-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathVorbereitung.tex
216 lines (174 loc) · 19 KB
/
Vorbereitung.tex
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
\section{Vorbereitung}
\subsection{Begriffserklärung}
\subsubsection{Switch-Stacking}
Switch-Stacking ist ein wichtiges Merkmal von Netzwerk-Switches.
Diese Switches können miteinander verbunden werden, um als
logische Einheit zu fungieren. Durch das Zusammenschalten weiterer Switche, wird die Netzwerkkapazität
dank der höheren Anzahl verfügbarer Ports, besserer Ausfallsicherheit und der Möglichkeit
Link-Aggregation zu betreiben, erheblich erhöht.
Switch-Stacking wird nur von stapelbaren Switches unterstützt. \\\\
Switches in einem Stack können mittels DAC-Kabeln, optischen Transceiver oder Stacking-Kabeln verbunden werden.
Es gibt einen Stack-Master, der das Zentrum des Stack-Systems ist und die Konfigurationsdaten verwaltet.
Die anderen Switches im Stack werden als Stack-Slaves bezeichnet.
Der Stack-Master kann von Benutzern verwaltet werden, und falls er ausfällt, wird ein neuer Master-Switch unter den Slaves ausgewählt.\\\\
Zusammenfassend lassen sich folgende Vorteile von Switch-Stacking erschließen:
\begin{itemize}
\item Verbesserung der Zuverlässigkeit und Flexibilität des Netzwerkes
\item Erhöhung der Bandbreite und Vereinfachung der Vernetzung
\item hohe Skalierbarkeit des Netzwerkes
\end{itemize}
\subsubsection{Switchkaskadierung}
Kaskadierung ist die traditionelle Methode zum Verbinden mehrerer Ethernet-Switches
und umfasst verschiedene Methoden für unterschiedliche Netzwerktopologien.\\
Durch die Verknüpfung mehrerer Switches können Benutzer mehrere Ports haben,
die jeden Switch miteinander verbinden, unabhängig voneinander konfiguriert
und als Gruppe verwaltet werden können.
In einem Kaskaden-Switch-Netzwerk sind Daisy-Chain-Topologie und
Sterntopologie zwei gängige Methoden.
\subsubsection{Spanning-Tree-Verfahren}
Der Spanning-Tree-Algorithmus führt eine Reihe von Schritten aus,
um sicherzustellen, dass die Topologie schleifenfrei ist und das Ethernet ordnungsgemäß funktioniert:\\
\begin{enumerate}
\item Root-Bridge-Auswahl – Zuerst wählt STP eine Root-Bridge aus. Dies ist der wichtigste Schalter in der Topologie. Es ist die Wurzel des azyklischen Baums.
\item Schleifentopologie-Erkennung – Sobald die Root-Bridge ausgewählt ist, beginnt sie mit dem Senden von Spanning-Tree-Nachrichten (BPDUs). Der Switch verwendet diese Nachrichten, um den Teil der Topologie zu finden, der die Schleife enthält.
\item Bestimmen der Port-Rollen – Nach dem Bestimmen des Loop-Teils der Topologie platziert jeder Switch so viele Switch-Ports wie nötig, um sicherzustellen, dass die Topologie schleifenfrei ist.
\item Dropout – Switches tauschen weiterhin Nachrichten aus, um die Verfügbarkeit von Links und Nachbarkontakten zu verfolgen. Wenn die Verbindung oder der Switch ausfällt, führt der Switch die Schritte 2 und 3 erneut aus, um sicherzustellen, dass die neue Topologie schleifenfrei ist.
\end{enumerate}
\subsubsection{Auto-Negoatiation}
Auto-Negotiation ist eine Funktion, die es zwei Netzwerken mit unterschiedlichen Geschwindigkeiten
ermöglicht, zu kommunizieren und sich an eine Geschwindigkeit anpasst,
die für beide Netzwerke geeignet ist.
Beispielsweise verfügt ein Switch über einen 1-Gbit/s-Port (Gigabit-Ethernet),
der mit einem 100-Mbit/s-Port (Fast Ethernet) an einem anderen Switch verbunden ist.
Die Portgeschwindigkeiten an beiden Enden müssen gleich sein, um eine Verbindung herzustellen.
Das Autonegotiation-Protokoll teilt Baudrate, Duplexmodusstatus und Flusssteuerungsinformationen zwischen zwei Ports.
Sobald der Port die obigen Parameterinformationen empfangen hat,
passt er seinen Pegel entsprechend den Fähigkeiten des Peer-Ports an.
\subsubsection{AutoUplink(MDI/MDI-X)}
Ein Ethernet-Netzwerkport (z. B. an einem Switch) verwendet die automatische Uplink-Funktion, um zu erkennen,
an welchen Switch er senden und empfangen (MDI/MDIX) soll.
Mit der automatischen Uplink-Funktion können sowohl Crossover-Kabel
als auch 1:1-Netzwerkkabel verwendet werden.
\subsubsection{Link Aggregation/ Port Trunking}
Link Aggregation ist eine Methode zur Zusammenfassung mehrerer Netzwerkverbindungen
zu einer logischen Verbindung. Clustering erhöht den Datendurchsatz und reduziert Fehler.
Standardisiert ist das Verfahren im IEEE-Standard 802.1AX, der 2008 den älteren Standard
802.3ad ablöste. Neben diesen Standards gibt es auch herstellerspezifische Implementierungen.
\begin{quote}
``Port Trunking ist das Zusammenfassung der Verbindungen mehrerer physischer Ports zu einer
logischen Verbindung höherer Bandbreite.`` \cite*{portTrunking}
\end{quote}
Eine Trunk-Leitung kombiniert logisch oder physisch mehrere Kommunikationsverbindungen oder -kanäle zu
einer einzigen Leitung oder logischen Verbindung. Diese angeschlossenen Leitungen werden in
vielen verschiedenen Bereichen der Netzwerk- und Kommunikationstechnik, wie beispielsweise
Switches, Telefonanlagen oder anderen Netzwerkkomponenten eingesetzt.
\subsubsection{Vollduplex-Betrieb}
In der Kommunikationstechnik bezeichnet Duplex (Vollduplex), Halbduplex oder Simplex die
Richtwirkung des Kommunikationskanals.
\begin{itemize}
\item Simplex (SX) ist ein Richtungsbetrieb. Das bedeutet, dass Informationen nur in eine bestimmte Richtung übertragen werden (nur Nachrichten senden oder empfangen), z.B. Radio, TV oder Pager
\item Halbduplex (HX), ist ein Zwei-Wege-Betrieb. Informationen können in beide Richtungen fließen, aber nicht gleichzeitig, z.B. Funkamateur
\item Vollduplex (DX, manchmal FDX) ist ein synchroner Betrieb. Dadurch können Informationen gleichzeitig in beide Richtungen übertragen werden, z.B. Telefon
\end{itemize}
\subsubsection{Mac-Adressenfilter}
Ein MAC-Filter (MAC-Adressfilter) ist ein Netzwerkzugriffsschutz,
der nur Geräten mit bestimmten MAC-Adressen den Zugriff auf das Netzwerk
ermöglicht. MAC-Filter werden üblicherweise im LAN oder WLAN verwendet und
sind als Tabelle im Router (Firewall) hinterlegt. Aus Sicherheitsgründen ist
der MAC-Filter jedoch ein schwacher Zugriffsschutz, da er leicht umgangen werden kann.
\subsection{Netzwerktrennung}
\subsubsection{VLAN}
Die Virtual LAN (VLAN)-Technologie ermöglicht es Netzwerkadministratoren,
die logische Netzwerkkonnektivität von der physischen Konnektivität zu trennen.
Dieses Konzept unterscheidet sich von einem herkömmlichen LAN insofern, als ein LAN
durch seine physische Konnektivität begrenzt ist. Alle Benutzer in einem LAN gehören
zu einer einzigen Broadcast-Domäne1 und können auf der Datenverbindungsschicht oder
"Schicht 2" miteinander kommunizieren. Netzwerkmanager haben LANs verwendet, um ein
komplexes Netzwerk in kleinere Einheiten aufzuteilen, um es besser verwalten zu können
und die Leistung und Sicherheit zu verbessern. Zum Beispiel verwenden Netzwerkmanager
ein LAN für jedes IP-Subnetz in ihrem Netzwerk. Die Kommunikation zwischen den Subnetzen
wird auf der Netzwerkschicht oder "Schicht 3" durch IP-Router ermöglicht.\\
Ein VLAN kann man sich als ein einziges physisches Netzwerk vorstellen, das logisch in
einzelne LANs unterteilt werden kann, die unabhängig voneinander arbeiten können.
\begin{figure}[ht]
\centering
\includegraphics{images/VLAN.png}
\caption{Verwenden von VLANs zum Erstellen unabhängiger Broadcast-Domänen über Switches hinweg}
\end{figure}
Abbildung 1 verdeutlicht einige wesentliche Unterschiede zwischen herkömmlichen LANs und VLANs.
\begin{itemize}
\item Alle Switches sind miteinander verbunden. Es gibt jedoch drei verschiedene VLANs oder Broadcast-Domänen im Netz. Eine physische Isolierung ist für die Definition von Broadcast-Domänen nicht erforderlich. Wenn Abbildung 1 ein herkömmliches LAN ohne VLAN-fähige Switches wäre, würden alle Stationen zu einer Broadcast-Domäne gehören.
\item Alle Switch-Ports können auf der Datenübertragungsschicht miteinander kommunizieren, wenn sie Mitglieder desselben VLAN werden.
\item Der physische Standort einer Endstation definiert nicht ihre LAN-Grenze.
\begin{itemize}
\item Eine Endstation kann physisch von einem Switch-Port zu einem anderen verschoben werden, ohne ihre "Sicht auf das Netzwerk" zu verlieren. Das heißt, die Menge der Stationen, mit denen sie auf der Datenübertragungsschicht kommunizieren kann, bleibt dieselbe, vorausgesetzt, dass ihre VLAN-Mitgliedschaft ebenfalls von Port zu Port migriert wird.
\item Durch die Neukonfiguration der VLAN-Mitgliedschaft des Switch-Ports, an den eine Endstation angeschlossen ist, können Sie die Netzwerkansicht der Endstation einfach ändern, ohne dass ein physischer Wechsel von Port zu Port erforderlich ist.
\end{itemize}
\end{itemize}
\subsubsection{Vorteile von VLAN}
Zu den wichtigsten Vorteilen der Verwendung von VLANs gehören die folgenden:
\begin{itemize}
\item Bandbreitenerhalt: Ein gut konzipiertes VLAN trägt dazu bei, den Broadcast- und Multicast-Verkehr auf die Stationen zu beschränken, die den mit diesem VLAN verbundenen Verkehr hören und darauf reagieren. Die Netzwerk- und Computerressourcen von nicht teilnehmenden Stationen werden nicht beeinträchtigt, wodurch die Leistung verbessert wird.
\item Verwaltbarkeit: Umzüge, Hinzufügungen und Änderungen der Netzwerktopologie erfordern keine physischen Änderungen der Netzwerktopologie. Die Mobilität der Benutzer ist aufgrund der dynamischen Natur von VLANs viel einfacher. Physikalisch verteilte Arbeitsgruppen können logisch innerhalb derselben Broadcast-Domäne verbunden werden, so dass es so aussieht, als befänden sie sich im selben physischen LAN. Eine einzige physische Verbindung kann gleichzeitig mehrere IP-Subnetze bedienen, wenn subnetzbasierte VLANs auf dieser Verbindung konfiguriert sind. Endstationen, die VLANs verwenden, können lokal rudimentäre Class of Service (CoS) anbieten, indem sie dem Datenverkehr für bestimmte Aktivitäten Priorität einräumen.
\item Verbesserte Sicherheit: Sie können verschiedene Sicherheitsdomänen einrichten, um verschiedene Sicherheitsstufen im Netzwerk bereitzustellen, da das Netzwerkdesign flexibler ist als das von herkömmlichen LANs. Da Frames nur dann an einen Zielport weitergeleitet werden, wenn der Port zum selben VLAN wie der Frame gehört, tragen VLANs dazu bei, die Isolierung des Datenverkehrs zu erzwingen, und bieten so eine zusätzliche Sicherheitsebene im Netzwerk.
\end{itemize}
\subsubsection{VLAN-fähige Switches sind der Schlüssel}
Um ein VLAN in Ihrem Netzwerk zu implementieren, müssen Sie VLAN-fähige Switches verwenden. In diesem Abschnitt wird beschrieben, wie sich VLAN-fähige Switches von herkömmlichen Switches unterscheiden.
Um zu verstehen, wie die logische Partitionierung einer LAN-Infrastruktur mit Hilfe von VLAN erfolgt, ist es hilfreich, sich an die grundlegende Funktionsweise eines herkömmlichen Switch-LANs zu erinnern.
Ohne auf die Details des Switch-Designs einzugehen, sollten Sie sich die folgenden zwei Regeln für die Funktionsweise eines herkömmlichen LAN-Switches merken:
\begin{enumerate}
\item Wenn der Switch einen Broadcast- oder Multicast-Frame von einem Anschluss empfängt, sendet er den Frame an alle anderen Anschlüsse des Switches.
\item Wenn der Switch einen Unicast-Frame empfängt, leitet er ihn nur an den Port weiter, an den er adressiert ist.
\end{enumerate}
Ein VLAN-fähiger Switch ändert die beiden oben genannten Regeln wie folgt:
\begin{enumerate}
\item Wenn der Switch einen Broadcast- oder Multicast-Frame von einem Port empfängt, leitet er den Frame nur an die Ports weiter, die demselben VLAN angehören wie der Frame.
\item Wenn ein Switch einen Unicast-Frame empfängt, leitet er ihn nur dann an den Port weiter, an den er adressiert ist, wenn dieser Port zum selben VLAN gehört wie der Frame.
\item Eine eindeutige Nummer, die VLAN-ID, identifiziert jedes VLAN2. Es handelt sich um ein 12-Bit-Feld im VLAN-Tag. Sie können theoretisch bis zu 4095 diskrete VLANs in Ihrem Netzwerk haben.
\end{enumerate}
\subsubsection{Zu welchem VLAN gehört ein Frame?}
Im vorigen Abschnitt wurde festgestellt, dass ein Frame zu einem VLAN gehören kann. Die nächste Frage lautet: Wie wird diese Zuordnung vorgenommen?
\begin{itemize}
\item Ein VLAN-fähiger Switch kann die Zuordnung auf der Grundlage verschiedener Attribute des Rahmens (wie Ethernet- und IP-Header-Inhalt) vornehmen. Zu den Attributen gehören beispielsweise die MAC-Zieladresse, die IP-Adresse, der TCP-Port, das Protokoll der Netzwerkschicht usw.
\item Attribute wie "der Switch-Port, an dem der Frame angekommen ist" können ebenfalls verwendet werden. In diesem Fall ordnet der Switch allen Frames, die an einem bestimmten Port ankommen, implizit eine VLAN-ID zu.
\item Ein Frame kann explizite VLAN-Informationen in einem Tag enthalten, das dem Ethernet-Header hinzugefügt wird (explizites VLAN-Tagging).
\end{itemize}
\subsubsection{Wie funktioniert ein VLAN-fähiger Switch?}
VLAN-fähige Switches können so konfiguriert werden, dass sie Ports zu einer VLAN-Gruppe oder zu Gruppen hinzufügen. Diese Switches führen zwei einfache, zusammenhängende Tabellen:
\begin{itemize}
\item eine Liste der Ports, die zu jedem auf dem Switch aktivierten VLAN gehören
\item die Menge der VLANs, die an jedem Port aktiviert sind
\end{itemize}
Es gibt mehrere Varianten von VLAN-fähigen Switches:
\begin{itemize}
\item Die einfachsten dieser Switches unterstützen portbasierte VLANs. In einem portbasierten VLAN bestimmt der Switch-Port, an dem der Frame angekommen ist, die VLAN-Mitgliedschaft des Frames. Diese Switches können nicht mehr als ein VLAN pro Switch-Port unterstützen, es sei denn, sie unterstützen VLAN-Tagging, das in den folgenden Abschnitten erläutert wird. Ein einfaches portbasiertes VLAN, das VLAN-Tagging unterstützt, ist alles, was Sie zur Implementierung eines VLANs in einer HP-UX-Umgebung benötigen.
\item Anspruchsvollere Switch-Angebote ermöglichen die Konfiguration von VLAN- Zugehörigkeitsregeln auf der Grundlage des Frame-Inhalts, wie MAC-Adresse, TCP/UDP-Port, IP- Adresse und so weiter. Dies kann die Switch-Leistung beeinträchtigen.
\item VLAN-fähige Layer-3-Switches (oder Routing-Switches) übernehmen zusätzlich zur VLAN-Klassifizierung die Funktion der Schicht 3 (z. B. IP-Routing).
\end{itemize}
Im Hinblick auf andere Netzwerkgeräte ist Folgendes zu beachten:
\begin{itemize}
\item Eine Endstation kann so konfiguriert werden, dass sie zu mehr als einem VLAN gehört.
\item Geräte mit gemeinsam genutzter Bandbreite, wie z. B. Hubs, können nicht VLAN-kompatibel sein, obwohl sie in eine VLAN-Umgebung eingebunden werden können. Wenn ein Hub in einer VLAN-Umgebung verwendet wird, müssen alle Knoten an diesem Hub zum selben VLAN oder Satz von VLANs gehören, wodurch die Vorteile von VLANs eingeschränkt werden.
\item Ein weit verbreiteter Irrglaube ist, dass Switching das Routing im Netzwerk ersetzen kann, weil sich mehrere IP-Subnetze eine einzige Switching-Infrastruktur mit VLANs teilen können. Denken Sie daran, dass VLAN eine reine Data Link Layer (Layer 2) Technologie ist. Es müssen immer Router für die Kommunikation zwischen IP-Subnetzen verwendet werden, auch in einem VLAN. Wird ein VLAN-fähiger Layer-3-Switch (Routing-Switch) verwendet, benötigt man keinen separaten Router, da die VLAN-fähigen Routing-Switches sowohl die Layer-2- als auch die Layer-3-Funktionen beinhalten.
\end{itemize}
\subsubsection{VLAN-Tagging}
Wie bereits erwähnt, kann man die VLAN-Funktionalität durch explizites Frame-Tagging
durch Switches und Endstationen implementieren. Netzwerk-Switches und -Endstationen, die
über VLANs Bescheid wissen, werden als VLAN-bewusst bezeichnet. Netzwerk-Switches und -Endstationen, die VLAN-Tags interpretieren können, werden als VLAN-Tag-fähig bezeichnet. VLAN-Tag-fähige Switches und Endstationen fügen VLAN-Tags zu Standard-Ethernet-Frames hinzu - ein Prozess, der explizites Tagging genannt wird. Beim expliziten Tagging bestimmt die Endstation oder der Switch die VLAN-Zugehörigkeit eines Frames und fügt ein VLAN-Tag in den Frame-Header ein (siehe Abbildung 2), so dass nachgelagerte Link-Partner nur das Tag untersuchen können, um die VLAN-Zugehörigkeit zu bestimmen.
Das Tagging hat mehrere Vorteile: Die VLAN-Zuordnung muss nur einmal an einer Endstation oder an einem Edge-Switch vorgenommen werden, so dass die nachgeschalteten Switches auf dem gesamten Weg zum Ziel von der Klassifizierung der Frames entlastet werden. Das Tagging an Endstationen ist besonders vorteilhaft, da der Overhead der Rahmenklassifizierung verteilt wird.
\subsubsection{Normen und Interoperabilität}
IEEE 802.1Q spezifiziert die Architektur für VLAN-Tagging - Tag-Format, Tag-Einfügung und Tag-Stripping. Das IEEE 802.1Q-Tag enthält auch eine Bestimmung für die Prioritätskodierung. Das 3-Bit-Prioritätsfeld im getaggten Frame enthält Prioritätsinformationen. IEEE 802.1p (später in IEEE 802.1D aufgenommen) hat diese Prioritätscodierung standardisiert.
\subsubsection{VLAN-Trunking}
Switches, die nur portbasiertes VLAN implementieren, können nur ein VLAN pro Port unterstützen. Wenn sie jedoch Tag-fähig sind (auch Q-kompatibel genannt), können sie mehrere VLANs pro Port unterstützen - ein nicht getaggtes VLAN und mehrere getaggte VLANs. Wenn ein Frame kein explizites VLAN-Tag hat, wird ihm automatisch die "untagged VLAN ID" oder die "default VLAN ID" zugewiesen. Ein eingehender Frame, der getaggt ist, hat seine VLAN-ID im Frame-Header. Einige Switch-Anbieter bezeichnen die Möglichkeit, mehrere getaggte Frames pro Anschluss zu verarbeiten, als VLAN-Trunking.
\newpage
\subsection{Übersicht des NETGEAR-Switches}
\begin{figure}[ht]
\centering
\includegraphics[scale=0.9]{images/netgear-switch-1.png}
\caption{NETGEAR-Switch Vorderansicht}
\end{figure}
\begin{figure}[ht]
\centering
\includegraphics[scale=0.9]{images/netgear-switch-2.png}
\caption{NETGEAR-Switch Rückansicht}
\end{figure}