Salt-Orchtestrated Software Defined (Freifunk) Networks - Service-Provider-Ne...
20181018 stp
1. Mitschrift
Höhere technische Bundeslehr- und Versuchsanstalt Villach
Ausbildungszweig
Informationstechnologie – Netzwerktechnik
Mitschrift Übung
Erstellt von
Samira Buttazoni
03
am 21.10.2018
Betreut und beurteilt von
Prof. DI Jessner Hermann
3. NWTK Labor
Samira Buttazoni Seite 3
1. Übungen zu den Switch Grundlagen 13.09.2018
Aufbau des NWs, Konfigurationen müssen am Cisco Router und am Cisco Switch
vorgenommen werden.
Der Cisco Router fungiert für die PCs als DHCP Server.
Die PCs bekommen vom DHCP Server eine valide IP Adresse.
4. NWTK Labor
Samira Buttazoni Seite 4
Das Interface vom Router, welches mit dem Cisco Switch verbunden ist.
Am Router wird Nat aktiviert und den PCs den Zugang ins Internet zu gewähren.
Die PCs kommen ins Internet.
Die Nat translations table zeigt dass NAT funktioniert.
5. NWTK Labor
Samira Buttazoni Seite 5
Die erste ACL soll PC1 den Zugang zum Schulnetzwerk gewähren, ins Internet soll
er jedoch nicht kommen.
6. NWTK Labor
Samira Buttazoni Seite 6
2. Switch Grundlagen und Sicherheit 20.09.2018
Aufbau des NWs
2.1. Verifying default switch-config
- Wie viele und welche INT hat der Switch?
24 Fast Ethernet und 2 Gigabit Ethernet Interfaces
- Status der VTY?
Offline
- Was ist das und wie viele VTY-Interfaces hat der Switch?
Virtual teletype is a command line interface created in a router used to
facilitate a connection via telnet.
16 VTY Interfaces
- Besitzt der Switch eine IP-Adresse? Welche?
Der Switch besitzt noch keine IP Adresse
- Welche MAC-Adresse hat das virtuelle Interface?
- Wozu braucht man dieses?
- Ist es funktionsfähig?
- Welche IP-Eigenschaften besitzt es?
- Welches IOS läuft auf dem Switch (Version, Imagefile)?
Cisco Internetwork Operating System Software
C3500XL-C3H2S-M 12.0 (5)WC17
ImageFile: flash:c3500xl-c3h2s-mz.120-5.WC17.bin
- Welche Eigenschaften hat das 0/4-Interface?
- Up? Mac-Adresse? Speed? Duplex-Settings?
Port Status VLAN Duplex Speed Type
Fa0/4 Connected
(up)
1 A-Full A-100 100BaseTX/FX
7. NWTK Labor
Samira Buttazoni Seite 7
2.2. Basic Switch Configuration
Layer 3 Address des Switched und Default Gateway.
Die IP Adresse wir dem defautl management vlan 1 zugewiesen.
Die angeschlossenen PCs müssen statisch ins selbe NW eingetragen werden, da
kein DHCP Server konfiguriert ist.
Für Console und VTY werden Passwörter gegen unerlaubten Zugriff gesetzt.
Für Int0/1 wird Port Speed und Duplex Eigenschaften konfiguriert
8. NWTK Labor
Samira Buttazoni Seite 8
‘Message of the day‘ wird konfiguriert und beim Reload angezeigt.
Um auf das Web Interface des Switches zu kommen muss erst der Router als http
Server fungieren.
9. NWTK Labor
Samira Buttazoni Seite 9
2.3. Managing the mac-address-table
Der Ping zum Management VLAN (vlan 1) funktioniert.
In der MAC-address-table sieht man die Einträge. Die 2 dynamisch gelernten MAC
Adressen sind sie der angeschlossenen PCs. Weiters gibt es 51 system self
addresses.
Show mac-address-table dynamic zeigt die dynamisch gelernten MAC Adressen.
10. NWTK Labor
Samira Buttazoni Seite 10
Bei show mac-address-table gibt es verschiedene Optionen
Löscht man die mac-address-table, sind die dynamisch gelernten Adressen sofort
wieder eingetragen da der Switch sie sofort wieder erkennt und einträgt.
Steckt man den PC ab, also bekommt der Switch von einer MAC Adresse keine
Meldungen, wird diese MAC Adresse nach einer bestimmten Zeit aus der mac-
address-table gelöscht.
Diese Zeit (aging-time) kann man beliebig verändern (seconds)
11. NWTK Labor
Samira Buttazoni Seite 11
Wird der PC an einen anderen konfigurierten Port angesteckt ist der Ping durchaus
möglich, das die mac-address-table die Veränderung merkt und in die tabelle
einträgt.
12. NWTK Labor
Samira Buttazoni Seite 12
2.4. Port Security
Dem Interface fa0/1 wird statisch die MAC Adresse des angeschlossenen PCs
zugeordnet.
In dieser Tabelle werden alle Port Security Maßnahmen angeführt.
In der mac-address-table ist dieser Eintrag jetzt statisch.
PC1 kann den Switch ohne Probleme pingen.
13. NWTK Labor
Samira Buttazoni Seite 13
Vertauscht man die beiden PCs und steckt PC2 an int fa0/1 an, funktioniert ein Ping
nicht, da die MAC Adresse nicht der einzigen erlaubten entspricht.
Folge: Das Interface shutted down
Nur eine MAC Adresse zu erlauben macht jedoch nur Sinn wenn man sich sicher ist,
dass diese sich sehr selten bis garnicht ändert. Beispiel dafür wäre ein
angeschlossener Server.
Bei normalen Switchports, wo sich PCs beliebig zustecken können ist sowas eher
selten von Vorteil.
Persistent MAC learning, also known as sticky MAC, is a port security feature that
enables an interface to retain dynamically learned MAC addresses when the switch is
restarted or if the interface goes down and is brought back online.
Bei einer Violation gibt es 2 Möglichkeiten.
14. NWTK Labor
Samira Buttazoni Seite 14
Werden die beiden PCs jetzt vertauscht, lernt der Switch die Adresse des PC2s, der
sich gerade an int fa0/1 angeschlossen hat. Diese wird dann als statische Adresse
eingetragen. Beide PCs können den Switch pingen, da an int fa0/4 keine port
security vorliegt und an int fa0/1 de richtige Mac Adresse pingt.
Werden die beiden PCs wieder zurückgetauscht, kann PC1 das int fa0/1 nicht
anpingen, da dieses noch an die MAC Adresse des PC2 gebunden ist (sticky).
Wird die Mac-address-table anschließend gelöscht und bildet sich neu, nimmt int
fa0/1 als sticky mac wieder die, die gerade angeschlossen ist, also wieder die des
PC1.
Wird PC1zu einem anderen Port gesteckt, können sich die PCs problemlos pingen,
da die port-security nur am int fa0/1 liegt.
15. NWTK Labor
Samira Buttazoni Seite 15
3. Protokollanalyse 27.09.2018
Aufgabe:
Baut ein einziges „großes“ geswitchtes Netzwerk auf, wobei jeder PC auf
einem eigenen Switch hängen soll. Verwendet, wenn möglich die
Ethernetverbindungen und eventuell den bereitgestellten Hub für einzelne
Übungsaufgaben. Realisiert eine funktionsfähige Internetverbindung.
3.1. Grundfunktionen Wireshark
Beim Starten von Wireshark wird man gefragt, welchen NW Adapter man
untersuchen will.
In unserem Fall wird Ethernet ausgewählt, da ich darüber mit dem Switch und so mit
allen anderen PCs verbunden bin.
Bei Wireshark sieht man den gesamten Netzwerkverkehr.
16. NWTK Labor
Samira Buttazoni Seite 16
Durch Filtern kann man die Anzeige beschränken.
Man kann auf Protokolle, IP Destinatio und Source Adressen und Lenght filtern.
Um Anzeigefilter vorzufertigen, kann man eigene Filter schreiben. Diese erscheinen
dann unter ‘Filter anwenden‘.
Dieser selbst angelegte Filter zeigt Netzwerkverkehr, der die IP Adresse 192.168.1.3
(eigener PC) als Source oder Destination IP Adresse hat.
17. NWTK Labor
Samira Buttazoni Seite 17
Mitschnittfiltern filten den Netzwerkverkehr der aufgezeichnet wird, in diesem Fall
wird alles aufgezeichnet, was über den Ethernet Adapter und der Source bzw
Destination Adresse 192.168.1.3 entspricht.
Speichert man die Aufzeichnung, sieht man im File nur jene, die dem Mitschnittfilter
entsprechen.
18. NWTK Labor
Samira Buttazoni Seite 18
3.2. TCP/IP Grundprotokolle
Bei einem Filetransfer zwischen 2 PCs muss zuerst ein Ordner erstellt werden auf
den ein anderer PC Zugriff hat. Dieser Ordner wurde am Desktop erstellt.
Wireshark zeichnet den Zugriff auf den Desktop auf.
Die Kommunikation zwischen den PCs wird aufgezeichnet, man sieht immer Request
und Respone zwischen den Rechnern, am Ende sieht man das neue File am
Desktop.
Bei einem Webseitenaufruf, also einen Webserverzugriff über http, wird der gesamte
Ablauf festgehalten.
19. NWTK Labor
Samira Buttazoni Seite 19
Beim Login auf den FTP Server wird das Password in Klartext angezeigt.
Am PC wird eine Datei auf den FTP Server kopiert.
Und in Wireshark wird dies mitprotokolliert.
Wird online ein Formular ausgefüllt, sieht man die benötigten TCP Pakete und den
Austausch bzw die Kommunikation zwischen PC und Server (Protocol: TLS)
20. NWTK Labor
Samira Buttazoni Seite 20
3.3. Einfache Switchingprotokolle 04.10.2018
Alle 2 Sekunden werden BPDUs gesendet.
Drinnen stehen Daten wie Ports, Adressen, Costs, die Route Bridge...
Liste der Layer 2 Protokolle.
21. NWTK Labor
Samira Buttazoni Seite 21
3.4. Telnet
Um eine Telnet Verbindung aufzubauen, muss erst am Switch vty konfiguriert
werden.
Beim Einloggen sieht man die Kommunkation zwischen dem Switch und dem PC.
Sieht man sich die Daten genauer an, sieht man welche Daten in diesem Paket
genau sind.
Jeder Schritt im Telnet Prozess wird einzeln als Data verpackt.
Sieht man sich also die Pakete einzeln an, kann man sich das Passwort
zusammenstoppeln.
22. NWTK Labor
Samira Buttazoni Seite 22
Einfacher ist das aber über die Option “Follow the Stream“, der den Datenverkehr
auswertet und zusammenfasst. Das Passwort sieht man hier im Klartext.
Am Ende konnte man über das gesamte Netzwerk der Gruppe auch ins Internet.
23. NWTK Labor
Samira Buttazoni Seite 23
4. VLSM 2 11.10.2018
4.1. VLSM 1
180.83.0.0 /16
Netz 1: 20000 Hosts
/17 -> 2^15 = 32.768 -2 mögliche Hosts
255.255.128.0
180.83.0.0 NW_Adresse
180.83.127.255 Broadcast Adresse
Netz 5: 14000 Hosts
/18 -> 2^14 = 16384 -2 mögliche Hosts
255.255.192.0
180.83.128.0 NW-Adresse
180.83.191.255 Broadcast Adresse
Netz 4: 3000 Hosts
/20 -> 2^12 = 4096 - 2 mögliche Hosts
2^7 + 2^6 + 2^5 + 2^4 = 240
255.255.240.0
(linken Teil nehmen, nicht von 192 weg, denn das wäre mit /19,
nochmal unterteilt in 2 also /20, daher den linken Teil, also /18 bis /19
anstatt /19 bis /20 nehmen)
180.83.192.0 NW-Adresse
180.83.207.255 Broadcast Adresse
25. NWTK Labor
Samira Buttazoni Seite 25
Serial 4:
2 Hosts
/30 -> 2^2 = 4 - 2 mögliche Hosts
255.255.255.252
180.83.218.244 NW
180.83.218.247 BC
Serial 5:
2 Hosts
/30 -> 2^2 = 4 - 2 mögliche Hosts
255.255.255.252
180.83.218.248 NW
180.83.218.251 BC
26. NWTK Labor
Samira Buttazoni Seite 26
4.2. VLSM 2
177.80.64.0 /18
255.255.192.0
In 4 gleich große NWs unterteilen -> /20
177.80.64.0 /20
255.255.240.0
NW1: 177.80.64.0 NW-Ad
177.80.79.255 BC
4094 Hosts
NW2: 177.80.80.0 NW-Ad
177.80.95.255 BC
4094 Hosts
in 8 gleich große Teile:
/20 -> /23 -> je 510 Hosts
177.80.80.0 NW - 177.80.81.255 BC
wieder in 128 gleich große Teile:
/23 -> /30 -> 2 Hosts
255.255.255.252
177.80.80.0 NW - 177.80.80.3
177.80.80.4 NW - 177.80.80.7
in 3er Schritten bis
177.80.81.252 NW - 177.80.81.255 BC
177.80.82.0 NW - 177.80.83.255 BC
177.80.84.0 NW - 177.80.85.255 BC
177.80.86.0 NW - 177.80.87.255 BC
177.80.88.0 NW - 177.80.89.255 BC
177.80.90.0 NW - 177.80.91.255 BC
177.80.92.0 NW - 177.80.93.255 BC
177.80.94.0 NW - 177.80.95.255 BC
NW3: 177.80.96.0 NW-Ad
177.80.111.255 BC
4094 Hosts
256 gleich große teile:
/20 -> /28 255.255.255.240 -> je 14 Hosts
177.80.96.0 NW - 177.80.96.15
in 15er Schritten weiter bis
27. NWTK Labor
Samira Buttazoni Seite 27
177.80.111.240 NW - 177.80.111.255 BC
-> wird für Adressierung der Seriellen verwendet
240 - 255 = 14 Adressen
für serielle jeweils 4 Adressen
-> 4 serielle Verbindungen möglich
177.80.111.240 - 177.80.111.243 BC
177.80.111.244 - 177.80.111.247 BC
177.80.111.248 - 177.80.111.251 BC
177.80.111.252 - 177.80.111.255 BC
NW4: 177.80.102.0 NW-Ad
177.80.127.255 BC
4094 Hosts
in 1024 gleich große Teile:
/20 -> /30 -> je 2 Hosts
255.255.255.252
177.80.102.0 NW - 177.80.102.3 BC
177.80.102.4 NW - 177.80.102.7 BC
in 3er SChritten weiter bis
177.80.127.252 NW - 177.80.127.255 BC
29. NWTK Labor
Samira Buttazoni Seite 29
5. Switch STP 18.10.2018
5.1. Selecting the root bridge
Die standart Konfigurationen sind wie dargestellt zu konfigurieren.
Die PCs müsseni ins gleiche Subnet gebracht werde.
30. NWTK Labor
Samira Buttazoni Seite 30
Die PCs können nun miteinander kommunizieren.
Switch A Mac-Address?
-> show version, 00:12:01:66:CC:80
In welchem VLAN sind die Switches? 1
31. NWTK Labor
Samira Buttazoni Seite 31
a. Which switch is the root switch?
Switch A
b. What is the priority of the root switch?
32769
c. What is the bridge id of the root switch?
32769 0012.0166.cc80
d. Which ports are forwarding on the root switch?
All, on the root switch all the ports are designated ports
e. Which ports are blocking on the root switch?
None
f. What is the priority of the non-root switch?
32769
g. What is the bridge id of the non-root switch?
32769 0015.fa3e.bf00
h Which ports are forwarding on the non-root switch?
i. Which ports are blocking on the non-root switch?
Fa0/1
j. What is the status of the link light on the blocking port?
Orange
32. NWTK Labor
Samira Buttazoni Seite 32
Nachdem die Prioritäten der Switches B so geändert worden sind, dass dieser jetzt
die Root bridge ist, sehen die Antworten anders aus:
Spanning-tree vlan 1 priority 4097
On Switch B
a. Which switch is the root switch?
Switch B
b. What is the priority of the root switch?
4097
c. What is the bridge id of the root switch?
4097 0015.fa3e.bf00
d. Which ports are forwarding on the root switch?
All, on the root switch all the ports are designated ports
e. Which ports are blocking on the root switch?
None
f. What is the priority of the non-root switch?
32769
g. What is the bridge id of the non-root switch?
32769 0012.0166.cc80
h Which ports are forwarding on the non-root switch?
Fa0/1 und fa0/7
i. Which ports are blocking on the non-root switch?
Fa0/4
j. What is the status of the link light on the blocking port?
Orange
Ein Eintrag in der running config ist nur vorhanden, wenn die Priorität manuell
geändert worden ist, die bridge id selbst bzw die default priority steht nicht drinnen.
33. NWTK Labor
Samira Buttazoni Seite 33
5.2. Spanning tree recalculation
Nachdem das Patch Kable am forwarding port des non root switches entfernt wurde,
sendet dieser sofort topology changed BPDUs aus. Der non designated port wird zu
neuem root port.
Wird das Kabel wieder angeschlossen, geht fa0/4 sofort wieder in den Blocking state,
da fa0/1 wieder zum root port wird und fa0/4 dadurch zu einem non-designated port.
Alerdings dauert es 50 sekunden, bis fa0/1 vom blocking in den forwarding state
kommt, ab dem er dann als root port fungieren kann. D.h. es gibt für 50 sekunden
keine Kommunikation.
5.3. Path Cost und STP Timer
Die Kosten eines Links können manuell geändert werden, wenn man diesen link
präferieren will.
Fa0/1 wird so als root port von fa0/4 mit der geänderten cost abgelöst. Fa0/1 wird
sofort geblockt, und fa0/4 geht nach 50 sekunden in den forwarding state.
Die timer können auch geändert werden. Steckt man nun einen neuen link an, dauert
es nur noch ca 10 sekunden bis der link von orange auf grün wechselt.
34. NWTK Labor
Samira Buttazoni Seite 34
5.4. Beschleunigung der Kovergenz
Im interface wird portfast aktiviert.
Wird nun ein PC angesteckt, dauert es nur ein paar sekunden (Zeit bis topology
change erkannt wird) bis dr Port in den forwarding state gelangt.
5.5. Schutzmaßnahmen
Sollte auf einem portfast konfigurierten Port einmal doch ein BPDU Packet
daherkommen, blockt bpduguard den Port sofort.
Steckt man also den PC aus und einen Switch an, ist der Port sofort administrativ
down.
Root guard verhindert, dass die root bridge an einem access layer switch hängt, da
sonst die STP Baumstruktur nicht funktionieren würde. Kommt also von einem
Access Layer Switch die Meldung er ist root bridge, wird dieser Port solange geblockt
bis der Switch aufhört das zu denken.
35. NWTK Labor
Samira Buttazoni Seite 35
5.6. Packet Tracer
Zuerst sendet jeder Switch bei jedem Port einen DTP (Dynamic trunking protocol)
Frame hinaus. Die PCs verwerfen diesen Frame aber, da sie nicht wissen wie sie ihn
verarbeiten sollen.
Als nächstes senden die Switches CDP (Cisco discovery protocol) Frames aus.
Dadurch können die Geräte eine Liste direkt angeschlossener Geräte mit
verschiedenen Informationen erstellen.
36. NWTK Labor
Samira Buttazoni Seite 36
Danach fängt der eigentliche STP Prozess aus. Dazu sendet jeder Switch
configuration BPDUs aus, um zu bestimmen wer die root bridge ist.
Switch A erhält von Switch B eine BPDU mit ‘superior information‘. Switch A erkennt,
dass die Priotität von Switch B die bessere ist und ihm wird klar, dass er nicht die
root bridge sein kann.
Ist die root bridge dann bestimmt, sendet nur noch diese, also Switch B, alle 2
Sekunden BPDUs.