1. Vernetzte IT-Systeme
6. Internetworking – Kopplung von Netzen
Prof. Dr. Volkmar Langer
Florian Schimanke
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
2. Vernetzte IT-Systeme
6. Internetworking – Kopplung von Netzen
6.1 Hubs, Switches
Prof. Dr. Volkmar Langer
Florian Schimanke
3. Kopplungselemente
• Layer 1: Repeater/Hubs
• Verbindung physikalischer Segmente
• „Auffrischung“ des Ursprungssignals
• Vergrößerung von Kollisionsdomänen
• Layer 2: Bridges/Switches
• Verbindung von Segmenten
• Bildung von mehreren Kollisionsdomänen
• Weiterleitungsentscheidung
auf Basis von MAC-Adressen
• Layer 3: Router
• Verbindung von Netzen
• Bildung von Broadcastdomänen
• Weiterleitungsentscheidung
auf Basis von IP-Adressen
4. Repeater und Hubs
• Eingesetzt, um Längenrestriktionen zu überwinden
• arbeiten auf OSI Layer 1, Bitübertragungsschicht
• alle Teilnehmer teilen sich die verfügbare Bandbreite
• heute kaum noch von Bedeutung
• Achtung Kollisionsdomänen Signallaufzeiten! „5-4-3 Regel“
6. Switches
Port MAC
C3 00-40-05-88-96-A1
C14 00-20-05-84-96-82
A1 00-20-28-84-DC-8B
A1 00-20-AD-67-5B-12
Port C3 Port C14
Port A1 Port A2
Port C4
Port MAC
C4 00-20-28-84-DC-8B
D14 00-20-AD-67-5B-12
A2 00-40-05-88-96-A1
A2 00-20-05-84-96-82
Port D14
A B
00-40-05-88-96-A1 00-20-05-84-96-82 00-20-28-84-DC-8B 00-20-AD-67-5B-12
15. VLAN-Konfiguration
• Statische VLANs
– Portbasierte oder portbezogene VLAN-Zuordnung.
Netzadministratoren weisen einzelne Switchports bestimmten
VLANs zu.
Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit
seines Switchports an.
• Dynamische VLANs
– Zentrale Managementstation im Netzwerk.
Netzadministratoren hinterlegen eine Zuordnung von MAC-Adressen
zu VLANs.
Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit
auf Basis seiner MAC-Adresse an.
16. VLAN-Tagging
• 802.1Q Standard (VLAN)
VLAN „Tags“
Destination
MAC address
4 bytes
Source
MAC address
Rest of the
Original Packet
VLAN ID
(12 bits)
Priority
(4 bits)
(16 bits)
Originales ungetagtes Paket.
Tag zum Paket hinzufügen.
Paket weiterleiten.
Getagtes Paket.
Tag vom Paket entfernen.
Paket weiterleiten.
Ungetagtes Paket.
Host A
VLAN 10
10.1.1.1/24
Host B
VLAN 10
10.1.1.2/24
17. Inter-VLAN-Kommunikation
Wenn die Hosts an einem Switch unterschiedlichen IP-Netzen
angehören, sollte man zu den verschiedenen
Adressbereichen virtuelle LANs (VLAN) definieren.
Legende
Hosts im Bereich 10.1.2.1-10.1.2.254/24
Hosts im Bereich 10.1.3.1-10.1.3.254/24
VLAN Trunk (2, 3)
VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3
Jedes VLAN stellt eine eigene Broadcastdomäne dar!
18. Vernetzte IT-Systeme
6. Internetworking – Kopplung von Netzen
6.3 Spanning Tree
Prof. Dr. Volkmar Langer
Florian Schimanke
19. Spanning Tree Protokoll (STP)
• Ethernet kennt keine Zyklen/Schleifen
• immer Punkt-zu-Punkt Verbindungen oder BUS-Strukturen
• Schleifen sind Designfehler, da Broadcasts nie ein terminierendes Ziel erreichen
• Problem: Broadcast Storms
• Lösung: IEEE 802.1d (Spanning Tree)
21. STP Schritt 1: alle Ports geblockt
• Im ersten Schritt zu einer schleifenfreien Topologie gehen alle Ports in
den Blocking Modus. Normaler Datenverkehr findet nicht statt.
22. STP Schritt 2: Root Bridge Election
Alle Switches versetzen ihre aktiven Ports in den Blocking-Modus
• Jeder STP Switch generiert BPDUs und sendet sie an allen Ports heraus.
Die BPDUs werden von jedem Switch aktualisiert und dann weitergeleitet.
• Nach 30 Sekunden wird ein Switch zur Root-Bridge (Wurzel) des
Spanning-Tree-Baums. Nur die Root-Bridge sendet weiterhin BPDUs.
23. STP Schritt 3: Root Port Election
In diesem Beispiel
hat jede Verbindung
die Kosten 5
• Jeder Switch kummuliert über die BPDUs die Pfadkosten zur Root-Bridge.
• Jeder Switch bestimmt den Port mit den geringsten Pfadkosten zur Root
und blockt die anderen Ports
Root
24. STP Schritt 4: Forwarding
Root
Root
port
Root
port
Root
port Root
port
• Jeder Port der Root ist im Forwarding Modus.
• Der Root Port eines jeden Switches ist im Forwarding Modus.
• Jede Backup Verbindung eines jeden Switches ist im Blocking
Modus.
Designated
ports
25. STP im Redundanzfall
Root
Root
port
Root
port
Root
port
Designated
ports
• Wenn eine offene Verbindung unterbrochen ist, bestimmt der Switch
über die konstant gesendeten Hello-Messages einen anderen Port als
Root Port.
• Fällt die Root aus, organisiert sich der ganze Baum durch die Auswahl
einer neuen Root neu.
26. Vernetzte IT-Systeme
6. Internetworking – Kopplung von Netzen
6.4 IP Routing
Prof. Dr. Volkmar Langer
Florian Schimanke
27. Routing
Host A
10.1.1.5/8
Host B
192.168.1.2/24
Wie komme ich von A nach B?
28. Routing-Verfahren
statisch dynamisch
distance vector
älter, für kleine Netzwerke
z.B. RIP, IGRP, RTMP
link state
jünger, für große Netzwerke
z.B. OSPF, NLSP, IS-IS
manuell
Kosten-/ Sicherheitsaspekte
z.B. Static Route, Default Route
29. Statisches Routing
• Manuelle Konfiguration der Routen durch den
Administrator
Probleme:
Ausfall von Knoten/Verbindungen
neue Knoten/Verbindungen
dynamische Änderung der Verbindungskosten (Lastverteilung)
Nur das eigene Autonome System (AS) ist bekannt
30. Dynamisches Routing
• Automatisierte Konfiguration der Routen durch
Routingprotokolle:
• Routing Information Protocol (RIP) – ist ein Protokoll basierend auf
den Entfernungsvektoren der Netze zueinander (Distance Vector
Protocol). Es ist für kleinere Netze geeignet.
• Open Shortest Path First (OSPF) – ist ein Protokoll basierend auf
dem Zustand der Verbindung zwischen den Netzen zueinander (Link
State Protocol). Es ist für komplexe Netze geeignet.
31. Distance Vector Protokolle
• Jeder Router sendet die ihm bekannten Informationen
(komplette Routingtabelle) an seine direkten Nachbarn
• Jeder Router fügt seine eigenen Informationen hinzu
und leitet sie weiter
• Die Routing-Tabellen enthalten Informationen über die
gesamten, durch Metriken definierten Pfadkosten
• Probleme: Langsame Konvergenz, Counting to Infinity
32. Link State Protokolle
• Jeder Router verfügt über komplexe Datenbank mit
Topologie-Informationen zum AS (SPF-Baum)
• Jeder Router verfügt über spezifische Informationen
über entfernte Netze und Router
• Verwendung von Link-State-Advertisements (LSAs)
zum Austausch von Routinginformationen und zum
Aufbau der topologischen Datenbank
33. Routing und TTL
• Sie bekommen die Meldung “TTL expired in transit“
- Was ist passiert?
34. Routing zwischen VLANs
Welche PC Default Gateways wohin?
VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3
Legende
Hosts im Bereich 10.1.2.1-10.1.2.254
Hosts im Bereich 10.1.3.1-10.1.3.254
10.1.2.254
10.1.3.254
GW: 10.1.3.254 GW: 10.1.2.254
35. Routing über „Transfersegmente“
Welche Routen sind notwendig?
VLAN 2 VLAN 3
Legende
Hosts im Bereich 10.1.2.1-10.1.2.254
Hosts im Bereich 10.1.3.1-10.1.3.254
192.168.1.x /30
.1 .2
39. Firewalls
• Paketfilter (Access Control Lists)
– Ein- und Ausgangsverkehr wird auf Basis von IP-Adressen und der
verwendeten Ports analysiert und verarbeitet
• Stateful Inspection
– Ähnlich wie Paketfilter, allerdings basierend auf dem Zustand einer
Verbindung und nur ausgehend vom anfordernden Host
• DMZ
– Ein durch zwei oder mehr Firewalls abgegrenzter Bereich, in dem
sich bestimmte Dienste oder Funktionen befinden
• Intrusion Detection/Protection Systems
– Erkennung von Einbruchsversuchen und deren automatisierte
Abwehr, z.B. durch Unterbrechung des Datenstroms
41. VPN – Virtual Private Network
VPN Tunnel
LAN A
LAN B
Internet
VPN Gateway
VPN Gateway
42. Bauliche Maßnahmen
• Zutrittskontrolle
– Schließlösungen
– Schlüsselvergabe
– Wer darf in welche Bereiche?
• Schützenswerte Gebäudeteile
– Serverräume und Datenarchive sollten nicht in gefährdeten
Bereichen untergebracht sein (z.B. Keller oder unterhalb von
Flachdächern Gefährdung durch eindringendes Wasser)
• Brandschutz
– Brandschutzwände und –türen
– Brandmeldeanlagen
– Selbstlöschanlagen mit CO2
– Rauchverbot
43. Verschlüsselung – Beispiel WLAN
1. Verhindern des Zugangs zu einem WLAN
• WLANs sind anders als kabelgebundene Netze nicht durch
bauliche Maßnahmen vor unberechtigten Zugang zu schützen
2. Verhindern des unbeabsichtigten Zugangs zu einem
fremden Netzwerk
• Ist der Schlüssel unbekannt, kann ein Nutzer nicht aus Versehen
in ein fremdes Netzwerk gelangen und sich dort angreifbar
machen
3. Authentifizierung kann auf zwei Arten erfolgen
1. Passwort / Schlüssel
2. Zertifikat
44. Verschlüsselungsarten
1. Passwort- bzw. Schlüsselgebundene Verfahren
• WEP
• WPA
• WPA2
2. Zertifikatsgebundene Verfahren
• Zertifikat einer vertrauenswürdigen Einrichtung muss auf dem
Client installiert sein und mit dem Zertifikat des jeweiligen
Netzwerks übereinstimmen
Die Sicherheit des WLANs wird vor
allem durch die Wahl des
Netzwerkschlüssels bestimmt!
45. BYOD und Netzwerksicherheit
• Neue Herausforderungen für die Netzwerksicherheit durch
die Nutzung von privaten Geräten im Firmennetz
– Virenschutz
– Malware
– …
• MDM (Mobile Device Management)
– Zentrale Verwaltung und Steuerung aller mobilen Endgeräte im
Netzwerk
• NAC (Network Access Control)
– Zugriff auf das Netzwerk, Ressourcen und Dienste auf Basis
verschiedener Richtlinien und Restriktionen
BYOD benötigt neue Strategien für die
Netzwerksicherheit!
46. Quellenhinweise
[1] J. Scherff: Grundkurs Computernetze. Eine kompakte Einführung in die
Netzwerk- und Internet-Technologien, 2., überarbeitete und erweiterte
Auflage 2010, Wiesbaden: Vieweg + Teubner Verlag.
[2] L.L. Peterson, B.S. Davie: Computernetze – Eine systemorientierte
Einführung, dpunkt.verlag Heidelberg, 2008
[3] Tanenbaum, Andrew S.: Computernetzwerke. 4., überarb. Aufl., [4.
Nachdr.]. München: Pearson-Studium (InformatikNetzwerke), 2007
[4] Cisco Networking Academy Program, 1. und 2. Semester CCNA, 3.
Auflage, Markt und Technik Verlag, München, 2007
[5] Cisco Academy @ HSW:
https://www.hsw-elearning.de/cisco/, 2013
August 2014