Folie 1

1
Praxisbeispiel I
Eine Firma (Großhändler) mit 4 Organisationsbereic
hen verfügt bisher über folgende IT-Infrastruktur
Organisationsbereich Anzahl der PCs Netztyp Netzstruktur
OB1 Geschäftsleitung/ Personalwesen 4 Peer-To-Peer Gemeinsamer 8-Port-Hub10BaseT
OB2 Buchhaltung 3 Peer-To-Peer Gemeinsamer 8-Port-Hub10BaseT
OB3 Einkauf 8 Peer-To-Peer 10Base2
OB4 Verkauf 12 Peer-To-Peer 10Base2

• Als Netzwerkkarten sind Combo-Karten mit BNC-
  und RJ45-Anschluss eingebaut.
• Das Netzwerk soll auf 100BaseT umgestellt werden
  und einen Internet- Zugang erhalten. Zusätzlich
  wird ein Datenbankserver beschafft.
• Aus Sicherheitsgründen sollen die Workstation
  der einzelnen Organisations- bereiche sowie der
  Server künftig in separaten Subnetzen liegen.

2
Praxisbeispiel II
Der Kunde schlägt folgende Netzstruktur vor
Switch_OB1
Switch_OB2
Switch_OB4
Switch_OB3
Datenbankserver
Frage Welche bessere und günstigere Lösung für
den Kunden gibt es, die auch allen
Sicherheitsansprüchen gerecht wird?Hinweis 1.
Es sind 28 Switchports erforderlich! 2. Es
werden Switch mit 24 Ports eingesetzt!
3
Eine Lösung Einsatz von Virtual Local Area
Network VLAN
Router
Switch_2 24 Ports
Switch_1 24 Ports
Trunk
Trunk
VLAN_OB1 (4 Hosts)
VLAN_OB3 (8 Hosts)
VLAN_DBS (1 Server)
VLAN_OB2 (3 Hosts)
VLAN_OB4 (12 Hosts)

• Vorteile
• Geringerer Geräteaufwand, d.h. kostengünstiger!
• Hohe Sicherheit durch Frame-Tagging (auf Layer
  2) Eingriff nur am Switch mgl.!
• Netzlast wird reduziert, da jedes Subnetz eine
  eigene Broadcast-Domäne bildet!
• Arbeitsgruppen müssen nicht räumlich
  zusammengefasst sein. Bei Umzug eines
  Benutzers fallen ggf. keine administrativen
  Aufgaben an!

4
Virtual Local Area Network VLAN
Gruppenarbeit Recherchieren Sie in Zweierteams,
um Beratungskompetenz zu erhalten, im Internet
bzgl. VLAN folgende Punkte
1. Definition von VLAN2. Gründe für den Einsatz
von VLAN3. Welche (2) gängige Arten von
Verfahren (technische Realisierung) gibt es?4.
Was wird bei VLAN beim Ethernet-Frame geändert
(IEEE-Standard)?5. Welche Arten/Varianten der
VLAN-Zuordnung gibt es?6. Welche der zwei
Varianten ist sicherer und warum?7. Welche zwei
Arten von Links gibt es nach der Einrichtung von
VLAN an einem Switch? Unterschied?8. Wie
kann Verkehr zwischen unterschiedlichen VLAN
realisiert werden?
Dokumentation Erstellen Sie für sich bzgl. der
8 obigen Punkte eine Mitschrift.
Zeitlicher Ablauf 1. Recherche im Internet 30
Minuten2. Mündliche Vorstellung (Antwort auf
Fragen) im Anschluss 15 Minuten
5
Virtual Local Area Network VLAN
Definition Ein VLAN ist ein virtuelles lokales
Netzwerk innerhalb eines physikalischen
Netzwerkes, das von seiner Ausbreitung über
mehrere Switche gehen kann.
Gründe für den Einsatz von VLAN Althergebrachte
geswitchte Netzwerke haben1. Mit steigender
Zahl der angeschlossenen Stationen eine
steigende Broadcast-Last.2. Ein
Sicherheitsproblem, da jede Station jede andere
direkt ansprechen kann!-gt Eine Lösung dieser
zwei Probleme sind VLAN!-gt Mit VLAN können auf
einem Switch oder über mehrere Switche hinweg
(auch standortübergreifend) virtuell getrennte
Netze realisiert werden! -gt Durch diese
Bildung von Subnetzen verringern sich die
Broadcasts! -gt Für Verbindungen zwischen den
virtuell getrennten Netzen sind Layer
3-Switche oder Router erforderlich (mehr
Sicherheit)! -gt Benutzer können virtuellen
Gruppen zugeordnet werden (Management,
Personalstelle, Finanzbuchhaltung, Vertrieb,...)
-gt Zusätzlich steigt die Flexibilität beim
Umzug eines Benutzers!
6
Virtual Local Area Network VLAN
2 Arten von Verfahren bzgl. der Ausprägung
(technischen Realisierung) sind überwiegend im
Einsatz, die sich auf dem Layer 2 wesentlich
unterscheiden (-gt Z.T. spezielle Frames der
Hersteller)- IEEE 802.1Q -gt Frame-Tagging -gt
DOT 1Q- ISL (Inter Switch Link) Cisco
proprietär -gt Encapsulation -gt nur für
Verbindung zwischen den Switchen Achtung kein
Support mehr!
Funktionsweise/Aufbau (Ergänzung) des neuen
Ethernet-Frames (IEEE 802.1Q)1. Jedem VLAN wird
eine eindeutige Nummer zugeordnet (VLAN-ID).2.
Größe VLAN-ID 12 bit 4096 VLAN möglich (VLAN 0
und 4095 nicht zulässig)3. Ethernet-Frame wird
um 4 Byte erweitert (Frame-Tagging) - TPID
(Tag Protocol Identifier) Fixwert 8100(H) -gt 2
Byte - Priority (Prioritätsinformationen) -gt
3 Bit, z.B. zur Priorisierung von Sprache! -
CFI (Canonical Format Identifier) -gt 1 Bit, für
MAC-Adressinformationen, i.d.R. 0 d.h.
Format ist kanonisch (am wenigsten significantes
Bit kommt zuerst)! - VID (VLAN Identifier)
-gt 12 Bit zur Identifizierung des zugehörigen
VLAN!4. Die Erweiterung (4 Byte) wird im
Ethernet-Frame durch den Switch nach der
Quell-Mac-Adresse vor dem Type- bzw. Length-Field
eingeschoben.5. Beim Aussenden des Frame an ein
Endgerät wird das Tag wieder entfernt.
7
Virtual Local Area Network VLAN
2 Arten der VLAN-Zuordnung sind im praktischen
Einsatz- Statische VLAN Ein Administrator
weist den Ports der Switche eine bestimmte
VLAN-ID zu. Vorteil
Umzüge im Netz laufen nur kontrolliert
ab! Nachteil Geringere Flexibilität wg.
Beteiligung Administrator!- Dynamische VLAN Der
Switch erkennt beim Umzug eines Rechners die
MAC- Adresse
und liest aus einer VLAN-Managementdatenbank
die Konfiguration
(VLAN) des Ports aus.
Hierfür ist ein eigenes Protokoll
erforderlich! - GARP (Generic Attribute
Registration Protocol)
- VMPS (VLAN Membership Policy Sercer) -gt
Cisco propr.
SicherheitsaspekteAls sicherste der beiden
Varianten sind die statischen VLAN zu betrachten,
da hier1. eine feste Zuordnung von Switch-Port
zu einem VLAN vorliegt und (2. über
Port-Security auch die MAC-Adresse hinterlegt
ist.) -gt Dies bedeutet für das Ausspähen von
Daten muss ein physikalischer Zugang zu einem
VLAN vorliegen (und die MAC-Adresse stimmen).
8
Virtual Local Area Network VLAN
Verbindung von mehreren SwitchenNormalerweise
transportiert ein Switch-Port nur den
Datenverkehr für das VLAN dem er zugeordnet wurde
(z.B. Access-Link). Deshalb ist für ein VLAN, das
sich über mehrere Switche ausbreitet, eine
Trunk-Leitung (Trunk-Link) zwischen den
Switchen erforderlich. Eine Trunk-Leitung kann
eine Vielzahl von VLANS transportieren.-gt Bei
IEEE 802.1Q sind es 4094 und bei ISL 1024
VLAN! Die Trunk-Leitung wird in der Regel über
Fast Ethernet realisiert!
Inter-VLAN-Routing1. Jedes VLAN bildet eine
eigene Broadcast-Domäne! 2. Um Verkehr zwischen
den VLANS zu vermitteln, z.B. wie im
Ausgangs-Bsp. der Zugriff auf den
Datenbankserver ist ein Router bzw. ein
Layer-3-Switch erforderlich! 3. Der Router
bzw. Layer-3-Switch wird ebenfalls über eine
Trunk-Leitung an einen der Switche angebunden!
9
Virtual Local Area Network VLAN
Beispiel Übersicht VLAN
10
Virtual Local Area Network VLAN
Beispiel (2 Verfahren bzgl. des Trunk Link)
1. Standard
2. Cisco(proprietär)
11
Virtual Local Area Network VLAN
Übung
12
Virtual Local Area Network VLAN
Managen von VLANWenn VLAN in einem geswitchten
Netzwerk definiert werden kann dies bei einem
großen Netz auch einen großen Aufwand für den
Administrator bedeuten. In größeren
Cisco-Netzwerken wird deshalb zum Verteilen der
VLANs auf den Switchen das VLAN Trunking Protocol
(VTP) eingesetzt. Das VTP nutzt die
Layer-2-Trunk-Frames um die VLAN-Informationen an
eine Gruppe von Switchen ein einem Netzwerk zu
kommunizieren. VTP managed über VTP-Domänen und
VTP-Modes (Server, Client, Transparent) das
Hinzufügen, Entfernen und Umbenennen von VLAN
über alle Switche eines Netzwerkes von einer
zentralen Stelle aus. Bei einem Switch muss bei
der Konfiguration (z.B. Erstinbetriebnahme) die
VTP-Domäne, der er zugehört und der VTP-Mode
zugeordnet werden.