Virtual Local Area Network = VLAN
Werbung
Seite ‹#› Unterrichtsvorlage Armin Dagenbach 20.01.2008 VLAN_Trunk.ppt Praxisbeispiel I: Eine Firma (Großhändler) mit 4 Organisationsbereichen verfügt bisher über folgende IT-Infrastruktur: Organisationsbereich Anzahl der PC`s Netztyp Netzstruktur OB1 Geschäftsleitung/ Personalwesen 4 Peer-To-Peer OB2 Buchhaltung 3 Peer-To-Peer Gemeinsamer 8-Port-Hub 10BaseT OB3 Einkauf 8 Peer-To-Peer 10Base2 OB4 Verkauf 12 Peer-To-Peer 10Base2 Als Netzwerkkarten sind Combo-Karten mit BNC- und RJ45-Anschluss eingebaut. Das Netzwerk soll auf 100BaseT umgestellt werden und einen InternetZugang erhalten. Zusätzlich wird ein Datenbankserver beschafft. Aus Sicherheitsgründen sollen die Workstation der einzelnen Organisationsbereiche sowie der Server künftig in separaten Subnetzen liegen. Seite ‹#› Unterrichtsvorlage Armin Dagenbach 20.01.2008 VLAN_Trunk.ppt Praxisbeispiel II: Der Kunde schlägt folgende Netzstruktur vor: Switch_OB1 Switch_OB2 Switch_OB4 Switch_OB3 Datenbankserver Frage: Welche bessere und günstigere Lösung für den Kunden gibt es, die auch allen Sicherheitsansprüchen gerecht wird? Hinweis: 1. Es sind 28 Switchports erforderlich! 2. Es werden Switch mit 24 Ports eingesetzt! Seite ‹#› Unterrichtsvorlage Armin Dagenbach 20.01.2008 VLAN_Trunk.ppt Eine Lösung: Einsatz von: Virtual Local Area Network = VLAN Router Trunk VLAN_OB1 (4 Hosts) Vorteile: Switch_2 24 Ports Switch_1 24 Ports Trunk VLAN_OB3 (8 Hosts) VLAN_OB2 (3 Hosts) VLAN_DBS (1 Server) VLAN_OB4 (12 Hosts) Geringerer Geräteaufwand, d.h. kostengünstiger! Hohe Sicherheit durch Frame-Tagging (auf Layer 2); Eingriff nur am Switch mgl.! Netzlast wird reduziert, da jedes Subnetz eine eigene Broadcast-Domäne bildet! Arbeitsgruppen müssen nicht räumlich zusammengefasst sein. Bei Umzug eines Benutzers fallen ggf. keine administrativen Aufgaben an! Unterrichtsvorlage Armin Dagenbach 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Virtual Local Area Network = VLAN Gruppenarbeit: Recherchieren Sie in Zweierteams, um Beratungskompetenz zu erhalten, im Internet bzgl. VLAN folgende Punkte: 1. Definition von VLAN 2. Gründe für den Einsatz von VLAN 3. Welche (2) gängige Arten von Verfahren (technische Realisierung) gibt es? 4. Was wird bei VLAN beim Ethernet-Frame geändert (IEEE-Standard)? 5. Welche Arten/Varianten der VLAN-Zuordnung gibt es? 6. Welche der zwei Varianten ist sicherer und warum? 7. Welche zwei Arten von Links gibt es nach der Einrichtung von VLAN an einem Switch? Unterschied? 8. Wie kann Verkehr zwischen unterschiedlichen VLAN realisiert werden? Dokumentation: Erstellen Sie für sich bzgl. der 8 obigen Punkte eine Mitschrift. Zeitlicher Ablauf: 1. Recherche im Internet: 30 Minuten 2. Mündliche Vorstellung (Antwort auf Fragen) im Anschluss: 15 Minuten Seite ‹#› Unterrichtsvorlage Armin Dagenbach 20.01.2008 VLAN_Trunk.ppt Virtual Local Area Network = VLAN Definition: Ein VLAN ist ein virtuelles lokales Netzwerk innerhalb eines physikalischen Netzwerkes, das von seiner Ausbreitung über mehrere Switche gehen kann. Gründe für den Einsatz von VLAN: Althergebrachte „geswitchte“ Netzwerke haben: 1. Mit steigender Zahl der angeschlossenen Stationen eine steigende Broadcast-Last. 2. Ein Sicherheitsproblem, da jede Station jede andere direkt ansprechen kann! -> Eine Lösung dieser zwei Probleme sind VLAN! -> Mit VLAN können auf einem Switch oder über mehrere Switche hinweg (auch standortübergreifend) virtuell getrennte Netze realisiert werden! -> Durch diese Bildung von „Subnetzen“ verringern sich die Broadcasts! -> Für Verbindungen zwischen den virtuell getrennten Netzen sind Layer 3-Switche oder Router erforderlich (mehr Sicherheit)! -> Benutzer können virtuellen Gruppen zugeordnet werden (Management, Personalstelle, Finanzbuchhaltung, Vertrieb,...) -> Zusätzlich steigt die Flexibilität beim Umzug eines Benutzers! Unterrichtsvorlage Armin Dagenbach 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Virtual Local Area Network = VLAN 2 Arten von Verfahren bzgl. der Ausprägung (technischen Realisierung) sind überwiegend im Einsatz, die sich auf dem Layer 2 wesentlich unterscheiden (-> Z.T. spezielle Frames der Hersteller): - IEEE 802.1Q -> Frame-Tagging -> DOT 1Q - ISL (Inter Switch Link): Cisco proprietär -> Encapsulation -> nur für Verbindung zwischen den Switchen [Achtung: kein Support mehr!] Funktionsweise/Aufbau (Ergänzung) des neuen Ethernet-Frames (IEEE 802.1Q): 1. Jedem VLAN wird eine eindeutige Nummer zugeordnet (VLAN-ID). 2. Größe VLAN-ID: 12 bit = 4096 VLAN möglich (VLAN 0 und 4095 nicht zulässig) 3. Ethernet-Frame wird um 4 Byte erweitert (Frame-Tagging) - TPID (Tag Protocol Identifier); Fixwert 8100(H) -> 2 Byte - Priority (Prioritätsinformationen) -> 3 Bit, z.B. zur Priorisierung von Sprache! - CFI (Canonical Format Identifier) -> 1 Bit, für MAC-Adressinformationen, i.d.R. 0; d.h. Format ist kanonisch (am wenigsten significantes Bit kommt zuerst)! - VID (VLAN Identifier); -> 12 Bit zur Identifizierung des zugehörigen VLAN! 4. Die Erweiterung (4 Byte) wird im Ethernet-Frame durch den Switch nach der Quell-Mac-Adresse vor dem Type- bzw. Length-Field eingeschoben. 5. Beim Aussenden des Frame an ein Endgerät wird das Tag wieder entfernt. Unterrichtsvorlage Armin Dagenbach 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Virtual Local Area Network = VLAN 2 Arten der VLAN-Zuordnung sind im praktischen Einsatz: - Statische VLAN: Ein Administrator weist den Ports der Switche eine bestimmte VLAN-ID zu. Vorteil: Umzüge im Netz laufen nur kontrolliert ab! Nachteil: Geringere Flexibilität wg. Beteiligung Administrator! - Dynamische VLAN: Der Switch erkennt beim Umzug eines Rechners die MACAdresse und liest aus einer VLAN-Managementdatenbank die Konfiguration (VLAN) des Ports aus. Hierfür ist ein eigenes Protokoll erforderlich! - GARP (Generic Attribute Registration Protocol) - VMPS (VLAN Membership Policy Sercer) -> Cisco propr. Sicherheitsaspekte: Als sicherste der beiden Varianten sind die statischen VLAN zu betrachten, da hier: 1. eine feste Zuordnung von Switch-Port zu einem VLAN vorliegt und (2. über Port-Security auch die MAC-Adresse hinterlegt ist.) -> Dies bedeutet für das Ausspähen von Daten muss ein physikalischer Zugang zu einem VLAN vorliegen (und die MAC-Adresse stimmen). Unterrichtsvorlage Armin Dagenbach 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Virtual Local Area Network = VLAN Verbindung von mehreren Switchen: Normalerweise transportiert ein Switch-Port nur den Datenverkehr für das VLAN dem er zugeordnet wurde (z.B. Access-Link). Deshalb ist für ein VLAN, das sich über mehrere Switche ausbreitet, eine „Trunk“-Leitung (Trunk-Link) zwischen den Switchen erforderlich. Eine Trunk-Leitung kann eine Vielzahl von VLANS transportieren. -> Bei IEEE 802.1Q sind es 4094 und bei ISL 1024 VLAN! Die Trunk-Leitung wird in der Regel über Fast Ethernet realisiert! Inter-VLAN-Routing: 1. Jedes VLAN bildet eine eigene Broadcast-Domäne! 2. Um Verkehr zwischen den VLANS zu vermitteln, z.B. wie im Ausgangs-Bsp. der Zugriff auf den Datenbankserver ist ein Router bzw. ein Layer-3-Switch erforderlich! 3. Der Router bzw. Layer-3-Switch wird ebenfalls über eine Trunk-Leitung an einen der Switche angebunden! Unterrichtsvorlage Armin Dagenbach Virtual Local Area Network = VLAN Beispiel Übersicht VLAN: 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Unterrichtsvorlage Armin Dagenbach 20.01.2008 Virtual Local Area Network = VLAN Beispiel (2 Verfahren bzgl. des Trunk Link): 1. Standard: 2. Cisco: (proprietär) Seite ‹#› VLAN_Trunk.ppt Unterrichtsvorlage Armin Dagenbach Virtual Local Area Network = VLAN Übung: 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Unterrichtsvorlage Armin Dagenbach 20.01.2008 Seite ‹#› VLAN_Trunk.ppt Virtual Local Area Network = VLAN Managen von VLAN: Wenn VLAN in einem geswitchten Netzwerk definiert werden kann dies bei einem großen Netz auch einen großen Aufwand für den Administrator bedeuten. In größeren Cisco-Netzwerken wird deshalb zum Verteilen der VLANs auf den Switchen das VLAN Trunking Protocol (VTP) eingesetzt. Das VTP nutzt die Layer-2-Trunk-Frames um die VLAN-Informationen an eine Gruppe von Switchen ein einem Netzwerk zu kommunizieren. VTP managed über VTP-Domänen und VTP-Modes (Server, Client, Transparent) das Hinzufügen, Entfernen und Umbenennen von VLAN über alle Switche eines Netzwerkes von einer zentralen Stelle aus. Bei einem Switch muss bei der Konfiguration (z.B. Erstinbetriebnahme) die VTP-Domäne, der er zugehört und der VTP-Mode zugeordnet werden.