Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen

Prof. Dr. Volkmar Langer

Florian Schimanke

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen

6.1 Hubs, Switches

Prof. Dr. Volkmar Langer

Florian Schimanke

Kopplungselemente

• Layer 1: Repeater/Hubs • Verbindung physikalischer Segmente• „Auffrischung“ des Ursprungssignals• Vergrößerung von Kollisionsdomänen

• Layer 2: Bridges/Switches • Verbindung von Segmenten• Bildung von mehreren Kollisionsdomänen• Weiterleitungsentscheidung

auf Basis von MAC-Adressen

• Layer 3: Router• Verbindung von Netzen• Bildung von Broadcastdomänen• Weiterleitungsentscheidung

auf Basis von IP-Adressen

Repeater und Hubs

• Eingesetzt, um Längenrestriktionen zu überwinden• arbeiten auf OSI Layer 1, Bitübertragungsschicht• alle Teilnehmer teilen sich die verfügbare Bandbreite• heute kaum noch von Bedeutung• Achtung Kollisionsdomänen Signallaufzeiten! „5-4-3 Regel“

Kollisionsdomäne

Switches

00-40-05-88-96-A1 00-20-05-84-96-82 00-20-28-84-DC-8B 00-20-AD-67-5B-12

Port C3 Port C14

Port C4 Port D14

Port A1 Port A2

Port MAC

C3 00-40-05-88-96-A1

C14 00-20-05-84-96-82

A1 00-20-28-84-DC-8B

A1 00-20-AD-67-5B-12

Port MAC

C4 00-20-28-84-DC-8B

D14 00-20-AD-67-5B-12

A2 00-40-05-88-96-A1

A2 00-20-05-84-96-82

A B

Kollisionsdomänen mit Switch

Switches und Broadcast

ARP-RequestLayer 2 Broadcast:FF-FF-FF-FF-FF-FF

Switches und Broadcast Domains

Host B10.1.1.6/24

Host A10.1.1.5/24

1 2

Zwei getrennte Broadcast Domains

Host A10.1.1.5/24

Host B10.1.1.6/24

21

Verbindung von Broadcast Domains

Host A10.1.1.1/24

Host B10.1.2.1/24

21

IP-Adressraum-Änderung!

Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen

6.2 VLANs

Prof. Dr. Volkmar Langer

Florian Schimanke

Klassiche LAN-Segmentierung

LAN 1

LAN 2

LAN 3

2. Stock

1. Stock

Erdgeschoss

VLAN-Segmentierung

VLAN 1 VLAN 2 VLAN 3

2. Stock

1. Stock

Erdgeschoss

VLAN-Konfiguration

• Statische VLANs– Portbasierte oder portbezogene VLAN-Zuordnung.

Netzadministratoren weisen einzelne Switchports bestimmten VLANs zu.

Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit seines Switchports an.

• Dynamische VLANs– Zentrale Managementstation im Netzwerk.

Netzadministratoren hinterlegen eine Zuordnung von MAC-Adressen zu VLANs.

Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit auf Basis seiner MAC-Adresse an.

VLAN-Tagging

• 802.1Q Standard (VLAN) VLAN „Tags“

DestinationMAC address

4 bytes

SourceMAC address

Rest of the Original Packet

VLAN ID(12 bits)

Priority (4 bits)

(16 bits)

Originales ungetagtes Paket.

Tag zum Paket hinzufügen.Paket weiterleiten.

Getagtes Paket.

Tag vom Paket entfernen.Paket weiterleiten.

Ungetagtes Paket.

Host AVLAN 1010.1.1.1/24

Host BVLAN 1010.1.1.2/24

Inter-VLAN-Kommunikation

Wenn die Hosts an einem Switch unterschiedlichen IP-Netzen angehören, sollte man zu den verschiedenen Adressbereichen virtuelle LANs (VLAN) definieren.

VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3

VLAN Trunk (2, 3)

Hosts im Bereich 10.1.2.1-10.1.2.254/24Hosts im Bereich 10.1.3.1-10.1.3.254/24

Legende

VLAN Trunk (2

, 3)

Jedes VLAN stellt eine eigene Broadcastdomäne dar!

Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen

6.3 Spanning Tree

Prof. Dr. Volkmar Langer

Florian Schimanke

Spanning Tree Protokoll (STP)

• Ethernet kennt keine Zyklen/Schleifen

• immer Punkt-zu-Punkt Verbindungen oder BUS-Strukturen

• Schleifen sind Designfehler, da Broadcasts nie ein terminierendes Ziel erreichen

• Problem: Broadcast Storms

• Lösung: IEEE 802.1d (Spanning Tree)

STP-Konzept

Switch B

Switch A

STP Schritt 1: alle Ports geblockt

• Im ersten Schritt zu einer schleifenfreien Topologie gehen alle Ports in

den Blocking Modus. Normaler Datenverkehr findet nicht statt.

STP Schritt 2: Root Bridge Election

• Jeder STP Switch generiert BPDUs und sendet sie an allen Ports heraus. Die BPDUs werden von jedem Switch aktualisiert und dann weitergeleitet.

• Nach 30 Sekunden wird ein Switch zur Root-Bridge (Wurzel) des Spanning-Tree-Baums. Nur die Root-Bridge sendet weiterhin BPDUs.

Alle Switches versetzen ihre aktiven Ports in den Blocking-Modus

STP Schritt 3: Root Port Election

In diesem Beispiel hat jede Verbindung die Kosten 5

• Jeder Switch kummuliert über die BPDUs die Pfadkosten zur Root-Bridge.

• Jeder Switch bestimmt den Port mit den geringsten Pfadkosten zur Root und blockt die anderen Ports

Root

STP Schritt 4: Forwarding

Root

Root port

Root port

Root port Roo

t port

• Jeder Port der Root ist im Forwarding Modus.• Der Root Port eines jeden Switches ist im Forwarding

Modus.• Jede Backup Verbindung eines jeden Switches ist im

Blocking Modus.

Designated ports

STP im Redundanzfall

Root

Root port

Root port

Root port

Designated ports

• Wenn eine offene Verbindung unterbrochen ist, bestimmt der Switch über die konstant gesendeten Hello-Messages einen anderen Port als Root Port.

• Fällt die Root aus, organisiert sich der ganze Baum durch die Auswahl einer neuen Root neu.

Vernetzte IT-Systeme6. Internetworking – Kopplung von Netzen

6.4 IP Routing

Prof. Dr. Volkmar Langer

Florian Schimanke

Routing

Host A10.1.1.5/8

Host B192.168.1.2/24

Wie komme ich von A nach B?

Routing-Verfahren

statisch dynamisch

älter, für kleine Netzwerkez.B. RIP, IGRP, RTMP

distance vector

jünger, für große Netzwerkez.B. OSPF, NLSP, IS-IS

link state

Kosten-/ Sicherheitsaspektez.B. Static Route, Default Route

manuell

Statisches Routing

• Manuelle Konfiguration der Routen durch den Administrator Probleme:

Ausfall von Knoten/Verbindungen neue Knoten/Verbindungen dynamische Änderung der Verbindungskosten (Lastverteilung) Nur das eigene Autonome System (AS) ist bekannt

Dynamisches Routing

• Automatisierte Konfiguration der Routen durch Routingprotokolle:

• Routing Information Protocol (RIP) – ist ein Protokoll basierend auf den Entfernungsvektoren der Netze zueinander (Distance Vector Protocol). Es ist für kleinere Netze geeignet.

• Open Shortest Path First (OSPF) – ist ein Protokoll basierend auf dem Zustand der Verbindung zwischen den Netzen zueinander (Link State Protocol). Es ist für komplexe Netze geeignet.

Distance Vector Protokolle

• Jeder Router sendet die ihm bekannten Informationen (komplette Routingtabelle) an seine direkten Nachbarn

• Jeder Router fügt seine eigenen Informationen hinzu und leitet sie weiter

• Die Routing-Tabellen enthalten Informationen über die gesamten, durch Metriken definierten Pfadkosten

• Probleme: Langsame Konvergenz, Counting to Infinity

Link State Protokolle

• Jeder Router verfügt über komplexe Datenbank mit Topologie-Informationen zum AS (SPF-Baum)

• Jeder Router verfügt über spezifische Informationen über entfernte Netze und Router

• Verwendung von Link-State-Advertisements (LSAs) zum Austausch von Routinginformationen und zum Aufbau der topologischen Datenbank

Routing und TTL

• Sie bekommen die Meldung “TTL expired in transit“ - Was ist passiert?

Routing zwischen VLANs

Welche PC Default Gateways wohin?

VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3VLAN 2 VLAN 3

Hosts im Bereich 10.1.2.1-10.1.2.254Hosts im Bereich 10.1.3.1-10.1.3.254

Legende

10.1.2.25410.1.3.254

GW: 10.1.3.254 GW: 10.1.2.254

Routing über „Transfersegmente“

Welche Routen sind notwendig?

VLAN 3VLAN 2

Hosts im Bereich 10.1.2.1-10.1.2.254Hosts im Bereich 10.1.3.1-10.1.3.254

Legende

192.168.1.x /30

.1 .2

Routing - Zusammenfassung

Host A10.1.1.5/8

Host B192.168.1.2/24

Wie komme ich von A nach B?

Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen

6.5. Einführung in die Netzwerksicherheit

Prof. Dr. Volkmar Langer

Florian Schimanke

Sicherheitsmaßnahmen

• Firewalls– Paketfilter– Stateful Inspection– Demilitarized Zone (DMZ)– Intrusion Detection/Protection Systems

• VPN• Anti-Viren-Maßnahmen• Anti-Spam-Maßnahmen• Authentifizierungsmaßnahmen• Verschlüsselung• …• Bauliche Maßnahmen

Firewalls

• Paketfilter (Access Control Lists)– Ein- und Ausgangsverkehr wird auf Basis von IP-Adressen und der

verwendeten Ports analysiert und verarbeitet

• Stateful Inspection– Ähnlich wie Paketfilter, allerdings basierend auf dem Zustand einer

Verbindung und nur ausgehend vom anfordernden Host

• DMZ– Ein durch zwei oder mehr Firewalls abgegrenzter Bereich, in dem

sich bestimmte Dienste oder Funktionen befinden

• Intrusion Detection/Protection Systems– Erkennung von Einbruchsversuchen und deren automatisierte

Abwehr, z.B. durch Unterbrechung des Datenstroms

Netzwerksicherheit – Firewalls allein?

VPN – Virtual Private Network

VPN Tunnel

LAN A

LAN B

Internet

VPN Gateway

VPN Gateway

Bauliche Maßnahmen

• Zutrittskontrolle– Schließlösungen– Schlüsselvergabe– Wer darf in welche Bereiche?

• Schützenswerte Gebäudeteile– Serverräume und Datenarchive sollten nicht in gefährdeten

Bereichen untergebracht sein (z.B. Keller oder unterhalb von Flachdächern Gefährdung durch eindringendes Wasser)

• Brandschutz– Brandschutzwände und –türen– Brandmeldeanlagen– Selbstlöschanlagen mit CO2– Rauchverbot

Verschlüsselung – Beispiel WLAN

1. Verhindern des Zugangs zu einem WLAN• WLANs sind anders als kabelgebundene Netze nicht durch

bauliche Maßnahmen vor unberechtigten Zugang zu schützen

2. Verhindern des unbeabsichtigten Zugangs zu einem fremden Netzwerk• Ist der Schlüssel unbekannt, kann ein Nutzer nicht aus Versehen

in ein fremdes Netzwerk gelangen und sich dort angreifbar machen

3. Authentifizierung kann auf zwei Arten erfolgen1. Passwort / Schlüssel

2. Zertifikat

1. Passwort- bzw. Schlüsselgebundene Verfahren• WEP• WPA• WPA2

2. Zertifikatsgebundene Verfahren• Zertifikat einer vertrauenswürdigen Einrichtung muss auf dem

Client installiert sein und mit dem Zertifikat des jeweiligen Netzwerks übereinstimmen

Verschlüsselungsarten

Die Sicherheit des WLANs wird vor allem durch die Wahl des

Netzwerkschlüssels bestimmt!

BYOD und Netzwerksicherheit

• Neue Herausforderungen für die Netzwerksicherheit durch die Nutzung von privaten Geräten im Firmennetz– Virenschutz– Malware– …

• MDM (Mobile Device Management)– Zentrale Verwaltung und Steuerung aller mobilen Endgeräte im

Netzwerk

• NAC (Network Access Control)– Zugriff auf das Netzwerk, Ressourcen und Dienste auf Basis

verschiedener Richtlinien und Restriktionen

BYOD benötigt neue Strategien für die Netzwerksicherheit!

Quellenhinweise

[1] J. Scherff: Grundkurs Computernetze. Eine kompakte Einführung in die Netzwerk- und Internet-Technologien, 2., überarbeitete und erweiterte Auflage 2010, Wiesbaden: Vieweg + Teubner Verlag.

[2] L.L. Peterson, B.S. Davie: Computernetze – Eine systemorientierte Einführung, dpunkt.verlag Heidelberg, 2008

[3] Tanenbaum, Andrew S.: Computernetzwerke. 4., überarb. Aufl., [4. Nachdr.]. München: Pearson-Studium (InformatikNetzwerke), 2007

[4] Cisco Networking Academy Program, 1. und 2. Semester CCNA, 3. Auflage, Markt und Technik Verlag, München, 2007

[5] Cisco Academy @ HSW:

https://www.hsw-elearning.de/cisco/, 2013

August 2014