Begleitmaterial zum Unterricht M145 «VLAN - Virtual Local Area Network»

Logische Teilnetze in physischen Netzwerken

1. VLAN-Theorie erarbeiten

Erarbeiten sie die Theorie und recherchieren sie zu folgenden Themen:

  1. Welchen Vorteil bietet ein geswitchtes LAN gegenüber einem LAN mit Hub’s?
  2. Auf welchem OSI-Layer arbeitet ein normaler Switch?
  3. Kann ich mehrere Subnetze über einen normalen, nicht VLAN-fähigen Switch führen?
  4. Switches können mit MAC-Flooding und MAC-Spoofing angegriffen werden. Welche Gefahr besteht darin?
  5. Nennen Sie Gründe, ein physikalisches LAN in virtuelle Netzte aufzuteilen.
  6. Darf ein VLAN Netzwerk als «Sicher» eingestuft werden?
  7. Was versteht man unter «Portbasiertem VLAN»?
  8. Was versteht man unter «Tagged VLAN»?
  9. Wann begegnet man «Portbasiertem VLAN»?
  10. Welche Argumente sprechen für «Tagged VLAN»?
  11. Was ist der Unterschied zwischen einem VLAN-Trunkport und einem normalen Accessport?
  12. Was ist den bezüglich «Flexibilität» eigentlich der Vorteil von VLAN’s bzw. VLAN-fähigen Switchs, wenn man bedenkt, dass es schlussendlich ja auch möglich ist, an einen normalen Switch mehrere Subnetze anzuschliessen? (Ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7)

Erstellen sie eine Zusammenfassung. (Sie finden z.B. auf dieser Webseite die entsprechenden Fachbeiträge)

2. VLAN-Praxisarbeiten

2.1 VLAN: Portbasiert und Tagged

Zeichen Sie die VLAN's und PC's in das Schema ein:

2.2 VLAN-Praxisarbeit mit realer HW

  • Dauer: 2 Lektionen
  • Abgabe: Schriftliche Zusammenfassung pro Gruppe als PDF name1_name2.pdf auf den Abgabeordner.

Für die folgende Praxisarbeit erhalten sie pro Arbeitsgruppe (3 Personen) einen Switch GS105SE der Netgear Business ProSafe Serie. Dabei handelt es sich um einen 5-Port Gigabit Web-Managed Switch. Damit sie diesen Switch konfigurieren können, müssen sie das «Netgear ProSafe Plus» Konfigurationsprogramm herunterladen und installieren. Starten sie anschliessend das Konfigurationsprogramm und überprüfen sie die Version der installierten Firmware. Handelt es sich dabei um die aktuelle? Falls nicht, aktualisieren sie diese. Sie haben sicher auch schon das Benutzerhandbuch des GS105SE heruntergeladen und darin fleissig gelesen?

Organisieren sie sich selbst bzw. einigen sie sich innerhalb des Klassenverbands auf geeignete Netzwerkadressen für die VLAN’s und vergeben sie den Teilnehmenden entsprechende IP-Adressen. Jede Gruppe soll für jedes VLAN ein entsprechend konfiguriertes Notebook bereithalten.

Das gewählte Adresskonzept bzw. die konkreten IP’s sollen der Klasse via Pinboard oder Schulwandtafel bekannt gemacht werden.

Finden sie heraus, ob ihre Notebook-Schnittstellen VLAN unterstützen und konfigurieren sie den Switch je nach Situation mit Tagged oder Untagged VLAN-Ports gemäss folgender Switch-Vorgabe:

  • Port 1: VLAN1/VLAN2/VLAN3
  • Port 2: VLAN1/VLAN2/VLAN3
  • Port 3: VLAN1
  • Port 4: VLAN2
  • Port 5: VLAN3

Bemerkung: Der vorliegende Switch kann jeden Port unterschiedlich, d.h. Tagged oder Untagged betreiben.

Dokumentieren sie ihren Switch. Dazu gehört eine Skizze des Geräts mit den eingezeichneten Port’s inkl. Angaben über VLAN-ID und Tagged/Untagged-Eigenschaft. Danach verbinden sie die Switch’s über Port1 bzw. Port2 und achten darauf, keinen Loop zu erstellen.

Überprüfen und protokollieren sie nun, wann sich die Teilnehmer von VLAN1 bzw. VLAN2 oder VLAN3 gegenseitig erreichen können und wann nicht. Analysieren sie auf einem VLAN-fähigen Notebook mit Wireshark ein Ethernet-Paketheader mit einem VLAN-Tag. Wie könnten wir nun erreichen, dass sich alle VLAN’s gegenseitig erreichen können? Machen sie dazu Vorschläge.

Musterlösungen

Erarbeiten sie die Theorie und recherchieren sie zu folgenden Themen:

  1. Welchen Vorteil bietet ein geswitchtes LAN gegenüber einem LAN mit Hub’s?
    Im Gegensatz zu Hub’s arbeiten Switch’s im Normalfall kollisionsfrei. D.h. zwei verbundene Teilnehmer bilden eine Kollisionsdomäne, was eine höhere Performance zur Folge hat.
  2. Auf welchem OSI-Layer arbeitet ein normaler Switch?
    ISO-OSI-Layer2 (Sicherungsschicht/Data-Link-Layer).
  3. Kann ich mehrere Subnetze über einen normalen, nicht VLAN-fähigen Switch führen?
    Ja, ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7.
  4. Switches können mit MAC-Flooding und MAC-Spoofing angegriffen werden. Welche Gefahr besteht darin?
    Ein Switch speichert in seiner Source Address Table (SAT) alle MAC-Adressen innerhalb seines Netzwerksegments. Beim Flooding-Angriff werden massenhaft Datenpakete mit verschiedenen z.T. gefälschten MAC-Adressen (Mac-Spoofing) eingeschleust und somit der interne Speicher überfüllt. Nun arbeitet der Switch im «Failopen Mode» und verschickt Pakete wie beim Hub an alle und ermöglicht somit das Mitschneiden des Datenverkehrs (Sniffing).
  5. Nennen Sie Gründe, ein physikalisches LAN in virtuelle Netzte aufzuteilen.
    • Jedes Datenendgerät kann unabhängig von seinem Standort in eine Broadcastdomäne hinzugefügt werden. Früher war dies von der Verkabelung abhängig.
    • Priorisierung von Datenverkehr.
    • Broadcastdomäne klein halten.
  6. Darf ein VLAN Netzwerk als «Sicher» eingestuft werden?
    VLAN bietet zwar eine bessere Absicherung der Datenströme vor unerlaubtem Zugriff (Sniffing) wie normale Switches. Trotzdem lassen sich Switches auf zahlreichen Wegen kompromittieren und müssen somit als unsicher eingestuft werden. Wirkliche Sicherheit bieten nur Verschlüsselungsverfahren wie IPsec.
  7. Was versteht man unter «Portbasiertem VLAN»?
    Statische Zuteilung der Port’s zu einem VLAN-Segment am VLAN-Switch.
  8. Was versteht man unter «Tagged VLAN»?
    Durch eine Markierung des Datenpakets, üblicherweise auf Layer2 im Ethernetframe, ist dieses einem VLAN-Segment zugeordnet. Tagged bedeutet Markiert. IEEE 802.1QVLAN- Tag.
  9. Wann begegnet man «Portbasiertem VLAN»?
    • Der VLAN-fähige Switch unterstützt noch kein «Tagged VLAN» weil er älterer Bauart ist.
    • Es handelt sich um ein preisgünstiges Modell, wo auf die komplexere Elektronik für «Tagged VLAN» verzichtet wurde.
    • Man möchte ein energiesparsames und kleines Gerät einsetzen.
    • Wenn das LAN nur ein Switch enthält, genügt portbasiertes VLAN.
  10. Welche Argumente sprechen für «Tagged VLAN»?
    Wenn sich VLAN’s über mehrere Switches erstrecken, müssen die Datenpakete getaggt sein. Somit trägt das Datenpaket quasi in sich mit, welchem VLAN (VLAN-ID) es angehört. Die meisten aktuellen Geräte können mit Tagged Paketen umgehen.
  11. Was ist der Unterschied zwischen einem VLAN-Trunkport und einem normalen Accessport?
    Ein Trunkport ist in der Lage, den Datenverkehr für jedes oder alle VLAN’s zu übertragen, die von einem bestimmten Switch aus erreichbar sind. Dies im Gegensatz zu einem Access-Port, der nur den Datenverkehr eines jeweils zugewiesenen VLAN’s überträgt. Ein Trunk-Port markiert Frames bei der Übertragung zwischen Switches mit identifizierenden Tags, damit jeder Frame zu seinem VLAN geroutet werden kann. Access-Ports verteilen keine solchen Tags, da ihr VLAN vorher zugewiesen wurde und eine Identifizierung damit überflüssig ist.
    Vorsicht: Unter Trunk kann auch das Bündeln mehrerer Übertragungskanälen verstanden werden.
  12. Was ist den bezüglich «Flexibilität» eigentlich der Vorteil von VLAN’s bzw. VLAN-fähigen Switchs, wenn man bedenkt, dass es schlussendlich ja auch möglich ist, an einen normalen Switch mehrere Subnetze anzuschliessen? (Ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7)
    Mehrere Subnetze über einen normalen Switch bedeutet: Die Netze sind nicht physikalisch getrennt und Broadcasts (z.B. DHCP-Broadcasts) gehen an alle angeschlossenen Rechner, unabhängig davon, welchem IP-Netz sie angehören. Bei VLAN ist eine physikalische Trennung gewährleistet, was fremde Broadcast’s abhält und bezüglich Sicherheit eine Verbesserung darstellt: Physikalisch nicht getrennte Netze laufen Gefahr, nach einem MAC-Flooding-Angriff auf den Switch, der diesen in den Failopen-Modus und Hub-Verhalten zwingt, mit Network-Sniffern wie z.B. Wireshark ausgehorcht zu werden.

VLAN: Portbasiert und Tagged

Zeichen Sie die VLAN's und PC's in das Schema ein:

  • Verbindung der zwei VLANs der beiden physischen Switch’s über ein einzelnes Kabel. Auf diesem Kabel (Trunk) kommen VLAN Tags zum Einsatz (IEEE 802.1q).