Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
Prof. Dr. Volkmar Langer 
Florian Schimanke 
Dieses Werk i...
Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
6.1 Hubs, Switches 
Prof. Dr. Volkmar Langer 
Florian Schi...
Kopplungselemente 
• Layer 1: Repeater/Hubs 
• Verbindung physikalischer Segmente 
• „Auffrischung“ des Ursprungssignals 
...
Repeater und Hubs 
• Eingesetzt, um Längenrestriktionen zu überwinden 
• arbeiten auf OSI Layer 1, Bitübertragungsschicht ...
Kollisionsdomäne
Switches 
Port MAC 
C3 00-40-05-88-96-A1 
C14 00-20-05-84-96-82 
A1 00-20-28-84-DC-8B 
A1 00-20-AD-67-5B-12 
Port C3 Port ...
Kollisionsdomänen mit Switch
Switches und Broadcast 
ARP-Request 
Layer 2 Broadcast: 
FF-FF-FF-FF-FF-FF
Switches und Broadcast Domains 
Host B 
10.1.1.6/24 
Host A 
10.1.1.5/24 
1 2
Zwei getrennte Broadcast Domains 
Host A 
10.1.1.5/24 
Host B 
10.1.1.6/24 
1 2
Verbindung von Broadcast Domains 
Host A 
10.1.1.1/24 
Host B 
10.1.2.1/24 
1 2 
IP-Adressraum-Änderung!
Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
6.2 VLANs 
Prof. Dr. Volkmar Langer 
Florian Schimanke
Klassiche LAN-Segmentierung 
LAN 1 
LAN 2 
LAN 3 
2. Stock 
1. Stock 
Erdgeschoss
VLAN-Segmentierung 
VLAN 1 VLAN 2 VLAN 3 
2. Stock 
1. Stock 
Erdgeschoss
VLAN-Konfiguration 
• Statische VLANs 
– Portbasierte oder portbezogene VLAN-Zuordnung. 
Netzadministratoren weisen einzel...
VLAN-Tagging 
• 802.1Q Standard (VLAN) 
VLAN „Tags“ 
Destination 
MAC address 
4 bytes 
Source 
MAC address 
Rest of the 
...
Inter-VLAN-Kommunikation 
Wenn die Hosts an einem Switch unterschiedlichen IP-Netzen 
angehören, sollte man zu den verschi...
Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
6.3 Spanning Tree 
Prof. Dr. Volkmar Langer 
Florian Schim...
Spanning Tree Protokoll (STP) 
• Ethernet kennt keine Zyklen/Schleifen 
• immer Punkt-zu-Punkt Verbindungen oder BUS-Struk...
STP-Konzept 
Switch A Switch B
STP Schritt 1: alle Ports geblockt 
• Im ersten Schritt zu einer schleifenfreien Topologie gehen alle Ports in 
den Blocki...
STP Schritt 2: Root Bridge Election 
Alle Switches versetzen ihre aktiven Ports in den Blocking-Modus 
• Jeder STP Switch ...
STP Schritt 3: Root Port Election 
In diesem Beispiel 
hat jede Verbindung 
die Kosten 5 
• Jeder Switch kummuliert über d...
STP Schritt 4: Forwarding 
Root 
Root 
port 
Root 
port 
Root 
port Root 
port 
• Jeder Port der Root ist im Forwarding Mo...
STP im Redundanzfall 
Root 
Root 
port 
Root 
port 
Root 
port 
Designated 
ports 
• Wenn eine offene Verbindung unterbroc...
Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
6.4 IP Routing 
Prof. Dr. Volkmar Langer 
Florian Schimank...
Routing 
Host A 
10.1.1.5/8 
Host B 
192.168.1.2/24 
Wie komme ich von A nach B?
Routing-Verfahren 
statisch dynamisch 
distance vector 
älter, für kleine Netzwerke 
z.B. RIP, IGRP, RTMP 
link state 
jün...
Statisches Routing 
• Manuelle Konfiguration der Routen durch den 
Administrator 
 Probleme: 
 Ausfall von Knoten/Verbin...
Dynamisches Routing 
• Automatisierte Konfiguration der Routen durch 
Routingprotokolle: 
• Routing Information Protocol (...
Distance Vector Protokolle 
• Jeder Router sendet die ihm bekannten Informationen 
(komplette Routingtabelle) an seine dir...
Link State Protokolle 
• Jeder Router verfügt über komplexe Datenbank mit 
Topologie-Informationen zum AS (SPF-Baum) 
• Je...
Routing und TTL 
• Sie bekommen die Meldung “TTL expired in transit“ 
- Was ist passiert?
Routing zwischen VLANs 
Welche PC Default Gateways wohin? 
VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 
Legend...
Routing über „Transfersegmente“ 
Welche Routen sind notwendig? 
VLAN 2 VLAN 3 
Legende 
Hosts im Bereich 10.1.2.1-10.1.2.2...
Routing - Zusammenfassung 
Host A 
10.1.1.5/8 
Host B 
192.168.1.2/24 
Wie komme ich von A nach B?
Vernetzte IT-Systeme 
6. Internetworking – Kopplung von Netzen 
6.5. Einführung in die Netzwerksicherheit 
Prof. Dr. Volkm...
Sicherheitsmaßnahmen 
• Firewalls 
– Paketfilter 
– Stateful Inspection 
– Demilitarized Zone (DMZ) 
– Intrusion Detection...
Firewalls 
• Paketfilter (Access Control Lists) 
– Ein- und Ausgangsverkehr wird auf Basis von IP-Adressen und der 
verwen...
Netzwerksicherheit – Firewalls allein?
VPN – Virtual Private Network 
VPN Tunnel 
LAN A 
LAN B 
Internet 
VPN Gateway 
VPN Gateway
Bauliche Maßnahmen 
• Zutrittskontrolle 
– Schließlösungen 
– Schlüsselvergabe 
– Wer darf in welche Bereiche? 
• Schützen...
Verschlüsselung – Beispiel WLAN 
1. Verhindern des Zugangs zu einem WLAN 
• WLANs sind anders als kabelgebundene Netze nic...
Verschlüsselungsarten 
1. Passwort- bzw. Schlüsselgebundene Verfahren 
• WEP 
• WPA 
• WPA2 
2. Zertifikatsgebundene Verfa...
BYOD und Netzwerksicherheit 
• Neue Herausforderungen für die Netzwerksicherheit durch 
die Nutzung von privaten Geräten i...
Quellenhinweise 
[1] J. Scherff: Grundkurs Computernetze. Eine kompakte Einführung in die 
Netzwerk- und Internet-Technolo...
Nächste SlideShare
Wird geladen in …5
×

VIT 6-2014

1.367 Aufrufe

Veröffentlicht am

Foliensatz 6 - Grundlagenmodul "Vernetzte IT-Systeme" zum Kurs: https://www.youtube.com/playlist?list=PLUmJBq0_Gyrj2Bgnx_MoL37oFTj3KlQpR

Veröffentlicht in: Bildung
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.367
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
15
Aktionen
Geteilt
0
Downloads
66
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

VIT 6-2014

  1. 1. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen Prof. Dr. Volkmar Langer Florian Schimanke Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
  2. 2. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen 6.1 Hubs, Switches Prof. Dr. Volkmar Langer Florian Schimanke
  3. 3. Kopplungselemente • Layer 1: Repeater/Hubs • Verbindung physikalischer Segmente • „Auffrischung“ des Ursprungssignals • Vergrößerung von Kollisionsdomänen • Layer 2: Bridges/Switches • Verbindung von Segmenten • Bildung von mehreren Kollisionsdomänen • Weiterleitungsentscheidung auf Basis von MAC-Adressen • Layer 3: Router • Verbindung von Netzen • Bildung von Broadcastdomänen • Weiterleitungsentscheidung auf Basis von IP-Adressen
  4. 4. Repeater und Hubs • Eingesetzt, um Längenrestriktionen zu überwinden • arbeiten auf OSI Layer 1, Bitübertragungsschicht • alle Teilnehmer teilen sich die verfügbare Bandbreite • heute kaum noch von Bedeutung • Achtung Kollisionsdomänen  Signallaufzeiten!  „5-4-3 Regel“
  5. 5. Kollisionsdomäne
  6. 6. Switches Port MAC C3 00-40-05-88-96-A1 C14 00-20-05-84-96-82 A1 00-20-28-84-DC-8B A1 00-20-AD-67-5B-12 Port C3 Port C14 Port A1 Port A2 Port C4 Port MAC C4 00-20-28-84-DC-8B D14 00-20-AD-67-5B-12 A2 00-40-05-88-96-A1 A2 00-20-05-84-96-82 Port D14 A B 00-40-05-88-96-A1 00-20-05-84-96-82 00-20-28-84-DC-8B 00-20-AD-67-5B-12
  7. 7. Kollisionsdomänen mit Switch
  8. 8. Switches und Broadcast ARP-Request Layer 2 Broadcast: FF-FF-FF-FF-FF-FF
  9. 9. Switches und Broadcast Domains Host B 10.1.1.6/24 Host A 10.1.1.5/24 1 2
  10. 10. Zwei getrennte Broadcast Domains Host A 10.1.1.5/24 Host B 10.1.1.6/24 1 2
  11. 11. Verbindung von Broadcast Domains Host A 10.1.1.1/24 Host B 10.1.2.1/24 1 2 IP-Adressraum-Änderung!
  12. 12. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen 6.2 VLANs Prof. Dr. Volkmar Langer Florian Schimanke
  13. 13. Klassiche LAN-Segmentierung LAN 1 LAN 2 LAN 3 2. Stock 1. Stock Erdgeschoss
  14. 14. VLAN-Segmentierung VLAN 1 VLAN 2 VLAN 3 2. Stock 1. Stock Erdgeschoss
  15. 15. VLAN-Konfiguration • Statische VLANs – Portbasierte oder portbezogene VLAN-Zuordnung. Netzadministratoren weisen einzelne Switchports bestimmten VLANs zu. Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit seines Switchports an. • Dynamische VLANs – Zentrale Managementstation im Netzwerk. Netzadministratoren hinterlegen eine Zuordnung von MAC-Adressen zu VLANs. Der an den Switch angeschlossene Client nimmt die VLAN-Zugehörigkeit auf Basis seiner MAC-Adresse an.
  16. 16. VLAN-Tagging • 802.1Q Standard (VLAN) VLAN „Tags“ Destination MAC address 4 bytes Source MAC address Rest of the Original Packet VLAN ID (12 bits) Priority (4 bits) (16 bits) Originales ungetagtes Paket. Tag zum Paket hinzufügen. Paket weiterleiten. Getagtes Paket. Tag vom Paket entfernen. Paket weiterleiten. Ungetagtes Paket. Host A VLAN 10 10.1.1.1/24 Host B VLAN 10 10.1.1.2/24
  17. 17. Inter-VLAN-Kommunikation Wenn die Hosts an einem Switch unterschiedlichen IP-Netzen angehören, sollte man zu den verschiedenen Adressbereichen virtuelle LANs (VLAN) definieren. Legende Hosts im Bereich 10.1.2.1-10.1.2.254/24 Hosts im Bereich 10.1.3.1-10.1.3.254/24 VLAN Trunk (2, 3) VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 Jedes VLAN stellt eine eigene Broadcastdomäne dar!
  18. 18. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen 6.3 Spanning Tree Prof. Dr. Volkmar Langer Florian Schimanke
  19. 19. Spanning Tree Protokoll (STP) • Ethernet kennt keine Zyklen/Schleifen • immer Punkt-zu-Punkt Verbindungen oder BUS-Strukturen • Schleifen sind Designfehler, da Broadcasts nie ein terminierendes Ziel erreichen • Problem: Broadcast Storms • Lösung: IEEE 802.1d (Spanning Tree)
  20. 20. STP-Konzept Switch A Switch B
  21. 21. STP Schritt 1: alle Ports geblockt • Im ersten Schritt zu einer schleifenfreien Topologie gehen alle Ports in den Blocking Modus. Normaler Datenverkehr findet nicht statt.
  22. 22. STP Schritt 2: Root Bridge Election Alle Switches versetzen ihre aktiven Ports in den Blocking-Modus • Jeder STP Switch generiert BPDUs und sendet sie an allen Ports heraus. Die BPDUs werden von jedem Switch aktualisiert und dann weitergeleitet. • Nach 30 Sekunden wird ein Switch zur Root-Bridge (Wurzel) des Spanning-Tree-Baums. Nur die Root-Bridge sendet weiterhin BPDUs.
  23. 23. STP Schritt 3: Root Port Election In diesem Beispiel hat jede Verbindung die Kosten 5 • Jeder Switch kummuliert über die BPDUs die Pfadkosten zur Root-Bridge. • Jeder Switch bestimmt den Port mit den geringsten Pfadkosten zur Root und blockt die anderen Ports Root
  24. 24. STP Schritt 4: Forwarding Root Root port Root port Root port Root port • Jeder Port der Root ist im Forwarding Modus. • Der Root Port eines jeden Switches ist im Forwarding Modus. • Jede Backup Verbindung eines jeden Switches ist im Blocking Modus. Designated ports
  25. 25. STP im Redundanzfall Root Root port Root port Root port Designated ports • Wenn eine offene Verbindung unterbrochen ist, bestimmt der Switch über die konstant gesendeten Hello-Messages einen anderen Port als Root Port. • Fällt die Root aus, organisiert sich der ganze Baum durch die Auswahl einer neuen Root neu.
  26. 26. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen 6.4 IP Routing Prof. Dr. Volkmar Langer Florian Schimanke
  27. 27. Routing Host A 10.1.1.5/8 Host B 192.168.1.2/24 Wie komme ich von A nach B?
  28. 28. Routing-Verfahren statisch dynamisch distance vector älter, für kleine Netzwerke z.B. RIP, IGRP, RTMP link state jünger, für große Netzwerke z.B. OSPF, NLSP, IS-IS manuell Kosten-/ Sicherheitsaspekte z.B. Static Route, Default Route
  29. 29. Statisches Routing • Manuelle Konfiguration der Routen durch den Administrator  Probleme:  Ausfall von Knoten/Verbindungen  neue Knoten/Verbindungen  dynamische Änderung der Verbindungskosten (Lastverteilung)  Nur das eigene Autonome System (AS) ist bekannt
  30. 30. Dynamisches Routing • Automatisierte Konfiguration der Routen durch Routingprotokolle: • Routing Information Protocol (RIP) – ist ein Protokoll basierend auf den Entfernungsvektoren der Netze zueinander (Distance Vector Protocol). Es ist für kleinere Netze geeignet. • Open Shortest Path First (OSPF) – ist ein Protokoll basierend auf dem Zustand der Verbindung zwischen den Netzen zueinander (Link State Protocol). Es ist für komplexe Netze geeignet.
  31. 31. Distance Vector Protokolle • Jeder Router sendet die ihm bekannten Informationen (komplette Routingtabelle) an seine direkten Nachbarn • Jeder Router fügt seine eigenen Informationen hinzu und leitet sie weiter • Die Routing-Tabellen enthalten Informationen über die gesamten, durch Metriken definierten Pfadkosten • Probleme: Langsame Konvergenz, Counting to Infinity
  32. 32. Link State Protokolle • Jeder Router verfügt über komplexe Datenbank mit Topologie-Informationen zum AS (SPF-Baum) • Jeder Router verfügt über spezifische Informationen über entfernte Netze und Router • Verwendung von Link-State-Advertisements (LSAs) zum Austausch von Routinginformationen und zum Aufbau der topologischen Datenbank
  33. 33. Routing und TTL • Sie bekommen die Meldung “TTL expired in transit“ - Was ist passiert?
  34. 34. Routing zwischen VLANs Welche PC Default Gateways wohin? VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 VLAN 2 VLAN 3 Legende Hosts im Bereich 10.1.2.1-10.1.2.254 Hosts im Bereich 10.1.3.1-10.1.3.254 10.1.2.254 10.1.3.254 GW: 10.1.3.254 GW: 10.1.2.254
  35. 35. Routing über „Transfersegmente“ Welche Routen sind notwendig? VLAN 2 VLAN 3 Legende Hosts im Bereich 10.1.2.1-10.1.2.254 Hosts im Bereich 10.1.3.1-10.1.3.254 192.168.1.x /30 .1 .2
  36. 36. Routing - Zusammenfassung Host A 10.1.1.5/8 Host B 192.168.1.2/24 Wie komme ich von A nach B?
  37. 37. Vernetzte IT-Systeme 6. Internetworking – Kopplung von Netzen 6.5. Einführung in die Netzwerksicherheit Prof. Dr. Volkmar Langer Florian Schimanke
  38. 38. Sicherheitsmaßnahmen • Firewalls – Paketfilter – Stateful Inspection – Demilitarized Zone (DMZ) – Intrusion Detection/Protection Systems • VPN • Anti-Viren-Maßnahmen • Anti-Spam-Maßnahmen • Authentifizierungsmaßnahmen • Verschlüsselung • … • Bauliche Maßnahmen
  39. 39. Firewalls • Paketfilter (Access Control Lists) – Ein- und Ausgangsverkehr wird auf Basis von IP-Adressen und der verwendeten Ports analysiert und verarbeitet • Stateful Inspection – Ähnlich wie Paketfilter, allerdings basierend auf dem Zustand einer Verbindung und nur ausgehend vom anfordernden Host • DMZ – Ein durch zwei oder mehr Firewalls abgegrenzter Bereich, in dem sich bestimmte Dienste oder Funktionen befinden • Intrusion Detection/Protection Systems – Erkennung von Einbruchsversuchen und deren automatisierte Abwehr, z.B. durch Unterbrechung des Datenstroms
  40. 40. Netzwerksicherheit – Firewalls allein?
  41. 41. VPN – Virtual Private Network VPN Tunnel LAN A LAN B Internet VPN Gateway VPN Gateway
  42. 42. Bauliche Maßnahmen • Zutrittskontrolle – Schließlösungen – Schlüsselvergabe – Wer darf in welche Bereiche? • Schützenswerte Gebäudeteile – Serverräume und Datenarchive sollten nicht in gefährdeten Bereichen untergebracht sein (z.B. Keller oder unterhalb von Flachdächern  Gefährdung durch eindringendes Wasser) • Brandschutz – Brandschutzwände und –türen – Brandmeldeanlagen – Selbstlöschanlagen mit CO2 – Rauchverbot
  43. 43. Verschlüsselung – Beispiel WLAN 1. Verhindern des Zugangs zu einem WLAN • WLANs sind anders als kabelgebundene Netze nicht durch bauliche Maßnahmen vor unberechtigten Zugang zu schützen 2. Verhindern des unbeabsichtigten Zugangs zu einem fremden Netzwerk • Ist der Schlüssel unbekannt, kann ein Nutzer nicht aus Versehen in ein fremdes Netzwerk gelangen und sich dort angreifbar machen 3. Authentifizierung kann auf zwei Arten erfolgen 1. Passwort / Schlüssel 2. Zertifikat
  44. 44. Verschlüsselungsarten 1. Passwort- bzw. Schlüsselgebundene Verfahren • WEP • WPA • WPA2 2. Zertifikatsgebundene Verfahren • Zertifikat einer vertrauenswürdigen Einrichtung muss auf dem Client installiert sein und mit dem Zertifikat des jeweiligen Netzwerks übereinstimmen Die Sicherheit des WLANs wird vor allem durch die Wahl des Netzwerkschlüssels bestimmt!
  45. 45. BYOD und Netzwerksicherheit • Neue Herausforderungen für die Netzwerksicherheit durch die Nutzung von privaten Geräten im Firmennetz – Virenschutz – Malware – … • MDM (Mobile Device Management) – Zentrale Verwaltung und Steuerung aller mobilen Endgeräte im Netzwerk • NAC (Network Access Control) – Zugriff auf das Netzwerk, Ressourcen und Dienste auf Basis verschiedener Richtlinien und Restriktionen BYOD benötigt neue Strategien für die Netzwerksicherheit!
  46. 46. Quellenhinweise [1] J. Scherff: Grundkurs Computernetze. Eine kompakte Einführung in die Netzwerk- und Internet-Technologien, 2., überarbeitete und erweiterte Auflage 2010, Wiesbaden: Vieweg + Teubner Verlag. [2] L.L. Peterson, B.S. Davie: Computernetze – Eine systemorientierte Einführung, dpunkt.verlag Heidelberg, 2008 [3] Tanenbaum, Andrew S.: Computernetzwerke. 4., überarb. Aufl., [4. Nachdr.]. München: Pearson-Studium (InformatikNetzwerke), 2007 [4] Cisco Networking Academy Program, 1. und 2. Semester CCNA, 3. Auflage, Markt und Technik Verlag, München, 2007 [5] Cisco Academy @ HSW: https://www.hsw-elearning.de/cisco/, 2013 August 2014

×