Unterrichtsmaterial Aktive Netzkomponenten outer und Switches von Cisco ukhsar Khan 10. April 2010 Herausgeber: AINET Technologie- und Bildungszentrum GmbH Copyright c 2009. Alle echte vorbehalten. Email info@airnet.de Internet www.airnet.de
Lektorat: Bertram Hoffmann, Walter Kahrmann (technisch) Satzspiegel und Typographie: Bertram Hoffmann, ukhsar Khan Umschlaggestaltung: Jürgen Salzmann Wichtiger Hinweis Alle Angaben in diesem Lehrbuch wurden vom Autor mit größter Sorgfalt erarbeitet bzw. zusammengestellt und unter Einschaltung wirksamer Kontrollmaßnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschließen. Der Herausgeber sowie der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, daß sie weder eine Garantie noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernehmen können. Für die Mitteilung etwaiger Fehler sind der Herausgeber und der Autor jederzeit dankbar. Internet-Adressen, Versionsund evisionsstände stellen den bei edaktionsschluss verfügbaren Informationsstand dar. Der Herausgeber und der Autor übernehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretenden Umständen ergeben. ISBN 978-3-941723-16-0 2., überarbeitete und erweiterte Auflage 2009 Die vorliegende Publikation ist urheberrechtlich geschützt. Alle echte, auch die der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (Einscannen, Druck, Fotokopie, elektronische Form oder einem anderen Verfahren) ohne schriftliche Genehmigung des Herausgebers reproduziert, vervielfältigt oder verbreitet werden. In diesem Lehrbuch werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen. Dieses Lehrbuch wurde in keinerlei Weise von Cisco Systems gesponsert, zertifiziert oder autorisiert. Es handelt sich hierbei komplett um eine Eigenentwicklung der Airnet Technologie- und Bildungszentrum GmbH. Eine Affiliation mit Cisco Systems besteht nicht. Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH iii
iv Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Vorwort Dieses Lehrbuch vermittelt Grundkenntnisse und gibt darüber hinaus tiefgehenden und fundierten Einblick in Techniken, die zum Aufbau und Betrieb großer LANs erforderlich sind. Hierbei ist auch die historische Entwicklung angefangen bei den Koaxialkabeln 10Base2 und 10Base5 über Bridges, outer und Layer-2-Switches der LAN-Technik berücksichtigt, damit der Leser versteht, warum Multilayer-Switches heute bevorzugt eingesetzt werden. Beginnend mit einer grundlegenden Beschreibung von Cisco-outern und -Switches wird insbesondere das Spanning-Tree-Protokoll besonders detailliert dargestellt. Auch Layer-3-Funktionen wie Inter-VLAN-outing und HSP bilden einen wesentlichen Teil des Lehrbuchs. Zuletzt wird noch der Aufbau und die Anwendung von Zugriffs-Filtern sowie eine Basissicherheit auf Cisco-Switches behandelt. In der Hoffnung, dass es uns gelungen ist, ein praxisnahes, übersichtliches und gut leserliches Lehrbuch zu veröffentlichen, wünschen wir dem Leser viel Spaß! ukhsar Khan Airnet Technologie- und Bildungszentrum GmbH Oktober 2009 v
vi Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Inhaltsverzeichnis 1 Entwicklung des LAN-Bereichs 1 1.1 Vom Koaxsegment zum Multilayer-Switch................. 2 1.2 Der Aufbau großer Campus-LANs..................... 7 2 Basiskonfiguration von Cisco-outern 11 2.1 Konfigurationsquellen............................ 12 2.2 Konfigurationsmodi.............................. 16 2.3 Grundfunktionalitäten............................ 18 2.4 Basisbefehle.................................. 22 3 Basiskonfiguration von Cisco-Switches 41 3.1 Konfigurationsquellen............................ 42 3.2 Konfigurationsmodi.............................. 43 3.3 Basisbefehle.................................. 45 4 Verwaltung von Cisco-outern 53 4.1 Startsequenz................................. 54 4.2 IOS und Konfigurationsverwaltung..................... 61 4.3 Umgang mit dem Konsolen-Port...................... 66 4.4 Umgang mit Debugging........................... 69 4.5 Verwalten von Telnet-Sitzungen....................... 74 4.6 Cisco Discovery Protocol (CDP)...................... 76 5 Verwaltung von Cisco-Switches 81 5.1 Allgemeines.................................. 82 5.2 IOS und Konfigurationsverwaltung..................... 84 6 Grundfunktion einer Transparent-Bridge 91 6.1 Transparent-Bridging gemäß IEEE 802.1D................. 92 6.2 edundanzen in Bridging-Umgebungen................... 100 6.3 Verifizieren des Spanning-Tree-Protokolls.................. 108 6.4 Erweiterte Spanning-Tree-Parameter.................... 110 6.5 Erweiterte STP-Verifizierung........................ 116 7 Der Layer-2-Switch 121 7.1 Allgemeines.................................. 122 7.2 Virtuelle LANs und Trunking........................ 125 7.3 VLAN-Trunk-Protokoll............................ 131 7.4 Konfigurieren und Verifizieren von Layer-2-Switches............ 140 7.5 Etherchannel-Technik............................ 150 7.6 Konfigurieren und Verifizieren des VTP-Prunings............. 156 vii
Inhaltsverzeichnis 8 Layer-3-outing 157 8.1 Inter-VLAN-outing............................. 158 8.1.1 Externe outer-konfiguration.................... 158 8.1.2 Konfiguration von Multilayer-Switches............... 160 8.2 Core-outing................................. 163 9 Spanning-Tree-Erweiterungen Cisco 167 9.1 Nachteile traditioneller STP-Umgebungen nach IEEE 802.1D...... 168 9.2 Uplinkfast, Backbonefast und Portfast von Cisco............. 169 9.3 Per-VLAN-Spanning-Tree (PVST)..................... 174 9.4 Konfigurieren und Verifizieren der STP-Erweiterungen.......... 177 10 Spanning-Tree-Erweiterungen IEEE 185 10.1 apid-spanning-tree-protokoll (STP) nach IEEE 802.1w........ 186 10.2 Konfigurieren und Verifizieren von apid-pvst.............. 193 10.3 Multiple-STP (MSTP) nach IEEE 802.1Q-2005.............. 193 10.4 Konfigurieren und Verifizieren von STP und MSTP........... 196 11 Spanning-Tree-Optionen 203 11.1 BPDU-Guard................................. 204 11.2 oot-guard.................................. 205 12 Hot-Standby-outing-Protokoll 209 12.1 Problembeschreibung ohne HSP...................... 210 12.2 Übersicht und Funktionsweise des HSP.................. 212 12.3 Konfigurieren und Verifizieren des HSP.................. 216 12.3.1 Externe outer-konfiguration.................... 216 12.3.2 Multilayerswitch-Konfiguration................... 220 13 Aufbau und Anwendung von Access-Control-Listen 225 13.1 Übersicht von Access-Control-Listen.................... 226 13.2 ACLs zum Filtern von Datenpaketen.................... 234 13.3 ACLs zur Zugriffseinschränkung auf outern............... 237 13.4 Konfigurationsbeispiele............................ 238 14 Switch-Security 241 14.1 Port-Security................................. 242 14.2 VLAN Access Control Lists......................... 244 Glossar 247 Akronyme 249 Stichwortverzeichnis 251 Befehlsverzeichnis 255 viii Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Abbildungsverzeichnis 1.1 10Base2, 10Base5.............................. 2 1.2 Erweiterung durch epeater........................ 2 1.3 5-4-3-2-1 epeater-egel.......................... 3 1.4 Erweiterung durch Bridges......................... 3 1.5 Erweiterung durch outer......................... 4 1.6 Erweiterung durch Switches........................ 5 1.7 VLAN-Implementierung.......................... 5 1.8 VLAN-Implementierung mit einem outer................ 6 1.9 Multilayer-Switch.............................. 7 1.10 Multilayer-Switches Netzwerkdesign................... 7 1.11 Multilayer-Switches Netzwerkdesign................... 8 1.12 Netzwerkausfall 1.............................. 9 1.13 Netzwerkausfall 2.............................. 9 2.1 Konsolen- und Auxiliary-Port....................... 12 2.2 Fernkonfiguration (emote-konfiguration)................ 13 2.3 Cisco outer and Security Device Manager (SDM)........... 14 2.4 SDM Startfenster (Homepage)...................... 14 2.5 SDM Konfiguration............................ 15 2.6 SDM Monitor............................... 15 2.7 Übersicht der Konfigurationsmodi..................... 16 2.8 Zugang zu den Modi............................ 17 2.9 Verlassen der Modi............................. 17 2.10 Verlassen der Modi............................. 18 2.11 Beenden der Konsolensitzung....................... 18 2.12 Online-Hilfe................................. 19 2.13 Online-Hilfe................................. 19 2.14 Abkürzen von Befehlen........................... 20 2.15 Enhanced Editing.............................. 21 2.16 Enhanced Editing.............................. 21 2.17 Befehlszeilenpuffer............................. 22 2.18 Schnittstellenstatus............................. 32 2.19 Banneranzeige................................ 38 3.1 Konsolenport................................ 42 3.2 Web-Interface................................ 43 3.3 Übersicht der Konfigurationsmodi..................... 44 3.4 VLAN-Datenbank-Konfigurationsmodus................. 44 3.5 Schnittstelle Vlan1............................. 46 ix
Abbildungsverzeichnis 4.1 Übersicht Startsequenz........................... 54 4.2 Startsequenz im Detail........................... 55 4.3 Startsequenz im Detail........................... 55 4.4 Startsequenz im Detail........................... 56 4.5 Startsequenz im Detail........................... 57 4.6 Startsequenz im Detail........................... 58 4.7 Startsequenz im Detail........................... 59 4.8 Gentle Overlay............................... 66 4.9 Konsolenmeldungen umleiten....................... 69 4.10 Debugging-Meldungen umleiten...................... 74 4.11 CDP-Übersicht............................... 76 4.12 CDP-Übersicht............................... 76 5.1 Gentle Overlay............................... 89 6.1 Lernfunktion................................ 92 6.2 Filtering-Funktion............................. 93 6.3 Forwarding................................. 93 6.4 Unknown-Unicast-Flooding........................ 94 6.5 Broadcast-Flooding............................. 95 6.6 Multicast-Flooding............................. 95 6.7 Beispiel eines Kommunikationsablaufs.................. 96 6.8 Beispiel eines Kommunikationsablaufs.................. 96 6.9 Beispiel eines Kommunikationsablaufs.................. 97 6.10 Beispiel eines Kommunikationsablaufs.................. 97 6.11 Beispiel eines Kommunikationsablaufs.................. 98 6.12 Beispiel eines Kommunikationsablaufs.................. 98 6.13 Bridge edundanz............................. 100 6.14 Duplizierte Frames............................. 100 6.15 Inkonsistenz der MAC-Adress-Tabelle................... 101 6.16 Bridging-Loop................................ 101 6.17 Spanning-Tree-Protokoll.......................... 102 6.18 Aushandlung der oot-bridge....................... 103 6.19 Auswahl der oot-bridge......................... 103 6.20 Port-Parameter............................... 104 6.21 STP-Port-Zustände (Port States)..................... 105 6.22 Forward-Delay-Timer des STP....................... 106 6.23 Max-Age-Timer vom STP......................... 106 6.24 Funktion des Max-Age-Timers....................... 107 6.25 Ohne Max-Age-Timer........................... 107 6.26 Layout Beispielnetzwerk.......................... 108 6.27 STP-Topologie 2.............................. 111 6.28 STP-Topologie 3.............................. 111 6.29 STP-Topologie 4.............................. 112 6.30 STP-Topologie 5.............................. 113 6.31 Konfigurations-BPDUs........................... 115 6.32 Topology-Change-BPDUs......................... 116 6.33 Beispielnetzwerk mit STP-Topologie................... 116 x Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Abbildungsverzeichnis 7.1 Der Switch im Schichtenmodell...................... 122 7.2 Switch mit einem einzigen VLAN..................... 123 7.3 Switch mit zwei VLANs.......................... 123 7.4 Physikalische LANs............................. 124 7.5 Virtuelle LANs............................... 125 7.6 Nachteile einer Switching-Umgebung................... 125 7.7 Vorteil von VLANs............................. 126 7.8 Switchübergreifende VLANs........................ 127 7.9 Nachteil von VLAN-Umgebungen..................... 127 7.10 Statische VLANs.............................. 129 7.11 Dynamische VLANs............................ 130 7.12 Dynamische VLANs............................ 130 7.13 Eigenschaften des VTP-Protokolls..................... 131 7.14 VTP-Terminologie............................. 132 7.15 VTP-Transparent-Modus.......................... 133 7.16 VTP-Advertisements............................ 134 7.17 Configuration-evision-Nummer...................... 137 7.18 Einfügen eines neuen Switches....................... 137 7.19 Nachteil von VLAN-Umgebungen..................... 138 7.20 Nachteil von VLAN-Umgebungen..................... 139 7.21 Lösung: VTP-Pruning........................... 139 7.22 Layout Beispielnetzwerk.......................... 140 7.23 Schnittstelle VLAN 1............................ 141 7.24 Quell-MAC-basiertes Load-Balancing................... 150 7.25 Ziel-MAC-basiertes Load-Balancing.................... 151 7.26 Etherchannel-Technik............................ 151 7.27 Zusammenfassen von Schnittstellen.................... 152 8.1 Layout Beispielnetzwerk.......................... 158 8.2 Layout des Beispielnetzwerks....................... 160 8.3 Logische Sichtweise............................. 162 8.4 Layout Beispielnetzwerk.......................... 163 8.5 outing und Switching........................... 164 9.1 Status Blocking............................... 168 9.2 Netzausfall 1................................ 168 9.3 Netzausfall 2................................ 169 9.4 Neustart einer Endstation......................... 169 9.5 Uplinkfast.................................. 170 9.6 Uplinkfast Eigenschaften......................... 170 9.7 Eigenschaften von Uplinkfast....................... 171 9.8 Eigenschaften von Uplinkfast....................... 171 9.9 Backbonefast................................ 172 9.10 Backbonefast................................ 172 9.11 Portfast................................... 173 9.12 estriktionen von Portfast......................... 173 9.13 Mehrere STP-Instanzen.......................... 174 9.14 Vorteil von PVST.............................. 175 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH xi
Abbildungsverzeichnis 9.15 Eindeutige Bridge-ID pro VLAN (früher)................. 175 9.16 Eindeutige Bridge-ID pro VLAN (heute)................. 176 9.17 Extended-System-ID im Detail...................... 176 9.18 Eigenschaften der Extended-System-ID.................. 177 9.19 Aktivieren von Uplinkfast......................... 177 9.20 Aktivieren von Backbonefast........................ 178 9.21 Aktivieren von Portfast........................... 178 9.22 Optimieren von PVST........................... 179 10.1 Aushandlung der oot-bridge....................... 186 10.2 Port-ollen (Port oles).......................... 186 10.3 Alternate-Port/Discarding- bzw. Blocking-Zustand........... 188 10.4 Netzausfall 1................................ 189 10.5 Netzausfall 2................................ 189 10.6 Proposal-Flag................................ 190 10.7 Agreement-Flag............................... 190 10.8 Konvergenzverhalten von STP..................... 190 10.9 Proposal-/Agreement-Funktion...................... 191 10.10 Link-Typen................................. 191 10.11 Edge-Port.................................. 192 10.12 MST-Instanzen............................... 194 10.13 MST-egionen............................... 194 10.14 MST-Instanz 0............................... 195 10.15 STP-Kompatibilität............................. 195 10.16 Bridge-Priorität............................... 196 10.17 oot-funktion................................ 197 11.1 Problembeschreibung............................ 204 11.2 Anwendung des BPDU-Guards...................... 204 11.3 Konfigurieren des BPDU-Guards..................... 205 11.4 Problembeschreibung............................ 205 11.5 Anwendung des oot-guards....................... 206 11.6 Anwendung des oot-guards....................... 207 11.7 Konfigurieren des oot-guards...................... 207 12.1 Standard-Gateway............................. 210 12.2 Proxy-AP-Funktion............................ 211 12.3 Proxy-AP-Funktion............................ 211 12.4 Grundfunktionalität des HSP...................... 212 12.5 HSP-Failover............................... 213 12.6 Interface-Tracking im HSP........................ 213 12.7 Interface-Tracking und Failover...................... 214 12.8 Lastverteilung mit dem HSP....................... 214 12.9 Lastverteilung und Failover........................ 215 12.10 Aktivieren des HSP............................ 216 12.11 Konfigurieren von mehreren HSP-Gruppen............... 217 12.12 Konfigurieren des Interface-Trackings................... 217 12.13 Verändern der HSP-Timer........................ 218 12.14 Layout Beispielnetzwerk.......................... 220 xii Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Abbildungsverzeichnis 13.1 Definition von ACLs............................ 226 13.2 Einsatzgebiet von ACLs.......................... 226 13.3 Grundsätzliche Bestimmungen....................... 227 13.4 Grundsätzliche Bestimmungen....................... 227 13.5 Grundsätzliche Bestimmungen....................... 228 13.6 Grundsätzliche Bestimmungen....................... 229 13.7 Abarbeitung der Statements........................ 230 13.8 Wildcard-Maske und Abkürzungen.................... 231 13.9 IP-Standard-ACL.............................. 231 13.10 IP-Extended-ACL.............................. 232 13.11 Verifizieren von ACLs........................... 233 13.12 Editieren von ACLs (früher)........................ 233 13.13 Querverweis zur ACL............................ 234 13.14 Incoming-/Outgoing-Datenfilter...................... 235 13.15 Incoming-Datenfilter............................ 235 13.16 Outgoing-Datenfilter............................ 236 13.17 Grundsätzliches zu Datenfiltern...................... 236 13.18 VTY-Zugriffseinschränkung........................ 237 13.19 Querverbindung zur ACL......................... 238 13.20 Zugriffseinschränkung auf outer..................... 239 13.21 IP-Standard-ACL.............................. 239 13.22 IP-Extended-ACL.............................. 240 13.23 IP-Extended-ACL.............................. 240 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH xiii
Abbildungsverzeichnis xiv Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Tabellenverzeichnis 4.1 Netboot-Dateinamen............................. 56 6.1 Aging-Parameter-Werte........................... 99 7.1 Vergleich zwischen Bridges und Switches.................. 122 7.2 Verhalten der VTP-Modi.......................... 133 10.1 Port-Zustände (Port States)......................... 187 10.2 Portkosten-Parameter............................ 192 13.1 Nummernbereiche von ACLs......................... 228 xv
Tabellenverzeichnis xvi Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Verzeichnis der Beispiele 2.1 Hostname.................................. 22 2.2 Enable - und enable secret -Passwort.................. 23 2.3 Konsolen-Passwort............................. 23 2.4 Schnittstellen-Parameter.......................... 24 2.5 Telnet-Passwort............................... 25 2.6 Schnittstelle aktivieren/deaktivieren................... 26 2.7 Aktive Konfiguration............................ 26 2.8 Passwörter verschlüsseln.......................... 27 2.9 Konfiguration speichern.......................... 28 2.10 Startkonfiguration überprüfen....................... 28 2.11 AP-Cache................................. 29 2.12 Schnittstellen-Parameter.......................... 29 2.13 IP-Parameter einer Schnittstelle...................... 32 2.14 Zusammenfassung der IP-Parameter einer Schnittstelle......... 33 2.15 IP-outing-Tabelle............................. 33 2.16 Statische outen.............................. 34 2.17 Netzwerktest durch Ping.......................... 35 2.18 IP-Host................................... 36 2.19 DNS-Client-Konfiguration......................... 36 2.20 Netzwerktest durch Traceroute...................... 37 2.21 Banner-Konfiguration............................ 37 2.22 SSH-Konfiguration............................. 38 2.23 DHCP-Konfiguration............................ 39 2.24 Setup-Dialog................................ 40 3.1 Konfigurieren eines VLANs........................ 45 3.2 Verifizieren von VLANs.......................... 45 3.3 Konfigurieren und Verifizieren der VLAN-Zugehörigkeit......... 46 3.4 VLAN-Schnittstelle............................. 47 3.5 Geschwindigkeits- und Duplex-Einstellung................ 47 3.6 Aktive Konfiguration verifizieren..................... 48 3.7 Konfiguration speichern.......................... 49 3.8 Gespeicherte Konfiguration verifizieren.................. 49 3.9 Status der Schnittstellen überprüfen................... 51 3.10 Mac-Address-Table............................. 51 4.1 Versionsinformationen........................... 54 4.2 config-register-befehl............................ 58 4.3 OM-Monitor................................ 59 4.4 Boot System -Befehl............................ 60 xvii
Verzeichnis der Beispiele 4.5 Versionsinformationen........................... 60 4.6 Flash-Speicherverwaltung......................... 61 4.7 IOS-Datei kopieren............................. 62 4.8 IOS-Datei löschen (neu).......................... 63 4.9 IOS-Datei löschen (alt)........................... 63 4.10 IOS-Datei kopieren............................. 64 4.11 Konfiguration löschen............................ 65 4.12 Konfiguration sichern............................ 65 4.13 Problem: Konsolenmeldungen....................... 67 4.14 Lösung: Synchrones Protokollieren (Logging Synchronous)....... 67 4.15 Konsolenmeldungen abschalten...................... 67 4.16 Konsolenmeldungen umleiten....................... 68 4.17 Exec-Timeout................................ 69 4.18 Debugging-Optionen............................ 70 4.19 Debugging aktivieren............................ 71 4.20 Debugging abschalten........................... 72 4.21 Debugging-Ausgabe umleiten....................... 72 4.22 Debugging-Ausgabe............................. 72 4.23 Debugging-Ausgabe............................. 73 4.24 Telnet ausführen.............................. 74 4.25 Telnet-Sitzung trennen........................... 75 4.26 Telnet-Zugriff überwachen......................... 75 4.27 CDP aktivieren/deaktivieren........................ 77 4.28 CDP-Nachbarn anzeigen.......................... 77 4.29 CDP-Detailinformationen......................... 77 4.30 CDP-Detailinformationen......................... 78 4.31 CDP-Nachbarn selektieren......................... 78 4.32 CDP verifizieren.............................. 79 5.1 Versionsinformationen Catalyst 3560................... 82 5.2 Versionsinformationen Catalyst 2950................... 83 5.3 Umgebungsvariablen prüfen........................ 83 5.4 Umgebungsvariablen konfigurieren.................... 84 5.5 Flash verwalten............................... 84 5.6 Flash löschen................................ 86 5.7.tar -Datei kopieren............................ 86 5.8 IOS kopieren................................ 87 5.9 Datei löschen................................ 87 5.10 Konfiguration löschen............................ 88 5.11 Konfiguration sichern............................ 89 6.1 Überprüfen der MAC-Adress-Tabelle................... 99 6.2 Verifizieren des Spanning-Tree-Protokolls - G1S1............ 108 6.3 Verifizieren des Spanning-Tree-Protokolls - G1S2............ 109 6.4 Verifizieren des Spanning-Tree-Protokolls - G1S3............ 110 6.5 BPDU Paketinhalt............................ 114 6.6 Verifizieren des Spanning-Tree Protokolls G1S1 Detail........ 117 6.7 Verifizieren des Spanning-Tree Protokolls G1S2 Detail........ 118 xviii Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Verzeichnis der Beispiele 6.8 Verifizieren des Spanning-Tree Protokolls - G1S3 Detail......... 118 7.1 Cisco-ISL.................................. 128 7.2 IEEE 802.1Q................................ 128 7.3 VTP-Advertisement-equest........................ 135 7.4 VTP-Summary-Advertisement....................... 135 7.5 VTP-Subset-Advertisement........................ 136 7.6 IP-Konfiguration.............................. 140 7.7 Trunk-Konfiguration G1S1........................ 141 7.8 Trunk-Verifikation G1S1......................... 141 7.9 VTP-Konfiguration G1S1........................ 142 7.10 VTP-Verifikation G1S2.......................... 143 7.11 VTP-Konfiguration G1S3........................ 143 7.12 VTP-Verifikation G1S3.......................... 143 7.13 VLAN-Konfiguration G1S1....................... 144 7.14 VLAN-Verifikation G1S1......................... 144 7.15 VLAN-Konfiguration G1S3....................... 144 7.16 VLAN-Verifikation G1S3......................... 145 7.17 Weitere Verifikationsbefehle........................ 145 7.18 Verifikation des Schnittstellen-Status G1S3............... 145 7.19 Verifikation des Switchports - G1S3.................... 146 7.20 Komplette Konfiguration - G1S1..................... 148 7.21 Konfiguration des Fast-Etherchannels................... 152 7.22 Verifikation des Fast-Etherchannels G1S1............... 152 7.23 Trunk-Verifikation G1S1......................... 153 7.24 Komplette Konfiguration G1S1..................... 154 7.25 Verifikation des Spanning-Trees G1S1.................. 154 7.26 Verifikation des Spanning-Trees G1S2.................. 155 7.27 Verifikation des Spanning-Trees G1S3.................. 155 7.28 Aktivieren des VTP-Prunings....................... 156 7.29 Verifizieren des VTP-Prunings....................... 156 8.1 Konfiguration des Cisco ISL........................ 159 8.2 Konfiguration des IEEE 802.1Q...................... 159 8.3 Konfiguration des IP-outings G1S1.................. 160 8.4 Konfiguration des IP-outings G1S2.................. 161 8.5 VLAN-Schnittstellen G1S1........................ 161 8.6 Verifikation des IP-outings - G1S1.................... 161 8.7 Core-outing-Konfiguration G1S1.................... 164 8.8 Core-outing-Konfiguration G1S2.................... 165 8.9 Core-outing-Verifikation G1S1..................... 165 9.1 Spanning-Tree-Verifikation G1S3.................... 179 9.2 Spanning-Tree-Verifikation G1S1.................... 181 9.3 Spanning-Tree Verifikation G1S2.................... 182 9.4 Spanning-Tree-Schnittstellen-Verifikation G1S3............ 183 9.5 Spanning-Tree-Schnittstellen-Verifikation G1S1............ 183 9.6 Spanning-Tree-Schnittstellen-Verifikation G1S2............ 184 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH xix
Verzeichnis der Beispiele 10.1 STP-BPDU................................ 187 10.2 Aktivieren des apid-pvst........................ 193 10.3 Aktivieren von STP und MST...................... 196 10.4 Verifizieren von MST und STP..................... 197 10.5 Verifizieren des MST............................ 198 10.6 Verifizieren des MST............................ 198 10.7 Spanning-Tree-Verifikation G1S3.................... 198 10.8 Spanning-Tree-Verifikation G1S1.................... 199 10.9 Spanning-Tree-Verifikation G1S2.................... 200 10.10 Spanning-Tree-Schnittstellen-Verifikation - G1S3............. 200 10.11 Spanning-Tree-Schnittstellen-Verifikation - G1S1............. 201 10.12 Spanning-Tree-Schnittstellen-Verifikation - G1S2............. 201 12.1 HSP-Verifikation im Detail 1..................... 218 12.2 HSP-Verifikation im Detail 2..................... 218 12.3 Zusammengefasste HSP-Verifikation 1................ 219 12.4 Zusammengefasste HSP-Verifikation 2................ 219 12.5 Debugging des HSP............................ 219 12.6 HSP-Konfiguration G1S1........................ 220 12.7 HSP-Konfiguration G1S2........................ 221 12.8 HSP-Verifikation G1S1......................... 221 12.9 HSP-Verifikation G1S2......................... 221 12.10 HSP-Verifikation im Detail G1S1................... 222 12.11 HSP-Verifikation im Detail G1S2................... 223 13.1 Editieren von ACLs (heute)........................ 234 13.2 Verifizieren von Datenfiltern........................ 237 14.1 Konfigurieren der Port-Security...................... 242 14.2 Verifizieren der Port-Security....................... 243 14.3 Verifizieren der Port-Security....................... 243 14.4 Konfigurieren von VLAN-Access-Control-Lists.............. 244 14.5 Verifizieren von VLAN-Access-Control-Lists............... 246 xx Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
Kapitel 1 Entwicklung des LAN-Bereichs Die Entwicklung des LAN-Bereichs in den letzten zwei Jahrzehnten war gigantisch. Während Ende der 1980er Jahre bzw. sogar bis Mitte der 1990er Jahre noch viele LANs auf der Grundlage von Koaxialkabeln mit einer Übertragungsgeschwindigkeit von gerade einmal 10 Mbit/s für alle angeschlossenen Komponenten aufgebaut waren, existieren heute bereits dedizierte Verbindungen mit mehreren Gigabit pro Sekunde. Die Übertragungsgeschwindigkeit allein ist jedoch nicht ausschlaggebend. Die Effizienz eines Netzwerks wird von vielen weiteren Faktoren bestimmt. Abschnitt 1.1 auf der nächsten Seite beschreibt kurz den Entwicklungsverlauf von LANs vom Koaxialkabel bis hin zum heutigen Multilayer-Switch. Weiterhin wird in Abschnitt 1.2 auf Seite 7 dargestellt, wie große Campus-LANs strukturiert und hierarchisch aufgebaut werden. Inhaltsangabe 1.1 Vom Koaxsegment zum Multilayer-Switch.......... 2 1.2 Der Aufbau großer Campus-LANs............... 7 1
Kapitel 1 Entwicklung des LAN-Bereichs 1.1 Vom Koaxsegment zum Multilayer-Switch Abbildung 1.1 zeigt die zwei klassischen Koaxialkabel 10Base2 und 10Base5. 10Base2 aufgrund des geringen Kabeldurchmessers oft auch Thin-Ethernet genannt unterstützt eine maximale Segmentlänge von ca. 2 * 100 m (genau 185 m). 10Base5 aufgrund des größeren Kabeldurchmessers auch Thick-Ethernet genannt hat eine maximale Segmentlänge von 5 * 100 m. Es handelt sich hierbei jeweils um Segmente, die allen angeschlossenen Komponenten eine gemeinsame (shared) Übertragungsgeschwindigkeit von 10 Mbit/s zur Verfügung stellen. 10Base2 - max. 185 m 10Base5 - max. 500 m Abbildung 1.1: 10Base2, 10Base5 Wird die maximale Segmentlänge erreicht, kann durch sogenannte epeater eine Verlängerung des Segmentes vorgenommen werden. epeater sind Signalverstärker, die lediglich das elektrische Signal auf der physikalischen Schicht verstärken. Bis zu fünf Segmente können durch vier epeater miteinander verbunden werden. Ein weiterer epeater ist hiernach nicht mehr zulässig. (Abbildung 1.2). Abbildung 1.2: Erweiterung durch epeater Es gibt eine bekannte epeater-egel, die 5-4-3-2-1 genannt wird. Diese egel besagt, dass fünf Segmente über vier epeater miteinander verbunden werden dürfen. Lediglich drei der insgesamt fünf Segmente dürfen aktiv sein, was bedeutet, dass nur auf drei Segmenten Komponenten angeschlossen sein dürfen. Auf zwei Segmenten dürfen keine Komponenten angeschlossen werden. Diese Segmente dienen lediglich der Verlängerung des Gesamtnetzwerks. Das Gesamtnetzwerk stellt eine große Kollisionsdomäne dar. (Abbildung 1.3 auf der nächsten Seite). Der Hauptnachteil der obigen Netzwerkumgebung besteht darin, dass keine logische Trennung vorgenommen wurde. Jede Komponente, die in einer Kollisionsdomäne angeschlossen ist, teilt sich die Bandbreite mit jeder anderen angeschlossenen Komponente. 2 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
1.1 Vom Koaxsegment zum Multilayer-Switch 1 3 3 2 2 3 4 4 4 4 5 5 5 5 5 Abbildung 1.3: 5-4-3-2-1 epeater-egel In einer Kollisionsdomäne darf zu einer gegebenen Zeit nur ein einziges Signal existieren. Versenden zwei Komponenten gleichzeitig Daten, kommt es zu einer Kollision. Diese muss anschließend bereinigt werden. Um die 1990er Jahre herum gab es viele solcher Netzwerkumgebungen. Diese wuchsen damals überproportional, bis gewaltige Überlastsituationen auftraten. Als Lösung hierzu wurden Bridges eingesetzt. Diese nahmen eine logische Trennung des Netzwerks auf der Sicherungsschicht (Data Link Layer) vor. So stellte zum Beispiel jeder Port einer Bridge eine eigenständige Kollisionsdomäne dar. Hierdurch war ein paralleles Datenaufkommen möglich, was zu einem effektiv höheren Durchsatz des Gesamtnetzwerks führte. Bridges hatten jedoch einen Nachteil: Sie mußten gemäß der Spezifikation IEEE 802.1D empfangene Broadcasts auf jeden Port außer dem empfangenden Port weiterleiten. Daher bildete die Bridge eine einzige Broadcast-Domäne. (Abbildung 1.4). Abbildung 1.4: Erweiterung durch Bridges Da die LAN-Protokolle, die um die 1990er Jahre eingesetzt wurden, sehr broadcastintensiv waren, gab es in den damaligen Bridging-Umgebungen eine sehr hohe Broad- Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH 3
Kapitel 1 Entwicklung des LAN-Bereichs castlast. Je größer die Netzwerke wurden, umso größer wurde auch die Broadcastlast. Die Antwortzeiten im Netzwerk stiegen enorm an, bis eine vernünftige Kommunikation nicht mehr möglich war. Als Lösung hierfür wurden Anfang bis Mitte der 1990er Jahre verstärkt outer eingesetzt. outer bilden pro Schnittstelle eine eigenständige Broadcast-Domäne. Die Broadcasts einer Broadcast-Domäne x werden nicht in eine Broadcast-Domäne y übertragen. Der outer ist sozusagen eine Broadcast-Barriere. (Abbildung 1.5). Abbildung 1.5: Erweiterung durch outer Ein Hauptnachteil von outern ist die Verzögerungszeit während der Übertragung von Datenpaketen. outer sind Komponenten, die auf der Netzwerkschicht arbeiten, und müssen daher alle Datenpakete, die sie weiterleiten, bis zu dieser Schicht verarbeiten. Dies bedeutet im Einzelnen, dass die Datenpakete an der empfangenden Schnittstelle bis zum IP-Header zunächst entkapselt werden. Anschließend wird die IP-Adresse des Ziels aus dem IP-Header ausgelesen. Dann wird die outing-tabelle nach einem passenden Eintrag durchsucht. Sollte eine oute für die Ziel-IP-Adresse vorhanden sein, wird ermittelt, auf welcher Ausgangsschnittstelle das Datenpaket versendet werden muss. Anschließend wird das IP-Paket neu gekapselt und über die Ausgangsschnittstelle versendet. Dieser Prozess war bei den damaligen outern softwarebasierend und löste mehrere CPU-Interrupts aus. Auch diese Tatsache trug zu der höheren Verzögerungszeit während der Datenübertragung bei. Mitte der 1990er Jahre wurden Switches entwickelt. Im Prinzip funktionieren sie wie ihre Vorgänger, die Bridges. In Abbildung 1.6 auf der nächsten Seite ist zu sehen, dass auch Switches pro Interface eine eigenständige Kollisionsdomäne bilden und der gesamte Switch eine einzige Broadcast-Domäne ist. Der Hauptunterschied zu den Bridges besteht jedoch in der Übertragungszeit. Bridges waren, genauso wie outer, softwarebasierend. Dementsprechend hatten sie hohe Verzögerungszeiten während der Übertragung von Datenframes. Switches hingegen sind hardwarebasierend. Sie haben sogenannte ASIC-Chips, die das Weiterleiten von Datenframes aus der Hardware ermöglichen. Switches sind in anderen Worten hardwarebasierende Bridges. Der Datendurchsatz 4 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
1.1 Vom Koaxsegment zum Multilayer-Switch eines Switches ist um ein Vielfaches höher als der Durchsatz der alten Bridges. Abbildung 1.6: Erweiterung durch Switches Da aber bei den Switches - genauso wie bei den Bridges - die Broadcastproblematik weiterhin existiert, wurden virtuelle LANs (VLANs) eingeführt. Ein VLAN ist eine Layer-2-Broadcast-Domäne. Zwei VLANs sind zwei voneinander unabhängige Layer-2- Broadcast-Domänen. Ein VLAN x kann nicht direkt mit einem VLAN y kommunizieren, da eine logische Trennung auf der Sicherungsschicht (Layer 2) existiert. Somit bleiben die Broadcasts immer innerhalb eines VLANs. Physikalisch können sich die VLANs jedoch auf dem gleichen Switch befinden. Abbildung 1.7 zeigt einen Switch mit insgesamt vier VLANs. Mehrere Ports sind Bestandteil eines jeden VLANs. Die VLANs sind voneinander isoliert. Eine direkte Kommunikation zwischen Ports des einen VLANs mit Ports eines anderen VLANs ist nicht möglich. 172.16.64.0/ 24 172.16.32.0/ 24 VLAN2 VLAN3 172.16.192.0/ 24 172.16.128.0/ 24 VLAN4 VLAN1 Abbildung 1.7: VLAN-Implementierung Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH 5
Kapitel 1 Entwicklung des LAN-Bereichs Weiterhin ist zu sehen, dass jedem VLAN ein IP-Subnetz zugeordnet wurde. Somit ergibt sich die folgende egel: 1 VLAN = 1 Broadcast-Domäne = 1 IP-Subnetz. Ein IP-Subnetz wird einem VLAN auf die gleiche Weise zugeordnet wie einem physikalischen Segment. Genauso wie ein physikalisches Segment selbst keine IP-Adresse hat, sondern die Komponenten, die an dieses Segment angeschlossen werden, eine IP- Adresse haben, wird auch dem VLAN selbst keine IP-Adresse zugeordnet, sondern die Komponenten, die Bestandteil eines VLANs sind, erhalten eine IP-Adresse. Durch die VLAN-Implementierung werden anstelle einer großen Broadcast-Domäne viele kleine Broadcast-Domänen aufgebaut. Hierdurch kann die Broadcastlast zwar besser kontrolliert werden, jedoch besteht auch in jedem Netzwerk die Anforderung, dass viele VLANs miteinander kommunizieren müssen. An dieser Stelle ist wieder ein outer erforderlich. In Abbildung 1.8 ist ein externer outer zu sehen, der jeweils ein Interface in jedem VLAN hat. Somit ist er in der Lage, zwischen den VLANs zu routen. Diese Implementierung hat jedoch wieder den Nachteil, dass der outer softwarebasierend ist und somit sehr hohe Verzögerungszeiten während der Datenübertragung anfallen. 172.16.64.0/ 24 172.16.32.0/ 24 VLAN2 VLAN3 172.16.192.0/ 24 172.16.128.0/ 24 VLAN4 VLAN1 Abbildung 1.8: VLAN-Implementierung mit einem outer Eine endgültige Lösung, die allen heutigen Anforderungen im LAN-Bereich gerecht wird, stellen Multilayer-Switches bzw. Layer-3-Switches dar. Diese sind seit Ende der 1990er Jahre verfügbar. Bei einem Multilayer-Switch handelt es sich um eine Komponente, die sowohl Daten auf der Sicherungsschicht (Layer 2) als auch auf der Vermittlungsschicht (Layer 3) weiterleiten kann. Sowohl die Layer-2- als auch die Layer-3- Daten werden sehr schnell durch die Hardware verarbeitet. Hierfür stehen die bereits erwähnten ASIC-Chips zur Verfügung. Somit ist ein langsamer, externer outer für die Layer-3-Funktion nicht mehr erforderlich. Abbildung 1.9 auf der nächsten Seite zeigt unsere bekannte VLAN-Umgebung, bestehend aus vier VLANs. Daten innerhalb eines 6 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
1.2 Der Aufbau großer Campus-LANs VLANs werden vom Multilayer-Switch über den Layer 2, Daten zwischen VLANs werden über den Layer 3 weitergeleitet. Anders als bei externen outern entspricht der Datendurchsatz des Layer-3-Forwardings dem des Layer-2-Forwardings. Abbildung 1.9: Multilayer-Switch 1.2 Der Aufbau großer Campus-LANs Ein aktuelles Netzwerkdesign, das heute in vielen LANs eingesetzt wird, ist in Abbildung 1.10 zu sehen. Es besteht aus einer Netzzugangsschicht (Access Layer), kurz Zugangsschicht, und einer Verteilungsschicht (Distribution Layer). Die Zugangsschicht stellt den Zugangspunkt zum Netzwerk zur Verfügung. Hier werden Etagen-Switches eingesetzt, die den Endstationen eine optimale Anbindung an das Unternehmensnetzwerk ermöglichen. Bei den Switches der Zugangsschicht handelt es sich in der egel um Layer-2-Switches. Die Verteilungsschicht könnte aus zwei Multilayer-Switches bestehen. Hierbei handelt es sich um die Switches, die für die Gebäudeverteilung verantwortlich sind. Die Switches der Zugangsschicht werden redundant an die beiden Multilayer- Switches angeschlossen. Die Multilayer-Switches haben auch untereinander eine oder mehrere Verbindungen. Dies könnte das Netzwerkdesign innerhalb eines Gebäudes sein. Man spricht hierbei von einem Switch-Block. Netzzugangsschicht (Access Layer) Verteilungsschicht (Distribution Layer) Abbildung 1.10: Multilayer-Switches Netzwerkdesign Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH 7
Kapitel 1 Entwicklung des LAN-Bereichs Sollte die Anforderung bestehen, einen großen Campus zu vernetzen, könnte das Netzwerkdesign aus Abbildung 1.10 auf der vorherigen Seite zu einer Kernschicht (Core Layer) erweitert werden. Die Kernschicht wäre für die Anbindung der einzelnen Gebäude innerhalb des Campus verantwortlich. Abbildung 1.11 zeigt zwei Switch-Blöcke, die über zwei Switches auf der Kernschicht redundant miteinander verbunden sind. Jeder weitere Switch-Block würde auf die gleiche Weise angebunden werden. Netzzugangsschicht (Access Layer) Switch-Block 1 Switch-Block 2 Verteilungsschicht (Distribution Layer) Kernschicht (Core Layer) Abbildung 1.11: Multilayer-Switches Netzwerkdesign So ergibt sich eine Drei-Stufen-Hierarchie, bestehend aus Zugangs-, Verteilungs- und Kernschicht ( Access-, Distribution- und Core-Layer). Jede Schicht hat eine bestimmte Aufgabe. Wie bereits erwähnt, hat die Zugangsschicht die Aufgabe, Endstationen optimal anzubinden. Auf der Verteilungsschicht sollten die rechenintensiven Funktionen durchgeführt werden. Hierzu zählt zum Beispiel die VLAN-Terminierung und somit das Inter-VLAN-outing sowie komplexe Access-Control-Lists (Filter). Auch die oot- und die Backup-oot-Funktion des Spanning-Tree-Protokolls sollten sich auf der Verteilungsschicht abspielen. Im Normalfall wird zwischen der Verteilungs- und der Zugangsschicht über Layer 2 weitergeleitet und zwischen der Verteilungs- und der Kernschicht über Layer 3 geroutet. Jegliche Layer-2-Funktionen wie z. B. die VLANs und die Spanning-Tree-Topologie sollten an der Verteilungsschicht enden und nicht zur Kernschicht weitergereicht werden. Es soll also zwischen den einzelnen Switch-Blöcken immer über Layer 3 geroutet werden. Hierdurch wird die Broadcastlast stark eingeschränkt. Was dies alles nun genau zu bedeuten hat, wird im Laufe des Lehrbuchs näher erläutert. Bei diesem Design handelt es sich um ein mehrfach redundantes Netzwerk. Ein derartiges Netzwerkdesign hat den Vorteil, dass mehrere Teilstrecken ausfallen können, das Netzwerk aber weiterhin funktionsfähig bleibt. Auch die Konvergenzzeit spielt eine wesentliche olle im Falle eines Ausfalls. Unter Konvergenzzeit wird die Zeit verstanden, die ein Netzwerk benötigt, nach Ausfall einer Teilstrecke Alternativpfade zu aktivieren. Je geringer die Konvergenzzeit in einem Netzwerk ist, umso schneller können die Kom- 8 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH
1.2 Der Aufbau großer Campus-LANs ponenten die aufgrund des Ausfalls unterbrochene Kommunikation wieder aufnehmen. Die beiden Abbildungen 1.12 und 1.13 zeigen zwei verschiedene Netzwerkausfälle. Die Daten werden dann über einen Alternativpfad übertragen. Netzzugangsschicht (Access Layer) X Verteilungsschicht (Distribution Layer) Kernschicht (Core Layer) Abbildung 1.12: Netzwerkausfall 1 Bevor jedoch auf die Einzelheiten dieses Netzwerkdesigns eingegangen werden kann, müssen wir uns noch viele Grundlagen erarbeiten. Diese werden in den nächsten Kapiteln vermittelt. Weiter hinten in diesem Lehrbuch wird auf die Feinheiten eines solchen Netzwerkdesigns eingegangen. Netzzugangsschicht (Access Layer) Verteilungsschicht (Distribution Layer) Kernschicht (Core Layer) X Abbildung 1.13: Netzwerkausfall 2 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH 9
Kapitel 1 Entwicklung des LAN-Bereichs 10 Copyright c 2009 Airnet Technologie- und Bildungszentrum GmbH