- Zeroconf
-
Zeroconf (Zero Configuration Networking, auch Automatic Private IP Addressing, kurz APIPA, oder Auto-IP) ist eine Technik zur konfigurationsfreien Vernetzung von Geräten in lokalen Rechnernetzen.
Zeroconf ermöglicht ein einfaches Einrichten und den konfigurationslosen Betrieb von Netzen auf Basis des Internet Protocol (IP). Das einfachste Einsatzszenario ist es, zwei Computer mit einem Crossover-Kabel zu verbinden. Beide Geräte konfigurieren dann automatisch ihre Netzwerk-Schnittstellen, finden sich gegenseitig in diesem gerade etablierten Netzwerk und kommunizieren über IP. Dies geschieht ohne ein manuelles Eingreifen eines der Benutzer oder durch das Verwenden von externer Netzwerkkonfiguration wie DHCP.
Dieses Problem ist nicht neu und wurde mit AppleTalk unter Mac OS und NetBIOS unter Microsoft Windows schon gelöst. Die Zeroconf Working Group hat sich jedoch das Ziel gesetzt, einen ähnlichen Mechanismus aufbauend auf offenen, gut dokumentierten und damit einfach zu implementierenden Standards zu realisieren. Dabei wurden drei wesentliche Problembereiche identifiziert, die durch die Spezifikation von offenen Protokollen und Mechanismen gelöst wurden:
- automatische Zuweisung von IP-Adressen ohne DHCP-Server,
- übersetzen von Hostnamen in IP-Adressen ohne DNS-Server,
- automatisches Finden von Diensten im lokalen Netzwerk ohne einen zentralen Directory-Server.
Ebenfalls wichtig ist, dass durch Zeroconf konfigurierte Netzwerke die schon bestehende Netzwerkinfrastruktur nicht beeinträchtigen.
Inhaltsverzeichnis
Automatische IP-Zuweisung
Als Lösung für den ersten Punkt wurde die dynamische Konfiguration von sogenannten Link-Local IPv4-Adressen auserkoren. Dabei handelt es sich um einen auf dem Address Resolution Protocol (ARP) aufbauenden Mechanismus, um für eine Netzwerkschnittstelle automatisch eine freie IP-Adresse auszuwählen. Für genau diesen Zweck ist dafür von der IANA der Adressbereich 169.254.0.0/16 vorgesehen.
Wenn ein Rechner eine Link-Local-IP-Adresse konfigurieren will, wählt er mit Hilfe eines Zufallszahlengenerators eine IP-Adresse zwischen 169.254.1.0 und 169.254.254.255 aus (RFC 3330). Die ersten 256 und die letzten 256 Adressen sind von der IANA für zukünftige Anwendungen reserviert und dürfen unter keinen Umständen ausgewählt werden. Auch muss bei der Auswahl der IP-Adresse rechnerspezifische Information einfließen, wie etwa die MAC-Adresse der Netzwerkschnittstelle, um sicherzustellen, dass – soweit möglich – jedes Mal dieselbe IP-Adresse generiert wird (sie wird damit also pseudozufällig gewählt).
Nach der Auswahl einer geeigneten IP-Adresse muss der Rechner auch diese für sich beanspruchen und testen, ob diese nicht schon von einem anderen Rechner verwendet wird. Dieser Test muss unbedingt durchgeführt werden, bevor die IP-Adresse als Senderadresse in IP- oder ARP-Paketen verwendet wird, und genau dann, wenn eine Netzwerkschnittstelle aktiviert wird. Das kann etwa das Einschalten oder Rebooten des Rechners, das Aufwachen aus einem Sleep-Modus, das Einstecken eines Ethernet-Kabels oder das automatische Einhängen eines Rechners in ein WLAN sein. Explizit verboten ist, diese Überprüfung periodisch durchzuführen, da das eine Verschwendung von Netzwerkressourcen darstellen würde und im eigentlichen Test auf Adresskonflikte schon eine Möglichkeit vorgesehen ist, eventuelle Konflikte auch passiv zu erkennen und darauf zu reagieren.
Die Überprüfung von Adressen auf Konflikte erfolgt mit Hilfe von ARP Probes. Ein ARP Probe ist ein ARP-Paket, bei dem die Absender-IP-Adresse auf 0.0.0.0 gesetzt wird und als Empfänger-IP-Adresse die zu überprüfende Adresse verwendet wird.
Sobald der Rechner bereit ist, mit der Konfliktüberprüfung zu beginnen, wartet er eine zufällig lange Zeit zwischen 1 und 2 Sekunden, und sendet dann drei ARP Probes aus, mit einem zufälligen Zeitabstand von 1 bis 2 Sekunden. Empfängt der Rechner zwischen dem Testanfang und 2 Sekunden nach Versenden der letzten ARP Probe ein ARP-Paket, bei dem die Absender-IP-Adresse der zu überprüfenden IP-Adresse entspricht, so wurde ein Konflikt gefunden, und der Rechner muss diese Prozedur mit einer anderen zufällig generierten IP-Adresse wiederholen.
Wird in diesem Zeitraum eine andere ARP Probe empfangen, die als Empfänger-IP-Adresse die zu testende IP-Adresse enthält, und deren Absender-MAC-Adresse keiner der MAC-Adressen der Netzwerkschnittstelle des Rechners entspricht, so muss vom Rechner ebenfalls eine neue IP-Adresse generiert und überprüft werden. Das kann beispielsweise passieren, wenn zwei oder mehrere Rechner gleichzeitig probieren, dieselbe Link-Local Adresse zu konfigurieren.
Um ARP-Stürme und damit eine Überlastung des lokalen Netzwerkes zu vermeiden, wenn es zu mehreren Konflikten kurz hintereinander kommt, muss jeder Rechner nach zehn Fehlversuchen die Geschwindigkeit, mit der er neue Adressen auswählt und überprüft, auf maximal eine Überprüfung pro Minute reduzieren.
Konnte der Rechner keinen Konflikt feststellen, so hat er erfolgreich die generierte IP-Adresse für sich beansprucht, und muss diese bekanntmachen, indem er zwei sogenannte ARP Announcements versendet, mit einem Abstand von 2 Sekunden. Ein ARP Announcement unterscheidet sich von einer ARP Probe nur dadurch, dass als Absender- und Empfänger-IP-Adresse die neu ausgewählte Link-Local-IP-Adresse eingesetzt wird.
Die Erkennung von Konflikten muss auch nach dem Auswählen einer verwendbaren IP-Adresse stattfinden. Empfängt der Rechner ein ARP-Paket, das von einem anderen Rechner versendet wurde, und als Sender-IP-Adresse die eigene IP-Adresse enthält, so handelt es sich um einen Adressenkonflikt.
Der Rechner hat nun zwei Möglichkeiten, nämlich eine neue IP-Adresse auszuwählen, oder seine IP-Adresse zu verteidigen. Letzteres ist besonders dann zu empfehlen, wenn der Rechner noch TCP-Verbindungen offen hat. Wurden noch keine kollidierenden ARP-Pakete empfangen, erfolgt die Verteidigung der Adresse durch den Rechner dadurch, dass dieser ein ARP Announcement aussendet. Konnte der Rechner jedoch in den letzten Sekunden schon einen Adresskonflikt feststellen, so muss dieser eine neue IP-Adresse auswählen, um eine Endlosschleife zu vermeiden, wenn zwei Rechner mit gleicher IP-Adresse versuchen, diese gegenüber dem anderen zu verteidigen.
Multicast DNS
Multicast DNS im TCP/IP-Protokollstapel Anwendung Multicast DNS Transport UDP Netzwerk IP (IPv6, IPv4) Netzzugang Ethernet Token
RingFDDI … Die Probleme, Namen und IP-Adressen ohne DNS-Server zu übersetzen, sowie einen Mechanismus zum automatischen Veröffentlichen und Finden von Netzdiensten verfügbar zu haben, wurden von der Zeroconf Working Group praktischerweise zusammengefasst und in Form der zwei grundsätzlich unabhängigen, jedoch einander gut ergänzenden Protokolle Multicast DNS (mDNS) und DNS-Based Service Discovery (DNS-SD) zu Papier gebracht.
mDNS ist dabei nichts anderes als eine Beschreibung, wie Clients verfahren müssen, wenn sie DNS-Anfragen an Multicast-Adressen senden, und wie eine Gruppe von Rechnern damit umgeht, sodass die Anfrage richtig und ohne erhöhte Last auf dem Netzwerk beantwortet wird. DNS-SD dagegen spezifiziert eine Konvention für die Verwendung von existierenden DNS-Record-Typen, die das Browsen und Veröffentlichen von Netzwerkdiensten mit DNS ermöglicht[1].
mDNS legt fest, dass die DNS-Top-Level-Domain „.local.“ link-lokal ist. Anfragen und Antworten, die mit „.local.“ zu tun haben, ergeben ähnlich IP-Adressen aus dem 169.254.0.0/16- bzw. fe80::/10-Bereich nur im lokalen Netz Sinn. Alle DNS-Abfragen für Namen, die auf „.local.“ enden, müssen mit UDP und IP Multicast an die mDNS-Multicast-Adresse (IPv4: 224.0.0.251, IPv6: ff02::fb, UDP-Port 5353) gesendet werden. Ist kein anderer DNS-Server verfügbar, können auch Anfragen, die nicht auf „.local.“ enden an diese Adresse gesendet werden.
Jedem Rechner steht es übrigens frei, sich einen eigenen Rechnernamen aus der „.local.“'-Domain auszuwählen. Im Gegensatz zu anderen, öffentlichen Top-Level-Domains gibt es keinerlei Formalitäten, außer dass bereits vergebene Rechnernamen nicht mehr verwendet werden sollten. Natürlich kann es in der Praxis zu Konflikten kommen, von den Erfindern von mDNS wurde das aber als sehr unwahrscheinlich angenommen. Eine Konfliktlösung wird sogar bewusst nicht diskutiert, da es sinnvolle Anwendungen für den Fall geben kann, dass mehrere Rechner den gleichen Namen tragen – etwa für Load-Balancing- oder High-Availability-Lösungen.
Soll über eine Reverse-Mapping-DNS-Abfrage der Hostname zu einer link-lokalen IP-Adresse ermittelt werden, so muss auch diese an die mDNS-Multicast-Adresse (siehe oben) gesendet werden.
Vermeidung redundanten Netzwerkverkehrs
Um den Netzwerkverkehr möglichst gering zu halten, haben sich die Erfinder von mDNS ein paar Verhaltensregeln einfallen lassen, die doppelte oder gar mehrfache mDNS-Abfragen und -Antworten verhindern sollen.
Known Answer Suppression
Eine Möglichkeit zur Unterdrückung von bereits bekannten Antworten besteht darin, dass der Client, der eine mDNS-Abfrage versendet, schon bekannte Antworten, die noch in seinem Cache zu finden sind, als Answer Records an seine Abfrage anhängt. Sieht nun ein anderer Client, der die Abfrage beantworten könnte, seine vorgeschlagene Antwort in der Liste der bereits gegebenen Antworten und ist die TTL (Time to live) noch mehr als die Hälfte der üblichen TTL, muss er diese nicht mehr versenden. Ist die TTL zu gering, muss der andere Client eine Antwort versenden, um die im Cache des ersten Clients gespeicherte TTL zu aktualisieren.
Duplicate Question Suppression
Wenn mehrere Clients in etwa zur selben Zeit dieselbe Abfrage versenden würden, käme es zu redundantem Netzwerkverkehr. Plant ein Client eine Anfrage zu versenden und sieht eine Abfrage eines anderen Clients desselben Inhalts, sollte er die fremde Abfrage als seine eigene betrachten und die Antwort darauf verwenden, anstatt eine eigene Abfrage zu versenden.
Duplicate Answer Suppression
Wenn ein Server, während er die Versendung einer Antwort vorbereitet, eine Antwort eines anderen Servers desselben Inhalts sieht und die TTL (Time to live) der fremden Antwort nicht kleiner als die der eigenen geplanten ist, dann sollte er seine Antwort als gesendet betrachten (also keine eigene Antwort senden).
Implementierungen
Die erste Implementierung von Zeroconf wurde von Apple durchgeführt und hörte auf den Namen Rendezvous (inzwischen Bonjour). Es ist seit der Version 10.2 in Mac OS X integriert, und Apple liefert die meisten Programme, soweit es sinnvoll ist, mit Bonjour-Funktionalitäten aus.
Eine Komponente von Bonjour ist das mDNSResponder-Projekt, das von Apple im Sourcecode unter der Apache-Lizenz veröffentlicht wurde. mDNSResponder implementiert dabei mDNS und DNS-SD und wurde von Apple portabel designt und implementiert, so dass der Quelltext nicht nur unter Mac OS X ab 10.2, sondern auch unter Linux, FreeBSD, NetBSD, OpenBSD, Solaris, VxWorks, Mac OS 9 und Microsoft Windows ohne Anpassungen übersetzt werden kann.
Ein bekannter Fehler in der mDNS-Implementierung von Apple führt unter Windows 7 häufig zu dem Problem, dass ein Default-Gateway von 0.0.0.0 eingetragen wird, der vor dem per DHCP bezogenen Gateway herangezogen wird und damit die Internet-Verbindung des Rechners effektiv lahmlegt. Eine einfache Lösung ist hier die Deaktivierung des Bonjour-Dienstes per Service-Manager.[2]
Mit Avahi existiert weiterhin eine freie (LGPL) und portable Implementierung von mDNS/DNS-SD, die heutzutage in allen Linux-Distributionen Standard ist.
In Microsoft Windows ist eine automatische IP-Adressen-Vergabe seit Windows 98 implementiert.[3] Sie entspricht jedoch nicht vollständig dem RFC der IETF[4]. Microsoft nennt dieses Verfahren Automatic Private IP Addressing oder kurz: APIPA[5].
Damit unter Linux die Namensauflösung bei der Top-Level-Domain „.local“ wie gewohnt über den DNS-Server (z. B. BIND) abgewickelt wird, ist der Eintrag mDNS off in der Datei /etc/host.conf erforderlich.
Einzelnachweise
- ↑ Draft auf dns-sd.org (am 8. September 2010 verfallen)
- ↑ Microsoft Knowledge Base: The Default Gateway may have been set to 0.0.0.0 on a Windows Vista-based or later OS running Apple’s Bonjour service
- ↑ Automatische TCP/IP-Adressierung ohne einen DHCP-Server. Abgerufen am 25. Oktober 2010 (deutsch).
- ↑ APIPA. Abgerufen am 25. Oktober 2010 (englisch).
- ↑ Microsoft Knowledge Base: Automatische TCP/IP-Adressierung ohne einen DHCP-Server
Weblinks
- Informationsangebot der IETF Zeroconf Working Group
- RFC 3927 – Dynamic Configuration of IPv4 Link-Local Addresses
- Apple Bonjour (früher: Rendezvous)
- Avahi
- mDNSResponder
- JmDNS (Java)
- Multicast-DNS
- DNS-Based Service Discovery
Wikimedia Foundation.
