HTL Innsbruck Exploration 3 Switching / Wireless Mag. J. Steidl CCNA. Inhalt:

Transkript

1 CCNA Cisco Certified Networking Associate Inhalt: 1. LAN Design 2. Basic Switch Concepts and Configuration 3. VLANs 4. VTP 5. STP 6. Inter-VLAN Routing 7. Basic Wireless Concepts and Configuration Vorbemerkung: Wie schon beim Curriculum CCNA 3.1 sollen die Unterlagen die wesentlichen Punkte des CCNA Exploration LAN Switching and Wireless auf Deutsch erklären. Die englischen Fachausdrücke habe ich beibehalten, ebenso die Kapitel-Struktur. Wo es möglich war, habe ich Passagen aus den HTL-Unterlagen CCNA 3.1 (Semester 3 Mag. J. Steidl und Dr. M. Weiss) übernommen und angepasst. Feedback zu diesem Skriptum an steidl@htlinn.ac.at upgedated: (v6) Seite 1

2 1. LAN Design (chapter 1) 1.1 Switched LAN Architecture Nach Cisco s hierarchischem LAN-Modell erfolgt eine Einteilung in drei Layer: Core Layer: geschwindigkeitsoptimierter Datentransport Distribution Layer: Implementierung von Policies, z.b. Filter, Firewall Access Layer: Zugriff der User auf das Netzwerk Die Auswahl der L2- und L3-Switches richtet sich nach der Größe des Netzwerkes und den Anforderungen. Sehr große Netzwerke (> 1000 Hosts): Core Layer: Cisco 4500, 6500 Distribution Layer: Cisco 3550, 3560, 3750, 4500, 6500 Access Layer: Cisco 2950, 2960, 3560, 3750 Bei mittleren Netzwerken ( Hosts) können Core Layer und Distribution Layer zusammenfallen: Core/Distribution: Cisco 3550, 3560, 3750 Access Layer: Cisco 2950, 2960 Bei kleinen Netzwerken können alle 3 Layer auf einem oder 2 Devices realisiert werden, z.b. mit Cisco 2950, 2960 (Layer 2) oder 3550, 3560, 3750 (Layer 3). Die Vorteile eines solchen Modells liegen in der Skalierbarkeit (wenn Netzwerk wächst kann gut auf Gneue Gegebenheiten reagiert werden), Redundanz (im Core- und Distribution Layer), Performance (beinahe wired - speed Durchsatz im Core- und Distribution Layer), Security (Port Security im Access- und Distribution Layer), Manageability una Maintainability. Grundprinzipien beim hierarchischen Design: Network diameter (Anzahl der Netzwerkgeräte, die von Paketen passiert werden müssen) soll möglichst klein gehalten werden Bandwidth Aggregation (Bündelung der Bandbreite) soll Durchsatz erhöhen; Cisco Geräte lösen diese mittels EtherChannel, indem mehrere Links zu einer Leitung zusammengefasst werden Redundancy (Mehrfachverbindungen zwischen Geräten) erhöht die Ausfallsicherheit Seite 2

3 1.2 Matching Switches to Specific LAN Functions Um die richtige Auswahl der Switches treffen zu können, sind Traffikanalysen ein sinnvolles Mittel. Hierfür gibt es verschiedenste Software von diversen Firmen (Orion 8.1 NetFlow Analysis von Solarwinds, NetFlowAnalyser von Adventnet, Flow Inspector von Caligari, ). Weiters spielt bei der Auswahl eine Rolle, wie viele Userverbindungen zu einem Switch benötigt werden (User Communities Analysis; Human Resources). Schließlich sollen künftige Anforderungen in die Überlegungen einbezogen werden. Im Bereich Data Stores and Data Server Analysis kommen die Begriffe SAN (Storage Area Network) und NAS (network attaches service) ins Spiel. Nachdem alle Analysen gemacht wurden, kann ein Topologie Diagramm die Netzwerksituation optimal darstellen. Exploration3, Für die tatsächliche Auswahl gibt es Fixed Configuration Switches, modulare Switches und stackable Switches. Erstere haben in Regel 24 oder 48 Ports, modulare Switches können wesentlich mehr Ports haben und stackable Switches (meist im Core Bereich im Einsatz) werden durch spezielle backplane Kabel verbunden. Was den Datendurchsatz pro Port betrifft, war in der Vergangenheit 100Mbps der Standard (Fast Ethernet), nun bewegen sich die Raten im 1Gbps Bereich. Die reinen Linkverbindungen zwischen den Switches können leicht ein Nadelöhr darstellen, weshalb mit Link Aggregation von bis zu acht Links (EtherChannel bei Cisco) der Durchsatz auf 8Gbps erhöht werden kann. Es gibt aber bereits Switches mit 10Gbps Ports. Bei IP Telefonen und Wireless Geräten kommt zunehmend PoE (Power over Etherent) zum Einsatz und auch die Layer 3 Funktionalität der Switched wird immer mehr verwendet. Seite 3 Exploration3, 1.2.2

4 Access Layer Switches: Diese stellen die Verbindung zu den Endusern dar. Für ein zeitgemäßes Netzwerk sollen sie Portsecurity, VLAN Technologie, Fast Ethernet- bzw. Gigabit Ethernet unterstützen. Link Aggregation und PoE können ebenfalls notwendig sein. Distribution Layer Switches: Sie leiten die Daten von den Access Layer Geräten zu den Core Layer Switches weiter. Sie unterstützen als Layer 3 Geräte Inter VLAN Routing, bringen über Policies (ACLs) Traffik- Management und in der Folge Sicherheit für das Netzwerk und ermöglichen über Quality of Service (QoS) eine Priorisierung von Datenströmen. Eine wichtige Aufgabe auf diesem Layer ist die Implementation von redundanten Pfaden. Über Link Aggregation bzw. 10Gbps Ports werden hohe Datenraten in Richtung Core Layer erreicht. Core Layer Switches: Sie stellen die high-speed backbone eines Netzwerkes dar. Deshalb arbeiten sie mit 10 Gbps Verbindungen und wegen der ständigen Verfügbarkeit ist meist Redundanz notwendig. Zusammenfassung: Exploration3, Labs (Wiederholung von Exploration 2) 2. Basic Switch Concepts and Configuration (chapter 2) 2.1 Introduction to Ethernet / LANs Siehe auch Ethernet wurde in den 70er Jahren am Xerox Research Center in Palo Alto (Kalifornien) entwickelt und ist heute die im LAN-Bereich am weitesten verbreitete Technologie für Layer 1 und Layer 2. Ethernet verwendet CSMA/CD (Carrier Sense Multiple Access / Collision Detect) zur Kollisions- Erkennung. Jede sendewillige Station hört auf die Leitung, und wenn sie die Leitung als frei erkennt, startet der Sendevorgang. Während des Sendens (und nur dann!) hört die Station die Leitung ab, und wenn eine Kollision auftritt (was an unzulässig hohen Signalpegeln erkannt wird), stoppt der Sendevorgang, es wird ein JAM - Signal gesendet, und nach einer zufällig festgelegten Wartezeit (back off Algorithmus) startet ein neuer Sendeversuch. Seite 4

5 Exploration3, Beeinflussende Merkmale in diesem Zusammenhang sind die Leitungslänge, die Frame - Länge und die Ausbreitungsgeschwindigkeit der elektrischen Signale im Kabel. Ethernet kennt drei Übertragungsvarianten: Unicast, Broadcast, Multicast Exploration3, Die Größe eines Ethernet-Frames beträgt max.1518 Byte (18 Bytes Headerinformationen, max Byte Daten). Preamble und SFD werden für die Synchronisation benötigt. Wesentliches Adressierungselement ist die MAC Adresse (6 Byte, davon die ersten 3 Byte OUI). Darstellungsformen: A-3C oder 00:05:9A:3C:78:00 oder A3C Duplex Settings: Im half-duplex Betrieb können auf einer Leitung Informationen in beide Richtungen übertragen werden, aber nicht zur selben Zeit. Im full-duplex Betrieb ist eine Übertragung in beide Richtungen zum selben Zeitpunkt möglich (auf verschiedenen Leitungen). Man braucht also zwei Leitungspaare und erhält so eine kollisionsfreie Punkt zu Punkt - Verbindung. Beim half duplex - Betrieb kann es zu Kollisionen kommen, daher ist die Kollisionserkennungsschaltung auf der Netzwerkkarte in Betrieb. Beim full duplex - Betrieb ist die Kollisionserkennung abgeschaltet. Falls eine Netzwerkkarte im half duplex mode arbeitet muss der Switch auch diesen Modus fahren. Grundsätzlich sind sowohl bei NIC wie auch beim Switch - Port die Modus - Einstellungen auto, half und full möglich. Mit auto-negotiation (auto) wählen die Ports selbständig den besten Mode. Cisco Switches arbeiten ab IOS 12.2 (18)SE defaultmäßig mit auto-mdix, d.h. dass je nach Kabel (straight through, crossover) der entsprechende Link Modus gewählt wird. Seite 5

6 Collision Domain: Von seiner Konzeption her ist Ethernet ein Broadcast - Netzwerk, d.h. die von einer Station gesendeten Daten erreichen alle Stationen im Netzwerk. Die Station mit der passenden Ziel MAC - Adresse verarbeitet die Daten weiter, alle anderen Stationen ignorieren den Frame. Den Bereich eines Netzwerkes, der von mehreren Stationen gemeinsam benützt wird und in dem Kollisionen auftreten können, nennt man Collision Domain. Beim klassischen Ethernet war das ganze Netz eine einzige Collision Domain. Ein Repeater verstärkt das Signal und ermöglicht dadurch größere Leitungslängen, ein Hub (engl. Nabe) ist ein Multiport-Repeater. Repeater und Hub sind Layer-1-Devices, d.h. sie verstärken nur die Signale und analysieren keinerlei Dateninformation. Außerdem vergrößern sie die Collision Domain, was normalerweise nicht wünschenswert ist. Bei einer Bridge oder einem Switch ist die Situation anders: diese Geräte analysieren die eingehenden Daten und speichern den entsprechenden Port und die MAC-Adresse des Senders in einer Tabelle, der Bridging- bzw. Switching Table, auch CAM (Content Addressable Memory) Table genannt. Wenn ein Frame hereinkommt, kann durch einen Lookup auf die Switching Table festgestellt werden, hinter welchem Port die Ziel MAC-Adresse liegt, und der Frame kann ganz gezielt über diesen Port versandt werden. Allfällige Kollisionen auf einem Leitungssegment werden nicht weitergeleitet (deshalb begrenzt ein Switch die Collision Domain). Broadcast Domains: Obwohl Switches basierend auf MAC Adressen Daten filtern, filtern sie keine Broadcasts. Ein durch Bridges und/oder Switches verbundenes Netzwerk ist jedoch immer eine gemeinsame Broadcast-Domain. Exploration3, Broadcast-Domains werden erst durch Layer-3-Devices (Router, Layer-3-Switch) aufgelöst. Network Latency (Netzwerkverzögerung): Diese entsteht durch drei Faktoren: durch die sendende NIC (NIC delay ca. 1 s), die begrenzte Ausbreitungsgeschwindigkeit der Signale im Kabel (propagation delay ca. 0,55 s pro 100m) und die zu passierenden Netzwerk-Geräte (Hubs, Switches, Router). Bei Switches kann zusätzliche Verzögerung durch Implementation von Portsecurity, QoS und Netzwerkmanagementstrategien entstehen. Bei einem Core Switch mit 48 1-Gbps-Ports (full duplex) muss intern ein Durchsatz von 96 Gbps geschafft werden, um alle Ports mit wirespeed versorgen zu können. Ein Server mit einer 1Gbps NIC, der 6 Workstations mit 1Gbps-NICs angeschlossen hat, würde pro Workstation nur 167 Mbps bieten können. Neben dieser latency (Verzögerung) spielt die transmission time eine Rolle. Sie ergibt sich als Vielfaches der bit time (bei einem 10 Mbit Netz 100 ns, bei einem 100Mbit Netz 10 ns). Für 64 Byte (Mindestgröße eines Ethernet-Frames) liegt die transmission time somit bei ca. 50 s und für 1518 Byte (max. Größe eines Ethernet Frames) bei 1,2 ms. Seite 6

7 LAN Segmentierung: Die Bildung von mehreren Collision - Domains oder mehreren Broadcast - Domains bezeichnet man als Segmentierung eines Netzwerkes. Exploration3, Forwarding Frames using a Switch Forwarding Methoden: Das Weiterleiten von Frames kann auf drei verschiedene Methoden erfolgen: store-and-forward: Der gesamte Frame wird empfangen, die checksum geprüft und dann weitergeleitet. cut-through: Schon vor dem Empfangen der Prüfsumme (die sich am Ende des Frames befindet) wird mit der Weiterleitung begonnen. Bei der cut through - Methode gibt es 2 Varianten: fast-forward (sofort nach dem Empfang der Ziel MAC -Adresse wird mit der Weiterleitung) und fragment-free (es werden die ersten 64 Bytes empfangen, und dann wird weitergeleitet; damit können sogenannte runts (Kollisions-produkte) herausgefiltert werden). Schließlich gibt es noch adaptiv cut-through, wobei der Switch normalerweise eine cut through - Technik verwendet. Beim Auftreten einer gewissen Fehlerhäufigkeit wird auf store and forward umgeschaltet. Cut-through ist natürlich schneller als store and forward, bietet aber keine Fehlerprüfung. Die Standardeinstellung bei Cisco - Switches ist fragment free. Zusammenfassung (Pfeilspitze zeigt den Forwarding Beginn der Frames) Symmetrisches asymmetrisches Switching: Beim symmetric switching arbeiten alle Ports eines Switches mit derselben Bandbreite (Normalfall). Manchmal ist jedoch bei einzelnen Ports eine höhere Bandbreite erwünscht (z.b. für einen Server oder bei der Backbone - Anbindung). In diesem Fall spricht man von Seite 7

8 asymmetric switching. Eine solche Situation stellt jedoch höhere Ansprüche an das Speicher- Management des Switches, weil aufgrund der unterschiedlichen Geschwindigkeiten die einzelnen Frames gespeichert werden müssen und erst bei passender Gelegenheit weitergeleitet werden können. Speicherarten eines Switches (memory buffering): port-based memory buffering: alle Frames werden in einer Warteschlange gespeichert, die Weiterleitung erfolgt nach dem FIFO Prinzip (first in, first out). Nachteil: Ist ein Port sehr ausgelastet, müssen alle anderen Ports warten bis sie die Pakete weiterleiten können. shared memory buffering: alle Frames werden in einem gemeinsamen Pool gespeichert, den sich alle Ports des Switches teilen. Dynamisch werden die weiterleitenden Ports bedient. Layer 2 and Layer 3 Switching Die Bezeichnung Layer 3 switching ist etwas irreführend. Ein Layer-3-Switch ist nämlich ein Router, der seine Entscheidungen jedoch nicht (wie ein Router) in Software, sondern mit Hilfe spezieller Hardware (ASICs) trifft. Dadurch ist er einem herkömmlichen Router im Hinblick auf die Performance deutlich überlegen. Layer-3-Switches bilden (wie Router) Broadcast - Domains und werden häufig in größeren Netzen eingesetzt. Das Cisco Standardgerät ist derzeit Catalyst Exploration3, Switch Management Configuration Aktuelle Cisco - Switches arbeiten mit routerähnlichem IOS und daher mit weitgehend bekannten Befehlen für die Grundkonfiguration. Auf der Frontseite eines Cisco Switches zeigen eine Reihe von LED s (System LED, RPS LED, Port Mode LED, Port Status LED) die verschiedenen Zustände an. Beim Starten eines Switches läuft (wie bei einem PC oder Router) ein POST (Power On Self Test) ab, bei dem die internen Komponenten getestet und initialisiert werden. Wenn ein Terminal am Consoleport angeschlossen ist, können die entsprechenden Ausgaben am Bildschirm verfolgt werden. Die Console-Verbindung zeigt folgende Grafik. Seite 8

9 Ein orangefarbenes System LED deutet auf einen fehlgeschlagenen POST hin, bei grüner System LED ist alles in Ordnung. Ein Switch besitzt für jeden Port eine Status-LED, die unterschiedliche Bedeutung haben kann, je nach Auswahl des Mode (STAT-Status des Ports, UTIL-Auslastung des Switch, DUPLX duplex Zustand des Ports, SPEED speed des Ports). Die Umschaltung zwischen den verschiedenen Modi erfolgt mit der MODE Taste. Nach abgeschlossenem POST meldet sich ein Switch mit dem CLI (Command Line Interface) Switch>. Gleich wie bei Cisco - Routern kann dann mit enable in den Privileged Mode gewechselt werden oder mit help bzw.? Hilfe angefordert werden. Wenn man einen Switch neu konfigurieren möchte, sollten zunächst alle alten Einstellungen gelöscht werden: erase startup-config or erase nvram: löscht die gespeicherte Konfiguration (NVRAM) delete vlan.dat löscht die VLANs (im Flash gespeichert) delete flash:vlan.dat clear vtp counters löscht die VTP-Zähler reload startet den Switch erneut Grund - Konfiguration eine Switches: hostname hostname enable password password enable secret password line con 0 password password login line vty 0 15 ein Switch kann gleichzeitig 16 VTY - Connections haben password password login service password-encryption Verschlüsselung des Passworts erzwingen interface vlan nr Management VLAN wählen ip address address subnet-mask IP-Adresse für Management VLAN ip default-gateway address Default Gateway interface type / number duplex full / half / auto speed 10 / 100 / auto ip http server Aktivieren des Web-Servers ip http port 80 Wahl des Listening Ports Seite 9

10 Bemerkungen: VLAN 1 ist defaultmäßig das Management VLAN. In diesem sollten sich alle managebaren Switches befinden, sodass sie von einer zentralen Station aus gewartet werden können. Allerdings sollte dem Management VLAN aus Sicherheitsgründen unbedingt eine andere Nummer zugewiesen werden, da alle Switchports defaultmäßig auch im VLAN1 sind. Fast Ethernet Switch Ports sind standardmäßig auf duplex auto und speed auto gestellt und befinden sich wie gerade erwähnt in VLAN1. Basic - Konfigurationsbeispiel: Management VLAN als VLAN 99 konfigurieren, Switchport zuweisen und Default gateway setzen: Mögliche Kommandos für einen ersten Überblick: show running-config show version show flash show mac-address-table show interfaces show post show vlan Seite 10

11 Auch eine GUI based Konfiguration und Kontrolle ist möglich. Dafür gibt es mehrere Möglichkeiten: Switcheigenes Web-Interface Cisco Network Assistant (CNA) Cisco View Seite 11

12 Cisco Device Manager (CDM) Boot Sequence: Nachdem der Bootloader den POST und flash initialisiert hat, lädt er das default - IOS in den RAM. Anschließend wird die Konfiguration im NVRAM gesucht und ausgeführt. Für Notfälle (nicht existierendes IOS, fehlendes Konfigurationsfile, vergessenes Passwort) kann über spezielle Kommandos ein Troubleshooting erfolgen. Sichern und Wiederherstellen der Konfiguration: Mit dem Befehl S1#copy system:running-config flash:startup-config wird gesichert, mit den Befehlen S1#copy flash:startup-config system:running-config S1#reload wird der alte Zustand wieder hergestellt. Erfolgt die Sicherung auf einem TFTP Server lautet der entsprechende Befehl S1#copy system:running-config tftp: [[[//location]/directory]/filename]. Übungsbeispiel: Connect to the switch using a console connection Navigate through various CLI modes Use the Help Facility to configure the clock Access and configure command history Configure the boot sequence Configure a PC and connect it to a switch Configure full duplex Manage the MAC address table Manage the switch configuration file 2.4 Configuring Switch Security Passwort Recovery für Catalyst 2950, 2960: Switch ausschalten MODE-Taste drücken und dann Switch einschalten Wenn STAT-LED erlischt, MODE-Taste wieder loslassen Seite 12

13 flash_init load_helper dir flash: rename flash:config.text flash:config.old boot Switch fährt hoch, Antwort auf Configuration Dialog? N, Wechsel in den privileged mode, Rückbenennen des Konfigurationsfiles (rename flash:config.old flash:config.text), Aktivieren der Konfiguration (copy flash:config.text system:running-config), Umbenennen des Passwortes, Sichern der neuen Konfiguration (copy running-config startup-config). Banner Konfiguration Zum Anzeigen einer Meldung bevor Username und Passwort eingegeben werden dient das Kommando S1(config)#banner login text. Um eine spezielle nach Anmeldung mit Username und Passwort anzeigen zu lassen, wird S1(config)#banner motd text verwendet. Telnet Konfiguration Telnet Client und Telnet Service laufen standardmäßig auf Cisco Switches. Da mit diesem Dienst Passworte im Klartext übertragen werden, sollte er nicht verwendet werden. Wenn damit zu Testzwecken dennoch gearbeitet wird, sind die folgenden Konfigurationsschritte erforderlich. S1(config)#line vty 0 15 S1(config-line)#transport input telnet SSH Konfiguration Eine sichere remote-verbindung ist mit Secure Shell (SSH) möglich. In diesem Fall weisen sich beide Partner mit einem Zertifikat aus. SSH Server und SSH Client sind im Catalyst IOS integriert. Beim Server werden SSHv1 und SSHv2 unterstützt, beim Client SSHv1. Als Verschlüsselungsalgorithmen werden DES (58 Bit) bzw. 3DES (168 Bit) unterstützt. Bevor SSH verwendet werden kann müssen RSA Keys erzeugt werden. S1(config)#hostname hostname S1(config)#ip domain-name domainname S1(config)#crypto key generate rsa S1(config)#ip ssh version [1 2] S1(config)#line vty 0 15 S1(config-line)#transport input ssh Standardmäßig sind bis zu 5 gleichzeitige Verbindungen möglich. Mit show ip ssh kann der SSH Status kontrolliert werden. Switch Security Attacken Von vielen möglichen Attacken auf Switches gehören MAC address flooding und MAC address spoofing zu den bekanntesten. MAC address flooding Diese Attacke zielt darauf ab, die Punkt zu Punkt Verbindung eines Switches außer Kraft zu setzen und ihn zu zwingen, die Pakete zu broadcasten (so wie es ein Hub macht). Damit können alle mit dem Switch verbundenen User (auch der Hacker!) die Daten abhorchen. Möglich ist dies aufgrund der Tatsache, dass ein Switch einen begrenzten MAC-address- Speicher besitzt. Ist dieser erschöpft flutet der Switch (flooding). Um dies zu erreichen wird der Switch eine Zeit lang mit gefälschten MAC-Adressen bombardiert (zum Bsp. mit dem Linux Tool macof ). Seite 13

14 Exploration3, Verhindert werden kann diese Art von Switch-Attacke durch Implementation von Port security (siehe nächster Punkt!). MAC address spoofing (DHCP spoofing) In diesem Fall versucht der Hacker an Informationen zu kommen indem er seine MAC Adresse als Ziel einer seriösen Userverbindung anbringt. Häufig wird diese Attacke im Zusammenhang mit DHCP ausgeführt, daher ist DHCP spoofing nichts anderes als MAC address spoofing. Im Detail: Exploration3, Um diese Art von Attacke zu verhindern sollte DHCP snooping konfiguriert werden. In diesem Falle werden jene Switchports als sog. trusted ports konfiguriert, über die Antworten auf DHCP Anfragen versendet werden können. Versucht nun ein Device an einem untrusted port (kann nur DHCP Anfragen entgegennehmen; sind alle Ports, die nicht explizit als trusted Ports konfiguriert wurden) zu antworten, so fährt der Port herunter. Konfiguration: S1(config)# ip dhcp snooping S1(config)# interface fa0/1 S1(config-if)# ip dhcp snooping trust Fa0/1 Optional kann mit S1(config)# ip dhcp snooping vlan <nr> das snooping auf ein bestimmtes Vlan begrenzt werden. Mit show ip dhcp snooping binding können Infos über untrusted Ports angesehen werden. Seite 14

15 DHCP starvation DHCP Aushungerung ist eine weitere mögliche Attacke auf ein Netzwerk. Bei dieser Attacke schickt der Hacker fortwährend IP-Adressen-Anfragen an den wahren DHCP Server und zwingt ihn damit in die Knie. Verhindert kann dies werden, indem nur eine limitierte Anzahl von DHCP-Anfragen zugelassen wird. Dafür dient der Befehl S1(config-if)# ip dhcp snooping limit rate rate. CDP attack Dabei werden vom Hacker Informationen über Cisco Router und Switches gesammelt, um DoS (Denial of Service) Angriffe zu starten. CDP ist ein Cisco proprietäres Layer 2 Protokoll, mit dem Information (IP- Adressen, IOS Version, Interface Namen, ) der direkt verbundenen Nachbarn im Klartext versendet werden. Mittels Sniffer Programmen können diese Information sichtbar gemacht werden. Lösung: CDP abschalten (S1(config)# no cdp enable) Telnet attack Wie oben erwähnt kann ein Console Zugriff mit passwortgeschützer Telnetverbindung konfiguriert werden. Mit Brute Force Methoden kann das Passwort geknackt werden. Dies fällt leicht, wenn es ein sog. Wörterbuchpasswort ist, anderenfalls lassen Programme auch Passworte erzeugen. Lösung: komplizierte Passworte verwenden und diese immer wieder ändern oder überhaupt kein Telnet verwenden. Da Netzwerksicherheit eine sehr komplexe Angelegenheit ist, sollte nach deren Implementation die Funktionalität getestet werden. Verschiedene Möglichkeiten stehen dafür zur Verfügung. Mit Tools können beispielsweise Hackerangriffe simuliert und die Ergebnisse aufgezeichnet werden. Von Cisco gibt es Cisco Systems Security Auditor oder bereits im IOS enthalten den audit Befehl (ip audit attack {action [alarm] [drop] [reset]}). Grundsätzlich sollen solche Tools folgende Möglichkeiten bieten: Capture chat messages Capture files from NFS traffic Capture HTTP requests in Common Log Format Capture mail messages in Berkeley mbox format Capture passwords Display captured URLs in browser in real time Flood a switched LAN with random MAC addresses Forge replies to DNS address / pointer queries Intercept packets on a switched LAN Für den letzten dieser Punkte (Pakete abzufangen) bietet das Cisco IOS mit Port Security eine ausgezeichnete Möglichkeit. Port Security Das Feature Port Security möglich nur bei static access ports erlaubt es, bestimmte Ports bei einer Sicherheitsverletzung des Switches abzuschalten (switchport port-security violation shutdown) und damit einen Zugriff auf das Netzwerk zu verbieten. Dazu kann die Zahl der secure MAC Adressen, die ein Port lernen darf, begrenzt werden (switchport port-security maximum anzahl). Eine Sicherheitsverletzung liegt auch vor, falls eine als secure konfigurierte MAC an einem anderen secure Interface desselben VLANs auftaucht. Um secure Adressen zu konfigurieren gibt es zwei Möglichkeiten: a) MAC Adressen statisch secure deklarieren (Tabelle, Step 7 oder Bsp. Seite 16) b) die Option sticky zu verwenden, welche es erlaubt, dynamisch gelernte MAC Adressen - einschließlich derer, die vor der sticky Konfiguration gelernt wurden - als secure zu Seite 15

16 deklarieren (automatischer Eintrag in running-config und mac-address-table) (Tabelle, Step 8, Step 9). Wird die Port Security wieder abgeschaltet, so bleiben die sticky Adressen in der running-config erhalten. Wird die running-config im NVRAM gespeichert, so bleiben sticky Adressen nach einem Switchneustart erhalten, anderenfalls nicht. Im Normalfall werden die MAC Adressen dynamisch gelernt und nur in der MAC address table gespeichert. Das Kommando show port security zeigt den Status des Ports an. Konfigurationsbefehle für Port Security für Cisco 2950 / 2960 Switch: Step 1 configure terminal Enter global configuration mode. Step 2 interface interface-id Enter interface configuration mode for the port you want to secure. Step 3 switchport port-security Enable basic port security on the interface. Step 5 Step 6 Step 7 Step 8 Step 9 switchport port-security maximum max_addrs switchport port-security violation {shutdown restrict protect} switchport port-security mac-address MAC switchport port-security mac-address sticky switchport port-security mac-address sticky MAC Set the maximum number of MAC addresses that is allowed on this interface. The range is 1 to 132; the default is 1. Set the security violation mode for the interface. The default is shutdown. For mode, select one of these keywords: Shutdown: The interface is error-disabled when a security violation occurs. Note: When a secure port is in the error-disabled state, you can bring it out of this state by entering the shutdown and no shut down interface configuration commands. Restrict: A security violation sends a trap to the network management station. Protect: When the port secure addresses reach the allowed limit on the port, all packets with unknown addresses are dropped. (Optional) Configuring a static secure address for the specified interface. If fewer secure MAC addresses than the maximum are configured the remaining address are dynamically learned. (Optional) Dynamically learned MAC- addresses becomes secure addresses. (Optional) Enter a sticky secure MAC address, repeating the command as many times as necessary. If you configure fewer secure MAC addresses than the maximum, the remaining MAC addresses are dynamically learned, are converted to sticky secure MAC addresses, and are added to the running configuration. Portsecurity - Konfigurationsbeispiel: S1(config)# interface fastethernet 0/18 S1(config-if)#switchport mode access S1(config-if)#switchport port-security S1(config-if)#switchport port-security maximum 10 S1(config-if)#switchport port-security mac-address sticky S1(config-if)#switchport port-security violation shutdown // Einschalten der P-Security // Begrenzung auf 10 MACs // MACs secure machen // Port bei Sicherheitsverletzung herunterfahren Seite 16

17 Kontrolle: Für zusätzliche Sicherheit im Netzwerk sollen unbenutzte Ports heruntergefahren werden nachdem sie vorher in ein eigenes VLAN gegeben wurden. 2.5 Chapter Labs 3. VLANs (chapter 3) 3.1 Introdusing VLANs Mit Hilfe von VLANs (Virtual LANs) können auf einem Switch mehrere Netzwerke realisiert werden, die getrennt voneinander arbeiten. Der Effekt ist der gleiche wie beim Aufbau mit mehreren (nicht verbundenen) Switches. Ein wesentlicher Unterschied ist aber, dass im Falle von VLAN s die Segmente nicht wie sonst üblich nach Räumen oder Stockwerken organisiert sein müssen (physische Zuordnung), sondern logisch nach Aufgabenbereichen bzw. Funktionen. In der HTL Anichstraße gibt es zum Beispiel neben anderen VLAN s auch VLANs für Wireless User, welche Räume über Stockwerke hinweg zusammenfassen. Beispiel einer VLAN Implementierung: Seite 17

18 Realisiert wird dies dadurch, dass jeder Port des Switches einem VLAN zugeordnet wird. Solche Ports, die einem singulären VLAN zugeordnet sind, heißen Access Ports. VLANs werden mit Nummern bezeichnet. Standardmäßig befinden sich alle Ports im VLAN 1. Dies ist das sog. Default VLAN. Es können nur jene Ports miteinander kommunizieren, die sich im gleichen VLAN befinden. Eine Kommunikation mit anderen Ports ist mit normalen (Layer-2) Switches ausgeschlossen. Das betrifft natürlich auch Broadcasts, sodass ein VLAN immer auch eine Broadcast -Domain darstellt. Vorteile von VLAN s Logische statt physische Strukturierung eines Netzwerkes Leichtere Kontrolle des Netzwerk-Traffic Erhöhte Sicherheit Zuordnung bzw. Verschiebung innerhalb von bestimmten Funktionsgruppen leicht möglich (Flexibilität) Bessere Performance, da Broadcast Domains den Traffic begrenzen VLAN ID Bereiche Normal Range VLANs haben Nummern zwischen 1 und 1005, wobei 1002 bis 1005 für Token Ring und FDDI reserviert sind. Sie werden in der vlan.dat gespeichert. Extended Range VLANs haben IDs zwischen 1006 und 4094, werden von Service Providern verwendet und in der Running Config gespeichert. Catalyst 2950 / 2960 unterstützen 255 VLANs. Typen von VLANs Default VLAN: VLAN, in dem sich alle Ports nach der Initialisierung befinden; standardmäßig VLAN 1; kann nicht umbenannt oder gelöscht werden. Management VLAN: VLAN, von dem aus ein Switch verwaltet werden kann (über http, telnet, ssh, snmp). Daher besitzt das Management VLAN eine IP Adresse (defaultmäßig ist es VLAN 1). Native VLAN: VLAN, das einem trunk port zugewiesen wird und daher getaggte Frames transportieren kann. Es kann aber auch nicht getaggte Frames weiterleiten (rückwärts kompatibel). Aus Sicherheitsgründen sollte als native VLAN nicht VLAN 1 verwendet werden (genauso nicht für das Management VLAN). Data VLAN: VLAN, welches nur User-generierten Traffic weiterleitet. Davon getrennt sollte Management-Traffic und Voice-Traffic sein. Exploration3, Seite 18

19 VoIP Traffic gehört in eigenes VLAN (Voice VLAN), da er eine zugesicherte Bandbreite benötigt und priorisiert werden muss. Folgendes Beispiel zeigt den im IP Phone eingebauten 3-Port Switch (ein Port zum PC für ungetaggte Frames, ein Port für getaggten Voice Traffic und ein Port als Verbindung zu anderen IP Phone Geräten). Exploration3, VLAN Switchport Zuordnungsarten und Konfiguration: Das Zuweisen eines Switchports zu einem VLAN kann auf verschiedene Weisen erfolgen. Statisches VLAN: die Zuordnung erfolgt durch den Administrator per IOS CLI commands oder einer Applikation mit grafischer Oberfläche. Dies ist fast immer der Normalfall. Konfiguration: S1(config)#vlan number S1(config-vlan)# name vlan_name // VlAN benennen S1(config-vlan)#apply // Abspeichern der VLAN-Konf. S1(config)#interface type / number S1(config-if)# switchport mode access S1(config-if)#switchport access vlan number // Portmodus wählen // Ports einem VLAN zuordnen Dynamisches VLAN: die Zuordnung erfolgt durch einen VLAN-Configuration - Server mit spezieller Software (zum Beispiel CiscoWorks 2000) und kann aufgrund der MAC- oder der IP - Adresse einer Station erfolgen. Eine solche dynamische Zuordnung ist aber mit erhöhtem Arbeitsaufwand verbunden (es muss eine Datenbank mit MAC Adressen gewartet werden) oder im Falle einer IP Adressen- basierenden Variante wegen der heute üblichen Adressvergabe über DHCP nur schlecht realisierbar. Seite 19

20 Voice VLAN: die Zuordnung erfolgt ebenfalls durch den Administrator. Spezielle Befehle lassen einen Port priorisierten Voice Traffik transportieren. S1(config)#interface type / number S1(config-if)# mls qos trust cos // Voice Mode einschalten S1(config-if)# switchport voice vlan number1 // Voice VLAN einstellen S1(config-if)# switchport mode access // Portmodus wählen S1(config-if)#switchport access vlan number2 // Ports einem VLAN zuordnen VLAN Broadcast Domains Wie bereits oben erwähnt bilden VLANs Broadcast domains, d.h. Broadcast Traffic bleibt im VLAN. Sollen die VLAN Grenzen überschritten werden, kommt ein Layer 3 Gerät (Router, Layer3 Switch) zum Einsatz. In nachfolgender Topologie schickt PC1 Daten an PC4. Da die PCs in verschiedenen VLANs sind, muss der Layer 3 Switch in einer ersten Phase den ARP request von VLAN 10 ins VLAN 20 senden. Jedes VLAN benötigt in dieser Phase (kein Trunking) eine eigene Leitung. Übungsbeispiel: Lösche mögliche VLAN-Konfigurationen, konfiguriere die VLANs lt. Topologie und kontrolliere die Connectivity zwischen PC1 und PC4 bzw. zwischen PC1 und PC VLAN Trunking In der Nachrichtentechnik ist ein trunk eine Leitung, auf der verschiedene Signale übertragen werden. Seite 20

21 Im Zusammenhang mit VLANs versteht man unter einem Trunk eine Leitung (Point to Point Verbindung) zwischen zwei Devices (Switches, Router), auf der Frames aus unterschiedlichen VLANs übertragen werden. Als Protokoll wird von Cisco Geräten nun IEEE 802.1q verwendet (das cisco proprietäre ISL Protokoll wird kaum mehr unterstützt!). Der entscheidende Vorteil einer Trunkleitung ist die Einsparung von physischen Interfaces. Im Falle von 10 VLANs müssten 10 physische Verbindungen hergestellt werden, im Falle eines Trunks reicht eine einzige. Ohne Trunk Mit Trunk Exploration3, q Frame tagging Damit der Empfänger - Switch den Frame wieder dem richtigen VLAN zuweisen kann, muss dem Frame die VLAN - Information beigepackt werden. Dies geschieht im Header von 802.1q: Als Tag Protokoll ID wird 0x8100 verwendet, für die VLAN ID sind 12 Bits reserviert und für die Priorität 3 Bits. Native VLANs and 802.1q Trunking / Konfiguration Control traffic sollte im nativen VLAN ungetaggt gesendet werden, da er sonst an trunk ports verworfen wird. Daher muss dies bei der Konfiguration von Cisco Switches berücksichtigt werden. Geräte anderer Hersteller können tagged frames am nativen VLAN erlauben. Bekommt ein Cisco Switch untagged frames auf einem Trunk Port, werden diese ins native VLAN verschickt. DTP, Trunking Modes Cisco Switches arbeiten mit dem DTP Protokoll (Dynamic Trunking Protokoll). Dieses ist standardmäßig aktiviert unterstützt verschiedene Modi. Der Modus legt fest, wie ein Switch auf DPT reagiert: Mode Trunk oder auch Mode ON : in diesem Modus wechselt ein remote Switch Port automatisch in den Trunking Status, wenn der lokale Port mit switchport mode trunk konfiguriert wird. Mode Dynamic auto : wird ein Port mit switchport mode dynamic auto konfiguriert, so wechselt der Port nur unter bestimmten Voraussetzungen in den Trunk Port Status. Sind der lokale und der remote Port dynamic auto konfiguriert, so bleibt der Trunk inactive. Mode Desirable auto : wird ein Port mit switchport mode dynamic desirable konfiguriert, so wird er zu einem Trunk Port, falls der remote Port im Status ON, dynamic auto oder desirable konfiguriert ist. Seite 21 Exploration3, 3.2.1

22 Mit switchport nonegotiate an den konfigurierten trunk Interfaces kann DTP abgeschaltet werden. Dies sollte aus Sicherheitsgründen gemacht werden, da dann keine DTP-frames verschickt werden, welche an einem Hackerinterface einen trunk port erzeugen können. 3.3 Configuring VLANs and Trunks Konfiguration eines Trunkports: S1(config)#interface F0/1 S1(config-if)#switchport trunk encapsulation dot1q (falls keine Default-Vorgabe) S1(config-if)#switchport mode trunk S1(config-if)#switchport trunk native vlan 99 (ohne die letzte Konfigurationszeile wäre das native VLAN das VLAN1) S1(config-if)#switchport trunk allowed vlan add 10,20,30 Kontrolle: Konfiguration eines VLAN und Access-Ports: S1(config)#vlan 20 S1(config)#name student S1(config-if)#interface fa0/18 S1(config-if)#switchport mode access S1(config-if)#interface access vlan 20 Kontrollbefehle: show vlan show interface name switchport show vlan summary show vlan brief Diese Information zeigt, dass alle Ports defaultmäßig in VLAN 1 sind und dass VLAN 20 angelegt und diesem der Port Fa0/18 zugewiesen wurde. Mit no switchport access vlan kann ein Port aus dem VLAN entfernt werden, mit no vlan number wird das VLAN selbst entfernt, die Ports verbleiben aber bis zu einer Neuzuordnung in diesem gelöschten VLAN und scheinen so im sh vlan nicht auf. Seite 22

23 3.4 Troubleshooting VLAN and Trunks Zu den häufigsten Problemen zählen: Native VLAN mismatches, trunk port mismatches und mismatches bei allowed VLANs on trunk. Daneben kann es falsche IP Adressenzuweisungen geben. 3.5 Chapter Labs Perform basic configuration tasks on a switch Create VLANs Assign switch ports to a VLAN Add, move, and change ports Verify VLAN configuration Enable trunking on inter-switch connections Verify trunk configuration Save the VLAN configuration Find and correct Network Errors Document the Corrected Network 4. VTP (chapter 4) 4.1 VTP Concepts VLANs werden in größeren Netzwerken über viele Switches hinweg betrieben. Dies bedeutet einen beträchtlichen Konfigurationsaufwand, da die entsprechenden VLANs auf allen Switches eingerichtet und gewartet werden müssen. Außerdem treten dabei häufig Fehler auf, die sich oft nur schwer lokalisieren lassen. Eine Lösung dieses Problems bietet VTP (VLAN Trunking Protocol). VTP ist ein Layer-2- Messaging-Protocol, mit dem VLAN - Informationen für normal-range VLANs (ID 1 bis 1005) auf beliebig vielen Switches zentral angelegt, umbenannt oder gelöscht werden können. Zu diesem Zweck wird zunächst eine VTP Domain angelegt und sinnvollerweise mit einem Passwort gesichert. Dann werden die VTP-Rollen der einzelnen Switches festgelegt. VTP Switch Modi: VTP Server: kann VLANs anlegen, umbenennen und löschen. Er speichert die VLAN Konfiguration im NVRAM. Seite 23

24 VTP Client: kann die entsprechenden Informationen nur von einem Server übernehmen und an all Trunk Ports weitergeben. Transparent-Mode: leitet die VTP advertisements zwar weiter, ignoriert aber ansonsten die VTP - Informationen. Nachfolgende Darstellung zeigt, dass vom VTP Server die VLAN Informationen an die VTP Clients an S2 und S3 weitergegeben werden. Exploration3, VTP Operation Die Default VTP-Konfiguration auf Cisco Catalyst 2950 / 2960 ist Mode Server, Version1 (es gibt auch Version 2 und 3) und Configuration Revision Number ist 0. Mit dem Kommando show vtp status erhält man alle wichtigen VTP Informationen. Beim Konfigurieren von Switches mit VTP spielt die Configuration Revision Number eine wichtige Rolle. Jedes Mal wenn ein Switch umkonfiguriert wird, wird dieser Zähler inkrementiert. Daher kann jeder Switch zu jedem Zeitpunkt feststellen, ob er die aktuellste VTP - Konfiguration besitzt oder ob er (falls seine Nummer niedriger ist als die eines Nachbar - Switches) ein Update benötigt. Dieses Verhalten ist aber sicherheitskritisch, daher sollte die VTP-Domain immer mit einem Passwort versehen werden. Die folgende Grafik zeigt das Erhöhen der Revisionsnummer in der linken VTP Domain um 1, nachdem am Switch C Änderungen vorgenommen wurden. In der rechten VTP Domain hat sich nichts geändert, daher ist die Revisionsnummer gleichgeblieben. Seite 24

25 Wie bereits oben erwähnt, werden die VTP-Advertisements in einem Layer 2 Frame verpackt, d.h. sie werden in dessen Data Feld übertragen. Advertisements gibt es in drei Arten: Summary, Subset und Request. VTP pruning Damit wird festgelegt, dass Broadcasts aus einem VLAN nur über solche Trunks gesendet werden an deren Ende noch Ports aus diesem VLAN vorhanden sind. In diesem Fall müssen alle Switches wissen, welche VLANs auf den anderen Switches konfiguriert sind. In nachfolgendem Beispiel würde VTP pruning mit dem Befehl S1(config)# vtp pruning am Switch S1 konfiguriert werden. Exploration3, Configure VTP S1(config)#vtp version number S1(config)#vtp domain domain-name S1(config)#vtp password passwort S1(config)#vtp mode [server / client / transparent] S1# show vtp status // VTP Version festlegen // Domain - Namen vergeben // Passwort vergeben // VTP mode einstellen S1# show vtp counters zeigt Advertisements Statistiken. Seite 25

26 4.4 Chapter Labs Perform basic switch configurations Configure the Ethernet interfaces on the host PCs Configure VTP on the switches (S1 as Server, S2 and S3 as clients) Find and correct all configuration errors Document the corrected network 5. STP (chapter 5) 5.1 Redundant Layer 2 Topologies Das Prinzip von STP (Spanning Tree Protocol) ist einfach: Man baut ein Netzwerk redundant auf und das Spanning-Tree Protocol schaltet alle redundanten Leitungen ab. Damit hat man eindeutige Pfade im Netzwerk. Beim Ausfall einer Leitung aktiviert das Spanning-Tree Protokoll gezielt eine oder mehrere Leitungen wieder, sodass alle Teile des Netzwerkes erreichbar bleiben. In folgendem Beispiel wird nach einem Ausfall von Trunk1 die Trunk2 Leitung aktiviert. Exploration3, So einfach das Prinzip ist, so komplex ist die Realisierung. Es geht ja nicht darum, irgendeine Verbindung zwischen zwei Punkten zu verwenden, sondern es sollen im gesamten Netzwerk die besten (d.h. schnellsten) Verbindungen benützt werden. STP muss also das ganze Netzwerk analysieren, für je zwei beliebige Nodes die schnellste Verbindung auswählen und darf achten, dass das entstehende (reduzierte) Netzwerk schleifenfrei ist. Seite 26

27 In der folgenden Topologie bedeuten die grünen LEDs sog. forwarding links und die orangen LEDs blocking links. Es liegt ein schleifenfreies Netzwerk vor (STP funktioniert). Im Falle von ausgeschaltetem STP oder fehlerhafter Verkabelung sind meist Loops die Folge. Da Ethernet Frames keine Time to live (TTL) haben, kommt es dann zu einem Broadcast Storm, da Switches Broadcasts bekanntlich über alle Ports versenden und entsprechend ihre CAM table (switching table) updaten. Broadcast storm Exploration3, Falls unicast frames in einem looped network verschickt werden, kann dies zu einem doppelten Zustellen des Frames am Ziel führen. Switching Loops können auch in kleinen Netwerken produziert werden, wenn infolge eines Kabelwirrwars ein Kabel am selben Switch an verschiedenen Ports eingesteckt wird. Weiters können Schleifen durch gegenseitiges Verbinden von Hubs ein Netzwerk lahmlegen. 5.2 Introduction to STP Damit der beste, schleifenfreie Pfad ermittelt werden kann, versenden die Switches sog. BPDUs (Bridge Protocol Data Units), die den OSPF - hello Paketen ähnlich sind und alle 2 Sekunden versendet werden. Aus historischen Gründen wird bei den Bezeichnungen im Zusammenhang mit STP die Bezeichnung Bridge verwendet. Gemeint sind aber heutzutage immer Switches. STA Spanning Tree Algorithmus Wahl der Root Bridge Zunächst erhält jeder STP - fähige Switch eine Bridge ID (BID). Diese besteht aus der Bridge Priority (16 Bit, Standardwert 32768) und der MAC-Adresse des Switches. Der Seite 27

28 Switch mit der niedrigsten Bridge - ID wird zur Root Bridge gewählt. Da ohne zusätzliche Konfigurationen alle Switches dieselbe Bridge Priority haben, wird der Switch mit der niedrigsten MAC-Adresse die Root Bridge (was aus Performance-Gründen nicht immer sinnvoll ist). Daher sollte die Bridge Priority für die Root Bridge bewusst gesetzt werden. Suche des Pfades Die Auswahl des besten Pfades richtet sich nach den Kosten auf dem gesamten Pfad. Dazu wird jedem Segment dieses Pfades, abhängig von der Bandbreite, ein cost-wert zugeordnet: S1 wurde auf Grund der priority zur Root-Bridge gewählt. Trunk1 ist mit cost 19 der schnellste Pfad zur Root Bridge. Exploration3, Die Port Costs können mit dem Befehl S3(config-if)# spanning-tree costs value beeinflusst werden. Bestimmen der Rolle der Switchports Jeder Switchport erhält im Spanning Tree eine Rolle zugewiesen: a) Root Port: Port auf einer Non Root Bridge mit schnellstem Pfad zur Root Bridge b) Designated Port: non root-port in jedem Netzwerk-Segment, über den ein Forwarden von Daten erlaubt ist. Die Wahl des Designated Port kann durch Festlegen der Port Priority ( , default: 128, lower value wins) beeinflusst werden: S1(config-if)# spanning-tree port-priority value c) Non-Designated Ports (Blocking Ports): Ports, die deaktiviert sind, um Loops zu vermeiden. Nachfolgendes Beispiel zeigt die Situation nach Abschluss der STP-Initialisierung: Exploration3, Seite 28

29 Bemerkung: Im Falle der Implementation von VLANs ist die BID VLAN-bezogen und kann mit S1(config-if)# spanning-tree vlan vlan-id priority value beeinflusst werden. Mit S1(config-if)# spanning-tree vlan vlan-id root primary kann einem Switch die Root- Bridge - Funktion zugewiesen werden. Kontrolle von Spanning Tree: show spanning-tree zeigt die wesentlichen Informationen. show spanning-tree detail zeigt ausführliche Infos und show spanning-tree vlan zeigt den Zustand von STP bezogen aufs VLAN. Port Status Beim Start des STP - Prozesses durchläuft jeder Port die Zustände listening und learning. Im listening status erhält der Port BPDUs und gibt seine eigenen BPDUs an die Nachbarn weiter. Im learning status beginnt er seine MAC address table zu füllen. Danach wird der Port entweder forwarding oder blocking (erhält nur BPDUs). Außerdem kann ein Port vom Administrator abgeschaltet werden (disabled). Listening- und learning - Zustand dauern je 15 Sekunden ( forward delay ), sodass die Aktivierung eines Ports bei einem STP - fähigen Switch 30 Sekunden dauert. Diese 5 Zustände zeigt folgende Grafik. show spanning-tree summary zeigt die verschiedenen Zustände an. Wenn man sich sicher ist, dass an einem Port kein Switch angeschlossen wird, sondern ein Endgerät (z.b. ein PC), dann kann man diesen Port auf port-fast setzen, was den Initialisierungs-Prozess erheblich beschleunigt (S1(config-if)# spanning-tree portfast). Wenn die BPDUs für 20 Sekunden ausbleiben ( max-age-time ), nimmt die Bridge an, dass die entsprechende Verbindung ausgefallen ist, und der STP - Prozess wird neu gestartet. Seite 29

30 5.3 STP Convergence Zum Erreichen der Konvergenz sind folgende Schritte notwendig: Wahl einer Root Bridge Wahl eines Root Ports Wahl von Designated und Non-Designated ports Wie bereits oben erwähnt, zeigt show spanning-tree die verschiedenen Zustände. 5.4 PVST,PVST+, RSTP und Rapid PVST+ PVST (Per VLAN Spanning Tree) ist cisco proprietär und unterhält eine Spanning-Tree- Instanz für jedes VLAN (Default-Protokoll bei aktuellen Cisco-IOS). show spanning-tree zeigt für jedes VLAN die aktuelle Situation. Dadurch ist Load Balancing auf Layer 2 möglich. PVST+ unterstützt auch die Trunking Protokolle IEEE 802.1q und ISL und ermöglicht die Konfiguration von BPDU guard sowie root guard. Rapid Spanning Tree Protocol (RSTP) ermöglicht schnellere Konvergenz und Rapid per VLAN Spanning Tree (PVST+) unterstützt cisco-proprietäre Erweiterungen. Im Falle von RSTP wurden auch neue Link Bezeichnungen eingeführt. Exploration3, Seite 30

31 PVST+ Konfiguration: Exploration3, S1(config)# spanning-tree vlan 10 root primary S1(config)# spanning-tree vlan 20 root secondary S1(config)# spanning-tree vlan 20 priority 4096 S1(config)# spanning-tree vlan 10 priority 4096 Abschließende Bemerkungen: STP nie abschalten, auch wenn es nicht unbedingt notwendig ist STP ist nicht sehr prozessorintensiv BPDUs reduzieren die Bandbreite kaum Ein Netzwerk mit mehreren Switches gerät ohne STP sofort außer Kontrolle User Traffic hat im administrativen VLAN nichts verloren VLAN 1 ist defaultmäßig auch administratives VLAN und eine Bridging - Loop in diesem VLAN betrifft alle Trunks 5.5 Chapter Labs Switches redundant verkabeln und Grundkonfiguration vornehmen Kontrolle von STP und der verschiedenen Portzustände Troubleshooting nach fehlerhafter Konfiguration 6. Inter - VLAN Routing (chapter 6) 6.1 Inter-VLAN Routing Introduction Mit Inter-VLAN Routing ist das Routen zwischen VLANs gemeint. Wie im Chapter 3 besprochen, bilden VLANs Broadcast - Domains und unterbinden daher die Kommunikation miteinander. Wenn 2 oder mehr (physikalische) Netze durch einen Router verbunden werden sollen, benötigt der Router für jedes Netz ein Interface. Dieses Router - Interface erhält eine IP - Adresse aus dem jeweiligen Netz und stellt für die Hosts dieses Netzes das Standard - Gateway dar. Außerdem können auf dem Router Security - Maßnahmen getroffen werden, z.b. Access Control Lists. Im Prinzip kann man das Routing zwischen VLANs genauso realisieren. Sind die VLANs über einen Router miteinander verbunden ist eine Kommunikation möglich. Wird aber kein Trunk verwendet, so benötigt jedes VLAN eine eigene Verbindung zu einem Routerinterface. Mit zunehmender VLAN - Anzahl ist dies schwierig. Seite 31

32 In diesem Beispiel werden zwei Routerports für die Kommunikation zwischen den beiden VLANs benötigt. Logische Interfaces (Subinterfaces): Um die Anzahl der physischen Verbindungen zwischen Router und Switch niedrig zu halten, werden Switch und Router über einen Trunk verbunden. Sowohl das ISL- als auch das IEEE 802.1q Protokoll ermöglichen einen Trunk über Fast Ethernet Ports. Um dem Router in diesem Fall für jedes VLAN (Netz) eine IP - Adresse geben zu können, muss das Router- (Trunk-) Interface in mehrere (logische) Interfaces unterteilt werden (Subinterfaces). Diese Lösung, bei der Router und Switch nur mehr durch eine einzige Leitung verbunden sind, heißt Router-on-a-Stick. Nachfolgende Darstellung zeigt dies: ein Trunk transportiert beide VLANs und Subinterfaces ermöglichen die IP Adresszuweisung. Exploration3, Das Routen der Pakete kann aber auch mit einem Layer 3 Switch erfolgen. Dann spricht man von Switch-based Routing. SL3 Seite 32

33 6.2 Configuring Inter-VLAN Routing Fall 1: keine Trunkleitung, VLAN1 ( /24) und VLAN2 ( /24) sind mit den Routerports F0/0 und F0/1 verbunden (siehe Topologie S32 oben) Die Routing Table zeigt die Netze beider VLANs als directly connected. Fall 2: Trunkleitung, VLAN1 ( /24) und VLAN2 ( /24) werden über Subinterfaces am physischen Routerport F0/0 angesprochen (siehe Topologie S32). Subinterfaces werden mit sog. Punkt-Notation konfiguriert. Dabei ist sinnvoll, das Sub- Interface mit der gleichen Zahl zu benennen wie das jeweilige VLAN und die VLAN- Nummer auch in die IP Adresse einzubauen. Beispiel: VLAN 10, Subinterface F0/0.10, IP-Adressen: x /24 Welches Trunking- Protokoll verwendet wird und welchem VLAN der Port zugeordnet wird, wird mit R1(config-subif)#encapsulation protocol vlan-id konfiguriert. Die Routingtabelle zeigt, dass beide VLAN - Netze wieder bekannt sind. Seite 33