Switching VLAN Advanced

Laborbericht Switching VLAN Advanced ICT Betrieb und Nutzung GRUPPE A3 Al-Rubeiy Hussein Stuber Thomas Horw, 19.08.2008 Überarbeitete Version 2

Inhalt 1 Vorwort... 4 2 Theoretische Grundlagen... 5 2.1 VLAN... 5 2.2 VTP... 6 2.3 Switching... 6 2.4 STP... 8 2.5 MAC-Flooding... 8 3 Laborauftrag... 9 3.1 Ausganglage... 9 3.2 Grundkonfiguration... 10 3.2.1 Switch DLSwitch1... 10 3.2.2 Layer 3 Switch... 10 3.2.3 Up-Link zum Router... 12 3.2.4 DLSwitch2... 13 3.2.5 Verbindung DLSwitch1 DLSwitch2... 13 3.3 STP... 14 3.4 SPAN-Port... 16 3.5 MAC-Flooding... 17 3.6 PortSecurity... 18 3.7 VTP... 18 4 Vertiefung - Spanning-Tree... 20 4.1 Source-Route-Bridging... 20 4.2 Transparent-Bridging... 21 4.3 Spanning Tree Protokoll... 21 4.4 Rapid Spanning Tree Protokoll... 26 4.5 Multiple Spanning Tree Protokoll... 30 5 Abkürzungsverzeichnis... 33 6 Literaturverzeichnis... 34 7 Anhang... 35 7.1 Versuchsaufbau... 35 7.2 Konfiguration DLSwitch1... 35 7.3 DLSwitch2... 39 ICT Betrieb und Nutzung 19.08.2008 Seite 2 von 41

Abbildungsverzeichnis Abbildung 1 - Layer 3 Switch... 11 Abbildung 2 - Uplink zum Router... 12 Abbildung 3 Trunk... 14 Abbildung 4 - Grundaufbau Versuch... 14 Abbildung 5 - Loop am Switch... 15 Abbildung 6 - Neues VLAN... 19 Abbildung 7 Source-Route-Bridging... 20 Abbildung 8 - Netztopologie als Graph... 22 Abbildung 9 - BPDU (802.1D MAC Bridges)... 23 Abbildung 10 - Root-Bridge bestimmen... 24 Abbildung 11 - Root-Port wählen... 24 Abbildung 12 - Designated-Port bestimmen... 25 Abbildung 13 Redundante Pfade deaktivieren... 26 Abbildung 14 - STP Portzustände... 26 Abbildung 15 - RSTP Flags... 27 Abbildung 16 - Backup Port... 28 Abbildung 17 - Alternate Port... 28 Abbildung 18 RSTP BPDU... 29 Abbildung 19 STP BPDU... 30 Abbildung 20 MSTP I... 30 Abbildung 21 MSTP II... 31 Abbildung 22- Versuchsaufbau... 35 Tabellenverzeichnis Tabelle 1 - Einige Wegekosten in Abhängigkeit der Bandbreite... 25 Tabelle 2 - Status der Ports SPT vs. RSTP... 28 ICT Betrieb und Nutzung 19.08.2008 Seite 3 von 41

1 Vorwort Im Rahmen des Faches ICT Betrieb und Nutzung wird zu einem umfangrechen Laborversuch ein Bericht dazu geschrieben. Dieser Bericht stützt sich auf den Laborversuch Switching VLAN Advanced. Die Arbeit ist wie folgt gegliedert. Theoretische Grundlagen zum Laborversuch Der eigentliche Laborauftrag Vertiefung zur Thematik Spanning-Tree Protokoll Das Dokument ist so aufgebaut, dass der die ausgeführte Arbeit nachvollziehbar und verständlich ist. ICT Betrieb und Nutzung 19.08.2008 Seite 4 von 41

2 Theoretische Grundlagen Im folgenden Kapitel werden die theoretischen Grundlagen für den Laborversuch aufgelistet und beschrieben. Die folgenden Definitionen sind Fremdleistungen und stammen aus wikipedia.de. 2.1 VLAN Ein Virtual Local Area Network (VLAN) ist ein virtuelles lokales Netz innerhalb eines physischen Netzes. Eine weit verbreitete technische Realisierung von VLANs ist teilweise im Standard IEEE 802.1Q definiert und wird deshalb auch dot1q genannt (vor allem im Cisco-Umfeld). Lokale Netze werden mit Hilfe von aktiven Komponenten Hubs und Switches aufgebaut. Auf Hubs aufgebaute Netze haben vor allem wegen des CSMA/CD-Zugriffsverfahrens und dem daraus resultierenden Anwachsen des Traffics eine starke Beschränkung erfahren. Der maximale Durchsatz wird nie zu erreichen sein und bei starken Netzlasten können bei Datagramm-Protokollen Verbindungsabrisse entstehen. Durch die Switching-Technik (OSI-Ebene 2) können sehr grosse LANs aufgebaut werden, ohne starke Bandbreiteneinbussen zu verursachen. Switches können sehr viele angeschlossene Stationen gleichzeitig verwalten (begrenzt durch die Grösse ihrer MAC address table). Vorteil eines grossen geswitchten Netzes ist die einfache Erreichbarkeit aller Stationen, die Einsparung von Routern und deren Verwaltung und eine geringe Latenz der Datenpakete. Aus folgenden Gründen will man ein solches Netz oft wieder unterteilen: die Broadcast-Last wird sehr hoch jede Station kann jede andere direkt ansprechen (Sicherheitsproblem) Eine Lösung dieser Probleme sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich auch für die standortübergreifende Vernetzung (z. B. per ATM) mehrerer VLANs über einen Switch bzw. Router. Nicht immer lässt sich ein Netz über getrennte Switches aufbauen. Physisch getrennt verkabelte Netze sind unflexibel, Änderungen nur mit hohem Aufwand möglich. VLAN stellt unabhängig von der physischen Struktur eine logische Struktur des Netzes zur Verfügung. ICT Betrieb und Nutzung 19.08.2008 Seite 5 von 41

2.2 VTP VTP steht für VLAN Trunking Protocol und ist ein Protokoll zur Konfiguration und Administration von VLANs in Cisco-Netzen. VTP basiert auf einem Domänenkonzept und kennt drei verschiedene Switch-Modi: client server transparent Nur im Server-Modus können VLANs auf einem Switch manuell hinzugefügt, geändert oder gelöscht werden. Diese Änderungen der lokalen VLAN-Database werden über ein spezielles Kommando an alle Geräte, die sich in der VTP Domain befinden, über die Trunks weitergegeben. Im transparenten Modus werden diese VTP Advertisements zu anderen Switches durchgeleitet. Der Switch selbst reagiert auf diese Advertisements nicht. Im Client-Modus kann die VLAN-Database des Switches nicht manuell geändert werden, der Switch lernt die VLAN-Konfiguration ausschliesslich über die Advertisements. Ansonsten verhält sich ein Client-Switch identisch zu einem Server-Switch (u.a. verteilt auch er seine VLAN-Database in der Domäne). Jede VTP Datenbank enthält eine Configuration Revision Number. Diese Nummer wird bei jeder Änderung erhöht. Empfängt ein Switch ein VTP Advertisement mit einer höheren Revisionsnummer so übernimmt er die empfangene VLAN-Konfiguration, ansonsten wird das Advertisement ignoriert. Dies gilt für Server- und Client-Switches, was dazu führen kann, dass ein versehentlich in eine Domäne verbrachter Client-Switch mit passender Domänen-ID und hoher Revisionsnummer die VLAN-Databases der gesamten Domäne überschreiben kann. Bei der Verwendung des VTP können nur VLANs von 1 bis 1024 (normaler VLAN Bereich) verwendet werden. VTP unterstützt zurzeit noch kein Extended VLAN (1025 bis 4096). Advertisements werden durch einen VTP Server standardmässig alle 5 Minuten versandt. 2.3 Switching Ein Switch (engl. Schalter; auch Weiche) ist eine Netzwerk-Komponente zur Verbindung mehrerer Computer bzw. Netz-Segmente in einem lokalen Netz (LAN). Da Switches den Netzwerkverkehr analysieren und logische Entscheidungen treffen, werden sie auch als intelligente Hubs bezeichnet. Die Funktionsweise eines Switches ist der einer Bridge sehr ähnlich, daher wurde anfangs auch der Begriff Multi-Port-Bridge benutzt. ICT Betrieb und Nutzung 19.08.2008 Seite 6 von 41

Einfache Switches arbeiten auf der Schicht 2 (Sicherungsschicht) des OSI-Modells. Der Switch verarbeitet die 48 Bit langen MAC-Adressen (z. B. 08:00:20:ae:fd:7e) und legt dazu eine SAT (Source-Address-Table) an, in der neben der MAC-Adresse auch der physikalische Port, an dem diese empfangen wurde, gespeichert wird. Im Unterschied zum Hub werden Netzwerkpakete jetzt nur noch an den Port weitergeleitet, der für die entsprechende Zieladresse in der SAT gelistet ist. Ist eine Zieladresse allerdings noch unbekannt (Lernphase), leitet der Switch das betreffende Paket an alle aktiven Ports. Ein Unterschied zwischen Bridge und Switch ist die Anzahl der Ports beziehungsweise die Portdichte: Bridges haben typischerweise nur zwei Ports, selten drei oder mehr, Switches hingegen haben als Einzelgeräte meist zwischen vier (bei SOHO-Installationen), 12 (bei kommerziellen Installationen) bis maximal 48 Ports und können mehrere Ports unabhängig voneinander zeitgleich verbinden (non Blocking). Ein anderer möglicher Unterschied zu Bridges ist, dass manche Switch- Typen die Cut-Through-Technik und andere Erweiterungen (s. u.) beherrschen. So verringern sich die Bitzeiten (Zeitdauer für die Verarbeitung eines Bits). Switches können natürlich auch mit Broadcasts umgehen. Bis auf wenige Ausnahmen gilt: Ein Switch ist eine Bridge, aber nicht jede Bridge ist ein Switch. Eine Ausnahme bilden Bridges, die verschiedene Protokolle wie Token Ring und Ethernet (MAC-Bridge oder LLC-Bridge) verbinden können. Eine solche Funktionalität ist bei Switches nicht anzutreffen. Für die angeschlossenen Geräte verhält sich ein Switch transparent (nahezu unsichtbar). Aus Netzwerksicht wird die Paketanzahl in den Segmenten drastisch reduziert, wenn die Kommunikation überwiegend zwischen den Geräten innerhalb eines Segments stattfindet. Muss ein Switch Pakete auf andere Segmente weiterleiten, verzögert er dagegen die Kommunikation (sog. Latenz). Bei Überlastung der Kapazität eines Segments oder zu wenig Pufferspeicher im Switch kann auch das Verwerfen von Paketen nötig sein. Dies wird durch die Protokolle in höheren Schichten, etwa TCP, ausgeglichen. Man unterscheidet auch zwischen Layer-2- und Layer-3- bzw. höheren Switches. Layer-2-Geräte sind die älteren Modelle und verfügen nur über grundsätzliche Funktionen. Sie beherrschen meist keine Management-Funktionen (sind allerdings Plug and Play -fähig), oder wenn doch, dann nur einen geringen Funktionsumfang wie Portsperren oder Statistiken. Professionelle Layer-3- bzw. höhere Switches verfügen in der Regel über Management-Funktionen; neben den grundlegenden Switch- Funktionen verfügen sie zusätzlich über Steuer- und Überwachungsfunktionen, die auch auf Informationen aus höheren Schichten als Layer 2 beruhen können, wie z. B. IP-Filterung, VLAN, Priorisierung für Quality of Service, Routing und andere Funktionen, die für die Überwachung und Steuerung eines Netzes hilfreich sind. Die Steuerung dieser Switches geschieht je nach Hersteller über die Kommandozeile, eine Weboberfläche, eine spezielle Steuerungssoftware oder über eine Kombination dieser drei Möglichkeiten. Bei den aktuellen nicht gemanagten (Plug and Play)-Switches ICT Betrieb und Nutzung 19.08.2008 Seite 7 von 41

beherrschen die höherwertigen Geräte ebenfalls Layer-3-Funktionen wie tagged VLAN oder Priorisierung und verzichten dennoch auf eine Console oder ein sonstiges Management-Interface. 2.4 STP Das Spanning Tree Protocol (STP) baut einen Spannbaum zur Vermeidung redundanter Netzpfade (Schleifen) im LAN, speziell in geswitchten Umgebungen auf. Der Implementierung liegt wesentlich ein Spanning Tree Algorithmus zu Grunde, sie wurde von Radia Perlman entwickelt und ist in der IEEE-Norm 802.1D standardisiert. Mittlerweile wurde das klassische STP durch RSTP nach IEEE 802.1w ersetzt. Netze sollten zu jedem möglichen Ziel immer nur einen Pfad haben, um zu vermeiden, dass Datenpakete (Frames) dupliziert werden und mehrfach am Ziel eintreffen, was zu Fehlfunktionen in darüber liegenden Netzschichten führen könnte und die Leistung des Netzes vermindern kann. Andererseits möchte man mitunter redundante Netzpfade als Backup für den Fehlerfall zur Verfügung haben. Das Spanning Tree Protocol wird beiden Bedürfnissen gerecht. Dieser Bericht behandelt das Spanning-Tree Protokoll noch ausführlicher, siehe dazu Kapitel 5. 2.5 MAC Flooding MAC-Flooding ist eine Technik, um ein geswitchtes Ethernet anzugreifen. Ein Switch speichert intern in einer so genannten Source Address Table (SAT) MAC-Adressen, welche sich innerhalb des an ihn angeschlossenen Netzwerksegments befinden. Dadurch hat ein Switch die Möglichkeit, Unicast-Meldungen, welche im Gegensatz zu Broadcast-Meldungen an einen bestimmten Netzteilnehmer (Computer) gerichtet sind, auch nur an den Empfänger weiterzuleiten. MAC-Flooding funktioniert wie folgt: In ein Netz bzw. einen Switch werden massenhaft Datenpakete eingeschleust, welche alle eine andere MAC-Adresse enthalten. Der Switch speichert nun jede einzelne der gefälschten/generierten MAC-Adressen, bis sein interner Speicher überläuft. In diesem Fall schaltet der Switch in einen so genannten Failopen Mode. Dadurch werden nun alle Pakete, ob Unicast oder Broadcast, an alle angeschlossenen Netzteilnehmer gesendet (wie ein Hub). Damit hat ein Angreifer die Möglichkeit, den Netzwerkverkehr mitzuschneiden (sniffen). ICT Betrieb und Nutzung 19.08.2008 Seite 8 von 41

3 Laborauftrag Im folgenden Kapitel ist der eigentliche Laborauftrag beschrieben. Die Abbildungen sowie gewisse Textpassagen / Befehlcommandos sind aus der Aufgabenstellung Switching VLAN Advanced 3.0. 3.1 Ausganglage In diesem Laborversuch ist ein Szenario anhand einer KMU-Situation vorgegeben. Die Aufgabe ist wie folgt formuliert: Sie sind stets bei der gleichen Firma eingestellt, wie im Versuch Switching Basics. Der Verwaltungsrat hat Ihnen ein höheres Budget genehmigt, so dass Sie die momentane Infrastruktur erneuern können. Sie haben vorgeschlagen die zwei Layer-2 Switches und der Router, der das InterVLAN-Routing übernimmt, mit zwei Cisco Catalyst 3550 Switches zu ersetzen. Diese Switches besitzen Layer 3 Fähigkeiten, d.h. das Routing erfolgt direkt auf dem Switch. Ihre Aufgabe besteht darin, die Abteilung Verkauf und Marketing logisch zu trennen und daraus eigene Broadcast-Domains zu machen. Es sollte anschliessend möglich sein, dass z.b. Marketingangestellte vom ersten Stock mit den Angestellten vom zweiten Stock kommunizieren können. Ein zusätzlicher Router ist also für die Kommunikation unterhalb der VLANs nicht mehr notwendig, da dies gleich ein Switch übernimmt. Weil die Ports eines einzelnen Switches nicht ausreichen, müssen Sie einen Zweiten zur Hilfe nehmen und dieser über einen Gigabit-Trunk mit dem Ersten verbinden. Während des Aufbaus untersuchen Sie das STP und die Entstehung eines Broadcast Sturmes. Zudem konfigurierenden Sie SPAN Ports. Dadurch ist es einfach möglich, den Datenfluss von einem Port zu analysieren. Sie werden in diesem Teil verstehen, wie genau das Trunking von VLANs funktioniert. Am Ende werfen Sie noch einen Augenmerk auf die Sicherheit des Netzwerkes. Sie werden die MAC- Flooding Technik kennen und mit den treffenden Massnahmen unterbieten. (Lardieri, 2008) Für den Laborversuch wurde folgendes Material benötigt: 2 Cisco Catalyst 3550 Switch 2 Gigabit-Module für Catalyst 3550 2 Workstations 2 Notebooks 1 Auditor CD (Knoppix) Diverse Kabel ICT Betrieb und Nutzung 19.08.2008 Seite 9 von 41

3.2 Grundkonfiguration Allgemein sind in diesem Bericht die wichtigsten Versuchsschritte zur Nachvollziehbarkeit niedergeschrieben. Im Anhang (siehe Kapitel 8) befindet sich zudem die Switchkonfiguration für die eingesetzten Geräte. 3.2.1 DLSwitch1 Als erstes wird für den Switch der vorgesehene Name vergeben (DLSwitch1). Für den DLSwitch1 werden zudem die entsprechend Passwörter für privileged EXEC Mode, Console-Verbindung und Telnet-Verbindung gesetzt. Das Passwort lautet überall cisco. Auf dem DLSwitch1 werden folgende 2 VLAN eingerichtet: VLAN 10 Verkauf FastEthernet-Port 01 0/6 VLAN 20 Marketing FastEthernet-Port 0/7 0/12 Zudem muss auf allen oben angezeigten Ports die Option aktiviert sein. Der DLSwitch1 wird als VTP-Server für die Domäne OurFirm festgelegt. Dafür kann der folgende Befehl verwendet werden: ALSwitch1(config)#vtp mode server ALSwitch1(config)#vtp domain OurFirm 3.2.2 Layer 3 Switch Da für das Routing von VLANs ein Layer 3 fähiges Gerät benötigt wird, muss der Switch auf seine Layer 3 Fähigkeit eingeschaltet werden. Standardmässig ist diese Funktion ausgeschaltet. Nicht jeder Switch hat diese Fähigkeit. Der in diesem Versuch eingesetzte Cisco Catalyst 3550 verfügt über diese Eigenschaft. Mit folgendem Befehl kann die Layer 3 Fähigkeit eingeschaltet werden: DLSwitch1#configure terminal DLSwitch1(config)#ip routing Damit überhaupt etwas zum Routen bekannt ist, muss dem VLANs eine IP-Adresse zuordnet werden. DLSwitch1(config)#interface vlan 10 DLSwitch1(config-if)#ip address 192.168.10.1 255.255.255.0 DLSwitch1(config-if)#exit DLSwitch1(config)#interface vlan 20 DLSwitch1(config-if)#ip address 192.168.20.1 255.255.255.0 DLSwitch1(config-if)#end ICT Betrieb und Nutzung 19.08.2008 Seite 10 von 41

Die PCs und Notebooks können an den Switch angeschlossen werden. Die Konfiguration wird entsprechend der Abbildung 1 vorgenommen. Dabei gilt betreffend den Standardgateways folgendes zu beachten: VLAN 10 Standardgateway 192.168.10.1 VLAN 20 Standardgateway 102.168.20.1 Abbildung 1 - Layer 3 Switch (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) Ist alles richtig konfiguriert, kann sich PC1 und PC2 gegenseitig anpingen. Eine Kontrolle erhält man durch den Befehl show ip route auf dem Switch: DLSwitch1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C 192.168.10.0/24 is directly connected, Vlan10 C 192.168.20.0/24 is directly connected, Vlan20 DLSwitch1# ICT Betrieb und Nutzung 19.08.2008 Seite 11 von 41

3.2.3 Up Link zum Router Ein Layer 3 Switch besitzt viele Funktionen, die ein Router auch hat. Der Hauptvorteil von Switches ist, dass sie ein Vielfaches mehr Ethernet-Ports haben als Router. Dagegen besitzt ein Switch keine seriellen Schnittstellen. Als Nachteil hat zum Beispiel der Catalyst 3550 Series keine NAT- Unterstützung. Es soll nun eine statische Route zu einem anderen Netzwerk eingerichtet werden (vgl. Abbildung 2 - Uplink zum Router). Abbildung 2 - Uplink zum Router (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) Der FastEthernet-Port 0/24 wird so konfiguriert, dass dieser für den Uplink zu einem WAN-Router verwendet werden könnte. Zuerst wird eine IP-Adresse Konfiguriert. Dies kann jedoch noch nicht vorgenommen werden, da dieser Port nur auf Layer 2 operiert. Mit folgendem Befehl kann der Port mit der Layer 3 Funktion versehen werden: DLSwitch1(config-if)#no switchport Nun kann die IP-Adresse gesetzt werden: DLSwitch1(config-if)#ip address 192.168.1.2 255.255.255.0 DLSwitch1(config-if)#exit Nun muss noch eine Default-Route zum Pseudo-Router gesetzt werden: DLSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 DLSwitch1(config)#end ICT Betrieb und Nutzung 19.08.2008 Seite 12 von 41

Die Konfiguration kann überprüft werden, indem ein gekreuztes Ethernetkabel im FastEthernet-Port 0/23 und 0/24 eingesteckt wird. Somit wird das Interface 0/24 in den Status up geschaltet. Geschieht dies nicht, bleibt das Interface down und es sind keine Routen in der Routingtabelle eingetragen. Danach sollte die Routingtabelle wie folgt aussehen: DLSwitch1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 C 192.168.10.0/24 is directly connected, Vlan10 C 192.168.20.0/24 is directly connected, Vlan20 C 192.168.1.0/24 is directly connected, FastEthernet0/24 S* 0.0.0.0/0 [1/0] via 192.168.1.1 DLSwitch1# 3.2.4 DLSwitch2 Der zweite Switch wird mit dem vorgesehenen Namen (DLSwitch2) konfiguriert. Die Passwortbestimmungen sind gleich wie beim DLSwitch1 (Siehe Kapitel 3.2.1). Auf dem DLSwitch2 werden folgende 2 VLAN eingerichtet: VLAN 10 FastEthernet-Port 01 0/6 VLAN 20 FastEthernet-Port 0/7 0/12 Für die oben angegebenen Ports muss die Option aktiviert sein. Anders als bei DLSwitch1 müssen hier die VLANs nicht benennt werden. Dies übernimmt die VTP- Server Option von DLSwitch1. Der DLSwitch2 wird als VTP-Client festgelegt: Dies geht mittels folgender Eingabe: ALSwitch1(config)#vtp mode client ALSwitch1(config)#vtp domain OurFirm 3.2.5 Verbindung DLSwitch1 DLSwitch2 Um DLSwitch1 und DLSwitch2 zu verbinden, wird ein Trunk dazwischen aufgebaut. Dieser wird über den Gigabit-Ethernet-Port gi0/1 eingerichtet. ICT Betrieb und Nutzung 19.08.2008 Seite 13 von 41

Abbildung 3 - Trunk (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) Um dies zu konfigurieren, muss auf beiden Switches folgende Einstellungen vorgenommen werden (Im Consolenauszug nur DLSwitch1 ersichtlich): DLSwitch1#configure terminal DLSwitch1(config)#interface gigabitethernet 0/1 DLSwitch1(config-if)#switchport trunk encapsulation dot1q DLSwitch1(config-if)#switchport mode trunk DLSwitch1(config-if)#end Wichtig: Um über den Gigabit-Ethernet-Port eine Verbindung herzustellen, muss zwingend ein Ethernetkabel mit acht Adern verwendet werden Schlussendlich ist die folgende Situation eingerichtet: Abbildung 4 - Grundaufbau Versuch (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) 3.3 STP In einem grossen Netzwerk sind gewisse Redundanzen erwünscht. Beispielsweise wenn ein Switch ausfällt, läuft der Netzwerkverkehr über einen anderen weiter. Was jedoch sehr gefährlich sein kann, sind Loops. Datenpakete in einem Loop sind in einer nicht gewollten Schlaufe und belasten das Netzwerk stark. Ein Broadcast Sturm ist genau so ein Loop. ICT Betrieb und Nutzung 19.08.2008 Seite 14 von 41

Um so einen Broadcast Sturm zu erstellen, muss ein Loop erstellt werden. Dazu verbindet man die Ports Fa0/5 und Fa0/6 mit einem gekreuzten Ethernetkabel. Abbildung 5 - Loop am Switch (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) Spanning-Tree ist standartmässig auf allen Switchports aktiviert. Dadurch werden Loops erkannt und eine Beeinträchtigung des Netzwerkverkehrs kann verhindert werden. Um den Effekt von einem Broadcast Sturm zu sehen, muss Spanning-Tree deaktiviert werden. Dazu braucht es folgende Eingabe: DLSwitch1#configure terminal DLSwitch1(config)#no spanning-tree vlan 10 DLSwitch1(config)#end Um nun den Broadcast Sturm auszulösen, wird nun ein Broadcast-Ping abgesetzt: c:\>ping n 1 192.168.10.255 Augenfällig sind die LED s am Switch. Funktioniert der gewollte Loop richtig, blinken die LED s wie wild. Sind beide Switches wie in Abbildung 4 zusammengeschlossen, so ist folgendes festzustellen. Die LED s blinken nur beim DLSwitch1 beim Gegenüber jedoch nicht. Dies liegt daran, dass die Option no spanning-tree vlan 10 nur für das entsprechende lokale Gerät gilt. Da folglich auf dem DLSwitch2 Spanning-Tree aktiviert ist, werden die Pakete nicht verarbeitet. Ebenfalls kann mit dem Befehl show processes cpu die Auslastung der CPU angezeigt werden. Es ist ersichtlich, dass die CPU-Nutzung des DLSwitch1 über 95% gestiegen ist. Um den Broadcast Sturm wieder zu unterbinden, kann Spanning-Tree wieder aktiviert werden: DLSwitch1#configure terminal DLSwitch1(config)#spanning-tree vlan 10 ICT Betrieb und Nutzung 19.08.2008 Seite 15 von 41

Wie bereits erwähnt, ist das Spanning Tree Protokoll standardmässig auf den Switches aktiviert. Dies hat zur Folge, dass jedes neu angeschlossene Gerät am Switch mit dem Spanning Tree Algorithmus berechnet wird. Gäbe es einen Loop, würde dieser erkannt werden. Der Vorgang benötigt bis zu 30 Sekunden. Schliesst man beispielsweise ein Computer an ein Switch, wird nach rund 30 Sekunden die Verbindung zur Nutzung freigegeben. Da ein Computer kein Loop-Risiko birgt, kann man diese Wartezeit mit der Funktion umgehen (vgl. 3.2.4). Ist Portfast eingeschaltet, dauert die Wartezeit bis zur Leitungsnutzung noch rund 3 Sekunden. Es wird auf dabei die Überprüfung verzichtet und man geht davon aus, dass das angeschlossene Gerät keinen Loop erzeugen kann. 3.4 SPAN Port Switches haben den Vorteil, dass es kaum zu Kollisionen kommt. Vergleicht man einen Switch mit einem Hub, so stört die Kommunikation zwischen zwei PC s keine Anderen (Kollisionen). Jeder Link bildet ein so genanntes Mikrosegment, welches 100% Kollisionsfrei ist. Hubs machen einem Administrator das Leben einfacher, wenn Sie kontrollieren wollen, was für Datenverkehr überhaupt im Netzwerk vorhanden ist. Alle Daten, welche über einen Port in den Hub gelangen, werden an allen anderen Ports propagiert. Bei Switchen ist dies nicht mehr einfach den Datenverkehr zu kontrollieren. Ein Switch muss speziell konfiguriert werden, damit man den Netzwerkverkehr aufzeichnen kann. Um dies zu erreichen muss man die Technologie Switchport Analyzer (oder kurz SPAN) einsetzen. (Lardieri, 2008) Im Versucht geht es darum, ein Trunking-Protokoll 802.1q anzusehen. Dazu wird der Switch so eingestellt, dass der Verkehr vom Gigabit-Ethernet-Port 0/1 auch an den Port FastEthernet 0/19 sendet. DLSwitch1#configure terminal DLSwitch1(config)#monitor session 1 source interface Gi0/1 DLSwitch1(config)#monitor session 1 destination interface Fa0/19 encapsulation dot1q Wird nun ein PC am Ethernet-Port 0/9 angeschlossen, kann der Netzwerkverkehr aufgezeichnet werden. Es ist möglich, den Verkehr in nur eine Richtung zu monitoren. Mit dem folgenden Befehl wird der gesendete Datenverkehr zum FastEthernet-Port 0/7 an das Interface 0/20 gesendet werden. DLSwitch1#configure terminal DLSwitch1(config)#monitor session 2 source interface fa0/7 tx DLSwitch1(config)#monitor session 2 destination interface fa0/20 ICT Betrieb und Nutzung 19.08.2008 Seite 16 von 41

Mittels tx oder rx kann angegeben werden, ob der empfangene (receive - rx) oder gesendete (transmitted - tx) Datenverkehr aufgezeigt werden soll. Der Sichtpunkt betrifft den Switchport und nicht den Client. 3.5 MAC Flooding Menschen mit weniger guten Absichten würden gerne einen Blick auf den Datenverkehr der Anderen im Netzwerk haben. Jedoch haben diese Leute oft keinen administrativen Zugriff auf den Switch um sich SPAN-Ports einzurichten. Deshalb müssen sie andere Methoden entwickeln um an diese Daten zu kommen. Durch MAC-Flooding kann die Funktion eines Switches so weit beeinträchtigt werden, dass er schlussendlich wie an Hub arbeitet. Die VLAN-Grenzen existieren jedoch immer noch (Lardieri, 2008) Mit dem Befehl show mac-address-table count kann angezeigt werden, wie viele MAC-Adressen der Switch speichern kann DLSwitch1#show mac-address-table count Mac Entries for Vlan 1: --------------------------- Dynamic Address Count : 1 Static Address Count : 0 Total Mac Addresses : 1 Mac Entries for Vlan 10: --------------------------- Dynamic Address Count : 1 Static Address Count : 0 Total Mac Addresses : 1 Mac Entries for Vlan 20: --------------------------- Dynamic Address Count : 3 Static Address Count : 0 Total Mac Addresses : 3 Total Mac Address Space Available: 5080 Ist die MAC-Adresstabelle total gefüllt und es kommt ein weiterer Eintrag dazu, kann sich der Switch nicht mehr merken, an welchem Port der Host zu finden ist. Damit trotzdem geantwortet werden kann, wird an alle anderen Switch-Ports im VLAN gesendet. Somit arbeitet der Switch wie ein Hub. Mit dem Unix-Tool Macof werden zufällige MAC-Adressen versendet, welche der Switch in seine Tabelle aufnimmt. Ausgelöst wird dies durch den Befehl: root@1[knoppix]#ifconfig eth0 up root@1[knoppix]#macof i eth0 ICT Betrieb und Nutzung 19.08.2008 Seite 17 von 41

Nach kurzer Zeit ist die MAC-Adresstabelle beim Switch gefüllt. Ist diese Situation eingetroffen, kann der Datenverkehr im VLAN wie beim Hub mitgehört werden. DLSwitch1#show mac-address-table count Mac Entries for Vlan 10: --------------------------- Dynamic Address Count : 1 Static Address Count : 0 Total Mac Addresses : 1 Mac Entries for Vlan 20: --------------------------- Dynamic Address Count : 5086 Static Address Count : 0 Total Mac Addresses : 5086 Mac Entries for Vlan 1: --------------------------- Dynamic Address Count : 1 Static Address Count : 0 Total Mac Addresses : 1 Total Mac Address Space Available: 0 3.6 PortSecurity Wie in Kapitel 3.5 beschrieben, ist MAC-Flooding eine gefährliche Technik. Da sie sehr bekannt ist, gibt es entsprechende Funktionen, um dies zu unterbinden. Eine davon ist PortSecurity. Im Versuch wird dies auf den FastEthernet-Ports 0/7 bis 0/12 aktiviert. DLSwitch1#configure terminal DLSwitch1(config)#interface range fastethernet 0/7-12 DLSwitch1(config-if-range)#switchport mode access DLSwitch1(config-if-range)#switchport port-security DLSwitch1(config-if-range)#end Wird nun auf einen solchen Port MAC-Flooding angewendet, wechselt das entsprechende Interface in den Shutdown Modus. Somit kann die MAC-Flooding Attacke nicht weiter aufgeführt werden. Um das Interface wieder zu aktivieren, muss zuerst das Interface abgeschalten (shutdown) und anschliessend wieder aktiviert werden (no shutdown) werden. DLSwitch1#configure terminal DLSwitch1(config)#interface fastethernet 0/9 DLSwitch1(config-if)#shutdown DLSwitch1(config-if)#no shutdown 3.7 VTP Zum Schluss soll ein neues VLAN Einkauf erstellt werden (siehe Abbildung 6 - Neues VLAN). Dazu werden am DLSwitch2 die FastEthernet-Ports 0/13 bis 0/18 verwendet. Die Einkäufer müssen auf die Rechner vom Verkauf und Marketing zugreifen können. ICT Betrieb und Nutzung 19.08.2008 Seite 18 von 41

Abbildung 6 - Neues VLAN (Aus Aufgabenstellung, Switching_VLAN_Advanced_v3.0.pdf) Das neue VLAN erhält folgende Eigenschaften: VLAN 30: Name: Einkauf IP-Segment: 192.168.30.0/24 Default Gateway: 192.168.30.1 Da VLANs nur auf dem VTP-Server erstellt werden können, muss auf dem DLSwitch1 zuerst das Entsprechende VLAN konfiguriert werden. DLSwitch1(config)#vlan 30 DLSwitch1(config-vlan)#name Einkauf DLSwitch1(config-vlan)#exit Danach wird dem VLAN der IP-Adressebereich zugewiesen: DLSwitch1(config)#interface vlan 30 DLSwitch1(config-if)#ip address 192.168.30.1 255.255.255.0 DLSwitch1(config-if)#end Schlussendlich müssen auf dem DLSwitch2 noch die Ports mit dem VLAN 30 belegt werden: DLSwitch2#configure terminal DLSwitch2(config)#interface range fastethernet 0/13-18 DLSwitch2(config-if-range)#switchport access vlan 30 DLSwitch2(config-if-range)# ICT Betrieb und Nutzung 19.08.2008 Seite 19 von 41

4 Vertiefung Spanning Tree Protokoll Im folgenden Kapitel wird vertieft auf das Thema Spanning-Tree Protokoll eingegangen. Eine kurze Übersicht ist unter Kapitel 2.4 ersichtlich. 4.1 Source Route Bridging Diese Art von Bridges geht davon aus, dass die komplette Route vom Quell- zum Zielhost in allen LAN-übergreifenden Frames vorhanden ist. SRBs speichern diese Frames und leiten sie sie entsprechend der in ihr gespeicherten Route weiter. In der Abbildung 7 möchte der Host A ein Frame an Host B senden. Am Anfang ist für Host A nicht bekannt, ob sich Host B im gleichen oder in einem anderen Segment befindet. Um das herauszufinden sendet Host A ein Test-Frame. Wenn er darauf keine positive Antwort erhält, bedeutet dies, dass Host B in einem anderen LAN ist. Abbildung 7 - Source-Route-Bridging Um den genauen Ort von Host B zu bestimmen, sendet Host A einen Explorer-Frame. Jede Bridge, die dieses Frame bekommt, leitet es zu allen ausgehenden Anschlüssen weiter. Dabei wird das Frame fortlaufend mit Routing-Informationen ergänzt. Host B beantwortet dann alle ankommenden Frames. Aus den empfangenen Antwort-Frames wählt Host A nach vorgegebenen Kriterien einen Pfad aus. In unserem Beispiel in Abbildung 7 stehen Host A folgende Routen zur Verfügung: LAN1-B2-LAN3-B4-LAN4 LAN1-B1-LAN2-B3-LAN4 ICT Betrieb und Nutzung 19.08.2008 Seite 20 von 41