tmp

zu a) Du brauchst n Bits, um x Hostadressen zu speichern, mit 2^n >= x. Wenn du Netz- und Broadcastadresse wegrechnen musst, ist es 2^n - 2 >= x.

Du nimmst also das kleinste n, für das das gilt und substrahierst es von der Adresslänge von insgesamt 32 (v4) bzw. 128 (v6) Bits, um an den Präfix, und entsprechende Anzahl an führenden 1en, um an die Netzmaske zu kommen.

So bildest du das kleinste mögliche Subnetz unter den Bedingungen, aber es macht keinen Sinn, das zu tun. Normalerweise machst du mindestens noch eine Schätzung darüber, wie groß das Wachstum an Hosts in Zukunft sein wird, und machst die Subnetze entsprechend groß.

b+c) beantworte ich nicht, das sollte dann klar sein, wie man das berechnet. d) kannst du auch selber nachgucken.

 Weil das in deinem ersten Thread auch schon falsch war: es heißt Host und nicht Horst.

Am 10.4.2021 um 23:55 schrieb WYSIFISI:

Je nachdem, welche RFC die IHK für Ihre Antwort als Grundlage genommen hat.

nach welcher RFC wäre die Antwort denn nicht falsch?

Lies nochmal die Aufgabenstellung. Die Verbindung zwischen Köln und Frankfurt fällt aus, also muss über Hamburg geroutet werden.

vor 12 Stunden schrieb Bitschnipser:

Das Thema das du ansprichst heißt Supernetting.

Nicht ganz. Supernetting impliziert, dass mehrere IP-Adressen (oder Subnetze) so zusammengefasst werden:

216.58.201.67 (11011000.00111010.11001001.01000011) und

216.58.201.72 (11011000.00111010.11001001.01001000)

haben die ersten 28 Bits gemeinsam, werden also zusammengefasst behandelt als 11011000.00111010.11001001.01000000/28 (216.58.201.64/28).

In diesem "Supernet" sind dann natürlich auch noch 14 andere Adressen, die Behandlung als Supernet könnte also unter Umständen zu Problemen führen.

Ich glaube, OP spricht von dem spezielleren Fall, dass ein Subnet vollständig in einem anderen enthalten ist. Die Antwort wäre dann ja, natürlich ist das möglich und wird, im Gegensatz zu Supernetting in der Form wie oben, ganz oft verwendet. Forwarding basiert meistens auf Longest Prefix Matching, heißt eine Forwardingtabelle mit den Einträgen (216.58.201.0/24, if0) und (216.58.0.0/16, if1) würde ein Paket mit der dst ip 216.58.201.67 nach if0 senden, und eines mit 216.58.202.3 nach if1.

vor 13 Stunden schrieb Han_Trio:

Was /31 Netze angeht, bin ich mir in diesem Zusammenhang nicht sicher, ob es die überhaupt in freier Wildbahn gibt - /32 hingegen ist üblicherweise die Bezeichnung für exakt eine einzige IP-Adresse.

/31er haben bei vielen Implementierungen keine Netz- oder Broadcastadresse und werden genau dafür (Point-to-point) verwendet:

vor 13 Stunden schrieb Han_Trio:

Tatsächlich ist es meines Wissens üblich, solche Mini-Netze (/30er) zwischen zB zwei Netzwerkgeräten aufzuspannen, damit eben genau diese beiden Geräte die zwei verfügbaren IPs bekommen.

/32er können manchmal auch definiert werden. Manche Firewalls erwarten die Angabe eines Subnetzes, und dann muss man bei einzelnen Adressen eben /32 angeben. Es gibt keinen Standard der sagt, dass das nicht möglich ist. Insofern ist die Antwort der IHK streng genommen falsch und deine richtig.

https://www.ibm.com/it-infrastructure/z/education/master-the-mainframe

edit: und wenn möglich, lass dir von deinem Unternehmen eine Teilnahme zum AMC camp besorgen. Das ist immer lustig.

vor 3 Minuten schrieb eneR:

Joar, so bekommt man den Tag auch herum.

 

Bin gespannt auf den nächsten, der schreibt dass er 10 Minuten arbeitet und 50 Min Pause macht.

yawn. ich bin echt froh, entsprechend coole Kollegen und Chefs zu haben. Solange ich meine Ergebnisse abliefere, darf ich machen was ich will.

wie auch immer, was ich sonst noch so mache:

- ich habe immer eine Liste von Projekten, an denen ich arbeite

- jedes Projekt hat ein oder mehrere vorzeigbare Produkte, die zu einem bestimmten Zeitpunkt fertig sein sollen oder müssen, z.B. ein Programm/Bericht/Präsentation/Liste von Fragen fürs nächste Meeting

- ich erstelle jeden Morgen für jedes Produkt, an dem ich arbeite, die notwendigen tasks in slots à 30 Minuten. Diese tasks haben jeweils auch ein due date und eine Prioritätsangabe. Vollendete tasks werden entsprechend gekennzeichnet. Am Ende der Arbeitszeit muss ich das meistens nochmal überarbeiten, übriggebliebene Sachen (die gibt es immer) auf den nächsten Tag verschieben oder streichen etc.

Für das Ganze benutze ich taskwarrior.

Andere Leute arbeiten anders und kommen damit gut zurecht. Selbstorganisation ist ein Riesenthema und man kann auch viel zuviel Zeit damit vergeuden. Für mich funktioniert es so recht gut; ich habe immer eine klare Übersicht und kann aber recht schnell und flexibel neue Einschätzungen über Zeitdauer etc. in die Projektplanung mit einfließen lassen.

Im normalen Modus arbeite ich 30 Minuten konzentriert und mache dann 20 Minuten Pause. Ich stell mir einen Wecker dafür. Wenn der Alarm losgeht und ich noch weiterarbeiten will, mach ich das. Irgendwann brauch ich eine längere Pause.
Ich hab vorher vieles probiert, und so bin ich mit Abstand am effektivsten. Coden und Recherchieren ist halt meistens keine Bandarbeit.

2a02:ac20:00e0:a000::/56 und du sollst /58er erstellen (nicht /56er), wenn ich das richtig verstanden hab.

Du hast da was verwechselt:
IP-Adresse UND Maske = Subnetz-Adresse
aber nicht:
Subnetz-Adresse UND Maske = IP-Adresse.

Die IP-Adressen, die du haben willst, sind zwar dann auch als Subnetzadressen geplant, aber eben nicht von dem /56.

Um darauf zu kommen, musst du so rechnen:
- Du willst ein Subnetz sa/n in gleich große Subnetze s0/m, s1/m, ... sx-1/m der Anzahl x=2^(m-n) unterteilen.
- Modifiziert werden müssen die Bits n+1 bis n+(m-n). Das sind m-n Bits.
- Die m-n Bits können Zahlen von 0 bis 2^(m-n)-1 beschreiben, also eine Anzahl von x Zahlen.
- Diese Bits bleiben beim ersten Subnet unverändert zu denen des Ausgangsnetzes: bits(s0) = bits(sa)
- Für das jeweils nächste Subnet s(i) gilt: bits(s(i))=bits(s(i-1))+binär(1) für 0 < i < x.

Beim Beispiel oben also:
- m=58, n=56, x=4, betroffene Bits sind von "a000" die ersten zwei Bits des dritten Symbols.
- bits(s0)=00, bits(s1)=01, bits(s2)=10, bits(s3)=11
- zusammen mit den letzten zwei Bits des Hexazeichens: 0000, 0100, 1000, 1100
- eingesetzt in den Block von Hexazeichen: a000, a040, a080, a0c0
- Die Subnetze sind 2a02:ac20:00e0:a000::/58, 2a02:ac20:00e0:a040::/58, 2a02:ac20:00e0:a080::/58 und 2a02:ac20:00e0:a0c0::/58.

...oder nen subnetz-rechner nehmen. Ich mag sipcalc.

vor 22 Stunden schrieb Enno:

Wobei ich mich hier grade frage warum das zu einem Problem führen soll.

Der Client 1 wird eine Anfrage an den DC immer direkt schicken können da sich beide im selben Subnetz befinden.

Damit ist eine Kommunikation zwischen Client und DC möglich.

äh ja, das ist natürlich richtig😅😓. Denkfehler, ich hatte mir jetzt schon zuviel Gedanken in Richtung Sicherheit und Netzwerksegmentierung gemacht.

vor 22 Stunden schrieb Enno:

Sobald der Client Daten außerhalb seines Subnetztes verschicken will muss er erst das GW dazu benutzen. Da aber hier nicht geschrieben ist welche Dienste der Proxy alles durchschiebt kann auch nicht gesagt werden ob eine solche "unübliche" Konfiguration funktioniert.

Genau, das wollte ich sagen.

Normalerweise und wenn so wie hier dargestellt, ist der Proxy kein Router, d.h. so eingestellt könnten die Clients ausschließlich mit dem Proxy (und so indirekt mit den "geproxiten" Services) kommunizieren.

Das ist wahrscheinlich nicht so vorgesehen, nicht wegen des Mailservers, sondern mMn v.A. weil sie ja mindestens auch mit dem DC für die Authentifizierung kommunizieren können sollten und vllt auch weil die Firewall zumindest zum Teil schon vor Besuch des Proxys filtern soll.

Ich würd mich also anschließen, wahrscheinlich ist hier als Fehler die Gatewaykonfiguration der Clients gemeint. Ich find das aber ehrlich gesagt nicht so super offensichtlich für AEs wie oben jmd meinte. Theoretisch wäre eine Konfiguration wie dargestellt auch möglich, aber eben extrem ungewöhnlich.

paar ergänzungen:
- promiscuous mode lässt sich auf fast allen chips gängiger laptops aktivieren
- zum reinen monitoring von allem netzwerk-traffic über ein Kabel benutze ich meistens einen passiven tab, z.B. den von Great Scott Gadgets

keine Ahnung, aber so würde ich vorgehen:

- nochmal NIC mode und Kabel checken

- Pakete der Firewall in tshark nach Fehlern angucken

- Größe des ausgehenden Traffics am iperf-Client mit der des eingehenden an/hinter der Firewall vergleichen

- MTU checken

- cpu/memory der Firewall checken.  OPNsense-Features der Reihe nach abschalten.

- rx tx checksum offload abschalten

In IPv6 ist die erste Adresse eines Subnetzes genau genommen eine Anycast-Adresse, mit der einer von potentiell mehreren Routern erreicht wird. Ist also auch nicht für die Vergabe als Unicast-Adresse gedacht, aber ist nochmal ein kleiner Unterschied zu IPv4.

Wenn du IPv6 hast und die kleinste Adresse im Subnetz pingst, sollte dein Router dir antworten.

Wie gesagt, die Zieladresse ist nicht aus dem Hexfile ersichtbar.
Zur Übertragung von Paketen im Netzwerk brauchst du (meistens nur noch historisch bedingt) oft eine Link-Layer-Adresse (hier MAC-Adresse) deines Zielknotens.
ARP sucht dir zu einer bekannten L3-Adresse (hier IPv4) diese noch unbekannte L2-Adresse raus, indem es ein Request mit der bekannten L3-Adresse broadcastet. Diese im Voraus bekannte IP-Adresse steht dann in diesem ARP-Header-Feld eines ARP-Requests.
In einem Response-Paket stehen in Sender-L2- und -L3-Adressfeld die MAC- und IP-Adresse des antwortenden Knotens, und in Target-* die MAC- und IP-Adresse des anfragenden Knotens.

@Han_Trio Die Hexadezimalziffersequenz ist die des IP-Packets der vorherigen Aufgabe, nicht die eines ARP-Packets.

@0rd1naryCoffee
Zum vollständigen Ausfüllen des ARP-Datagramms fehlen noch einige Infos:
Hardwaretyp ist Ethernet (codiert mit 1), also 0000 0000 0000 0001.
Protokolltyp ist der Ethertype des L3-Adressprotokolls, dessen Adressen zu den L2-Adressen gemappt werden (in dem Fall IPv4 => 0x0800) => 0000 1000 0000 0000.
HW-Adresslänge, also Länge unserer L2-Adressen (hier MAC-Adressen) ist 6 (Bytes) => 0000 0110.
Protokolllänge, also Länge unserer L3-Adressen (hier IPv4-Adressen) ist 4 => 0000 0100.
Operation: 0000 0001 für Request und 0000 0002 für Response. Ohne Zusatzinfos hier nicht erkennbar, was das hier ist.
Sender-MAC-Adresse wird aus den ersten 48 Bit (= 6 Byte/12 Ziffern) des Ethernet-Frame-Hexdumps extrahiert => 0x0019993285a9 => (schreib ich jz nicht mehr als Bitsequenz auf, aber jede Hex-Ziffer entspricht einer 4-Bit-Sequenz).
Ziel-MAC-Adresse äquivalent mit den zweiten 12 Ziffern => 0x001999328449.
Sender-IP-Adresse sind Byte 13-16 des IPv4-Headers und bei 14 Byte Ethernet-Header Byte 27-30 des Hex-Dumps => 0xc0a80a50 => (in dotted decimal) 192.168.10.80
Ziel-MAC-Adresse: Wissen wir nicht. Entweder 0x000000000000 bei einer Request-Operation, oder z.B. die gewünschte MAC-Info einer Response.
Ziel-IP-Adresse: Wissen wir auch nicht. Die IP-Adresse des Netzwerkteilnehmers, von dem die MAC-Adresse herausgefunden werden soll.


Zu den Aufgaben:
a) Die Bits 2 bis 23 einer MAC-Adresse sind historisch herstellerspezifisch. Wenn also Quell- und Ziel-MAC-Adresse in den ersten 0-23 Bits gleich sind, kommen die zugehörigen Netzwerkkarten eventuell vom selben Hersteller. Das aber ist nicht zuverlässig, weil nicht immer der Fall, und weil MAC-Adressen geändert werden können.
Im Hex-File guckt man also auf die ersten 24 Bit (= 3 Byte bzw. 6 Hexadezimalziffern) der ersten 48 Bit (= 6 Byte/12 Ziffern) sowie die ersten 24 Bit der zweiten 48 Bit.

b)
Siehe oben. Entsprechend für die Ziel-IP-Adresse gilt: 0xc0a80a51 => 192.168.10.81

d)
IP-Protokolltyp steht in Byte 10 des IPv4-Headers, also in Byte 24 => 0x06 (= TCP)

c)
Im TCP-Header stehen in den ersten 2 Byte der Source- und in den nächsten 2 der Destination-Port.
Nach 14 Byte-Ethernet und (ohne Optionen) 20 Byte IPv4-Header also in Byte 35-36 bzw. 37-38.
=> src port 0x05dc => 5220
=> dst port 0x0014 => 20


Doch, natürlich ist der Sinn der Sache, dass du sowas durch Recherchieren und Lesen von u.A. RFCs herausfindest. Es ist nicht notwendig, sowas in dem Detail komplett aus dem Kopf zu können. Das geht auch erst, wenn du eine Weile mit genau sowas zu tun gehabt hast.
kleine Randnotiz: Ich hab hier die Bytes von 1 (und nicht von 0) an gezählt.

ja zu BPDU Guard.
spanning-tree portfast default
spanning-tree portfast bpduguard default

STP-Exkurs von jmdn, der das besser kennt ist als ich:
STP-Prioritäten können 0 bis 65536 sein.
Meistens geht 0 nicht, aber 4096. 4096 spart man sich aber für den schlechten Tag auf, an dem man root auf was anderes schieben muss. Ich hab bei den Beispielen den stp mode auf rapid-pvst, nicht rstp, aber das Prinzip bleibt gleich.

root ist also 8192 für alle VLANs:
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 1-4094 priority 8192

alternate root ist der nächstniedrigste Wert 8192+4096=12288:
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 1-4094 priority 12288

Alle Switche, die direkt zu root oder alternate root verbunden sind, sollten das auch zu dem jeweils anderem sein. Du baust also Dreiecke auf, sodass der Failover gut funktioniert. Diese direkt verbundenen Switche haben dann die nächstniedrigste Priorität.(12288+4096=16384).
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 1-4094 priority 16384

Und jeder Switch des nächsten Hops nach demselben Prinzip (16384+4096=20480)
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 1-4094 priority 20480

Und so weiter. Ziel ist es, dass möglichst jeder switch der topologie einen niedrigeren Wert hat als die default-32768. Wenn dann irgendjmd seinen Switch irgendwo ansteckt, hat dein Netzwerk immer noch eine niedrigere STP-Priorität. BPDU guard verhindert Broadcast-Stürme, wenn der fremde Switch STP nicht einmal kennt.

wie immer wären die entsprechenden configs hilfreich. ansonsten können wir nur raten, weil das so erstmal richtig bzw. nach einem Konfigurationsfehler klingt.
nächster troubleshooting-schritt wäre wohl, nochmal den traffic parallel an entsprechenden interfaces direkt am router (und nicht an den end hosts) zu überprüfen, um herauszufinden, ob es am router liegt oder nicht. in beide richtungen.

8 führende gesetzte Bits: 1111 1111
Flag permanent nach IANA (weil nicht anders gefordert): 0000
Scope link-local: 0010
Group ID all Nodes address: hundertelf mal die 0 und dann 1

=> 1111 1111 0000 0010 (0000)x27 0001

=> in Hexadezimal-Kurzschreibweise (4 Binärziffern = 1 Hexadezimalziffer, sequentielle Nullen sind weggekürzt):
ff02::1

Das ist übrigens die alte Schreibweise nach RFC 4291, es gibt noch eine andere nach RFC 3306.

Wem genau soll eine andere öffentliche IP-Adresse angezeigt werden? Dem VPN-Server der Firma? => andere VPN davorschieben

Für einen Anwendungsfall in Österreich (und nicht in China oder so) ist das aber bestimmt nicht die richtige Lösung für was auch immer dein eigentliches Problem ist.

osticket, OTRS Free, rt, spiceworks, zammad, redmine, Request Tracker

Bei uns an der Uni gibt es immer ein paar Unternehmen, die so 1mal im Semester oder Jahr eine kleine Veranstaltung geben, wo sie sich vorstellen und sagen, dass sie Leute brauchen und auch flexibel Praktika oder Teilzeitjobs anbieten können. Die die das machen haben nie Probleme mit Nachwuchs. Gut ist auch ein Aushang am schwarzen Brett. In Schulen kann man das ähnlich machen.
Wenn dann jmd Interesse hat, ist es noch wichtig, einen netten und entscheidungsfähigen Ansprechpartner zu haben, der auch die Zeit frei hat, sich darum zu kümmern, dass die Interessenten schnelle und ordentliche Rückmeldung bekommen.

Was mir persönlich bei einem Job wichtig ist (bin aber wie gesagt kein Azubi)(in dieser Reihenfolge):
- Interessiert mich der Job inhaltlich?
- Hat die Arbeit/das Unternehmen irgendeinen Nutzen?
- Gibt es Ansprechpersonen für alle Fragen, die ich haben könnte?
- Falls es ein Team von >3 Leuten ist: Gibt es einen etablierten Arbeitsprozess mit ordentlicher Planung, realistischen Deadlines und Planungskorrektur?
- Kann ich mt etablierten Open-Source-Produkten, i.e. Linux, git etc. arbeiten?
- Kann ich mich während der Arbeitszeit fortbilden?
- Flexible Arbeitszeiten?
- Verhalten in ethischen Fragen und Umweltschutz? Würde z.B. nicht in der Waffenindustrie oder derzeit auch nicht in der Automobilindustrie arbeiten wollen

joa, wie gesagt, ohne topologie und configs kann ich nichts konkretes sagen. aber wenn für dich alles geklärt ist, dann passt das doch. wenn verschiedene stp modi konfiguriert sind, wird normalerweise automatisch standard (ieee) stp verwendet.

vor 2 Stunden schrieb Eleu:

Ich administriere nur die unterlagerten Switche. Die Etagenswitche werden von unserer IT administriert.

[...]

Normalerweise werden ja nur Switche von unserer IT Abteilung zur Netzwerkinfrastruktur hinzugefügt und dann schalten die den entsprechenden Port vielleicht dafür frei?  

Möglich. Würde vorschlagen, dass du mit denen redest.

Außerdem klingt das nach einem krassen Zuständigkeitsproblem, das solltet ihr dann vllt auch gleich angehen.

Ansonsten, wenn ihr sowieso keine Loops habt, braucht ihr nicht zwingend STP. Irgendwann kommt aber garantiert irgendeiner, der seinen Privatswitch irgendwo dawzischen schaltet und dann gibts Probleme. Also eigentlich schon zwingend.

Wenn rstp in allen switches aktiviert ist, sollten die Switches sich entsprechend automatisiert konfigurieren.
Was du beschreibst, klingt erstmal nach ganz normalen rstp-verhalten, wenn es irgendwo Schleifen gibt. Ist denn die Erreichbarkeit zwischen zwei Knoten überhaupt irgendwie eingeschränkt?
Um mehr zu sagen zu können, wären ein Diagramm und die Konfigs hilfreich.