Post on 02-Jun-2015
description
Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen
Prof. Dr. Volkmar Langer
Florian Schimanke
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen
6.1 Hubs, Switches
Prof. Dr. Volkmar Langer
Florian Schimanke
Kopplungselemente
• Layer 1: Repeater/Hubs • Verbindung physikalischer Segmente• „Auffrischung“ des Ursprungssignals• Vergrößerung von Kollisionsdomänen
• Layer 2: Bridges/Switches • Verbindung von Segmenten• Bildung von mehreren Kollisionsdomänen• Weiterleitungsentscheidung
auf Basis von MAC-Adressen
• Layer 3: Router• Verbindung von Netzen• Bildung von Broadcastdomänen• Weiterleitungsentscheidung
auf Basis von IP-Adressen
Repeater und Hubs
• Eingesetzt, um Längenrestriktionen zu überwinden• arbeiten auf OSI Layer 1, Bitübertragungsschicht• alle Teilnehmer teilen sich die verfügbare Bandbreite• heute kaum noch von Bedeutung• Achtung Kollisionsdomänen Signallaufzeiten! „5-4-3 Regel“
Kollisionsdomäne
Switches
00-40-05-88-96-A1 00-20-05-84-96-82 00-20-28-84-DC-8B 00-20-AD-67-5B-12
Port C3 Port C14
Port C4 Port D14
Port A1 Port A2
Port MAC
C3 00-40-05-88-96-A1
C14 00-20-05-84-96-82
A1 00-20-28-84-DC-8B
A1 00-20-AD-67-5B-12
Port MAC
C4 00-20-28-84-DC-8B
D14 00-20-AD-67-5B-12
A2 00-40-05-88-96-A1
A2 00-20-05-84-96-82
A B
Kollisionsdomänen mit Switch
Switches und Broadcast
ARP-RequestLayer 2 Broadcast:FF-FF-FF-FF-FF-FF
Switches und Broadcast Domains
Host B10.1.1.6/24
Host A10.1.1.5/24
1 2
Zwei getrennte Broadcast Domains
Host A10.1.1.5/24
Host B10.1.1.6/24
21
Verbindung von Broadcast Domains
Host A10.1.1.1/24
Host B10.1.2.1/24
21
IP-Adressraum-Änderung!
Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen
6.2 VLANs
Prof. Dr. Volkmar Langer
Florian Schimanke
Klassiche LAN-Segmentierung
LAN 1
LAN 2
LAN 3
2. Stock
1. Stock
Erdgeschoss
VLAN-Segmentierung
VLAN 1 VLAN 2 VLAN 3
2. Stock
1. Stock
Erdgeschoss
VLAN-Konfiguration
• Statische VLANs– Portbasierte oder portbezogene VLAN-Zuordnung.
Netzadministratoren weisen einzelne Switchports bestimmten VLANs zu.
Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit seines Switchports an.
• Dynamische VLANs– Zentrale Managementstation im Netzwerk.
Netzadministratoren hinterlegen eine Zuordnung von MAC-Adressen zu VLANs.
Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit auf Basis seiner MAC-Adresse an.
VLAN-Tagging
• 802.1Q Standard (VLAN) VLAN „Tags“
DestinationMAC address
4 bytes
SourceMAC address
Rest of the Original Packet
VLAN ID(12 bits)
Priority (4 bits)
(16 bits)
Originales ungetagtes Paket.
Tag zum Paket hinzufügen.Paket weiterleiten.
Getagtes Paket.
Tag vom Paket entfernen.Paket weiterleiten.
Ungetagtes Paket.
Host AVLAN 1010.1.1.1/24
Host BVLAN 1010.1.1.2/24
Inter-VLAN-Kommunikation
Wenn die Hosts an einem Switch unterschiedlichen IP-Netzen angehören, sollte man zu den verschiedenen Adressbereichen virtuelle LANs (VLAN) definieren.
VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3
VLAN Trunk (2, 3)
Hosts im Bereich 10.1.2.1-10.1.2.254/24Hosts im Bereich 10.1.3.1-10.1.3.254/24
Legende
VLAN Trunk (2
, 3)
Jedes VLAN stellt eine eigene Broadcastdomäne dar!
Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen
6.3 Spanning Tree
Prof. Dr. Volkmar Langer
Florian Schimanke
Spanning Tree Protokoll (STP)
• Ethernet kennt keine Zyklen/Schleifen
• immer Punkt-zu-Punkt Verbindungen oder BUS-Strukturen
• Schleifen sind Designfehler, da Broadcasts nie ein terminierendes Ziel erreichen
• Problem: Broadcast Storms
• Lösung: IEEE 802.1d (Spanning Tree)
STP-Konzept
Switch B
Switch A
STP Schritt 1: alle Ports geblockt
• Im ersten Schritt zu einer schleifenfreien Topologie gehen alle Ports in
den Blocking Modus. Normaler Datenverkehr findet nicht statt.
STP Schritt 2: Root Bridge Election
• Jeder STP Switch generiert BPDUs und sendet sie an allen Ports heraus. Die BPDUs werden von jedem Switch aktualisiert und dann weitergeleitet.
• Nach 30 Sekunden wird ein Switch zur Root-Bridge (Wurzel) des Spanning-Tree-Baums. Nur die Root-Bridge sendet weiterhin BPDUs.
Alle Switches versetzen ihre aktiven Ports in den Blocking-Modus
STP Schritt 3: Root Port Election
In diesem Beispiel hat jede Verbindung die Kosten 5
• Jeder Switch kummuliert über die BPDUs die Pfadkosten zur Root-Bridge.
• Jeder Switch bestimmt den Port mit den geringsten Pfadkosten zur Root und blockt die anderen Ports
Root
STP Schritt 4: Forwarding
Root
Root port
Root port
Root port Roo
t port
• Jeder Port der Root ist im Forwarding Modus.• Der Root Port eines jeden Switches ist im Forwarding
Modus.• Jede Backup Verbindung eines jeden Switches ist im
Blocking Modus.
Designated ports
STP im Redundanzfall
Root
Root port
Root port
Root port
Designated ports
• Wenn eine offene Verbindung unterbrochen ist, bestimmt der Switch über die konstant gesendeten Hello-Messages einen anderen Port als Root Port.
• Fällt die Root aus, organisiert sich der ganze Baum durch die Auswahl einer neuen Root neu.
Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen
6.4 IP Routing
Prof. Dr. Volkmar Langer
Florian Schimanke
Routing
Host A10.1.1.5/8
Host B192.168.1.2/24
Wie komme ich von A nach B?
Routing-Verfahren
statisch dynamisch
älter, für kleine Netzwerkez.B. RIP, IGRP, RTMP
distance vector
jünger, für große Netzwerkez.B. OSPF, NLSP, IS-IS
link state
Kosten-/ Sicherheitsaspektez.B. Static Route, Default Route
manuell
Statisches Routing
• Manuelle Konfiguration der Routen durch den Administrator Probleme:
Ausfall von Knoten/Verbindungen neue Knoten/Verbindungen dynamische Änderung der Verbindungskosten (Lastverteilung) Nur das eigene Autonome System (AS) ist bekannt
Dynamisches Routing
• Automatisierte Konfiguration der Routen durch Routingprotokolle:
• Routing Information Protocol (RIP) – ist ein Protokoll basierend auf den Entfernungsvektoren der Netze zueinander (Distance Vector Protocol). Es ist für kleinere Netze geeignet.
• Open Shortest Path First (OSPF) – ist ein Protokoll basierend auf dem Zustand der Verbindung zwischen den Netzen zueinander (Link State Protocol). Es ist für komplexe Netze geeignet.
Distance Vector Protokolle
• Jeder Router sendet die ihm bekannten Informationen (komplette Routingtabelle) an seine direkten Nachbarn
• Jeder Router fügt seine eigenen Informationen hinzu und leitet sie weiter
• Die Routing-Tabellen enthalten Informationen über die gesamten, durch Metriken definierten Pfadkosten
• Probleme: Langsame Konvergenz, Counting to Infinity
Link State Protokolle
• Jeder Router verfügt über komplexe Datenbank mit Topologie-Informationen zum AS (SPF-Baum)
• Jeder Router verfügt über spezifische Informationen über entfernte Netze und Router
• Verwendung von Link-State-Advertisements (LSAs) zum Austausch von Routinginformationen und zum Aufbau der topologischen Datenbank
Routing und TTL
• Sie bekommen die Meldung “TTL expired in transit“ - Was ist passiert?
Routing zwischen VLANs
Welche PC Default Gateways wohin?
VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3
Hosts im Bereich 10.1.2.1-10.1.2.254Hosts im Bereich 10.1.3.1-10.1.3.254
Legende
10.1.2.25410.1.3.254
GW: 10.1.3.254 GW: 10.1.2.254
Routing über „Transfersegmente“
Welche Routen sind notwendig?
VLAN 3VLAN 2
Hosts im Bereich 10.1.2.1-10.1.2.254Hosts im Bereich 10.1.3.1-10.1.3.254
Legende
192.168.1.x /30
.1 .2
Routing - Zusammenfassung
Host A10.1.1.5/8
Host B192.168.1.2/24
Wie komme ich von A nach B?
Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen
6.5. Einführung in die Netzwerksicherheit
Prof. Dr. Volkmar Langer
Florian Schimanke
Sicherheitsmaßnahmen
• Firewalls– Paketfilter– Stateful Inspection– Demilitarized Zone (DMZ)– Intrusion Detection/Protection Systems
• VPN• Anti-Viren-Maßnahmen• Anti-Spam-Maßnahmen• Authentifizierungsmaßnahmen• Verschlüsselung• …• Bauliche Maßnahmen
Firewalls
• Paketfilter (Access Control Lists)– Ein- und Ausgangsverkehr wird auf Basis von IP-Adressen und der
verwendeten Ports analysiert und verarbeitet
• Stateful Inspection– Ähnlich wie Paketfilter, allerdings basierend auf dem Zustand einer
Verbindung und nur ausgehend vom anfordernden Host
• DMZ– Ein durch zwei oder mehr Firewalls abgegrenzter Bereich, in dem
sich bestimmte Dienste oder Funktionen befinden
• Intrusion Detection/Protection Systems– Erkennung von Einbruchsversuchen und deren automatisierte
Abwehr, z.B. durch Unterbrechung des Datenstroms
Netzwerksicherheit – Firewalls allein?
VPN – Virtual Private Network
VPN Tunnel
LAN A
LAN B
Internet
VPN Gateway
VPN Gateway
Bauliche Maßnahmen
• Zutrittskontrolle– Schließlösungen– Schlüsselvergabe– Wer darf in welche Bereiche?
• Schützenswerte Gebäudeteile– Serverräume und Datenarchive sollten nicht in gefährdeten
Bereichen untergebracht sein (z.B. Keller oder unterhalb von Flachdächern Gefährdung durch eindringendes Wasser)
• Brandschutz– Brandschutzwände und –türen– Brandmeldeanlagen– Selbstlöschanlagen mit CO2– Rauchverbot
Verschlüsselung – Beispiel WLAN
1. Verhindern des Zugangs zu einem WLAN• WLANs sind anders als kabelgebundene Netze nicht durch
bauliche Maßnahmen vor unberechtigten Zugang zu schützen
2. Verhindern des unbeabsichtigten Zugangs zu einem fremden Netzwerk• Ist der Schlüssel unbekannt, kann ein Nutzer nicht aus Versehen
in ein fremdes Netzwerk gelangen und sich dort angreifbar machen
3. Authentifizierung kann auf zwei Arten erfolgen1. Passwort / Schlüssel
2. Zertifikat
1. Passwort- bzw. Schlüsselgebundene Verfahren• WEP• WPA• WPA2
2. Zertifikatsgebundene Verfahren• Zertifikat einer vertrauenswürdigen Einrichtung muss auf dem
Client installiert sein und mit dem Zertifikat des jeweiligen Netzwerks übereinstimmen
Verschlüsselungsarten
Die Sicherheit des WLANs wird vor allem durch die Wahl des
Netzwerkschlüssels bestimmt!
BYOD und Netzwerksicherheit
• Neue Herausforderungen für die Netzwerksicherheit durch die Nutzung von privaten Geräten im Firmennetz– Virenschutz– Malware– …
• MDM (Mobile Device Management)– Zentrale Verwaltung und Steuerung aller mobilen Endgeräte im
Netzwerk
• NAC (Network Access Control)– Zugriff auf das Netzwerk, Ressourcen und Dienste auf Basis
verschiedener Richtlinien und Restriktionen
BYOD benötigt neue Strategien für die Netzwerksicherheit!
Quellenhinweise
[1] J. Scherff: Grundkurs Computernetze. Eine kompakte Einführung in die Netzwerk- und Internet-Technologien, 2., überarbeitete und erweiterte Auflage 2010, Wiesbaden: Vieweg + Teubner Verlag.
[2] L.L. Peterson, B.S. Davie: Computernetze – Eine systemorientierte Einführung, dpunkt.verlag Heidelberg, 2008
[3] Tanenbaum, Andrew S.: Computernetzwerke. 4., überarb. Aufl., [4. Nachdr.]. München: Pearson-Studium (InformatikNetzwerke), 2007
[4] Cisco Networking Academy Program, 1. und 2. Semester CCNA, 3. Auflage, Markt und Technik Verlag, München, 2007
[5] Cisco Academy @ HSW:
https://www.hsw-elearning.de/cisco/, 2013
August 2014