eAutgaben 1bis 4beziehen sich auf die folgende AusgangssituationtGmbH. sich um einern mitte).

Dabei handeltes
Sie arbeten als
Fachintormatiker 1234-1T-Systemhaus Standorte hat
(5ystemintegration)
stàndischen IT-Dienstleister, der neben be der
der Zentrale mehrere bundesweit
verteilte
Modebranche. Der Kunde betreibt
Aktuell betreuen Sie für thren Unternehmen aus der
ein Einzelhandels-Filiale. in der die Mode
eine Arbeitgeber die iHK- Wear GmbH", mindestens eine
Firmenzentrale Norddeutschland jeder
verkauft in plant aktuell einige inAnderungen
wird. Der Kunde
und an
großeren Stadt
der II der Firmenzentrale sowie die Eroffnung einer neuen Filiale.

Searbe:ten Sie in diesem Zusammenhang die

1. Autgabe: Das folgenden vier Autgabe
2.Aufgabe. bestehende Netzwerk
an das Internet analysieren
3. Aufgabe: Anbindung
Die realisieren
4. Aufgabe: Geräte Interneta nbindung
drahtlos in das absichern
Netzwerk einbinden
1. Aufgabe (22
Punkte)
ndCek
nd Subnetze der lHK-Wear GmbH besteht aus der Fimenzentale und den Filialen. Das Netzwerk in der Zentrale ist in VLANS
autgeteilt,
Für alle Filialen wird der wie im Netzwerkplan
Zugang zu den Netzbereich 172.16 dageste2verwendet. Die Filialen sollen nach der Modernisierung des Netzwerks
Servern in der Zentrale über ein VPN
erhalten.
aa) Sie verschaffen zuerst einen Überblick über die Adressbereche der Subnetze.
sich
liagen Sie die zugehöriqen dezimalen Subnetzmasken sowie die Anzahl der
maximal nutzbaren IP-Adressen in die Tabelle ein.
VLAN IDName 4 Punkte
Subnetz Maske (dezimal) Max, nutzbare IP-Adressen
1 default
192.168.1.0/24 255.255.255.0 254
11 Technik
192.168.11.0/26
Vertrieb
192.168.12.128/25
66
Management 192.168.66.8/29
Filial-Netze
172,16.200.0/22
ab) Die Schnitstellen auf R1 werden als Gateway fur die
dem Subnetz verwendet werden, Subnetze konfiguriert. Dafür soll jeweils die
Tragen Sie die IP-Aressen der letzte 1P-Adresse aus
Gateways in die Tabelle ein.
VLAN IDName
Subnetz
default IP-Adresse des Gateways 4 Punkte
192.168.1.0124
Technik
12
192.168.11.0126
Vertrieb
66
192.168.12.128/25
Management 192.168.66,8/29
 Voetutard
Für de Netwetkplanung sollen die Gateway-Adressen der Sutbnetze aut den Schrittstelen von RI entsprecherd de:
ANS richtig zugeordnet werden
VLAN ID Name Subnetz Schnittstelle auf R1
11 Technik 192.168.11 0/26 eth1.t1 (Subinterface)
12 Vertrieb 192.168.12.128/25 etht.12 (5ubintertace)
Management 192 168,66 8/29 eth1.66 (Subinterface)

kriäutern Sie, weshalb a's Schrnittstelle in der Ubersichtstabelle jeweils ein Subinterface angegebern ist und was ma 4 Punkte
darunter versteht

ink agoregat1cn 2um Einsatz kommen solite

b) In der weiteren Planung wird daruber diskutett, ob aut den Switchen
herkonmlichen Vetbindungen za
ba) Etl-utern Sie den Beg1ff ink aggregation und nennen Se zwe Vorteile gegenuber 4 Punkte
schen Switchen

MST der Port mit der Vertindung zum Swtch

MLS2 geblockt ist (um Netzwerkplan
bb) Erlautern Sie, warun aul dem Switch 4 Punkte
Zeichen . obwohl er orinzipell funktionstahig ist.

iT Intenet hergesteit werden

Router RI eingenchtet wurde, konnen ke ne Vert ndurqen Zu Adressen
Nachdem der Internet manl.th werrten
fehlenden Einttag in der Routingtabe le vun R1, sodars Verbindungen zum 3Pinete
Erganzen Se den
Next hop
Netzwerk
Schnittstelle
2030,113.0/30
etht
192.168.1 1C/26
etht.12
192.168 12. 128/25
Phl6
192. 169,66 8/29
2. Aulgabe (29 Punkte)
J) Die lHK-\Wear GmbtB plant aktuelil den Autbau eines neuen sind fúr die Anbindug dieer Hiale an
das Firmennetz und die if-Ausstattung det flagip Stores in belin, Sie
neuen Filiale zustandig
a ntenet-Anbleter hat thnen ein Angebot lit dle Anhirdune dor nouen Elale mit einem ,Gescháltskunden DSl nit
25040 Mbit's" vorgelegt
hemen se tret Aspekte, die einen DSt-Anschluss (úr Geschättskunden yon enem Priyatkunden-Arschluss unterscheden
konnen. 3 Punkte

ab) Alternatv bietet Ihnen Ihr internetanbieter eine Glasfaseranbindung (GPON) mit de gleichen
ihr Anbieter weist darauf hin, dass es sich
dabei um ein shared medium handelt
Geschwindigkeit an.
Erlautern Sie, was man darunter versteht und warum dies fur die Filiale der
IHK-Wear GmbH ungúnstig ist. 3 Punkte

ac) Der geplante

Eroffnungszeitpunkt der Fiiale liegt vor dem Termin, den Ihr Anbieter für die beiden Anschlussarten
ren kann. Zur Uberbrückung bietet Ihnen der
Arbieter einen ,TE-Router mit 50/10 Mbitis" an. realisie
Erlautern Sie zwei Aspekte, warum dies für die Filiale
keine dauerhafte Losung ist.
4 Punkte

b) Sie haben sich für das Angebot aus

Aufgabe aa(,Gescnäitskunden DSL mit 250.40 Mbitis") entschieden.
ba) Nach der Bereitstelung des
Anschlusses müssen Sie desen in Betreb nehmen. Sie erhalten für den
Anbieter eine offentliche, festeIPy4-Adresse. Anschluss yon Ihrem
Erlautern Sie. wie Sie dennoch in der Laçe sind, de vielen
Gerate in Cer Fiiae uber dese eine
Zu verbinden P-Adesse mit dem Internet
4 Punkte
 Meih eihalten Sie vi men Artietet en olteutles ied, Palk

Lmitteln Sie, Nie Viele lieze enitsteen we ds ote , te dot uoetetole ud das let/te Sutet/ lau
5 Punete

Anzahl Subnetze

Sutnetz

Subnet:
LNletztes Subnet:

let:tes Subnet:
untergebracht werden solen.
Subnetze fur Servet yerenden de in ener DMZ
) Sie wollen in der Filiale eines der 2Punikte
DMZ
Nennen Sie zwei Eigenschaften einer

2Purkte
Verfuqung stehen
in einer DMZ der
Große /64-5ubnetz zut
viele |P-Adressen
h) Geben Sie an, wie

dass er fur die Fihale

Sie den Router der Fuiale so,
kontigurieren
das lnternet zu ermöglichen,
Ereichbarkeit der Seite www.
ihk.ce.
1 Purkt
Zugriff auf aus die
Clients den von einem Cient aufgelost hat.
c Um Ihren dient. Sie testen www.ihk.de rekursiv
als DNS-Server Anfrage nach
Client die
BeschreibenSie wie Ihr
ca)

aul.
www.ihk.de terativ
Anfragenach durchiuhrt.
Router löstdie dieer dazu
Co) Iht einzelnenSchrite.
ErlauternSiede
Dieses Blatt kann an der Perforation aus dem
Aufgabensatzherausgetrennl Weruen
Aalage 1:NETZWERKSKIZZE DER IHK-WEAR GMBH
Ber
VLAND
66
LAN
tortsetzung 2. Autgabe
offentlichen DNS Serve, wie z. 8
) tiuten Sie, weshally Se uet Clients n der laale nicht ustatten sollten, einen
9999 iu de NanensuluN tu
veenden

3.
Autgabe (29 Punkte)
eneRugang der Mitarbeiter in der neien Eliale dr liK.Weat GnbH soll unter anderem durch eine sogenannte Stateful
Packet lnspection Firewal (SPI)
abgesichert werden
a Sie unterstutzen das Netzwerkteam bei der Fintichtuna der Fitewll und scllen hierzu einige voroereungen enent
da) ttiauten Sie, was eine.Statetul Packet Insnectiont Firewall yon einen reinen Paketilter unterscheidet. 4 Punkte

ab) Bislang wurden folgende

-HTTPS internet-Anwendungen identifizert, welche durch die Firewall ermolicht werden sollen:.
-SMIPAMAPS
-Externe Datenbankanwendung, welche auf Port 4711 reagiert
- Interner Webserver muSS VOn
außen über eine gesicherte HTTP-Verbindung unter iP 192.0.2.64 erreichbar sein
Allen weiteren Datenverkehr soll die Firewall
unterbinden.
Vervollstandigen Sie die Regeln fur die Stateful Packet Inspection Firewallin
Regel Protokoll Quell-1P Ziel-IP
folgender Tabelle 9 Punste
Quell-Port
allow Ziel-PortRichtung
allow TCP
any 587 (smtp)
alow
993 (imaps)
TCF any any
any 4711
allow TCP any 192.0.2.64/32 ary
n
any
any
any any
any
ac) Für die Absicherung des Netzwerks müssen Sie eine
rur die moderne Firewal
firewall" anzuschaffen. beschaffen, Sie Prwnen ene Next
Erláutern Sie zwei Voteile, die eine sc'che Fitewallim Geretation
Vergeich zu einem
kassischen Pakettitot hetet APunkto
Fut die geplanten
VPN-TunneB zwischen den Slandorten
welche.
MPN- Softwate 1, Zertdikate nach stehen derret rvei
S509
einsett, um bede Seten deralternatve Sotware-Produkte tut Ausahi
oder
welche
Verbindung oegenitig zu athentierer
vPN Software 2, zåt
Geráten hinterlegt werden rmüssen. Authent1fzietung eigene Pubie-Keys generiert, de dunch de Adminigtratoen aut den jeweige
eines der
bal Wahlen Sie beiden qenannten Produkte aus und begrunden Sie Itse
Entschedung 4 Punite

th Bei der Auswahl der Hardware für die VPN-Tunnel fallen einige Kiterien aut
8 Punkte
Eläutern Sie deren Relevanz in Bezug auf die Funktionalität der Tumel:
hatdware-unterstützte Krypto-Alqorithmen:

-Anzahl Netzwerkports:

bestimmten Zeitrautm:
Firrnware-Updates über einen
garantierte

-
Leistungsaufnahme in Wat:
 4. Aulgabe (20 Punkte) tutebtghetien jele ka
Giai venass teuelatw d
Steyende jeinten thalien de il Nea hgeet, wekhe
fe

resen und per Funk tertager

| e neuen lol Gedte werden an dn WAN der ia angete
Hronkat Velugug
aal Dleneue WAN SSO ti de kolol Geite stetheen 550 )Prte
5Sib-loaxdazts
ehneben Sle de lunà tionseie und deu Zek des

Verttauichiet feztoe
in das WLAN Inteuiet uauea khuhn missen de Authentifzierung und die
de n-Geràte
legt wesden
4 Punkte
Eilàutern Se die beiden Bequtle in Berug aul die WLAN Verbindung
Authentiizieung

Vertraulichkeit:

ac) Nennen Sie jewels en Beispiel, wie WPA (1/23) de

Authentizerung bzw. Verschlüsselung realisiert. 2 Punkte
Beispiel füt Authentieung

Beispiel für Vesschlisselung

bl Sobald ein loT-Gerat ene

Verbindung zum WLAR Egestet na, verSucit es,
ethalten automatisch eine IP-Adretse ynm DHCP.Senyet U
bat Erláuten Sie, wanum der
DHCP-Dscover as Broadcast ertolct.
3 Punkte
 iLVoyagetogeith abgeshlovan int, wet
GaltouS APRegest , e teue Clar)v a n e
lft re
bdei Ste den Sn dever AP-Mguets

Dtenuberttagung det urd

lol-Gerále efoigt pet MQ11 Det
Veibindungsati st rwicthen nen ernplauthen lotGerit
aDie
Server ist nachfolgend abgebildet
Server
oT-Gerat
Connect

Cannect Ack

Publish

Publish

Publinh

3 Punkte
a Frláutern Sie, warum das
MQTT-Protokoll aufTCP und nicht at UDP autsetzen muss

Fortsetzung 4. Aufgabe
Fortsetzung 4. Autgabe Koneetyrae
tnzene .Publisth Message ist 66 B/te groß und wird perodisch alle 60 Sekunden gesendet. Insgesamt senden
Zukunttig 500 lot-Geráte ihse SensoIdaten per MQTT an den Server
Die WLAN-Bandbrete fur diese SSiD soll auf
lediglch 10 cbitis begrenzt werden.
oesnen Sie durch Rechnung, cb de gewahlte Bandbrete ausseichend ist. Hinwe s Protokolloverhead muss nicht
berücksichtigt wetden. 3 Punkte