Modulnummer

145

Letzte Aktualisierung
31. Okt. 2019
Vorgaben
ICT-Modulidentifikation
ICT-LBV Modul 145-1
Modulbezeichnung

Netzwerk betreiben und erweitern

Fachliteratur
Netzwerke Teil1
Netzwerke Teil2
Voraussetzungen
Modul 117
Modul 129

Inhalt

1. Einführung

2. Netzwerkdokumentation erstellen

3. Netzwerkmanagement
3.1 Was bedeutet Netzwerküberwachung/Netzwerkmanagement?
3.2 Netzwerkmanagement Kontrollfragen
3.3 Mit einem MIB-Browser arbeiten
3.4 Mit einem Netzwerkmanager arbeiten

4. WLAN
4.1 Theorie
4.2 WLAN-Begriffe kennenlernen
4.3 WLAN-Abdeckung analysieren
4.4 WLAN projektieren

5. VLAN
5.1 Repetition: Warum Subnetting?
5.2 Verschiedene Anforderungen an ein Netzwerk
5.3 VLAN-Theorie Kontrollfragen
5.4 VLAN: Portbasiert (Untagged) und Tagged
5.5 VLAN-Praxisarbeit mit realer HW

6. VPN
6.1 Die Gefahr aus dem Internet
6.2 VPN-Theorie erarbeiten
6.3 VPN-Praxis mit «MS-WINDOWS»
6.4 VPN-Gateway Praxis mit realer HW»
6.5 Demo-Setup mit UBIQUITI EdgeRouter ER-X für eine Site-to-Site VPN-Verbindung mit IPsec

7. WAN
7.1 WAN-Theorie erarbeiten
7.2 WAN-Dienstleister evaluieren
7.3 Projektarbeit «Copperlaw»

Prüfung Nr. 1

8. Musterlösungen (Passwortgeschützt)


1. Einführung

Die Modulschwerpunkte:

  1. NETZWERKDOKUMENTATION: Visualisierung komplexer System- und Netzwerkumgebungen und Speicherung wichtiger Systeminformationen.
  2. WLAN: Das Wireless Local Area Network ist ein drahtloses lokales Funknetzwerk mit einem Standard aus der IEEE-802.11-Familie.
  3. VLAN: Ein Virtual Local Area Network ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches die Frames bzw. Datenpakete eines VLANs nicht in ein anderes VLAN weiterleiten, obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können.
  4. WAN: Ein Wide Area Network ist ein Rechnernetz, das sich im Unterschied zu einem LAN oder MAN über einen sehr grossen geografischen Bereich erstreckt.
  5. VPN: Ein Virtual Private Network ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen.
  6. NETWORK-MANAGEMENT: Unter Netzwerkmanagement versteht man die Verwaltung, Betriebstechnik und Überwachung von IT-Netzwerken und Telekommunikationsnetzen.
    IP-Netze werden häufig mittels
    SNMP (Simple Network Management Protocol) und/oder
    WMI (Windows Management Instrumentation) verwaltet und überwacht.
    Syslog ist ein Standard zur Übermittlung von Log-Meldungen.

2. Netzwerkdokumentation erstellen

Eine Netzdokumentation ist eine geordnete Sammlung der Beschreibungen und Eigenschaften eines bestehenden Netzes. Für die Arbeit des Netzadministrators ist sie unentbehrlich. Vertiefen sie sich nun anhand der folgenden Netzwerkschemen in das Thema. Studieren Sie dazu das einführende Dokument auf BSCW. Weitere Quellen finden Sie im Internet.

Halten Sie sich für den Auftrag an folgende Leitfragen:

  • Ist das vorliegende Layout logisch oder physikalisch aufgebaut?
  • Was zeigt das Schema?
  • Was für Symbole werden verwendet, wird ein «Standard» verwendet?
  • Haben Sie im Schema Fehler gefunden? Wenn ja, was müsste geändert werden?
  • Wie würden Sie die Dokumentation ergänzen? Was für Elemente braucht es noch für eine Netzdokumentation?

Zusätzliche Infos für die Beantwortung der Fragen:

  • Erläutern Sie Ihre Antworten resp. Lösungen (Grund erklären).
  • Herleitung aufzeigen (aus Script, Internet, etc.)
  • Wenn Fehler gefunden oder eine Verbesserung gemacht wurde, Weg aufzeigen

Vorgehen

  • Bilden Sie 3er Teams
  • Studieren Sie das einführende Dokument auf BSCW
  • Machen Sie sich mit Ihrem Netzschema vertraut
  • Bearbeiten Sie die Leitfragen

Erwartete Resultate

  • Dokument mit ihren Erkenntnissen und Resultaten
  • Präsentation (ca. 10 min.)

Abgabe

ePortfolio (M145-oneDrive-Ordner)

  1. Netzwerkdiagramm Gesundheit (Spitäler)
  2. Netzwerkdiagramm Kleine Firma
  3. Netzwerkdiagramm Mittlere Firma 1
  4. Netzwerkdiagramm Mittlere Firma 2
  5. Netzwerkdiagramm Feuerwehr
  6. Netzwerkdiagramm Gastronomie
  7. Netzwerkdiagramm Campus/Sites

3. Netzwerkmanagement

3.1 Was bedeutet Netzwerküberwachung/Netzwerkmanagement?

Erarbeiten sie die Theorie zu folgenden Themen: (Siehe Theoriebeitrag auf dieser Webseite)

  • Warum SNMP?
  • Agent und Manager
  • MIB und OID
  • Polling versus Trap
  • Syslog
  • SW-Produkte

3.2 Netzwerkmanagement Kontrollfragen

  1. Welche Geräte oder Komponenten können Sie managen?
  2. Welche Teilaufgaben/-Funktionen soll ein Netzwerkmanagementsystem erfüllen?
  3. Das Netzwerkmanagementsystem soll unter anderem die Funktion ihres Netzwerkes respektive der Geräte im Netzwerk zentral überwachen. Was für Informationen/Daten soll ein solches System liefern?
  4. Wie heissen die wesentlichen Bestandteile und Verfahren eines Netzwerkmanagement-Systems mit SNMP?
  5. Was für andere Möglichkeiten für zentrales Netzwerkmanagement ohne SNMP kennen Sie oder können Sie sich vorstellen?
  6. Nennen Sie Beispiele für Netzwerkmanagement Software. Beschreiben Sie kurz die Funktionen dieser SW.
  7. Welche Software kann neben SNMP Server auf den «Managed Nodes» eingesetzt werden?

3.3 Mit einem MIB-Browser arbeiten

Laden sie sich den aktuellen MIB Browser Personal Edition von iReasoning auf ihren Notebook und untersuchen sie die MIB von verschiedenen SNMP-fähigen Geräten wie des EdgeRouters, Laserdrucker, ihr Notebook. Sie müssen sich dazu die produktespezifische bzw. herstellerspezifischen MIB-Module besorgen.

Führen sie diese Aktionen aus bzw. beantworten sie die folgenden Fragen:

  1. Welches Objekt verbirgt sich hinter der Zahlenkette (OID) .1.3.6.1.2.1.1.3 ?
  2. Welche Bedeutung hat das Objekt? (Alle Objekte der MIB sind in der RFC1213 definiert)
  3. Wie heisst der MIB-Pfad des Objektes «ipInHdrErrors» als Zahlenkette und welche Bedeutung hat diese MIB-Variable?
  4. Wie viele Objekte sind in den Gruppen system, ip und tcp definiert und wie viele Objekte davon treten jeweils als Tabellen oder Gruppe auf?
  5. Ändern sie mit dem MIB-Browser den system.sysContact auf einen sinnvollen Wert – Dazu müssen sie zuerst herausfinden, was dieses Objekt bedeutet

Tragen sie ihre Resultate in einem Dokument zusammen und laden sie dieses in Ihr ePortfolio.

3.4 Mit einem Netzwerkmanager arbeiten

SNMP-MIB-Browser sind für das Auslesen von einzelnen Daten aus Netzwerkgeräten genügend. Für eine umfangreiche Systemüberwachung benötigen wir aber die wesentlich komfortableren Netzwerk-Managementsysteme (NMS). Dabei gibt es verschiedene Produkte, kommerzielle und frei verfügbare. Dazu eine Auswahl:

  • PRTG-Monitor von Paessler (Testversion oder bis 100 Sensoren gratis)
  • Netgear Netzwerk Management System Software NMS300 (bis 200 Netzwerkelemente gratis)

Sie sollen sich nun für eines der beiden Tools entscheiden, die aktuelle Version herunterladen, installieren und sich mit dem Programm vertraut machen.

Die Arbeiten:

  • Binden Sie alle vorhandenen Geräte im NMS ein (Switches, Router, Drucker)
  • Überwachen (Monitoren) Sie je 3 Daten/Werte aus den obigen Geräten.
  • Überwachen Sie stellvertretend für einen Server einen PC.
    (In WIN10 muss der SMTP-Agent als Administrator zuerst installiert werden: Start/Einstellungen/Apps/Optionale Features verwalten/Features hinzufügen SMTP-Dienst
    Danach in cmd: services.msc den SMTP-Dienst entsprechend konfigurieren. Achtung: Dienst nach der Übung wieder deaktivieren Starttyp: Manuell)
    Konfigurieren Sie den Zugang so, dass die Sicherheit gewährleistet ist.
    Testen Sie den Zugang mit einem SNMP-Browser.
    Binden Sie den Windows-PC in ihr NMS ein.
    Monitoren Sie mindestens 5 Daten aus dem PC.
  • Richten Sie einen beliebigen Trap auf dem Windows-PC ein.

Protokollieren sie alle Ihre Arbeiten (ePortfolio).


4. WLAN

4.1 Theorie

(Zu den folgenden Fragen finden sie z.B. Antworten in den entsprechenden Theoriebeiträgen auf dieser Webseite.)

  • Die erforderlichen Komponenten:
    Was für Hardware benötigen sie für ein WLAN? Mit welchem WLAN sind sie zurzeit verbunden? Notieren sie sich die Zugangsdaten.
  • Sicherheit:
    Notieren sie sich Bedrohungen und Gegenmassnahmen, die ihnen dazu in den Sinn kommen.
  • Die Übertragung von Daten durch elektromagnetische Wellen:
    Wie ist das mit den Funkwellen? Welche Frequenzen werden verwendet und was bedeutet der Begriff Kanal?
    Wellensalat-Demonstration: (Kanalüberlappung)
    Damit es in Gebieten mit hoher AccessPoint-Dichte möglichst nicht zum «Wellensalat» kommt, muss dafür gesorgt werden, dass benachbarte AP’s nicht denselben Frequenzkanal benutzen, sonst kommt es zu einer Kanalüberdeckung oder Kanalüberlappung. Im folgenden sollen sie eine Kanalüberlappung an fünf Audiofiles «erleben». Beachten sie, dass die Männerstimme einem ersten Übertragungskanal und die Frauenstimme einem zweiten Übertragungskanal entspricht:
    • Einer sendet auf einem Kanal → Die Stimme ist klar und verständlich. (Das Audiofile hier downloaden: Sample1.mp3)
    • Zwei senden mit derselben Leistung auf dem gleichen Kanal → Kaum auseinanderzuhalten. (Das Audiofile hier downloaden: Sample2.mp3)
    • Drei senden mit derselben Leistung auf dem gleichen Kanal → Nicht auseinanderzuhalten. (Das Audiofile hier downloaden: Sample3.mp3)
    • Zwei senden mit unterschiedlicher Leistung auf dem gleichen Kanal → Der stärkere gewinnt. (Das Audiofile hier downloaden: Sample4.mp3)
    • Zwei senden mit derselben Leistung auf unterschiedlichen Kanälen bzw. Frequenzen → Man kann die Stimmen ohne grösseren Aufwand auseinanderhalten und verstehen. (Das Audiofile hier downloaden: Sample5.mp3)
  • WLAN-Antennen:
    Beim Funk braucht es eine Antenne. Welcher Antennentyp kommt bei ihrem AccesPoint zuhause oder bei der Firma zur Anwendung? Zur Auswahl stehen Stabantennen mit und ohne Reflektor. Stabantennen mit Reflektor nennt man übrigens Richtantennen. Beide Antennenformen haben dabei ihre eigenen Abstrahlcharakteristiken.
  • Betriebsarten:
    Finden sie heraus, auf welche Arten ein AccessPoint betrieben werden kann und wie man die Reichweite vergrössert. (Stichwort WDS / Repeater)
  • Performance im WLAN:
    Ihr WLAN arbeitet im Schneckentempo? Notieren sie sich die Gründe, die zu einem langsamen WLAN führen können. Was kann man dagegen tun?

4.2 WLAN-Begriffe kennenlernen

In diesem Bild finden sie viele Begriffe. Einige davon kennen sie vielleicht schon, andere müssen sie nachschlagen. Ordnen sie diese nach Themenkreise wie Protokoll, Verfahren, Sicherheit etc.

4.3 WLAN-Abdeckung analysieren

Wireless-LAN Netzwerke in Gebäuden unterliegen einer Vielzahl von Einflüssen, die selbst für den Profi oft nicht vorhersehbar sind. Drahtlose Netzwerke, die nicht mit Hilfe von WLAN Planungslösungen resp. Werkzeugen aufgebaut werden, funktionieren oft nicht optimal. Sie werden nun ein WLAN-Werkzeug zur Analyse eines WLAN’s kennen lernen.

Bei dieser Aufgabe werden die Kennwerte eines bestehenden WLAN-Netzwerkes ermittelt. Dazu wird das Netzwerk analysiert, d.h., es sollen vorhandene Accesspoints erkannt und deren Einstellungen wie Kanalwahl oder Verschlüsselungstyp bestimmt werden. Weiter wird die Funkabdeckung ermittelt, d.h. die Stärke des Funksignals an verschiedenen Positionen im Gebäude.

Auftrag: Erstellen Sie eine Dokumentation zu einem bestehenden WLAN-Netzwerk, aus dem folgendes ersichtlich ist:

  • Grafische Darstellung der WLAN Abdeckung
  • Positionen aller Access Points
  • Einstellungen der Access Points

Arbeiten Sie in 2er-Gruppen (max. eine 3er-Gruppe). Sie benötigen ein Notebook pro Gruppe. Verwenden Sie für das Ausmessen des Netzwerkes das Freeware Tool Heat Mapper von Ekahau (http://www.ekahau.com). Es ist eines der wenigen Freeware WLAN Vermessungstools. Den TBZ-Gebäudegrundriss können sie hier downloaden: TBZ_Grundriss.jpg

4.4 WLAN projektieren

Der Landgasthof «Zum Wehlan» soll neu mit WLAN ausgerüstet werden, damit die Gäste des Restaurants mit ihren WLAN-fähigen Notebooks, iPads und Smartphones auf Internet und Mails zugreifen können.

Es sollen folgende Bereiche erschlossen werden:

  • Das Funkenstübli
  • Die gedeckte und geschlossene Veranda (Wintergarten)
  • Die Terrasse (offene Gartenterrasse)

Erwartetes Resultat: Die WLAN-Abdeckung soll möglichst optimal erfolgen. D.h. die Positionen der Access-Points, sowie Antennentypen sollen so gewählt werden, dass an den genannten Orten der Funkempfang optimal ist und gleichzeitig vermieden wird, dass «fremde Ohren» Gelegenheit erhalten, mitzuhören. Die Konfigurationen der Access-Point’s sollen für einen optimalen Betrieb ausgelegt sein.

Aufgabe: Arbeiten Sie in 2er-Gruppen (max. eine 3er-Gruppe). Erstellen Sie ein Konzept für die WLAN-Ausrüstung für den Gasthof «Zum Welahn» mit folgenden Teilaufgaben:

  • Bestimmen Sie die optimalsten Standorte für die Access-Point’s und zeichnen sie diese auf dem Gebäudegrundriss ein
  • Bestimmen Sie die für diese Aufgabe am besten geeigneten Antennentypen
  • Evaluieren Sie die entsprechenden Geräte und erstellen Sie eine Materialliste mit Kostenübersicht
  • Definieren Sie alle notwendigen Konfigurationseinstellungen für die Access-Point’s

Abgabe: Auf dem BSCW als PDF-Datei.


5. VLAN

5.1 Repetition: Warum Subnetting?

5.2 Verschiedene Anforderungen an ein Netzwerk

Je nach Situation in einer Firma (Örtlichkeiten, Raum- und Arbeitsplatzkonzept - Büronomaden, Sicherheitsbedürfnisse etc.) kann folgendes erwünscht sein:

  • Flexibilität (1)(2)(3) bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung (2)(3)(5): Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung (4) von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren(3): Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit (3)(5) ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

Die allenfalls konventionelle Lösung

Entweder mit hohem Verkabelungsaufwand verbunden oder schlicht nicht umsetzbar:

Die Lösung mit VLANs

VLANs (Virtual Local Area Networks) unterteilen ein bestehendes einzelnes physisches Netzwerk in mehrere logische Netzwerke. Jedes VLAN bildet dabei eine eigene Broadcast-Domain. Eine Kommunikation zwischen zwei unterschiedlichen VLANs ist nur über einen Router möglich, der an beide VLANs angeschlossen ist. VLANs verhalten sich also so, als ob sie jeweils mit eigenen, voneinander unabhängigen Switchen aufgebaut wären.

5.3 VLAN-Theorie Kontrollfragen

Überprüfen sie ihre Theoriekenntnisse und recherchieren sie allenfalls zu den folgenden Themen:

  1. Warum erstellt man Subnetze (Subnetting)?
  2. Welchen Vorteil bietet ein geswitchtes LAN gegenüber einem LAN mit Hub’s?
  3. Auf welchem OSI-Layer arbeitet ein normaler Switch?
  4. Kann ich mehrere Subnetze über einen normalen, nicht VLAN-fähigen Switch führen?
  5. Switches können mit MAC-Flooding und MAC-Spoofing angegriffen werden. Welche Gefahr besteht darin?
  6. Nennen Sie Gründe, ein physikalisches LAN in virtuelle Netzte aufzuteilen.
  7. Darf ein VLAN Netzwerk als «Sicher» eingestuft werden?
  8. Was versteht man unter «Portbasiertem VLAN»?
  9. Was versteht man unter «Tagged VLAN»?
  10. Wann begegnet man «Portbasiertem VLAN»?
  11. Welche Argumente sprechen für «Tagged VLAN»?
  12. Was ist der Unterschied zwischen einem VLAN-Trunkport und einem normalen Accessport?
  13. Was ist den bezüglich «Flexibilität» eigentlich der Vorteil von VLAN’s bzw. VLAN-fähigen Switchs, wenn man bedenkt, dass es schlussendlich ja auch möglich ist, an einen normalen Switch mehrere Subnetze anzuschliessen? (Ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7)

5.4 VLAN: Portbasiert (Untagged) und Tagged

Zeichen Sie die VLAN's und PC's in das Schema ein. Die Variante 1 als reine portbasierte VLAN Umsetzung (ohne Tagging/VLAN-Trunk), die Variante 2 mit einem VLAN-Trunk zwischen den Switchs (mit Tagging):

5.5 VLAN-Praxisarbeit mit realer HW

  • Dauer: ca. 2½ Lektionen
  • Dokumentation der Arbeiten: Schriftliche Zusammenfassung für das persönliche ePortfolio.

Für die folgende Praxisarbeit erhalten sie pro Arbeitsgruppe (4 bis 6 Personen):     (je nach Verfügbarkeit NETGEAR oder CISCO)

  • NETGEAR GS105SE (Business ProSafe Serie, 5-Port Gigabit, Web-Managed Switch)
    Damit sie diesen Switch konfigurieren können, müssen sie das «Netgear ProSafe Plus» Konfigurationsprogramm herunterladen und installieren. Starten sie anschliessend das Konfigurationsprogramm und überprüfen sie die Version der installierten Firmware. Handelt es sich dabei um die aktuelle? Falls nicht, aktualisieren sie diese. Sie haben sicher auch schon das Benutzerhandbuch des GS105SE heruntergeladen und darin fleissig gelesen?
    NetgearGS105E.pdf (Manual)
    NetgearProSavePlus.zip (Software)
  • CISCO SG200-08 (Gigabit Smart Switch, 8-Port, Web-Managed Switch)
    Dieser Switch benötigt keine Installations-SW. Setzen sie zuerst die Switch-Konfiguration mit dem Reset-Knopf (rechte Seite, mind. 10 Sek. gedrückt halten) auf die Werkseinstellungen zurück. Danach erreichen sie das Webinterface des Switchs mit ihrem Webbrowser auf der IP-Adresse 192.168.1.254/24. Benutzername und Passwort für das Login lauten je "cisco". Schalten Sie alle Funktionen ab, die sie nicht benötigen. Die weiteren Einstellungen sollten selbsterklärend sein. Falls nicht, laden sie auf der cisco-Webseite die Bedienungsanleitung herunter. Allenfalls ist auch die Firmware zu aktualisieren.
    CISCO_SG200_08.pdf (Manual)
  • UBIQUITI EdgeRouterX (Gigabit Ethernet-Router mit VLAN, VPN etc.)
    EdgeRouterX.pdf (Manual)
    EdgeSwitch Inter VLAN Routing (Anleitung als PDF)
    EdgeRouter on a Stick (Anleitung als PDF)

Der Auftrag:

Pro Gruppe soll folgendes Netzwerk mit den zwei VLAN-fähigen Switch's erstellt werden:

Bemerkung: Die vorliegenden Switch's können jeden Port unterschiedlich, d.h. «tagged» oder «untagged» betreiben.

Jede Gruppe benötigt für jedes VLAN die entsprechend konfigurierten Notebooks oder virtuelle Maschinen (z.B. vmWare). Die Netzwerkeinstellungen sollten nach erfolgreich absolviertem M117 und M129 keine Mühe bereiten. Klären sie ab, ob ihre Notebook-Netzwerkkarte VLAN (nach IEEE 802.1Q) unterstützt. Allenfalls muss der Netzwerkkartentreiber erneuert werden.

  • Konfigurieren sie nun die beiden Switch's mit den geforderten «tagged» und «untagged» VLAN-Ports.
  • Dokumentieren sie den Netzwerkaufbau, insbesondere die Switchbelegung.
    (Logisches Layout, Skizze des Geräts mit den eingezeichneten Port’s inkl. Angaben über VLAN-ID bzw. Tagged/Untagged-Eigenschaft)
  • Überprüfgen sie ihren Netzwerkaufbau, indem sie z.B. die Geräte gegenseitig anpingen. (Allenfalls Firewall temporär deaktivieren)
  • Analysieren sie auf einem VLAN-fähigen Notebook mit Wireshark ein Ethernet-Paketheader mit einem VLAN-Tag.
  • Was würde benötigt, damit Notebook-1 mit 10.0.5.10/24 den Notebook-2 mit 10.0.6.11/24 erreichen könnte?

Was wird in Ihrem ePortfolio erwartet:

  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, VLAN-ID's.
  • Konfiguration des Switchs (Portbelegung, VLAN-ID, Tagged/untagged etc.)
  • Switch-Konfigurationsfile
  • Switch-Installationsbeschreibung

Zusatzauftrag:

Ersetzen sie den VLAN-Switch Nr.1 oder Nr.2 durch einen UBIQUITI EdgeRouterX. Konfigurieren sie den Router so, dass sich die beiden Netze 10.0.5.0/24 und 10.0.6.0/24 gegenseitig erreichen. Ein Ethernetport des Routers ist dabei als VLAN-Trunk einzurichten. Dokumentieren sie die Konfiguration (Netzwerkdokumentation) und beschreiben sie auch stichwortartig ihre Arbeitsschritte.

Was wird in Ihrem ePortfolio erwartet:

  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, VLAN-ID's.
  • Konfiguration des Switchs (Portbelegung, VLAN-ID, Tagged/untagged etc.)
  • Konfiguration des Routers (Portbelegung, Routingtabelle etc.)
  • Switch-Konfigurationsfile
  • Router-Konfigurationsfile
  • Router-Installationsbeschreibung

Abkürzungen:

  • LAG: Link Aggregation Group (In dieser Übung kein Thema!)
  • PVID: Port VLAN ID
  • VLT: VLAN Trunk

HINWEIS: Den Notebook VLAN-fähig machen:

  • In der Systemsteuerung die Netzwerkverbindungen öffnen (cmd: ncpa.cpl)
  • Netzwerkadapter auswählen.
  • Eigenschaften öffnen.
    (Netzwerk - Verbindung herstellen über: Sollte etwas anzeigen wie z.B. Intel(R) Ethernet Connection I219-LM)
  • Konfigurieren wählen.
    (Falls ihre Netzwerkkarte VLANs unterstützt, wird hier das Register «VLANs» angezeigt. Wenn nicht, muss eine neue Treiber-SW installiert werden. Siehe z.B. Intel Downloadcenter.)
  • VLAN-ID eingeben.
  • Sollte ihr Notebook kein VLAN unterstützen und sie wollen auch keine neuen Treiber installieren, ist z.B. vmWare empfohlen. Dort sind virtuelle Netzwerkkarten eingerichtet, die VLAN-Tagging ohne weiteres Zutun anbieten.

6. VPN

6.1 Die Gefahr aus dem Internet

  • Wo lauert Gefahr im Internet? Erstellen sie dazu eine Auflistung. Was könnten die Gegenmassnahmen sein?
  • Die Bedürfnisse: SITE-to-SITE: Geschäftsstellennetzwerke verbinden. Bsp.: Verschiedene Firmenstandorte vernetzen
    SITE-to-END: Externer Rechner mit Firmennetzwerk verbinden. Bsp.: Remoteverwaltung, Homeoffice
    END-to-END: Zwei Rechner miteinander verbinden. Bsp.: Netzwerkverwaltung im Intranet, Sichere Webseite mit HTTPS

  • Die Lösung: • Verbinden von zwei privaten Netzwerken über ein drittes Netzwerk (meistens Internet)
    • Die entstehende Verbindung entspricht einem direkten Netzwerkanschluss
    VPN ist ein reines SW-Produkt

6.2 VPN-Theorie erarbeiten

Erarbeiten sie die Theorie und recherchieren sie zu folgenden Themen: ((Sie finden z.B. auf dieser Webseite die entsprechenden Theoriebeiträge)

  • Unterschied zwischen Transport- und Tunnelmodus
  • IPsec mit AH oder ESP
  • SW-Tools: Es stehen einige SW-Produkte zur Verfügung. Finden sie heraus wo die folgenden Tools sie unterstützen können und wo diese erhältlich sind:
    (Die Liste ist übrigens nicht abschliessend. Sie dürfen sie gerne mit Produkten ergänzen, die sie kennen oder sogar bereits einsetzten)
    • MS-Windowseigene Tools (Bordmittel)
    • OpenVPN
    • OpenSSH
    • PuTTY
    • pfSense
    • STUNNEL
    • Shrew-Soft VPN-Client

6.3 VPN-Praxis mit «MS-WINDOWS»

Sie sollen eine VPN-Verbindung zwischen zwei virtuellen Windows-PC’s erstellen. (WIN10) Die beiden Stationen befinden sich im gleichen Subnetz. Wählen Sie eine geeignete IP-Adressierung. (Achtung: Verwenden Sie kein DHCP auf den Clients)

Beschriften Sie das obige Schema mit Netzadressen, Netzmasken und Hostadressen und zeichnen Sie den VPN-Tunnel ein.

An den PC’s:

  • Erkundigen sie sich, welche VPN-Tools, auch WIN-onBoard-Tools, in Frage kommen
  • Richten Sie eine VPN-Verbindung zwischen zwei VM’s ein
  • Überprüfen sie die VPN-Verbindung mit Dateifreigaben
  • Dokumentieren sie die VPN-Konfiguration und Test’s inbesondere alle die von ihnen gewählten Einstellungen
  • Überprüfen bzw. analysieren sie mit einem dritten PC und Wireshark die VPN-Verbindung

Anleitung zu «VPN unter WIN10 einrichten»
Microsoft's Windows ermöglicht es ihnen, ihr Rechner als VPN-Client einzurichten. Sie können ihr Rechner aber auch als VPN-Server konfigurieren, wobei sie externen PC’s die Möglichkeit geben, per VPN auf ihr Gerät zuzugreifen. Um einen Missbrauch durch Dritte zu vermeiden, wird empfohlen, einen neuen Benutzer für die eingehende VPN-Verbindung einzurichten. Auf beiden Maschinen soll darum ein User «test» ohne Administratorenrechte erstellt werden.

Im folgenden die Installationsschritte für zwei VM’s mit vorgegebenen IP’s
(Passen sie die IP-Adressen in diesem Konfigurationsbeispiel ihren Bedürfnissen an)

Server: 10.0.0.1/24

  • «Netzwerk- und Freigabe-Center/Adaptereinstellungen ändern», oder direkt
    via Konsole: «ncpa.cpl»
  • Menüleiste (Mit Alt-Taste sichtbar machen): Datei/Neue eingehende Verbindung
  • Wer darf mit diesem Computer eine Verbindung eingehen: <Ihr lokaler User>
  • Über das Internet
  • An den Protokollen nichts ändern
  • Danach Fenster schliessen

Anschliessend in «Eingehende Verbindungen/Eigenschaften/Netzwerk/Internetprotokoll, Version4 (TCP/IPv4)/Eigenschaften»:

  • IP-Adressen angeben: Von z.B. 10.0.0.99 bis 10.0.0.199 (Achtung: Nur Adressen verwenden, die nicht bereits intern genutzt werden)
  • Option «Aufrufendem Computer Angabe der eigenen IP-Adresse gestatten»
  • Firewalleinstellungen beachten! (Allenfalls Firewall temporär ausschalten)

Client: 10.0.0.2/24

  • Im Netzwerk- und Freigabe-Center «Neue Verbindung oder neues Netzwerk einrichten»
  • Verbindung mit dem Arbeitsplatz herstellen
  • Die Internetverbindung (VPN) verwenden
  • Eine Internetverbindung wird später eingerichtet
  • Internetadresse: 10.0.0.1
  • Zielname: z.B. TBZ-VPN-Verbindung
  • Firewalleinstellungen beachten! (Allenfalls Firewall temporär ausschalten)

Überprüfung über «Netzwerk- und Freigabe-Center/Adaptereinstellungen ändern», oder direkt via Konsole: «ncpa.cpl»

  • Es erscheint neu: «TBZ-VPN-Verbindung»
  • Auf «TBZ-VPN-Verbindung» klicken und «TBZ-VPN-Verbindung» Verbinden User: «Ihr lokaler User» mit Passwort eingeben
  • ipconfig zeigt nun sowohl auf VPN-Server wie auch VPN-Client jeweils zwei IPv4-Adressen
    • Serverseitig: 10.0.0.1 und 10.0.0.99
    • Clientseitig: 10.0.0.2 und 10.0.0.100
  • Auf dem VPN-Server wird in Netzwerkverbindungen eine eingehende
    Verbindung angezeigt
  • Auf dem VPN-Client zeigt der Explorer unter Netzwerk die VPN-Verbindung an
    Erstellen sie auf dem Server einen Ordner und geben sie diesen Ordner frei (Ordnernetzwerkfreigabe). Überprüfen sie im «Netzwerk- und Freigabecenter» unter «Erweiterte Freigabeeinstellung ändern», ob die Freigabe richtig konfiguriert wurde
  • Sie können nun auf dem VPN-Client diese Freigabe überprüfen:
    Zum einen ohne VPN über «\\10.0.0.1\meineFreigabe» und zum anderen über die VPN-Verbindung «\\10.0.0.99\meineFreigabe»

Zur Erinnerung: «\\10.0.0.1\meineFreigabe» ist ein sogenannter UNC-Pfad (Uniform Naming Convention)

Was wird in Ihrem ePortfolio erwartet:

  • Um welche VPN-Variante handelt es sich hier? (Site-to-Site / End-to-Site / End-to-End) Inkl. Begründung!
  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, WAN-Adressen, VPN-Tunnel etc.
  • Installationsbeschreibung

6.4 VPN-Gateway Praxis mit realer HW»

Die Aufgabe besteht darin, zwei LAN’s über eine WAN-Strecke zu verbinden und ein als Home-Office genutzter WIN-PC über das Internet in das Firmennetzwerk einzubinden. Dazu sollen sie VPN-Tunnels einrichten, betreiben und analysieren.
Protokollieren bzw. dokumentieren sie die Arbeitsschritte, die Konfiguration und das Testen in einem Lernjournal und laden sie dieses anschliesend auf den Abgabeorder der Schule hoch. Sie arbeiten in 3-er Teams und übernehmen eine dieser drei Funktionen:

  • Funktion1: LAN1-Teilnehmer
  • Funktion2: LAN2-Teilnehmer
  • Funktion3: WAN-Sniffer

Für diese Übung werden ihnen vom Dozenten IP-Adressbereiche zugewiesen. Sämtliche IP-Adressen sind statisch zu konfigurieren. Es werden virtuelle Rechner eingesetzt.

Es stehen jeder Gruppe zwei VPN-fähige Multiport-Router vom Typ Ubiquiti EdgeRouterX als VPN-Gateway zur Verfügung. Dazu folgende zwei Hinweise:
Vergewissern sie sich, dass auf beiden Geräten die aktuelle Firmware installiert ist. Diese Router unterstützten bisher mit IPsec nur Site-to-Site Verbindungen. Bei End-to-Site müsste man auf das unsichere PPTP zurückgreifen, worauf wir in dieser Übung aber verzichten werden.

Der VPN-Gateway ist als VPN-Tunnel mit IPsec konfiguriert. Für beide VPN-Gateway gilt: eth0 = WAN und eth1 = LAN

Analysieren sie die IPsec-Parameter dieser VPN-Verbindung. (Welche Parameter wären übrigens alternativ möglich?)

  • Description: MYVPN
  • Encryption: AES-128
  • Hash: SHA-1
  • DH-Group: 14 (Diffie-Hellmann-Group)
  • Pre-shared secret: password

Aufträge:

  • Nehmen sie das Netzwerk in Betrieb
  • LAN1-Teilnehmer kommuniziert mit LAN2-Teilnehmer z.B. mit Dateifreigaben oder ping, wobei gleichzeitig der WAN-Sniffer mit Wireshark die IP-Pakete im WAN untersucht (IPsec-Parameter studieren)
  • Ein Home-Office-Mitarbeiter (gemäss Bild oben) möchte sein PC als VPN-Client in LAN1 betreiben: Erklären sie das Vorgehen, die möglichen Protokolle und welche SW dazu angeboten wird und nehmen sie einen solchen Home-Office-Arbeitsplatz in Betrieb
  • Hier noch die ultimative Frage: Warum müssen sich die über VPN verbundenen LAN’s in verschiedenen Sunetzen befinden?

Was wird in Ihrem ePortfolio erwartet:

  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, WAN-Adressen, VPN-Tunnel etc.
  • Konfiguration des Routers (Portbelegung, Routingtabelle etc.)
  • Router-Konfigurationsfile
  • Router-VPN-Installationsbeschreibung

6.5 Demo-Setup mit UBIQUITI EdgeRouter ER-X für eine Site-to-Site VPN-Verbindung mit IPsec

This is a School-demo-setup from JuergArnold for UBIQUITI EdgeRouter ER-X. For productive implementations, more effort is required e.g. Reasonable firewall-settings, DHCP and possibly NAT.

Requirements:

  • Firmware: EdgeRouter-X v1.9.1.1
  • VPN-Site-to-Site with IPsec for school demonstration. The configuration should be done exclusively via the EdgeMax-Webinterface.

Note:

  • LAN1 (Site1) must be a subnet other than LAN2 (Site2), otherwise it will not be routed

Terms:

  • VPN-Gateway LAN IP = LAN-side VPN-Gateway-IPAdress
  • VPN-Gateway "Local IP": WAN IP on "my" side (Official EdgeMAX naming)
  • VPN-Gateway "Peer IP": WAN IP on the "other" side (Official EdgeMAX naming)
  • "Local Subnet": LAN Networkadress on "my" side (Official EdgeMAX name)
  • "Remote Subnet": LAN Networkadress on the "other" side (Official EdgeMAX naming)
  • Static IP: Fixed IP-Adress (The "opposite" of dynamic- or IP-Adress-distribution with DHCP)

Installation-Steps:

  1. Reset the ER-X Device
  2. ER-X Basic-Setup
    WAN:eth0 LAN:eth1-eth4
    Static IP for EdgeMax-Webinterface
    No DHCP (In this case not required)
    It enforces you to enter Gateway and DNS, just do it
  3. ER-X reboot and Ethernetcabel connect to eth1
    (Take care of the adequate IP adress on your Admin-PC)
  4. ER-X-System: Delete Gateway and DNS entry
  5. ER-X VPN-Configuration (IPsec Site-to-Site):
    Peer IP (whitout Subnetmask, although an entry would NOT be denied)
    Local IP whitout Subnetmask
    Pre-shared secret: like a password, same on both VPN-Gateways
    Local subnet and Remote subnet: With Subnetmasks
  6. Prepare a PC in each LAN
    Static IP according to ER-X Local Subnet Settings
    Make sure, the Standardgateway (Router) of the PC is the IP-Adress of the VPN-Gateway (Local Subnet IP)
    Pay attention, the firewall will ignore ICMP-Commands like ping (Turn off the firewall temporarily)
  7. To establish a VPN connection, you have to ping a PC in the remote-LAN
    Only now, the VPN-Gateway will show "VPN-Status UP"
  8. Testing of the VPN-connection
    ping VPN-Gateway-Local-IP to VPN-Gateway-Peer-IP
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN1)
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN2)
    ping PC (LAN1) to PC (LAN2)
    ...and reverse directions

7. WAN

7.1 WAN-Theorie erarbeiten

Erarbeiten sie die Theorie und recherchieren sie zu folgenden Themen: (Sie finden z.B. auf dieser Webseite die entsprechenden Theoriebeiträge)

  • Wie unterscheiden sich WAN und LAN? Stichwort: «Weltweit», «Lokal begrenzt», «Langsam», «Schnell», «Privates Gebiet», «Öffentliches Gebiet»
  • Was versteht man unter «Last Mile» und welche Technologien kommen dort zum Einsatz?
  • Was bedeutet PoP?
  • Was bedeutet MPLS, PDH und SDH und wo wird es verwendet?
  • Was ist der Unterschied zwischen dem Core-Network und dem Access-Network?
  • Was versteht man unter SONET und welche Datenraten sind zu erwarten?
  • Was für eine Verbindungsart würden Sie empfehlen, wenn die Verbindung nur selten gebraucht wird und keine hohe Anforderung an die Übertragungsgeschwindigkeit gestellt wird?

7.2 WAN-Dienstleister evaluieren

Da es schwierig ist, von Anbietern auf dem WAN-Markt wie z.B. Swisscom, Sunrise, Salt, UPC, British Telecom etc. konkrete Angebote für LAN-to-LAN Verbindungen zu erhalten – die Mitbewerber lassen sich nur ungern in die Karten schauen – können sie hier ein anonymisiertes Musterangebot für eine LAN-Interconnection herunterladen: Standortverbindung.pdf. Sie dürfen aber auch gerne selber auf dem Internet nach Angeboten suchen.

Es soll ein Geschäftsanschluss (KMU) realisiert werden, um zwei Firmen-Standorte zu verbinden (LAN-to-LAN Interconnection). Beantworten sie dazu die folgenden Fragen:

  • Welche Bandbreite kann erwartet werden, was wird zugesichert?
  • Unsere Büros sind auf Schloss Kyburg bei Winterthur. Ist der Service dort auch verfügbar?
  • Unser Partnerbüro steht in Paris, am Boulevard Saint-Germain. Wie sieht es dort aus?
  • Auf welchen Termin steht die Leitung?
  • Was wird es einmalig, was monatlich kosten?
  • Was ist die max. monatliche Ausfallszeit/Verfügbarkeit?
  • Gibt es Support bei der Inbetriebnahme der Dienste?
  • Welche Geräte muss ich als Kunde selber anschaffen und was wird geliefert?
  • Welcher Support 7h/24h/Telefon/vorOrt wird geboten?
  • Besteht bei Leitungsausfall Redundanz?
  • Was ist sonst noch von Interesse?

7.3 Projektarbeit «Copperlaw»

  • Dies ist eine bewertete Projektarbeit
  • Arbeiten in 2-er Gruppen – Bei ungerader Schüleranzahl eine Dreiergruppe
  • Dauer 3 Lektionen
  • Abgabe auf den Schulabgabeordner

Auftrag

Sie sind der Boss der Firma «STARWIRE». Ihre Firma beschäftig sich mit der Projektierung von IT-Netzwerken.

Sie haben soeben einen grösseren Netzwerkauftrag von der Firma «COPPERLAW» erhalten. Sie dürfen dabei netzwerktechnisch auf der «grünen Wiese» beginnen. Das heisst, dass sie keine «Vorgeschichte» mit zu berücksichtigen haben. (Für Server und PC’s/Notebooks ist übrigens ein anderes IT-Unternehmen zuständig)

Sie können davon ausgehen, dass das Gebäude der Firma «COPPERLAW» für eine universelle Gebäudeverkabelung UGV vorbereitet ist. D.h. die Ethernetverbindungen von den Arbeitstischen (RJ45-Steckdosen) zum Serverraum (Patchpanel) existieren bereits.

Ihre Arbeiten

  • Vorgehen nach IPERKA
  • Abklärungen bzw. Analyse der auftraggebenden Firma wie Anzahl Mitarbeitende, Abteilungen, Sicherheitsbedürfnisse etc.
  • Informieren auf dem Anbietermarkt von IT-HW und Diensten
    (Ein Angebot eines WAN-Dienstleisters haben sie bereits in der vorangegangenen Übung erhalten)
  • Subnetting ausarbeiten und IP-Adressen, Netzwerkmasken, Broadcastadressen und Netzwerkadressen angeben (Sie müssen hier keine Routingtabellen erstellen)
  • Bandbreitenabschätzung der Datenmenge Inhouse bzw. Datentransfer Zürich-London
  • Physikalisches und logisches Layout inkl. den Access-Point-Standorten
  • LAN-to-LAN Interkonnektivität in das logisches Design einzeichnen und den WAN-Zugang definieren
  • WAN-Dienste beschreiben (PoP, Standleitung, Internet, Sicherheit, QoS etc.)
  • WLAN-Konzept (Kanal, SSID etc.)
  • HW-Evaluation (Switches, AP’s Router etc.)

Ihr Auftraggeber, die Firma «COPPERLAW»

«COPPERLAW» ist eine Zürcher Unternehmensberatung mit Geschäftszweig in London. Die Firma ist mit Mandaten von schweizerischen und angelsächsischen Versicherungs- und Finanzdienstleistungsunternehmen betraut. Ihr oberstes Gebot ist «Diskretion», sowohl innerhalb wie auch ausserhalb der Firma. Die Firma ist ein typischer Bürobetrieb. Somit bewegen sich die Datenvolumen im normalen Rahmen. Am Hauptsitz in Zürich arbeiten 58 Personen. Die Londoner Filiale beschäftigt rund 51 Personen. Das Personal arbeitet an verkabelten PC’s. Für Tablets und Smartphones von Mitarbeitern und Gästen soll ein Gäste-WLAN eingerichtet werden. Dies darf aus Sicherheitsgründen nicht für produktives Arbeiten mit Notebooks verwendet werden und muss in einem separaten Netzwerk (eigene Netzwerkadresse) liegen.

Belegschaft und Abteilungen der Firma «COPPERLAW»
(Hinweis: Es ist jeweils eine Personal-Reserve von 10% einzuplanen)

  • Stabsdienste (16 Personen in Zürich, 15 Personen in London)
  • Finanzsektor (22 Personen in Zürich, 19 Personen in London)
  • Versicherungssektor (20 Personen in Zürich, 17 Personen in London)

Räumlichkeiten der Firma «COPPERLAW»

  • Die Firma verfügt an beiden Standorten (Zürich und London) identische Bürogebäude

(Grafik: Das baugleiche Stockwerk am Standort Zürich und London. Dieses Bild für die Dokumentation bzw. das physikalische Design/Verkabelungsplan verwenden - Rechtsklick / Grafik speichern unter...)

Netzwerkvorgaben und Mengengerüst für die Firma «COPPERLAW»

  • Für den Internetzugang am Standort Zürich wurde bereits die fixe IP 62.202.33.57/26 gebucht
  • Für den Standort London die fixe IP 139.59.67.22/26
  • Zürich-London: LAN-to-LAN Interconnection über WAN
  • DHCP-Server und Datenserver jeweils in Zürich und London
  • Das Datenarchiv ist in Zürich
  • Jede Abteilung erhält sein eigenes Subnetz
  • Es ist ein Gäste-WLAN-AP vorzusehen und so zu platzieren, dass überall Empfang ist
  • Die Benutzerverwaltung wird mit Directory Services bzw. Microsoft Activ Directory zentral gelöst
  • Die Firma bearbeitet an jedem Standort täglich ein Datenvolumen von max. 1GB, hauptsächlich in Form von Korrespondenz und Projektpapieren (Zwischen Zürich und London ist mit täglich ca. 10GB Datentransfer zu rechnen)
  • Sicherungskopien und Backup’s werden an beiden Standorten separat erstellt
  • Wichtige Geschäftsakten gemäss gesetzlicher Aufbewahrungspflicht werden in Zürich archiviert – Dazu werden von diesen Daten in Zürich täglich inkrementelle und wöchentliche Fullbackups erstellt (Die dabei zu erwartende Datenmenge zwischen London und Zürich beträgt für das wöchentliche Fullbackup ca. 30GB. Die inkrementellen Backups jeweils ca. 15% davon)
  • Mitarbeiter, insbesondere Aussendienstmitarbeiter, sollen auch ausserhalb der Büros einen sicheren Zugriff auf die Firmenserver haben, damit z.B. Home-Office möglich ist

Prüfung Nr. 1

(Diese Prüfung steht leider nur den Lernenden von Jürg Arnold an der TBZ-IT zur Verfügung!)