Begleitmaterial zum Unterricht M145 «VLAN - Virtual Local Area Network»

Logische Teilnetze in physischen Netzwerken

1. Einleitung

Eine kurze Repetition:

Spezielle Bedürfnisse:

  • Flexibilität (1)(2)(3) bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung (2)(3)(5): Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung (4) von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren(3): Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit (3)(5) ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

Die Lösung ???

Die Lösung !!!

VLANs (Virtual Local Area Networks) unterteilen ein bestehendes einzelnes physisches Netzwerk in mehrere logische Netzwerke. Jedes VLAN bildet dabei eine eigene Broadcast-Domain. Eine Kommunikation zwischen zwei unterschiedlichen VLANs ist nur über einen Router möglich, der an beide VLANs angeschlossen ist. VLANs verhalten sich also so, als ob sie jeweils mit eigenen, voneinander unabhängigen Switchen aufgebaut wären.

2. VLAN-Theorie Kontrollfragen

Überprüfen sie ihre Theoriekenntnisse und recherchieren sie allenfalls zu den folgenden Themen:

  1. Warum erstellt man Subnetze (Subnetting)?
  2. Welchen Vorteil bietet ein geswitchtes LAN gegenüber einem LAN mit Hub’s?
  3. Auf welchem OSI-Layer arbeitet ein normaler Switch?
  4. Kann ich mehrere Subnetze über einen normalen, nicht VLAN-fähigen Switch führen?
  5. Switches können mit MAC-Flooding und MAC-Spoofing angegriffen werden. Welche Gefahr besteht darin?
  6. Nennen Sie Gründe, ein physikalisches LAN in virtuelle Netzte aufzuteilen.
  7. Darf ein VLAN Netzwerk als «Sicher» eingestuft werden?
  8. Was versteht man unter «Portbasiertem VLAN»?
  9. Was versteht man unter «Tagged VLAN»?
  10. Wann begegnet man «Portbasiertem VLAN»?
  11. Welche Argumente sprechen für «Tagged VLAN»?
  12. Was ist der Unterschied zwischen einem VLAN-Trunkport und einem normalen Accessport?
  13. Was ist den bezüglich «Flexibilität» eigentlich der Vorteil von VLAN’s bzw. VLAN-fähigen Switchs, wenn man bedenkt, dass es schlussendlich ja auch möglich ist, an einen normalen Switch mehrere Subnetze anzuschliessen? (Ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7)

3. VLAN-Praxisarbeiten

3.1 VLAN: Portbasiert (Untagged) und Tagged

Zeichen Sie die VLAN's und PC's in das Schema ein. Die Variante 1 als reine portbasierte VLAN Umsetzung (ohne Tagging/VLAN-Trunk), die Variante 2 mit einem VLAN-Trunk zwischen den Switchs (mit Tagging):

3.2 VLAN-Praxisarbeit mit realer HW

  • Dauer: ca. 2½ Lektionen
  • Dokumentation der Arbeiten: Schriftliche Zusammenfassung für das persönliche ePortfolio.

Für die folgende Praxisarbeit erhalten sie pro Arbeitsgruppe (4 bis 6 Personen):     (je nach Verfügbarkeit NETGEAR oder CISCO)

  • NETGEAR GS105SE (Business ProSafe Serie, 5-Port Gigabit, Web-Managed Switch)
    Damit sie diesen Switch konfigurieren können, müssen sie das «Netgear ProSafe Plus» Konfigurationsprogramm herunterladen und installieren. Starten sie anschliessend das Konfigurationsprogramm und überprüfen sie die Version der installierten Firmware. Handelt es sich dabei um die aktuelle? Falls nicht, aktualisieren sie diese. Sie haben sicher auch schon das Benutzerhandbuch des GS105SE heruntergeladen und darin fleissig gelesen?
    NetgearGS105E.pdf (Manual)
    NetgearProSavePlus.zip (Software)
  • CISCO SG200-08 (Gigabit Smart Switch, 8-Port, Web-Managed Switch)
    Dieser Switch benötigt keine Installations-SW. Setzen sie zuerst die Switch-Konfiguration mit dem Reset-Knopf (rechte Seite, mind. 10 Sek. gedrückt halten) auf die Werkseinstellungen zurück. Danach erreichen sie das Webinterface des Switchs mit ihrem Webbrowser auf der IP-Adresse 192.168.1.254/24. Benutzername und Passwort für das Login lauten je "cisco". Schalten Sie alle Funktionen ab, die sie nicht benötigen. Die weiteren Einstellungen sollten selbsterklärend sein. Falls nicht, laden sie auf der cisco-Webseite die Bedienungsanleitung herunter. Allenfalls ist auch die Firmware zu aktualisieren.
    CISCO_SG200_08.pdf (Manual)
  • UBIQUITI EdgeRouterX (Gigabit Ethernet-Router mit VLAN, VPN etc.)
    EdgeRouterX.pdf (Manual)
    EdgeSwitch Inter VLAN Routing (Anleitung als PDF)
    EdgeRouter on a Stick (Anleitung als PDF)

Der Auftrag:

Pro Gruppe soll folgendes Netzwerk mit den zwei VLAN-fähigen Switch's erstellt werden:

Bemerkung: Die vorliegenden Switch's können jeden Port unterschiedlich, d.h. «tagged» oder «untagged» betreiben.

Jede Gruppe benötigt für jedes VLAN die entsprechend konfigurierten Notebooks oder virtuelle Maschinen (z.B. vmWare). Die Netzwerkeinstellungen sollten nach erfolgreich absolviertem M117 und M129 keine Mühe bereiten. Klären sie ab, ob ihre Notebook-Netzwerkkarte VLAN (nach IEEE 802.1Q) unterstützt. Allenfalls muss der Netzwerkkartentreiber erneuert werden.

  • Konfigurieren sie nun die beiden Switch's mit den geforderten «tagged» und «untagged» VLAN-Ports.
  • Dokumentieren sie den Netzwerkaufbau, insbesondere die Switchbelegung.
    (Logisches Layout, Skizze des Geräts mit den eingezeichneten Port’s inkl. Angaben über VLAN-ID bzw. Tagged/Untagged-Eigenschaft)
  • Überprüfgen sie ihren Netzwerkaufbau, indem sie z.B. die Geräte gegenseitig anpingen. (Allenfalls Firewall temporär deaktivieren)
  • Analysieren sie auf einem VLAN-fähigen Notebook mit Wireshark ein Ethernet-Paketheader mit einem VLAN-Tag.
  • Was würde benötigt, damit Notebook-1 mit 10.0.5.10/24 den Notebook-2 mit 10.0.6.11/24 erreichen könnte?

Was wird in Ihrem ePortfolio erwartet:

  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, VLAN-ID's.
  • Konfiguration des Switchs (Portbelegung, VLAN-ID, Tagged/untagged etc.)
  • Switch-Konfigurationsfile
  • Switch-Installationsbeschreibung

Zusatzauftrag:

Ersetzen sie den VLAN-Switch Nr.1 oder Nr.2 durch einen UBIQUITI EdgeRouterX. Konfigurieren sie den Router so, dass sich die beiden Netze 10.0.5.0/24 und 10.0.6.0/24 gegenseitig erreichen. Ein Ethernetport des Routers ist dabei als VLAN-Trunk einzurichten. Dokumentieren sie die Konfiguration (Netzwerkdokumentation) und beschreiben sie auch stichwortartig ihre Arbeitsschritte.

Was wird in Ihrem ePortfolio erwartet:

  • Logischer Netzwerkplan mit Hostnamen, LAN-Adressen, VLAN-ID's.
  • Konfiguration des Switchs (Portbelegung, VLAN-ID, Tagged/untagged etc.)
  • Konfiguration des Routers (Portbelegung, Routingtabelle etc.)
  • Switch-Konfigurationsfile
  • Router-Konfigurationsfile
  • Router-Installationsbeschreibung

Abkürzungen:

  • LAG: Link Aggregation Group (In dieser Übung kein Thema!)
  • PVID: Port VLAN ID
  • VLT: VLAN Trunk

HINWEIS: Den Notebook VLAN-fähig machen:

  • In der Systemsteuerung die Netzwerkverbindungen öffnen (cmd: ncpa.cpl)
  • Netzwerkadapter auswählen.
  • Eigenschaften öffnen.
    (Netzwerk - Verbindung herstellen über: Sollte etwas anzeigen wie z.B. Intel(R) Ethernet Connection I219-LM)
  • Konfigurieren wählen.
    (Falls ihre Netzwerkkarte VLANs unterstützt, wird hier das Register «VLANs» angezeigt. Wenn nicht, muss eine neue Treiber-SW installiert werden. Siehe z.B. Intel Downloadcenter.)
  • VLAN-ID eingeben.
  • Sollte ihr Notebook kein VLAN unterstützen und sie wollen auch keine neuen Treiber installieren, ist z.B. vmWare empfohlen. Dort sind virtuelle Netzwerkkarten eingerichtet, die VLAN-Tagging ohne weiteres Zutun anbieten.

Musterlösungen zu 2. VLAN-Theorie Kontrollfragen

  1. Warum erstellt man Subnetze (Subnetting)?
    Die IP-Adresse mit seinen 32 Bit lässt theoretisch 4'294'967'296 unterschiedliche Adressen zu. Gäbe es kein Subnetting und möchte nun z.B. Host-A den Host-Z erreichen, wären vom generierten Datenverkehr 4'294'967'294 unbeteiligte Host's betroffen. Ausserdem bewirkt jeder weitere sendewillige Teilnehmer eine proportional reduzierte Bandbreite. (Stichworte: Broadcast, CSMA/CD, Bandbreitenreduktion). Es liegt also nahe, das Netzwerk in Bereich aufzuteilen (Subnetting) und die Bereiche mit Routern zu verbinden, die wissen, in welche Richtung erhaltene Datenpakete weitergeleitet werden müssen. Der einzelne Router muss dabei nicht das ganze Netzwerk kennen. Pakete mit ihm unbekannten Zieladressen leitet er an den nächsten Router (Default-Route) weiter. Allerdings sollten die Default-Routen so eingerichtet werden, dass Datenpakete nicht im Kreise herum geschickt werden.
  2. Welchen Vorteil bietet ein geswitchtes LAN gegenüber einem LAN mit Hub’s?
    Im Gegensatz zu Hub’s arbeiten Switch’s im Normalfall kollisionsfrei. D.h. zwei verbundene Teilnehmer bilden eine Kollisionsdomäne, was eine höhere Performance zur Folge hat.
  3. Auf welchem OSI-Layer arbeitet ein normaler Switch?
    ISO-OSI-Layer2 (Sicherungsschicht/Data-Link-Layer).
  4. Kann ich mehrere Subnetze über einen normalen, nicht VLAN-fähigen Switch führen?
    Ja, ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7.
  5. Switches können mit MAC-Flooding und MAC-Spoofing angegriffen werden. Welche Gefahr besteht darin?
    Ein Switch speichert in seiner Source Address Table (SAT) alle MAC-Adressen innerhalb seines Netzwerksegments. Beim Flooding-Angriff werden massenhaft Datenpakete mit verschiedenen z.T. gefälschten MAC-Adressen (Mac-Spoofing) eingeschleust und somit der interne Speicher überfüllt. Nun arbeitet der Switch im «Failopen Mode» und verschickt Pakete wie beim Hub an alle und ermöglicht somit das Mitschneiden des Datenverkehrs (Sniffing).
  6. Nennen Sie Gründe, ein physikalisches LAN in virtuelle Netzte aufzuteilen.
    • Jedes Datenendgerät kann unabhängig von seinem Standort in eine Broadcastdomäne hinzugefügt werden. Früher war dies von der Verkabelung abhängig.
    • Priorisierung von Datenverkehr.
    • Broadcastdomäne klein halten.
  7. Darf ein VLAN Netzwerk als «Sicher» eingestuft werden?
    VLAN bietet zwar eine bessere Absicherung der Datenströme vor unerlaubtem Zugriff (Sniffing) wie normale Switches. Trotzdem lassen sich Switches auf zahlreichen Wegen kompromittieren und müssen somit als unsicher eingestuft werden. Wirkliche Sicherheit bieten nur Verschlüsselungsverfahren wie IPsec.
  8. Was versteht man unter «Portbasiertem VLAN»?
    Statische Zuteilung der Port’s zu einem VLAN-Segment am VLAN-Switch.
  9. Was versteht man unter «Tagged VLAN»?
    Durch eine Markierung des Datenpakets, üblicherweise auf Layer2 im Ethernetframe, ist dieses einem VLAN-Segment zugeordnet. Tagged bedeutet Markiert. IEEE 802.1QVLAN- Tag.
  10. Wann begegnet man «Portbasiertem VLAN»?
    • Der VLAN-fähige Switch unterstützt noch kein «Tagged VLAN» weil er älterer Bauart ist.
    • Es handelt sich um ein preisgünstiges Modell, wo auf die komplexere Elektronik für «Tagged VLAN» verzichtet wurde.
    • Man möchte ein energiesparsames und kleines Gerät einsetzen.
    • Wenn das LAN nur ein Switch enthält, genügt portbasiertes VLAN.
  11. Welche Argumente sprechen für «Tagged VLAN»?
    Wenn sich VLAN’s über mehrere Switches erstrecken, müssen die Datenpakete getaggt sein. Somit trägt das Datenpaket quasi in sich mit, welchem VLAN (VLAN-ID) es angehört. Die meisten aktuellen Geräte können mit Tagged Paketen umgehen.
  12. Was ist der Unterschied zwischen einem VLAN-Trunkport und einem normalen Accessport?
    Ein Trunkport ist in der Lage, den Datenverkehr für jedes oder alle VLAN’s zu übertragen, die von einem bestimmten Switch aus erreichbar sind. Dies im Gegensatz zu einem Access-Port, der nur den Datenverkehr eines jeweils zugewiesenen VLAN’s überträgt. Ein Trunk-Port markiert Frames bei der Übertragung zwischen Switches mit identifizierenden Tags, damit jeder Frame zu seinem VLAN geroutet werden kann. Access-Ports verteilen keine solchen Tags, da ihr VLAN vorher zugewiesen wurde und eine Identifizierung damit überflüssig ist.
    Vorsicht: Unter Trunk kann auch das Bündeln mehrerer Übertragungskanälen verstanden werden.
  13. Was ist den bezüglich «Flexibilität» eigentlich der Vorteil von VLAN’s bzw. VLAN-fähigen Switchs, wenn man bedenkt, dass es schlussendlich ja auch möglich ist, an einen normalen Switch mehrere Subnetze anzuschliessen? (Ein Switch arbeitet ja bekanntlich protokolltransparent für OSI-Layer 3-7)
    Mehrere Subnetze über einen normalen Switch bedeutet: Die Netze sind nicht physikalisch getrennt und Broadcasts (z.B. DHCP-Broadcasts) gehen an alle angeschlossenen Rechner, unabhängig davon, welchem IP-Netz sie angehören. Bei VLAN ist eine physikalische Trennung gewährleistet, was fremde Broadcast’s abhält und bezüglich Sicherheit eine Verbesserung darstellt: Physikalisch nicht getrennte Netze laufen Gefahr, nach einem MAC-Flooding-Angriff auf den Switch, der diesen in den Failopen-Modus und Hub-Verhalten zwingt, mit Network-Sniffern wie z.B. Wireshark ausgehorcht zu werden.

Musterlösung zu 3.1 VLAN: Portbasiert (Untagged) und Tagged

Zeichen Sie die VLAN's und PC's in das Schema ein:

  • Verbindung der zwei VLANs der beiden physischen Switch’s über ein einzelnes Kabel. Auf diesem Kabel (Trunk) kommen VLAN Tags zum Einsatz (IEEE 802.1q).