anfällig für Kollisionen und sollten nicht mehr verwendet werden.
    • Kann durch preimage Angriffe geschwächt werden, obwohl dies bei modernen Varianten sehr unwahrscheinlich ist.
  • Verbesserungen:
    • Verwendung der neuesten Varianten wie SHA-3, die gegen viele bekannte Schwachstellen sicherer sind.
    • Regelmäßige Überprüfung und Aktualisierung von Implementierungen zur Abwehr neu entdeckter Schwachstellen.

• AES: Sehr sicher und schnell, aber Vorsicht bei Implementierungsdetails.
• RSA: Sicher bei langen Schlüsseln, aber relativ langsam; ECC kann eine effizientere Alternative sein.
• SHA: Moderne Varianten sind sicher und effizient, ältere Varianten sollten vermieden werden.