Download - 2950 cisco router
Gewerbeschule Lörrach
Gretherstraße 50 79539 Lörrach
Technikerarbeit
Yücel Oktay Manuel Dollinger
- 2005 -
Thema: Konfiguration von Netzwerkswitches
für portbasierende Authentifizierung
und VLAN Zuweisung
Verfasser: Yücel Oktay, Manuel Dollinger
Auftraggeber: GWS Lörrach,
Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler
Schule: Gewerbeschule Lörrach (Fachschule für Elektrotechnik)
Betreuer in der Schule: Dipl.-Ing. Michael Knaus
Zeitraum: September 2004 bis Mai 2005
Technikerarbeit Sommer 2005
Seite 2
Inhaltsverzeichnis 1.0.0 Vorwort..............................................................................................................4
2.0.0 Danksagung......................................................................................................5
3.0.0 Eidesstattliche Erklärung ................................................................................6
4.0.0 Einleitung ..........................................................................................................7
5.0.0 Projekt ...............................................................................................................8
5.1.0 Ziel des Projekts .............................................................................................8
5.2.0 Ziel der Technikerarbeit ..................................................................................9
5.2.1 Pflichtenheft ................................................................................................9
5.2.2 Bereitgestellte Hardware .............................................................................9
5.2.3 Zeitplan .....................................................................................................10
5.2.4 Verlauf der Technikerarbeit .......................................................................11
5.3.0 Switches im Netzwerk der GWS-Lörrach......................................................13
6.0.0 Funktionsweise eines VLANs........................................................................14
6.1.0 Realisierung von VLANs ...............................................................................14
6.1.1 Layer 1 VLAN............................................................................................14
6.1.2 Layer 2 VLAN............................................................................................15
6.1.3 Protokoll-basierendes VLAN .....................................................................16
6.1.4 Regel-basierendes VLAN..........................................................................16
6.2.0 Vorteile und Nachteile eines VLANs .............................................................16
6.2.1 Vorteile ......................................................................................................16
6.2.2 Nachteile ...................................................................................................17
7.0.0 VLAN Tagging (802.1Q Frame)......................................................................18
7.1.0 Funktionsweise VLAN Tagging.....................................................................18
7.1.1 Die Felder des 802.1Q/P...........................................................................19
8.0.0 Ethernet-Port-Trunking ..................................................................................20
9.0.0 TACACS+ & IEEE 802.1x................................................................................21
9.1.0 AAA - Begriffsdefinitionen .............................................................................21
9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung.......................................23
9.3.0 Sicherheit durch IEEE 802.1x .......................................................................23
9.4.0 TACACS+ Überblick .....................................................................................24
9.4.1 Funktion von TACACS .............................................................................24
9.4.2 Fazit ..........................................................................................................25
Technikerarbeit Sommer 2005
Seite 3
10.0.0 Beschreibung der Hardware........................................................................27
10.1.0 Cisco Catalyst 2950 ....................................................................................27
10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950.........................29
10.2.0 HP Procurve 2524.......................................................................................30
10.2.1 Command Line Interface (CLI) des HP Procurve 2524 ...........................33
11.0.0 Zugriff auf die Konsolenebene eines Switches .........................................34
11.1.0 Lokaler Zugriff auf einen Switch..................................................................34
11.2.0 Fernzugriff auf einen Switch .......................................................................35
11.2.1 Zugriff über das Intranet der GWS-Lörrach .............................................35
11.2.2 Zugriff über das Internet ..........................................................................35
11.2.3 Login-Vorgang über SSH-Server auf Minicom ........................................36
12.0.0 Firmwareupdate der Switches.....................................................................38
12.1.0 IOS-Update Cisco Catalyst 2950 ................................................................39
12.2.0 OS-Update HP Procurve 2524....................................................................43
13.0.0 Konfiguration der Switches.........................................................................45
13.1.0 Konfiguration des Cisco Catalyst 2950 .......................................................46
13.2.0 Konfiguration des HP Procurve 2524..........................................................51
14.0.0 Sicherheit im Netzwerk ................................................................................54
14.1.0 Netzwerkdiagnosesoftware.........................................................................54
14.1.1 Broadcom Advanched Control Suite 2 ....................................................54
14.1.2 Ethereal – Network Protocol Analyzer.....................................................56
14.2.0 Sicherheitsprüfungen der VLANs................................................................58
14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950 ...................................59
14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524......................................64
14.2.3 Fazit ........................................................................................................69
15.0.0 Schlusswort ..................................................................................................70
16.0.0 Abbildungsverzeichnis ................................................................................71
17.0.0 Anhang ..........................................................................................................74
Technikerarbeit Sommer 2005
Seite 4
Alles soll so einfach wie möglich gemacht werden, aber nicht einfacher
Albert Einstein
1.0.0 Vorwort
Der vermehrte Einsatz der Netzwerke auf sämtlichen Gebieten des Lebens ist im Zeitalter der
Informationstechnik überall zu beobachten. Obwohl die Geschichte der Netzwerktechnik
keine lange Vergangenheit vorzuweissen hat, ist schneller Informationsaustausch im Alltag
ohne Netzerwerke unvorstellbar geworden. Das Internet ohne Google ist genauso wenig
vorstellbar wie das Leben heutzutage ohne Computer. Da ist die wichtige Frage angebracht,
ob die Strecke der Daten, die sich von einem Punkt zu einem anderem bewegen, bzw. das
Netz gegen unerwünschte Daten sicher ist? Kernstück dieser stürmischen und immer noch
nicht abgeschlossenen Entwicklung ist die Strukturierung der Netzwerke.
Dieses Dokument, das durch eine anspruchsvolle Technikerarbeit zu Stande gekommen ist,
beinhaltet unter anderem die Erklärung des VLAN (Virtual local area network) und erläutert
die Begriffe IEEE 802.1x bzw. TACACS+. Darüber hinaus eine Konfiguration der Switches
HP Procurve 2524 bzw. Cisco Catalyst 2950 sowie eine portbasierende
Benutzerauthentifizierung durch einen Free-RADIUS-Server. Schließlich befindet sich im
Anhang eine leicht überschaubare Konfigurationsanleitung der oben genannten Switches. Es
wurden einige frei erhältliche Software zur Hilfe genommen um die Aufgaben der
Technikerarbeit zu bewältigen wie TeraTerm1, PuTTY2, 3CDaemon3, Broadcom Advanched
Control Suite 24 und Ethereal mit WinPcap_3_05. Die notwendigen Einstellungen sowie die
Bedienungsmöglichkeiten dieser Software sind in diesem Dokument ebenfalls zu finden.
Während der Ausarbeitung unserer Technikerarbeit in der Gewerbeschule Lörrach haben
wir so viele neue und hochinteressante Dinge über Netzwerktechnik erfahren, dass uns diese
errungenen Erkenntnisse ebenfalls so stark faszinierten wie unsere Technikerarbeit selbst. Im
übrigen konnten wir bei unserem selbstständigen Arbeiten erfahren, wieviel Spaß es macht,
das Erlernte in ein Projekt umzusetzen.
Yücel Oktay und Manuel Dollinger
______________________________ * 1 TeraTerm, HyperTerminal-Software, http://hp.vector.co.jp/authors/VA002416/teraterm.html * 2 PuTTY, Telnet/SSH Client, http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html * 3 3CDaemon, TFTP Server, http://support.3com.com/software/utilities_for_windows_32_bit.htm * 4 Broadcom NetXtreme „Advanched Control Suite 2“, http://www.broadcom.com/ * 5 Ethereal, http://www.ethereal.com/
Technikerarbeit Sommer 2005
Seite 5
2.0.0 Danksagung
Die vorliegende Technikerarbeit wurde in der Gewerbeschule Lörrach unter der Leitung von
Fachlehrer Dipl.-Ing. Michael Knaus durchgeführt. Ihm danken wir sehr herzlich für das
entgegengebrachte Vertrauen, uns mit dieser herausfordernden und interessanten Aufgabe zu
beauftragen, und für sein fortwährendes Interesse am Fortgang des Projekts sowie für die
ständige Bereitschaft auch außerhalb der Schulzeiten.
Bedanken möchten wir uns auch bei Dipl.-Ing. Werner Gempler für seine Anregungen und
aufmerksamen Beobachtungen. Wir bedanken uns ebenfalls bei der Gewebeschule Lörrach
und bei allen Fachlehrern, die uns die flexible Benutzung der Schulräume für dieses Projekt
ermöglicht haben. Selbstverständlich bedanken wir uns auch bei unserem Kollegen Herrn
Mark Wasmer für die tolle Zusammenarbeit und gegenseitige Unterstützung, die für das
erfolgreiche Endergebnis des Gesamtprojektes erforderlich war.
Auch Herrn Dr. Bocks danken wir für das Korrekturlesen unserer Technikerarbeit und die,
Zeit die er dafür aufgebracht hat.
Zuletzt bedanken und beglückwünschen wir uns gegenseitig für die gute und produktive
Zusammenarbeit während der neun Monate an dieser anspruchsvollen Aufgabe.
Technikerarbeit Sommer 2005
Seite 6
3.0.0 Eidesstattliche Erklärung
Hiermit versichern wir, dass wir diese Technikerarbeit selbstständig erarbeitet und keine
anderen als die angegebenen Hilfsmittel verwendet haben. Diese Versicherung gilt auch für
Zeichnungen, Skizzen und bildliche Darstellungen.
Lörrach, den 12.05.2005 Schopfheim, den 12.05.2004
_________________________ _________________________
Yücel Oktay Manuel Dollinger
Technikerarbeit Sommer 2005
Seite 7
4.0.0 Einleitung
Diese Technikerarbeit wurde uns vom Kunden anvertraut, um einen Teil der noch
bevorstehenden Erweiterungen und Modernisierung des Schulnetzes der GWS-Lörrach zu
realisieren. In einer Schule wie dieser ist ein Netzwerk, das dem heutigen Entwicklungsstand
entspricht, von großer Bedeutung.
Die Aufgabenstellung an uns war es, ein VLAN Konzept zu entwickeln, das durch eine
Benutzeridentifikation die Benutzergruppen wie Lehrer, Schüler als auch Gäste in die
entsprechenden VLANs weiterleitet. Die Zuordnung, welche Benutzergruppe, in welches
VLAN weitergeleitet werden soll, erfolgt durch eine dazu befugte Person. Dadurch eröffnet
sich nun die Möglichkeit, sich mit dem eigenen Notebook über jeden VLAN-Port der Schule
in das entsprechend zugewiesene VLAN zu authentifizieren. Bekommen Schüler
beispielsweise ein Zertifikat für VLAN 4, werden sie nach VLAN 4 authentifiziert. All diese
Schüler mit dem gültigen Zertifikat für VLAN 4 sind dann in einem seperaten Netz und
können die anderen VLANs nicht erreichen, welches gerade dadurch für Klassennetze
ausgezeichnet geeignet wäre. Personen, wie z.B. Lehrer, können auch Zertifikate für mehrere
VLANs besitzen, um in allen erforderlichen Netzen arbeiten zu können.
Möchte sich ein nicht Berechtigter mit keinem bzw. ungültigem Zertifikat an einer
Netzwerkdose verbinden, wird er nicht abgewiesen, sondern in ein sogenanntes Gast-VLAN
weitergereicht. Dies ist vor allem von Vorteil, wenn z.B. ein Professor einmalig einen Vortrag
in der Schule hält, da er kein Zertifikat braucht, da freigegebenen Netzwerkresourcen wie z.B.
Drucker und entsprechende Dateifreigaben die über das Gast-VLAN zu erreichen sind.
Sehr wichtig ist allerdings auch die Sicherheit und Zuverlässigkeit, dieses Systems um
Missbrauch durch Manipulation zu vermeiden. Auch die zentrale Verwaltung dieser Dienste
stellten einen wichtigen Punkt dar und musste berücksichtigt werden.
Wegen des großen Umfangs dieses Projekts wurde es in zwei Technikerarbeiten
aufgesplittet. Herr Wasmer beschäftigte sich mit der Bereitstellung des Authentication-
Servers, wobei wir die Konfiguration der Netzwerkgeräte vornahmen. Das Ergebnis dieser
beiden Technikerarbeiten sollte einen prototypischen Testaufbau ergeben und jeweils eine
Installations-/ bzw. Konfigurationsanleitung umfassen, die auch einer externen Firma für die
Einrichtung übergeben werden kann.
Technikerarbeit Sommer 2005
Seite 8
5.0.0 Projekt
5.1.0 Ziel des Projekts
Lehrer, Gäste und Schüler sollen sich mit ihrem eigenem Notebook mit dem Schulnetz
verbinden können und in ein separates VLAN zugeteilt werden. Eine Anmeldung für den
Zugang ist vorher zwingend erforderlich. Die VLAN Struktur muss zentral konfiguriert und
verwaltet werden. Ein funktionstüchtiger Aufbau eines Versuchssystems, bestehend aus
mehreren Supplicants (Workstations), Authenticators (Switches) und einem Authentication-
Server, ist ebenfalls erforderlich. Hierfür werden als Authenticators die bereits in der Schule
verwendeten HP Procurve-Serie und die Cisco Catalyst-Serie herangezogen.
Aufgrund des großen Arbeitsumfanges des Projekts, die den Rahmen der Technikerarbeit
sprengen würde, wird der Authentication-Server (Free-RADIUS) durch die kooperierende
Technikerarbeit von Herrn Mark Wasmer abgedeckt.
Schlussendlich muss die Technikerarbeit eine Installations-/Konfigurations-Anleitung
enthalten, die einer externen Firma zur Realisierung übergeben werden kann.
Abb. 1: VLAN Schema
Technikerarbeit Sommer 2005
Seite 9
5.2.0 Ziel der Technikerarbeit
5.2.1 Pflichtenheft
Durch die Aufgabenstellung im Rahmen des Projekts war klar vorgegeben, welche
Maßnahmen ergriffen werden mussten. Hier ein kurze Übersicht der Aufgaben:
• Vorhandener Geräte-Park der Switches in der GWS Lörrach aufnehmen
• Unterschiede zwischen TACACS+ und IEEE 802.1x erlernen und verstehen
• Cisco Catalyst 2950 und HP Procurve 2524 Switches auf Kommandozeile/Menü
bedienen
• Cisco Catalyst 2950 und HP Procurve 2524 Switches flashen
• Authenticator mit Authentication-Server verschalten
• Dynamische Zuordnung von Ports zu VLAN´s abhängig vom Authentication-Server
und IEEE 802.1x mit Überprüfung und Demonstration der Funktionsfähigkeit
• Aufbau eines Versuchssystems
• TA-Dokument schreiben
• Konfigurationsanleitung schreiben
5.2.2 Bereitgestellte Hardware
Um dieses Projekt zu realisieren, wurde von Seiten der GWS Lörrach folgende Arbeitsmittel
bereitgestellt:
• 1 Cisco Catalyst 2950 Switch (24 Port)
• 1 HP Procurve 2524 Switch (24 Port)
• Diverse Netzwerkkabel
• Konsolenkabel für Switches
• Hub
• Authentication-Server
• Workstations
Technikerarbeit Sommer 2005
Seite 10
5.2.3 Zeitplan
Der vorgegebene Zeitrahmen der Technikerarbeit erstreckte sich
von September 2004 bis zum 13.Mai 2005.
Es wurde von uns eine Zielsetzung ausarbeitet, die wie folgt aufgelistet ist:
Zielsetzung bis:
KW50, 2004 Sammeln von Informationen
KW5, 2005 Einarbeitung und Vertiefung der Erkenntnisse über
VLAN
TACACS+
IEEE 802.1x
KW7, 2005 Update der Switches
Erlernen und vertiefen der Switches IOS und OS
KW13, 2005 Praktischer Teil läuft und Konzept für die Dokumentation steht
KW18, 2005 TA Dokument fertig
KW28, 2005 TA Präsentation fertig
Der Verlauf des Zeitplans konnte nicht komplett in dieser Art und Weise beibehalten werden,
da er sich teils durch unvorhersehbare Probleme in der Technikerarbeit und teils durch private
Angelegenheiten verzögerte. Ebenfalls wurde der anschließende Sicherheitstest zuvor zeitlich
unterschätzt, da dieser in der Praxis umfangreicher als angenommen war und sich deshalb bis
in die letzte Aprilwoche hineingezogen hat. Doch diese Defizite wurden von uns durch
Aufopferung der Freizeit und durch besonderes Arrangement kompensiert, so dass wir das
Projekt erfolgreich abschließen konnten.
Technikerarbeit Sommer 2005
Seite 11
5.2.4 Verlauf der Technikerarbeit
Zu Beginn der Technikerarbeit freuten wir uns bereits auf diese Herausforderung, bei der wir
schon im Vorhinein wussten, dass es viel Zeit und Kraft kosten würde, dieses Thema so
auszuarbeiten, dass es der Bedeutung „Netzwerktechnik“ auch wirklich gerecht wird. Aber
wir wussten, auch dass es das wert ist, da wir uns schon früher für diesen Bereich
interessierten. Zu Beginn erkundigten wir uns erst einmal allgemein über die Themen der
Netzwerktechnik wie VLAN, verschiedene Netzprotokolle und Routing & Switching, wo von
wir uns des letzteren ein Buch des bhv-Verlages angeschafft haben. Wir beschäftigten uns zu
lange und zu ausgiebig mit dem Allgemeinen, bis wir sprichwörtlich – den Wald vor lauter
Bäumen nicht mehr sahen -. Durch Rücksprache mit unserem Betreuer ist es uns gelungen,
auf die konkrete Thematik einzugehen. Von dort an konnten wir uns auf das Wesentliche
konzentrieren. Dabei tauchten einige Probleme auf, die mit der Aufteilung des
Gesamtprojektes zusammenhing. Allerdings konnten wir diese durch die Kommunikation mit
unserem Kollegen Herrn Wasmer bewältigen, der das Ziel, nämlich die Fertigstellung des
Projekts, vor Augen hatte und dies mit uns verfolgte. Sehr hilfreich war hier auch das Wiki-
Sytem, mit dem ein einheitliches, unabhängiges und überall verfügbares Informationssystem
geschaffen wurde. Diese Software ermöglicht, gleichzeitige Bearbeitung und Änderungen von
Texten aller Teammitglieder von zu Hause aus durchzuführen.
Abb. 2: Wikipedia
______________________________ * 6 Wikipedia Enzyklopädie, http://de.wikipedia.org
Technikerarbeit Sommer 2005
Seite 12
Außerdem wurde für die kommunikative Zusammenarbeit aller Beteiligten auch E-Mail,
Instant Messaging und Voice over IP benutzt. Ein weiteres Problem war die Fachliteratur, die
größtenteils auf Englisch zu finden war. Dies kostete uns einiges an Zeit. Eine
Herausforderung war es speziell, das IOS des Cisco Switches upzudaten. Als dies geschafft
war, ging es an die Konfiguration, die uns nach und nach zeigte, was überhaupt alles möglich
ist, was uns ermutigte, mehr können zu wollen, und so verbrachten wir die Hauptzeit unserer
Ferien damit, die Handbücher zu studieren und das neu Erlernte gleich in die Praxis
umzusetzen. Als die Konfiguration abgeschlossen war, kam die Frage auf, ob das Netz auch
wirklich sicher ist. Darum führten wir eine Reihe Tests durch, die dann letztendlich ergaben
dass es sicher ist, was uns dann bestätigte eine gute Arbeit gemacht zu haben. Besonders mit
Stolz erfüllte uns die Präsentation unserer fertig gestellten und funktionierenden
Technikerarbeit, die wir am 3. Mai vor der Schulleitung und der Netzwerkgruppe vorführen
durften.
Technikerarbeit Sommer 2005
Seite 13
5.3.0 Switches im Netzwerk der GWS-Lörrach
Gebäude A (Hauptverteilung K.10): 1x HP ProCurve 8000M
1x HP ProCurve 2524
1x HP ProCurve 2524
Gebäude A (A0): 3x HP ProCurve 2524
Gebäude A (A1): 3x HP ProCurve 2524
Gebäude A (A2): 2x HP ProCurve 2424
1x HP ProCurve 2512
1x HP ProCurve 2524
Gebäude A (A 1.16): 1x BayNetworks 350T
Gebäude A (A 2.01): 1x HP ProCurve 2424
Gebäude B: 1x HP ProCurve 2524
Gebäude C: 1x HP ProCurve 2524
Gebäude D (D 2.04): 1x HP ProCurve 2524
Gebäude D (D 2.13): 1x HP ProCurve 2512
Gebäude D (Mechanische Fertigung): 1x HP ProCurve 2512
1x HP ProCurve 2524
Technikerarbeit Sommer 2005
Seite 14
6.0.0 Funktionsweise eines VLANs
Unter VLAN versteht man ein "virtuelles LAN" (Virtual local area network), dessen
physikalische Strukturierung eines gewöhnlichen LAN´s gleicht, jedoch in mehrere virtuelle
Teilnetze aufgeteilt ist. Ferner ist auch ein wichtiger Vorteil gegenüber einem LAN, dass ein
VLAN weiter entfernte Knoten zu einem virtuellen lokalen Netzwerk verbindet, während
Knoten eines LAN´s sich nicht beliebig weit ausdehnen können.
VLAN´s sind logisch geswitchte Netze, mit denen man Workstations und Server zu
beliebigen dynamischen Arbeitsgruppen zusammenfassen kann. Dieses erfordert kein
Umpatchen bzw. keine Umverlegung von Rechnern, sondern kann per Software konfiguriert
werden. Ein VLAN ist weiteren eine Broadcast- und Kollisionsdomäne, die sich auch über
mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar.
Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der
Verkehr zwischen VLANs muss geroutet werden, hier gibt es Lösungen, die die
Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing
nötig.
6.1.0 Realisierung von VLANs
VLANs lassen sich auf verschieden Arten realisieren.
Beliebige Netzteilnehmer aus verschiedenen Segmenten können nach unterschiedlichen
Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische
Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne dass das Netz
physikalisch umstrukturiert werden muss.
6.1.1 Layer 1 VLAN
VLAN Zuordnungen basieren auf dem Anschluss am Switch, hierdurch wird festgelegt,
welche Ports zu welchem VLAN gehören. Je nach Eingangsport gehört das Frame in das
entsprechend konfigurierte VLAN. Es wird jedoch eine genaue Dokumentation benötigt,
damit die Kabel bestimmter Geräte immer in den richtigen Switch Port zugeordnet werden
können, damit sie sich im richtigen VLAN befinden.
Technikerarbeit Sommer 2005
Seite 15
Workgroup Switch
TerminalTerminal
Terminal
Terminal
Terminal
TerminalTerminal
VLAN 2
VLAN 4
VLAN 3
VLAN 1
Abb. 3: Layer 1 VLAN
6.1.2 Layer 2 VLAN
Zuordnung orientiert sich am Layer 2, an der MAC Adresse. Es ermöglicht im Prinzip eine
Unternehmensweite VLAN Konfiguration. Durch Zentrales Management ist hohe Flexibilität
gewährleistet. Außerdem ist es möglich, eine MAC-Adresse in mehrere VLANs zu tun. Ein
Layer-2 VLAN braucht jedoch schon einiges an Rechenkapazität (Liste welche MAC-
Adresse welchem VLAN gegenübersteht). Wenn ein Gerät dann an einem anderen
Switch-Port angeschlossen wird und einen Frame sendet, bleibt es im selben VLAN. Dadurch
kann man mit einem Gerät auch mal leichter umziehen. Der administrative Aufwand ist
größer als bei Layer-1 VLANs, dennoch wird es wegen seiner Standortunabhängigkeit gerne
eingesetzt.
Workgroup Switch
TerminalTerminal
TerminalTerminal
Terminal
TerminalTerminal
VLAN 1
VLAN 2
VLAN 3
VLAN 4
Abb. 4: Layer 2 VLAN
Technikerarbeit Sommer 2005
Seite 16
6.1.3 Protokoll-basierendes VLAN
Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie
z.B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da
auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner
Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der
Subnetzadressen oder portbasiert. Innerhalb eines VLAN wird auf Layer 2 geswitcht. Bei der
Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische
Adresszuordnungsverfahren können nicht eingesetzt werden. Layer-3-Switches verwenden
Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird
innerhalb eines VLAN nur gebridged.
6.1.4 Regel-basierendes VLAN
Bei den regelbasierenden VLANs wird die VLAN-Zugehörigkeit anhand von logischen
Zuordnungen wie Ports, der Netzadresse, der MAC-Adresse oder des Protokolls bestimmt.
Ein großer Vorteil dieses Systems ist die Flexibilität, da der Administrator selbst die Balance
zwischen Sicherheit, Verkehrsoptimierung und Kontrolle festlegen kann. Dem gegenüber
stehen allerdings die Nachteile wie die der aufwendigen Einrichtung, hohe Latenzzeiten, die
durch die Abarbeitung der einzelnen Regeln entstehen, sowie die Sicherheitslücke, die durch
die leichte Fälschung der MAC-Adresse entstehen kann.
6.2.0 Vorteile und Nachteile eines VLANs
6.2.1 Vorteile
Sicherheit:
• Gute Kontrollmöglichkeiten der Netzwerkteilnehmer
• Klare Abgrenzung der einzelnen Teilnetze (VLANs)
• Individuelle Anpassung der Rechte der einzelnen VLANs
Technikerarbeit Sommer 2005
Seite 17
Flexibilität:
• Standortunabhängige und individuelle Zugriffsmöglichkeiten auf Netzwerkressourcen
und Peripheriegeräte
• erhebliche Erleichterung durch Einsatzmöglichkeit eigener Notebooks der
Netzwerkteilnehmer
Innovation:
• Bessere Netzinfrastruktur durch Zuordnung der Abteilungen und Klassen in
unterschiedliche VLANs
• Erweiterung der Netztopologie durch weitere Geräte und Ports
6.2.2 Nachteile
• hohe Migrationskosten, da ein Switching Network sowie ein leistungsfähiges
Management benötigt werden
• hohe Kosten für schnellen Backbone
• mangelnde Standardisierung und daraus resultierende Inkompatibilitäten.
Technikerarbeit Sommer 2005
Seite 18
7.0.0 VLAN Tagging (802.1Q Frame)
Das 802.1Q wurde von IEEE entwickelt um Lösungen über Aufbaustruktur eines VLANs
Frames verschiedener Hersteller in einen Standard zu fassen.
Damit konnten VLANs auf allen im Netzwerk vorhanden Switches verschiedener Hersteller
implementiert werden. Durch das 802.1Q Tag-Header (auch VLAN-Tagging genannt) ist die
Kommunikation unter diesen Switches möglich. Beim Tagging wird der Header eines Frames
durch einen Merker (Tag) um die VLAN-Information erweitert.
7.1.0 Funktionsweise VLAN Tagging
Pakete, die über einen normalen Port eines VLANs reinkommen, werden entweder direkt an
einen anderen Port dieses VLANs unverändert geschickt oder aber über den Sammelport
(Trunked Port) weitergeleitet. Dafür wird das entsprechende VLAN-Tag durch den Switch
hinzugefügt. Pakete, die über den Trunked Port empfangen werden, werden nach einer
VLAN-ID im Frame untersucht. Wird diese gefunden, so wird der Frame zu dem
entsprechendem VLAN Port weitergeleitet. Davor wird aber das Tag wieder entfernt. Wenn
der Switch diese VLAN-ID nicht findet, dann wird dieses Frame verworfen. Also, für alle
normalen Teilnehmer erfolgt die Kommunikation im VLAN transparent, sie bekommen vom
Tagging nichts mit.
Ethernet Framing-Fields vor dem Tagging
7 Byte Präambel
1 ByteFrameDelimiter
6 ByteZiel-adresse
6 ByteQuell-adresse
2 ByteTyp/Länge
46-1500ByteDaten
4 BytePrüf-summe
Vorspann 802.3 IP 802.3802.3802.3
Abb. 5: Ethernet Framing-Fields vor dem Tagging
Ethernet Framing-Fields nach dem Tagging
7 Byte Präambel
1 ByteFrameDelimiter
6 ByteZiel-adresse
6 ByteQuell-adresse
2 ByteTyp/Länge
46-1500ByteDaten
4 BytePrüf-summe
Vorspann 802.3 IP 802.3
2 Byte
ET
3 Bit
Priority
1 Bit
CFI
12 Bit
VLAN-ID
802.1q802.3 802.3
Abb. 6: Ethernet Framing-Fields nach dem Tagging
Technikerarbeit Sommer 2005
Seite 19
7.1.1 Die Felder des 802.1Q/P
ET (Ether Type)
Ether Type 802.1Q ist das erste Feld eines VLAN-Tags, hat die Länge von 2 Bytes, welches
immer den Wert von 8100h besitzt. Durch diesen Wert wird signalisiert, dass es sich um ein
VLAN Packet handelt und dass das Length-Feld von 802.3 sich hinter dem VLAN-Tag
befindet (also 4 Bytes nach hinten verschoben).
Priority (User Priority Field)
Die Priorität eines VLAN-gekennzeichneten Datenpakets wird mit einem 3-Bit-Wert
markiert. Dabei steht die "0" für die geringste, die "7" für die höchste Priorität. Datenpakete
ohne VLAN-Tag werden mit der Priorität "0" behandelt.
CFI (Canonical Format Indicator)
Dieses Feld besteht aus einem Bit und dient zur Feststellung der Ausleserichtung des
folgenden VLAN-ID Feldes.
VLAN-ID (VLAN-ID Identifier)
Mit einer eindeutigen Nummer wird das virtuelle LAN gekennzeichnet. Diese ID bestimmt
die Zugehörigkeit eines Datenpakets zu einem logischen (virtuellen) LAN. Mit diesem
12-Bit-Wert können bis zu 4094 unterschiedliche VLANs definiert werden (die VLAN-IDs
"0" und "4095" sind reserviert bzw. nicht zulässig).
Ausschnitt eines VLAN-Tags
Vorspann 802.3802.1qVLAN-TAG
802.3 IP 802.3
EthertypeVLAN8100h2 Byte
PriorityField
3 Bit
CanonicalFormatIndicator1 Bit
VLAN-IDIdentifier
12 Bit
IEEE 802.1qIEEE 802.1q
Abb. 7: Ausschnitt eines VLAN-Tags
Technikerarbeit Sommer 2005
Seite 20
8.0.0 Ethernet-Port-Trunking
Ethernet-Port-Trunking bezeichnet die sogenannte „Aggregation von Ethernet
Links“(Logische Zusammenlagerung der Verbindungen). Beim Trunking werden mehrere
physikalischen Verbindungen eines Switches zu einer logischen Verbindung
zusammengeschaltet. Den Endpunkt eines derart gebildeten virtuellen Trunk bezeichnet man
auch als virtuellen Port. Daraus leitet sich die synonyme Bezeichnung „Port Trunking“ ab.
Das Verfahren ermöglicht die kostengünstige Überführung von Fast Ethernet (100 Mbit/s)
zum Gigabit Ethernet (1000 Mbit/s), bei der die Bitrate in kleinen Schritten an den aktuellen
Bedarf angepasst werden kann. Damit ist es möglich, stark belastete Verbindungen im Netz
zu erweitern, ohne auf die Komponenten für Gigabit Ethernet umsteigen zu müssen.
Workgroup Switch Application Server
Terminal
Terminal
Terminal
Terminal
Trunk-Verbindung
Abb. 8: Trunk-Verbindung
Technikerarbeit Sommer 2005
Seite 21
9.0.0 TACACS+ & IEEE 802.1x
Frontend-Protokolle
regeln die Kommunikation zwischen dem Endbenutzer und dem NAS (Network Access
Server – Netzwerkzugangsserver). Hier unterscheiden sich die Protokolle abhängig vom
Medium bzw. der Topologie des Zugangsnetzwerkes:
• Punkt-zu-Punkt-Verbindungen: SLIP, PPP
• LAN: PPPoE, EAPoL (IEEE 802.1x)
• WLAN: WEP (IEEE 802.11), EAPoL (IEEE 802.1x),
IEEE 802.11i
Backend-Protokolle
regeln die Kommunikation zwischen dem NAS und dem Authentifikationsserver (AS). Man
bezeichnet die Protokolle auch als AAA-Protokolle, da sie Authentifikation, Autorisierung
und Accounting abdecken:
• TACACS+
• RADIUS
• Diameter
9.1.0 AAA - Begriffsdefinitionen
AAA steht für die Zusammenfassung eines Sicherheitskonzeptes, unter dem die Begriffe
Authentication, Autorization und Accounting fallen. Die Begriffe werden im Folgenden
synonym mit diesen Definitionen verwendet:
Authentifizierung
Ist der Vorgang der Überprüfung einer angegebenen Identität. Dabei kann man zwischen der
Authentifizierung des Senders bzw. des Empfängers einer Nachricht (message authentication
vs. authentication of the channel end point) unterscheiden. Beispielsweise muss sich ein
GSM-Handy immer gegenüber dem Netz identifizieren. Umgekehrt geschieht dies nicht.
Technikerarbeit Sommer 2005
Seite 22
Autorisierung
Ist der Vorgang der Überprüfung, ob bestimmte (Zugriffs-) Rechte einem (authentifizierten)
Benutzer zugesprochen werden können oder nicht. Dabei kann es sich z.B. um Zugriffsrechte
für Netzlaufwerke handeln.
Accounting
Beschreibt den Vorgang der Sammlung von Daten bzgl. Resourcenverbrauch für
Abrechnungszwecke, Kapazitätsplanungen, Statistiken etc..
Authenticator
Die Einheit, die die Authentisierung des Gerätes am anderen Ende der Verbindung anfordert.
Supplicant
Die Einheit, die Zugang zum LAN sucht und dafür durch den Authenticator überprüft wird.
Port Access Entity (PAE)
Die Protokoll-Instanz, die mit einem kontrollierten Port verbunden ist. Die Instanz kann die
Funktionalität eines Authenticators, eines Supplicant oder auch beides gemeinsam umfassen.
Authentication Server
Eine Einheit, die die Authentisierung durchführt und das Ergebnis der Authentisierung dem
Authenticator mitteilt. Diese Einheit kann mit dem Authenticator integriert sein, ist aber
meistens ein externer Server.
IEEE 802.1x
Das Protokoll dient zur Kontrolle der Benutzer-Identität beim Zugriff auf das Ethernet und ist
zuständig zwischen Geräten, die den Zugang zum LAN suchen, und zwischen Geräten, die
den Zugang zum LAN verwalten. Also die Anforderungen an ein Protokoll zwischen dem
Authenticator (Zugangspunkt zum LAN) und einen Authentisierungs-Server (z.B. RADIUS).
Technikerarbeit Sommer 2005
Seite 23
9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung
Möchte ein Benutzer über einen bestimmten LAN-Port (Local Area Network) auf Dienste
zugreifen, übernimmt der Port eine von zwei Rollen: Authentifizierer oder Anforderer. Als
Authentifizierer erzwingt der LAN-Port die Authentifizierung, bevor der Benutzerzugriff
zugelassen wird. Als Anforderer fordert der LAN-Port Zugriff auf die Dienste an, auf die der
Benutzer zugreifen möchte. Ein Authentifizierungsserver prüft die Anmeldeinformationen des
Anforderers und teilt dann dem Authentifizierer mit, ob der Anforderer zum Zugriff auf die
Dienste des Authentifizierers autorisiert ist.
Abb. 9: IEEE 802.1x-Authentifizierung
Quelle: http://www.id.ethz.ch
9.3.0 Sicherheit durch IEEE 802.1x
Aufgrund der Schwächen der in IEEE 802.11 eingeführten Authentifizierung war es nötig,
eine Alternative zu finden. Der ursprünglich für drahtgebundene Netze entwickelte Standard
IEEE 802.1x wurde hierfür herangezogen. Er spezifiziert das Grundgerüst für die eigentliche
Authentifizierung. Es wird unterschieden zwischen dem Client (Supplicant), der sich in einem
Netzwerk authentifizieren möchte, dem Authentifizierer (Authenticator), welcher als
Kommunikationspartner für den Client fungiert und dem Authentifizierungsserver
(Authentication Server), der die eigentliche Authentifizierung durchführt. In der Regel
übernimmt ein RADIUS-Server (Remote Access Dial-Up User Service) die Rolle des
Authentifizierungsservers und ein Access Point die des Authentifizierers.
Technikerarbeit Sommer 2005
Seite 24
Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE
802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprünglich für
die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von
Authentifizierungsmethoden unterstützt.
Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in
zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der
kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem
autorisierten Zustand befindet. Eine Kommunikation über den unkontrollierten Port ist zwar
stets möglich, jedoch ist diese eingeschränkt.
Quelle: http://einstein.informatik.uni-oldenburg.de
9.4.0 TACACS+ Überblick
TACACS steht für Terminal Access Controller Access Control Server
TACACS+ ist die zentrale Komponente von Ciscos AAA-Modell (Authentication,
Authorization, Accouting). AAA beschreibt eine Umgebung, in der verschiedene Protokolle
und Dienste kooperieren, um Benutzerkonten zu verwalten, Berechtigungsüberprüfungen
durchzuführen und Abrechnungsdaten zu erheben.
TACACS+ ist die jüngste Cisco-spezifsche Erweiterung des TACACS-Protokolls. Sie
erlaubt höhere Sicherheit, da die Daten verschlüsselt und über TCP übertragen werden.
Von den drei TACACS-Verfahren ist TACACS+ das mächtigste. Es ist als Vorschlag für
einen künftigen Internet-Standard eingereicht. Die beiden älteren Verfahren werden von Cisco
künftig nicht mehr unterstützt
9.4.1 Funktion von TACACS
Innerhalb eines großen Netzwerkes findet die Verwaltung und Speicherung von
Benutzerdaten an einer zentralen Stelle statt. Diese Daten dienen auch der Authentifizierung
von Benutzern, die sich am Netzwerk anmelden. Es folgt nun ein Zugriff von außen, auf das
Netzwerk, eine RAS- oder VPN-Verbindung wird hergestellt. Über diese Verbindung muss
der Benutzer vor dem Zugriff auf das Netzwerk authentifiziert werden. Das Bindeglied
zwischen der zentralen Benutzerverwaltung und dem RAS ist der TACACS+. Das TACACS+
Technikerarbeit Sommer 2005
Seite 25
Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das Accounting. Vom
TACACS+-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert
und kann zu Abrechnungszwecken herangezogen werden.
TACACS ist in gewissen Bereichen dem RADIUS ähnlich. So stellt ein Client eine
Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den
zentralen TACACS-Server weiterleitet. Cisco hat zwei Erweiterungen, das Extended
TACACS (XTACACS) und TACACS erarbeitet. Das TACACS+ Subsystem (Authenticator)
stellt eine TCP-Verbindung zum Host (TACACS+-Server, Authentication Server) her und
sendet ein Start-Paket. Der Host reagiert mit einem Replay-Paket, das entweder direkt den
Zugriff gestattet oder verweigert, einen Fehler meldet oder an den Supplicant eine Anfrage
stellt. Der User wird also nach Username und Password gefragt, welches durch das
Subsystem wieder an den Host übertragen wird. Der Host reagiert entsprechend und die
Verbindung wird geschlossen. tac_plus ist Cisco's freier TACACS+-Server für Unix, welcher
auch mit Debian GNU/Linux mitgeliefert wird. Eine volle Implemation wird von Cisco
kommerziell vertrieben. Da TACACS+ ein properitäres Protokoll der Firma Cisco ist, verliert
es gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen
Verbreitung der Cisco-Produkte bis heute halten.
Ein Vorteil von TACACS+ gegenüber RADIUS ist unter Umständen, das TACACS+ das
ganze Paket verschlüsselt, RADIUS hingegen nur das Passwort, was aber bei den meisten
Einsatzbereichen keine Rolle spielt.
9.4.2 Fazit
Der IEEE 802.1x Standard legt unter anderem fest, wie das Authentifizierungsprotokoll EAP
(Extensible Authentication Protokoll) über Kabel oder Funknetzwerk in Ethernet – Frames
verpackt. Deshalb heißt 802.1.x auch EAPOL (EAP over LAN). Das Protokoll wird außer bei
portbasierender Authentifikation auch bei Wireless Lan Geräten angewendet, um die
Kommunikation zum Gerät über den Access-Point zu ermöglichen.
Neben EAP, basiert 802.1x zusätzlich auf PPP (Point to Point Protokoll). PPP und EAP sind
Internetstandards (in RFCs definiert), während 802.1.x von der IEEE (Institute of Electrical
and Electronics Engineers) stammt. Die RFCs sind durchnummerierte Serien von
Dokumenten die veröffentlicht werden.
Das TACACS+ Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das
Accounting. Während IEEE 802.1x nur ein Authentisierungsprotokoll darstellt, ist das
Technikerarbeit Sommer 2005
Seite 26
TACACS+ zuständig für die Authentifizierung (Authentication), Autorisierung
(Authorisation) oder zu Abrechnungszwecken (Accounting). TACACS+ spielt auch die
Bindegliedrolle zwischen der zentralen Benutzerverwaltung und dem RAS (Remote Access
Service). RAS ist ein Dienst, über den man sich beispielsweise zwecks Fernsteuerung auf
einen anderen PC oder in ein internes LAN einwählen kann.
Bei der Auswahl eines Authentification-Servers sprechen Folgende Vorteile für
TACACS+:
• TACACS+ verschlüsslet das ganze Paket, RADIUS hingegen nur das Passwort.
• Die Passwort-Konfigurationen sind nicht mehr physikalisch auf den Geräten und
müssen dadurch auch nicht mehr einzeln gepflegt werden.
• Skalierbarkeit. Beim editieren von Usern werden sämtliche Änderungen nur in einer
Datenbank nachgeführt. Dadurch ist die Übersicht besser gewährleistet. Die
Passwörter werden verschlüsselt auf einem AAA-Server gespeichert (z.B. auf einem
Unix System). Der starke Algorithmus bei Unix verschlüsselten Passwörter bietet so
wesentlich mehr Sicherheit.
• Jeder Zugriff auf die Geräte wird beim AAA-Server geloggt und kann ausgewertet
werden. Damit hat man ein gutes Tool zur Überwachung sämtlicher Aktivitäten in den
Händen. Zusätzlich können damit auch Abrechnungsinformationen in Bezug auf
Sicherheits-Audits oder Kontenabrechnungen aufgezeichnet werden
Dagegen stehen folgende Nachteile:
Da auf dem Markt keine günstigen Switches verfügbar sind, die mit TACACS+ umgehen
können, und weil TACACS+ ein properitäres Protokol der Firma Cisco ist, verliert es
gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen
Verbreitung der Cisco-Produkte bis heute halten. Die frei erhältliche Version von TACACS+
unterschtützt viele wichtige Funktionen wie z.B. die Anwendung der Zertfikate wie EAP/TLS
bei Authententifikation nicht. Somit müsste die Authentifizierung über die MAC-Adresse
erfolgen. Allerdings wäre dann die Sicherheit beeinträchtigt, da die MAC-Adresse leicht
gefälscht werden könnte. Die Umstrukturierung eines Netzes auf WLAN wäre bei TACACS+
nur mit Geräten von Cisco möglich. Diese Nachteile bestätigen den Verdacht, dass die
Zukunft des TACACS+ als Authentifizierungsservers ungewiss ist.
Technikerarbeit Sommer 2005
Seite 27
10.0.0 Beschreibung der Hardware
Die für dieses Projekt zur Verfügung stehenden Geräte sind jeweils Layer-2-Switches von
den Firmen Cisco bzw. Hewlett-Packard. Diese Layer-2-Switches arbeiten auf dem Data-
Link-Layer und sind unabhängig von darüber liegenden Protokollen.
Während des Betriebes lernt ein Switch alle MAC-Adressen und ordnet diese in einer
MAC-Tabelle ein. Nach dem Empfangen eines Frames überprüft der Switch die MAC-
Zieladresse. Ist in der MAC-Tabelle ein Eintrag für dieses Ziel hinterlegt, so wird der Frame
dorthin weiter geleitet. Ist kein Eintrag in der MAC-Tabelle vorhanden, wird der Frame an
alle anderen Ports als Broatcast weitergesendet bis auf den Port, an dem der Frame empfangen
worden ist. Bei VLANs arbeitet ein Layer-2-Switch ebenso, aber bezogen auf die VLANs. Es
gibt eine MAC-Adresstabelle für jedes VLAN.
10.1.0 Cisco Catalyst 2950
Der Cisco Catalyst 2950 ist ein sehr gut ausgestatteter und günstiger Switch für den
Serverschrank. Das Model hat 24 eingebaute RJ45 Ports mit 10Base-T/100Base-TX. An
jedem der Ports können ein Endgerät oder ein weiterer Switch angeschlossen werden. Jedes
Interface hat eine Bezeichnung der Form x/y, vor dem Schrägstrich steht immer eine 0.
Daher heißt das erste Interface 0/1, das zweite 0/2 usw.
Dieser Cisco Catalyst 2950 ist ein stapelbarer, verwaltbarer Switch, der weitere
Leistungsmerkmale wie die Netzwerk-Überwachung, VLAN-Unterstützung und Vollduplex-
fähigkeit aufweist. Darüber hinaus sind, IEEE 802.3, IEEE 802.3U, IEEE 802.1D,
IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.1x wichtige Protokolle, die dieser
Switch unterstützt. Weitere technische Einzelheiten unter http://www.cisco.com
POST (Power-On Self Test) ist die Selbstprüfung des Gerätes die vor dem Laden des
Betriebssystems durchführt wird, um die Hardware zu testen. Während der Selbstprüfung
läuft das Betriebssystem noch nicht und die LEDs haben eine eigene Bedeutung. Im
Normalbetrieb dienen sie jedoch ganz anderen Zwecken. Beim Startvorgang zeigen alle LEDs
kurz grün an, um die Funktionstüchtigkeit der LEDs selbst zu signalisieren. Mit der
„Modus-Taste“ wird der Switch von Modus zu Modus umgeschaltet: stat, util, duplex oder
speed. Der aktuelle Modus lässt sich durch die LEDs erkennen. Um die
Konfigurationseinstellungen des Switches auf Werkeinstellungen zurück zu setzen, muss die
Technikerarbeit Sommer 2005
Seite 28
„Modustaste“ betätigt werden und gleichzeitig das Stromversorgungskabel entfernt und
wieder eingesteckt werden.
Abb. 10: Indikatoren Cisco Catalyst 2950
• System LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch
eingeschaltet ist. Gelber Zustand der LED deutet auf ein Problem hin, das sich durch
POST ergeben hat
• RPS LED: Signalisiert die Existenz und Status der redundanten Stromversorgung
(RPS) und den Status der Hauptstromversorgung
• Port-LEDs: Haben eine Bedeutung, die vom akitven Modus des Switches abhängt
• Stat-LED: Bei diesem Modus zeigt die Port-LED den Status des Ports an. Grün steht
für bereit, Aus für nicht bereit und grünes Blinken zeigt Aktivität an
• Util-LED: Dieser Modus verwendet die kombinierten Port-LEDs als Anzeige für die
Gesamtauslastung des Switches. Je mehr Port-LEDs leuchten, desto stärker ist der
Switch ausgelastet
• Dublex-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen
Vollduplex-Port, bzw. aus, wenn es sich um einen Halbduplex-Port handelt
• Speed-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen 100
MBit/s Port bzw. aus, wenn es sich um einen 10 MBit/s Port handelt
Auf der Rückseite des Switches befinden sich eine RJ45 Konsole-Schnittstelle und ein
Anschluss für Stromversorgung 110/230V Wechselspannung 110/220 +/- 10% (50/60 Hz).
Technikerarbeit Sommer 2005
Seite 29
10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950
Der Benutzer-EXEC-Modus ist an der Eingabeaufforderung durch das Zeichen „>“ zu
erkennen. Im Benutzer-EXEC-Modus ist nur eine begrenzte Anzahl grundlegender
Überwachungsbefehle zulässig. Mit dem Befehl „enable“ kann man vom
Benutzer-EXEC-Modus in den privilegierten EXEC-Modus wechseln. Dieser Modus lässt
sich durch das Zeichen „#“ an der Eingabeaufforderung erkennen und man hat in diesem
Modus Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung
werden alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt.
Gibt man an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt
die „Tab-Taste“, wird der jeweilige Befehl vervollständigt. Mit dem Befehl „exit“ oder
„CNTL+Z“ gelangen sie einen Modus zurück. Mit dem Befehl „end“ gelangen sie sofort
wieder in den privilegierten EXEC-Mode. Fast jeder IOS-Befehl hat auch eine negierte Form,
dass durch hinzufügen von „no“ vor dem eigentlichen Befehl aktiviert wird.
Allgemeine Befehle
Switch#show ? Zeigt alle show-Befehle an
Switch#show interface status Zeigt aktuellen Status der Ports an
Switch#show running-config Zeigt die laufenden Konfigurationseinstellungen
Switch#debug dot1x Schaltet Debug-Modus für IEEE 802.1x Authentifizierung ein
Switch#debug radius Schaltet Debug-Modus für die Kommunikation zwischen Switch und RADIUS-Server ein
Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für
die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können
in den Dokumentationen nachgeschlagen werden.
Technikerarbeit Sommer 2005
Seite 30
10.2.0 HP Procurve 2524
Bei diesem HP Procurve 2524 Switch handelt es sich um ein Model der 2500 Serie. Diese
sind relativ kostengünstig, stapelbar, verwaltbar und es gibt sie mit 24 bzw. 12 Ports mit
10/100-Autosensing je Port. Zudem sind 2 freie Transceiver-Slots für Gigabit oder
100Base-FX vorhanden. Der Switch lässt sich über die Konsole sowie auch über jeden
beliebigen Webbrowser im Netzwerk konfigurieren. Das sogenannte Link Aggregation
Control Protocol (LACP) und HP-Trunking unterstützt einen einzigen Trunk mit bis zu 4
Links. Es werden bis zu 30 portbasierte VLANs und dynamische Konfiguration von 802.1Q
VLAN Tagging unterstützt. Ebenfalls gibt es Einstellungen zur Portsicherheit. IEEE 802.1p
Priorisierung liefert Daten an Geräte basierend auf Priorität und Typ des Datenverkehrs. Das
Spanning Tree Protocol bietet redundante Links und verhindert gleichzeitig Netzwerkloops;
daneben wird durch das 802.1w Rapid Convergence Spanning Tree Protocol höhere
Verfügbarkeit durch schnellere Wiederherstellung nach dem Ausfall von Links erreicht. Auf
die Switches gibt HP eine lebenslange Garantie.
Nähere technische Informationen sind unter http://www.hp.com abrufbar.
Folgendes Bild zeigt die Front des HP Procurve 2524 Switches:
Abb. 11: Front des HP Procurve 2524 Switch
Bildquelle:
HP procurve series 2300 and 2500 switches Installation and getting started guide.pdf
Der HP Procurve 2524 Switch besitzt auf der Frontseite Taster, mit denen entsprechende
Funktionen ausgelöst werden können, und verschiedene Indikator-LEDs, die den aktuellen
Betriebszustand des Gerätes signalisieren.
Technikerarbeit Sommer 2005
Seite 31
Taster:
• Mode Select Taster: Dient zum Umschalten der verschiedenen Moden
• Reset Taster: Löst einen Neustart des Switches aus
• Clear Taster: Löscht alle gesetzten Konsole Zugangspasswörter
Port LEDs:
• Link LED: leuchtet, wenn entsprechender Port aktiviert ist und eine Verbindung zu
dem angeschlossenem Gerät besteht. Leuchtet LED nicht, ist Port deaktiviert oder es
besteht keine Verbindung. Blinkt LED simultan mit der Fault LED, weist der
entsprechende Port einen Fehler auf
• Mode LED: Zeigt an, ob ein Port für den Voll Duplex Modus oder für den Max.
Geschwindigkeits Modus aktiviert ist, bzw. ob ein Port Netzwerkaktivität anzeigt
oder Netzwerkereignisse signalisiert, die das Einschreiten des Administrators
erfordern, abhängig vom Modus, der ausgewählt wurde.
Switch LEDs:
• Power LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch
eingeschaltet ist.
• Fault LED: LED signalisiert nach dem Start bzw. nach Abschluss des Selbsttests, ob
ein Fehler vorliegt. Bei nicht leuchtender LED liegt kein Fehler vor, bei blinkender
LED liegt ein Fehler auf einem der Switch Ports oder des Lüfters vor und bei
leuchtender LED wird ein schwerer Hardwarefehler signalisiert
• Self Test LED: LED leuchtet während der Durchführung des Selbsttests, LED blinkt,
wenn eine Komponente einen Fehler aufwies
• Fan Status LED: Leuchtet wenn Lüfter ordnungsgemäß funktioniert und blinkt
simultan mit der Fault LED, wenn ein Fehler des Lüfters vorliegt.
Mode Select LEDs:
• Act LED: Signalisiert, dass die Port Mode LEDs Information über die Netzwer-
kaktivität anzeigen
• FDx LED: Signalisiert, dass die Port Mode LEDs für Ports, die im Voll Duplex
Modus sind, leuchten
Technikerarbeit Sommer 2005
Seite 32
• Max LED: Signalisiert, dass die Port Mode LEDs für die Ports leuchten, die in ihrer
max. möglichen Geschwindigkeit arbeiten. Z.B. für die 10/100TX Ports wäre es
100Mbps
• ! LED: Signalisiert dass die Port Mode LEDs Netzwerkereignisse anzeigen, die das
Einschreiten des Administrators erfordern.
Abb. 12: Indikatoren HP Procurve 2524
Auf der Rückseite des Gerätes befindet sich ein Anschluss für die Stromversorgung,
110/230V Wechselspannung (50/60 Hz) sowie ein Lüfter, der für die notwendige Kühlung
des Gerätes sorgt und demzufolge nicht abgedeckt werden darf.
Technikerarbeit Sommer 2005
Seite 33
10.2.1 Command Line Interface (CLI) des HP Procurve 2524
Der HP Procureve besitzt einen Operator-EXEC-Modus, sowie einen Manager-EXEC-Modus
mit einigen Kontext-Moden. Der Operator-EXEC-Modus ist an der Eingabeaufforderung
„Switch#“ zu erkennen. Im Operator-EXEC-Modus ist nur eine begrenzte Anzahl
grundlegender Überwachungsbefehle zulässig. Mit dem Befehl „config“ kann man vom
Operator-EXEC-Modus in den Manager-EXEC-Modus wechseln. Dieser Modus lässt sich
durch die Eingabeaufforderung „Switch(config)#“ erkennen und man hat in diesem Modus
Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung werden
alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt. Gibt man
an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt die „Tab-
Taste“, wird der jeweilige Befehl vervollständigt. Mit der Befehl „exit“ gelangen man einen
Modus zurück. Die meisten Befehle besitzen auch eine negierte Form um einen aktiven
Befehl wieder zu deaktivieren. Dies geschieht mit der Eingabe von „no“ vor dem eigentlichen
Befehl.
Allgemeine Befehle
Switch#show ? Zeigt alle show-Befehle an
Switch#show interfaces Zeigt Informationen aller Ports an
Switch#show running-config Zeigt die laufenden Konfigurationseinstellungen
Switch# show port-access authenticator
Zeigt Authentifikation der Ports an
Switch# erase startup-config Löscht die „Startup-config“
Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für
die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können
im Benutzerhandbuch bzw. im command-line-interface-reference-guide nachgeschlagen
werden.
Technikerarbeit Sommer 2005
Seite 34
11.0.0 Zugriff auf die Konsolenebene eines Switches
11.1.0 Lokaler Zugriff auf einen Switch
Um einen Switch zu konfigurieren, muss dieser zuvor über den Konsole-Port mit einem
sogenannten Rolloverkabel mit dem PC auf eine serielle Schnittstelle verbunden sein.
Darüber hinaus benötigt man ein Terminalprogramm, um die lokale Kommunikation
zwischen Switch und PC zu ermöglichen. Es gibt zahlreiche Terminalprogramme auf dem
Markt, für dieses Projekt wurde das “Tera Term Pro Version 2.3“ angewendet.
Downloadlink: http://hp.vector.co.jp/authors/VA002416/teraterm.html
Um mit dieser Software eine erfolgreiche Kommunikation auf die Konsole zu ermöglichen,
müssen folgende Einstellungen durchgeführt werden:
Schritt 1: Unter Setup / Serial port... müssen folgende Einstellungen vorgenommen werden;
Abb. 13: Tera Term Serial port setup
Schritt 2: Serial aktivieren und entsprechende COM-Schnittstelle auswählen, an der das
Rolloverkabel mit dem PC verbunden ist, anschließend mit „OK“ Button bestätigen
Abb. 14: Tera Term New connection
Terminalfenster mit der Konsole des entsprechenden Switches wird geöffnet.
Technikerarbeit Sommer 2005
Seite 35
11.2.0 Fernzugriff auf einen Switch
Um Flexibilität und standortunabhängige Konfigurationen sicherzustellen, wurde als
Telnet/SSH Client das sogenannte PuTTY herangezogen. Hierdurch kann über SSH Zugriff
von der Schule sowie über das Internet Zugriff auf den Switch erfolgen.
Downloadlink: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
11.2.1 Zugriff über das Intranet der GWS-Lörrach
Schritt 1: Nach Eingabe des Host Name (or IP address) „sshserver“ mit dem
“Open“ Button bestätigen. Anschließend wird die Verbindung aufgebaut und das Terminal-
Fenster wird geöffnet.
Abb. 15: PuTTY Verbindung über das Intranet der GWS-Lörrach
11.2.2 Zugriff über das Internet
Schritt 1: Nach Eingabe des Host Name (or IP address)
„gws-loe.remoteconnect.de“ mit dem „Open“ Button bestätigen. Anschließend wird
die Verbindung aufgebaut und das Terminal-Fenster wird geöffnet.
Eingabefeld für Host Name
Technikerarbeit Sommer 2005
Seite 36
Abb. 16: PuTTY Verbindung über das Internet
Danach müssen für beide Zugangsarten (Intranet der GWS-Lörrach oder Internet) folgende
Schritte im Terminal-Fenster getätigt werden, um eine Verbindung vom GWS-Lörrach
SSH-Server auf den Debrad SSH-Server und somit auf Minicom herzustellen. Minicom stellt
ein Interface auf die COM Schnittstelle des Rechners dar, an dem der entsprechende Switch
über ein Rollover-Kabel angeschlossen ist.
11.2.3 Login-Vorgang über SSH-Server auf Minicom
Benutzername und Passwort eingeben, um sich auf dem SSH-Server der GWS-Lörrach
einzuloggen:
Schritt 1: Login as: [Benutzername] Schritt 2: password: **********
Benutzername und Passwort eingeben, um sich über den GWS-Lörrach SSH-Server auf den
Debrad SSH-Server anzumelden:
Schritt 3: [Benutzername]@sshserver:~$ ssh [Benutzername]@debrad Schritt 4: Password: **********
Eingabefeld für Host Name
Technikerarbeit Sommer 2005
Seite 37
Mit folgendem Befehl kann man sich über Minicom auf dem entsprechenden Switch
(Cisco Catalyst 2950 bzw. HP Procurve 2524) einloggen:
Schritt 5: [Benutzername]@debvl:~$ minicom hp oder
Schritt 5: [Benutzername]@debvl:~$ minicom cisco
Um nach einer Sitzung Minicom zu beenden, wird folgendermaßen vorgegangen:
Schritt 6: Strg + A, Z X
Schritt 7: Leave Minicom: Yes Schritt 8: [Benutzername]@debvl:~$ exit Schritt 9: [Benutzername]@sshserver:~$ exit
Technikerarbeit Sommer 2005
Seite 38
12.0.0 Firmwareupdate der Switches
Einerseits gehörte das Updaten der Switches zur Aufgabenstellung der Technikerarbeit,
anderseits, musste sichergestellt werden, dass die Switches mit den aktuellen IOS/OS
Versionen versehen wurden. Nur so kann davon ausgegangen werden, dass alle Optionen
unterstützt werden und die einwandfreie Funktion der Switches gewährleistet wird.
Hierzu wird ein sogenannter TFTP-Server (Trivial File Transfer Protocol) auf dem Rechner
benötigt, um die Datenkommunikation zwischen Rechner und Switch zu gewährleisten. Vor
einem Update auf ein neues IOS/OS sollte jedoch zuvor die alte Version des IOS/OS via
TFTP auf den Rechner übertragen und dort gespeichetrt werden um im Falle eines
Misserfolges die ursprüngliche Firmware wieder herzustellen. Ein weiterer Aspekt der
Benutzung eines TFTP Servers ist dass man sämtliche Konfigurations-Files über TFTP auf
den Rechner sichern kann. Als TFTP-Server entschied man sich für „3CDaemon Version 2.0“
von 3com.
Downloadlink: http://support.3com.com/software/utilities_for_windows_32_bit.htm
Um eine TFTP Verbindung zwischen Rechner und Switch aufzubauen, muss sich sowohl der
Switch als auch der TFTP-Server im selben IP-Netzbereich befinden. Die IP-Vergabe auf
einem Windows-Rechner erfolgt unter Start/Einstellungen/Netzwerkverbindungen. In
welchen IP-Adressbereich sich der Switch befindet, hängt von der IP Einstellung des
Switches ab, die in den folgenden Kapiteln beschreiben wird.
Außerdem muss unter „Configure TFTP Server“ in dem Eingabefeld „Upload/Download
directory“ der Pfad angegeben werden, an dem die Files zum Transfer gespeichert bzw.
abgerufen werden. Mit dem Betätigen des „STOP“ -/ bzw. „GO“ Buttons kann der TFTP
Server deaktiviert bzw. aktiviert werden.
Abb. 17: Einstellungen 3CDaemon
Eingabefeld für Host Name
Technikerarbeit Sommer 2005
Seite 39
Vor dem Updaten des Switches müssen mehrere ziemlich wichtige Informationen mit
berücksichtigt werden:
• Wie lauten IP Adresse oder Hostname des TFTP-Servers?
• Wie heißt die Datei?
• Ist der Flash-Speicher für diese Datei groß genug?
• Liegt auf dem Server überhaupt eine Datei mit diesem Namen?
• Soll die alte Datei wirklich gelöscht werden?
12.1.0 IOS-Update Cisco Catalyst 2950
Das Interwork Operating System (IOS) wird im Flash-Memory gespeichert. Das
Flash-Memory ist ein wiederbeschreibbarer, permanenter Speicher. Das ist ideal für Dateien,
auf die man zurückgreifen muss, wenn der Switch einmal einen Stromausfall hatte. Ein
weiterer Vorteil ist, dass es keine beweglichen Teile gibt. So wird eine höhere Zuverlässigkeit
erreicht als bei Laufwerken.
Zunächst muss das IOS-Image natürlich von Cisco bezogen werden. Das Beziehen des
IOS-Image ist nur mit einen aktuellen Servicevertrag der Firma Cisco möglich. Dann muss
dies in das Standardverzeiniss des TFTP-Servers abgelegt werden. Schließlich muss auf dem
Switch der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory
kopiert.
1. Catalyst#dir flash: Zeigt Informationen über das Flash: - Inhalt (IOS Version) - Gesamt- bzw. freier Speicherplatz
2. Catalyst#copy flash tftp Source filename[]? c2950-i6q4l2-mz.121-14.EA1a.bin Address or name of remote host []? 192.168.0.10 Destination filename [c2950-i6q4l2-mz.121-14.EA1a.bin]?
Sichern des IOS von Flash auf PC über TFTP - Name der Quelldatei - Angabe des TFTP Servers - Name der Zieldatei
Technikerarbeit Sommer 2005
Seite 40
Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1
3. Catalyst#del flash:c2950-i6q4l2-mz.121-14.EA1a.bin
Löschen der Datei „c2950-i6q4l2-mz.121-14.EA1a.bin“ aus dem Flashmemory
Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2
Technikerarbeit Sommer 2005
Seite 41
4. Catalyst#copy tftp flash Address or name of remote host []? 192.168.0.10 Source filename[c2950-i6q4l2-mz.121-22.EA3.bin]? Destination filename [c2950-i6q4l2-mz.121-22.EA3.bin]?
Laden des gewünschten IOS Version von PC auf Flash über TFTP - Angabe des TFTP Servers - Name der Quelldatei - Name der Zieldatei
Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3
Technikerarbeit Sommer 2005
Seite 42
Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs
Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server
5. Catalyst#config terminal Wechselt in den Konfigurationsmodus
6. Catalyst(config)# boot system flash: c2950-i6q4l2-mz.121-22.EA3.bin
Name des neuen IOS von dem der Switch booten soll
7.
Catalyst(config)#exit
Zurück in Privilegierten EXEC-Modus
8. Catalyst#show boot
Zeigt Boot Einstellungen an
Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4
Technikerarbeit Sommer 2005
Seite 43
9. Catalyst#reload
Switch wird neu gebootet
10. Catalyst#show version
Zeigt die aktuelle IOS Version an
12.2.0 OS-Update HP Procurve 2524
Ein Update des Switches kann sowohl über einen TFTP-Server sowie als auch über ein
XMODEM durchgeführt werden. Das Switch Operating System (OS) wird im Flashmemory
hinterlegt. HP stellt kostenlose Updates der Firmware auf ihrer Homepage zum Downlaoden
bereit. Folgende Schritte beschreiben den Updatevorgang über TFTP. Dabei muss sich das
neue OS im Standardverzeinis des TFTP-Servers befinden. Schließlich muss auf dem Switch
der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory kopiert.
1. Switch#show version Zeigt die aktuelle OS an
2. Switch#copy flash tftp 192.168.0.10 F_05_22.swi
Sichern des OS von Flash auf PC über TFTP
Abb. 23: OS-Update HP Procurve 2524, Bild 1
3. Switch#copy tftp flash 192.168.0.10 F_05_34.swi
Laden der gewünschten OS Version von PC auf Flash über TFTP
Abb. 24: OS-Update HP Procurve 2524, Bild 2
Technikerarbeit Sommer 2005
Seite 44
Nachdem das gewünschte OS auf den Switch geladen wurde, löst Switch einen Neustart aus
und wird mit neuem OS gestartet.
4. Switch#show version Zeigt die aktuelle OS an
Abb. 25: OS-Update HP Procurve 2524, Bild 3
Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs
Abb. 26: OS-Update HP Procurve 2524, TFTP-Server
Technikerarbeit Sommer 2005
Seite 45
13.0.0 Konfiguration der Switches
Diese Kapitel befasst sich mit der Konfiguration des Cisco Catalyst 2950 und des HP
Procurve 2524. Es gibt verschiedene Möglichkeiten diese Switches zu konfigurieren, wie über
das Webinterface und über das Comand Line Interface (CLI), bei HP zusätzlich noch über das
Menu. Allerdings ist es sinnvoll einen Switch über das CLI zu konfigurieren, da man nur in
diesem wirklich alle Funktionen, die der Switch zur Verfügung stellt, konfigurieren kann.
Außerdem ist hier die Konfiguration nach einer Übungszeit wesentlich schneller da, durch
einen Befehl beispielsweise alle Ports auf Authentifizierung über IEEE 802.1x gesetzt werden
können. Das Menu des HP Procurve 2524 lässt sich über das CLI erreichen und stellt dem
Administrator eine komfortable Alternative zur CLI bereit. Das Webinterface eignet sich sehr
gut für die allgemeine Überwachung des Switches und ist über das lokale Netzwerk
erreichbar. In diesem Projekt wurde die komplette Konfiguration über das CLI durchgeführt.
Nachfolgende Tabelle soll veranschaulichen wie die IP-Adressen der einzelnen VLANs auf
den jeweiligen Switches vergeben worden sind. Den Radius-Server erreichen die Switches
über das Management-VLAN (VLAN 1), dass sich im selben Adressbereich wie der
Radius-Server befinden muss.
Radius-Server: 192.168.0.1 / 24
VLAN Name IP / Catalyst 2950 IP / Procurve 2524 1 Admin_VLAN 192.168.0.6 / 24 192.168.0.5 / 24 2 Gast 192.168.1.1 / 24 192.168.1.1 / 24 3 Lehrer_1 192.168.2.1 / 24 192.168.2.1 / 24 4 Lehrer_2 192.168.3.1 / 24 192.168.3.1 / 24 5 Schueler_1 192.168.4.1 / 24 192.168.4.1 / 24 6 Schueler_2 192.168.5.1 / 24 192.168.5.1 / 24
Technikerarbeit Sommer 2005
Seite 46
13.1.0 Konfiguration des Cisco Catalyst 2950
1. Switch>enable Wechsel vom Benutzer-EXEC-Modus in den privilegierten EXEC-Modus
2. Switch# clock set 09:21:34 09 May 2005
Einstellung der Uhrzeit und des Datums
3. Switch#configure terminal
Wechselt in den Konfigurationsmodus
4. Switch(config)# enable password catalyst
Vergabe des Passworts “catalyst”
5. Switch(config)#hostname Catalyst
Benennung des Gerätes
Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1
6. Catalyst(config)#aaa new-model Aktivierung von AAA
7. Catalyst(config)# aaa authentication dot1x default group radius
Aktivierung der Authentifikation über Radius-Server
8. Catalyst(config)# aaa authorization network default group radius
Switch wird für alle Anfragen über Netzwerkverbindungen durch Radius-Autorisierung aktiviert
9. Catalyst(config)# dot1x system-auth-control
Aktivierung von IEEE 802.1x Authentifikation
Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2
Technikerarbeit Sommer 2005
Seite 47
Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3
10. Catalyst(config)#interface range fastEthernet 0/1 - 23
Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest
11. Catalyst(config-if-range)# switchport mode access
Der gewählte Portbereich wird für VLANs definiert
12. Catalyst(config-if-range)# dot1x port-control auto
Automatische Aktivierung von IEEE 802.1x auf dem gewähltem Portbereich
13. Catalyst(config-if-range)# spanning-tree portfast
Der gewählte Portbereich wird aktiviert um bei bestehender Verbindung direkt das Forwarding zu nutzen
14. Catalyst(config-if-range)#exit
Führt zurück in den Konfigurationsmodus
15. Catalyst(config)# Radius-server host 192.168.0.1 key test123
Konfiguration der Parameter des Radius-Servers (IP und Passwort)
16. Catalyst(config)#vlan 2 Erzeugt ein zweites VLAN
17. Catalyst(config-vlan)# name Gast
Benennung des VLAN 2 in „Gast“
18. Catalyst(config-vlan)#exit Zurück in den Konfigurationsmodus
19. Catalyst(config)#vlan 3
Erzeugt ein drittes VLAN
20. Catalyst(config-vlan)# name Lehrer_1
Benennung des VLAN 3 in „Lehrer_1“
21. Catalyst(config-vlan)#exit
Zurück in den Konfigurationsmodus
22. Catalyst(config)#vlan 4
Erzeugt ein viertes VLAN
23. Catalyst(config-vlan)# name Lehrer_2
Benennung des VLAN 4 in „Lehrer_2“
24. Catalyst(config-vlan)#exit
Zurück in den Konfigurationsmodus
25. Catalyst(config)#vlan 5
Erzeugt ein fünftes VLAN
Technikerarbeit Sommer 2005
Seite 48
Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4
26. Catalyst(config-vlan)# name Schueler_1
Benennung des VLAN 5 in „Schueler_1“
27. Catalyst(config-vlan)#exit
Zurück in den Konfigurationsmodus
28. Catalyst(config)#vlan 6
Erzeugt ein sechstes VLAN
29. Catalyst(config-vlan)# name Schueler_2
Benennung des VLAN 6 in „Schueler_2“
30. Catalyst(config-vlan)#exit
Zurück in den Konfigurationsmodus
31. Catalyst(config)#interface vlan1 Wechselt zu Interface VLAN 1
32. Catalyst(config-if)# ip address 192.168.0.6 255.255.255.0
Vergabe der IP 192.168.0.6 / 24 an VLAN 1
33. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
34. Catalyst(config)#interface vlan2
Wechselt zu Interface VLAN 2
35. Catalyst(config-if)# ip address 192.168.1.1 255.255.255.0
Vergabe der IP 192.168.1.1 / 24 an VLAN 2
36. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
37. Catalyst(config)#interface vlan3
Wechselt zu Interface VLAN 3
38. Catalyst(config-if)# ip address 192.168.2.1 255.255.255.0
Vergabe der IP 192.168.2.1 / 24 an VLAN 3
39. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
Technikerarbeit Sommer 2005
Seite 49
Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5
40. Catalyst(config)#interface vlan4
Wechselt zu Interface VLAN 4
41. Catalyst(config-if)# ip address 192.168.3.1 255.255.255.0
Vergabe der IP 192.168.3.1 / 24 an VLAN 4
42. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
43. Catalyst(config)#interface vlan5
Wechselt zu Interface VLAN 5
44. Catalyst(config-if)# ip address 192.168.4.1 255.255.255.0
Vergabe der IP 192.168.4.1 / 24 an VLAN 5
45. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
46. Catalyst(config)#interface vlan6
Wechselt zu Interface VLAN 6
47. Catalyst(config-if)# ip address 192.168.5.1 255.255.255.0
Vergabe der IP 192.168.5.1 / 24 an VLAN 6
48. Catalyst(config-if)#exit
Zurück in den Konfigurationsmodus
49. Catalyst(config)#interface range fastEthernet 0/1 - 23
Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest
50. Catalyst(config-if-range)# switchport access vlan 2
Ordnet unauthorisierte Clients in VLAN 2 (Gast-VLAN) ein
51. Catalyst(config-if-range)#end Zurück in den privilegierten EXEC-Modus
Technikerarbeit Sommer 2005
Seite 50
Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6
Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7
52. Catalyst#show vlan Zeigt Überblick über VLANs
53. Catalyst#write memory Sichert die Einstellungen in der „config.text“ Datei
54. Catalyst#copy config.text tftp Address or name of remote host []? 192.168.0.10 Destination filename [config.text]? config.text
Sichern der „config.text“ von Flash auf PC über TFTP - Angabe des TFTP Servers - Name der Zieldatei
Technikerarbeit Sommer 2005
Seite 51
13.2.0 Konfiguration des HP Procurve 2524
1. HP ProCurve Switch 2512>enable Wechselt in den EXEC-Modus
2. HP Procurve Switch 2512#config
Wechselt von dem Operator-EXEC-Modus in den Manager-EXEC-Modus
3. HP ProCurve Switch 2512(config)# clock set 05/09/2005 14:41
Einstellung der Uhrzeit und des Datums
4. HP ProCurve Switch 2512(config)# hostname Procurve
Benennung des Geräts
5. Procurve(config)#password all
Vergabe der Passwörter „procurve“ Operator: nur Leseberechtigung Manager: Vollzugriff
Abb. 34: Konfiguration des HP Procurve 2524, Bild 1
6. Procurve(config)# vlan 1 Wechselt in erstes VLAN
7. Procurve(vlan-1)# name
Admin_VLAN Benennung des VLAN 1 „Admin_VLAN“
8. Procurve(vlan-1)# ip address 192.168.0.5 255.255.255.0
Vergabe der IP 192.168.0.5 / 24 an VLAN 1
9. Procurve(vlan-1)# exit
Zurück in den Konfigurationsmodus
10. Procurve(config)# vlan 2 Erzeugt ein zweites VLAN
11. Procurve(vlan-2)# name Gast Benennung des VLAN 2 „Gast“
12. Procurve(vlan-2)# ip address 192.168.1.1 255.255.255.0
Vergabe der IP 192.168.1.1 / 24 an VLAN 2
13. Procurve(vlan-2)# exit
Zurück in den Konfigurationsmodus
14. Procurve(config)# vlan 3 Erzeugt ein drittes VLAN
15. Procurve(vlan-3)# name Lehrer_1 Benennung des VLAN 3 „Lehrer_1“
Technikerarbeit Sommer 2005
Seite 52
16.
Procurve(vlan-3)# ip address 192.168.2.1 255.255.255.0
Vergabe der IP 192.168.2.1 / 24 an VLAN 3
17. Procurve(vlan-3)# exit
Zurück in den Konfigurationsmodus
18. Procurve(config)# vlan 4 Erzeugt ein viertes VLAN
19. Procurve(vlan-4)# name Lehrer_2 Benennung des VLAN 4 „Lehrer_2“
20. Procurve(vlan-4)# ip address 192.168.3.1 255.255.255.0
Vergabe der IP 192.168.3.1 / 24 an VLAN 4
21. Procurve(vlan-4)# exit
Zurück in den Konfigurationsmodus
22. Procurve(config)# vlan 5 Erzeugt ein fünftes VLAN
23. Procurve(vlan-5)# name Schueler_1
Benennung des VLAN 5 „Schueler_1“
24. Procurve(vlan-5)# ip address 192.168.4.1 255.255.255.0
Vergabe der IP 192.168.4.1 / 24 an VLAN 5
25. Procurve(vlan-5)# exit
Zurück in den Konfigurationsmodus
26. Procurve(config)# vlan 6 Erzeugt ein sechstes VLAN
27. Procurve(vlan-6)# name Schueler_2
Benennung des VLAN 6 „Schueler_2“
28. Procurve(vlan-6)# ip address 192.168.5.1 255.255.255.0
Vergabe der IP 192.168.5.1 / 24 an VLAN 6
29. Procurve(vlan-6)# exit
Zurück in den Konfigurationsmodus
Abb. 35: Konfiguration des HP Procurve 2524, Bild 2
Technikerarbeit Sommer 2005
Seite 53
30. Procurve(config)# radius-server host 192.168.0.1 key test123
Konfiguration der Parameter des Radius-Servers (IP und Passwort)
31. Procurve(config)# aaa authentication port-access eap-radius
Aktivierung des EAP kompatiblen Radius-Server für die IEEE 802.1x Authentifikation
32. Procurve(config)# aaa port-access authenticator active
Aktivierung von IEEE 802.1x
33. Procurve(config)# aaa port-access authenticator ethernet 1-23
Konfiguriert die Ports 1-23 als IEEE 802.1x Authentifizierungsports
34. Procurve(config)# aaa port-access authenticator ethernet 1-23 unauth-vid 2
Legt Portbereich welche die unauthentifizierte Clients nach VLAN 2 „Gast“ verbinden
35. Procurve(config)# aaa port-access authenticator 1-11 auth-vid 3
Legt Portbereich welche die authentifizierte Clients ab VLAN 3 verbinden (die Auswahl der VLANs wird über Radius durchgeführt)
36. Procurve(config)# port-security ethernet 1-11 learn-mode port-access
Aktiviert Sicherheitsfunktion, dass sich gleichzeitig nur ein Client über den Port authentifizieren kann
37. Procurve(config)# management-vlan 1
Definiert VLAN 1 als Management-VLAN
38. Procurve(config)# primary-vlan 2 Definiert VLAN 2 als Primär-VLAN
Abb. 36: Konfiguration des HP Procurve 2524, Bild 3
Abb. 37: Konfiguration des HP Procurve 2524, Bild 4
39. Procurve# write memory Sichert die Running-Config in Startup-Config
40. Procurve# copy startup-config tftp 192.168.0.10 startup-config
Sichern der „Startup-Config“ von Flash auf PC über TFTP
Technikerarbeit Sommer 2005
Seite 54
14.0.0 Sicherheit im Netzwerk
Mit dem Ziel eines sicheren Netzwerkes, einer sicheren VLAN Zuweisung und einer sicheren
portbasierenden Authentifizierung mussten, wie in vielen technischen Bereichen, auch bei
diesem Projekt Sicherheitstests durchgeführt werden. Um diese Tests so realitätsnah wie
möglich zu gestalten wurden spezielle Softwaretools wie „Broadcom Advanched Control
Suite 2“ und „Ethereal“ zur Hilfe genommen.
14.1.0 Netzwerkdiagnosesoftware
14.1.1 Broadcom Advanched Control Suite 2
Das Programm „Advanched Control Suite 2“ von Broadcom ist ein spezielles Software-Tool
mit dem man von der Netzwerkkarte, zusätzliche weitere virtuelle Netzadapter erstellen kann.
Durch diese erstellten virtuellen Netzadapter kann man wiederum VLANs erzeugen und an
das Netz, Ethernetframes senden die IEEE 802.1q Felder enthalten (also tagged).
Downloadlink: http://www.broadcom.com/
Installation:
Bei der Installation müssen folgende Komponenten ausgewählt werden:
- Advanced Suite
- BASP
Benutzung der Software:
Schritt 1: Um ein VLAN zu erstellen auf den entsprechenden Netzwerkadapter klicken
(VLAN erstellen)
Technikerarbeit Sommer 2005
Seite 55
Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs
Schritt 2: Eigenschaften des neuen VLANs angeben:
- VLAN-ID angeben
- VLAN Name angeben
- Auswählen markiertes VLAN / unmarkiertes VLAN:
Unmarkiertes VLAN aktiviert: es werden ganz normale Ethernetframes aus diesem
virtuellen Netzweradapter gesendet (untagged)
Unmarkiertes VLAN deaktiviert: es wird das 802.1q zu dem Frame hinzugefügt (tagged)
Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs
Schritt 3: Mit „OK“ Button bestätigen und mit „Übernehmen“ Button die Erstellung des
Virtuellen Netzadapters bestätigen
VLAN erstellen
Netzadapter auswählen
VLAN-ID
Auswahl:unmarkiert/markiert
VLAN Name
Technikerarbeit Sommer 2005
Seite 56
14.1.2 Ethereal – Network Protocol Analyzer
Ethereal ist ein kostenloser Netzwerk Protokoll Analysator mit grafischer Oberfläche für
Unix und Windows. Ethereal mit WinPcap ermöglicht es, den Datenverkehr in einem
Netzwerk aufzuzeichnen und zu analysieren. Es ist auch möglich mit diversen Filtern zu
arbeiten und nur bestimmte Packetarten zu betrachten.
Downloadlink: http://www.ethereal.com/
Installation:
Es müssen folgende Software-Komponenten installiert werden:
- WinPcap_3_0
- Ethereal
Benutzung der Software:
Schritt 1: In der Menüleiste Capture \ Start auswählen und unter Interface den
entsprechenden Netzadapter auswählen und mit „OK“ Button bestätigen. Datenverkehr wird
aufgezeichnet;
Abb. 40: Ethereal, Auswahl des Netzadapters
Auswahl des Netzadapters
Technikerarbeit Sommer 2005
Seite 57
Schritt 2: Das folgende Fenster zeigt eine prozentuale Übersicht, welche Art von Ethernet
Paketen zu dieser Zeit gerade über den Netzwerkadapter fliesen. Mit dem „Stop“ Button wird
die Aufzeichnung durch Ethereal beendet
Abb. 41: Ethereal, Aufzeichnung Datenverkehr
Hier ein Beispiel einer Netzanalyse
Abb. 42: Ethereal, Netzanalyse
Technikerarbeit Sommer 2005
Seite 58
14.2.0 Sicherheitsprüfungen der VLANs
Wie bereits im Vorwort erwähnt, ist es sehr wichtig im Netzwerk auf Sicherheitslücken zu
achten. Nach vollendeter Konfiguration der beiden Switches sind nun einige Sicherheitstests
notwendig um möglichst viele Sicherheitslücken auszuschließen. Dazu wurden mögliche,
nachfolgend erläuterte Szenarien durchgespielt. Um in diesen Szenarien beschriebenen
Sicherheitsprobleme auszuschließen, wurden folgende Tests ausgeführt.
Test 1:
Client A besitzt ein gültiges Zertifikat für VLAN 4, hat sich an den Switch angeschlossen und
wurde erfolgreich nach VLAN 4 authentifiziert.
Frage: Ist der Client durch Benutzung von IEEE 802.1q in der Lage, mit den anderen als den
ihm zugewiesenen VLANs zu kommunizieren?
Workgroup SwitchTerminal
Client A
- Zertifikat für VLAN 4
- IEEE 802.1q
Abb. 43: Sicherheitsprüfung 1
Test 2:
Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q
getaggte Pakte zu senden.
Frage: Kann der Client, obwohl er nicht authentifiziert ist, mit irgendeinem VLAN
kommunizieren?
Workgroup SwitchTerminal
Client A
- kein bzw. kein gültiges Zertifikat
- IEEE 802.1q
Abb. 44: Sicherheitsprüfung 2
Technikerarbeit Sommer 2005
Seite 59
Test 3:
Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch
angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der
Lage getaggte Frames durch benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,
nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.
Frage: Kann der Client B über den bereits für Client A authentifizierten Switch-Port in
irgendein VLAN kommunizieren?
Workgroup Switch
Terminal
Client A
- Zertifikat für VLAN 4
- IEEE 802.1q
Hub
Laptop
Client B- kein bzw. kein gültiges Zertifikat
- IEEE 802.1q
Abb. 45: Sicherheitsprüfung 3
14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950
Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch Cisco Catalyst 2950
mit folgenden Ergebnissen durchgeführt:
Ergebnisse Test 1.1:
Client A und Client X sind erfolgreich in authentifiziert und befinden sich in VLAN 4.
Client A:
Zertifikat für VLAN 4
IP: 192.168.3.3
Client X:
Zertifikat für VLAN 4
IP: 192.168.3.4
Abb. 46: Sicherheitstest 1, Cisco, Bild 1
Technikerarbeit Sommer 2005
Seite 60
Client X kann in VLAN 4 Client A erfolgreich anpingen.
Abb. 47: Sicherheitstest 1, Cisco, Bild 2
Ergebnisse Test 1.2:
Client A wurde in VLAN 4 erfolgreich authentifiziert
Client X wurde in VLAN 5 authentifiziert anschließend wurde TCP/IP deaktiviert und ein
virtueller Netzadapter durch Broadcom erstellt.
Client A:
Zertifikat für VLAN 4
IP: 192.168.3.3
Client X:
Virtueller_Netzadapter:
TCP/IP akt. IP: 192.168.3.5
802.1x akt.
EAP-TLS_CA Zertifikat akt. Abb. 48: Sicherheitstest 1, Cisco, Bild 3
Abb. 49: Sicherheitstest 1, Cisco, Bild 4
Technikerarbeit Sommer 2005
Seite 61
Parameter des virtuellen Netzadapters
Abb. 50: Sicherheitstest 1, Cisco, Bild 5
Pingversuch von Virtueller_Netzadpter an Client A gescheitert
Abb. 51: Sicherheitstest 1, Cisco, Bild 6
Pingversuch von Client A an Virtueller_Netzadpter ebenfalls gescheitert
Abb. 52: Sicherheitstest 1, Cisco, Bild 7
Clients A und X können miteinander nicht kommunizieren, da sie sich in unterschiedlichen
VLANs befinden.
Ergebnisse Test 2:
Technikerarbeit Sommer 2005
Seite 62
Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q
getaggte Pakte zu senden. Um zu überprüfen, ob der Client A mit VLAN 4 kommunizieren
kann, obwohl er nicht authentifiziert ist, lauscht Client X mittels Ethereal den Datenverkehr
dieses VLANs. Pingversuch von Client A an Client X ist erfolglos.
Client A :
ohne Zertifikat
IEEE 802.1q
Client X:
Zertifikat für VLAN 4
IP: 192.168.3.3 Abb. 53: Sicherheitstest 2, Cisco, Bild 1
Client A kann den Client X nicht erreichen. Hiermit ist gewährleistet, dass die VLANs völlig
abgetrennt sind. Bei der Aufzeichnung auf Client X (Ethereal) kommen keine Ping-Pakete
von Client A an. Daher ist die Sicherheit hier gewährleistet.
Abb. 54: Sicherheitstest 2, Cisco, Bild 2
Ergebnisse Test 3:
Technikerarbeit Sommer 2005
Seite 63
Client A:
Zertifikat für VLAN 4 / IP: 192.168.3.3
Client B:
ohne Zertifikat / IP: 192.168.3.4
IEEE 802.1q
Client X:
Zertifikat für VLAN 3 / IP: 192.168.2.2
Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch
angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der
Lage, getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,
nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.
Der ClientB kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
Abb. 55: Sicherheitstest 3, Cisco, Bild 1
Der Client B kann mit den Client X nicht kommunizieren.
Abb. 56: Sicherheitstest 3, Cisco, Bild 2
Technikerarbeit Sommer 2005
Seite 64
14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524
Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch HP Procurve 2524
mit folgenden Ergebnissen durchgeführt:
Ergebnisse des Test 1.1:
Client A und Client B sind erfolgreich authentifiziert und befinden sich in VLAN 3 bzw.
VLAN 4
Client A:
Zertifikat für VLAN 4
IP: 192.168.3.3
Client B:
Zertifikat für VLAN 3
IP: 192.168.2.2
Abb. 57: Sicherheitstest 1, HP, Bild 1
Switch kann die authentifizierten VLAN Teilnehmer erfolgreich anpingen.
Abb. 58: Sicherheitstest 1, HP, Bild 2
Technikerarbeit Sommer 2005
Seite 65
Client A konnte den Client B im VLAN 3 nicht anpingen.
Abb. 59: Sicherheitstest 1, HP, Bild 3
Ergebnisse des Test 1.2:
Client A: Virtueller_Netzadapter Client B
Zertifikat für VLAN 4 Zertifikat akt. Zertifikat für VLAN 3
IP: 192.168.3.3 IP: 192.168.3.4 IP: 192.168.2.2
802.1x akt. 802.1x akt.
Authentifiziert nicht authentifiziert
Erstellung eines virtuellen Netzadapters
Abb. 60: Sicherheitstest 1, HP, Bild 4
Technikerarbeit Sommer 2005
Seite 66
Ping von virtuellen_Netzadapter an Client A in VLAN 4, keine Antwort.
Abb. 61: Sicherheitstest 1, HP, Bild 5
Virtuellen_Netzadapter kann Client B in VLAN 3 nicht anpingen.
Abb. 62: Sicherheitstest 1, HP, Bild 6
Virtuellen_Netzadapter kann Admin_VLAN nicht anpingen.
Abb. 63: Sicherheitstest 1, HP, Bild 7
Von Switch konnte der Client B in VLAN3 angepingt werden, richtiger Weise konnte weder
der Client A noch der Virtuelle_Netzadapter angepingt werden
Abb. 64: Sicherheitstest 1, HP, Bild 8
Technikerarbeit Sommer 2005
Seite 67
Ergebnisse des Test 2:
Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q
getaggte Pakte zu senden, und versucht, durch Benutzung von IEEE 802.1q mit dem VLAN 3
zu kommunizieren.
Client A kann VLAN 3 nicht erreichen.
Abb. 65: Sicherheitstest 2, HP, Bild 1
Client A :
ohne Zertifikat
IEEE 802.1q
VLAN 3:
IP: 192.168.2.1
Client X:
Zertifikat für VLAN 4
IP: 192.168.3.3
Client X kann mit VLAN 4 erfolgreich kommunizieren
Abb. 66: Sicherheitstest 2, HP, Bild 2
Technikerarbeit Sommer 2005
Seite 68
Der Versuch zeigt, was passieren würde, wenn es nicht sicher wäre, also wenn die Pings den
Zielrechner erreicht hätte.
Abb. 67: Sicherheitstest 2, HP, Bild 3
Ergebnisse des Test 3:
Client A: Client B: Client A:
Zertifikat für VLAN 4 ohne Zertifikat Zertifikat für VLAN 3
IP: 192.168.3.3 IP: 192.168.3.4 IP: 192.168.2.2
IEEE 802.1q
Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch
angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der
Lage getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,
nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.
Technikerarbeit Sommer 2005
Seite 69
Der Client B kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
Abb. 68: Sicherheitstest 3, HP, Bild 1
Der Client B kann den Client X nicht erreichen
Abb. 69: Sicherheitstest 3, HP, Bild 2
14.2.3 Fazit
Viele Netzwerkbesitzer trösten sich über ihre Sicherheitslücken mit dem Satz „Eindringlinge
kommen ja doch überall hinein“ hinweg und ziehen es daher vor, keinerlei Sicherungen
anzubringen und darauf zu hoffen dass alles gut wird. Anders, wie bei sämtlichen
Angelegenheiten im Leben, durchlief dieses funktionierende Projekt alle erdenklichen
Sicherheitstests um mögliche Sicherheitslücken festzustellen und sie gegebenenfalls zu
beseitigen. Dadurch hat sich herausgestellt, dass einige Nachverbesserungen unternommen
werden mussten. An dieser Stelle ist zu erwähnen dass gerade die Sicherheit eines Netzes eine
Eigenschaft ist, an der ein Stillstand einem Rückschritt gleich wäre. Daher sind diese Tests
keine Garantie für die zukünftigen Anwendungen. Sicherheit muss kontinuierlich verbessert
werden.
Technikerarbeit Sommer 2005
Seite 70
15.0.0 Schlusswort
Nach erfolgreicher Beendigung unserer Technikerarbeit können wir rückblickend sagen, trotz
der Höhen und Tiefen die wir erlebt haben, dass wir uns sehr glücklich schätzen diese
umfangreiche und anspruchsvolle Technikerarbeit gemeistert zu haben. Durch die Arbeit an
diesem Projekt hatten wir die Gelegenheit viele Erfahrungen über Netzwerktechnik und
Hardwarekonfigurationen zu sammeln, die wir gerne in der weiteren Laufbahn unserer
Kariere einsetzen werden. Daher möchten wir mit gutem Gewissen betonen, dass wir uns
bestimmt wieder für diese Technikerarbeit entscheiden würden, wenn wir es uns noch einmal
aussuchen dürften. Darüber hinaus haben wir die Möglichkeit gehabt, uns gegenseitig, und die
anderen die an diesem Projekt beteiligt waren, besser kennen zu lernen.
Technikerarbeit Sommer 2005
Seite 71
16.0.0 Abbildungsverzeichnis
Abb. 1: VLAN Schema ................................................................................................8
Abb. 2: Wikipedia ......................................................................................................11
Abb. 3: Layer 1 VLAN................................................................................................15
Abb. 4: Layer 2 VLAN................................................................................................15
Abb. 5: Ethernet Framing-Fields vor dem Tagging....................................................18
Abb. 6: Ethernet Framing-Fields nach dem Tagging .................................................18
Abb. 7: Ausschnitt eines VLAN-Tags ........................................................................19
Abb. 8: Trunk-Verbindung .........................................................................................20
Abb. 9: IEEE 802.1x-Authentifizierung ......................................................................23
Abb. 10: Indikatoren Cisco Catalyst 2950 .................................................................28
Abb. 11: Front des HP Procurve 2524 Switch ...........................................................30
Abb. 12: Indikatoren HP Procurve 2524 ....................................................................32
Abb. 13: Tera Term Serial port setup ........................................................................34
Abb. 14: Tera Term New connection.........................................................................34
Abb. 15: PuTTY Verbindung über das Intranet der GWS-Lörrach.............................35
Abb. 16: PuTTY Verbindung über das Internet..........................................................36
Abb. 17: Einstellungen 3CDaemon ...........................................................................38
Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1 ......................................................40
Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2 ......................................................40
Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3 ......................................................41
Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server..........................................42
Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4 ......................................................42
Abb. 23: OS-Update HP Procurve 2524, Bild 1 .........................................................43
Abb. 24: OS-Update HP Procurve 2524, Bild 2 .........................................................43
Abb. 25: OS-Update HP Procurve 2524, Bild 3 .........................................................44
Abb. 26: OS-Update HP Procurve 2524, TFTP-Server .............................................44
Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1..................................................46
Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2..................................................46
Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3..................................................47
Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4..................................................48
Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5..................................................49
Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6..................................................50
Technikerarbeit Sommer 2005
Seite 72
Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7..................................................50
Abb. 34: Konfiguration des HP Procurve 2524, Bild 1 ...............................................51
Abb. 35: Konfiguration des HP Procurve 2524, Bild 2 ...............................................52
Abb. 36: Konfiguration des HP Procurve 2524, Bild 3 ...............................................53
Abb. 37: Konfiguration des HP Procurve 2524, Bild 4 ...............................................53
Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs.................55
Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs ...................55
Abb. 40: Ethereal, Auswahl des Netzadapters ..........................................................56
Abb. 41: Ethereal, Aufzeichnung Datenverkehr.........................................................57
Abb. 42: Ethereal, Netzanalyse .................................................................................57
Abb. 43: Sicherheitsprüfung 1 ...................................................................................58
Abb. 44: Sicherheitsprüfung 2 ...................................................................................58
Abb. 46: Sicherheitstest 1, Cisco, Bild 1....................................................................59
Abb. 47: Sicherheitstest 1, Cisco, Bild 2....................................................................60
Abb. 48: Sicherheitstest 1, Cisco, Bild 3....................................................................60
Abb. 49: Sicherheitstest 1, Cisco, Bild 4....................................................................60
Abb. 50: Sicherheitstest 1, Cisco, Bild 5....................................................................61
Abb. 51: Sicherheitstest 1, Cisco, Bild 6....................................................................61
Abb. 52: Sicherheitstest 1, Cisco, Bild 7....................................................................61
Abb. 53: Sicherheitstest 2, Cisco, Bild 1....................................................................62
Abb. 54: Sicherheitstest 2, Cisco, Bild 2....................................................................62
Abb. 55: Sicherheitstest 3, Cisco, Bild 1....................................................................63
Abb. 56: Sicherheitstest 3, Cisco, Bild 2....................................................................63
Abb. 57: Sicherheitstest 1, HP, Bild 1........................................................................64
Abb. 58: Sicherheitstest 1, HP, Bild 2........................................................................64
Abb. 59: Sicherheitstest 1, HP, Bild 3........................................................................65
Abb. 60: Sicherheitstest 1, HP, Bild 4........................................................................65
Abb. 61: Sicherheitstest 1, HP, Bild 5........................................................................66
Abb. 62: Sicherheitstest 1, HP, Bild 6........................................................................66
Abb. 63: Sicherheitstest 1, HP, Bild 7........................................................................66
Abb. 64: Sicherheitstest 1, HP, Bild 8........................................................................66
Abb. 65: Sicherheitstest 2, HP, Bild 1........................................................................67
Abb. 66: Sicherheitstest 2, HP, Bild 2........................................................................67
Abb. 67: Sicherheitstest 2, HP, Bild 3........................................................................68
Technikerarbeit Sommer 2005
Seite 73
Abb. 68: Sicherheitstest 3, HP, Bild 1........................................................................69
Abb. 69: Sicherheitstest 3, HP, Bild 2........................................................................69
Technikerarbeit Sommer 2005
Seite 74
17.0.0 Anhang
Im Anhang befinden sich folgende Dokumente:
• Konfigurationstext von Cisco Catalyst 2950
• Konfigurationstext von HP Procurve 2524
• Debug Radius Kommunikation Cisco Catalyst 2950
• CD-Rom
Beiliegend befindet sich:
• Konfigurationsanleitung