Der Einsatz eines Terminal-Servers ist immer dann nötig, wenn es für das Endgerät keine Möglichkeit gibt, eine Ethernet-Karte einzubauen.

Transkript

1 Der Brouter Mittlerweile existieren Geräte, deren ausschließliche Funktion darin besteht, den Datentransfer zwischen verschiedenen Netzsegmenten entweder mittels der Bridge- oder der Route-Funktion zu lenken je nach dem, ob das entsprechende Kommunikationsprotokoll routefähig ist oder nicht. Diese Geräte werden auch Brouter genannt. Sie sind zudem in der Lage, unterschiedliche Transportmedien zu bedienen; so können z. B. nicht nur Ethernet- Segmente, sondern auch Token Ringe, X.25/HDLC-Strecken und auch FDDI-Ringe angeschlossen werden. Die Unterteilung eines großen Netzes durch Brouter verhindert wie bei reinen Routern ebenfalls die Ausbreitung des lokalen Datenverkehrs auf das gesamte Netz Das Layer-3-Switching Layer-3-Switching ist eine relativ neue Technologie. Sie kombiniert leistungsfähiges Switching (Layer 2 des OSI- Modells) mit skalierbarem Routing (Layer 3). Herkömmliches Switches verwenden die MAC-Adresse der Ethernet-Frames zur Entscheidung, wohin die Frames transportiert werden sollen, während Router die Datenpakete anhand von Routing-Tabellen und Accesslisten auf Layer 3 des Schichtenmodells weitervermitteln. Router sind in vielen Installationen als reine LAN-to-LAN-Router im Einsatz, um Sub-Netze zu verbinden und die Nebeneffekte von rein geswitchten Netzen, wie z. B. Broadcast- Stürme (Signalstreuung), fehlendes Subnetting etc. zu verhindern. Router, die auf der Transportebene arbeiten, müssen jedes IP-Paket aus den Ethernet-Frames zusammenbauen und vielfältige Operationen an IP-Paketen durchführen. Dies führt zu einer Verzögerungszeit und im Vergleich zu Switches zu geringerem Datendurchsatz. In reinen IP-Netzen kann das Layer-3-Switching, auch Fast IP genannt, diese LAN-to-LAN-Router ersetzen. Der Layer-3-Switch liest beim ersten IP-Paket sämtliche Frames dieses Paketes, analysiert die Absender- und Empfänger-IP-Adressen und leitet das IP-Paket weiter. Alle nachfolgenden Frames dieses Stationspaares können daraufhin anhand der MAC-Adresse weitergeleitet werden. Der Layer-3-Switch behandelt IP-Pakete also beim ersten Mal wie ein Router, nachfolgende Daten können auf Frame-Ebene geswitcht werden. Nicht-IP-Daten, wie z. B. IPX-Pakete, werden vom Layer-3-Switch auf Layer 2 geswitcht. Das Konzept des Layer-3-Switching bedient eine Erweiterung des Ethernet-Frameformats und ist bisher nur proprietär (herstellerspezifisch) implementiert. Es ist aber anzunehmen, dass die herstellerspezifischen Implementationen in einem gemeinsamen Standard münden, wenn eine Erweiterung des Layer-3-Switches auf andere Layer-3- Protokolle (z. B. IPX) umgesetzt ist Der Terminal-Server Ein Terminal-Server dient dazu, einem beliebigen Endgerät sofern es eine serielle, asynchrone V.24 (RS 232 C)- Schnittstelle besitzt die Verbindung zu einem Rechner herzustellen. Der Terminal-Server ist über einen Transceiver an das Ethernet angeschlossen und stellt dem Terminal-Benutzer eine Kommandoschnittstelle zur Verfügung, so dass er Verbindungen aufbauen, abbauen und Parameter (z. B. Echo) setzen kann. Ein Terminal kann mehrere Verbindungen haben und zwischen ihnen wechseln. Es gibt Terminal-Server für verschiedene Protokolle, z. B. für TCP/IP (Telnet) und DECnet (LAT) oder auch beides zugleich. Die meisten Terminal-Server haben acht Ports zum Anschluss von Endgeräten, die auch kaskadiert werden können. Der Einsatz eines Terminal-Servers ist immer dann nötig, wenn es für das Endgerät keine Möglichkeit gibt, eine Ethernet-Karte einzubauen. Netzker /03

2 Der Gateway Gateways können völlig unterschiedliche (heterogene) Netze miteinander koppeln. Sie stellen einen gemeinsamen (virtuellen) Knoten dar, der zu beiden Netzen gehört und den netzübergreifenden Datenverkehr abwickelt. Gateways werden einerseits für die LAN-WAN-Kopplung (oder die LAN-WAN-LAN-Kopplung) verwendet, andererseits für den Übergang zwischen unterschiedlichen Diensten benutzt (z. B. das Absetzen von Fax-Nachrichten aus einem LAN). Ein Gateway ist ein aktiver Netzknoten, der von beiden Seiten aus adressiert werden kann. Er kann nicht mehr als zwei Netze miteinander koppeln. Gateways behandeln auf beiden Seiten unterschiedliche Protokolle bis hinauf zur Schicht 7 des OSI-Modells. Insbesondere ist das Routing über Netzgrenzen (korrekte Adressierung!) hinweg eine wichtige Aufgabe des Gateways. Man unterscheidet im wesentlichen zwei Typen von Gateways: Medienkonvertierende Gateways (Translatoren), die bei gleichem Übertragungsverfahren die Verbindung zwischen unterschiedlichen Protokollen der unteren beiden Ebenen (bei unterschiedlichem Transportmedium) herstellen also dort, wo ein Router nicht mehr ausreichen würde. Protokollkonvertierende Gateways, die unterschiedliche Protokolle der Ebenen 3 und 4 abwickeln und ineinander überführen. Der Gateway unterstützt hauptsächlich zwei wichtige Dienste: die Übermittlung aufeinanderfolgender Nachrichten zwischen Quelle und Ziel als unabhängige Einheit; das Etablieren einer logischen Verbindung zwischen Quelle und Ziel. Um auf die unterschiedlichen Anforderungen der Flusskontrolle der zu verbindenden Netze eingehen zu können, muss der Gateway gegebenenfalls Daten zwischenspeichern. Ist eines der beteiligten Netze leistungsfähiger als das andre, muss der Gateway dies erkennen und das schnellere Netz bremsen. Arbeiten beide Netze mit unterschiedlichen Paketgrößen, müssen Datenpakete umgepackt werden. Dies kann ganz einfach dadurch geschehen, dass zu große Datenpakete in kleine Pakete aufgespalten und am Ziel ggf. wieder zusammengesetzt werden Firewall-Rechner Als Schutz vor Einbruchsversuchen in lokale Netze, die über einen Anschluss an öffentliche Netze verfügen (z. B. Internet, aber auch ISDN), haben sich Firewall-Rechner, kurz Firewalls, bewährt. Ähnlich der Zugbrücke einer Burg erlauben sie den Zugang nur an einer definierten Stelle. Damit lässt sich der Datenverkehr von und nach außen kontrollieren. Normalerweise sind zahlreiche Rechner des Unternehmens, die unter diversen Betriebssystemen laufen, direkt aus den öffentlichen Netz erreichbar. Ein Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Kanalisierung erhöht zudem die Chancen, einen Einbruchversuch anhand ausführlicher Protokoll-Dateien zu erkennen, da der Eindringling erst den Firewall passieren muss. Ein Firewall kann aus einer einzelnen Maschine oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen WWW- oder FTP-Server. Die entsprechenden Hosts können dann in einem Zwischennetz isoliert werden. Netzker /03

3 Der Anschluss kann auf zwei Arten erfolgen. Die erste Möglichkeit ist das Einbinden ins lokale Netz. Der Router dieses Netzes wird so konfiguriert, dass alle Datenpakete nur an den Firewall weitergegeben werden, der auch als einziges System nach außen sichtbar ist. Die zweite Möglichkeit besteht darin, den Firewall mit zwei Netzwerk-Schnittstellen auszurüsten, so dass das interne und das externe Netz durch den Firewall-Rechner getrennt werden. Der Firewall routet dann nur die erlaubten Datenpakete. Netzker /03

4 Zur Software-Konfiguration eines Firewalls existieren zwei Grundstrategien: Es ist alles erlaubt, was nicht verboten ist. Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. FTP, NFS) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind. Gleichzeitig ist er aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muss. Es ist alles verboten, was nicht erlaubt ist. Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet. Es gibt drei Arten von Firewalls: Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Datenpakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei FTP). Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Informationen über geschützte Netzwerke verbergen. Application Gateways, auch Proxy (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muss sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der Verboten-was-nicht-erlaubt -Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen. Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so dass er bei einem erneuten Zugriff darauf egal, ob vom selben oder einem anderen Anwender keine Verbindung nach außen aufbauen muss. Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität voneinander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines autorisierten Anwenders und können etwa durch eine zusätzliche Modem-Verbindung umgangen werden. Netzker /03

5 7.13. VLAN virtuelle lokale Netze Einleitung Die Abkürzung VLAN steht für virtuelles LAN, also eine Netzstruktur mit allen Eigenschaften eines gewöhnlichen LAN, jedoch ohne räumliche Bindung. Während die Stationen eines LAN nicht beliebig weit auseinander liegen können, ermöglicht es ein VLAN hingegen, weiter entfernte Knoten zu einem virtuellen lokalen Netz zu verbinden. VLANs sind geswitchte Netze, die logisch segmentiert werden können. Ohne Beschränkung durch die räumliche Position ist es möglich, Server und Workstations nach ihrer Funktion zu lokalen Arbeitsgruppen zusammenzufassen. VLANs können transparent und ohne physikalische Veränderungen des Netzes eingerichtet werden. Eine Umgliederung ist ohne Umpatchen oder Verlegen von Rechnern möglich, im Idealfall kann sie über Software erfolgen. Ein VLAN ist weiterhin eine Broadcast- und Kollisionsdomäne, die sich auch über mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar. Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der Verkehr zwischen VLANs muss geroutet werden hier gibt es Lösungen, die die Geschwindigkeit von Switches erreichen. Innerhalb des VLANs ist hingegen kein Routing nötig. Beliebige Netzteilnehmer aus verschiedenen Segmenten können nach unterschiedlichen Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne dass das Netz physikalisch umstrukturiert werden muss Der Nutzen virtueller Netze Broadcasts werden nicht über das gesamte Netzsegment verbreitet einfache Abbildung der Organisationsstruktur auf die Netzwerkstruktur Unterstützung dynamischer Workgroups räumliche Entfernung der Mitarbeiter spielt keine Rolle bei der Aufgabenverteilung Mitarbeiter, die innerhalb eines Unternehmens umziehen, verbleiben innerhalb ihrer logischen Arbeitsgruppe Server in zentralen Technikräumen werden entfernten Arbeitsgruppen zugeordnet teilweise kein Routing mehr nötig. Bisher wurden Netze mit Hilfe von Routern segmentiert. Router sind teuer, es entstehen viele Subnetze, die Router beanspruchen viel Rechenzeit und der IP-Adressraum wird schnell zu klein. VLANs vereinigen die Vorteile von Bridges und Routern: eine Station kann leicht hinzugefügt, entfernt oder geändert werden und das Netz kann umstrukturiert werden. Es können beispielsweise virtuelle Benutzergruppen gebildet werden und es ist nicht mehr erforderlich, Benutzer nur deshalb verschiedenen Subnetzen zuzuordnen, weil ihre räumliche Entfernung zu groß ist. Server, die in zentralen Räumen untergebracht sind, können räumlich entfernten Workgroups zugeordnet werden. VLANs können helfen Geld zu sparen, denn Switches sind billiger als Router und leichter zu administrieren. Gerade das Ändern von Subnetz-Adressen, das mit VLANs vermieden wird, ist in großen Netzen sehr aufwendig und damit teuer. Der Broadcast-Traffic wird nicht auf alle Ports übertragen, sondern bleibt im entsprechenden VLAN. Broadcasts in fremden VLANs sind nicht sichtbar. Netzker /03

6 Die Realisierung von VLANs VLANs werden mittels Switches gebildet. Diese unterstützen an jedem Port die volle Bandbreite und transportieren die Daten schneller als Router. Netzteilnehmer können nach verschiedenen Kriterien zu virtuellen Netzen vereinigt werden und eine Management-Software ermöglicht ggf. die komfortable Verwaltung und Konfiguration der VLANs. Zur Inter-VLAN-Kommunikation muss Routing eingesetzt werden. Entweder ist ein Router über mehrere physische Ports als Teil mehrerer VLANs eingerichtet, oder es wird VLAN-Trunking eingesetzt. In diesem Fall muss der Router VLAN-Tags erkennen und verändern können. Abbilden von Ports auf VLANs Ausgangsbasis ist ein Switch oder sind mehrere miteinander verbundene Switches, bei denen die Ports unterschiedlichen VLANs zugeordnet werden. Die einfachste Form wäre ein Switch, bei dem die Hälfte der Ports dem VLAN A und die andere Hälfte dem VLAN B zugeordnet ist. Um den Geltungsbereich eines VLANs festzulegen, gibt es mehrere Strategien: 1. VLAN A belegt die Ports 1 bis k, VLAN B die Ports k + 1 bis n. 2. Der Switch kann mit einer VLAN/Port-Zuordnung konfiguriert werden. 3. Der Switch kann mit einer VLAN/MAC-Adressen-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der MAC-Adresse. 4. Der Switch kann mit einer VLAN/IP-Präfix-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der Quell-IP-Adresse. 5. Der Switch kann mit einer VLAN/Protokoll-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund des Protokolltyps. Bei den ersten beiden Punkten spricht man von Port-basierenden VLANs, bei Punkt drei von Level-2-VLANs und bei den beiden letzten Punkten von Protokoll-basierenden VLANs. Port-basierende VLANs Die Ports eines Switches werden unterschiedlichen VLANs zugeordnet. An einem Port können immer nur Angehörige desselben VLANs angeschlossen sein. Die starre Zuordnung zwischen Port und VLAN vereinfacht die Fehlersuche. Soll eine Station zu mehreren VLANs gehören, so sind aber mehrere Netzwerk-Adapter nötig. Bei Broadcasts ist eine höhere Sicherheit gewährleistet. Die Flexibilität bei Umzügen (z. B. von Mitarbeitern) ist nicht groß, denn ein Umzug einer Station muss durch den Administrator im VLAN-Manager nachvollzogen werden. Im Gegensatz zu der Gruppierung nach MAC-Adressen oder IP-Adressen kann dem Endgerät nicht einfach der Umzug bekannt gegeben und das VLAN automatisch umgestaltet werden. Dieses Verfahren ist weit verbreitet; es ist durch IEEE 803.1Q standardisiert und wird von vielen Herstellern unterstützt. Level-2-VLANs Die Zugehörigkeit zu einem VLAN richtet sich nach der MAC-Adresse. Der Switch muss bei jedem empfangenen Datenpaket entscheiden, zu welchem VLAN es gehört. So können an einem Port auch Stationen verschiedener VLANs angeschlossen sein, aber es kann in diesem Fall auch zu Performance-Verlusten kommen. Der Umzug von Stationen ist leicht möglich, da die Zuordnung zum VLAN ja erhalten bleibt. Netzker /03

7 Problematisch ist die Initialisierung, da die MAC-Adressen aller Endgeräte erfasst werden müssen. Gerade in großen Netzen, wo häufig VLANs eingerichtet werden müssen, ist dann aber die VLAN-Konfiguration der einzelnen Arbeitsplätze wieder sehr zeitaufwendig. Schema eines Netzwerkes aus zwei Layer-2-Switches und einem Router Der Layer-2-Switch interpretiert wie eine Bridge nur die MAC-Adresse der Datenpakete. Er kann aber im Unterschied zu dieser parallel arbeiten und mehrere Pakete gleichzeitig weiterleiten, etwa von Port A nach C und von B nach D. Sobald jedoch mehrere Switches vernetzt sind, muss sichergestellt werden, dass die Adresstabellen in allen Switches konsistent sind. Dazu müssen regelmäßig Informationen über das Netz übertragen werden. Genau dies ist aber das Hauptproblem der VLANs. Jeder Hersteller verwendet für diesen Informationsabgleich eigene Verfahren. Deshalb verstehen sich die Switches verschiedener Produzenten oft nicht. Unter anderem gibt es: den regelmäßigen Austausch der Adresstabellen mit MAC-Adressen und VLAN-Nummer. Die Tabellen werden etwa einmal pro Minute ausgetauscht. das Frame-Tagging, bei dem die VLAN-Nummer als Tag vor das MAC-Paket gesetzt wird. Die zulässige Paketlänge kann dabei überschritten werden. das Zeitmultiplexverfahren, bei dem der Backbone zwischen den Switches in Zeit-Slots aufgeteilt wird, die fest den einzelnen VLANs zugeordnet sind. Protokoll-basierende VLANs Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie z. B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner Datenpakete zu verschiedenen virtuellen LANs geschieht durch die Auswertung der Subnetzadressen oder portbasiert. Innerhalb eines VLANs wird auf Layer 2 geswitcht. Bei der Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische Adresszuordnungsverfahren können nicht eingesetzt werden. Netzker /03

8 Layer-3-Switches verwenden Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird innerhalb eine VALNs nur gebridged. Regelbasierte VLANs Hier werden logische Zuordnungen eingesetzt und die VLAN-Zugehörigkeit anhand des Ports, der MAC-Adresse, des Protokolls oder der Netzadresse bestimmt. Das System ist besonders flexibel, der Administrator kann selbst eine Balance zwischen Sicherheit, Verkehrsoptimierung und Kontrolle erreichen, aber dafür ist die Einrichtung aufwendig. Durch die Abarbeitung der einzelnen Regeln ergibt sich eine hohe Latenzzeit Layer-2-Switches Layer-2-Switches arbeiten unabhängig von darüber liegenden Protokollen auf der Data-Link-Layer und garantieren eine transparente Verbindung der Endgeräte. Während des Betriebs lernt ein Switch alle MAC-Adressen und ordnet sie in einer MAC-Tabelle den Anschlussports zu. In dieser Tabelle sucht der Switch nach der Zieladresse und dem zugeordneten Zielport. Die Adresstabellen der Switches müssen um die Adressen der VLANs ergänzt und immer auf dem aktuellen Stand gehalten werden. Dafür stehen hauptsächlich folgende Verfahren zur Verfügung: Austausch der MAC-Adressen Wie beim Routing tauschen auch die Switches Informationen aus, um ihre Adresstabellen abzugleichen. Wird eine neue Station an das Netz angeschlossen, so erkennt der lokale Switch am Port, zu welchem VLAN die Station gehört und ergänzt seine Adresstabelle. Dann sendet er die MAC-Adresse und die Adresse des VLANs an die anderen Switches. Wenn alle Switches die neue Endstation kennen, können deren Daten übertragen werden. Time Division Multiplexing (TDM) Beim Zeitmultiplexverfahren wird der Backbone, der die Switches verbindet, in Zeitslots (Zeitscheiben) aufgeteilt und jedes VLAN erhält exklusiv einen oder mehrere Slots zur Datenübertragung. Die Switches müssen nur wissen, welcher Zeitslot welchem VLAN zugeordnet ist. Es entfällt zwar der Overhead durch den Austausch von Adresstabellen oder aufgrund von Tags, aber die Bandbreite, die von einem VLAN nicht genutzt wird, steht nicht für andere VLANs zur Verfügung. Für den sinnvollen Einsatz dieses Verfahrens ist eine an das tatsächliche Netzverhalten angepasste Zuordnung der Zeitslots nötig. Netzker /03

9 Frame Tagging Das Frame Tagging wird am häufigsten eingesetzt. Beim impliziten Tagging werden keine zusätzlichen in das Datenpaket eingefügt, sondern die Tagging-Information wird aus der vorhandenen Header-Information hergeleitet und vom Switch in Tabellen gespeichert. Dadurch werden vorhandene Standards nicht verletzt. Beim expliziten Tagging wird in den Ethernet-Frame ein Marker (Tag) eingesetzt (VLAN-ID), der angibt, zu welchem VLAN das Datenpaket gehört. Dadurch ist ein Austausch von Adresstabellen nötig. Der erste Switch, der ein bestimmtes Datenpaket erhält, analysiert es auf seine VLAN-Zugehörigkeit und fügt die Kennung des VLANs als Tag an. Das Paket wird am Backbone von Switch zu Switch weitergeleitet, der letzte Switch entfernt das Tag und übergibt das Paket der Endstation. Die Switches müssen sehr leistungsfähig sein, um möglichst mit Wirespeed die Paketinformationen auswerten und mit den Tabellen vergleichen zu können. Das Einfügen von zusätzlicher Information in das Paket ist problematisch, wenn die Datenpakete schon die maximal zulässige Länge erreicht haben. Durch das Hinzufügen eines weiteren Tags würden dann die Vorgaben des MAC-Protokolls verletzt, das Paket als fehlerhaft erkannt und vernichtet. Daher setzen die Hersteller spezifische Techniken zur Vermeidung dieses Problems ein (Kapselung Encapsulation). Layer-2-Switches sind leichter zu konfigurieren als Ebene-3-VLANs, benötigen weniger Software und sind meist preisgünstiger und auch schneller. Außerdem sind sie protokollunabhängig und können auch nicht routbare Protokolle bedienen Layer-3-Switches Layer-3-Switches arbeiten auf der Netzwerkebene (Layer 3 des ISO/OSI-Modells). Sie integrieren Routing-Funktionalität in die VLANs und machen externe Router zur Verbindung der VLANs überflüssig. Daher werden sie auch als Switched Router bezeichnet. Layer-3-Switches können Ebene-3-Informationen auswerten und deshalb VLANs auch abhängig vom verwendeten Protokolltyp definieren. So kann man z. B. alle IP-Stationen oder alle Netware- Stationen ortsunabhängig zu einem VLAN zusammenfassen. In Schicht-3-VLANs werden eigentlich nicht Endgeräte, sondern Datenpakete den VLANs zugeordnet. Diese Zuordnung geschieht durch Auswerten der Subnetzadressen und es ist kein Informationsaustausch zwischen den Switches wie bei den Layer-2-Systemen nötig. Obwohl auch die Ebene-3-Informationen ausgewertet werden, muss die Routing-Funktionalität nur zwischen den VLANs eingesetzt werden. Layer-3-Switches müssen auch Routing-Protokolle beherrschen. Unbekannte Datenpakete werden innerhalb des VLANs an alle Stationen geschickt (Broadcast). Der Broadcast-Traffic kann aber durch Bildung von Subnetzen eingedämmt werden. Im Vergleich zu klassischen Routern erlauben Layer-3-Switches einen sehr schnellen Durchsatz auf der Ebene 3, da die Zuweisung der Daten über spezielle Hardware erfolgt. Wirespeed Switched Router sind in der Lage, Pakete ohne Verzögerung, also mit Leitungsgeschwindigkeit, weiterzuleiten. Für den Umzug von Mutarbeitern ist keine manuelle Rekonfiguration des Netzwerks nötig, sondern der Switch lernt automatisch die neuen Verbindungen und baut daraus Routing- bzw. Switching-Tabellen auf. Layer-3-Systeme sind für komplexe Netzwerke besser geeignet, der Overhead zur Synchronisation fällt weg. Broadcast kann gezielter übertragen werden und es stehen Filtermöglichkeiten zur Sicherung der VLANs zur Verfügung. Netzker /03

10 Dynamische VLAN-Bindung, Switch-Switch Sehen wir uns nun den Fall an, wenn ein Switch an einen anderen Switch angeschlossen ist: Auf der Verbindung zwischen den beiden Switches können Pakete entweder zu VLAN 1 oder VLAN 2 geroutet werden. Das Schema zum Hinzufügen von zusätzlichen Informationen zu einem Paket ist vom IEEE standardisiert. Es handelt sich um die VLAN-Marke, damit Switches wissen, für welches VLAN ein Paket bestimmt ist. Ein Endgerät wäre jedoch verwirrt, wenn es ein Paket mit einer VLAN-Marke erhalten würde. Folglich müssen die Switches wissen, an welche Ports Switches und an welche Ports Endgeräte angeschlossen sind. Ein Switch entfernt die VLAN-Marke vom Paket, bevor er es zu einem Nicht-Nachbarswitch-Port weiterleitet. Die VLAN-Marke ist eine 2-Byte-Zahl, die drei Bits für die Priorität, zwölf Bits für eine VLAN-ID und ein Bit enthält, das anzeigt, ob die Adressen im kanonischen (den Bestimmungen gemäßen) Format vorliegen. Durch den Ethernet-Typ wird angezeigt, dass eine VLAN-Marke vorhanden ist. Beispielsweise ist ein Ethernet-Paket folgendermaßen aufgebaut: Ziel Quelle P Daten Aufbau eines Ethernet Frames (IEEE 802.3ac) Tagged MAC Frame Präambel 7 Okletts Frame-Anfangskennzeichnung 1 Okletts Empfänger-Adresse 6 Okletts Absender-Adresse 6 Okletts Typ-Feld (Tag-Protocol-Identifier) 2 Okletts Tag-Control-Information 2 Okletts Typ-Feld 2 Okletts Daten Okletts Prüfsequenz 4 Okletts Netzker /03

11 Dasselbe Paket mit VLAN-Marke sieht dann folgendermaßen aus: Ziel Quelle VLAN-Marke P Daten Die zusätzlichen Felder im Tagged MAC Frame User Priority CFT VLAN Identifier (VID, 12 Bit) Tag-Protocol-Identifier Tag-Control-Information TPI (Tag-Protocol-Identifier) : (EthernetKodierung) User Priority: Prioritäts-Level (0 7) des User-Verkehrs CFI (Canonical-Format-Identifier): gibt an, wie MAC-Adressen im Datenfeld zu identifizieren sind VID: identifiziert eindeutig das zugehörige virtuelle LAN Ein Ethernet-Typ wird selbst dann benutzt, wenn das ursprüngliche Paket im Format war. Ein Paket im Format wird in ein Format mit einer VLAN-Marke umgesetzt, indem dieselben vier Bytes (81-00 für Ethernet- Type und die 2-Byte-VLAN-Marke) wie im Ethernet-Paket hinzugefügt wurden. Die Längenangabe und weiter Felder werden analog verschoben. Auf anderen LANs als ist es nicht möglich, das Ethernet-Format zu verwenden. In diesem Fall wird eine andere Kodierung verwendet, um die VLAN-Marke zu verwenden. Ein Switch kann alle VLANs lernen, die auf dem Port verfügbar sind, der ihn mit einem anderen Switch verbindet. Er tut dies auf Grundlage der VLAN-Marken in den Paketen, die auf diesem Port empfangen werden. Da die Endgeräte die VLAN-Marken nicht verstehen, muss der Switch so konfiguriert sein, dass er niemals ein Paket mit einer VLAN-Marke zu einem Port sendet, auf dem sich ein Endgerät befinden könnte. Einige Switch-Anbieter haben einen anwenderspezifischen Mechanismus zum Informationsaustausch darüber, welche VLANs auf dem Switch-zu-Switch-Port erreichbar sind. Auf diese Art lernt der Switch die VLANs über explizite Protokollnachrichten. Bisher existiert jedoch kein Standard dafür. Kontrollfragen: 1. Erläutern Sie die Funktionsweise eines Brouters. 2. Welche Aufgabe hat ein Gateway? 3. Nennen Sie die Aufgabe eines Firewall-Rechners. 4. Erklären Sie die drei Arten von Firewalls. 5. Erläutern Sie stichpunktartig den Aufbau und die Funktionsweise eines virtuellen lokalen Netzes (VLAN). Netzker /03