Sie sind auf Seite 1von 17

-Hochschule BremenInformationssicherheit

Prof. Dr. rer. nat. Richard Sethmann & Chris Zander

Labor-Protokoll
intersemester !"#$%#&

'L()s und DHCP


*on )oshaba Cheema und Roland +,-er

Labor. #&.#".!"#$

(b-abedatum. !".#".!"#$

Noshaba Cheema und Roland Jger

VLANs und DHCP

Inhalts*er/eichnis
Abstract.......................................................................................................................................2 Einleitung.................................................................................................................................... VLAN..................................................................................................................................... DHCP.....................................................................................................................................! "aterialien und #eschreibung der Versuchsdurch$%hrung.........................................................& "aterialien..............................................................................................................................& Versuchsbeschreibung............................................................................................................& Ergebnisse mit #eschreibung und 'creen('hots.........................................................................) Vorbereitung...........................................................................................................................) VLAN(*on$iguration.............................................................................................................+ DHCP(*on$iguration...........................................................................................................,2 -a.it..........................................................................................................................................., Anhang......................................................................................................................................,! Abbildungs/er.eichnis.........................................................................................................,! Ab0%r.ungs/er.eichnis........................................................................................................,! Literatur( und 1uellen/er.eichnis.............................................................................................,& Literatur2uellen....................................................................................................................,& 3nternet2uellen......................................................................................................................,&

Noshaba Cheema und Roland Jger

VLANs und DHCP

Abstract
3n diesem Proto0oll 4ird detailliert 4iedergegeben5 4ie man mit einem C3'C67 Router und C3'C67 '4itch 8 so 4ie mehreren PCs5 ein Net. mit mehreren VLANs erstellt. Das beschriebene Net. besteht aus einer Verbindung .4ischen dem Router und '4itch5 so4ie drei PCs5 die an dem '4itch angeschlossen sind. 9m die ge4%nschte Net.to:ologie .u erhalten5 4erden am Router 'ubinter$aces so4ie DHCP(Pools5 mit einer eingegren.ten An.ahl an Host(Adressen eingerichtet. Au$ dem '4itch 4erden VLAN(Access 3nter$aces 0on$iguriert und das 3nter$ace5 das mit dem Router /erbunden ist5 4ird als VLAN(;run0 0on$iguriert.

Noshaba Cheema und Roland Jger

VLANs und DHCP

Einleitung
Dieses Proto0oll beschreibt die *on$iguration /on einem Net. mit drei VLANs <=Virtual Local Area Net4or0s>?5 einem '4itch und einem Router unter Ver4endung /on DHCP <=D@namic Host Con$iguration Protocol>?. VLAN VLANs sind logische, #roadcastdomnen5 die genut.t 4erden um Cam:usnet.e2 .u realisieren. Als #roadcastdomne be.eichnet man die Aru::e /on Endgerten5 die einen #roadcast(-rame em:$ngt5 4enn ein Endgert dieser Aru::e einen #roadcast(-rame gesendet hat BCD. VLANs bieten alle Vorteile /on :h@si0alischen LANs ohne .ust.liche Hard4are .u benEtigen. Fu den Vorteilen gehEren erhEhte 'icherheit5 'tru0turierungs/orteile und Per$ormance(As:e0te 5 des 4eiteren bieten VLANs eine ein$ache *on$iguration und Gartbar0eit im Vergleich .u einem :h@si0alischen Net.. Die erhEhte 'icherheit entsteht ..#. aus der ;rennung /on Abteilungen in -irmen und der daraus resultierenden Ersch4erung eines Angri$$es au$ das Net.. B!D VLAN(;run0s bieten die "Eglich0eit %ber eine Verbindung mehrere VLANs mit ..#. einem Router .u /erbinden <=Router(on(a('tic0>? BCD. Dies s:art einerseits "aterial5 $%hrt aber auch da.u5 dass der gesamte Daten/er0ehr %ber eine Verbindung lau$en muss B)D.

, 2

logisch 8 digital5 nicht :h@si0alisch Cam:usnet. 8 lo0ales Net. Per$ormance(As:e0te ( 4eniger #roadcast Ver0ehr und *ollisionsmEglich0eiten

Noshaba Cheema und Roland Jger

VLANs und DHCP

DHCP -%r das Versenden und Em:$angen /on Daten5 braucht ein Rechner eine 3P(Adresse. Da der #ereich der /er$%gbaren 3P(Adressen in 3P/! gering ist B2D5 0ann ein Rechner ent4eder beim Net..ugang d@namisch eine tem:orre B D Remote(3P(Adresse erhalten oder man 0ann diese $%r eine gesammte Net.domnen /er4enden B2D5 um Remote(Adressen .u s:aren. Als .ust.lichen E$$e0t hat es noch5 dass man nicht Hedes Net.gert ein.eln 0on$igurieren muss BID. Ein DHCP(Pool ist eine "enge an 3P(Adressen5 die durch den DHCP('er/er /ergeben 4erden d%r$en B2D. 9m .u ge4hrleisten5 dass ..# $%r Gartungsarbeiten oder andere 4ichtige Net.gerte noch 3P(Adressen .ur Ver$%gung stehen5 4erden meistens einige Adressen /on der automatischen Vergabe ausgeschlossen. Eine Angri$$smEglich0eit besteht bei einem DHCP('er/er5 4enn man diesen mit 3P(An$ragen %ber$lutet und somit %berlastet. Einen solchen Angri$$ be.eichnet man als =Denial(o$('er/ice>(Angri$$ B+D. Es em:$iehlt sich daher die "inimal.eit der Adress/ergabe au$ einen mEglichst 0leinen Gert 4ie et4as ,JJ 'e0unden .u set.en5 um eine :ermanente ':errung des Net.es durch solche Angri$$e .u /ermeiden B&D. Des 4eiteren 4ird ermEglicht5 dass sich 9nbe0annte mit dem Net. /erbinden 0Ennen5 ohne /orher einen Administrator nach einer 3P(Adresse .u $ragen5 4eshalb es auch o$t als =Plug(and(Pla@(Proto0oll> be.eichnet 4ird B D.

Noshaba Cheema und Roland Jger

VLANs und DHCP

"aterialien und #eschreibung der Versuchsdurch$%hrung


"aterialien -%r eine /irtuelle Versuchsdurch$%hrungK C3'C67 Pac0et ;racer -%r eine Versuchsdurch$%hrung an realer Hard4areK PCs und , *on$igurations(PC5

einen C3'C67 '4itch und einen C3'C67 Router. Es bietet sich auch Hard4are anderer -irmen an5 Hedoch arbeiten 4ir in diesem Proto0oll mit den #e$ehlen $%r C3'C67(Aerte. Versuchsbeschreibung Drei PCs sollen He4eils Net.teilnehmer /on drei getrennten VLANs 4erden und mit Hil$e /on DHCP d@namisch Host(Adressen .uge4iesen be0ommen. Die drei PCs sind He4eils mit einem 3nter$ace an einem '4itch /erbunden. Der '4itch ist dann noch .ust.lich mit einem Router /erbunden.

Abb. 1| Versuchsaufbau

Den Versuch unterteilen 4ir in .4ei Ein.el/ersuche. 3m ersten ;eil 0on$igurieren 4ir die drei VLANs und geben den drei PCs statische Host(Adressen5 um die VLAN *on$iguration .u %ber:r%$en. 3m .4eiten ;eil 0on$igurieren 4ir das DHCP.

&

Noshaba Cheema und Roland Jger

VLANs und DHCP

-%r das Einrichten der VLANs muss .uerst der '4itch 0on$iguriert 4erden. "an /er4endet da$%r die drei 3nter$aces des '4itches 8 die mit den PCs /erbunden sind 8 um den Daten/er0ehr /on den drei VLANs .u trennen. Ein 4eiteres 3nter$ace des '4itches /er4endet man als =;run0 Port>. An diesem 3nter$ace 4ird die Verbindung mit dem Router hergestellt. Durch den entstandenen VLAN(;run0 lau$en die DatenstrEme der drei VLANs5 die ;rennung der Daten5 4ird /om '4itch %bernommen. B!D Nun 0on$iguriert man das 3nter$ace am Router5 das am VLAN(;run0 angeschlossen ist. "an unterteilt dieses in /erschiedene 'ubinter$aces. Jedes VLAN be0ommt sein eigenes 'ubinter$ace am Router. Die 'ubinter$aces be0ommen als 3P(Adresse He4eils eine Host(Adresse /on dem He4eiligen VLAN5 dem sie angehEren. Fum 'chluss be0ommen die PCs5 .um ;esten der *on$iguration5 eine statische 3P(Adresse ihres VLANs. B!D 3m Anschluss 4ird $%r Hedes VLAN au$ dem Router ein DHCP(Pool 0on$iguriert. Die ersten .ehn Host(Adressen der DHCP(Pools 4erden /on der Adress/ergabe ausgeschlossen5 um .u ge4hrleisten5 dass $%r 4ichtige Aerte eine 3P(Adresse .ur Ver$%gung steht. Nach diesen *on$igurationen m%ssen die statischen 3P(Adressen /on den PCs nicht mehr genut.t 4erden5 da sie den DHCP('er/er nut.en 0Ennen5 um eine 3P(Adresse .u erhalten.

Noshaba Cheema und Roland Jger

VLANs und DHCP

Ergebnisse mit #eschreibung und 'creen('hots


Vorbereitung #e/or man mit der *on$iguration am '4itch an$ngt5 %ber:r%$t man5 ob nicht schon /orher *on$igurationen durchge$%hrt 4orden sind. Dies sollte nicht der -all sein. 9m das bei einem C3'C67 '4itch .u testen5 gibt man $olgenden Code in das =Command Line 3nter$ace> <CL3? einK
Switch>enable Switch#show running-config

Das =enable> dient da.u5 um in den =Pri/ileged ELEC>("odus .u gelangen. 3n diesem "odus hat man mehr Rechte als im =9ser ELEC>("odus. Das M 0enn.eichnet den :ri/ilegierten "odus. B,,D Genn 0eine *on$igurationen durchge$%hrt 4urden5 sollte das CL3 unge$hr so aussehenK
no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch ! ! spanning-tree mode pvst ! interface FastEthernet0/ ! interface FastEthernet0/! !

us4 N ...
interface "lan no ip address shutdown ! ! line con 0 ! line vty 0 # login line vty $ $ login ! ! end

Noshaba Cheema und Roland Jger

VLANs und DHCP

Dasselbe testet man auch am 3nter$ace /om Router5 an dem man den VLAN(;run0 anschlieOt. 3n unserem -all benut.en 4ir das -astEthernetJPJ 3nter$ace. #ei einem C3'C67 Router $un0tionieren dieselben #e$ehle 4ie oben. Es 0ann sein5 dass noch .ust.lich nach einem Pass4ort ge$ragt 4irdK
%outer&'()> enable *assword+ %outer#show running-config ,uilding configuration--.urrent configuration + /00 bytes ! version !-# no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname %outer&'() ! ! ! enable secret $ 1 1mE%r10c2345E6)7ur8iF4-9e.i ! ! ! spanning-tree mode pvst ! ! interface FastEthernet0/0 no ip address duple: auto speed auto shutdown !

Nach der Qber:r%$ung /on '4itch und Router $angen 4ir mit der *on$iguration des '4itches an.

Noshaba Cheema und Roland Jger

VLANs und DHCP

VLAN(*on$iguration Die drei PCs 4erden He4eils Clients in einem der drei VLANs. Da.u erstellen 4ir VLAN ,J5 2J und J au$ dem '4itch. Die Nummern J und !J+& sind reser/iert und d%r$en nicht /er4endet 4erden. VLAN , 4ird automatisch erstellt und 0ann /er4endet 4erden 8 aber nicht gelEscht 4erden. VLAN ,JJ2(,JJ& sind $%r -DD3 ! und ;o0en Ring reser/iert. Auch diese 4erden automatisch erstellt und 0Ennen nicht gelEscht 4erden B,D. VLAN , bis ,JJ& sind normale VLANs. Er4eitete VLANs haben die Nummern ,JJC 8 !J+! B!D. Die VLANs ,JJC und ,J2! sind dabei eben$alls reser/iert B,D. Er4eiterte VLANs haben 4eniger -un0tionen als normale VLANs und $inden ihre Ver4endung meist in grEOeren 9nternehmen B!D.
Switch#configure terminal Switch;config<#vlan 0 Switch;config-vlan<#e:it Switch;config<#vlan !0 Switch;config-vlan<#e:it Switch;config<#vlan =0 Switch;config-vlan<#e:it Switch;config<#

-astEthernetJP, au$ dem '4itch soll nun Fugang .um VLAN ,J haben5 -astEthernetJP2 .um VLAN 2J und -astEthernetJP ;run0(PortK
Switch;config<#interface fa0/ Switch;config-if<#switchport access vlan 0 Switch;config-if<#e:it Switch;config<#interface fa0/! Switch;config-if<#switchport access vlan !0 Switch;config-if<#e:it Switch;config<#interface fa0/= Switch;config-if<#switchport access vlan =0 Switch;config-if<#e:it Switch;config<#interface fa0/!# Switch;config-if<#switchport mode trun> Switch;config-if<#e:it Switch;config<#

.um VLAN

J. -astEthernetJP2! 0on$igurieren 4ir als

-DD3 8 -iber Distributed Data 3nter$ace5 umgangss:rachlich auch Licht4ellenleiter("etro Ring

Noshaba Cheema und Roland Jger

VLANs und DHCP

Als nchstes 0on$igurieren 4ir das 3nter$ace am Router5 das den Anschluss am VLAN(;run0 hat. Gir a0ti/ieren dieses 8 ohne eine Host(Adresse ein.utragen 8 und 0on$igurieren drei 'ubinter$aces mit einer Host(Adresse aus dem VLAN5 mit dem sie =/erbunden> sein sollen. Als Daten0a:selung $%r die 'ubinter$aces 4ird dot,1 angegeben5 4as eine Ab0%r.ung $%r den 3EEE& IJ2.,1 VLAN('tandard ist. Dieser beschreibt5 dass das neue Ethernet(Header -ormat einen VLAN(;ag enthlt 8 dieser ist im IJ2.,1 'tandard ! #@tes groO B,JD. 'ubinter$ace -astEthernetJPJ.,J soll .um VLAN ,J /er4eisen5 -astEthernetJPJ.2J .um VLAN 2J und -astEthernetJPJ. J .um VLAN JK
%outer&'()#configure terminal Enter configuration commands? one per line%outer&'();config<#interface fa0/0 %outer&'();config-if<#no shutdown End with .)2'/9-

@'5)A-$-.B()7EC+ 5nterface FastEthernet0/0? changed state to up @'5)E*%D2D-$-4*CDE)+ 'ine protocol on 5nterface FastEthernet0/0? changed state to up %outer&'();config-if<#e:it %outer&'();config<#interface fa0/0- 0 %outer&'();config-subif<# @'5)A-$-.B()7EC+ 5nterface FastEthernet0/0- 0? changed state to up @'5)E*%D2D-$-4*CDE)+ 'ine protocol on 5nterface FastEthernet0/0- 0? state to up %outer&'();config-subif<#encapsulation dot 8 0 %outer&'();config-subif<#ip address 0!- /F- 0- !$$-!$$-!$$-0 %outer&'();config-subif<#e:it %outer&'();config<#interface fa0/0-!0 @'5)A-$-.B()7EC+ 5nterface FastEthernet0/0-!0? changed state to up %outer&'();config-subif<# @'5)E*%D2D-$-4*CDE)+ 'ine protocol on 5nterface FastEthernet0/0-!0? state to up %outer&'();config-subif<#encapsulation dot 8 !0 %outer&'();config-subif<#ip address 0!- /F-!0- !$$-!$$-!$$-0 %outer&'();config-subif<#e:it %outer&'();config<#interface fa0/0-=0 %outer&'();config-subif<# @'5)A-$-.B()7EC+ 5nterface FastEthernet0/0-=0? changed state to up @'5)E*%D2D-$-4*CDE)+ state to up 'ine protocol on 5nterface FastEthernet0/0-=0? changed changed

changed

%outer&'();config-subif<#encapsulation dot 8 =0 %outer&'();config-subif<#ip address 0!- /F-=0%outer&'();config-subif<#e:it %outer&'();config<#

!$$-!$$-!$$-0

&

3EEE 8 3nstitute o$ Electrical and Electronics Engineers

,J

Noshaba Cheema und Roland Jger

VLANs und DHCP

Genn 'ie mit dem C3'C67 Pac0et ;racer arbeiten5 sollte ihr #ild nun so aussehen5 durch das Anschalten des -astEthernetJPJ am RouterK

Abb. 2| Konfigurierte VLANs

Fum ;esten5 ob die VLANs $un0tionieren geben 4ir den PCs nun statische 3P(Adressen. PC,K 3P(Adresse ,+2.,CI.,J.,,P2! und ,+2.,CI.,J., als 'tandardgate4a@. PC2K 3P(Adresse ,+2.,CI.2J.,,P2! und ,+2.,CI.2J., als 'tandardgate4a@. PC K 3P(Adresse ,+2.,CI. J.,,P2! und ,+2.,CI. J., als 'tandardgate4a@. Als DN' <=Domain Name 'er/ice>?C dient bei allen PCs die 3P(Adresse 2J!.2J!.). . Genn man nun einen Ping /on einem PC .um anderen sendet5 sollte dieser durch den Router(on(a('tic0 er$olgreich sein. Dieser ermEglicht 3nter(VLAN(Ver0ehr durch =La@er( (-or4arding)> BCD. Routing $indet au$ der 'chicht "ultila@er('4itching5 4as durch die 3ntegration im 3'6P6'3(Re$eren.modell statt /on La@er(2('4itching und

und '4itching au$ 'chicht 2 B,JD. Eine modernere LEsung .um 3nter(VLAN(Ver0ehr ist das La@er( ('4itching mEglich 4urde BCD.

C )

DN' 8 lEst 9RL(Adressnamen in 3P(Adressen au$5 beis:iels4eise 4enn man eine 3nternetseite au$ru$t Pac0et -or4arding 8 Versenden /on Pa0eten

,,

Noshaba Cheema und Roland Jger

VLANs und DHCP

DHCP(*on$iguration #ei der *on$iguration des DHCP('er/ers5 4ird $%r Hedes 'ubinter$ace ein DHCP(Pool erstellt 8 aus diesen Pools /ergibt der Router automatisch 3P(Adressen. B2D
%outer&'();config<#ip dhcp pool vlan 0 %outer&'();dhcp-config<#networ> 0!- /F- 0-0 !$$-!$$-!$$-0 %outer&'();dhcp-config<#dns-server !0#-!0#-G-= %outer&'();dhcp-config<#default-router 0!- /F- 0%outer&'();dhcp-config<#e:it %outer&'();config<#ip dhcp pool vlan!0 %outer&'();dhcp-config<#networ> 0!- /F-!0-0 !$$-!$$-!$$-0 %outer&'();dhcp-config<#dns-server !0#-!0#-G-= %outer&'();dhcp-config<#default-router 0!- /F-!0%outer&'();dhcp-config<#e:it %outer&'();config<#ip dhcp pool vlan=0 %outer&'();dhcp-config<#networ> 0!- /F-=0-0 !$$-!$$-!$$-0 %outer&'();dhcp-config<#dns-server !0#-!0#-G-= %outer&'();dhcp-config<#default-router 0!- /F-=0%outer&'();dhcp-config<#e:it %outer&'();config<#

Nun schlieOen 4ir die ersten .ehn Host(Adressen aus Hedem der drei Pools5 der Adress/ergabe aus5 um diese 3P(Adressen $%r 4ichtige Aerte $rei.ulassen.
%outer&'();config<#ip dhcp e:cluded-address %outer&'();config<#ip dhcp e:cluded-address %outer&'();config<#ip dhcp e:cluded-address %outer&'();config<# 0!- /F- 00!- /F-!00!- /F-=00!- /F- 0- 0 0!- /F-!0- 0 0!- /F-=0- 0

Fum 'chluss 0on$igurieren 4ir die PCs so5 dass sie /on nun an ihre 3P(Adressen /on dem DHCP('er/er be.iehen.

,2

Noshaba Cheema und Roland Jger

VLANs und DHCP

-a.it
Durch die ;rennung der PCs5 b.4. durch die VLANs 4ird der #roadcast/er0ehr eingeschrn0t5 4as .u einer Leistungssteigerung B&D. Des 4eiteren 0Ennen nun $%r die ein.elnen 'ubinter$aces des Routers5 b.4. $%r die VLANs indi/iduelle ACLs erstellt 4erden5 die die 'icherheitsans:r%che Hedes Net.es gerecht 4erden 0Ennen B!D. Da smtlicher Daten/er0ehr %ber eine Verbindung mit dem Router lu$t5 muss man :r%$en ob eine Verbindung reicht5 um den Ans:ruch des Net.es gerecht .u 4erden. Der Vorteil /on einer Router(on(a('tic0 *on$iguration ist5 dass man nur bei diesem Router Einstellungen /ornehmen muss5 $alls sich die eRterne 3P(Adresse ndert B!D. Fudem ist die Er4eiterung des Net.es mithil$e des DHCP(Pools leichter .u handhaben5 da im 3nter$ace des '4itches nur $estgelegt 4erden muss5 .u 4elchem VLAN das neue Net.(Aert gehErt B2D. AuOerdem sen0en VLANs und DHCP *osten $%r 0om:li.ierte Gartungsarbeiten und Hard4are Anscha$$ungen B!D.

Noshaba Cheema und Roland Jger

VLANs und DHCP

Anhang
Abbildungs/er.eichnis Abb. ,S Versuchsau$bau Abb. 2S *on$igurierte VLANs & ,,

Ab0%r.ungs/er.eichnis CLI DHCP D)S DoS 0DDI I111 IP 2SI 'L() Command Line 3nter$ace D@namic Host Con$iguration Protocol Domain Name 'er/ice Denial o$ 'er/ice -iber Distributed Data 3nter$ace 3nstitute o$ Electrical and Electronics Engineers 3nternet Protocol 6:en '@stem 3nterconnection Virtual Local Area Net4or0

,!

Noshaba Cheema und Roland Jger

VLANs und DHCP

Literatur( und 1uellen/er.eichnis


Literatur2uellen B,D #ARNE'5 D.5 #. 'AR*ANDER <2JJ&?K Cisco LAN '4itching -undamentals 3ndiana:olisK Cisco Press. B2D EC*ER;5 C. <2JJC!?K 3;('icherheit 8 *on.e:te5 Ver$ahren5 Proto0olle "%nchenK 6ldenbourg Gissenscha$ts/erlag. B D *9R6'E5 J. -.5 *. G. R6'' <2JJI!?K Com:uternet.4er0e 8 Der ;o:(Do4n(Ansat. "%nchenK Pearson 'tudium. B!D LEG3'5 G. <2JJ+?K LAN('4itching und Gireless 8 CCNA ER:loration Com:anion Auide "%nchenK Addison(Gesle@ Verlag. B&D PLE;NER5 J.5 '. GENDFEL <2JJ)2?K PraRisbuch 8 Net.4er0('icherheit #onnK Aalileo Press. BCD 'CHERR-5 J. <2J,J2?K Arund0urs5 Com:uternet.4er0e 8 Eine 0om:a0te Ein$%hrung in Net.4er0( und 3nternet(;echnologien GiesbadenK Vie4egT;eubner Verlag. B)D 'CHRE3NER5 R. <2JJ+ ?K Com:uternet.4er0e 8 /on den Arundlagen .ur -un0tion und An4endung "%nchenK Carl Hanser Verlag. BID '6'3N'*U5 #. <2JJ+?K Net4or0ing #ible 3ndiana:olis5 3ndianaK Gile@ Publishing5 3nc. B+D ';ALL3NA'5 G. <2JJ,?K 'icherheit im 3nternet 8 An4endungen und 'tandards "%nchenK Addison(Gesle@. B,JD ;ANEN#A9"5 A. '. <2JJ !?K Com:uternet.4er0e "%nchenK Pearson 'tudium. 3nternet2uellen B,,D *E""ER3CH5 ;. <2J, ?K htt:KPP444(rn.in$ormati0.uni(bremen.deP0emmerPLehreP Rechnernet.ePRN(LabsPRechnernet.eVLab.::tR.:d$ Fugri$$K 2J.,J.2J, .

,&