Sie sind auf Seite 1von 74
Gewerbeschule Lörrach Gretherstraße 50 79539 Lörrach Technikerarbeit Yücel Oktay Manuel Dollinger - 2005 - Thema:

Gewerbeschule Lörrach Gretherstraße 50 79539 Lörrach

Technikerarbeit

Yücel Oktay Manuel Dollinger

- 2005 -

Thema:

Konfiguration von Netzwerkswitches für portbasierende Authentifizierung und VLAN Zuweisung

Verfasser:

Yücel Oktay, Manuel Dollinger

Auftraggeber:

GWS Lörrach,

Schule:

Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler Gewerbeschule Lörrach (Fachschule für Elektrotechnik)

Betreuer in der Schule:

Dipl.-Ing. Michael Knaus

Zeitraum:

September 2004 bis Mai 2005

Technikerarbeit Sommer 2005

Inhaltsverzeichnis

1.0.0

Vorwort 4

2.0.0

Danksagung 5

3.0.0

Eidesstattliche Erklärung

6

4.0.0

Einleitung 7

5.0.0

Projekt

8

5.1.0

Ziel des Projekts

8

5.2.0

Ziel der Technikerarbeit

9

5.2.1 Pflichtenheft

9

5.2.2 Bereitgestellte Hardware 9

5.2.3 Zeitplan

10

5.2.4 Verlauf der Technikerarbeit

11

5.3.0 Switches im Netzwerk der GWS-Lörrach 13

6.0.0 Funktionsweise eines VLANs 14

6.1.0 Realisierung von VLANs 14

6.1.1 Layer

1

VLAN

14

6.1.2 Layer

2

VLAN

15

6.1.3 Protokoll-basierendes VLAN

16

6.1.4 Regel-basierendes VLAN 16

6.2.0

Vorteile und Nachteile eines VLANs

16

6.2.1 Vorteile

16

6.2.2 Nachteile

17

7.0.0 VLAN Tagging (802.1Q Frame) 18

7.1.0 Funktionsweise VLAN Tagging 18

7.1.1 Die Felder des 802.1Q/P 19

8.0.0

Ethernet-Port-Trunking 20

9.0.0

TACACS+ & IEEE 802.1x 21

9.1.0

AAA - Begriffsdefinitionen

21

9.2.0

Grundlegendes zur IEEE 802.1x-Authentifizierung 23

9.3.0

Sicherheit durch IEEE 802.1x

23

9.4.0

TACACS+ Überblick

24

9.4.1 Funktion von TACACS

24

9.4.2 Fazit

25

Technikerarbeit Sommer 2005

10.0.0 Beschreibung der Hardware 27

10.1.0 Cisco Catalyst 2950 27

10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950 29

10.2.0 HP Procurve 2524 30

10.2.1

Command Line Interface (CLI) des HP Procurve 2524

33

11.0.0

Zugriff auf die Konsolenebene eines Switches

34

11.1.0

Lokaler Zugriff auf einen Switch 34

11.2.0

Fernzugriff auf einen Switch

35

11.2.1 Zugriff über das Intranet der GWS-Lörrach

35

11.2.2 Zugriff über das Internet 35

36

12.0.0 Firmwareupdate der Switches 38

11.2.3 Login-Vorgang über SSH-Server auf Minicom

12.1.0

IOS-Update Cisco Catalyst 2950

39

12.2.0

OS-Update HP Procurve 2524 43

13.0.0 Konfiguration der Switches 45

13.1.0

Konfiguration des Cisco Catalyst 2950

46

13.2.0

Konfiguration des HP Procurve 2524 51

14.0.0 Sicherheit im Netzwerk

54

14.1.0 Netzwerkdiagnosesoftware 54

54

14.1.2 Ethereal – Network Protocol Analyzer 56

14.2.0 Sicherheitsprüfungen der VLANs 58

59

14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524 64

14.1.1 Broadcom Advanched Control Suite 2

14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950

14.2.3 Fazit

69

15.0.0

Schlusswort

70

16.0.0

Abbildungsverzeichnis

71

17.0.0

Anhang

74

Technikerarbeit Sommer 2005

1.0.0 Vorwort

Alles soll so einfach wie möglich gemacht werden, aber nicht einfacher

Albert Einstein

Der vermehrte Einsatz der Netzwerke auf sämtlichen Gebieten des Lebens ist im Zeitalter der Informationstechnik überall zu beobachten. Obwohl die Geschichte der Netzwerktechnik keine lange Vergangenheit vorzuweissen hat, ist schneller Informationsaustausch im Alltag ohne Netzerwerke unvorstellbar geworden. Das Internet ohne Google ist genauso wenig vorstellbar wie das Leben heutzutage ohne Computer. Da ist die wichtige Frage angebracht, ob die Strecke der Daten, die sich von einem Punkt zu einem anderem bewegen, bzw. das Netz gegen unerwünschte Daten sicher ist? Kernstück dieser stürmischen und immer noch nicht abgeschlossenen Entwicklung ist die Strukturierung der Netzwerke. Dieses Dokument, das durch eine anspruchsvolle Technikerarbeit zu Stande gekommen ist, beinhaltet unter anderem die Erklärung des VLAN (Virtual local area network) und erläutert die Begriffe IEEE 802.1x bzw. TACACS+. Darüber hinaus eine Konfiguration der Switches HP Procurve 2524 bzw. Cisco Catalyst 2950 sowie eine portbasierende Benutzerauthentifizierung durch einen Free-RADIUS-Server. Schließlich befindet sich im Anhang eine leicht überschaubare Konfigurationsanleitung der oben genannten Switches. Es wurden einige frei erhältliche Software zur Hilfe genommen um die Aufgaben der Technikerarbeit zu bewältigen wie TeraTerm 1 , PuTTY 2 , 3CDaemon 3 , Broadcom Advanched Control Suite 2 4 und Ethereal mit WinPcap_3_0 5 . Die notwendigen Einstellungen sowie die Bedienungsmöglichkeiten dieser Software sind in diesem Dokument ebenfalls zu finden. Während der Ausarbeitung unserer Technikerarbeit in der Gewerbeschule Lörrach haben wir so viele neue und hochinteressante Dinge über Netzwerktechnik erfahren, dass uns diese errungenen Erkenntnisse ebenfalls so stark faszinierten wie unsere Technikerarbeit selbst. Im übrigen konnten wir bei unserem selbstständigen Arbeiten erfahren, wieviel Spaß es macht, das Erlernte in ein Projekt umzusetzen.

Yücel Oktay und Manuel Dollinger

* TeraTerm, HyperTerminal-Software, http://hp.vector.co.jp/authors/VA002416/teraterm.html

* PuTTY, Telnet/SSH Client, http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

* 3CDaemon, TFTP Server, http://support.3com.com/software/utilities_for_windows_32_bit.htm

* Broadcom NetXtreme „Advanched Control Suite 2“, http://www.broadcom.com/

* Ethereal, http://www.ethereal.com/

1

2

3

4

5

Technikerarbeit Sommer 2005

2.0.0 Danksagung

Die vorliegende Technikerarbeit wurde in der Gewerbeschule Lörrach unter der Leitung von Fachlehrer Dipl.-Ing. Michael Knaus durchgeführt. Ihm danken wir sehr herzlich für das entgegengebrachte Vertrauen, uns mit dieser herausfordernden und interessanten Aufgabe zu beauftragen, und für sein fortwährendes Interesse am Fortgang des Projekts sowie für die ständige Bereitschaft auch außerhalb der Schulzeiten. Bedanken möchten wir uns auch bei Dipl.-Ing. Werner Gempler für seine Anregungen und aufmerksamen Beobachtungen. Wir bedanken uns ebenfalls bei der Gewebeschule Lörrach und bei allen Fachlehrern, die uns die flexible Benutzung der Schulräume für dieses Projekt ermöglicht haben. Selbstverständlich bedanken wir uns auch bei unserem Kollegen Herrn Mark Wasmer für die tolle Zusammenarbeit und gegenseitige Unterstützung, die für das erfolgreiche Endergebnis des Gesamtprojektes erforderlich war. Auch Herrn Dr. Bocks danken wir für das Korrekturlesen unserer Technikerarbeit und die, Zeit die er dafür aufgebracht hat. Zuletzt bedanken und beglückwünschen wir uns gegenseitig für die gute und produktive Zusammenarbeit während der neun Monate an dieser anspruchsvollen Aufgabe.

Technikerarbeit Sommer 2005

3.0.0 Eidesstattliche Erklärung

Hiermit versichern wir, dass wir diese Technikerarbeit selbstständig erarbeitet und keine anderen als die angegebenen Hilfsmittel verwendet haben. Diese Versicherung gilt auch für Zeichnungen, Skizzen und bildliche Darstellungen.

Lörrach, den 12.05.2005

Yücel Oktay

Schopfheim, den 12.05.2004

Manuel Dollinger

Technikerarbeit Sommer 2005

4.0.0 Einleitung

Diese Technikerarbeit wurde uns vom Kunden anvertraut, um einen Teil der noch bevorstehenden Erweiterungen und Modernisierung des Schulnetzes der GWS-Lörrach zu realisieren. In einer Schule wie dieser ist ein Netzwerk, das dem heutigen Entwicklungsstand entspricht, von großer Bedeutung. Die Aufgabenstellung an uns war es, ein VLAN Konzept zu entwickeln, das durch eine Benutzeridentifikation die Benutzergruppen wie Lehrer, Schüler als auch Gäste in die entsprechenden VLANs weiterleitet. Die Zuordnung, welche Benutzergruppe, in welches VLAN weitergeleitet werden soll, erfolgt durch eine dazu befugte Person. Dadurch eröffnet sich nun die Möglichkeit, sich mit dem eigenen Notebook über jeden VLAN-Port der Schule in das entsprechend zugewiesene VLAN zu authentifizieren. Bekommen Schüler beispielsweise ein Zertifikat für VLAN 4, werden sie nach VLAN 4 authentifiziert. All diese Schüler mit dem gültigen Zertifikat für VLAN 4 sind dann in einem seperaten Netz und können die anderen VLANs nicht erreichen, welches gerade dadurch für Klassennetze ausgezeichnet geeignet wäre. Personen, wie z.B. Lehrer, können auch Zertifikate für mehrere VLANs besitzen, um in allen erforderlichen Netzen arbeiten zu können. Möchte sich ein nicht Berechtigter mit keinem bzw. ungültigem Zertifikat an einer Netzwerkdose verbinden, wird er nicht abgewiesen, sondern in ein sogenanntes Gast-VLAN weitergereicht. Dies ist vor allem von Vorteil, wenn z.B. ein Professor einmalig einen Vortrag in der Schule hält, da er kein Zertifikat braucht, da freigegebenen Netzwerkresourcen wie z.B. Drucker und entsprechende Dateifreigaben die über das Gast-VLAN zu erreichen sind. Sehr wichtig ist allerdings auch die Sicherheit und Zuverlässigkeit, dieses Systems um Missbrauch durch Manipulation zu vermeiden. Auch die zentrale Verwaltung dieser Dienste stellten einen wichtigen Punkt dar und musste berücksichtigt werden. Wegen des großen Umfangs dieses Projekts wurde es in zwei Technikerarbeiten aufgesplittet. Herr Wasmer beschäftigte sich mit der Bereitstellung des Authentication- Servers, wobei wir die Konfiguration der Netzwerkgeräte vornahmen. Das Ergebnis dieser beiden Technikerarbeiten sollte einen prototypischen Testaufbau ergeben und jeweils eine Installations-/ bzw. Konfigurationsanleitung umfassen, die auch einer externen Firma für die Einrichtung übergeben werden kann.

Technikerarbeit Sommer 2005

5.0.0 Projekt

5.1.0 Ziel des Projekts

Lehrer, Gäste und Schüler sollen sich mit ihrem eigenem Notebook mit dem Schulnetz verbinden können und in ein separates VLAN zugeteilt werden. Eine Anmeldung für den Zugang ist vorher zwingend erforderlich. Die VLAN Struktur muss zentral konfiguriert und verwaltet werden. Ein funktionstüchtiger Aufbau eines Versuchssystems, bestehend aus mehreren Supplicants (Workstations), Authenticators (Switches) und einem Authentication- Server, ist ebenfalls erforderlich. Hierfür werden als Authenticators die bereits in der Schule verwendeten HP Procurve-Serie und die Cisco Catalyst-Serie herangezogen. Aufgrund des großen Arbeitsumfanges des Projekts, die den Rahmen der Technikerarbeit sprengen würde, wird der Authentication-Server (Free-RADIUS) durch die kooperierende Technikerarbeit von Herrn Mark Wasmer abgedeckt. Schlussendlich muss die Technikerarbeit eine Installations-/Konfigurations-Anleitung enthalten, die einer externen Firma zur Realisierung übergeben werden kann.

enthalten, die einer externen Firma zu r Realisierung übergeben werden kann. Abb. 1: VLAN Schema Seite

Abb. 1: VLAN Schema

Technikerarbeit Sommer 2005

5.2.0 Ziel der Technikerarbeit

5.2.1 Pflichtenheft

Durch die Aufgabenstellung im Rahmen des Projekts war klar vorgegeben, welche Maßnahmen ergriffen werden mussten. Hier ein kurze Übersicht der Aufgaben:

Vorhandener Geräte-Park der Switches in der GWS Lörrach aufnehmen

Unterschiede zwischen TACACS+ und IEEE 802.1x erlernen und verstehen

Cisco Catalyst 2950 und HP Procurve 2524 Switches auf Kommandozeile/Menü bedienen

Cisco Catalyst 2950 und HP Procurve 2524 Switches flashen

Authenticator mit Authentication-Server verschalten

Dynamische Zuordnung von Ports zu VLAN´s abhängig vom Authentication-Server und IEEE 802.1x mit Überprüfung und Demonstration der Funktionsfähigkeit

Aufbau eines Versuchssystems

TA-Dokument schreiben

Konfigurationsanleitung schreiben

5.2.2 Bereitgestellte Hardware

Um dieses Projekt zu realisieren, wurde von Seiten der GWS Lörrach folgende Arbeitsmittel bereitgestellt:

1 Cisco Catalyst 2950 Switch (24 Port)

1 HP Procurve 2524 Switch (24 Port)

Diverse Netzwerkkabel

Konsolenkabel für Switches

Hub

Authentication-Server

Workstations

Technikerarbeit Sommer 2005

5.2.3 Zeitplan

Der vorgegebene Zeitrahmen der Technikerarbeit erstreckte sich von September 2004 bis zum 13.Mai 2005.

Es wurde von uns eine Zielsetzung ausarbeitet, die wie folgt aufgelistet ist:

Zielsetzung bis:

KW50, 2004

Sammeln von Informationen

KW5, 2005

Einarbeitung und Vertiefung der Erkenntnisse über VLAN TACACS+ IEEE 802.1x

KW7, 2005

Update der Switches Erlernen und vertiefen der Switches IOS und OS

KW13, 2005

Praktischer Teil läuft und Konzept für die Dokumentation steht

KW18, 2005

TA Dokument fertig

KW28, 2005

TA Präsentation fertig

Der Verlauf des Zeitplans konnte nicht komplett in dieser Art und Weise beibehalten werden, da er sich teils durch unvorhersehbare Probleme in der Technikerarbeit und teils durch private Angelegenheiten verzögerte. Ebenfalls wurde der anschließende Sicherheitstest zuvor zeitlich unterschätzt, da dieser in der Praxis umfangreicher als angenommen war und sich deshalb bis in die letzte Aprilwoche hineingezogen hat. Doch diese Defizite wurden von uns durch Aufopferung der Freizeit und durch besonderes Arrangement kompensiert, so dass wir das Projekt erfolgreich abschließen konnten.

Technikerarbeit Sommer 2005

5.2.4 Verlauf der Technikerarbeit

Zu Beginn der Technikerarbeit freuten wir uns bereits auf diese Herausforderung, bei der wir schon im Vorhinein wussten, dass es viel Zeit und Kraft kosten würde, dieses Thema so auszuarbeiten, dass es der Bedeutung „Netzwerktechnik“ auch wirklich gerecht wird. Aber wir wussten, auch dass es das wert ist, da wir uns schon früher für diesen Bereich interessierten. Zu Beginn erkundigten wir uns erst einmal allgemein über die Themen der Netzwerktechnik wie VLAN, verschiedene Netzprotokolle und Routing & Switching, wo von wir uns des letzteren ein Buch des bhv-Verlages angeschafft haben. Wir beschäftigten uns zu lange und zu ausgiebig mit dem Allgemeinen, bis wir sprichwörtlich – den Wald vor lauter Bäumen nicht mehr sahen -. Durch Rücksprache mit unserem Betreuer ist es uns gelungen, auf die konkrete Thematik einzugehen. Von dort an konnten wir uns auf das Wesentliche konzentrieren. Dabei tauchten einige Probleme auf, die mit der Aufteilung des Gesamtprojektes zusammenhing. Allerdings konnten wir diese durch die Kommunikation mit unserem Kollegen Herrn Wasmer bewältigen, der das Ziel, nämlich die Fertigstellung des Projekts, vor Augen hatte und dies mit uns verfolgte. Sehr hilfreich war hier auch das Wiki- Sytem, mit dem ein einheitliches, unabhängiges und überall verfügbares Informationssystem geschaffen wurde. Diese Software ermöglicht, gleichzeitige Bearbeitung und Änderungen von Texten aller Teammitglieder von zu Hause aus durchzuführen.

aller Teammitglieder von zu Hause aus durchzuführen. Abb. 2: Wikipedia * 6 Wikipedia Enzyklopädie,

Abb. 2: Wikipedia

*

6

Wikipedia Enzyklopädie, http://de.wikipedia.org

Technikerarbeit Sommer 2005

Außerdem wurde für die kommunikative Zusammenarbeit aller Beteiligten auch E-Mail, Instant Messaging und Voice over IP benutzt. Ein weiteres Problem war die Fachliteratur, die größtenteils auf Englisch zu finden war. Dies kostete uns einiges an Zeit. Eine Herausforderung war es speziell, das IOS des Cisco Switches upzudaten. Als dies geschafft war, ging es an die Konfiguration, die uns nach und nach zeigte, was überhaupt alles möglich ist, was uns ermutigte, mehr können zu wollen, und so verbrachten wir die Hauptzeit unserer Ferien damit, die Handbücher zu studieren und das neu Erlernte gleich in die Praxis umzusetzen. Als die Konfiguration abgeschlossen war, kam die Frage auf, ob das Netz auch wirklich sicher ist. Darum führten wir eine Reihe Tests durch, die dann letztendlich ergaben dass es sicher ist, was uns dann bestätigte eine gute Arbeit gemacht zu haben. Besonders mit Stolz erfüllte uns die Präsentation unserer fertig gestellten und funktionierenden Technikerarbeit, die wir am 3. Mai vor der Schulleitung und der Netzwerkgruppe vorführen durften.

Technikerarbeit Sommer 2005

5.3.0 Switches im Netzwerk der GWS-Lörrach

Gebäude A (Hauptverteilung K.10):

1x HP ProCurve 8000M 1x HP ProCurve 2524 1x HP ProCurve 2524

Gebäude A (A0):

3x HP ProCurve 2524

Gebäude A (A1):

3x HP ProCurve 2524

Gebäude A (A2):

2x HP ProCurve 2424 1x HP ProCurve 2512 1x HP ProCurve 2524

Gebäude A (A 1.16):

1x BayNetworks 350T

Gebäude A (A 2.01):

1x HP ProCurve 2424

Gebäude B:

1x HP ProCurve 2524

Gebäude C:

1x HP ProCurve 2524

Gebäude D (D 2.04):

1x HP ProCurve 2524

Gebäude D (D 2.13):

1x HP ProCurve 2512

Gebäude D (Mechanische Fertigung):

1x HP ProCurve 2512 1x HP ProCurve 2524

Technikerarbeit Sommer 2005

6.0.0 Funktionsweise eines VLANs

Unter VLAN versteht man ein "virtuelles LAN" (Virtual local area network), dessen physikalische Strukturierung eines gewöhnlichen LAN´s gleicht, jedoch in mehrere virtuelle Teilnetze aufgeteilt ist. Ferner ist auch ein wichtiger Vorteil gegenüber einem LAN, dass ein VLAN weiter entfernte Knoten zu einem virtuellen lokalen Netzwerk verbindet, während Knoten eines LAN´s sich nicht beliebig weit ausdehnen können. VLAN´s sind logisch geswitchte Netze, mit denen man Workstations und Server zu beliebigen dynamischen Arbeitsgruppen zusammenfassen kann. Dieses erfordert kein Umpatchen bzw. keine Umverlegung von Rechnern, sondern kann per Software konfiguriert werden. Ein VLAN ist weiteren eine Broadcast- und Kollisionsdomäne, die sich auch über mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar. Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der Verkehr zwischen VLANs muss geroutet werden, hier gibt es Lösungen, die die Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing nötig.

6.1.0 Realisierung von VLANs

VLANs lassen sich auf verschieden Arten realisieren. Beliebige Netzteilnehmer aus verschiedenen Segmenten können nach unterschiedlichen Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne dass das Netz physikalisch umstrukturiert werden muss.

6.1.1 Layer 1 VLAN

VLAN Zuordnungen basieren auf dem Anschluss am Switch, hierdurch wird festgelegt, welche Ports zu welchem VLAN gehören. Je nach Eingangsport gehört das Frame in das entsprechend konfigurierte VLAN. Es wird jedoch eine genaue Dokumentation benötigt, damit die Kabel bestimmter Geräte immer in den richtigen Switch Port zugeordnet werden können, damit sie sich im richtigen VLAN befinden.

Technikerarbeit Sommer 2005

Abb. 3: Layer 1 VLAN

6.1.2 Layer 2 VLAN

Sommer 2005 Abb. 3: Layer 1 VLAN 6.1.2 Layer 2 VLAN Workgroup Switch Terminal Terminal Terminal

Workgroup Switch

Terminal Terminal Terminal VLAN 1 VLAN 2 VLAN 3 VLAN 4 Terminal
Terminal
Terminal
Terminal
VLAN 1
VLAN 2
VLAN 3
VLAN 4
Terminal
Terminal Terminal VLAN 1 VLAN 2 VLAN 3 VLAN 4 Terminal Terminal Terminal Terminal Zuordnung orientiert
Terminal Terminal VLAN 1 VLAN 2 VLAN 3 VLAN 4 Terminal Terminal Terminal Terminal Zuordnung orientiert

Terminal

Terminal VLAN 1 VLAN 2 VLAN 3 VLAN 4 Terminal Terminal Terminal Terminal Zuordnung orientiert sich

Terminal

Terminal

Zuordnung orientiert sich am Layer 2, an der MAC Adresse. Es ermöglicht im Prinzip eine Unternehmensweite VLAN Konfiguration. Durch Zentrales Management ist hohe Flexibilität gewährleistet. Außerdem ist es möglich, eine MAC-Adresse in mehrere VLANs zu tun. Ein Layer-2 VLAN braucht jedoch schon einiges an Rechenkapazität (Liste welche MAC- Adresse welchem VLAN gegenübersteht). Wenn ein Gerät dann an einem anderen Switch-Port angeschlossen wird und einen Frame sendet, bleibt es im selben VLAN. Dadurch kann man mit einem Gerät auch mal leichter umziehen. Der administrative Aufwand ist größer als bei Layer-1 VLANs, dennoch wird es wegen seiner Standortunabhängigkeit gerne eingesetzt.

Abb. 4: Layer 2 VLAN

Terminal Terminal VLAN 2 VLAN 4 Terminal Terminal VLAN 3 Terminal VLAN 1 Terminal Terminal
Terminal
Terminal
VLAN 2
VLAN 4
Terminal
Terminal
VLAN 3
Terminal
VLAN 1
Terminal
Terminal
Terminal VLAN 2 VLAN 4 Terminal Terminal VLAN 3 Terminal VLAN 1 Terminal Terminal Workgroup Switch

Workgroup Switch

Technikerarbeit Sommer 2005

6.1.3 Protokoll-basierendes VLAN

Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie z.B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der Subnetzadressen oder portbasiert. Innerhalb eines VLAN wird auf Layer 2 geswitcht. Bei der Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische Adresszuordnungsverfahren können nicht eingesetzt werden. Layer-3-Switches verwenden Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird innerhalb eines VLAN nur gebridged.

6.1.4 Regel-basierendes VLAN

Bei den regelbasierenden VLANs wird die VLAN-Zugehörigkeit anhand von logischen Zuordnungen wie Ports, der Netzadresse, der MAC-Adresse oder des Protokolls bestimmt. Ein großer Vorteil dieses Systems ist die Flexibilität, da der Administrator selbst die Balance zwischen Sicherheit, Verkehrsoptimierung und Kontrolle festlegen kann. Dem gegenüber stehen allerdings die Nachteile wie die der aufwendigen Einrichtung, hohe Latenzzeiten, die durch die Abarbeitung der einzelnen Regeln entstehen, sowie die Sicherheitslücke, die durch die leichte Fälschung der MAC-Adresse entstehen kann.

6.2.0 Vorteile und Nachteile eines VLANs

6.2.1 Vorteile

Sicherheit:

Gute Kontrollmöglichkeiten der Netzwerkteilnehmer

Klare Abgrenzung der einzelnen Teilnetze (VLANs)

Individuelle Anpassung der Rechte der einzelnen VLANs

Technikerarbeit Sommer 2005

Flexibilität:

Standortunabhängige und individuelle Zugriffsmöglichkeiten auf Netzwerkressourcen und Peripheriegeräte

erhebliche Erleichterung durch Einsatzmöglichkeit eigener Notebooks der Netzwerkteilnehmer

Innovation:

Bessere Netzinfrastruktur durch Zuordnung der Abteilungen und Klassen in unterschiedliche VLANs

Erweiterung der Netztopologie durch weitere Geräte und Ports

6.2.2 Nachteile

hohe Migrationskosten, da ein Switching Network sowie ein leistungsfähiges Management benötigt werden

hohe Kosten für schnellen Backbone

mangelnde Standardisierung und daraus resultierende Inkompatibilitäten.

Technikerarbeit Sommer 2005

7.0.0 VLAN Tagging (802.1Q Frame)

Das 802.1Q wurde von IEEE entwickelt um Lösungen über Aufbaustruktur eines VLANs Frames verschiedener Hersteller in einen Standard zu fassen. Damit konnten VLANs auf allen im Netzwerk vorhanden Switches verschiedener Hersteller implementiert werden. Durch das 802.1Q Tag-Header (auch VLAN-Tagging genannt) ist die Kommunikation unter diesen Switches möglich. Beim Tagging wird der Header eines Frames durch einen Merker (Tag) um die VLAN-Information erweitert.

7.1.0 Funktionsweise VLAN Tagging

Pakete, die über einen normalen Port eines VLANs reinkommen, werden entweder direkt an einen anderen Port dieses VLANs unverändert geschickt oder aber über den Sammelport (Trunked Port) weitergeleitet. Dafür wird das entsprechende VLAN-Tag durch den Switch hinzugefügt. Pakete, die über den Trunked Port empfangen werden, werden nach einer VLAN-ID im Frame untersucht. Wird diese gefunden, so wird der Frame zu dem entsprechendem VLAN Port weitergeleitet. Davor wird aber das Tag wieder entfernt. Wenn der Switch diese VLAN-ID nicht findet, dann wird dieses Frame verworfen. Also, für alle normalen Teilnehmer erfolgt die Kommunikation im VLAN transparent, sie bekommen vom Tagging nichts mit.

Ethernet Framing-Fields vor dem Tagging

 

Vorspann

 

802.3802.3

802.3

 

IP

   

802.3

7 Byte

1 Byte

6 Byte

 

6 Byte

2 Byte

 

46-1500

 

4 Byte

Frame

Ziel-

Quell-

Typ/

Byte

Prüf-

Präambel

Delimiter

adresse

adresse

Länge

Daten

 

summe

Abb. 5: Ethernet Framing-Fields vor dem Tagging

 

Ethernet Framing-Fields nach dem Tagging

 

Vorspann

 

802.3

802.3

 

802.1q

 

802.3

 

IP

802.3

7 Byte

1 Byte

6 Byte

6 Byte

2 Byte

3 Bit

 

1 Bit

12 Bit

2 Byte

 

46-1500

 

4 Byte

Frame

Ziel-

Quell-

 

Typ/

Byte

Prüf-

Präambel

Delimiter

adresse

adresse

ET

Priority

 

CFI

VLAN-ID

Länge

Daten

summe

Abb. 6: Ethernet Framing-Fields nach dem Tagging

Technikerarbeit Sommer 2005

7.1.1 Die Felder des 802.1Q/P

ET (Ether Type) Ether Type 802.1Q ist das erste Feld eines VLAN-Tags, hat die Länge von 2 Bytes, welches immer den Wert von 8100h besitzt. Durch diesen Wert wird signalisiert, dass es sich um ein VLAN Packet handelt und dass das Length-Feld von 802.3 sich hinter dem VLAN-Tag befindet (also 4 Bytes nach hinten verschoben).

Priority (User Priority Field) Die Priorität eines VLAN-gekennzeichneten Datenpakets wird mit einem 3-Bit-Wert markiert. Dabei steht die "0" für die geringste, die "7" für die höchste Priorität. Datenpakete ohne VLAN-Tag werden mit der Priorität "0" behandelt.

CFI (Canonical Format Indicator) Dieses Feld besteht aus einem Bit und dient zur Feststellung der Ausleserichtung des folgenden VLAN-ID Feldes.

VLAN-ID (VLAN-ID Identifier) Mit einer eindeutigen Nummer wird das virtuelle LAN gekennzeichnet. Diese ID bestimmt die Zugehörigkeit eines Datenpakets zu einem logischen (virtuellen) LAN. Mit diesem 12-Bit-Wert können bis zu 4094 unterschiedliche VLANs definiert werden (die VLAN-IDs "0" und "4095" sind reserviert bzw. nicht zulässig).

Ausschnitt eines VLAN-Tags

802.1q Vorspann 802.3 VLAN- 802.3 IP 802.3 TAG IEEEIEEE 802.1q802.1q Ethertype Priority Canonical VLAN-ID
802.1q
Vorspann
802.3
VLAN-
802.3
IP
802.3
TAG
IEEEIEEE 802.1q802.1q
Ethertype
Priority
Canonical
VLAN-ID
VLAN
Field
Format
Identifier
8100h
Indicator
2 Byte
3 Bit
1 Bit
12 Bit

Abb. 7: Ausschnitt eines VLAN-Tags

Technikerarbeit Sommer 2005

8.0.0 Ethernet-Port-Trunking

Ethernet-Port-Trunking bezeichnet die sogenannte „Aggregation von Ethernet Links“(Logische Zusammenlagerung der Verbindungen). Beim Trunking werden mehrere physikalischen Verbindungen eines Switches zu einer logischen Verbindung zusammengeschaltet. Den Endpunkt eines derart gebildeten virtuellen Trunk bezeichnet man auch als virtuellen Port. Daraus leitet sich die synonyme Bezeichnung „Port Trunking“ ab. Das Verfahren ermöglicht die kostengünstige Überführung von Fast Ethernet (100 Mbit/s) zum Gigabit Ethernet (1000 Mbit/s), bei der die Bitrate in kleinen Schritten an den aktuellen

Bedarf angepasst werden kann. Damit ist es möglich, stark belastete Verbindungen im Netz zu erweitern, ohne auf die Komponenten für Gigabit Ethernet umsteigen zu müssen.

die Komponenten fü r Gigabit Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r

Terminal

fü r Gigabit Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g
fü r Gigabit Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g
fü r Gigabit Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g

Terminal

r Gigabit Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g r

Terminal

Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g r o u
Ethernet umsteigen zu müssen. Terminal Terminal Terminal Trunk-Verbindung W o r k g r o u

Trunk-Verbindung

Workgroup Switch

Application Server

Terminal

Abb. 8: Trunk-Verbindung

Technikerarbeit Sommer 2005

9.0.0 TACACS+ & IEEE 802.1x

Frontend-Protokolle regeln die Kommunikation zwischen dem Endbenutzer und dem NAS (Network Access Server – Netzwerkzugangsserver). Hier unterscheiden sich die Protokolle abhängig vom Medium bzw. der Topologie des Zugangsnetzwerkes:

SLIP, PPP PPPoE, EAPoL (IEEE 802.1x)

WEP (IEEE 802.11), EAPoL (IEEE 802.1x), IEEE 802.11i

Punkt-zu-Punkt-Verbindungen:

LAN:

WLAN:

Backend-Protokolle regeln die Kommunikation zwischen dem NAS und dem Authentifikationsserver (AS). Man bezeichnet die Protokolle auch als AAA-Protokolle, da sie Authentifikation, Autorisierung und Accounting abdecken:

TACACS+

RADIUS

Diameter

9.1.0 AAA - Begriffsdefinitionen

AAA steht für die Zusammenfassung eines Sicherheitskonzeptes, unter dem die Begriffe Authentication, Autorization und Accounting fallen. Die Begriffe werden im Folgenden synonym mit diesen Definitionen verwendet:

Authentifizierung Ist der Vorgang der Überprüfung einer angegebenen Identität. Dabei kann man zwischen der Authentifizierung des Senders bzw. des Empfängers einer Nachricht (message authentication vs. authentication of the channel end point) unterscheiden. Beispielsweise muss sich ein GSM-Handy immer gegenüber dem Netz identifizieren. Umgekehrt geschieht dies nicht.

Technikerarbeit Sommer 2005

Autorisierung Ist der Vorgang der Überprüfung, ob bestimmte (Zugriffs-) Rechte einem (authentifizierten) Benutzer zugesprochen werden können oder nicht. Dabei kann es sich z.B. um Zugriffsrechte für Netzlaufwerke handeln.

Accounting Beschreibt den Vorgang der Sammlung von Daten bzgl. Resourcenverbrauch für Abrechnungszwecke, Kapazitätsplanungen, Statistiken etc

Authenticator Die Einheit, die die Authentisierung des Gerätes am anderen Ende der Verbindung anfordert.

Supplicant Die Einheit, die Zugang zum LAN sucht und dafür durch den Authenticator überprüft wird.

Port Access Entity (PAE) Die Protokoll-Instanz, die mit einem kontrollierten Port verbunden ist. Die Instanz kann die Funktionalität eines Authenticators, eines Supplicant oder auch beides gemeinsam umfassen.

Authentication Server Eine Einheit, die die Authentisierung durchführt und das Ergebnis der Authentisierung dem Authenticator mitteilt. Diese Einheit kann mit dem Authenticator integriert sein, ist aber meistens ein externer Server.

IEEE 802.1x Das Protokoll dient zur Kontrolle der Benutzer-Identität beim Zugriff auf das Ethernet und ist zuständig zwischen Geräten, die den Zugang zum LAN suchen, und zwischen Geräten, die den Zugang zum LAN verwalten. Also die Anforderungen an ein Protokoll zwischen dem Authenticator (Zugangspunkt zum LAN) und einen Authentisierungs-Server (z.B. RADIUS).

Technikerarbeit Sommer 2005

9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung

Möchte ein Benutzer über einen bestimmten LAN-Port (Local Area Network) auf Dienste zugreifen, übernimmt der Port eine von zwei Rollen: Authentifizierer oder Anforderer. Als Authentifizierer erzwingt der LAN-Port die Authentifizierung, bevor der Benutzerzugriff zugelassen wird. Als Anforderer fordert der LAN-Port Zugriff auf die Dienste an, auf die der Benutzer zugreifen möchte. Ein Authentifizierungsserver prüft die Anmeldeinformationen des Anforderers und teilt dann dem Authentifizierer mit, ob der Anforderer zum Zugriff auf die Dienste des Authentifizierers autorisiert ist.

auf die Dienste des Authentifizierers autorisiert ist. Abb. 9: IEEE 802.1x-Authentifizierung Quelle:

Abb. 9: IEEE 802.1x-Authentifizierung

Quelle: http://www.id.ethz.ch

9.3.0 Sicherheit durch IEEE 802.1x

Aufgrund der Schwächen der in IEEE 802.11 eingeführten Authentifizierung war es nötig, eine Alternative zu finden. Der ursprünglich für drahtgebundene Netze entwickelte Standard IEEE 802.1x wurde hierfür herangezogen. Er spezifiziert das Grundgerüst für die eigentliche Authentifizierung. Es wird unterschieden zwischen dem Client (Supplicant), der sich in einem Netzwerk authentifizieren möchte, dem Authentifizierer (Authenticator), welcher als Kommunikationspartner für den Client fungiert und dem Authentifizierungsserver (Authentication Server), der die eigentliche Authentifizierung durchführt. In der Regel übernimmt ein RADIUS-Server (Remote Access Dial-Up User Service) die Rolle des Authentifizierungsservers und ein Access Point die des Authentifizierers.

Technikerarbeit Sommer 2005

Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE 802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprünglich für die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von Authentifizierungsmethoden unterstützt. Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem autorisierten Zustand befindet. Eine Kommunikation über den unkontrollierten Port ist zwar stets möglich, jedoch ist diese eingeschränkt.

Quelle: http://einstein.informatik.uni-oldenburg.de

9.4.0 TACACS+ Überblick

TACACS steht für Terminal Access Controller Access Control Server TACACS+ ist die zentrale Komponente von Ciscos AAA-Modell (Authentication, Authorization, Accouting). AAA beschreibt eine Umgebung, in der verschiedene Protokolle und Dienste kooperieren, um Benutzerkonten zu verwalten, Berechtigungsüberprüfungen durchzuführen und Abrechnungsdaten zu erheben. TACACS+ ist die jüngste Cisco-spezifsche Erweiterung des TACACS-Protokolls. Sie erlaubt höhere Sicherheit, da die Daten verschlüsselt und über TCP übertragen werden. Von den drei TACACS-Verfahren ist TACACS+ das mächtigste. Es ist als Vorschlag für einen künftigen Internet-Standard eingereicht. Die beiden älteren Verfahren werden von Cisco künftig nicht mehr unterstützt

9.4.1 Funktion von TACACS

Innerhalb eines großen Netzwerkes findet die Verwaltung und Speicherung von Benutzerdaten an einer zentralen Stelle statt. Diese Daten dienen auch der Authentifizierung von Benutzern, die sich am Netzwerk anmelden. Es folgt nun ein Zugriff von außen, auf das Netzwerk, eine RAS- oder VPN-Verbindung wird hergestellt. Über diese Verbindung muss der Benutzer vor dem Zugriff auf das Netzwerk authentifiziert werden. Das Bindeglied zwischen der zentralen Benutzerverwaltung und dem RAS ist der TACACS+. Das TACACS+

Technikerarbeit Sommer 2005

Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das Accounting. Vom TACACS+-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert und kann zu Abrechnungszwecken herangezogen werden. TACACS ist in gewissen Bereichen dem RADIUS ähnlich. So stellt ein Client eine Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den zentralen TACACS-Server weiterleitet. Cisco hat zwei Erweiterungen, das Extended TACACS (XTACACS) und TACACS erarbeitet. Das TACACS+ Subsystem (Authenticator) stellt eine TCP-Verbindung zum Host (TACACS+-Server, Authentication Server) her und sendet ein Start-Paket. Der Host reagiert mit einem Replay-Paket, das entweder direkt den Zugriff gestattet oder verweigert, einen Fehler meldet oder an den Supplicant eine Anfrage stellt. Der User wird also nach Username und Password gefragt, welches durch das Subsystem wieder an den Host übertragen wird. Der Host reagiert entsprechend und die Verbindung wird geschlossen. tac_plus ist Cisco's freier TACACS+-Server für Unix, welcher auch mit Debian GNU/Linux mitgeliefert wird. Eine volle Implemation wird von Cisco kommerziell vertrieben. Da TACACS+ ein properitäres Protokoll der Firma Cisco ist, verliert es gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen Verbreitung der Cisco-Produkte bis heute halten. Ein Vorteil von TACACS+ gegenüber RADIUS ist unter Umständen, das TACACS+ das ganze Paket verschlüsselt, RADIUS hingegen nur das Passwort, was aber bei den meisten Einsatzbereichen keine Rolle spielt.

9.4.2 Fazit

Der IEEE 802.1x Standard legt unter anderem fest, wie das Authentifizierungsprotokoll EAP (Extensible Authentication Protokoll) über Kabel oder Funknetzwerk in Ethernet – Frames verpackt. Deshalb heißt 802.1.x auch EAPOL (EAP over LAN). Das Protokoll wird außer bei portbasierender Authentifikation auch bei Wireless Lan Geräten angewendet, um die Kommunikation zum Gerät über den Access-Point zu ermöglichen. Neben EAP, basiert 802.1x zusätzlich auf PPP (Point to Point Protokoll). PPP und EAP sind Internetstandards (in RFCs definiert), während 802.1.x von der IEEE (Institute of Electrical and Electronics Engineers) stammt. Die RFCs sind durchnummerierte Serien von Dokumenten die veröffentlicht werden. Das TACACS+ Protokoll übernimmt die Authentifizierung und Verschlüsselung sowie das Accounting. Während IEEE 802.1x nur ein Authentisierungsprotokoll darstellt, ist das

Technikerarbeit Sommer 2005

TACACS+ zuständig für die Authentifizierung (Authentication), Autorisierung (Authorisation) oder zu Abrechnungszwecken (Accounting). TACACS+ spielt auch die Bindegliedrolle zwischen der zentralen Benutzerverwaltung und dem RAS (Remote Access Service). RAS ist ein Dienst, über den man sich beispielsweise zwecks Fernsteuerung auf einen anderen PC oder in ein internes LAN einwählen kann.

Bei der Auswahl eines Authentification-Servers sprechen Folgende Vorteile für TACACS+:

TACACS+ verschlüsslet das ganze Paket, RADIUS hingegen nur das Passwort.

Die Passwort-Konfigurationen sind nicht mehr physikalisch auf den Geräten und müssen dadurch auch nicht mehr einzeln gepflegt werden.

Skalierbarkeit. Beim editieren von Usern werden sämtliche Änderungen nur in einer Datenbank nachgeführt. Dadurch ist die Übersicht besser gewährleistet. Die Passwörter werden verschlüsselt auf einem AAA-Server gespeichert (z.B. auf einem Unix System). Der starke Algorithmus bei Unix verschlüsselten Passwörter bietet so wesentlich mehr Sicherheit.

Jeder Zugriff auf die Geräte wird beim AAA-Server geloggt und kann ausgewertet werden. Damit hat man ein gutes Tool zur Überwachung sämtlicher Aktivitäten in den Händen. Zusätzlich können damit auch Abrechnungsinformationen in Bezug auf Sicherheits-Audits oder Kontenabrechnungen aufgezeichnet werden

Dagegen stehen folgende Nachteile:

Da auf dem Markt keine günstigen Switches verfügbar sind, die mit TACACS+ umgehen können, und weil TACACS+ ein properitäres Protokol der Firma Cisco ist, verliert es gegenüber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der großen Verbreitung der Cisco-Produkte bis heute halten. Die frei erhältliche Version von TACACS+ unterschtützt viele wichtige Funktionen wie z.B. die Anwendung der Zertfikate wie EAP/TLS bei Authententifikation nicht. Somit müsste die Authentifizierung über die MAC-Adresse erfolgen. Allerdings wäre dann die Sicherheit beeinträchtigt, da die MAC-Adresse leicht gefälscht werden könnte. Die Umstrukturierung eines Netzes auf WLAN wäre bei TACACS+ nur mit Geräten von Cisco möglich. Diese Nachteile bestätigen den Verdacht, dass die Zukunft des TACACS+ als Authentifizierungsservers ungewiss ist.

Technikerarbeit Sommer 2005

10.0.0 Beschreibung der Hardware

Die für dieses Projekt zur Verfügung stehenden Geräte sind jeweils Layer-2-Switches von den Firmen Cisco bzw. Hewlett-Packard. Diese Layer-2-Switches arbeiten auf dem Data- Link-Layer und sind unabhängig von darüber liegenden Protokollen. Während des Betriebes lernt ein Switch alle MAC-Adressen und ordnet diese in einer MAC-Tabelle ein. Nach dem Empfangen eines Frames überprüft der Switch die MAC- Zieladresse. Ist in der MAC-Tabelle ein Eintrag für dieses Ziel hinterlegt, so wird der Frame dorthin weiter geleitet. Ist kein Eintrag in der MAC-Tabelle vorhanden, wird der Frame an alle anderen Ports als Broatcast weitergesendet bis auf den Port, an dem der Frame empfangen worden ist. Bei VLANs arbeitet ein Layer-2-Switch ebenso, aber bezogen auf die VLANs. Es gibt eine MAC-Adresstabelle für jedes VLAN.

10.1.0 Cisco Catalyst 2950

Der Cisco Catalyst 2950 ist ein sehr gut ausgestatteter und günstiger Switch für den Serverschrank. Das Model hat 24 eingebaute RJ45 Ports mit 10Base-T/100Base-TX. An jedem der Ports können ein Endgerät oder ein weiterer Switch angeschlossen werden. Jedes Interface hat eine Bezeichnung der Form x/y, vor dem Schrägstrich steht immer eine 0. Daher heißt das erste Interface 0/1, das zweite 0/2 usw. Dieser Cisco Catalyst 2950 ist ein stapelbarer, verwaltbarer Switch, der weitere Leistungsmerkmale wie die Netzwerk-Überwachung, VLAN-Unterstützung und Vollduplex- fähigkeit aufweist. Darüber hinaus sind, IEEE 802.3, IEEE 802.3U, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.1x wichtige Protokolle, die dieser Switch unterstützt. Weitere technische Einzelheiten unter http://www.cisco.com POST (Power-On Self Test) ist die Selbstprüfung des Gerätes die vor dem Laden des Betriebssystems durchführt wird, um die Hardware zu testen. Während der Selbstprüfung läuft das Betriebssystem noch nicht und die LEDs haben eine eigene Bedeutung. Im Normalbetrieb dienen sie jedoch ganz anderen Zwecken. Beim Startvorgang zeigen alle LEDs kurz grün an, um die Funktionstüchtigkeit der LEDs selbst zu signalisieren. Mit der „Modus-Taste“ wird der Switch von Modus zu Modus umgeschaltet: stat, util, duplex oder speed. Der aktuelle Modus lässt sich durch die LEDs erkennen. Um die Konfigurationseinstellungen des Switches auf Werkeinstellungen zurück zu setzen, muss die

Technikerarbeit Sommer 2005

„Modustaste“ betätigt werden und gleichzeitig das Stromversorgungskabel entfernt und wieder eingesteckt werden.

sorgungskabel entfernt und wieder eingesteckt werden. Abb. 10: Indikatoren Cisco Catalyst 2950 • System LED:

Abb. 10: Indikatoren Cisco Catalyst 2950

System LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch eingeschaltet ist. Gelber Zustand der LED deutet auf ein Problem hin, das sich durch POST ergeben hat

RPS LED: Signalisiert die Existenz und Status der redundanten Stromversorgung (RPS) und den Status der Hauptstromversorgung

Port-LEDs: Haben eine Bedeutung, die vom akitven Modus des Switches abhängt

Stat-LED: Bei diesem Modus zeigt die Port-LED den Status des Ports an. Grün steht für bereit, Aus für nicht bereit und grünes Blinken zeigt Aktivität an

Util-LED: Dieser Modus verwendet die kombinierten Port-LEDs als Anzeige für die Gesamtauslastung des Switches. Je mehr Port-LEDs leuchten, desto stärker ist der Switch ausgelastet

Dublex-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen Vollduplex-Port, bzw. aus, wenn es sich um einen Halbduplex-Port handelt

Speed-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen 100 MBit/s Port bzw. aus, wenn es sich um einen 10 MBit/s Port handelt

Auf der Rückseite des Switches befinden sich eine RJ45 Konsole-Schnittstelle und ein Anschluss für Stromversorgung 110/230V Wechselspannung 110/220 +/- 10% (50/60 Hz).

Technikerarbeit Sommer 2005

10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950

Der Benutzer-EXEC-Modus ist an der Eingabeaufforderung durch das Zeichen „>“ zu

erkennen. Im Benutzer-EXEC-Modus ist nur eine begrenzte Anzahl grundlegender

Überwachungsbefehle zulässig. Mit dem Befehl „enable“ kann man vom

Benutzer-EXEC-Modus in den privilegierten EXEC-Modus wechseln. Dieser Modus lässt

sich durch das Zeichen „#“ an der Eingabeaufforderung erkennen und man hat in diesem

Modus Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung

werden alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt.

Gibt man an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt

die „Tab-Taste“, wird der jeweilige Befehl vervollständigt. Mit dem Befehl „exit“ oder

„CNTL+Zgelangen sie einen Modus zurück. Mit dem Befehl „endgelangen sie sofort

wieder in den privilegierten EXEC-Mode. Fast jeder IOS-Befehl hat auch eine negierte Form,

dass durch hinzufügen von „no“ vor dem eigentlichen Befehl aktiviert wird.

Allgemeine Befehle

Switch#show ?

Zeigt alle show-Befehle an

Switch#show interface status

Zeigt aktuellen Status der Ports an

Switch#show running-config

Zeigt die laufenden Konfigurationseinstellungen

Switch#debug dot1x

Schaltet Debug-Modus für IEEE 802.1x Authentifizierung ein

Switch#debug radius

Schaltet Debug-Modus für die Kommunikation zwischen Switch und RADIUS-Server ein

Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für

die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können

in den Dokumentationen nachgeschlagen werden.

Technikerarbeit Sommer 2005

10.2.0 HP Procurve 2524

Bei diesem HP Procurve 2524 Switch handelt es sich um ein Model der 2500 Serie. Diese sind relativ kostengünstig, stapelbar, verwaltbar und es gibt sie mit 24 bzw. 12 Ports mit 10/100-Autosensing je Port. Zudem sind 2 freie Transceiver-Slots für Gigabit oder 100Base-FX vorhanden. Der Switch lässt sich über die Konsole sowie auch über jeden beliebigen Webbrowser im Netzwerk konfigurieren. Das sogenannte Link Aggregation Control Protocol (LACP) und HP-Trunking unterstützt einen einzigen Trunk mit bis zu 4 Links. Es werden bis zu 30 portbasierte VLANs und dynamische Konfiguration von 802.1Q VLAN Tagging unterstützt. Ebenfalls gibt es Einstellungen zur Portsicherheit. IEEE 802.1p Priorisierung liefert Daten an Geräte basierend auf Priorität und Typ des Datenverkehrs. Das Spanning Tree Protocol bietet redundante Links und verhindert gleichzeitig Netzwerkloops; daneben wird durch das 802.1w Rapid Convergence Spanning Tree Protocol höhere Verfügbarkeit durch schnellere Wiederherstellung nach dem Ausfall von Links erreicht. Auf die Switches gibt HP eine lebenslange Garantie. Nähere technische Informationen sind unter http://www.hp.com abrufbar.

Folgendes Bild zeigt die Front des HP Procurve 2524 Switches:

Bild zeigt die Front des HP Procurve 2524 Switches: Abb. 11: Front des HP Procurve 2524

Abb. 11: Front des HP Procurve 2524 Switch

Bildquelle:

HP procurve series 2300 and 2500 switches Installation and getting started guide.pdf

Der HP Procurve 2524 Switch besitzt auf der Frontseite Taster, mit denen entsprechende Funktionen ausgelöst werden können, und verschiedene Indikator-LEDs, die den aktuellen Betriebszustand des Gerätes signalisieren.

Technikerarbeit Sommer 2005

Taster:

Mode Select Taster: Dient zum Umschalten der verschiedenen Moden

Reset Taster: Löst einen Neustart des Switches aus

Clear Taster: Löscht alle gesetzten Konsole Zugangspasswörter

Port LEDs:

Link LED: leuchtet, wenn entsprechender Port aktiviert ist und eine Verbindung zu dem angeschlossenem Gerät besteht. Leuchtet LED nicht, ist Port deaktiviert oder es besteht keine Verbindung. Blinkt LED simultan mit der Fault LED, weist der entsprechende Port einen Fehler auf

Mode LED: Zeigt an, ob ein Port für den Voll Duplex Modus oder für den Max. Geschwindigkeits Modus aktiviert ist, bzw. ob ein Port Netzwerkaktivität anzeigt oder Netzwerkereignisse signalisiert, die das Einschreiten des Administrators erfordern, abhängig vom Modus, der ausgewählt wurde.

Switch LEDs:

Power LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grün, wenn der Switch eingeschaltet ist.

Fault LED: LED signalisiert nach dem Start bzw. nach Abschluss des Selbsttests, ob ein Fehler vorliegt. Bei nicht leuchtender LED liegt kein Fehler vor, bei blinkender LED liegt ein Fehler auf einem der Switch Ports oder des Lüfters vor und bei leuchtender LED wird ein schwerer Hardwarefehler signalisiert

Self Test LED: LED leuchtet während der Durchführung des Selbsttests, LED blinkt, wenn eine Komponente einen Fehler aufwies

Fan Status LED: Leuchtet wenn Lüfter ordnungsgemäß funktioniert und blinkt simultan mit der Fault LED, wenn ein Fehler des Lüfters vorliegt.

Mode Select LEDs:

Act LED: Signalisiert, dass die Port Mode LEDs Information über die Netzwer- kaktivität anzeigen

FDx LED: Signalisiert, dass die Port Mode LEDs für Ports, die im Voll Duplex Modus sind, leuchten

Technikerarbeit Sommer 2005

Max LED: Signalisiert, dass die Port Mode LEDs für die Ports leuchten, die in ihrer max. möglichen Geschwindigkeit arbeiten. Z.B. für die 10/100TX Ports wäre es

100Mbps

! LED: Signalisiert dass die Port Mode LEDs Netzwerkereignisse anzeigen, die das Einschreiten des Administrators erfordern.

die das Einschreiten des Administrators erfordern. Abb. 12: Indikatoren HP Procurve 2524 Auf der Rückseite des

Abb. 12: Indikatoren HP Procurve 2524

Auf der Rückseite des Gerätes befindet sich ein Anschluss für die Stromversorgung, 110/230V Wechselspannung (50/60 Hz) sowie ein Lüfter, der für die notwendige Kühlung des Gerätes sorgt und demzufolge nicht abgedeckt werden darf.

Technikerarbeit Sommer 2005

10.2.1 Command Line Interface (CLI) des HP Procurve 2524

Der HP Procureve besitzt einen Operator-EXEC-Modus, sowie einen Manager-EXEC-Modus

mit einigen Kontext-Moden. Der Operator-EXEC-Modus ist an der Eingabeaufforderung

„Switch#“ zu erkennen. Im Operator-EXEC-Modus ist nur eine begrenzte Anzahl

grundlegender Überwachungsbefehle zulässig. Mit dem Befehl „config“ kann man vom

Operator-EXEC-Modus in den Manager-EXEC-Modus wechseln. Dieser Modus lässt sich

durch die Eingabeaufforderung „Switch(config)#“ erkennen und man hat in diesem Modus

Zugriff auf alle Switch-Befehle. Mit Eingabe eines „?“ an der Eingabeaufforderung werden

alle Befehle die in dem jeweiligen Befehlsmodus zur Verfügung stehen angezeigt. Gibt man

an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und betätigt die „Tab-

Taste“, wird der jeweilige Befehl vervollständigt. Mit der Befehl „exit“ gelangen man einen

Modus zurück. Die meisten Befehle besitzen auch eine negierte Form um einen aktiven

Befehl wieder zu deaktivieren. Dies geschieht mit der Eingabe von „no“ vor dem eigentlichen

Befehl.

Allgemeine Befehle

Switch#show ?

Zeigt alle show-Befehle an

Switch#show interfaces

Zeigt Informationen aller Ports an

Switch#show running-config

Zeigt die laufenden Konfigurationseinstellungen

Switch# show port-access authenticator

Zeigt Authentifikation der Ports an

Switch# erase startup-config

Löscht die „Startup-config“

Die hier genannten Infos über die Bedienung der CLI ist nur ein kurzer Auszug, die aber für

die weitere Bedienung des Switches erforderlich sein können. Weitere Informationen können

im Benutzerhandbuch bzw. im command-line-interface-reference-guide nachgeschlagen

werden.

Technikerarbeit Sommer 2005

11.0.0 Zugriff auf die Konsolenebene eines Switches

11.1.0 Lokaler Zugriff auf einen Switch

Um einen Switch zu konfigurieren, muss dieser zuvor über den Konsole-Port mit einem sogenannten Rolloverkabel mit dem PC auf eine serielle Schnittstelle verbunden sein. Darüber hinaus benötigt man ein Terminalprogramm, um die lokale Kommunikation zwischen Switch und PC zu ermöglichen. Es gibt zahlreiche Terminalprogramme auf dem Markt, für dieses Projekt wurde das “Tera Term Pro Version 2.3“ angewendet. Downloadlink: http://hp.vector.co.jp/authors/VA002416/teraterm.html

Um mit dieser Software eine erfolgreiche Kommunikation auf die Konsole zu ermöglichen, müssen folgende Einstellungen durchgeführt werden:

Schritt 1: Unter Setup / Serial port

durchgeführt werden: Schritt 1: Unter Setup / Serial port Abb. 13: Tera Term Serial port setup

Abb. 13: Tera Term Serial port setup

müssen folgende Einstellungen vorgenommen werden;

Schritt 2: Serial aktivieren und entsprechende COM-Schnittstelle auswählen, an der das Rolloverkabel mit dem PC verbunden ist, anschließend mit „OK“ Button bestätigen

ist, anschließend mit „OK“ Button bestätigen Abb. 14: Tera Term New connection Terminalfenster mit der

Abb. 14: Tera Term New connection

Terminalfenster mit der Konsole des entsprechenden Switches wird geöffnet.

Technikerarbeit Sommer 2005

11.2.0 Fernzugriff auf einen Switch

Um Flexibilität und standortunabhängige Konfigurationen sicherzustellen, wurde als Telnet/SSH Client das sogenannte PuTTY herangezogen. Hierdurch kann über SSH Zugriff von der Schule sowie über das Internet Zugriff auf den Switch erfolgen. Downloadlink: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

11.2.1 Zugriff über das Intranet der GWS-Lörrach

Schritt 1: Nach Eingabe des Host Name (or IP address) „sshserver“ mit dem “Open“ Button bestätigen. Anschließend wird die Verbindung aufgebaut und das Terminal- Fenster wird geöffnet.

Eingabefeld für Host Name
Eingabefeld für Host Name

Abb. 15: PuTTY Verbindung über das Intranet der GWS-Lörrach

11.2.2 Zugriff über das Internet

Schritt 1: Nach Eingabe des Host Name (or IP address) gws-loe.remoteconnect.de“ mit dem „Open“ Button bestätigen. Anschließend wird die Verbindung aufgebaut und das Terminal-Fenster wird geöffnet.

Technikerarbeit Sommer 2005

Eingabefeld für Host Name
Eingabefeld für Host Name

Abb. 16: PuTTY Verbindung über das Internet

Danach müssen für beide Zugangsarten (Intranet der GWS-Lörrach oder Internet) folgende Schritte im Terminal-Fenster getätigt werden, um eine Verbindung vom GWS-Lörrach SSH-Server auf den Debrad SSH-Server und somit auf Minicom herzustellen. Minicom stellt ein Interface auf die COM Schnittstelle des Rechners dar, an dem der entsprechende Switch über ein Rollover-Kabel angeschlossen ist.

11.2.3 Login-Vorgang über SSH-Server auf Minicom

Benutzername und Passwort eingeben, um sich auf dem SSH-Server der GWS-Lörrach einzuloggen:

Schritt 1:

Login as:

[

Benutzername ]

Schritt 2:

password:

**********

Benutzername und Passwort eingeben, um sich über den GWS-Lörrach SSH-Server auf den Debrad SSH-Server anzumelden:

Schritt 3:

[Benutzername]@sshserver:~$

ssh [ Benutzername ]@debrad

Schritt 4:

Password:

**********

Technikerarbeit Sommer 2005

Mit folgendem Befehl kann man sich über Minicom auf dem entsprechenden Switch

(Cisco Catalyst 2950 bzw. HP Procurve 2524) einloggen:

Schritt 5:

[Benutzername]@debvl:~$

minicom hp

oder

Schritt 5:

[Benutzername]@debvl:~$

minicom cisco

Um nach einer Sitzung Minicom zu beenden, wird folgendermaßen vorgegangen:

   

Strg + A, Z

Schritt 6:

X

Schritt 7:

Leave Minicom:

Yes

Schritt 8:

[Benutzername]@debvl:~$

exit

Schritt 9:

[Benutzername]@sshserver:~$

exit

Technikerarbeit Sommer 2005

12.0.0 Firmwareupdate der Switches

Einerseits gehörte das Updaten der Switches zur Aufgabenstellung der Technikerarbeit, anderseits, musste sichergestellt werden, dass die Switches mit den aktuellen IOS/OS Versionen versehen wurden. Nur so kann davon ausgegangen werden, dass alle Optionen unterstützt werden und die einwandfreie Funktion der Switches gewährleistet wird. Hierzu wird ein sogenannter TFTP-Server (Trivial File Transfer Protocol) auf dem Rechner benötigt, um die Datenkommunikation zwischen Rechner und Switch zu gewährleisten. Vor einem Update auf ein neues IOS/OS sollte jedoch zuvor die alte Version des IOS/OS via TFTP auf den Rechner übertragen und dort gespeichetrt werden um im Falle eines Misserfolges die ursprüngliche Firmware wieder herzustellen. Ein weiterer Aspekt der Benutzung eines TFTP Servers ist dass man sämtliche Konfigurations-Files über TFTP auf den Rechner sichern kann. Als TFTP-Server entschied man sich für „3CDaemon Version 2.0“ von 3com. Downloadlink: http://support.3com.com/software/utilities_for_windows_32_bit.htm Um eine TFTP Verbindung zwischen Rechner und Switch aufzubauen, muss sich sowohl der Switch als auch der TFTP-Server im selben IP-Netzbereich befinden. Die IP-Vergabe auf einem Windows-Rechner erfolgt unter Start/Einstellungen/Netzwerkverbindungen. In welchen IP-Adressbereich sich der Switch befindet, hängt von der IP Einstellung des Switches ab, die in den folgenden Kapiteln beschreiben wird. Außerdem muss unter „Configure TFTP Server“ in dem Eingabefeld „Upload/Download directory“ der Pfad angegeben werden, an dem die Files zum Transfer gespeichert bzw. abgerufen werden. Mit dem Betätigen des „STOP“ -/ bzw. „GO“ Buttons kann der TFTP Server deaktiviert bzw. aktiviert werden.

Eingabefeld für Host Name
Eingabefeld für Host Name

Abb. 17: Einstellungen 3CDaemon

Technikerarbeit Sommer 2005

Vor dem Updaten des Switches müssen mehrere ziemlich wichtige Informationen mit

berücksichtigt werden:

Wie lauten IP Adresse oder Hostname des TFTP-Servers?

Wie heißt die Datei?

Ist der Flash-Speicher für diese Datei groß genug?

Liegt auf dem Server überhaupt eine Datei mit diesem Namen?

Soll die alte Datei wirklich gelöscht werden?

12.1.0 IOS-Update Cisco Catalyst 2950

Das Interwork Operating System (IOS) wird im Flash-Memory gespeichert. Das

Flash-Memory ist ein wiederbeschreibbarer, permanenter Speicher. Das ist ideal für Dateien,

auf die man zurückgreifen muss, wenn der Switch einmal einen Stromausfall hatte. Ein

weiterer Vorteil ist, dass es keine beweglichen Teile gibt. So wird eine höhere Zuverlässigkeit

erreicht als bei Laufwerken.

Zunächst muss das IOS-Image natürlich von Cisco bezogen werden. Das Beziehen des

IOS-Image ist nur mit einen aktuellen Servicevertrag der Firma Cisco möglich. Dann muss

dies in das Standardverzeiniss des TFTP-Servers abgelegt werden. Schließlich muss auf dem

Switch der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory

kopiert.

1.

Catalyst#dir flash:

Zeigt Informationen über das Flash:

- Inhalt (IOS Version)

- Gesamt- bzw. freier Speicherplatz

2.

Catalyst#copy flash tftp

Sichern des IOS von Flash auf PC über TFTP

Source filename[]? c2950-i6q4l2-

-

Name der Quelldatei

mz.121-14.EA1a.bin

 

Address or name of remote host []? 192.168.0.10

- Angabe des TFTP Servers

Destination filename [c2950-

-

Name der Zieldatei

i6q4l2-mz.121-14.EA1a.bin]?

 

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005 Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1 3. Catalyst# del flash:c2950-i6q4l2-

Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1

3.

Catalyst#del flash:c2950-i6q4l2-

Löschen der Datei „c2950-i6q4l2- mz.121-14.EA1a.bin“ aus dem Flashmemory

mz.121-14.EA1a.bin

mz.121-14.EA1a.bin“ aus dem Flashmemory mz.121-14.EA1a.bin Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2 Seite 40

Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2

Technikerarbeit Sommer 2005

4.

Catalyst#copy tftp flash

Laden des gewünschten IOS Version von PC auf Flash über TFTP

Address or name of remote host []? 192.168.0.10

- Angabe des TFTP Servers

Source filename[c2950-i6q4l2-

- Name der Quelldatei

mz.121-22.EA3.bin]?

Destination filename [c2950-

- Name der Zieldatei

i6q4l2-mz.121-22.EA3.bin]?

[c2950- - Name der Zieldatei i6q4l2-mz.121-22.EA3.bin]? Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3 Seite 41

Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3

Technikerarbeit Sommer 2005

Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs

zwischen Switch und TFTP-Server während des Updatevorgangs Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server 5.

Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server

5.

Catalyst#config terminal

Wechselt in den Konfigurationsmodus

6.

Catalyst(config)# boot system flash: c2950-i6q4l2-

Name des neuen IOS von dem der Switch booten soll

mz.121-22.EA3.bin

7.

Catalyst(config)#exit

Zurück in Privilegierten EXEC-Modus

8.

Catalyst#show boot

Zeigt Boot Einstellungen an

8. Catalyst# show boot Zeigt Boot Einstellungen an Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4 Seite

Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4

Technikerarbeit Sommer 2005

9.

Catalyst#reload

Switch wird neu gebootet

10.

Catalyst#show version

Zeigt die aktuelle IOS Version an

12.2.0 OS-Update HP Procurve 2524

Ein Update des Switches kann sowohl über einen TFTP-Server sowie als auch über ein

XMODEM durchgeführt werden. Das Switch Operating System (OS) wird im Flashmemory

hinterlegt. HP stellt kostenlose Updates der Firmware auf ihrer Homepage zum Downlaoden

bereit. Folgende Schritte beschreiben den Updatevorgang über TFTP. Dabei muss sich das

neue OS im Standardverzeinis des TFTP-Servers befinden. Schließlich muss auf dem Switch

der copy-Befehl eingegeben werden. Die Datei wird nun über TFTP ins Flashmemory kopiert.

1.

Switch#show version

Zeigt die aktuelle OS an

2.

Switch#copy flash tftp

Sichern des OS von Flash auf PC über TFTP

192.168.0.10

F_05_22.swi

von Flash auf PC über TFTP 192.168.0.10 F_05_22.swi Abb. 23: OS-Update HP Procurve 2524, Bild 1

Abb. 23: OS-Update HP Procurve 2524, Bild 1

3.

Switch#copy tftp flash

Laden der gewünschten OS Version von PC auf Flash über TFTP

192.168.0.10

F_05_34.swi

Version von PC auf Flash über TFTP 192.168.0.10 F_05_34.swi Abb. 24: OS-Update HP Procurve 2524, Bild

Abb. 24: OS-Update HP Procurve 2524, Bild 2

Technikerarbeit Sommer 2005

Nachdem das gewünschte OS auf den Switch geladen wurde, löst Switch einen Neustart aus und wird mit neuem OS gestartet.

4.

Switch#show version

Zeigt die aktuelle OS an

4. Switch# show version Zeigt die aktuelle OS an Abb. 25: OS-Update HP Procurve 2524, Bild

Abb. 25: OS-Update HP Procurve 2524, Bild 3

Datenverkehr zwischen Switch und TFTP-Server während des Updatevorgangs

zwischen Switch und TFTP-Server während des Updatevorgangs Abb. 26: OS-Update HP Procurve 2524, TFTP-Server Seite 44

Abb. 26: OS-Update HP Procurve 2524, TFTP-Server

Technikerarbeit Sommer 2005

13.0.0 Konfiguration der Switches

Diese Kapitel befasst sich mit der Konfiguration des Cisco Catalyst 2950 und des HP Procurve 2524. Es gibt verschiedene Möglichkeiten diese Switches zu konfigurieren, wie über das Webinterface und über das Comand Line Interface (CLI), bei HP zusätzlich noch über das Menu. Allerdings ist es sinnvoll einen Switch über das CLI zu konfigurieren, da man nur in diesem wirklich alle Funktionen, die der Switch zur Verfügung stellt, konfigurieren kann. Außerdem ist hier die Konfiguration nach einer Übungszeit wesentlich schneller da, durch einen Befehl beispielsweise alle Ports auf Authentifizierung über IEEE 802.1x gesetzt werden können. Das Menu des HP Procurve 2524 lässt sich über das CLI erreichen und stellt dem Administrator eine komfortable Alternative zur CLI bereit. Das Webinterface eignet sich sehr gut für die allgemeine Überwachung des Switches und ist über das lokale Netzwerk erreichbar. In diesem Projekt wurde die komplette Konfiguration über das CLI durchgeführt.

Nachfolgende Tabelle soll veranschaulichen wie die IP-Adressen der einzelnen VLANs auf den jeweiligen Switches vergeben worden sind. Den Radius-Server erreichen die Switches über das Management-VLAN (VLAN 1), dass sich im selben Adressbereich wie der Radius-Server befinden muss.

Radius-Server: 192.168.0.1 / 24

VLAN

Name

IP / Catalyst 2950

IP / Procurve 2524

1

Admin_VLAN

192.168.0.6

/ 24

192.168.0.5

/ 24

2

Gast

192.168.1.1

/ 24

192.168.1.1

/ 24

3

Lehrer_1

192.168.2.1

/ 24

192.168.2.1

/ 24

4

Lehrer_2

192.168.3.1

/ 24

192.168.3.1

/ 24

5

Schueler_1

192.168.4.1

/ 24

192.168.4.1

/ 24

6

Schueler_2

192.168.5.1

/ 24

192.168.5.1

/ 24

Technikerarbeit Sommer 2005

13.1.0 Konfiguration des Cisco Catalyst 2950

1.

Switch>enable

Wechsel vom Benutzer-EXEC-Modus in den privilegierten EXEC-Modus

2.

Switch# clock set 09:21:34 09 May 2005

Einstellung der Uhrzeit und des Datums

3.

Switch#configure terminal

Wechselt in den Konfigurationsmodus

4.

Switch(config)# enable password catalyst

Vergabe des Passworts “catalyst”

5.

Switch(config)#hostname Catalyst

Benennung des Gerätes

Switch(config)# hostname Catalyst Benennung des Gerätes Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1 6.

Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1

6.

Catalyst(config)#aaa new-model

Aktivierung von AAA

7.

Catalyst(config)# aaa authentication dot1x default group radius

Aktivierung der Authentifikation über Radius-Server

8.

Catalyst(config)# aaa authorization network default group radius

Switch wird für alle Anfragen über Netzwerkverbindungen durch Radius- Autorisierung aktiviert

9.

Catalyst(config)# dot1x system-auth-control

Aktivierung von IEEE 802.1x Authentifikation

Aktivierung von IEEE 802.1x Authentifikation Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2 Seite 46

Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2

Technikerarbeit Sommer 2005

10.

Catalyst(config)#interface range fastEthernet 0/1 - 23

Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest

11.

Catalyst(config-if-range)# switchport mode access

Der gewählte Portbereich wird für VLANs definiert

12.

Catalyst(config-if-range)# dot1x port-control auto

Automatische Aktivierung von IEEE 802.1x auf dem gewähltem Portbereich

13.

Catalyst(config-if-range)# spanning-tree portfast

Der gewählte Portbereich wird aktiviert um bei bestehender Verbindung direkt das Forwarding zu nutzen

14.

Catalyst(config-if-range)#exit

Führt zurück in den Konfigurationsmodus

15.

Catalyst(config)# Radius-server host 192.168.0.1 key test123

Konfiguration der Parameter des Radius-Servers (IP und Passwort)

der Parameter des Radius-Servers (IP und Passwort) Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3 16.

Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3

16.

Catalyst(config)#vlan 2

Erzeugt ein zweites VLAN

17.

Catalyst(config-vlan)# name Gast

Benennung des VLAN 2 in „Gast“

18.

Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

19.

Catalyst(config)#vlan 3

Erzeugt ein drittes VLAN

20.

Catalyst(config-vlan)# name Lehrer_1

Benennung des VLAN 3 in

„Lehrer_1“

21.

Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

22.

Catalyst(config)#vlan 4

Erzeugt ein viertes VLAN

23.

Catalyst(config-vlan)# name Lehrer_2

Benennung des VLAN 4 in

„Lehrer_2“

24.

Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

25.

Catalyst(config)#vlan 5

Erzeugt ein fünftes VLAN

Technikerarbeit Sommer 2005

26.

Catalyst(config-vlan)# name Schueler_1

Benennung des VLAN 5 in

„Schueler_1“

27.

Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

28.

Catalyst(config)#vlan 6

Erzeugt ein sechstes VLAN

29.

Catalyst(config-vlan)# name Schueler_2

Benennung des VLAN 6 in

„Schueler_2“

30.

Catalyst(config-vlan)#exit

Zurück in den Konfigurationsmodus

exit Zurück in den Konfigurationsmodus Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4 31.

Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4

31.

Catalyst(config)#interface vlan1

Wechselt zu Interface VLAN 1

32.

Catalyst(config-if)# ip address 192.168.0.6

Vergabe der IP 192.168.0.6 / 24 an VLAN 1

255.255.255.0

33.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

34.

Catalyst(config)#interface vlan2

Wechselt zu Interface VLAN 2

35.

Catalyst(config-if)# ip address 192.168.1.1

Vergabe der IP 192.168.1.1 / 24 an VLAN 2

255.255.255.0

36.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

37.

Catalyst(config)#interface vlan3

Wechselt zu Interface VLAN 3

38.

Catalyst(config-if)# ip address 192.168.2.1

Vergabe der IP 192.168.2.1 / 24 an VLAN 3

255.255.255.0

39.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

Technikerarbeit Sommer 2005

40.

Catalyst(config)#interface vlan4

Wechselt zu Interface VLAN 4

41.

Catalyst(config-if)# ip address 192.168.3.1

Vergabe der IP 192.168.3.1 / 24 an VLAN 4

255.255.255.0

42.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

43.

Catalyst(config)#interface vlan5

Wechselt zu Interface VLAN 5

44.

Catalyst(config-if)# ip address 192.168.4.1

Vergabe der IP 192.168.4.1 / 24 an VLAN 5

255.255.255.0

45.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

46.

Catalyst(config)#interface vlan6

Wechselt zu Interface VLAN 6

47.

Catalyst(config-if)# ip address 192.168.5.1

Vergabe der IP 192.168.5.1 / 24 an VLAN 6

255.255.255.0

48.

Catalyst(config-if)#exit

Zurück in den Konfigurationsmodus

exit Zurück in den Konfigurationsmodus Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5 49.

Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5

49.

Catalyst(config)#interface range fastEthernet 0/1 - 23

Legt für die weitere Konfiguration einen Interfacebereich von Port 1-23 fest

50.

Catalyst(config-if-range)# switchport access vlan 2

Ordnet unauthorisierte Clients in VLAN 2 (Gast-VLAN) ein

51.

Catalyst(config-if-range)#end

Zurück in den privilegierten EXEC-Modus

Technikerarbeit Sommer 2005

52.

Catalyst#show vlan

Zeigt Überblick über VLANs

52. Catalyst# show vlan Zeigt Überblick über VLANs Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6

Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6

53.

Catalyst#write memory

Sichert die Einstellungen in der „config.text“ Datei

54.

Catalyst#copy config.text tftp

Sichern der „config.text“ von Flash auf PC über TFTP

Address or name of remote host []? 192.168.0.10 Destination filename [config.text]? config.text

- Angabe des TFTP Servers

- Name der Zieldatei

- Angabe des TFTP Servers - Name der Zieldatei Abb. 33: Konfiguration Cisco Procurve 2950, Bild

Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7

Technikerarbeit Sommer 2005

13.2.0 Konfiguration des HP Procurve 2524

1.

HP ProCurve Switch 2512>enable

Wechselt in den EXEC-Modus

2.

HP Procurve Switch 2512#config

Wechselt von dem Operator-EXEC- Modus in den Manager-EXEC-Modus

3.

HP ProCurve Switch 2512(config)# clock set 05/09/2005 14:41

Einstellung der Uhrzeit und des Datums

4.

HP ProCurve Switch 2512(config)# hostname Procurve

Benennung des Geräts

5.

Procurve(config)#password all

Vergabe der Passwörter „procurve“ Operator: nur Leseberechtigung Manager: Vollzugriff

Operator: nur Leseberechtigung Manager: Vollzugriff Abb. 34: Konfiguration des HP Procurve 2524, Bild 1 6.

Abb. 34: Konfiguration des HP Procurve 2524, Bild 1

6.

Procurve(config)# vlan 1

Wechselt in erstes VLAN

7.

Procurve(vlan-1)# name Admin_VLAN

Benennung des VLAN 1 „Admin_VLAN“

8.

Procurve(vlan-1)# ip address

Vergabe der IP 192.168.0.5 / 24 an VLAN 1

192.168.0.5

255.255.255.0

9.

Procurve(vlan-1)# exit

Zurück in den Konfigurationsmodus

10.

Procurve(config)# vlan 2

Erzeugt ein zweites VLAN

11.

Procurve(vlan-2)# name Gast

Benennung des VLAN 2 „Gast“

12.

Procurve(vlan-2)# ip address

Vergabe der IP 192.168.1.1 / 24 an VLAN 2

192.168.1.1

255.255.255.0

13.

Procurve(vlan-2)# exit

Zurück in den Konfigurationsmodus

14.

Procurve(config)# vlan 3

Erzeugt ein drittes VLAN

15.

Procurve(vlan-3)# name Lehrer_1

Benennung des VLAN 3 „Lehrer_1“

Technikerarbeit Sommer 2005

16.

Procurve(vlan-3)# ip address

Vergabe der IP 192.168.2.1 / 24 an VLAN 3

192.168.2.1

255.255.255.0

17.

Procurve(vlan-3)# exit

Zurück in den Konfigurationsmodus

18.

Procurve(config)# vlan 4

Erzeugt ein viertes VLAN

19.

Procurve(vlan-4)# name Lehrer_2

Benennung des VLAN 4 „Lehrer_2“

20.

Procurve(vlan-4)# ip address

Vergabe der IP 192.168.3.1 / 24 an VLAN 4

192.168.3.1

255.255.255.0

21.

Procurve(vlan-4)# exit

Zurück in den Konfigurationsmodus

22.

Procurve(config)# vlan 5

Erzeugt ein fünftes VLAN

23.

Procurve(vlan-5)# name

Benennung des VLAN 5 „Schueler_1“

Schueler_1

24.

Procurve(vlan-5)# ip address

Vergabe der IP 192.168.4.1 / 24 an VLAN 5

192.168.4.1

255.255.255.0

25.

Procurve(vlan-5)# exit

Zurück in den Konfigurationsmodus

26.

Procurve(config)# vlan 6

Erzeugt ein sechstes VLAN

27.

Procurve(vlan-6)# name

Benennung des VLAN 6 „Schueler_2“

Schueler_2

28.

Procurve(vlan-6)# ip address

Vergabe der IP 192.168.5.1 / 24 an VLAN 6

192.168.5.1

255.255.255.0

29.

Procurve(vlan-6)# exit

Zurück in den Konfigurationsmodus

Procurve(vlan-6)# exit Zurück in den Konfigurationsmodus Abb. 35: Konfiguration des HP Procurve 2524, Bild 2 Seite

Abb. 35: Konfiguration des HP Procurve 2524, Bild 2

Technikerarbeit Sommer 2005

30.

Procurve(config)# radius-server host 192.168.0.1 key test123

Konfiguration der Parameter des Radius-Servers (IP und Passwort)

31.

Procurve(config)# aaa authentication port-access eap- radius

Aktivierung des EAP kompatiblen Radius-Server für die IEEE 802.1x Authentifikation

32.

Procurve(config)# aaa port- access authenticator active

Aktivierung von IEEE 802.1x

33.

Procurve(config)# aaa port- access authenticator ethernet 1-

Konfiguriert die Ports 1-23 als IEEE 802.1x Authentifizierungsports

23

34.

Procurve(config)# aaa port- access authenticator ethernet 1- 23 unauth-vid 2

Legt Portbereich welche die unauthentifizierte Clients nach VLAN 2 „Gast“ verbinden

35.

Procurve(config)# aaa port- access authenticator 1-11 auth- vid 3

Legt Portbereich welche die authentifizierte Clients ab VLAN 3 verbinden (die Auswahl der VLANs wird über Radius durchgeführt)

36.

Procurve(config)# port-security ethernet 1-11 learn-mode port- access

Aktiviert Sicherheitsfunktion, dass sich gleichzeitig nur ein Client über den Port authentifizieren kann

37.

Procurve(config)# management-vlan 1

Definiert VLAN 1 als Management- VLAN

38.

Procurve(config)# primary-vlan 2

Definiert VLAN 2 als Primär-VLAN

primary-vlan 2 Definiert VLAN 2 als Primär-VLAN Abb. 36: Konfiguration des HP Procurve 2524, Bild 3

Abb. 36: Konfiguration des HP Procurve 2524, Bild 3

39.

Procurve# write memory

Sichert die Running-Config in Startup-Config

40.

Procurve# copy startup-config tftp 192.168.0.10 startup-config

Sichern der „Startup-Config“ von Flash auf PC über TFTP

Sichern der „Startup-Config“ von Flash auf PC über TFTP Abb. 37: Konfiguration des HP Procurve 2524,

Abb. 37: Konfiguration des HP Procurve 2524, Bild 4

Technikerarbeit Sommer 2005

14.0.0 Sicherheit im Netzwerk

Mit dem Ziel eines sicheren Netzwerkes, einer sicheren VLAN Zuweisung und einer sicheren portbasierenden Authentifizierung mussten, wie in vielen technischen Bereichen, auch bei diesem Projekt Sicherheitstests durchgeführt werden. Um diese Tests so realitätsnah wie möglich zu gestalten wurden spezielle Softwaretools wie „Broadcom Advanched Control Suite 2“ und „Ethereal“ zur Hilfe genommen.

14.1.0 Netzwerkdiagnosesoftware