74
Gewerbeschule Lörrach Gretherstraße 50 79539 Lörrach Technikerarbeit Yücel Oktay Manuel Dollinger - 2005 - Thema: Konfiguration von Netzwerkswitches für portbasierende Authentifizierung und VLAN Zuweisung Verfasser: Yücel Oktay, Manuel Dollinger Auftraggeber: GWS Lörrach, Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler Schule: Gewerbeschule Lörrach (Fachschule für Elektrotechnik) Betreuer in der Schule: Dipl.-Ing. Michael Knaus Zeitraum: September 2004 bis Mai 2005

2950 cisco router

Embed Size (px)

DESCRIPTION

2950 cisco router

Citation preview

Page 1: 2950 cisco router

Gewerbeschule Lörrach

Gretherstraße 50 79539 Lörrach

Technikerarbeit

Yücel Oktay Manuel Dollinger

- 2005 -

Thema: Konfiguration von Netzwerkswitches

für portbasierende Authentifizierung

und VLAN Zuweisung

Verfasser: Yücel Oktay, Manuel Dollinger

Auftraggeber: GWS Lörrach,

Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler

Schule: Gewerbeschule Lörrach (Fachschule für Elektrotechnik)

Betreuer in der Schule: Dipl.-Ing. Michael Knaus

Zeitraum: September 2004 bis Mai 2005

Page 2: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 2

Inhaltsverzeichnis 1.0.0 Vorwort..............................................................................................................4

2.0.0 Danksagung......................................................................................................5

3.0.0 Eidesstattliche Erklärung ................................................................................6

4.0.0 Einleitung ..........................................................................................................7

5.0.0 Projekt ...............................................................................................................8

5.1.0 Ziel des Projekts .............................................................................................8

5.2.0 Ziel der Technikerarbeit ..................................................................................9

5.2.1 Pflichtenheft ................................................................................................9

5.2.2 Bereitgestellte Hardware .............................................................................9

5.2.3 Zeitplan .....................................................................................................10

5.2.4 Verlauf der Technikerarbeit .......................................................................11

5.3.0 Switches im Netzwerk der GWS-Lörrach......................................................13

6.0.0 Funktionsweise eines VLANs........................................................................14

6.1.0 Realisierung von VLANs ...............................................................................14

6.1.1 Layer 1 VLAN............................................................................................14

6.1.2 Layer 2 VLAN............................................................................................15

6.1.3 Protokoll-basierendes VLAN .....................................................................16

6.1.4 Regel-basierendes VLAN..........................................................................16

6.2.0 Vorteile und Nachteile eines VLANs .............................................................16

6.2.1 Vorteile ......................................................................................................16

6.2.2 Nachteile ...................................................................................................17

7.0.0 VLAN Tagging (802.1Q Frame)......................................................................18

7.1.0 Funktionsweise VLAN Tagging.....................................................................18

7.1.1 Die Felder des 802.1Q/P...........................................................................19

8.0.0 Ethernet-Port-Trunking ..................................................................................20

9.0.0 TACACS+ & IEEE 802.1x................................................................................21

9.1.0 AAA - Begriffsdefinitionen .............................................................................21

9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung.......................................23

9.3.0 Sicherheit durch IEEE 802.1x .......................................................................23

9.4.0 TACACS+ Überblick .....................................................................................24

9.4.1 Funktion von TACACS .............................................................................24

9.4.2 Fazit ..........................................................................................................25

Page 3: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 3

10.0.0 Beschreibung der Hardware........................................................................27

10.1.0 Cisco Catalyst 2950 ....................................................................................27

10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950.........................29

10.2.0 HP Procurve 2524.......................................................................................30

10.2.1 Command Line Interface (CLI) des HP Procurve 2524 ...........................33

11.0.0 Zugriff auf die Konsolenebene eines Switches .........................................34

11.1.0 Lokaler Zugriff auf einen Switch..................................................................34

11.2.0 Fernzugriff auf einen Switch .......................................................................35

11.2.1 Zugriff über das Intranet der GWS-Lörrach .............................................35

11.2.2 Zugriff über das Internet ..........................................................................35

11.2.3 Login-Vorgang über SSH-Server auf Minicom ........................................36

12.0.0 Firmwareupdate der Switches.....................................................................38

12.1.0 IOS-Update Cisco Catalyst 2950 ................................................................39

12.2.0 OS-Update HP Procurve 2524....................................................................43

13.0.0 Konfiguration der Switches.........................................................................45

13.1.0 Konfiguration des Cisco Catalyst 2950 .......................................................46

13.2.0 Konfiguration des HP Procurve 2524..........................................................51

14.0.0 Sicherheit im Netzwerk ................................................................................54

14.1.0 Netzwerkdiagnosesoftware.........................................................................54

14.1.1 Broadcom Advanched Control Suite 2 ....................................................54

14.1.2 Ethereal – Network Protocol Analyzer.....................................................56

14.2.0 Sicherheitsprüfungen der VLANs................................................................58

14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950 ...................................59

14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524......................................64

14.2.3 Fazit ........................................................................................................69

15.0.0 Schlusswort ..................................................................................................70

16.0.0 Abbildungsverzeichnis ................................................................................71

17.0.0 Anhang ..........................................................................................................74

Page 4: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 4

Alles soll so einfach wie möglich gemacht werden, aber nicht einfacher

Albert Einstein

1.0.0 Vorwort

Der vermehrte Einsatz der Netzwerke auf sämtlichen Gebieten des Lebens ist im Zeitalter der

Informationstechnik überall zu beobachten. Obwohl die Geschichte der Netzwerktechnik

keine lange Vergangenheit vorzuweissen hat, ist schneller Informationsaustausch im Alltag

ohne Netzerwerke unvorstellbar geworden. Das Internet ohne Google ist genauso wenig

vorstellbar wie das Leben heutzutage ohne Computer. Da ist die wichtige Frage angebracht,

ob die Strecke der Daten, die sich von einem Punkt zu einem anderem bewegen, bzw. das

Netz gegen unerwünschte Daten sicher ist? Kernstück dieser stürmischen und immer noch

nicht abgeschlossenen Entwicklung ist die Strukturierung der Netzwerke.

Dieses Dokument, das durch eine anspruchsvolle Technikerarbeit zu Stande gekommen ist,

beinhaltet unter anderem die Erklärung des VLAN (Virtual local area network) und erläutert

die Begriffe IEEE 802.1x bzw. TACACS+. Darüber hinaus eine Konfiguration der Switches

HP Procurve 2524 bzw. Cisco Catalyst 2950 sowie eine portbasierende

Benutzerauthentifizierung durch einen Free-RADIUS-Server. Schließlich befindet sich im

Anhang eine leicht überschaubare Konfigurationsanleitung der oben genannten Switches. Es

wurden einige frei erhältliche Software zur Hilfe genommen um die Aufgaben der

Technikerarbeit zu bewältigen wie TeraTerm1, PuTTY2, 3CDaemon3, Broadcom Advanched

Control Suite 24 und Ethereal mit WinPcap_3_05. Die notwendigen Einstellungen sowie die

Bedienungsmöglichkeiten dieser Software sind in diesem Dokument ebenfalls zu finden.

Während der Ausarbeitung unserer Technikerarbeit in der Gewerbeschule Lörrach haben

wir so viele neue und hochinteressante Dinge über Netzwerktechnik erfahren, dass uns diese

errungenen Erkenntnisse ebenfalls so stark faszinierten wie unsere Technikerarbeit selbst. Im

übrigen konnten wir bei unserem selbstständigen Arbeiten erfahren, wieviel Spaß es macht,

das Erlernte in ein Projekt umzusetzen.

Yücel Oktay und Manuel Dollinger

______________________________ * 1 TeraTerm, HyperTerminal-Software, http://hp.vector.co.jp/authors/VA002416/teraterm.html * 2 PuTTY, Telnet/SSH Client, http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html * 3 3CDaemon, TFTP Server, http://support.3com.com/software/utilities_for_windows_32_bit.htm * 4 Broadcom NetXtreme „Advanched Control Suite 2“, http://www.broadcom.com/ * 5 Ethereal, http://www.ethereal.com/

Page 5: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 5

2.0.0 Danksagung

Die vorliegende Technikerarbeit wurde in der Gewerbeschule Lörrach unter der Leitung von

Fachlehrer Dipl.-Ing. Michael Knaus durchgeführt. Ihm danken wir sehr herzlich für das

entgegengebrachte Vertrauen, uns mit dieser herausfordernden und interessanten Aufgabe zu

beauftragen, und für sein fortwährendes Interesse am Fortgang des Projekts sowie für die

ständige Bereitschaft auch außerhalb der Schulzeiten.

Bedanken möchten wir uns auch bei Dipl.-Ing. Werner Gempler für seine Anregungen und

aufmerksamen Beobachtungen. Wir bedanken uns ebenfalls bei der Gewebeschule Lörrach

und bei allen Fachlehrern, die uns die flexible Benutzung der Schulräume für dieses Projekt

ermöglicht haben. Selbstverständlich bedanken wir uns auch bei unserem Kollegen Herrn

Mark Wasmer für die tolle Zusammenarbeit und gegenseitige Unterstützung, die für das

erfolgreiche Endergebnis des Gesamtprojektes erforderlich war.

Auch Herrn Dr. Bocks danken wir für das Korrekturlesen unserer Technikerarbeit und die,

Zeit die er dafür aufgebracht hat.

Zuletzt bedanken und beglückwünschen wir uns gegenseitig für die gute und produktive

Zusammenarbeit während der neun Monate an dieser anspruchsvollen Aufgabe.

Page 6: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 6

3.0.0 Eidesstattliche Erklärung

Hiermit versichern wir, dass wir diese Technikerarbeit selbstständig erarbeitet und keine

anderen als die angegebenen Hilfsmittel verwendet haben. Diese Versicherung gilt auch für

Zeichnungen, Skizzen und bildliche Darstellungen.

Lörrach, den 12.05.2005 Schopfheim, den 12.05.2004

_________________________ _________________________

Yücel Oktay Manuel Dollinger

Page 7: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 7

4.0.0 Einleitung

Diese Technikerarbeit wurde uns vom Kunden anvertraut, um einen Teil der noch

bevorstehenden Erweiterungen und Modernisierung des Schulnetzes der GWS-Lörrach zu

realisieren. In einer Schule wie dieser ist ein Netzwerk, das dem heutigen Entwicklungsstand

entspricht, von großer Bedeutung.

Die Aufgabenstellung an uns war es, ein VLAN Konzept zu entwickeln, das durch eine

Benutzeridentifikation die Benutzergruppen wie Lehrer, Schüler als auch Gäste in die

entsprechenden VLANs weiterleitet. Die Zuordnung, welche Benutzergruppe, in welches

VLAN weitergeleitet werden soll, erfolgt durch eine dazu befugte Person. Dadurch eröffnet

sich nun die Möglichkeit, sich mit dem eigenen Notebook über jeden VLAN-Port der Schule

in das entsprechend zugewiesene VLAN zu authentifizieren. Bekommen Schüler

beispielsweise ein Zertifikat für VLAN 4, werden sie nach VLAN 4 authentifiziert. All diese

Schüler mit dem gültigen Zertifikat für VLAN 4 sind dann in einem seperaten Netz und

können die anderen VLANs nicht erreichen, welches gerade dadurch für Klassennetze

ausgezeichnet geeignet wäre. Personen, wie z.B. Lehrer, können auch Zertifikate für mehrere

VLANs besitzen, um in allen erforderlichen Netzen arbeiten zu können.

Möchte sich ein nicht Berechtigter mit keinem bzw. ungültigem Zertifikat an einer

Netzwerkdose verbinden, wird er nicht abgewiesen, sondern in ein sogenanntes Gast-VLAN

weitergereicht. Dies ist vor allem von Vorteil, wenn z.B. ein Professor einmalig einen Vortrag

in der Schule hält, da er kein Zertifikat braucht, da freigegebenen Netzwerkresourcen wie z.B.

Drucker und entsprechende Dateifreigaben die über das Gast-VLAN zu erreichen sind.

Sehr wichtig ist allerdings auch die Sicherheit und Zuverlässigkeit, dieses Systems um

Missbrauch durch Manipulation zu vermeiden. Auch die zentrale Verwaltung dieser Dienste

stellten einen wichtigen Punkt dar und musste berücksichtigt werden.

Wegen des großen Umfangs dieses Projekts wurde es in zwei Technikerarbeiten

aufgesplittet. Herr Wasmer beschäftigte sich mit der Bereitstellung des Authentication-

Servers, wobei wir die Konfiguration der Netzwerkgeräte vornahmen. Das Ergebnis dieser

beiden Technikerarbeiten sollte einen prototypischen Testaufbau ergeben und jeweils eine

Installations-/ bzw. Konfigurationsanleitung umfassen, die auch einer externen Firma für die

Einrichtung übergeben werden kann.

Page 8: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 8

5.0.0 Projekt

5.1.0 Ziel des Projekts

Lehrer, Gäste und Schüler sollen sich mit ihrem eigenem Notebook mit dem Schulnetz

verbinden können und in ein separates VLAN zugeteilt werden. Eine Anmeldung für den

Zugang ist vorher zwingend erforderlich. Die VLAN Struktur muss zentral konfiguriert und

verwaltet werden. Ein funktionstüchtiger Aufbau eines Versuchssystems, bestehend aus

mehreren Supplicants (Workstations), Authenticators (Switches) und einem Authentication-

Server, ist ebenfalls erforderlich. Hierfür werden als Authenticators die bereits in der Schule

verwendeten HP Procurve-Serie und die Cisco Catalyst-Serie herangezogen.

Aufgrund des großen Arbeitsumfanges des Projekts, die den Rahmen der Technikerarbeit

sprengen würde, wird der Authentication-Server (Free-RADIUS) durch die kooperierende

Technikerarbeit von Herrn Mark Wasmer abgedeckt.

Schlussendlich muss die Technikerarbeit eine Installations-/Konfigurations-Anleitung

enthalten, die einer externen Firma zur Realisierung übergeben werden kann.

Abb. 1: VLAN Schema

Page 9: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 9

5.2.0 Ziel der Technikerarbeit

5.2.1 Pflichtenheft

Durch die Aufgabenstellung im Rahmen des Projekts war klar vorgegeben, welche

Maßnahmen ergriffen werden mussten. Hier ein kurze Übersicht der Aufgaben:

• Vorhandener Geräte-Park der Switches in der GWS Lörrach aufnehmen

• Unterschiede zwischen TACACS+ und IEEE 802.1x erlernen und verstehen

• Cisco Catalyst 2950 und HP Procurve 2524 Switches auf Kommandozeile/Menü

bedienen

• Cisco Catalyst 2950 und HP Procurve 2524 Switches flashen

• Authenticator mit Authentication-Server verschalten

• Dynamische Zuordnung von Ports zu VLAN´s abhängig vom Authentication-Server

und IEEE 802.1x mit Überprüfung und Demonstration der Funktionsfähigkeit

• Aufbau eines Versuchssystems

• TA-Dokument schreiben

• Konfigurationsanleitung schreiben

5.2.2 Bereitgestellte Hardware

Um dieses Projekt zu realisieren, wurde von Seiten der GWS Lörrach folgende Arbeitsmittel

bereitgestellt:

• 1 Cisco Catalyst 2950 Switch (24 Port)

• 1 HP Procurve 2524 Switch (24 Port)

• Diverse Netzwerkkabel

• Konsolenkabel für Switches

• Hub

• Authentication-Server

• Workstations

Page 10: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 10

5.2.3 Zeitplan

Der vorgegebene Zeitrahmen der Technikerarbeit erstreckte sich

von September 2004 bis zum 13.Mai 2005.

Es wurde von uns eine Zielsetzung ausarbeitet, die wie folgt aufgelistet ist:

Zielsetzung bis:

KW50, 2004 Sammeln von Informationen

KW5, 2005 Einarbeitung und Vertiefung der Erkenntnisse über

VLAN

TACACS+

IEEE 802.1x

KW7, 2005 Update der Switches

Erlernen und vertiefen der Switches IOS und OS

KW13, 2005 Praktischer Teil läuft und Konzept für die Dokumentation steht

KW18, 2005 TA Dokument fertig

KW28, 2005 TA Präsentation fertig

Der Verlauf des Zeitplans konnte nicht komplett in dieser Art und Weise beibehalten werden,

da er sich teils durch unvorhersehbare Probleme in der Technikerarbeit und teils durch private

Angelegenheiten verzögerte. Ebenfalls wurde der anschließende Sicherheitstest zuvor zeitlich

unterschätzt, da dieser in der Praxis umfangreicher als angenommen war und sich deshalb bis

in die letzte Aprilwoche hineingezogen hat. Doch diese Defizite wurden von uns durch

Aufopferung der Freizeit und durch besonderes Arrangement kompensiert, so dass wir das

Projekt erfolgreich abschließen konnten.

Page 11: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 11

5.2.4 Verlauf der Technikerarbeit

Zu Beginn der Technikerarbeit freuten wir uns bereits auf diese Herausforderung, bei der wir

schon im Vorhinein wussten, dass es viel Zeit und Kraft kosten würde, dieses Thema so

auszuarbeiten, dass es der Bedeutung „Netzwerktechnik“ auch wirklich gerecht wird. Aber

wir wussten, auch dass es das wert ist, da wir uns schon früher für diesen Bereich

interessierten. Zu Beginn erkundigten wir uns erst einmal allgemein über die Themen der

Netzwerktechnik wie VLAN, verschiedene Netzprotokolle und Routing & Switching, wo von

wir uns des letzteren ein Buch des bhv-Verlages angeschafft haben. Wir beschäftigten uns zu

lange und zu ausgiebig mit dem Allgemeinen, bis wir sprichwörtlich – den Wald vor lauter

Bäumen nicht mehr sahen -. Durch Rücksprache mit unserem Betreuer ist es uns gelungen,

auf die konkrete Thematik einzugehen. Von dort an konnten wir uns auf das Wesentliche

konzentrieren. Dabei tauchten einige Probleme auf, die mit der Aufteilung des

Gesamtprojektes zusammenhing. Allerdings konnten wir diese durch die Kommunikation mit

unserem Kollegen Herrn Wasmer bewältigen, der das Ziel, nämlich die Fertigstellung des

Projekts, vor Augen hatte und dies mit uns verfolgte. Sehr hilfreich war hier auch das Wiki-

Sytem, mit dem ein einheitliches, unabhängiges und überall verfügbares Informationssystem

geschaffen wurde. Diese Software ermöglicht, gleichzeitige Bearbeitung und Änderungen von

Texten aller Teammitglieder von zu Hause aus durchzuführen.

Abb. 2: Wikipedia

______________________________ * 6 Wikipedia Enzyklopädie, http://de.wikipedia.org

Page 12: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 12

Außerdem wurde für die kommunikative Zusammenarbeit aller Beteiligten auch E-Mail,

Instant Messaging und Voice over IP benutzt. Ein weiteres Problem war die Fachliteratur, die

größtenteils auf Englisch zu finden war. Dies kostete uns einiges an Zeit. Eine

Herausforderung war es speziell, das IOS des Cisco Switches upzudaten. Als dies geschafft

war, ging es an die Konfiguration, die uns nach und nach zeigte, was überhaupt alles möglich

ist, was uns ermutigte, mehr können zu wollen, und so verbrachten wir die Hauptzeit unserer

Ferien damit, die Handbücher zu studieren und das neu Erlernte gleich in die Praxis

umzusetzen. Als die Konfiguration abgeschlossen war, kam die Frage auf, ob das Netz auch

wirklich sicher ist. Darum führten wir eine Reihe Tests durch, die dann letztendlich ergaben

dass es sicher ist, was uns dann bestätigte eine gute Arbeit gemacht zu haben. Besonders mit

Stolz erfüllte uns die Präsentation unserer fertig gestellten und funktionierenden

Technikerarbeit, die wir am 3. Mai vor der Schulleitung und der Netzwerkgruppe vorführen

durften.

Page 13: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 13

5.3.0 Switches im Netzwerk der GWS-Lörrach

Gebäude A (Hauptverteilung K.10): 1x HP ProCurve 8000M

1x HP ProCurve 2524

1x HP ProCurve 2524

Gebäude A (A0): 3x HP ProCurve 2524

Gebäude A (A1): 3x HP ProCurve 2524

Gebäude A (A2): 2x HP ProCurve 2424

1x HP ProCurve 2512

1x HP ProCurve 2524

Gebäude A (A 1.16): 1x BayNetworks 350T

Gebäude A (A 2.01): 1x HP ProCurve 2424

Gebäude B: 1x HP ProCurve 2524

Gebäude C: 1x HP ProCurve 2524

Gebäude D (D 2.04): 1x HP ProCurve 2524

Gebäude D (D 2.13): 1x HP ProCurve 2512

Gebäude D (Mechanische Fertigung): 1x HP ProCurve 2512

1x HP ProCurve 2524

Page 14: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 14

6.0.0 Funktionsweise eines VLANs

Unter VLAN versteht man ein "virtuelles LAN" (Virtual local area network), dessen

physikalische Strukturierung eines gewöhnlichen LAN´s gleicht, jedoch in mehrere virtuelle

Teilnetze aufgeteilt ist. Ferner ist auch ein wichtiger Vorteil gegenüber einem LAN, dass ein

VLAN weiter entfernte Knoten zu einem virtuellen lokalen Netzwerk verbindet, während

Knoten eines LAN´s sich nicht beliebig weit ausdehnen können.

VLAN´s sind logisch geswitchte Netze, mit denen man Workstations und Server zu

beliebigen dynamischen Arbeitsgruppen zusammenfassen kann. Dieses erfordert kein

Umpatchen bzw. keine Umverlegung von Rechnern, sondern kann per Software konfiguriert

werden. Ein VLAN ist weiteren eine Broadcast- und Kollisionsdomäne, die sich auch über

mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar.

Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der

Verkehr zwischen VLANs muss geroutet werden, hier gibt es Lösungen, die die

Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing

nötig.

6.1.0 Realisierung von VLANs

VLANs lassen sich auf verschieden Arten realisieren.

Beliebige Netzteilnehmer aus verschiedenen Segmenten können nach unterschiedlichen

Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische

Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne dass das Netz

physikalisch umstrukturiert werden muss.

6.1.1 Layer 1 VLAN

VLAN Zuordnungen basieren auf dem Anschluss am Switch, hierdurch wird festgelegt,

welche Ports zu welchem VLAN gehören. Je nach Eingangsport gehört das Frame in das

entsprechend konfigurierte VLAN. Es wird jedoch eine genaue Dokumentation benötigt,

damit die Kabel bestimmter Geräte immer in den richtigen Switch Port zugeordnet werden

können, damit sie sich im richtigen VLAN befinden.

Page 15: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 15

Workgroup Switch

TerminalTerminal

Terminal

Terminal

Terminal

TerminalTerminal

VLAN 2

VLAN 4

VLAN 3

VLAN 1

Abb. 3: Layer 1 VLAN

6.1.2 Layer 2 VLAN

Zuordnung orientiert sich am Layer 2, an der MAC Adresse. Es ermöglicht im Prinzip eine

Unternehmensweite VLAN Konfiguration. Durch Zentrales Management ist hohe Flexibilität

gewährleistet. Außerdem ist es möglich, eine MAC-Adresse in mehrere VLANs zu tun. Ein

Layer-2 VLAN braucht jedoch schon einiges an Rechenkapazität (Liste welche MAC-

Adresse welchem VLAN gegenübersteht). Wenn ein Gerät dann an einem anderen

Switch-Port angeschlossen wird und einen Frame sendet, bleibt es im selben VLAN. Dadurch

kann man mit einem Gerät auch mal leichter umziehen. Der administrative Aufwand ist

größer als bei Layer-1 VLANs, dennoch wird es wegen seiner Standortunabhängigkeit gerne

eingesetzt.

Workgroup Switch

TerminalTerminal

TerminalTerminal

Terminal

TerminalTerminal

VLAN 1

VLAN 2

VLAN 3

VLAN 4

Abb. 4: Layer 2 VLAN

Page 16: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 16

6.1.3 Protokoll-basierendes VLAN

Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie

z.B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da

auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner

Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der

Subnetzadressen oder portbasiert. Innerhalb eines VLAN wird auf Layer 2 geswitcht. Bei der

Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische

Adresszuordnungsverfahren können nicht eingesetzt werden. Layer-3-Switches verwenden

Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird

innerhalb eines VLAN nur gebridged.

6.1.4 Regel-basierendes VLAN

Bei den regelbasierenden VLANs wird die VLAN-Zugehörigkeit anhand von logischen

Zuordnungen wie Ports, der Netzadresse, der MAC-Adresse oder des Protokolls bestimmt.

Ein großer Vorteil dieses Systems ist die Flexibilität, da der Administrator selbst die Balance

zwischen Sicherheit, Verkehrsoptimierung und Kontrolle festlegen kann. Dem gegenüber

stehen allerdings die Nachteile wie die der aufwendigen Einrichtung, hohe Latenzzeiten, die

durch die Abarbeitung der einzelnen Regeln entstehen, sowie die Sicherheitslücke, die durch

die leichte Fälschung der MAC-Adresse entstehen kann.

6.2.0 Vorteile und Nachteile eines VLANs

6.2.1 Vorteile

Sicherheit:

• Gute Kontrollmöglichkeiten der Netzwerkteilnehmer

• Klare Abgrenzung der einzelnen Teilnetze (VLANs)

• Individuelle Anpassung der Rechte der einzelnen VLANs

Page 17: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 17

Flexibilität:

• Standortunabhängige und individuelle Zugriffsmöglichkeiten auf Netzwerkressourcen

und Peripheriegeräte

• erhebliche Erleichterung durch Einsatzmöglichkeit eigener Notebooks der

Netzwerkteilnehmer

Innovation:

• Bessere Netzinfrastruktur durch Zuordnung der Abteilungen und Klassen in

unterschiedliche VLANs

• Erweiterung der Netztopologie durch weitere Geräte und Ports

6.2.2 Nachteile

• hohe Migrationskosten, da ein Switching Network sowie ein leistungsfähiges

Management benötigt werden

• hohe Kosten für schnellen Backbone

• mangelnde Standardisierung und daraus resultierende Inkompatibilitäten.

Page 18: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 18

7.0.0 VLAN Tagging (802.1Q Frame)

Das 802.1Q wurde von IEEE entwickelt um Lösungen über Aufbaustruktur eines VLANs

Frames verschiedener Hersteller in einen Standard zu fassen.

Damit konnten VLANs auf allen im Netzwerk vorhanden Switches verschiedener Hersteller

implementiert werden. Durch das 802.1Q Tag-Header (auch VLAN-Tagging genannt) ist die

Kommunikation unter diesen Switches möglich. Beim Tagging wird der Header eines Frames

durch einen Merker (Tag) um die VLAN-Information erweitert.

7.1.0 Funktionsweise VLAN Tagging

Pakete, die über einen normalen Port eines VLANs reinkommen, werden entweder direkt an

einen anderen Port dieses VLANs unverändert geschickt oder aber über den Sammelport

(Trunked Port) weitergeleitet. Dafür wird das entsprechende VLAN-Tag durch den Switch

hinzugefügt. Pakete, die über den Trunked Port empfangen werden, werden nach einer

VLAN-ID im Frame untersucht. Wird diese gefunden, so wird der Frame zu dem

entsprechendem VLAN Port weitergeleitet. Davor wird aber das Tag wieder entfernt. Wenn

der Switch diese VLAN-ID nicht findet, dann wird dieses Frame verworfen. Also, für alle

normalen Teilnehmer erfolgt die Kommunikation im VLAN transparent, sie bekommen vom

Tagging nichts mit.

Ethernet Framing-Fields vor dem Tagging

7 Byte Präambel

1 ByteFrameDelimiter

6 ByteZiel-adresse

6 ByteQuell-adresse

2 ByteTyp/Länge

46-1500ByteDaten

4 BytePrüf-summe

Vorspann 802.3 IP 802.3802.3802.3

Abb. 5: Ethernet Framing-Fields vor dem Tagging

Ethernet Framing-Fields nach dem Tagging

7 Byte Präambel

1 ByteFrameDelimiter

6 ByteZiel-adresse

6 ByteQuell-adresse

2 ByteTyp/Länge

46-1500ByteDaten

4 BytePrüf-summe

Vorspann 802.3 IP 802.3

2 Byte

ET

3 Bit

Priority

1 Bit

CFI

12 Bit

VLAN-ID

802.1q802.3 802.3

Abb. 6: Ethernet Framing-Fields nach dem Tagging

Page 19: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 19

7.1.1 Die Felder des 802.1Q/P

ET (Ether Type)

Ether Type 802.1Q ist das erste Feld eines VLAN-Tags, hat die Länge von 2 Bytes, welches

immer den Wert von 8100h besitzt. Durch diesen Wert wird signalisiert, dass es sich um ein

VLAN Packet handelt und dass das Length-Feld von 802.3 sich hinter dem VLAN-Tag

befindet (also 4 Bytes nach hinten verschoben).

Priority (User Priority Field)

Die Priorität eines VLAN-gekennzeichneten Datenpakets wird mit einem 3-Bit-Wert

markiert. Dabei steht die "0" für die geringste, die "7" für die höchste Priorität. Datenpakete

ohne VLAN-Tag werden mit der Priorität "0" behandelt.

CFI (Canonical Format Indicator)

Dieses Feld besteht aus einem Bit und dient zur Feststellung der Ausleserichtung des

folgenden VLAN-ID Feldes.

VLAN-ID (VLAN-ID Identifier)

Mit einer eindeutigen Nummer wird das virtuelle LAN gekennzeichnet. Diese ID bestimmt

die Zugehörigkeit eines Datenpakets zu einem logischen (virtuellen) LAN. Mit diesem

12-Bit-Wert können bis zu 4094 unterschiedliche VLANs definiert werden (die VLAN-IDs

"0" und "4095" sind reserviert bzw. nicht zulässig).

Ausschnitt eines VLAN-Tags

Vorspann 802.3802.1qVLAN-TAG

802.3 IP 802.3

EthertypeVLAN8100h2 Byte

PriorityField

3 Bit

CanonicalFormatIndicator1 Bit

VLAN-IDIdentifier

12 Bit

IEEE 802.1qIEEE 802.1q

Abb. 7: Ausschnitt eines VLAN-Tags

Page 20: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 20

8.0.0 Ethernet-Port-Trunking

Ethernet-Port-Trunking bezeichnet die sogenannte „Aggregation von Ethernet

Links“(Logische Zusammenlagerung der Verbindungen). Beim Trunking werden mehrere

physikalischen Verbindungen eines Switches zu einer logischen Verbindung

zusammengeschaltet. Den Endpunkt eines derart gebildeten virtuellen Trunk bezeichnet man

auch als virtuellen Port. Daraus leitet sich die synonyme Bezeichnung „Port Trunking“ ab.

Das Verfahren ermöglicht die kostengünstige Überführung von Fast Ethernet (100 Mbit/s)

zum Gigabit Ethernet (1000 Mbit/s), bei der die Bitrate in kleinen Schritten an den aktuellen

Bedarf angepasst werden kann. Damit ist es möglich, stark belastete Verbindungen im Netz

zu erweitern, ohne auf die Komponenten für Gigabit Ethernet umsteigen zu müssen.

Workgroup Switch Application Server

Terminal

Terminal

Terminal

Terminal

Trunk-Verbindung

Abb. 8: Trunk-Verbindung

Page 21: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 21

9.0.0 TACACS+ & IEEE 802.1x

Frontend-Protokolle

regeln die Kommunikation zwischen dem Endbenutzer und dem NAS (Network Access

Server – Netzwerkzugangsserver). Hier unterscheiden sich die Protokolle abhängig vom

Medium bzw. der Topologie des Zugangsnetzwerkes:

• Punkt-zu-Punkt-Verbindungen: SLIP, PPP

• LAN: PPPoE, EAPoL (IEEE 802.1x)

• WLAN: WEP (IEEE 802.11), EAPoL (IEEE 802.1x),

IEEE 802.11i

Backend-Protokolle

regeln die Kommunikation zwischen dem NAS und dem Authentifikationsserver (AS). Man

bezeichnet die Protokolle auch als AAA-Protokolle, da sie Authentifikation, Autorisierung

und Accounting abdecken:

• TACACS+

• RADIUS

• Diameter

9.1.0 AAA - Begriffsdefinitionen

AAA steht für die Zusammenfassung eines Sicherheitskonzeptes, unter dem die Begriffe

Authentication, Autorization und Accounting fallen. Die Begriffe werden im Folgenden

synonym mit diesen Definitionen verwendet:

Authentifizierung

Ist der Vorgang der Überprüfung einer angegebenen Identität. Dabei kann man zwischen der

Authentifizierung des Senders bzw. des Empfängers einer Nachricht (message authentication

vs. authentication of the channel end point) unterscheiden. Beispielsweise muss sich ein

GSM-Handy immer gegenüber dem Netz identifizieren. Umgekehrt geschieht dies nicht.

Page 22: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 22

Autorisierung

Ist der Vorgang der Überprüfung, ob bestimmte (Zugriffs-) Rechte einem (authentifizierten)

Benutzer zugesprochen werden können oder nicht. Dabei kann es sich z.B. um Zugriffsrechte

für Netzlaufwerke handeln.

Accounting

Beschreibt den Vorgang der Sammlung von Daten bzgl. Resourcenverbrauch für

Abrechnungszwecke, Kapazitätsplanungen, Statistiken etc..

Authenticator

Die Einheit, die die Authentisierung des Gerätes am anderen Ende der Verbindung anfordert.

Supplicant

Die Einheit, die Zugang zum LAN sucht und dafür durch den Authenticator überprüft wird.

Port Access Entity (PAE)

Die Protokoll-Instanz, die mit einem kontrollierten Port verbunden ist. Die Instanz kann die

Funktionalität eines Authenticators, eines Supplicant oder auch beides gemeinsam umfassen.

Authentication Server

Eine Einheit, die die Authentisierung durchführt und das Ergebnis der Authentisierung dem

Authenticator mitteilt. Diese Einheit kann mit dem Authenticator integriert sein, ist aber

meistens ein externer Server.

IEEE 802.1x

Das Protokoll dient zur Kontrolle der Benutzer-Identität beim Zugriff auf das Ethernet und ist

zuständig zwischen Geräten, die den Zugang zum LAN suchen, und zwischen Geräten, die

den Zugang zum LAN verwalten. Also die Anforderungen an ein Protokoll zwischen dem

Authenticator (Zugangspunkt zum LAN) und einen Authentisierungs-Server (z.B. RADIUS).

Page 23: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 23

9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung

Möchte ein Benutzer über einen bestimmten LAN-Port (Local Area Network) auf Dienste

zugreifen, übernimmt der Port eine von zwei Rollen: Authentifizierer oder Anforderer. Als

Authentifizierer erzwingt der LAN-Port die Authentifizierung, bevor der Benutzerzugriff

zugelassen wird. Als Anforderer fordert der LAN-Port Zugriff auf die Dienste an, auf die der

Benutzer zugreifen möchte. Ein Authentifizierungsserver prüft die Anmeldeinformationen des

Anforderers und teilt dann dem Authentifizierer mit, ob der Anforderer zum Zugriff auf die

Dienste des Authentifizierers autorisiert ist.

Abb. 9: IEEE 802.1x-Authentifizierung

Quelle: http://www.id.ethz.ch

9.3.0 Sicherheit durch IEEE 802.1x

Aufgrund der Schwächen der in IEEE 802.11 eingeführten Authentifizierung war es nötig,

eine Alternative zu finden. Der ursprünglich für drahtgebundene Netze entwickelte Standard

IEEE 802.1x wurde hierfür herangezogen. Er spezifiziert das Grundgerüst für die eigentliche

Authentifizierung. Es wird unterschieden zwischen dem Client (Supplicant), der sich in einem

Netzwerk authentifizieren möchte, dem Authentifizierer (Authenticator), welcher als

Kommunikationspartner für den Client fungiert und dem Authentifizierungsserver

(Authentication Server), der die eigentliche Authentifizierung durchführt. In der Regel

übernimmt ein RADIUS-Server (Remote Access Dial-Up User Service) die Rolle des

Authentifizierungsservers und ein Access Point die des Authentifizierers.

Page 24: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 24

Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE

802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprünglich für

die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von

Authentifizierungsmethoden unterstützt.

Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in

zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der

kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem

autorisierten Zustand befindet. Eine Kommunikation über den unkontrollierten Port ist zwar

stets möglich, jedoch ist diese eingeschränkt.

Quelle: http://einstein.informatik.uni-oldenburg.de

9.4.0 TACACS+ Überblick

TACACS steht für Terminal Access Controller Access Control Server

TACACS+ ist die zentrale Komponente von Ciscos AAA-Modell (Authentication,

Authorization, Accouting). AAA beschreibt eine Umgebung, in der verschiedene Protokolle

und Dienste kooperieren, um Benutzerkonten zu verwalten, Berechtigungsüberprüfungen

durchzuführen und Abrechnungsdaten zu erheben.

TACACS+ ist die jüngste Cisco-spezifsche Erweiterung des TACACS-Protokolls. Sie

erlaubt höhere Sicherheit, da die Daten verschlüsselt und über TCP übertragen werden.

Von den drei TACACS-Verfahren ist TACACS+ das mächtigste. Es ist als Vorschlag für

einen künftigen Internet-Standard eingereicht. Die beiden älteren Verfahren werden von Cisco

künftig nicht mehr unterstützt

9.4.1 Funktion von TACACS

Innerhalb eines großen Netzwerkes findet die Verwaltung und Speicherung von

Benutzerdaten an einer zentralen Stelle statt. Diese Daten dienen auch der Authentifizierung

von Benutzern, die sich am Netzwerk anmelden. Es folgt nun ein Zugriff von außen, auf das

Netzwerk, eine RAS- oder VPN-Verbindung wird hergestellt. Über diese Verbindung muss

der Benutzer vor dem Zugriff auf das Netzwerk authentifiziert werden. Das Bindeglied

zwischen der zentralen Benutzerverwaltung und dem RAS ist der TACACS+. Das TACACS+

Page 25: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 25

Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das Accounting. Vom

TACACS+-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert

und kann zu Abrechnungszwecken herangezogen werden.

TACACS ist in gewissen Bereichen dem RADIUS ähnlich. So stellt ein Client eine

Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den

zentralen TACACS-Server weiterleitet. Cisco hat zwei Erweiterungen, das Extended

TACACS (XTACACS) und TACACS erarbeitet. Das TACACS+ Subsystem (Authenticator)

stellt eine TCP-Verbindung zum Host (TACACS+-Server, Authentication Server) her und

sendet ein Start-Paket. Der Host reagiert mit einem Replay-Paket, das entweder direkt den

Zugriff gestattet oder verweigert, einen Fehler meldet oder an den Supplicant eine Anfrage

stellt. Der User wird also nach Username und Password gefragt, welches durch das

Subsystem wieder an den Host übertragen wird. Der Host reagiert entsprechend und die

Verbindung wird geschlossen. tac_plus ist Cisco's freier TACACS+-Server für Unix, welcher

auch mit Debian GNU/Linux mitgeliefert wird. Eine volle Implemation wird von Cisco

kommerziell vertrieben. Da TACACS+ ein properitäres Protokoll der Firma Cisco ist, verliert

es gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen

Verbreitung der Cisco-Produkte bis heute halten.

Ein Vorteil von TACACS+ gegenüber RADIUS ist unter Umständen, das TACACS+ das

ganze Paket verschlüsselt, RADIUS hingegen nur das Passwort, was aber bei den meisten

Einsatzbereichen keine Rolle spielt.

9.4.2 Fazit

Der IEEE 802.1x Standard legt unter anderem fest, wie das Authentifizierungsprotokoll EAP

(Extensible Authentication Protokoll) über Kabel oder Funknetzwerk in Ethernet – Frames

verpackt. Deshalb heißt 802.1.x auch EAPOL (EAP over LAN). Das Protokoll wird außer bei

portbasierender Authentifikation auch bei Wireless Lan Geräten angewendet, um die

Kommunikation zum Gerät über den Access-Point zu ermöglichen.

Neben EAP, basiert 802.1x zusätzlich auf PPP (Point to Point Protokoll). PPP und EAP sind

Internetstandards (in RFCs definiert), während 802.1.x von der IEEE (Institute of Electrical

and Electronics Engineers) stammt. Die RFCs sind durchnummerierte Serien von

Dokumenten die veröffentlicht werden.

Das TACACS+ Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das

Accounting. Während IEEE 802.1x nur ein Authentisierungsprotokoll darstellt, ist das

Page 26: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 26

TACACS+ zuständig für die Authentifizierung (Authentication), Autorisierung

(Authorisation) oder zu Abrechnungszwecken (Accounting). TACACS+ spielt auch die

Bindegliedrolle zwischen der zentralen Benutzerverwaltung und dem RAS (Remote Access

Service). RAS ist ein Dienst, über den man sich beispielsweise zwecks Fernsteuerung auf

einen anderen PC oder in ein internes LAN einwählen kann.

Bei der Auswahl eines Authentification-Servers sprechen Folgende Vorteile für

TACACS+:

• TACACS+ verschlüsslet das ganze Paket, RADIUS hingegen nur das Passwort.

• Die Passwort-Konfigurationen sind nicht mehr physikalisch auf den Geräten und

müssen dadurch auch nicht mehr einzeln gepflegt werden.

• Skalierbarkeit. Beim editieren von Usern werden sämtliche Änderungen nur in einer

Datenbank nachgeführt. Dadurch ist die Übersicht besser gewährleistet. Die

Passwörter werden verschlüsselt auf einem AAA-Server gespeichert (z.B. auf einem

Unix System). Der starke Algorithmus bei Unix verschlüsselten Passwörter bietet so

wesentlich mehr Sicherheit.

• Jeder Zugriff auf die Geräte wird beim AAA-Server geloggt und kann ausgewertet

werden. Damit hat man ein gutes Tool zur Überwachung sämtlicher Aktivitäten in den

Händen. Zusätzlich können damit auch Abrechnungsinformationen in Bezug auf

Sicherheits-Audits oder Kontenabrechnungen aufgezeichnet werden

Dagegen stehen folgende Nachteile:

Da auf dem Markt keine günstigen Switches verfügbar sind, die mit TACACS+ umgehen

können, und weil TACACS+ ein properitäres Protokol der Firma Cisco ist, verliert es

gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen

Verbreitung der Cisco-Produkte bis heute halten. Die frei erhältliche Version von TACACS+

unterschtützt viele wichtige Funktionen wie z.B. die Anwendung der Zertfikate wie EAP/TLS

bei Authententifikation nicht. Somit müsste die Authentifizierung über die MAC-Adresse

erfolgen. Allerdings wäre dann die Sicherheit beeinträchtigt, da die MAC-Adresse leicht

gefälscht werden könnte. Die Umstrukturierung eines Netzes auf WLAN wäre bei TACACS+

nur mit Geräten von Cisco möglich. Diese Nachteile bestätigen den Verdacht, dass die

Zukunft des TACACS+ als Authentifizierungsservers ungewiss ist.

Page 27: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 27

10.0.0 Beschreibung der Hardware

Die für dieses Projekt zur Verfügung stehenden Geräte sind jeweils Layer-2-Switches von

den Firmen Cisco bzw. Hewlett-Packard. Diese Layer-2-Switches arbeiten auf dem Data-

Link-Layer und sind unabhängig von darüber liegenden Protokollen.

Während des Betriebes lernt ein Switch alle MAC-Adressen und ordnet diese in einer

MAC-Tabelle ein. Nach dem Empfangen eines Frames überprüft der Switch die MAC-

Zieladresse. Ist in der MAC-Tabelle ein Eintrag für dieses Ziel hinterlegt, so wird der Frame

dorthin weiter geleitet. Ist kein Eintrag in der MAC-Tabelle vorhanden, wird der Frame an

alle anderen Ports als Broatcast weitergesendet bis auf den Port, an dem der Frame empfangen

worden ist. Bei VLANs arbeitet ein Layer-2-Switch ebenso, aber bezogen auf die VLANs. Es

gibt eine MAC-Adresstabelle für jedes VLAN.

10.1.0 Cisco Catalyst 2950

Der Cisco Catalyst 2950 ist ein sehr gut ausgestatteter und günstiger Switch für den

Serverschrank. Das Model hat 24 eingebaute RJ45 Ports mit 10Base-T/100Base-TX. An

jedem der Ports können ein Endgerät oder ein weiterer Switch angeschlossen werden. Jedes

Interface hat eine Bezeichnung der Form x/y, vor dem Schrägstrich steht immer eine 0.

Daher heißt das erste Interface 0/1, das zweite 0/2 usw.

Dieser Cisco Catalyst 2950 ist ein stapelbarer, verwaltbarer Switch, der weitere

Leistungsmerkmale wie die Netzwerk-Überwachung, VLAN-Unterstützung und Vollduplex-

fähigkeit aufweist. Darüber hinaus sind, IEEE 802.3, IEEE 802.3U, IEEE 802.1D,

IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.1x wichtige Protokolle, die dieser

Switch unterstützt. Weitere technische Einzelheiten unter http://www.cisco.com

POST (Power-On Self Test) ist die Selbstprüfung des Gerätes die vor dem Laden des

Betriebssystems durchführt wird, um die Hardware zu testen. Während der Selbstprüfung

läuft das Betriebssystem noch nicht und die LEDs haben eine eigene Bedeutung. Im

Normalbetrieb dienen sie jedoch ganz anderen Zwecken. Beim Startvorgang zeigen alle LEDs

kurz grün an, um die Funktionstüchtigkeit der LEDs selbst zu signalisieren. Mit der

„Modus-Taste“ wird der Switch von Modus zu Modus umgeschaltet: stat, util, duplex oder

speed. Der aktuelle Modus lässt sich durch die LEDs erkennen. Um die

Konfigurationseinstellungen des Switches auf Werkeinstellungen zurück zu setzen, muss die

Page 28: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 28

„Modustaste“ betätigt werden und gleichzeitig das Stromversorgungskabel entfernt und

wieder eingesteckt werden.

Abb. 10: Indikatoren Cisco Catalyst 2950

• System LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch

eingeschaltet ist. Gelber Zustand der LED deutet auf ein Problem hin, das sich durch

POST ergeben hat

• RPS LED: Signalisiert die Existenz und Status der redundanten Stromversorgung

(RPS) und den Status der Hauptstromversorgung

• Port-LEDs: Haben eine Bedeutung, die vom akitven Modus des Switches abhängt

• Stat-LED: Bei diesem Modus zeigt die Port-LED den Status des Ports an. Grün steht

für bereit, Aus für nicht bereit und grünes Blinken zeigt Aktivität an

• Util-LED: Dieser Modus verwendet die kombinierten Port-LEDs als Anzeige für die

Gesamtauslastung des Switches. Je mehr Port-LEDs leuchten, desto stärker ist der

Switch ausgelastet

• Dublex-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen

Vollduplex-Port, bzw. aus, wenn es sich um einen Halbduplex-Port handelt

• Speed-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen 100

MBit/s Port bzw. aus, wenn es sich um einen 10 MBit/s Port handelt

Auf der Rückseite des Switches befinden sich eine RJ45 Konsole-Schnittstelle und ein

Anschluss für Stromversorgung 110/230V Wechselspannung 110/220 +/- 10% (50/60 Hz).

Page 29: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 29

10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950

Der Benutzer-EXEC-Modus ist an der Eingabeaufforderung durch das Zeichen „>“ zu

erkennen. Im Benutzer-EXEC-Modus ist nur eine begrenzte Anzahl grundlegender

Überwachungsbefehle zulässig. Mit dem Befehl „enable“ kann man vom

Benutzer-EXEC-Modus in den privilegierten EXEC-Modus wechseln. Dieser Modus lässt

sich durch das Zeichen „#“ an der Eingabeaufforderung erkennen und man hat in diesem

Modus Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung

werden alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt.

Gibt man an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt

die „Tab-Taste“, wird der jeweilige Befehl vervollständigt. Mit dem Befehl „exit“ oder

„CNTL+Z“ gelangen sie einen Modus zurück. Mit dem Befehl „end“ gelangen sie sofort

wieder in den privilegierten EXEC-Mode. Fast jeder IOS-Befehl hat auch eine negierte Form,

dass durch hinzufügen von „no“ vor dem eigentlichen Befehl aktiviert wird.

Allgemeine Befehle

Switch#show ? Zeigt alle show-Befehle an

Switch#show interface status Zeigt aktuellen Status der Ports an

Switch#show running-config Zeigt die laufenden Konfigurationseinstellungen

Switch#debug dot1x Schaltet Debug-Modus für IEEE 802.1x Authentifizierung ein

Switch#debug radius Schaltet Debug-Modus für die Kommunikation zwischen Switch und RADIUS-Server ein

Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für

die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können

in den Dokumentationen nachgeschlagen werden.

Page 30: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 30

10.2.0 HP Procurve 2524

Bei diesem HP Procurve 2524 Switch handelt es sich um ein Model der 2500 Serie. Diese

sind relativ kostengünstig, stapelbar, verwaltbar und es gibt sie mit 24 bzw. 12 Ports mit

10/100-Autosensing je Port. Zudem sind 2 freie Transceiver-Slots für Gigabit oder

100Base-FX vorhanden. Der Switch lässt sich über die Konsole sowie auch über jeden

beliebigen Webbrowser im Netzwerk konfigurieren. Das sogenannte Link Aggregation

Control Protocol (LACP) und HP-Trunking unterstützt einen einzigen Trunk mit bis zu 4

Links. Es werden bis zu 30 portbasierte VLANs und dynamische Konfiguration von 802.1Q

VLAN Tagging unterstützt. Ebenfalls gibt es Einstellungen zur Portsicherheit. IEEE 802.1p

Priorisierung liefert Daten an Geräte basierend auf Priorität und Typ des Datenverkehrs. Das

Spanning Tree Protocol bietet redundante Links und verhindert gleichzeitig Netzwerkloops;

daneben wird durch das 802.1w Rapid Convergence Spanning Tree Protocol höhere

Verfügbarkeit durch schnellere Wiederherstellung nach dem Ausfall von Links erreicht. Auf

die Switches gibt HP eine lebenslange Garantie.

Nähere technische Informationen sind unter http://www.hp.com abrufbar.

Folgendes Bild zeigt die Front des HP Procurve 2524 Switches:

Abb. 11: Front des HP Procurve 2524 Switch

Bildquelle:

HP procurve series 2300 and 2500 switches Installation and getting started guide.pdf

Der HP Procurve 2524 Switch besitzt auf der Frontseite Taster, mit denen entsprechende

Funktionen ausgelöst werden können, und verschiedene Indikator-LEDs, die den aktuellen

Betriebszustand des Gerätes signalisieren.

Page 31: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 31

Taster:

• Mode Select Taster: Dient zum Umschalten der verschiedenen Moden

• Reset Taster: Löst einen Neustart des Switches aus

• Clear Taster: Löscht alle gesetzten Konsole Zugangspasswörter

Port LEDs:

• Link LED: leuchtet, wenn entsprechender Port aktiviert ist und eine Verbindung zu

dem angeschlossenem Gerät besteht. Leuchtet LED nicht, ist Port deaktiviert oder es

besteht keine Verbindung. Blinkt LED simultan mit der Fault LED, weist der

entsprechende Port einen Fehler auf

• Mode LED: Zeigt an, ob ein Port für den Voll Duplex Modus oder für den Max.

Geschwindigkeits Modus aktiviert ist, bzw. ob ein Port Netzwerkaktivität anzeigt

oder Netzwerkereignisse signalisiert, die das Einschreiten des Administrators

erfordern, abhängig vom Modus, der ausgewählt wurde.

Switch LEDs:

• Power LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch

eingeschaltet ist.

• Fault LED: LED signalisiert nach dem Start bzw. nach Abschluss des Selbsttests, ob

ein Fehler vorliegt. Bei nicht leuchtender LED liegt kein Fehler vor, bei blinkender

LED liegt ein Fehler auf einem der Switch Ports oder des Lüfters vor und bei

leuchtender LED wird ein schwerer Hardwarefehler signalisiert

• Self Test LED: LED leuchtet während der Durchführung des Selbsttests, LED blinkt,

wenn eine Komponente einen Fehler aufwies

• Fan Status LED: Leuchtet wenn Lüfter ordnungsgemäß funktioniert und blinkt

simultan mit der Fault LED, wenn ein Fehler des Lüfters vorliegt.

Mode Select LEDs:

• Act LED: Signalisiert, dass die Port Mode LEDs Information über die Netzwer-

kaktivität anzeigen

• FDx LED: Signalisiert, dass die Port Mode LEDs für Ports, die im Voll Duplex

Modus sind, leuchten

Page 32: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 32

• Max LED: Signalisiert, dass die Port Mode LEDs für die Ports leuchten, die in ihrer

max. möglichen Geschwindigkeit arbeiten. Z.B. für die 10/100TX Ports wäre es

100Mbps

• ! LED: Signalisiert dass die Port Mode LEDs Netzwerkereignisse anzeigen, die das

Einschreiten des Administrators erfordern.

Abb. 12: Indikatoren HP Procurve 2524

Auf der Rückseite des Gerätes befindet sich ein Anschluss für die Stromversorgung,

110/230V Wechselspannung (50/60 Hz) sowie ein Lüfter, der für die notwendige Kühlung

des Gerätes sorgt und demzufolge nicht abgedeckt werden darf.

Page 33: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 33

10.2.1 Command Line Interface (CLI) des HP Procurve 2524

Der HP Procureve besitzt einen Operator-EXEC-Modus, sowie einen Manager-EXEC-Modus

mit einigen Kontext-Moden. Der Operator-EXEC-Modus ist an der Eingabeaufforderung

„Switch#“ zu erkennen. Im Operator-EXEC-Modus ist nur eine begrenzte Anzahl

grundlegender Überwachungsbefehle zulässig. Mit dem Befehl „config“ kann man vom

Operator-EXEC-Modus in den Manager-EXEC-Modus wechseln. Dieser Modus lässt sich

durch die Eingabeaufforderung „Switch(config)#“ erkennen und man hat in diesem Modus

Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung werden

alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt. Gibt man

an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt die „Tab-

Taste“, wird der jeweilige Befehl vervollständigt. Mit der Befehl „exit“ gelangen man einen

Modus zurück. Die meisten Befehle besitzen auch eine negierte Form um einen aktiven

Befehl wieder zu deaktivieren. Dies geschieht mit der Eingabe von „no“ vor dem eigentlichen

Befehl.

Allgemeine Befehle

Switch#show ? Zeigt alle show-Befehle an

Switch#show interfaces Zeigt Informationen aller Ports an

Switch#show running-config Zeigt die laufenden Konfigurationseinstellungen

Switch# show port-access authenticator

Zeigt Authentifikation der Ports an

Switch# erase startup-config Löscht die „Startup-config“

Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für

die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können

im Benutzerhandbuch bzw. im command-line-interface-reference-guide nachgeschlagen

werden.

Page 34: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 34

11.0.0 Zugriff auf die Konsolenebene eines Switches

11.1.0 Lokaler Zugriff auf einen Switch

Um einen Switch zu konfigurieren, muss dieser zuvor über den Konsole-Port mit einem

sogenannten Rolloverkabel mit dem PC auf eine serielle Schnittstelle verbunden sein.

Darüber hinaus benötigt man ein Terminalprogramm, um die lokale Kommunikation

zwischen Switch und PC zu ermöglichen. Es gibt zahlreiche Terminalprogramme auf dem

Markt, für dieses Projekt wurde das “Tera Term Pro Version 2.3“ angewendet.

Downloadlink: http://hp.vector.co.jp/authors/VA002416/teraterm.html

Um mit dieser Software eine erfolgreiche Kommunikation auf die Konsole zu ermöglichen,

müssen folgende Einstellungen durchgeführt werden:

Schritt 1: Unter Setup / Serial port... müssen folgende Einstellungen vorgenommen werden;

Abb. 13: Tera Term Serial port setup

Schritt 2: Serial aktivieren und entsprechende COM-Schnittstelle auswählen, an der das

Rolloverkabel mit dem PC verbunden ist, anschließend mit „OK“ Button bestätigen

Abb. 14: Tera Term New connection

Terminalfenster mit der Konsole des entsprechenden Switches wird geöffnet.

Page 35: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 35

11.2.0 Fernzugriff auf einen Switch

Um Flexibilität und standortunabhängige Konfigurationen sicherzustellen, wurde als

Telnet/SSH Client das sogenannte PuTTY herangezogen. Hierdurch kann über SSH Zugriff

von der Schule sowie über das Internet Zugriff auf den Switch erfolgen.

Downloadlink: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

11.2.1 Zugriff über das Intranet der GWS-Lörrach

Schritt 1: Nach Eingabe des Host Name (or IP address) „sshserver“ mit dem

“Open“ Button bestätigen. Anschließend wird die Verbindung aufgebaut und das Terminal-

Fenster wird geöffnet.

Abb. 15: PuTTY Verbindung über das Intranet der GWS-Lörrach

11.2.2 Zugriff über das Internet

Schritt 1: Nach Eingabe des Host Name (or IP address)

„gws-loe.remoteconnect.de“ mit dem „Open“ Button bestätigen. Anschließend wird

die Verbindung aufgebaut und das Terminal-Fenster wird geöffnet.

Eingabefeld für Host Name

Page 36: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 36

Abb. 16: PuTTY Verbindung über das Internet

Danach müssen für beide Zugangsarten (Intranet der GWS-Lörrach oder Internet) folgende

Schritte im Terminal-Fenster getätigt werden, um eine Verbindung vom GWS-Lörrach

SSH-Server auf den Debrad SSH-Server und somit auf Minicom herzustellen. Minicom stellt

ein Interface auf die COM Schnittstelle des Rechners dar, an dem der entsprechende Switch

über ein Rollover-Kabel angeschlossen ist.

11.2.3 Login-Vorgang über SSH-Server auf Minicom

Benutzername und Passwort eingeben, um sich auf dem SSH-Server der GWS-Lörrach

einzuloggen:

Schritt 1: Login as: [Benutzername] Schritt 2: password: **********

Benutzername und Passwort eingeben, um sich über den GWS-Lörrach SSH-Server auf den

Debrad SSH-Server anzumelden:

Schritt 3: [Benutzername]@sshserver:~$ ssh [Benutzername]@debrad Schritt 4: Password: **********

Eingabefeld für Host Name

Page 37: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 37

Mit folgendem Befehl kann man sich über Minicom auf dem entsprechenden Switch

(Cisco Catalyst 2950 bzw. HP Procurve 2524) einloggen:

Schritt 5: [Benutzername]@debvl:~$ minicom hp oder

Schritt 5: [Benutzername]@debvl:~$ minicom cisco

Um nach einer Sitzung Minicom zu beenden, wird folgendermaßen vorgegangen:

Schritt 6: Strg + A, Z X

Schritt 7: Leave Minicom: Yes Schritt 8: [Benutzername]@debvl:~$ exit Schritt 9: [Benutzername]@sshserver:~$ exit

Page 38: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 38

12.0.0 Firmwareupdate der Switches

Einerseits gehörte das Updaten der Switches zur Aufgabenstellung der Technikerarbeit,

anderseits, musste sichergestellt werden, dass die Switches mit den aktuellen IOS/OS

Versionen versehen wurden. Nur so kann davon ausgegangen werden, dass alle Optionen

unterstützt werden und die einwandfreie Funktion der Switches gewährleistet wird.

Hierzu wird ein sogenannter TFTP-Server (Trivial File Transfer Protocol) auf dem Rechner

benötigt, um die Datenkommunikation zwischen Rechner und Switch zu gewährleisten. Vor

einem Update auf ein neues IOS/OS sollte jedoch zuvor die alte Version des IOS/OS via

TFTP auf den Rechner übertragen und dort gespeichetrt werden um im Falle eines

Misserfolges die ursprüngliche Firmware wieder herzustellen. Ein weiterer Aspekt der

Benutzung eines TFTP Servers ist dass man sämtliche Konfigurations-Files über TFTP auf

den Rechner sichern kann. Als TFTP-Server entschied man sich für „3CDaemon Version 2.0“

von 3com.

Downloadlink: http://support.3com.com/software/utilities_for_windows_32_bit.htm

Um eine TFTP Verbindung zwischen Rechner und Switch aufzubauen, muss sich sowohl der

Switch als auch der TFTP-Server im selben IP-Netzbereich befinden. Die IP-Vergabe auf

einem Windows-Rechner erfolgt unter Start/Einstellungen/Netzwerkverbindungen. In

welchen IP-Adressbereich sich der Switch befindet, hängt von der IP Einstellung des

Switches ab, die in den folgenden Kapiteln beschreiben wird.

Außerdem muss unter „Configure TFTP Server“ in dem Eingabefeld „Upload/Download

directory“ der Pfad angegeben werden, an dem die Files zum Transfer gespeichert bzw.

abgerufen werden. Mit dem Betätigen des „STOP“ -/ bzw. „GO“ Buttons kann der TFTP

Server deaktiviert bzw. aktiviert werden.

Abb. 17: Einstellungen 3CDaemon

Eingabefeld für Host Name

Page 39: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 39

Vor dem Updaten des Switches müssen mehrere ziemlich wichtige Informationen mit

berücksichtigt werden:

• Wie lauten IP Adresse oder Hostname des TFTP-Servers?

• Wie heißt die Datei?

• Ist der Flash-Speicher für diese Datei groß genug?

• Liegt auf dem Server überhaupt eine Datei mit diesem Namen?

• Soll die alte Datei wirklich gelöscht werden?

12.1.0 IOS-Update Cisco Catalyst 2950

Das Interwork Operating System (IOS) wird im Flash-Memory gespeichert. Das

Flash-Memory ist ein wiederbeschreibbarer, permanenter Speicher. Das ist ideal für Dateien,

auf die man zurückgreifen muss, wenn der Switch einmal einen Stromausfall hatte. Ein

weiterer Vorteil ist, dass es keine beweglichen Teile gibt. So wird eine höhere Zuverlässigkeit

erreicht als bei Laufwerken.

Zunächst muss das IOS-Image natürlich von Cisco bezogen werden. Das Beziehen des

IOS-Image ist nur mit einen aktuellen Servicevertrag der Firma Cisco möglich. Dann muss

dies in das Standardverzeiniss des TFTP-Servers abgelegt werden. Schließlich muss auf dem

Switch der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory

kopiert.

1. Catalyst#dir flash: Zeigt Informationen über das Flash: - Inhalt (IOS Version) - Gesamt- bzw. freier Speicherplatz

2. Catalyst#copy flash tftp Source filename[]? c2950-i6q4l2-mz.121-14.EA1a.bin Address or name of remote host []? 192.168.0.10 Destination filename [c2950-i6q4l2-mz.121-14.EA1a.bin]?

Sichern des IOS von Flash auf PC über TFTP - Name der Quelldatei - Angabe des TFTP Servers - Name der Zieldatei

Page 40: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 40

Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1

3. Catalyst#del flash:c2950-i6q4l2-mz.121-14.EA1a.bin

Löschen der Datei „c2950-i6q4l2-mz.121-14.EA1a.bin“ aus dem Flashmemory

Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2

Page 41: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 41

4. Catalyst#copy tftp flash Address or name of remote host []? 192.168.0.10 Source filename[c2950-i6q4l2-mz.121-22.EA3.bin]? Destination filename [c2950-i6q4l2-mz.121-22.EA3.bin]?

Laden des gewünschten IOS Version von PC auf Flash über TFTP - Angabe des TFTP Servers - Name der Quelldatei - Name der Zieldatei

Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3

Page 42: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 42

Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs

Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server

5. Catalyst#config terminal Wechselt in den Konfigurationsmodus

6. Catalyst(config)# boot system flash: c2950-i6q4l2-mz.121-22.EA3.bin

Name des neuen IOS von dem der Switch booten soll

7.

Catalyst(config)#exit

Zurück in Privilegierten EXEC-Modus

8. Catalyst#show boot

Zeigt Boot Einstellungen an

Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4

Page 43: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 43

9. Catalyst#reload

Switch wird neu gebootet

10. Catalyst#show version

Zeigt die aktuelle IOS Version an

12.2.0 OS-Update HP Procurve 2524

Ein Update des Switches kann sowohl über einen TFTP-Server sowie als auch über ein

XMODEM durchgeführt werden. Das Switch Operating System (OS) wird im Flashmemory

hinterlegt. HP stellt kostenlose Updates der Firmware auf ihrer Homepage zum Downlaoden

bereit. Folgende Schritte beschreiben den Updatevorgang über TFTP. Dabei muss sich das

neue OS im Standardverzeinis des TFTP-Servers befinden. Schließlich muss auf dem Switch

der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory kopiert.

1. Switch#show version Zeigt die aktuelle OS an

2. Switch#copy flash tftp 192.168.0.10 F_05_22.swi

Sichern des OS von Flash auf PC über TFTP

Abb. 23: OS-Update HP Procurve 2524, Bild 1

3. Switch#copy tftp flash 192.168.0.10 F_05_34.swi

Laden der gewünschten OS Version von PC auf Flash über TFTP

Abb. 24: OS-Update HP Procurve 2524, Bild 2

Page 44: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 44

Nachdem das gewünschte OS auf den Switch geladen wurde, löst Switch einen Neustart aus

und wird mit neuem OS gestartet.

4. Switch#show version Zeigt die aktuelle OS an

Abb. 25: OS-Update HP Procurve 2524, Bild 3

Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs

Abb. 26: OS-Update HP Procurve 2524, TFTP-Server

Page 45: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 45

13.0.0 Konfiguration der Switches

Diese Kapitel befasst sich mit der Konfiguration des Cisco Catalyst 2950 und des HP

Procurve 2524. Es gibt verschiedene Möglichkeiten diese Switches zu konfigurieren, wie über

das Webinterface und über das Comand Line Interface (CLI), bei HP zusätzlich noch über das

Menu. Allerdings ist es sinnvoll einen Switch über das CLI zu konfigurieren, da man nur in

diesem wirklich alle Funktionen, die der Switch zur Verfügung stellt, konfigurieren kann.

Außerdem ist hier die Konfiguration nach einer Übungszeit wesentlich schneller da, durch

einen Befehl beispielsweise alle Ports auf Authentifizierung über IEEE 802.1x gesetzt werden

können. Das Menu des HP Procurve 2524 lässt sich über das CLI erreichen und stellt dem

Administrator eine komfortable Alternative zur CLI bereit. Das Webinterface eignet sich sehr

gut für die allgemeine Überwachung des Switches und ist über das lokale Netzwerk

erreichbar. In diesem Projekt wurde die komplette Konfiguration über das CLI durchgeführt.

Nachfolgende Tabelle soll veranschaulichen wie die IP-Adressen der einzelnen VLANs auf

den jeweiligen Switches vergeben worden sind. Den Radius-Server erreichen die Switches

über das Management-VLAN (VLAN 1), dass sich im selben Adressbereich wie der

Radius-Server befinden muss.

Radius-Server: 192.168.0.1 / 24

VLAN Name IP / Catalyst 2950 IP / Procurve 2524 1 Admin_VLAN 192.168.0.6 / 24 192.168.0.5 / 24 2 Gast 192.168.1.1 / 24 192.168.1.1 / 24 3 Lehrer_1 192.168.2.1 / 24 192.168.2.1 / 24 4 Lehrer_2 192.168.3.1 / 24 192.168.3.1 / 24 5 Schueler_1 192.168.4.1 / 24 192.168.4.1 / 24 6 Schueler_2 192.168.5.1 / 24 192.168.5.1 / 24

Page 46: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 46

13.1.0 Konfiguration des Cisco Catalyst 2950

1. Switch>enable Wechsel vom Benutzer-EXEC-Modus in den privilegierten EXEC-Modus

2. Switch# clock set 09:21:34 09 May 2005

Einstellung der Uhrzeit und des Datums

3. Switch#configure terminal

Wechselt in den Konfigurationsmodus

4. Switch(config)# enable password catalyst

Vergabe des Passworts “catalyst”

5. Switch(config)#hostname Catalyst

Benennung des Gerätes

Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1

6. Catalyst(config)#aaa new-model Aktivierung von AAA

7. Catalyst(config)# aaa authentication dot1x default group radius

Aktivierung der Authentifikation über Radius-Server

8. Catalyst(config)# aaa authorization network default group radius

Switch wird für alle Anfragen über Netzwerkverbindungen durch Radius-Autorisierung aktiviert

9. Catalyst(config)# dot1x system-auth-control

Aktivierung von IEEE 802.1x Authentifikation

Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2

Page 47: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 47

Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3

10. Catalyst(config)#interface range fastEthernet 0/1 - 23

Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest

11. Catalyst(config-if-range)# switchport mode access

Der gewählte Portbereich wird für VLANs definiert

12. Catalyst(config-if-range)# dot1x port-control auto

Automatische Aktivierung von IEEE 802.1x auf dem gewähltem Portbereich

13. Catalyst(config-if-range)# spanning-tree portfast

Der gewählte Portbereich wird aktiviert um bei bestehender Verbindung direkt das Forwarding zu nutzen

14. Catalyst(config-if-range)#exit

Führt zurück in den Konfigurationsmodus

15. Catalyst(config)# Radius-server host 192.168.0.1 key test123

Konfiguration der Parameter des Radius-Servers (IP und Passwort)

16. Catalyst(config)#vlan 2 Erzeugt ein zweites VLAN

17. Catalyst(config-vlan)# name Gast

Benennung des VLAN 2 in „Gast“

18. Catalyst(config-vlan)#exit Zurück in den Konfigurationsmodus

19. Catalyst(config)#vlan 3

Erzeugt ein drittes VLAN

20. Catalyst(config-vlan)# name Lehrer_1

Benennung des VLAN 3 in „Lehrer_1“

21. Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

22. Catalyst(config)#vlan 4

Erzeugt ein viertes VLAN

23. Catalyst(config-vlan)# name Lehrer_2

Benennung des VLAN 4 in „Lehrer_2“

24. Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

25. Catalyst(config)#vlan 5

Erzeugt ein fünftes VLAN

Page 48: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 48

Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4

26. Catalyst(config-vlan)# name Schueler_1

Benennung des VLAN 5 in „Schueler_1“

27. Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

28. Catalyst(config)#vlan 6

Erzeugt ein sechstes VLAN

29. Catalyst(config-vlan)# name Schueler_2

Benennung des VLAN 6 in „Schueler_2“

30. Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

31. Catalyst(config)#interface vlan1 Wechselt zu Interface VLAN 1

32. Catalyst(config-if)# ip address 192.168.0.6 255.255.255.0

Vergabe der IP 192.168.0.6 / 24 an VLAN 1

33. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

34. Catalyst(config)#interface vlan2

Wechselt zu Interface VLAN 2

35. Catalyst(config-if)# ip address 192.168.1.1 255.255.255.0

Vergabe der IP 192.168.1.1 / 24 an VLAN 2

36. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

37. Catalyst(config)#interface vlan3

Wechselt zu Interface VLAN 3

38. Catalyst(config-if)# ip address 192.168.2.1 255.255.255.0

Vergabe der IP 192.168.2.1 / 24 an VLAN 3

39. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

Page 49: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 49

Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5

40. Catalyst(config)#interface vlan4

Wechselt zu Interface VLAN 4

41. Catalyst(config-if)# ip address 192.168.3.1 255.255.255.0

Vergabe der IP 192.168.3.1 / 24 an VLAN 4

42. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

43. Catalyst(config)#interface vlan5

Wechselt zu Interface VLAN 5

44. Catalyst(config-if)# ip address 192.168.4.1 255.255.255.0

Vergabe der IP 192.168.4.1 / 24 an VLAN 5

45. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

46. Catalyst(config)#interface vlan6

Wechselt zu Interface VLAN 6

47. Catalyst(config-if)# ip address 192.168.5.1 255.255.255.0

Vergabe der IP 192.168.5.1 / 24 an VLAN 6

48. Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

49. Catalyst(config)#interface range fastEthernet 0/1 - 23

Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest

50. Catalyst(config-if-range)# switchport access vlan 2

Ordnet unauthorisierte Clients in VLAN 2 (Gast-VLAN) ein

51. Catalyst(config-if-range)#end Zurück in den privilegierten EXEC-Modus

Page 50: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 50

Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6

Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7

52. Catalyst#show vlan Zeigt Überblick über VLANs

53. Catalyst#write memory Sichert die Einstellungen in der „config.text“ Datei

54. Catalyst#copy config.text tftp Address or name of remote host []? 192.168.0.10 Destination filename [config.text]? config.text

Sichern der „config.text“ von Flash auf PC über TFTP - Angabe des TFTP Servers - Name der Zieldatei

Page 51: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 51

13.2.0 Konfiguration des HP Procurve 2524

1. HP ProCurve Switch 2512>enable Wechselt in den EXEC-Modus

2. HP Procurve Switch 2512#config

Wechselt von dem Operator-EXEC-Modus in den Manager-EXEC-Modus

3. HP ProCurve Switch 2512(config)# clock set 05/09/2005 14:41

Einstellung der Uhrzeit und des Datums

4. HP ProCurve Switch 2512(config)# hostname Procurve

Benennung des Geräts

5. Procurve(config)#password all

Vergabe der Passwörter „procurve“ Operator: nur Leseberechtigung Manager: Vollzugriff

Abb. 34: Konfiguration des HP Procurve 2524, Bild 1

6. Procurve(config)# vlan 1 Wechselt in erstes VLAN

7. Procurve(vlan-1)# name

Admin_VLAN Benennung des VLAN 1 „Admin_VLAN“

8. Procurve(vlan-1)# ip address 192.168.0.5 255.255.255.0

Vergabe der IP 192.168.0.5 / 24 an VLAN 1

9. Procurve(vlan-1)# exit

Zurück in den Konfigurationsmodus

10. Procurve(config)# vlan 2 Erzeugt ein zweites VLAN

11. Procurve(vlan-2)# name Gast Benennung des VLAN 2 „Gast“

12. Procurve(vlan-2)# ip address 192.168.1.1 255.255.255.0

Vergabe der IP 192.168.1.1 / 24 an VLAN 2

13. Procurve(vlan-2)# exit

Zurück in den Konfigurationsmodus

14. Procurve(config)# vlan 3 Erzeugt ein drittes VLAN

15. Procurve(vlan-3)# name Lehrer_1 Benennung des VLAN 3 „Lehrer_1“

Page 52: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 52

16.

Procurve(vlan-3)# ip address 192.168.2.1 255.255.255.0

Vergabe der IP 192.168.2.1 / 24 an VLAN 3

17. Procurve(vlan-3)# exit

Zurück in den Konfigurationsmodus

18. Procurve(config)# vlan 4 Erzeugt ein viertes VLAN

19. Procurve(vlan-4)# name Lehrer_2 Benennung des VLAN 4 „Lehrer_2“

20. Procurve(vlan-4)# ip address 192.168.3.1 255.255.255.0

Vergabe der IP 192.168.3.1 / 24 an VLAN 4

21. Procurve(vlan-4)# exit

Zurück in den Konfigurationsmodus

22. Procurve(config)# vlan 5 Erzeugt ein fünftes VLAN

23. Procurve(vlan-5)# name Schueler_1

Benennung des VLAN 5 „Schueler_1“

24. Procurve(vlan-5)# ip address 192.168.4.1 255.255.255.0

Vergabe der IP 192.168.4.1 / 24 an VLAN 5

25. Procurve(vlan-5)# exit

Zurück in den Konfigurationsmodus

26. Procurve(config)# vlan 6 Erzeugt ein sechstes VLAN

27. Procurve(vlan-6)# name Schueler_2

Benennung des VLAN 6 „Schueler_2“

28. Procurve(vlan-6)# ip address 192.168.5.1 255.255.255.0

Vergabe der IP 192.168.5.1 / 24 an VLAN 6

29. Procurve(vlan-6)# exit

Zurück in den Konfigurationsmodus

Abb. 35: Konfiguration des HP Procurve 2524, Bild 2

Page 53: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 53

30. Procurve(config)# radius-server host 192.168.0.1 key test123

Konfiguration der Parameter des Radius-Servers (IP und Passwort)

31. Procurve(config)# aaa authentication port-access eap-radius

Aktivierung des EAP kompatiblen Radius-Server für die IEEE 802.1x Authentifikation

32. Procurve(config)# aaa port-access authenticator active

Aktivierung von IEEE 802.1x

33. Procurve(config)# aaa port-access authenticator ethernet 1-23

Konfiguriert die Ports 1-23 als IEEE 802.1x Authentifizierungsports

34. Procurve(config)# aaa port-access authenticator ethernet 1-23 unauth-vid 2

Legt Portbereich welche die unauthentifizierte Clients nach VLAN 2 „Gast“ verbinden

35. Procurve(config)# aaa port-access authenticator 1-11 auth-vid 3

Legt Portbereich welche die authentifizierte Clients ab VLAN 3 verbinden (die Auswahl der VLANs wird über Radius durchgeführt)

36. Procurve(config)# port-security ethernet 1-11 learn-mode port-access

Aktiviert Sicherheitsfunktion, dass sich gleichzeitig nur ein Client über den Port authentifizieren kann

37. Procurve(config)# management-vlan 1

Definiert VLAN 1 als Management-VLAN

38. Procurve(config)# primary-vlan 2 Definiert VLAN 2 als Primär-VLAN

Abb. 36: Konfiguration des HP Procurve 2524, Bild 3

Abb. 37: Konfiguration des HP Procurve 2524, Bild 4

39. Procurve# write memory Sichert die Running-Config in Startup-Config

40. Procurve# copy startup-config tftp 192.168.0.10 startup-config

Sichern der „Startup-Config“ von Flash auf PC über TFTP

Page 54: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 54

14.0.0 Sicherheit im Netzwerk

Mit dem Ziel eines sicheren Netzwerkes, einer sicheren VLAN Zuweisung und einer sicheren

portbasierenden Authentifizierung mussten, wie in vielen technischen Bereichen, auch bei

diesem Projekt Sicherheitstests durchgeführt werden. Um diese Tests so realitätsnah wie

möglich zu gestalten wurden spezielle Softwaretools wie „Broadcom Advanched Control

Suite 2“ und „Ethereal“ zur Hilfe genommen.

14.1.0 Netzwerkdiagnosesoftware

14.1.1 Broadcom Advanched Control Suite 2

Das Programm „Advanched Control Suite 2“ von Broadcom ist ein spezielles Software-Tool

mit dem man von der Netzwerkkarte, zusätzliche weitere virtuelle Netzadapter erstellen kann.

Durch diese erstellten virtuellen Netzadapter kann man wiederum VLANs erzeugen und an

das Netz, Ethernetframes senden die IEEE 802.1q Felder enthalten (also tagged).

Downloadlink: http://www.broadcom.com/

Installation:

Bei der Installation müssen folgende Komponenten ausgewählt werden:

- Advanced Suite

- BASP

Benutzung der Software:

Schritt 1: Um ein VLAN zu erstellen auf den entsprechenden Netzwerkadapter klicken

(VLAN erstellen)

Page 55: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 55

Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs

Schritt 2: Eigenschaften des neuen VLANs angeben:

- VLAN-ID angeben

- VLAN Name angeben

- Auswählen markiertes VLAN / unmarkiertes VLAN:

Unmarkiertes VLAN aktiviert: es werden ganz normale Ethernetframes aus diesem

virtuellen Netzweradapter gesendet (untagged)

Unmarkiertes VLAN deaktiviert: es wird das 802.1q zu dem Frame hinzugefügt (tagged)

Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs

Schritt 3: Mit „OK“ Button bestätigen und mit „Übernehmen“ Button die Erstellung des

Virtuellen Netzadapters bestätigen

VLAN erstellen

Netzadapter auswählen

VLAN-ID

Auswahl:unmarkiert/markiert

VLAN Name

Page 56: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 56

14.1.2 Ethereal – Network Protocol Analyzer

Ethereal ist ein kostenloser Netzwerk Protokoll Analysator mit grafischer Oberfläche für

Unix und Windows. Ethereal mit WinPcap ermöglicht es, den Datenverkehr in einem

Netzwerk aufzuzeichnen und zu analysieren. Es ist auch möglich mit diversen Filtern zu

arbeiten und nur bestimmte Packetarten zu betrachten.

Downloadlink: http://www.ethereal.com/

Installation:

Es müssen folgende Software-Komponenten installiert werden:

- WinPcap_3_0

- Ethereal

Benutzung der Software:

Schritt 1: In der Menüleiste Capture \ Start auswählen und unter Interface den

entsprechenden Netzadapter auswählen und mit „OK“ Button bestätigen. Datenverkehr wird

aufgezeichnet;

Abb. 40: Ethereal, Auswahl des Netzadapters

Auswahl des Netzadapters

Page 57: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 57

Schritt 2: Das folgende Fenster zeigt eine prozentuale Übersicht, welche Art von Ethernet

Paketen zu dieser Zeit gerade über den Netzwerkadapter fliesen. Mit dem „Stop“ Button wird

die Aufzeichnung durch Ethereal beendet

Abb. 41: Ethereal, Aufzeichnung Datenverkehr

Hier ein Beispiel einer Netzanalyse

Abb. 42: Ethereal, Netzanalyse

Page 58: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 58

14.2.0 Sicherheitsprüfungen der VLANs

Wie bereits im Vorwort erwähnt, ist es sehr wichtig im Netzwerk auf Sicherheitslücken zu

achten. Nach vollendeter Konfiguration der beiden Switches sind nun einige Sicherheitstests

notwendig um möglichst viele Sicherheitslücken auszuschließen. Dazu wurden mögliche,

nachfolgend erläuterte Szenarien durchgespielt. Um in diesen Szenarien beschriebenen

Sicherheitsprobleme auszuschließen, wurden folgende Tests ausgeführt.

Test 1:

Client A besitzt ein gültiges Zertifikat für VLAN 4, hat sich an den Switch angeschlossen und

wurde erfolgreich nach VLAN 4 authentifiziert.

Frage: Ist der Client durch Benutzung von IEEE 802.1q in der Lage, mit den anderen als den

ihm zugewiesenen VLANs zu kommunizieren?

Workgroup SwitchTerminal

Client A

- Zertifikat für VLAN 4

- IEEE 802.1q

Abb. 43: Sicherheitsprüfung 1

Test 2:

Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q

getaggte Pakte zu senden.

Frage: Kann der Client, obwohl er nicht authentifiziert ist, mit irgendeinem VLAN

kommunizieren?

Workgroup SwitchTerminal

Client A

- kein bzw. kein gültiges Zertifikat

- IEEE 802.1q

Abb. 44: Sicherheitsprüfung 2

Page 59: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 59

Test 3:

Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch

angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der

Lage getaggte Frames durch benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,

nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.

Frage: Kann der Client B über den bereits für Client A authentifizierten Switch-Port in

irgendein VLAN kommunizieren?

Workgroup Switch

Terminal

Client A

- Zertifikat für VLAN 4

- IEEE 802.1q

Hub

Laptop

Client B- kein bzw. kein gültiges Zertifikat

- IEEE 802.1q

Abb. 45: Sicherheitsprüfung 3

14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950

Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch Cisco Catalyst 2950

mit folgenden Ergebnissen durchgeführt:

Ergebnisse Test 1.1:

Client A und Client X sind erfolgreich in authentifiziert und befinden sich in VLAN 4.

Client A:

Zertifikat für VLAN 4

IP: 192.168.3.3

Client X:

Zertifikat für VLAN 4

IP: 192.168.3.4

Abb. 46: Sicherheitstest 1, Cisco, Bild 1

Page 60: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 60

Client X kann in VLAN 4 Client A erfolgreich anpingen.

Abb. 47: Sicherheitstest 1, Cisco, Bild 2

Ergebnisse Test 1.2:

Client A wurde in VLAN 4 erfolgreich authentifiziert

Client X wurde in VLAN 5 authentifiziert anschließend wurde TCP/IP deaktiviert und ein

virtueller Netzadapter durch Broadcom erstellt.

Client A:

Zertifikat für VLAN 4

IP: 192.168.3.3

Client X:

Virtueller_Netzadapter:

TCP/IP akt. IP: 192.168.3.5

802.1x akt.

EAP-TLS_CA Zertifikat akt. Abb. 48: Sicherheitstest 1, Cisco, Bild 3

Abb. 49: Sicherheitstest 1, Cisco, Bild 4

Page 61: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 61

Parameter des virtuellen Netzadapters

Abb. 50: Sicherheitstest 1, Cisco, Bild 5

Pingversuch von Virtueller_Netzadpter an Client A gescheitert

Abb. 51: Sicherheitstest 1, Cisco, Bild 6

Pingversuch von Client A an Virtueller_Netzadpter ebenfalls gescheitert

Abb. 52: Sicherheitstest 1, Cisco, Bild 7

Clients A und X können miteinander nicht kommunizieren, da sie sich in unterschiedlichen

VLANs befinden.

Ergebnisse Test 2:

Page 62: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 62

Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q

getaggte Pakte zu senden. Um zu überprüfen, ob der Client A mit VLAN 4 kommunizieren

kann, obwohl er nicht authentifiziert ist, lauscht Client X mittels Ethereal den Datenverkehr

dieses VLANs. Pingversuch von Client A an Client X ist erfolglos.

Client A :

ohne Zertifikat

IEEE 802.1q

Client X:

Zertifikat für VLAN 4

IP: 192.168.3.3 Abb. 53: Sicherheitstest 2, Cisco, Bild 1

Client A kann den Client X nicht erreichen. Hiermit ist gewährleistet, dass die VLANs völlig

abgetrennt sind. Bei der Aufzeichnung auf Client X (Ethereal) kommen keine Ping-Pakete

von Client A an. Daher ist die Sicherheit hier gewährleistet.

Abb. 54: Sicherheitstest 2, Cisco, Bild 2

Ergebnisse Test 3:

Page 63: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 63

Client A:

Zertifikat für VLAN 4 / IP: 192.168.3.3

Client B:

ohne Zertifikat / IP: 192.168.3.4

IEEE 802.1q

Client X:

Zertifikat für VLAN 3 / IP: 192.168.2.2

Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch

angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der

Lage, getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,

nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.

Der ClientB kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.

Abb. 55: Sicherheitstest 3, Cisco, Bild 1

Der Client B kann mit den Client X nicht kommunizieren.

Abb. 56: Sicherheitstest 3, Cisco, Bild 2

Page 64: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 64

14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524

Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch HP Procurve 2524

mit folgenden Ergebnissen durchgeführt:

Ergebnisse des Test 1.1:

Client A und Client B sind erfolgreich authentifiziert und befinden sich in VLAN 3 bzw.

VLAN 4

Client A:

Zertifikat für VLAN 4

IP: 192.168.3.3

Client B:

Zertifikat für VLAN 3

IP: 192.168.2.2

Abb. 57: Sicherheitstest 1, HP, Bild 1

Switch kann die authentifizierten VLAN Teilnehmer erfolgreich anpingen.

Abb. 58: Sicherheitstest 1, HP, Bild 2

Page 65: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 65

Client A konnte den Client B im VLAN 3 nicht anpingen.

Abb. 59: Sicherheitstest 1, HP, Bild 3

Ergebnisse des Test 1.2:

Client A: Virtueller_Netzadapter Client B

Zertifikat für VLAN 4 Zertifikat akt. Zertifikat für VLAN 3

IP: 192.168.3.3 IP: 192.168.3.4 IP: 192.168.2.2

802.1x akt. 802.1x akt.

Authentifiziert nicht authentifiziert

Erstellung eines virtuellen Netzadapters

Abb. 60: Sicherheitstest 1, HP, Bild 4

Page 66: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 66

Ping von virtuellen_Netzadapter an Client A in VLAN 4, keine Antwort.

Abb. 61: Sicherheitstest 1, HP, Bild 5

Virtuellen_Netzadapter kann Client B in VLAN 3 nicht anpingen.

Abb. 62: Sicherheitstest 1, HP, Bild 6

Virtuellen_Netzadapter kann Admin_VLAN nicht anpingen.

Abb. 63: Sicherheitstest 1, HP, Bild 7

Von Switch konnte der Client B in VLAN3 angepingt werden, richtiger Weise konnte weder

der Client A noch der Virtuelle_Netzadapter angepingt werden

Abb. 64: Sicherheitstest 1, HP, Bild 8

Page 67: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 67

Ergebnisse des Test 2:

Client A besitzt kein bzw. kein gültiges Zertifikat und ist in der Lage, nach IEEE 802.1q

getaggte Pakte zu senden, und versucht, durch Benutzung von IEEE 802.1q mit dem VLAN 3

zu kommunizieren.

Client A kann VLAN 3 nicht erreichen.

Abb. 65: Sicherheitstest 2, HP, Bild 1

Client A :

ohne Zertifikat

IEEE 802.1q

VLAN 3:

IP: 192.168.2.1

Client X:

Zertifikat für VLAN 4

IP: 192.168.3.3

Client X kann mit VLAN 4 erfolgreich kommunizieren

Abb. 66: Sicherheitstest 2, HP, Bild 2

Page 68: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 68

Der Versuch zeigt, was passieren würde, wenn es nicht sicher wäre, also wenn die Pings den

Zielrechner erreicht hätte.

Abb. 67: Sicherheitstest 2, HP, Bild 3

Ergebnisse des Test 3:

Client A: Client B: Client A:

Zertifikat für VLAN 4 ohne Zertifikat Zertifikat für VLAN 3

IP: 192.168.3.3 IP: 192.168.3.4 IP: 192.168.2.2

IEEE 802.1q

Client A besitzt ein gültiges Zertifikat für VLAN 4 und ist über einen Hub an den Switch

angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der

Lage getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit,

nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.

Page 69: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 69

Der Client B kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.

Abb. 68: Sicherheitstest 3, HP, Bild 1

Der Client B kann den Client X nicht erreichen

Abb. 69: Sicherheitstest 3, HP, Bild 2

14.2.3 Fazit

Viele Netzwerkbesitzer trösten sich über ihre Sicherheitslücken mit dem Satz „Eindringlinge

kommen ja doch überall hinein“ hinweg und ziehen es daher vor, keinerlei Sicherungen

anzubringen und darauf zu hoffen dass alles gut wird. Anders, wie bei sämtlichen

Angelegenheiten im Leben, durchlief dieses funktionierende Projekt alle erdenklichen

Sicherheitstests um mögliche Sicherheitslücken festzustellen und sie gegebenenfalls zu

beseitigen. Dadurch hat sich herausgestellt, dass einige Nachverbesserungen unternommen

werden mussten. An dieser Stelle ist zu erwähnen dass gerade die Sicherheit eines Netzes eine

Eigenschaft ist, an der ein Stillstand einem Rückschritt gleich wäre. Daher sind diese Tests

keine Garantie für die zukünftigen Anwendungen. Sicherheit muss kontinuierlich verbessert

werden.

Page 70: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 70

15.0.0 Schlusswort

Nach erfolgreicher Beendigung unserer Technikerarbeit können wir rückblickend sagen, trotz

der Höhen und Tiefen die wir erlebt haben, dass wir uns sehr glücklich schätzen diese

umfangreiche und anspruchsvolle Technikerarbeit gemeistert zu haben. Durch die Arbeit an

diesem Projekt hatten wir die Gelegenheit viele Erfahrungen über Netzwerktechnik und

Hardwarekonfigurationen zu sammeln, die wir gerne in der weiteren Laufbahn unserer

Kariere einsetzen werden. Daher möchten wir mit gutem Gewissen betonen, dass wir uns

bestimmt wieder für diese Technikerarbeit entscheiden würden, wenn wir es uns noch einmal

aussuchen dürften. Darüber hinaus haben wir die Möglichkeit gehabt, uns gegenseitig, und die

anderen die an diesem Projekt beteiligt waren, besser kennen zu lernen.

Page 71: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 71

16.0.0 Abbildungsverzeichnis

Abb. 1: VLAN Schema ................................................................................................8

Abb. 2: Wikipedia ......................................................................................................11

Abb. 3: Layer 1 VLAN................................................................................................15

Abb. 4: Layer 2 VLAN................................................................................................15

Abb. 5: Ethernet Framing-Fields vor dem Tagging....................................................18

Abb. 6: Ethernet Framing-Fields nach dem Tagging .................................................18

Abb. 7: Ausschnitt eines VLAN-Tags ........................................................................19

Abb. 8: Trunk-Verbindung .........................................................................................20

Abb. 9: IEEE 802.1x-Authentifizierung ......................................................................23

Abb. 10: Indikatoren Cisco Catalyst 2950 .................................................................28

Abb. 11: Front des HP Procurve 2524 Switch ...........................................................30

Abb. 12: Indikatoren HP Procurve 2524 ....................................................................32

Abb. 13: Tera Term Serial port setup ........................................................................34

Abb. 14: Tera Term New connection.........................................................................34

Abb. 15: PuTTY Verbindung über das Intranet der GWS-Lörrach.............................35

Abb. 16: PuTTY Verbindung über das Internet..........................................................36

Abb. 17: Einstellungen 3CDaemon ...........................................................................38

Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1 ......................................................40

Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2 ......................................................40

Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3 ......................................................41

Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server..........................................42

Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4 ......................................................42

Abb. 23: OS-Update HP Procurve 2524, Bild 1 .........................................................43

Abb. 24: OS-Update HP Procurve 2524, Bild 2 .........................................................43

Abb. 25: OS-Update HP Procurve 2524, Bild 3 .........................................................44

Abb. 26: OS-Update HP Procurve 2524, TFTP-Server .............................................44

Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1..................................................46

Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2..................................................46

Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3..................................................47

Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4..................................................48

Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5..................................................49

Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6..................................................50

Page 72: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 72

Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7..................................................50

Abb. 34: Konfiguration des HP Procurve 2524, Bild 1 ...............................................51

Abb. 35: Konfiguration des HP Procurve 2524, Bild 2 ...............................................52

Abb. 36: Konfiguration des HP Procurve 2524, Bild 3 ...............................................53

Abb. 37: Konfiguration des HP Procurve 2524, Bild 4 ...............................................53

Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs.................55

Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs ...................55

Abb. 40: Ethereal, Auswahl des Netzadapters ..........................................................56

Abb. 41: Ethereal, Aufzeichnung Datenverkehr.........................................................57

Abb. 42: Ethereal, Netzanalyse .................................................................................57

Abb. 43: Sicherheitsprüfung 1 ...................................................................................58

Abb. 44: Sicherheitsprüfung 2 ...................................................................................58

Abb. 46: Sicherheitstest 1, Cisco, Bild 1....................................................................59

Abb. 47: Sicherheitstest 1, Cisco, Bild 2....................................................................60

Abb. 48: Sicherheitstest 1, Cisco, Bild 3....................................................................60

Abb. 49: Sicherheitstest 1, Cisco, Bild 4....................................................................60

Abb. 50: Sicherheitstest 1, Cisco, Bild 5....................................................................61

Abb. 51: Sicherheitstest 1, Cisco, Bild 6....................................................................61

Abb. 52: Sicherheitstest 1, Cisco, Bild 7....................................................................61

Abb. 53: Sicherheitstest 2, Cisco, Bild 1....................................................................62

Abb. 54: Sicherheitstest 2, Cisco, Bild 2....................................................................62

Abb. 55: Sicherheitstest 3, Cisco, Bild 1....................................................................63

Abb. 56: Sicherheitstest 3, Cisco, Bild 2....................................................................63

Abb. 57: Sicherheitstest 1, HP, Bild 1........................................................................64

Abb. 58: Sicherheitstest 1, HP, Bild 2........................................................................64

Abb. 59: Sicherheitstest 1, HP, Bild 3........................................................................65

Abb. 60: Sicherheitstest 1, HP, Bild 4........................................................................65

Abb. 61: Sicherheitstest 1, HP, Bild 5........................................................................66

Abb. 62: Sicherheitstest 1, HP, Bild 6........................................................................66

Abb. 63: Sicherheitstest 1, HP, Bild 7........................................................................66

Abb. 64: Sicherheitstest 1, HP, Bild 8........................................................................66

Abb. 65: Sicherheitstest 2, HP, Bild 1........................................................................67

Abb. 66: Sicherheitstest 2, HP, Bild 2........................................................................67

Abb. 67: Sicherheitstest 2, HP, Bild 3........................................................................68

Page 73: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 73

Abb. 68: Sicherheitstest 3, HP, Bild 1........................................................................69

Abb. 69: Sicherheitstest 3, HP, Bild 2........................................................................69

Page 74: 2950 cisco router

Technikerarbeit Sommer 2005

Seite 74

17.0.0 Anhang

Im Anhang befinden sich folgende Dokumente:

• Konfigurationstext von Cisco Catalyst 2950

• Konfigurationstext von HP Procurve 2524

• Debug Radius Kommunikation Cisco Catalyst 2950

• CD-Rom

Beiliegend befindet sich:

• Konfigurationsanleitung