2950 Cisco Router

Gewerbeschule Lrrach Gretherstrae 50 79539 Lrrach
Technikerarbeit
Ycel Oktay Manuel Dollinger
- 2005 -
Thema: Konfiguration von Netzwerkswitches fr portbasierende Authentifizierung und VLAN Zuweisung
Verfasser: Auftraggeber: Schule: Betreuer in der Schule: Zeitraum:
Ycel Oktay, Manuel Dollinger GWS Lrrach, Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler Gewerbeschule Lrrach (Fachschule fr Elektrotechnik) Dipl.-Ing. Michael Knaus September 2004 bis Mai 2005
Technikerarbeit Sommer 2005
Inhaltsverzeichnis
1.0.0 Vorwort..............................................................................................................4 2.0.0 Danksagung......................................................................................................5 3.0.0 Eidesstattliche Erklrung ................................................................................6 4.0.0 Einleitung ..........................................................................................................7 5.0.0 Projekt ...............................................................................................................8 5.1.0 Ziel des Projekts .............................................................................................8 5.2.0 Ziel der Technikerarbeit ..................................................................................9 5.2.1 Pflichtenheft ................................................................................................9 5.2.2 Bereitgestellte Hardware .............................................................................9 5.2.3 Zeitplan .....................................................................................................10 5.2.4 Verlauf der Technikerarbeit .......................................................................11 5.3.0 Switches im Netzwerk der GWS-Lrrach......................................................13 6.0.0 Funktionsweise eines VLANs........................................................................14 6.1.0 Realisierung von VLANs ...............................................................................14 6.1.1 Layer 1 VLAN ............................................................................................14 6.1.2 Layer 2 VLAN ............................................................................................15 6.1.3 Protokoll-basierendes VLAN .....................................................................16 6.1.4 Regel-basierendes VLAN..........................................................................16 6.2.0 Vorteile und Nachteile eines VLANs .............................................................16 6.2.1 Vorteile ......................................................................................................16 6.2.2 Nachteile ...................................................................................................17 7.0.0 VLAN Tagging (802.1Q Frame)......................................................................18 7.1.0 Funktionsweise VLAN Tagging.....................................................................18 7.1.1 Die Felder des 802.1Q/P...........................................................................19 8.0.0 Ethernet-Port-Trunking ..................................................................................20 9.0.0 TACACS+ & IEEE 802.1x................................................................................21 9.1.0 AAA - Begriffsdefinitionen .............................................................................21 9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung.......................................23 9.3.0 Sicherheit durch IEEE 802.1x .......................................................................23 9.4.0 TACACS+ berblick .....................................................................................24 9.4.1 Funktion von TACACS .............................................................................24 9.4.2 Fazit ..........................................................................................................25 Seite 2
Technikerarbeit Sommer 2005 10.0.0 Beschreibung der Hardware........................................................................27 10.1.0 Cisco Catalyst 2950 ....................................................................................27 10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950.........................29 10.2.0 HP Procurve 2524.......................................................................................30 10.2.1 Command Line Interface (CLI) des HP Procurve 2524 ...........................33 11.0.0 Zugriff auf die Konsolenebene eines Switches .........................................34 11.1.0 Lokaler Zugriff auf einen Switch..................................................................34 11.2.0 Fernzugriff auf einen Switch .......................................................................35 11.2.1 Zugriff ber das Intranet der GWS-Lrrach .............................................35 11.2.2 Zugriff ber das Internet ..........................................................................35 11.2.3 Login-Vorgang ber SSH-Server auf Minicom ........................................36 12.0.0 Firmwareupdate der Switches.....................................................................38 12.1.0 IOS-Update Cisco Catalyst 2950 ................................................................39 12.2.0 OS-Update HP Procurve 2524....................................................................43 13.0.0 Konfiguration der Switches.........................................................................45 13.1.0 Konfiguration des Cisco Catalyst 2950 .......................................................46 13.2.0 Konfiguration des HP Procurve 2524..........................................................51 14.0.0 Sicherheit im Netzwerk ................................................................................54 14.1.0 Netzwerkdiagnosesoftware.........................................................................54 14.1.1 Broadcom Advanched Control Suite 2 ....................................................54 14.1.2 Ethereal Network Protocol Analyzer.....................................................56 14.2.0 Sicherheitsprfungen der VLANs................................................................58 14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950 ...................................59 14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524 ......................................64 14.2.3 Fazit ........................................................................................................69 15.0.0 Schlusswort ..................................................................................................70 16.0.0 Abbildungsverzeichnis ................................................................................71 17.0.0 Anhang ..........................................................................................................74
Seite 3

Alles soll so einfach wie mglich gemacht werden, aber nicht einfacher
Albert Einstein
1.0.0 Vorwort
Der vermehrte Einsatz der Netzwerke auf smtlichen Gebieten des Lebens ist im Zeitalter der Informationstechnik berall zu beobachten. Obwohl die Geschichte der Netzwerktechnik keine lange Vergangenheit vorzuweissen hat, ist schneller Informationsaustausch im Alltag ohne Netzerwerke unvorstellbar geworden. Das Internet ohne Google ist genauso wenig vorstellbar wie das Leben heutzutage ohne Computer. Da ist die wichtige Frage angebracht, ob die Strecke der Daten, die sich von einem Punkt zu einem anderem bewegen, bzw. das Netz gegen unerwnschte Daten sicher ist? Kernstck dieser strmischen und immer noch nicht abgeschlossenen Entwicklung ist die Strukturierung der Netzwerke. Dieses Dokument, das durch eine anspruchsvolle Technikerarbeit zu Stande gekommen ist, beinhaltet unter anderem die Erklrung des VLAN (Virtual local area network) und erlutert die Begriffe IEEE 802.1x bzw. TACACS+. Darber hinaus eine Konfiguration der Switches HP Procurve 2524 bzw. Cisco Catalyst 2950 sowie eine portbasierende Benutzerauthentifizierung durch einen Free-RADIUS-Server. Schlielich befindet sich im Anhang eine leicht berschaubare Konfigurationsanleitung der oben genannten Switches. Es wurden einige frei erhltliche Software zur Hilfe genommen um die Aufgaben der Technikerarbeit zu bewltigen wie TeraTerm1, PuTTY2, 3CDaemon3, Broadcom Advanched Control Suite 24 und Ethereal mit WinPcap_3_05. Die notwendigen Einstellungen sowie die Bedienungsmglichkeiten dieser Software sind in diesem Dokument ebenfalls zu finden. Whrend der Ausarbeitung unserer Technikerarbeit in der Gewerbeschule Lrrach haben wir so viele neue und hochinteressante Dinge ber Netzwerktechnik erfahren, dass uns diese errungenen Erkenntnisse ebenfalls so stark faszinierten wie unsere Technikerarbeit selbst. Im brigen konnten wir bei unserem selbststndigen Arbeiten erfahren, wieviel Spa es macht, das Erlernte in ein Projekt umzusetzen. Ycel Oktay und Manuel Dollinger
______________________________ * 1 TeraTerm, HyperTerminal-Software, http://hp.vector.co.jp/authors/VA002416/teraterm.html * 2 PuTTY, Telnet/SSH Client, http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html * 3 3CDaemon, TFTP Server, http://support.3com.com/software/utilities_for_windows_32_bit.htm * 4 Broadcom NetXtreme Advanched Control Suite 2, http://www.broadcom.com/ * 5 Ethereal, http://www.ethereal.com/
Seite 4
2.0.0 Danksagung
Die vorliegende Technikerarbeit wurde in der Gewerbeschule Lrrach unter der Leitung von Fachlehrer Dipl.-Ing. Michael Knaus durchgefhrt. Ihm danken wir sehr herzlich fr das entgegengebrachte Vertrauen, uns mit dieser herausfordernden und interessanten Aufgabe zu beauftragen, und fr sein fortwhrendes Interesse am Fortgang des Projekts sowie fr die stndige Bereitschaft auch auerhalb der Schulzeiten. Bedanken mchten wir uns auch bei Dipl.-Ing. Werner Gempler fr seine Anregungen und aufmerksamen Beobachtungen. Wir bedanken uns ebenfalls bei der Gewebeschule Lrrach und bei allen Fachlehrern, die uns die flexible Benutzung der Schulrume fr dieses Projekt ermglicht haben. Selbstverstndlich bedanken wir uns auch bei unserem Kollegen Herrn Mark Wasmer fr die tolle Zusammenarbeit und gegenseitige Untersttzung, die fr das erfolgreiche Endergebnis des Gesamtprojektes erforderlich war. Auch Herrn Dr. Bocks danken wir fr das Korrekturlesen unserer Technikerarbeit und die, Zeit die er dafr aufgebracht hat. Zuletzt bedanken und beglckwnschen wir uns gegenseitig fr die gute und produktive Zusammenarbeit whrend der neun Monate an dieser anspruchsvollen Aufgabe.
Seite 5
3.0.0 Eidesstattliche Erklrung

Hiermit versichern wir, dass wir diese Technikerarbeit selbststndig erarbeitet und keine anderen als die angegebenen Hilfsmittel verwendet haben. Diese Versicherung gilt auch fr Zeichnungen, Skizzen und bildliche Darstellungen.
Lrrach, den 12.05.2005
Schopfheim, den 12.05.2004
_________________________ Ycel Oktay
_________________________ Manuel Dollinger
Seite 6
4.0.0 Einleitung
Diese Technikerarbeit wurde uns vom Kunden anvertraut, um einen Teil der noch bevorstehenden Erweiterungen und Modernisierung des Schulnetzes der GWS-Lrrach zu realisieren. In einer Schule wie dieser ist ein Netzwerk, das dem heutigen Entwicklungsstand entspricht, von groer Bedeutung. Die Aufgabenstellung an uns war es, ein VLAN Konzept zu entwickeln, das durch eine Benutzeridentifikation die Benutzergruppen wie Lehrer, Schler als auch Gste in die entsprechenden VLANs weiterleitet. Die Zuordnung, welche Benutzergruppe, in welches VLAN weitergeleitet werden soll, erfolgt durch eine dazu befugte Person. Dadurch erffnet sich nun die Mglichkeit, sich mit dem eigenen Notebook ber jeden VLAN-Port der Schule in das entsprechend zugewiesene VLAN zu authentifizieren. Bekommen Schler beispielsweise ein Zertifikat fr VLAN 4, werden sie nach VLAN 4 authentifiziert. All diese Schler mit dem gltigen Zertifikat fr VLAN 4 sind dann in einem seperaten Netz und knnen die anderen VLANs nicht erreichen, welches gerade dadurch fr Klassennetze ausgezeichnet geeignet wre. Personen, wie z.B. Lehrer, knnen auch Zertifikate fr mehrere VLANs besitzen, um in allen erforderlichen Netzen arbeiten zu knnen. Mchte sich ein nicht Berechtigter mit keinem bzw. ungltigem Zertifikat an einer Netzwerkdose verbinden, wird er nicht abgewiesen, sondern in ein sogenanntes Gast-VLAN weitergereicht. Dies ist vor allem von Vorteil, wenn z.B. ein Professor einmalig einen Vortrag in der Schule hlt, da er kein Zertifikat braucht, da freigegebenen Netzwerkresourcen wie z.B. Drucker und entsprechende Dateifreigaben die ber das Gast-VLAN zu erreichen sind. Sehr wichtig ist allerdings auch die Sicherheit und Zuverlssigkeit, dieses Systems um Missbrauch durch Manipulation zu vermeiden. Auch die zentrale Verwaltung dieser Dienste stellten einen wichtigen Punkt dar und musste bercksichtigt werden. Wegen des groen Umfangs dieses Projekts wurde es in zwei Technikerarbeiten aufgesplittet. Herr Wasmer beschftigte sich mit der Bereitstellung des AuthenticationServers, wobei wir die Konfiguration der Netzwerkgerte vornahmen. Das Ergebnis dieser beiden Technikerarbeiten sollte einen prototypischen Testaufbau ergeben und jeweils eine Installations-/ bzw. Konfigurationsanleitung umfassen, die auch einer externen Firma fr die Einrichtung bergeben werden kann.
Seite 7
5.0.0 Projekt
5.1.0 Ziel des Projekts
Lehrer, Gste und Schler sollen sich mit ihrem eigenem Notebook mit dem Schulnetz verbinden knnen und in ein separates VLAN zugeteilt werden. Eine Anmeldung fr den Zugang ist vorher zwingend erforderlich. Die VLAN Struktur muss zentral konfiguriert und verwaltet werden. Ein funktionstchtiger Aufbau eines Versuchssystems, bestehend aus mehreren Supplicants (Workstations), Authenticators (Switches) und einem AuthenticationServer, ist ebenfalls erforderlich. Hierfr werden als Authenticators die bereits in der Schule verwendeten HP Procurve-Serie und die Cisco Catalyst-Serie herangezogen. Aufgrund des groen Arbeitsumfanges des Projekts, die den Rahmen der Technikerarbeit sprengen wrde, wird der Authentication-Server (Free-RADIUS) durch die kooperierende Technikerarbeit von Herrn Mark Wasmer abgedeckt. Schlussendlich muss die Technikerarbeit eine Installations-/Konfigurations-Anleitung enthalten, die einer externen Firma zur Realisierung bergeben werden kann.
Abb. 1: VLAN Schema
Seite 8
5.2.0 Ziel der Technikerarbeit

5.2.1 Pflichtenheft
Durch die Aufgabenstellung im Rahmen des Projekts war klar vorgegeben, welche Manahmen ergriffen werden mussten. Hier ein kurze bersicht der Aufgaben: Vorhandener Gerte-Park der Switches in der GWS Lrrach aufnehmen Unterschiede zwischen TACACS+ und IEEE 802.1x erlernen und verstehen Cisco Catalyst 2950 und HP Procurve 2524 Switches auf Kommandozeile/Men bedienen Cisco Catalyst 2950 und HP Procurve 2524 Switches flashen Authenticator mit Authentication-Server verschalten Dynamische Zuordnung von Ports zu VLANs abhngig vom Authentication-Server und IEEE 802.1x mit berprfung und Demonstration der Funktionsfhigkeit Aufbau eines Versuchssystems TA-Dokument schreiben Konfigurationsanleitung schreiben
5.2.2 Bereitgestellte Hardware

Um dieses Projekt zu realisieren, wurde von Seiten der GWS Lrrach folgende Arbeitsmittel bereitgestellt: 1 Cisco Catalyst 2950 Switch (24 Port) 1 HP Procurve 2524 Switch (24 Port) Diverse Netzwerkkabel Konsolenkabel fr Switches Hub Authentication-Server Workstations
Seite 9
5.2.3 Zeitplan
Der vorgegebene Zeitrahmen der Technikerarbeit erstreckte sich von September 2004 bis zum 13.Mai 2005. Es wurde von uns eine Zielsetzung ausarbeitet, die wie folgt aufgelistet ist: Zielsetzung bis: KW50, 2004 KW5, 2005 Sammeln von Informationen Einarbeitung und Vertiefung der Erkenntnisse ber VLAN TACACS+ IEEE 802.1x KW7, 2005 Update der Switches Erlernen und vertiefen der Switches IOS und OS KW13, 2005 KW18, 2005 KW28, 2005 Praktischer Teil luft und Konzept fr die Dokumentation steht TA Dokument fertig TA Prsentation fertig
Der Verlauf des Zeitplans konnte nicht komplett in dieser Art und Weise beibehalten werden, da er sich teils durch unvorhersehbare Probleme in der Technikerarbeit und teils durch private Angelegenheiten verzgerte. Ebenfalls wurde der anschlieende Sicherheitstest zuvor zeitlich unterschtzt, da dieser in der Praxis umfangreicher als angenommen war und sich deshalb bis in die letzte Aprilwoche hineingezogen hat. Doch diese Defizite wurden von uns durch Aufopferung der Freizeit und durch besonderes Arrangement kompensiert, so dass wir das Projekt erfolgreich abschlieen konnten.
Seite 10
5.2.4 Verlauf der Technikerarbeit

Zu Beginn der Technikerarbeit freuten wir uns bereits auf diese Herausforderung, bei der wir schon im Vorhinein wussten, dass es viel Zeit und Kraft kosten wrde, dieses Thema so auszuarbeiten, dass es der Bedeutung Netzwerktechnik auch wirklich gerecht wird. Aber wir wussten, auch dass es das wert ist, da wir uns schon frher fr diesen Bereich interessierten. Zu Beginn erkundigten wir uns erst einmal allgemein ber die Themen der Netzwerktechnik wie VLAN, verschiedene Netzprotokolle und Routing & Switching, wo von wir uns des letzteren ein Buch des bhv-Verlages angeschafft haben. Wir beschftigten uns zu lange und zu ausgiebig mit dem Allgemeinen, bis wir sprichwrtlich den Wald vor lauter Bumen nicht mehr sahen -. Durch Rcksprache mit unserem Betreuer ist es uns gelungen, auf die konkrete Thematik einzugehen. Von dort an konnten wir uns auf das Wesentliche konzentrieren. Dabei tauchten einige Probleme auf, die mit der Aufteilung des Gesamtprojektes zusammenhing. Allerdings konnten wir diese durch die Kommunikation mit unserem Kollegen Herrn Wasmer bewltigen, der das Ziel, nmlich die Fertigstellung des Projekts, vor Augen hatte und dies mit uns verfolgte. Sehr hilfreich war hier auch das WikiSytem, mit dem ein einheitliches, unabhngiges und berall verfgbares Informationssystem geschaffen wurde. Diese Software ermglicht, gleichzeitige Bearbeitung und nderungen von Texten aller Teammitglieder von zu Hause aus durchzufhren.
Abb. 2: Wikipedia ______________________________ * 6 Wikipedia Enzyklopdie, http://de.wikipedia.org
Seite 11
Technikerarbeit Sommer 2005 Auerdem wurde fr die kommunikative Zusammenarbeit aller Beteiligten auch E-Mail, Instant Messaging und Voice over IP benutzt. Ein weiteres Problem war die Fachliteratur, die grtenteils auf Englisch zu finden war. Dies kostete uns einiges an Zeit. Eine Herausforderung war es speziell, das IOS des Cisco Switches upzudaten. Als dies geschafft war, ging es an die Konfiguration, die uns nach und nach zeigte, was berhaupt alles mglich ist, was uns ermutigte, mehr knnen zu wollen, und so verbrachten wir die Hauptzeit unserer Ferien damit, die Handbcher zu studieren und das neu Erlernte gleich in die Praxis umzusetzen. Als die Konfiguration abgeschlossen war, kam die Frage auf, ob das Netz auch wirklich sicher ist. Darum fhrten wir eine Reihe Tests durch, die dann letztendlich ergaben dass es sicher ist, was uns dann besttigte eine gute Arbeit gemacht zu haben. Besonders mit Stolz erfllte uns die Prsentation unserer fertig gestellten und funktionierenden Technikerarbeit, die wir am 3. Mai vor der Schulleitung und der Netzwerkgruppe vorfhren durften.
Seite 12
5.3.0 Switches im Netzwerk der GWS-Lrrach

Gebude A (Hauptverteilung K.10): 1x HP ProCurve 8000M 1x HP ProCurve 2524 1x HP ProCurve 2524 Gebude A (A0): Gebude A (A1): Gebude A (A2): 3x HP ProCurve 2524 3x HP ProCurve 2524 2x HP ProCurve 2424 1x HP ProCurve 2512 1x HP ProCurve 2524 Gebude A (A 1.16): Gebude A (A 2.01): Gebude B: Gebude C: Gebude D (D 2.04): Gebude D (D 2.13): Gebude D (Mechanische Fertigung): 1x BayNetworks 350T 1x HP ProCurve 2424 1x HP ProCurve 2524 1x HP ProCurve 2524 1x HP ProCurve 2524 1x HP ProCurve 2512 1x HP ProCurve 2512 1x HP ProCurve 2524
Seite 13
6.0.0 Funktionsweise eines VLANs

Unter VLAN versteht man ein "virtuelles LAN" (Virtual local area network), dessen physikalische Strukturierung eines gewhnlichen LANs gleicht, jedoch in mehrere virtuelle Teilnetze aufgeteilt ist. Ferner ist auch ein wichtiger Vorteil gegenber einem LAN, dass ein VLAN weiter entfernte Knoten zu einem virtuellen lokalen Netzwerk verbindet, whrend Knoten eines LANs sich nicht beliebig weit ausdehnen knnen. VLANs sind logisch geswitchte Netze, mit denen man Workstations und Server zu beliebigen dynamischen Arbeitsgruppen zusammenfassen kann. Dieses erfordert kein Umpatchen bzw. keine Umverlegung von Rechnern, sondern kann per Software konfiguriert werden. Ein VLAN ist weiteren eine Broadcast- und Kollisionsdomne, die sich auch ber mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar. Diese Mglichkeit, VLANs komplett voneinander zu isolieren, erhht die Sicherheit. Der Verkehr zwischen VLANs muss geroutet werden, hier gibt es Lsungen, die die Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing ntig.
6.1.0 Realisierung von VLANs

VLANs lassen sich auf verschieden Arten realisieren. Beliebige Netzteilnehmer aus verschiedenen Segmenten knnen nach unterschiedlichen Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne dass das Netz physikalisch umstrukturiert werden muss.
6.1.1 Layer 1 VLAN

VLAN Zuordnungen basieren auf dem Anschluss am Switch, hierdurch wird festgelegt, welche Ports zu welchem VLAN gehren. Je nach Eingangsport gehrt das Frame in das entsprechend konfigurierte VLAN. Es wird jedoch eine genaue Dokumentation bentigt, damit die Kabel bestimmter Gerte immer in den richtigen Switch Port zugeordnet werden knnen, damit sie sich im richtigen VLAN befinden.
Seite 14
Terminal
Terminal
VLAN 1
VLAN 2
Terminal
VLAN 3
Terminal
Workgroup Switch
VLAN 4
Terminal
Terminal Terminal
Abb. 3: Layer 1 VLAN
6.1.2 Layer 2 VLAN

Zuordnung orientiert sich am Layer 2, an der MAC Adresse. Es ermglicht im Prinzip eine Unternehmensweite VLAN Konfiguration. Durch Zentrales Management ist hohe Flexibilitt gewhrleistet. Auerdem ist es mglich, eine MAC-Adresse in mehrere VLANs zu tun. Ein Layer-2 VLAN braucht jedoch schon einiges an Rechenkapazitt (Liste welche MACAdresse welchem VLAN gegenbersteht). Wenn ein Gert dann an einem anderen Switch-Port angeschlossen wird und einen Frame sendet, bleibt es im selben VLAN. Dadurch kann man mit einem Gert auch mal leichter umziehen. Der administrative Aufwand ist grer als bei Layer-1 VLANs, dennoch wird es wegen seiner Standortunabhngigkeit gerne eingesetzt.
Terminal Terminal
VLAN 2
VLAN 4
Terminal Terminal
VLAN 3
Workgroup Switch
Terminal
VLAN 1
Terminal
Terminal
Abb. 4: Layer 2 VLAN
Seite 15
6.1.3 Protokoll-basierendes VLAN

Layer-3-Switches bieten zustzliche Mglichkeiten durch Basis-Routing-Funktionalitt wie z.B. ARP. Der externe Router wird somit oft berflssig. Diese Variante ist langsamer, da auch Layer-3-Informationen ausgewertet werden mssen. Die Zuordnung einzelner Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der Subnetzadressen oder portbasiert. Innerhalb eines VLAN wird auf Layer 2 geswitcht. Bei der Verwendung nicht routingfhiger Protokolle treten Schwierigkeiten auf und dynamische Adresszuordnungsverfahren knnen nicht eingesetzt werden. Layer-3-Switches verwenden Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu knnen, wird innerhalb eines VLAN nur gebridged.
6.1.4 Regel-basierendes VLAN

Bei den regelbasierenden VLANs wird die VLAN-Zugehrigkeit anhand von logischen Zuordnungen wie Ports, der Netzadresse, der MAC-Adresse oder des Protokolls bestimmt. Ein groer Vorteil dieses Systems ist die Flexibilitt, da der Administrator selbst die Balance zwischen Sicherheit, Verkehrsoptimierung und Kontrolle festlegen kann. Dem gegenber stehen allerdings die Nachteile wie die der aufwendigen Einrichtung, hohe Latenzzeiten, die durch die Abarbeitung der einzelnen Regeln entstehen, sowie die Sicherheitslcke, die durch die leichte Flschung der MAC-Adresse entstehen kann.
6.2.0 Vorteile und Nachteile eines VLANs

6.2.1 Vorteile
Sicherheit: Gute Kontrollmglichkeiten der Netzwerkteilnehmer Klare Abgrenzung der einzelnen Teilnetze (VLANs) Individuelle Anpassung der Rechte der einzelnen VLANs
Seite 16
Technikerarbeit Sommer 2005 Flexibilitt: Standortunabhngige und individuelle Zugriffsmglichkeiten auf Netzwerkressourcen und Peripheriegerte erhebliche Erleichterung durch Einsatzmglichkeit eigener Notebooks der Netzwerkteilnehmer Innovation: Bessere Netzinfrastruktur durch Zuordnung der Abteilungen und Klassen in unterschiedliche VLANs Erweiterung der Netztopologie durch weitere Gerte und Ports
6.2.2 Nachteile
hohe Migrationskosten, da ein Switching Network sowie ein leistungsfhiges Management bentigt werden hohe Kosten fr schnellen Backbone mangelnde Standardisierung und daraus resultierende Inkompatibilitten.
Seite 17
7.0.0 VLAN Tagging (802.1Q Frame)

Das 802.1Q wurde von IEEE entwickelt um Lsungen ber Aufbaustruktur eines VLANs Frames verschiedener Hersteller in einen Standard zu fassen. Damit konnten VLANs auf allen im Netzwerk vorhanden Switches verschiedener Hersteller implementiert werden. Durch das 802.1Q Tag-Header (auch VLAN-Tagging genannt) ist die Kommunikation unter diesen Switches mglich. Beim Tagging wird der Header eines Frames durch einen Merker (Tag) um die VLAN-Information erweitert.
7.1.0 Funktionsweise VLAN Tagging

Pakete, die ber einen normalen Port eines VLANs reinkommen, werden entweder direkt an einen anderen Port dieses VLANs unverndert geschickt oder aber ber den Sammelport (Trunked Port) weitergeleitet. Dafr wird das entsprechende VLAN-Tag durch den Switch hinzugefgt. Pakete, die ber den Trunked Port empfangen werden, werden nach einer VLAN-ID im Frame untersucht. Wird diese gefunden, so wird der Frame zu dem entsprechendem VLAN Port weitergeleitet. Davor wird aber das Tag wieder entfernt. Wenn der Switch diese VLAN-ID nicht findet, dann wird dieses Frame verworfen. Also, fr alle normalen Teilnehmer erfolgt die Kommunikation im VLAN transparent, sie bekommen vom Tagging nichts mit. Ethernet Framing-Fields vor dem Tagging
V orspann 7 Byte 1 Byte Frame Prambel Delimiter 6 Byte Zieladresse 802.3 6 Byte Quelladresse 2 Byte Typ/ Lnge IP 46-1500 Byte Daten 802.3 4 Byte Prfsumme
Abb. 5: Ethernet Framing-Fields vor dem Tagging
Ethernet Framing-Fields nach dem Tagging

Vorspann 7 Byte 1 Byte Frame Prambel Delimiter 802.3 6 Byte Zieladresse 6 Byte Quelladresse 2 Byte ET 3 Bit Priority 802.1q 1 Bit CFI 12 Bit 802.3 2 Byte Typ/ VLAN-ID Lnge IP 46-1500 Byte Daten 802.3 4 Byte Prfsumme
Abb. 6: Ethernet Framing-Fields nach dem Tagging
Seite 18
7.1.1 Die Felder des 802.1Q/P

ET (Ether Type) Ether Type 802.1Q ist das erste Feld eines VLAN-Tags, hat die Lnge von 2 Bytes, welches immer den Wert von 8100h besitzt. Durch diesen Wert wird signalisiert, dass es sich um ein VLAN Packet handelt und dass das Length-Feld von 802.3 sich hinter dem VLAN-Tag befindet (also 4 Bytes nach hinten verschoben). Priority (User Priority Field) Die Prioritt eines VLAN-gekennzeichneten Datenpakets wird mit einem 3-Bit-Wert markiert. Dabei steht die "0" fr die geringste, die "7" fr die hchste Prioritt. Datenpakete ohne VLAN-Tag werden mit der Prioritt "0" behandelt. CFI (Canonical Format Indicator) Dieses Feld besteht aus einem Bit und dient zur Feststellung der Ausleserichtung des folgenden VLAN-ID Feldes. VLAN-ID (VLAN-ID Identifier) Mit einer eindeutigen Nummer wird das virtuelle LAN gekennzeichnet. Diese ID bestimmt die Zugehrigkeit eines Datenpakets zu einem logischen (virtuellen) LAN. Mit diesem 12-Bit-Wert knnen bis zu 4094 unterschiedliche VLANs definiert werden (die VLAN-IDs "0" und "4095" sind reserviert bzw. nicht zulssig). Ausschnitt eines VLAN-Tags
802.1q VLANTAG
Vorspann
802.3
802.3
IP
802.3
Ethertype VLAN 8100h 2 Byte
IEEE 802.1q IEEE 802.1q Priority Canonical Field Format Indicator 3 Bit 1 Bit
VLAN-ID Identifier 12 Bit
Abb. 7: Ausschnitt eines VLAN-Tags
Seite 19
8.0.0 Ethernet-Port-Trunking
Ethernet-Port-Trunking physikalischen bezeichnet eines die sogenannte zu Aggregation einer von Ethernet Links(Logische Zusammenlagerung der Verbindungen). Beim Trunking werden mehrere Verbindungen Switches logischen Verbindung zusammengeschaltet. Den Endpunkt eines derart gebildeten virtuellen Trunk bezeichnet man auch als virtuellen Port. Daraus leitet sich die synonyme Bezeichnung Port Trunking ab. Das Verfahren ermglicht die kostengnstige berfhrung von Fast Ethernet (100 Mbit/s) zum Gigabit Ethernet (1000 Mbit/s), bei der die Bitrate in kleinen Schritten an den aktuellen Bedarf angepasst werden kann. Damit ist es mglich, stark belastete Verbindungen im Netz zu erweitern, ohne auf die Komponenten fr Gigabit Ethernet umsteigen zu mssen.
Terminal
Trunk-Verbindung Terminal Workgroup Switch Application Server
Terminal
Terminal
Abb. 8: Trunk-Verbindung
Seite 20
9.0.0 TACACS+ & IEEE 802.1x

Frontend-Protokolle regeln die Kommunikation zwischen dem Endbenutzer und dem NAS (Network Access Server Netzwerkzugangsserver). Hier unterscheiden sich die Protokolle abhngig vom Medium bzw. der Topologie des Zugangsnetzwerkes: Punkt-zu-Punkt-Verbindungen: LAN: WLAN: SLIP, PPP PPPoE, EAPoL (IEEE 802.1x) WEP (IEEE 802.11), EAPoL (IEEE 802.1x), IEEE 802.11i Backend-Protokolle regeln die Kommunikation zwischen dem NAS und dem Authentifikationsserver (AS). Man bezeichnet die Protokolle auch als AAA-Protokolle, da sie Authentifikation, Autorisierung und Accounting abdecken: TACACS+ RADIUS Diameter
9.1.0 AAA - Begriffsdefinitionen

AAA steht fr die Zusammenfassung eines Sicherheitskonzeptes, unter dem die Begriffe Authentication, Autorization und Accounting fallen. Die Begriffe werden im Folgenden synonym mit diesen Definitionen verwendet: Authentifizierung Ist der Vorgang der berprfung einer angegebenen Identitt. Dabei kann man zwischen der Authentifizierung des Senders bzw. des Empfngers einer Nachricht (message authentication vs. authentication of the channel end point) unterscheiden. Beispielsweise muss sich ein GSM-Handy immer gegenber dem Netz identifizieren. Umgekehrt geschieht dies nicht.
Seite 21
Technikerarbeit Sommer 2005 Autorisierung Ist der Vorgang der berprfung, ob bestimmte (Zugriffs-) Rechte einem (authentifizierten) Benutzer zugesprochen werden knnen oder nicht. Dabei kann es sich z.B. um Zugriffsrechte fr Netzlaufwerke handeln. Accounting Beschreibt den Vorgang der Sammlung von Daten bzgl. Resourcenverbrauch fr Abrechnungszwecke, Kapazittsplanungen, Statistiken etc.. Authenticator Die Einheit, die die Authentisierung des Gertes am anderen Ende der Verbindung anfordert. Supplicant Die Einheit, die Zugang zum LAN sucht und dafr durch den Authenticator berprft wird. Port Access Entity (PAE) Die Protokoll-Instanz, die mit einem kontrollierten Port verbunden ist. Die Instanz kann die Funktionalitt eines Authenticators, eines Supplicant oder auch beides gemeinsam umfassen. Authentication Server Eine Einheit, die die Authentisierung durchfhrt und das Ergebnis der Authentisierung dem Authenticator mitteilt. Diese Einheit kann mit dem Authenticator integriert sein, ist aber meistens ein externer Server. IEEE 802.1x Das Protokoll dient zur Kontrolle der Benutzer-Identitt beim Zugriff auf das Ethernet und ist zustndig zwischen Gerten, die den Zugang zum LAN suchen, und zwischen Gerten, die den Zugang zum LAN verwalten. Also die Anforderungen an ein Protokoll zwischen dem Authenticator (Zugangspunkt zum LAN) und einen Authentisierungs-Server (z.B. RADIUS).
Seite 22
9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung

Mchte ein Benutzer ber einen bestimmten LAN-Port (Local Area Network) auf Dienste zugreifen, bernimmt der Port eine von zwei Rollen: Authentifizierer oder Anforderer. Als Authentifizierer erzwingt der LAN-Port die Authentifizierung, bevor der Benutzerzugriff zugelassen wird. Als Anforderer fordert der LAN-Port Zugriff auf die Dienste an, auf die der Benutzer zugreifen mchte. Ein Authentifizierungsserver prft die Anmeldeinformationen des Anforderers und teilt dann dem Authentifizierer mit, ob der Anforderer zum Zugriff auf die Dienste des Authentifizierers autorisiert ist.
Abb. 9: IEEE 802.1x-Authentifizierung
Quelle: http://www.id.ethz.ch
9.3.0 Sicherheit durch IEEE 802.1x

Aufgrund der Schwchen der in IEEE 802.11 eingefhrten Authentifizierung war es ntig, eine Alternative zu finden. Der ursprnglich fr drahtgebundene Netze entwickelte Standard IEEE 802.1x wurde hierfr herangezogen. Er spezifiziert das Grundgerst fr die eigentliche Authentifizierung. Es wird unterschieden zwischen dem Client (Supplicant), der sich in einem Netzwerk authentifizieren mchte, dem Authentifizierer (Authenticator), welcher als Kommunikationspartner fr den Client fungiert und dem Authentifizierungsserver (Authentication Server), der die eigentliche Authentifizierung durchfhrt. In der Regel bernimmt ein RADIUS-Server (Remote Access Dial-Up User Service) die Rolle des Authentifizierungsservers und ein Access Point die des Authentifizierers. Seite 23
Technikerarbeit Sommer 2005 Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE 802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprnglich fr die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von Authentifizierungsmethoden untersttzt. Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem autorisierten Zustand befindet. Eine Kommunikation ber den unkontrollierten Port ist zwar stets mglich, jedoch ist diese eingeschrnkt. Quelle: http://einstein.informatik.uni-oldenburg.de
9.4.0 TACACS+ berblick

TACACS steht fr Terminal Access Controller Access Control Server TACACS+ ist die zentrale Komponente von Ciscos AAA-Modell (Authentication, Authorization, Accouting). AAA beschreibt eine Umgebung, in der verschiedene Protokolle und Dienste kooperieren, um Benutzerkonten zu verwalten, Berechtigungsberprfungen durchzufhren und Abrechnungsdaten zu erheben. TACACS+ ist die jngste Cisco-spezifsche Erweiterung des TACACS-Protokolls. Sie erlaubt hhere Sicherheit, da die Daten verschlsselt und ber TCP bertragen werden. Von den drei TACACS-Verfahren ist TACACS+ das mchtigste. Es ist als Vorschlag fr einen knftigen Internet-Standard eingereicht. Die beiden lteren Verfahren werden von Cisco knftig nicht mehr untersttzt
9.4.1 Funktion von TACACS

Innerhalb eines groen Netzwerkes findet die Verwaltung und Speicherung von Benutzerdaten an einer zentralen Stelle statt. Diese Daten dienen auch der Authentifizierung von Benutzern, die sich am Netzwerk anmelden. Es folgt nun ein Zugriff von auen, auf das Netzwerk, eine RAS- oder VPN-Verbindung wird hergestellt. ber diese Verbindung muss der Benutzer vor dem Zugriff auf das Netzwerk authentifiziert werden. Das Bindeglied zwischen der zentralen Benutzerverwaltung und dem RAS ist der TACACS+. Das TACACS+ Seite 24
Technikerarbeit Sommer 2005 Protokoll bernimmt die Authentifizierung und Verschlsselung sowie das Accounting. Vom TACACS+-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert und kann zu Abrechnungszwecken herangezogen werden. TACACS ist in gewissen Bereichen dem RADIUS hnlich. So stellt ein Client eine Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den zentralen TACACS-Server weiterleitet. Cisco hat zwei Erweiterungen, das Extended TACACS (XTACACS) und TACACS erarbeitet. Das TACACS+ Subsystem (Authenticator) stellt eine TCP-Verbindung zum Host (TACACS+-Server, Authentication Server) her und sendet ein Start-Paket. Der Host reagiert mit einem Replay-Paket, das entweder direkt den Zugriff gestattet oder verweigert, einen Fehler meldet oder an den Supplicant eine Anfrage stellt. Der User wird also nach Username und Password gefragt, welches durch das Subsystem wieder an den Host bertragen wird. Der Host reagiert entsprechend und die Verbindung wird geschlossen. tac_plus ist Cisco's freier TACACS+-Server fr Unix, welcher auch mit Debian GNU/Linux mitgeliefert wird. Eine volle Implemation wird von Cisco kommerziell vertrieben. Da TACACS+ ein properitres Protokoll der Firma Cisco ist, verliert es gegenber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der groen Verbreitung der Cisco-Produkte bis heute halten. Ein Vorteil von TACACS+ gegenber RADIUS ist unter Umstnden, das TACACS+ das ganze Paket verschlsselt, RADIUS hingegen nur das Passwort, was aber bei den meisten Einsatzbereichen keine Rolle spielt.
9.4.2 Fazit
Der IEEE 802.1x Standard legt unter anderem fest, wie das Authentifizierungsprotokoll EAP (Extensible Authentication Protokoll) ber Kabel oder Funknetzwerk in Ethernet Frames verpackt. Deshalb heit 802.1.x auch EAPOL (EAP over LAN). Das Protokoll wird auer bei portbasierender Authentifikation auch bei Wireless Lan Gerten angewendet, um die Kommunikation zum Gert ber den Access-Point zu ermglichen. Neben EAP, basiert 802.1x zustzlich auf PPP (Point to Point Protokoll). PPP und EAP sind Internetstandards (in RFCs definiert), whrend 802.1.x von der IEEE (Institute of Electrical and Electronics Engineers) stammt. Die RFCs sind durchnummerierte Serien von Dokumenten die verffentlicht werden. Das TACACS+ Protokoll bernimmt die Authentifizierung und Verschlsselung sowie das Accounting. Whrend IEEE 802.1x nur ein Authentisierungsprotokoll darstellt, ist das Seite 25
Technikerarbeit Sommer 2005 TACACS+ zustndig fr die Authentifizierung (Authentication), Autorisierung
(Authorisation) oder zu Abrechnungszwecken (Accounting). TACACS+ spielt auch die Bindegliedrolle zwischen der zentralen Benutzerverwaltung und dem RAS (Remote Access Service). RAS ist ein Dienst, ber den man sich beispielsweise zwecks Fernsteuerung auf einen anderen PC oder in ein internes LAN einwhlen kann. Bei der Auswahl eines Authentification-Servers sprechen Folgende Vorteile fr TACACS+: TACACS+ verschlsslet das ganze Paket, RADIUS hingegen nur das Passwort. Die Passwort-Konfigurationen sind nicht mehr physikalisch auf den Gerten und mssen dadurch auch nicht mehr einzeln gepflegt werden. Skalierbarkeit. Beim editieren von Usern werden smtliche nderungen nur in einer Datenbank nachgefhrt. Dadurch ist die bersicht besser gewhrleistet. Die Passwrter werden verschlsselt auf einem AAA-Server gespeichert (z.B. auf einem Unix System). Der starke Algorithmus bei Unix verschlsselten Passwrter bietet so wesentlich mehr Sicherheit. Jeder Zugriff auf die Gerte wird beim AAA-Server geloggt und kann ausgewertet werden. Damit hat man ein gutes Tool zur berwachung smtlicher Aktivitten in den Hnden. Zustzlich knnen damit auch Abrechnungsinformationen in Bezug auf Sicherheits-Audits oder Kontenabrechnungen aufgezeichnet werden Dagegen stehen folgende Nachteile: Da auf dem Markt keine gnstigen Switches verfgbar sind, die mit TACACS+ umgehen knnen, und weil TACACS+ ein properitres Protokol der Firma Cisco ist, verliert es gegenber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der groen Verbreitung der Cisco-Produkte bis heute halten. Die frei erhltliche Version von TACACS+ unterschttzt viele wichtige Funktionen wie z.B. die Anwendung der Zertfikate wie EAP/TLS bei Authententifikation nicht. Somit msste die Authentifizierung ber die MAC-Adresse erfolgen. Allerdings wre dann die Sicherheit beeintrchtigt, da die MAC-Adresse leicht geflscht werden knnte. Die Umstrukturierung eines Netzes auf WLAN wre bei TACACS+ nur mit Gerten von Cisco mglich. Diese Nachteile besttigen den Verdacht, dass die Zukunft des TACACS+ als Authentifizierungsservers ungewiss ist.
Seite 26
10.0.0 Beschreibung der Hardware

Die fr dieses Projekt zur Verfgung stehenden Gerte sind jeweils Layer-2-Switches von den Firmen Cisco bzw. Hewlett-Packard. Diese Layer-2-Switches arbeiten auf dem DataLink-Layer und sind unabhngig von darber liegenden Protokollen. Whrend des Betriebes lernt ein Switch alle MAC-Adressen und ordnet diese in einer MAC-Tabelle ein. Nach dem Empfangen eines Frames berprft der Switch die MACZieladresse. Ist in der MAC-Tabelle ein Eintrag fr dieses Ziel hinterlegt, so wird der Frame dorthin weiter geleitet. Ist kein Eintrag in der MAC-Tabelle vorhanden, wird der Frame an alle anderen Ports als Broatcast weitergesendet bis auf den Port, an dem der Frame empfangen worden ist. Bei VLANs arbeitet ein Layer-2-Switch ebenso, aber bezogen auf die VLANs. Es gibt eine MAC-Adresstabelle fr jedes VLAN.
10.1.0 Cisco Catalyst 2950

Der Cisco Catalyst 2950 ist ein sehr gut ausgestatteter und gnstiger Switch fr den Serverschrank. Das Model hat 24 eingebaute RJ45 Ports mit 10Base-T/100Base-TX. An jedem der Ports knnen ein Endgert oder ein weiterer Switch angeschlossen werden. Jedes Interface hat eine Bezeichnung der Form x/y, vor dem Schrgstrich steht immer eine 0. Daher heit das erste Interface 0/1, das zweite 0/2 usw. Dieser Cisco Catalyst 2950 ist ein stapelbarer, verwaltbarer Switch, der weitere Leistungsmerkmale wie die Netzwerk-berwachung, VLAN-Untersttzung und Vollduplexfhigkeit aufweist. Darber hinaus sind, IEEE 802.3, IEEE 802.3U, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.1x wichtige Protokolle, die dieser Switch untersttzt. Weitere technische Einzelheiten unter http://www.cisco.com POST (Power-On Self Test) ist die Selbstprfung des Gertes die vor dem Laden des Betriebssystems durchfhrt wird, um die Hardware zu testen. Whrend der Selbstprfung luft das Betriebssystem noch nicht und die LEDs haben eine eigene Bedeutung. Im Normalbetrieb dienen sie jedoch ganz anderen Zwecken. Beim Startvorgang zeigen alle LEDs kurz grn an, um die Funktionstchtigkeit der LEDs selbst zu signalisieren. Mit der Modus-Taste wird der Switch von Modus zu Modus umgeschaltet: stat, util, duplex oder speed. Der aktuelle Modus lsst sich durch die LEDs erkennen. Um die Konfigurationseinstellungen des Switches auf Werkeinstellungen zurck zu setzen, muss die Seite 27
Technikerarbeit Sommer 2005 Modustaste bettigt werden und gleichzeitig das wieder eingesteckt werden. Stromversorgungskabel entfernt und
Abb. 10: Indikatoren Cisco Catalyst 2950
System LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grn, wenn der Switch eingeschaltet ist. Gelber Zustand der LED deutet auf ein Problem hin, das sich durch POST ergeben hat
RPS LED: Signalisiert die Existenz und Status der redundanten Stromversorgung (RPS) und den Status der Hauptstromversorgung Port-LEDs: Haben eine Bedeutung, die vom akitven Modus des Switches abhngt Stat-LED: Bei diesem Modus zeigt die Port-LED den Status des Ports an. Grn steht fr bereit, Aus fr nicht bereit und grnes Blinken zeigt Aktivitt an Util-LED: Dieser Modus verwendet die kombinierten Port-LEDs als Anzeige fr die Gesamtauslastung des Switches. Je mehr Port-LEDs leuchten, desto strker ist der Switch ausgelastet
Dublex-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen Vollduplex-Port, bzw. aus, wenn es sich um einen Halbduplex-Port handelt Speed-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen 100 MBit/s Port bzw. aus, wenn es sich um einen 10 MBit/s Port handelt
Auf der Rckseite des Switches befinden sich eine RJ45 Konsole-Schnittstelle und ein Anschluss fr Stromversorgung 110/230V Wechselspannung 110/220 +/- 10% (50/60 Hz). Seite 28
10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950

Der Benutzer-EXEC-Modus ist an der Eingabeaufforderung durch das Zeichen > zu erkennen. Im Benutzer-EXEC-Modus ist nur eine begrenzte Anzahl grundlegender berwachungsbefehle zulssig. Mit dem Befehl enable kann man vom Benutzer-EXEC-Modus in den privilegierten EXEC-Modus wechseln. Dieser Modus lsst sich durch das Zeichen # an der Eingabeaufforderung erkennen und man hat in diesem Modus Zugriff auf alle Switch-Befehle. Mit Eingabe eines ? an der Eingabeaufforderung werden alle Befehle die in dem jeweiligen Befehlsmodus zur Verfgung stehen angezeigt. Gibt man an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und bettigt die Tab-Taste, wird der jeweilige Befehl vervollstndigt. Mit dem Befehl exit oder CNTL+Z gelangen sie einen Modus zurck. Mit dem Befehl end gelangen sie sofort wieder in den privilegierten EXEC-Mode. Fast jeder IOS-Befehl hat auch eine negierte Form, dass durch hinzufgen von no vor dem eigentlichen Befehl aktiviert wird. Allgemeine Befehle Switch#show ? Switch#show interface status Switch#show running-config Switch#debug dot1x Switch#debug radius Zeigt alle show-Befehle an Zeigt aktuellen Status der Ports an Zeigt die laufenden Konfigurationseinstellungen Schaltet Debug-Modus fr IEEE 802.1x Authentifizierung ein Schaltet Debug-Modus fr die Kommunikation zwischen Switch und RADIUS-Server ein
Die hier genannten Infos ber die Bedienung der CLI ist nur ein kurzer Auszug, die aber fr die weitere Bedienung des Switches erforderlich sein knnen. Weitere Informationen knnen in den Dokumentationen nachgeschlagen werden.
Seite 29
10.2.0 HP Procurve 2524

Bei diesem HP Procurve 2524 Switch handelt es sich um ein Model der 2500 Serie. Diese sind relativ kostengnstig, stapelbar, verwaltbar und es gibt sie mit 24 bzw. 12 Ports mit 10/100-Autosensing je Port. Zudem sind 2 freie Transceiver-Slots fr Gigabit oder 100Base-FX vorhanden. Der Switch lsst sich ber die Konsole sowie auch ber jeden beliebigen Webbrowser im Netzwerk konfigurieren. Das sogenannte Link Aggregation Control Protocol (LACP) und HP-Trunking untersttzt einen einzigen Trunk mit bis zu 4 Links. Es werden bis zu 30 portbasierte VLANs und dynamische Konfiguration von 802.1Q VLAN Tagging untersttzt. Ebenfalls gibt es Einstellungen zur Portsicherheit. IEEE 802.1p Priorisierung liefert Daten an Gerte basierend auf Prioritt und Typ des Datenverkehrs. Das Spanning Tree Protocol bietet redundante Links und verhindert gleichzeitig Netzwerkloops; daneben wird durch das 802.1w Rapid Convergence Spanning Tree Protocol hhere Verfgbarkeit durch schnellere Wiederherstellung nach dem Ausfall von Links erreicht. Auf die Switches gibt HP eine lebenslange Garantie. Nhere technische Informationen sind unter http://www.hp.com abrufbar.
Folgendes Bild zeigt die Front des HP Procurve 2524 Switches:
Abb. 11: Front des HP Procurve 2524 Switch
Bildquelle: HP procurve series 2300 and 2500 switches Installation and getting started guide.pdf
Der HP Procurve 2524 Switch besitzt auf der Frontseite Taster, mit denen entsprechende Funktionen ausgelst werden knnen, und verschiedene Indikator-LEDs, die den aktuellen Betriebszustand des Gertes signalisieren. Seite 30
Technikerarbeit Sommer 2005 Taster: Mode Select Taster: Dient zum Umschalten der verschiedenen Moden Reset Taster: Lst einen Neustart des Switches aus Clear Taster: Lscht alle gesetzten Konsole Zugangspasswrter
Port LEDs: Link LED: leuchtet, wenn entsprechender Port aktiviert ist und eine Verbindung zu dem angeschlossenem Gert besteht. Leuchtet LED nicht, ist Port deaktiviert oder es besteht keine Verbindung. Blinkt LED simultan mit der Fault LED, weist der entsprechende Port einen Fehler auf Mode LED: Zeigt an, ob ein Port fr den Voll Duplex Modus oder fr den Max. Geschwindigkeits Modus aktiviert ist, bzw. ob ein Port Netzwerkaktivitt anzeigt oder Netzwerkereignisse signalisiert, die das Einschreiten des Administrators erfordern, abhngig vom Modus, der ausgewhlt wurde. Switch LEDs: Power LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grn, wenn der Switch eingeschaltet ist. Fault LED: LED signalisiert nach dem Start bzw. nach Abschluss des Selbsttests, ob ein Fehler vorliegt. Bei nicht leuchtender LED liegt kein Fehler vor, bei blinkender LED liegt ein Fehler auf einem der Switch Ports oder des Lfters vor und bei leuchtender LED wird ein schwerer Hardwarefehler signalisiert Self Test LED: LED leuchtet whrend der Durchfhrung des Selbsttests, LED blinkt, wenn eine Komponente einen Fehler aufwies Fan Status LED: Leuchtet wenn Lfter ordnungsgem funktioniert und blinkt simultan mit der Fault LED, wenn ein Fehler des Lfters vorliegt. Mode Select LEDs: Act LED: Signalisiert, dass die Port Mode LEDs Information ber die Netzwerkaktivitt anzeigen FDx LED: Signalisiert, dass die Port Mode LEDs fr Ports, die im Voll Duplex Modus sind, leuchten
Seite 31
Technikerarbeit Sommer 2005 Max LED: Signalisiert, dass die Port Mode LEDs fr die Ports leuchten, die in ihrer max. mglichen Geschwindigkeit arbeiten. Z.B. fr die 10/100TX Ports wre es 100Mbps ! LED: Signalisiert dass die Port Mode LEDs Netzwerkereignisse anzeigen, die das Einschreiten des Administrators erfordern.
Abb. 12: Indikatoren HP Procurve 2524
Auf der Rckseite des Gertes befindet sich ein Anschluss fr die Stromversorgung, 110/230V Wechselspannung (50/60 Hz) sowie ein Lfter, der fr die notwendige Khlung des Gertes sorgt und demzufolge nicht abgedeckt werden darf.
Seite 32
10.2.1 Command Line Interface (CLI) des HP Procurve 2524

Der HP Procureve besitzt einen Operator-EXEC-Modus, sowie einen Manager-EXEC-Modus mit einigen Kontext-Moden. Der Operator-EXEC-Modus ist an der Eingabeaufforderung Switch# zu erkennen. Im Operator-EXEC-Modus ist nur eine begrenzte Anzahl grundlegender berwachungsbefehle zulssig. Mit dem Befehl config kann man vom Operator-EXEC-Modus in den Manager-EXEC-Modus wechseln. Dieser Modus lsst sich durch die Eingabeaufforderung Switch(config)# erkennen und man hat in diesem Modus Zugriff auf alle Switch-Befehle. Mit Eingabe eines ? an der Eingabeaufforderung werden alle Befehle die in dem jeweiligen Befehlsmodus zur Verfgung stehen angezeigt. Gibt man an der Eingabeaufforderung die ersten Buchstaben eines Befehles ein und bettigt die TabTaste, wird der jeweilige Befehl vervollstndigt. Mit der Befehl exit gelangen man einen Modus zurck. Die meisten Befehle besitzen auch eine negierte Form um einen aktiven Befehl wieder zu deaktivieren. Dies geschieht mit der Eingabe von no vor dem eigentlichen Befehl. Allgemeine Befehle Switch#show ? Switch#show interfaces Switch#show running-config Switch# show port-access authenticator Switch# erase startup-config Zeigt alle show-Befehle an Zeigt Informationen aller Ports an Zeigt die laufenden Konfigurationseinstellungen Zeigt Authentifikation der Ports an Lscht die Startup-config
Die hier genannten Infos ber die Bedienung der CLI ist nur ein kurzer Auszug, die aber fr die weitere Bedienung des Switches erforderlich sein knnen. Weitere Informationen knnen im Benutzerhandbuch bzw. im command-line-interface-reference-guide nachgeschlagen werden.
Seite 33
11.0.0 Zugriff auf die Konsolenebene eines Switches

11.1.0 Lokaler Zugriff auf einen Switch
Um einen Switch zu konfigurieren, muss dieser zuvor ber den Konsole-Port mit einem sogenannten Rolloverkabel mit dem PC auf eine serielle Schnittstelle verbunden sein. Darber hinaus bentigt man ein Terminalprogramm, um die lokale Kommunikation zwischen Switch und PC zu ermglichen. Es gibt zahlreiche Terminalprogramme auf dem Markt, fr dieses Projekt wurde das Tera Term Pro Version 2.3 angewendet. Downloadlink: http://hp.vector.co.jp/authors/VA002416/teraterm.html Um mit dieser Software eine erfolgreiche Kommunikation auf die Konsole zu ermglichen, mssen folgende Einstellungen durchgefhrt werden: Schritt 1: Unter Setup / Serial port... mssen folgende Einstellungen vorgenommen werden;
Abb. 13: Tera Term Serial port setup
Schritt 2: Serial aktivieren und entsprechende COM-Schnittstelle auswhlen, an der das Rolloverkabel mit dem PC verbunden ist, anschlieend mit OK Button besttigen
Abb. 14: Tera Term New connection
Terminalfenster mit der Konsole des entsprechenden Switches wird geffnet.
Seite 34
11.2.0 Fernzugriff auf einen Switch

Um Flexibilitt und standortunabhngige Konfigurationen sicherzustellen, wurde als Telnet/SSH Client das sogenannte PuTTY herangezogen. Hierdurch kann ber SSH Zugriff von der Schule sowie ber das Internet Zugriff auf den Switch erfolgen. Downloadlink: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
11.2.1 Zugriff ber das Intranet der GWS-Lrrach

Schritt 1: Nach Eingabe des Host Name (or IP address) sshserver mit dem Open Button besttigen. Anschlieend wird die Verbindung aufgebaut und das TerminalFenster wird geffnet.
Eingabefeld fr Host Name
Abb. 15: PuTTY Verbindung ber das Intranet der GWS-Lrrach
11.2.2 Zugriff ber das Internet

Schritt 1: Nach Eingabe des Host Name (or IP address) gws-loe.remoteconnect.de mit dem Open Button besttigen. Anschlieend wird die Verbindung aufgebaut und das Terminal-Fenster wird geffnet.
Seite 35
Abb. 16: PuTTY Verbindung ber das Internet
Danach mssen fr beide Zugangsarten (Intranet der GWS-Lrrach oder Internet) folgende Schritte im Terminal-Fenster gettigt werden, um eine Verbindung vom GWS-Lrrach SSH-Server auf den Debrad SSH-Server und somit auf Minicom herzustellen. Minicom stellt ein Interface auf die COM Schnittstelle des Rechners dar, an dem der entsprechende Switch ber ein Rollover-Kabel angeschlossen ist.
11.2.3 Login-Vorgang ber SSH-Server auf Minicom

Benutzername und Passwort eingeben, um sich auf dem SSH-Server der GWS-Lrrach einzuloggen: Schritt 1: Schritt 2: Login as: password: [Benutzername] **********
Benutzername und Passwort eingeben, um sich ber den GWS-Lrrach SSH-Server auf den Debrad SSH-Server anzumelden: Schritt 3: Schritt 4: [Benutzername]@sshserver:~$ Password: ssh [Benutzername]@debrad **********
Seite 36
Technikerarbeit Sommer 2005 Mit folgendem Befehl kann man sich ber Minicom auf dem entsprechenden Switch (Cisco Catalyst 2950 bzw. HP Procurve 2524) einloggen: Schritt 5: oder Schritt 5: [Benutzername]@debvl:~$ [Benutzername]@debvl:~$ minicom hp minicom cisco
Um nach einer Sitzung Minicom zu beenden, wird folgendermaen vorgegangen: Schritt 6: Schritt 7: Schritt 8: Schritt 9: Leave Minicom: [Benutzername]@debvl:~$ [Benutzername]@sshserver:~$ Strg + A, Z X Yes exit exit
Seite 37
12.0.0 Firmwareupdate der Switches

Einerseits gehrte das Updaten der Switches zur Aufgabenstellung der Technikerarbeit, anderseits, musste sichergestellt werden, dass die Switches mit den aktuellen IOS/OS Versionen versehen wurden. Nur so kann davon ausgegangen werden, dass alle Optionen untersttzt werden und die einwandfreie Funktion der Switches gewhrleistet wird. Hierzu wird ein sogenannter TFTP-Server (Trivial File Transfer Protocol) auf dem Rechner bentigt, um die Datenkommunikation zwischen Rechner und Switch zu gewhrleisten. Vor einem Update auf ein neues IOS/OS sollte jedoch zuvor die alte Version des IOS/OS via TFTP auf den Rechner bertragen und dort gespeichetrt werden um im Falle eines Misserfolges die ursprngliche Firmware wieder herzustellen. Ein weiterer Aspekt der Benutzung eines TFTP Servers ist dass man smtliche Konfigurations-Files ber TFTP auf den Rechner sichern kann. Als TFTP-Server entschied man sich fr 3CDaemon Version 2.0 von 3com. Downloadlink: http://support.3com.com/software/utilities_for_windows_32_bit.htm Um eine TFTP Verbindung zwischen Rechner und Switch aufzubauen, muss sich sowohl der Switch als auch der TFTP-Server im selben IP-Netzbereich befinden. Die IP-Vergabe auf einem Windows-Rechner erfolgt unter Start/Einstellungen/Netzwerkverbindungen. In welchen IP-Adressbereich sich der Switch befindet, hngt von der IP Einstellung des Switches ab, die in den folgenden Kapiteln beschreiben wird. Auerdem muss unter Configure TFTP Server in dem Eingabefeld Upload/Download directory der Pfad angegeben werden, an dem die Files zum Transfer gespeichert bzw. abgerufen werden. Mit dem Bettigen des STOP -/ bzw. GO Buttons kann der TFTP Server deaktiviert bzw. aktiviert werden.
Abb. 17: Einstellungen 3CDaemon
Seite 38
Technikerarbeit Sommer 2005 Vor dem Updaten des Switches mssen mehrere ziemlich wichtige Informationen mit bercksichtigt werden: Wie lauten IP Adresse oder Hostname des TFTP-Servers? Wie heit die Datei? Ist der Flash-Speicher fr diese Datei gro genug? Liegt auf dem Server berhaupt eine Datei mit diesem Namen? Soll die alte Datei wirklich gelscht werden?
12.1.0 IOS-Update Cisco Catalyst 2950

Das Interwork Operating System (IOS) wird im Flash-Memory gespeichert. Das Flash-Memory ist ein wiederbeschreibbarer, permanenter Speicher. Das ist ideal fr Dateien, auf die man zurckgreifen muss, wenn der Switch einmal einen Stromausfall hatte. Ein weiterer Vorteil ist, dass es keine beweglichen Teile gibt. So wird eine hhere Zuverlssigkeit erreicht als bei Laufwerken. Zunchst muss das IOS-Image natrlich von Cisco bezogen werden. Das Beziehen des IOS-Image ist nur mit einen aktuellen Servicevertrag der Firma Cisco mglich. Dann muss dies in das Standardverzeiniss des TFTP-Servers abgelegt werden. Schlielich muss auf dem Switch der copy-Befehl eingegeben werden. Die Datei wird nun ber TFTP ins Flashmemory kopiert. 1. 2. Catalyst#dir flash: Catalyst#copy flash tftp Source filename[]? c2950-i6q4l2mz.121-14.EA1a.bin Address or name of remote host []? 192.168.0.10 Destination filename [c2950i6q4l2-mz.121-14.EA1a.bin]? Zeigt Informationen ber das Flash: - Inhalt (IOS Version) - Gesamt- bzw. freier Speicherplatz Sichern des IOS von Flash auf PC ber TFTP - Name der Quelldatei - Angabe des TFTP Servers - Name der Zieldatei
Seite 39
Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1
3.
Catalyst#del flash:c2950-i6q4l2mz.121-14.EA1a.bin
Lschen der Datei c2950-i6q4l2mz.121-14.EA1a.bin aus dem Flashmemory
Seite 40
Technikerarbeit Sommer 2005 4. Catalyst#copy tftp flash Address or name of remote host []? 192.168.0.10 Source filename[c2950-i6q4l2mz.121-22.EA3.bin]? Destination filename [c2950i6q4l2-mz.121-22.EA3.bin]? Laden des gewnschten IOS Version von PC auf Flash ber TFTP - Angabe des TFTP Servers - Name der Quelldatei - Name der Zieldatei
Seite 41
Technikerarbeit Sommer 2005 Datenverkehr zwischen Switch und TFTP-Server whrend des Updatevorgangs
Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server
5. 6. 7. 8.
Catalyst#config terminal Catalyst(config)# boot system flash: c2950-i6q4l2mz.121-22.EA3.bin Catalyst(config)#exit Catalyst#show boot
Wechselt in den Konfigurationsmodus Name des neuen IOS von dem der Switch booten soll Zurck in Privilegierten EXEC-Modus Zeigt Boot Einstellungen an
Seite 42
Technikerarbeit Sommer 2005 9. Catalyst#reload Switch wird neu gebootet
10.
Catalyst#show version
Zeigt die aktuelle IOS Version an
12.2.0 OS-Update HP Procurve 2524

Ein Update des Switches kann sowohl ber einen TFTP-Server sowie als auch ber ein XMODEM durchgefhrt werden. Das Switch Operating System (OS) wird im Flashmemory hinterlegt. HP stellt kostenlose Updates der Firmware auf ihrer Homepage zum Downlaoden bereit. Folgende Schritte beschreiben den Updatevorgang ber TFTP. Dabei muss sich das neue OS im Standardverzeinis des TFTP-Servers befinden. Schlielich muss auf dem Switch der copy-Befehl eingegeben werden. Die Datei wird nun ber TFTP ins Flashmemory kopiert. 1. 2. Switch#show version Switch#copy flash tftp 192.168.0.10 F_05_22.swi Zeigt die aktuelle OS an Sichern des OS von Flash auf PC ber TFTP
Abb. 23: OS-Update HP Procurve 2524, Bild 1
3.
Switch#copy tftp flash 192.168.0.10 F_05_34.swi
Laden der gewnschten OS Version von PC auf Flash ber TFTP
Seite 43
Technikerarbeit Sommer 2005 Nachdem das gewnschte OS auf den Switch geladen wurde, lst Switch einen Neustart aus und wird mit neuem OS gestartet. 4. Switch#show version Zeigt die aktuelle OS an
Datenverkehr zwischen Switch und TFTP-Server whrend des Updatevorgangs
Abb. 26: OS-Update HP Procurve 2524, TFTP-Server
Seite 44
13.0.0 Konfiguration der Switches

Diese Kapitel befasst sich mit der Konfiguration des Cisco Catalyst 2950 und des HP Procurve 2524. Es gibt verschiedene Mglichkeiten diese Switches zu konfigurieren, wie ber das Webinterface und ber das Comand Line Interface (CLI), bei HP zustzlich noch ber das Menu. Allerdings ist es sinnvoll einen Switch ber das CLI zu konfigurieren, da man nur in diesem wirklich alle Funktionen, die der Switch zur Verfgung stellt, konfigurieren kann. Auerdem ist hier die Konfiguration nach einer bungszeit wesentlich schneller da, durch einen Befehl beispielsweise alle Ports auf Authentifizierung ber IEEE 802.1x gesetzt werden knnen. Das Menu des HP Procurve 2524 lsst sich ber das CLI erreichen und stellt dem Administrator eine komfortable Alternative zur CLI bereit. Das Webinterface eignet sich sehr gut fr die allgemeine berwachung des Switches und ist ber das lokale Netzwerk erreichbar. In diesem Projekt wurde die komplette Konfiguration ber das CLI durchgefhrt. Nachfolgende Tabelle soll veranschaulichen wie die IP-Adressen der einzelnen VLANs auf den jeweiligen Switches vergeben worden sind. Den Radius-Server erreichen die Switches ber das Management-VLAN (VLAN 1), dass sich im selben Adressbereich wie der Radius-Server befinden muss. Radius-Server: 192.168.0.1 / 24 VLAN 1 2 3 4 5 6 Name Admin_VLAN Gast Lehrer_1 Lehrer_2 Schueler_1 Schueler_2 IP / Catalyst 2950 192.168.0.6 / 24 192.168.1.1 / 24 192.168.2.1 / 24 192.168.3.1 / 24 192.168.4.1 / 24 192.168.5.1 / 24 IP / Procurve 2524 192.168.0.5 / 24 192.168.1.1 / 24 192.168.2.1 / 24 192.168.3.1 / 24 192.168.4.1 / 24 192.168.5.1 / 24
Seite 45
13.1.0 Konfiguration des Cisco Catalyst 2950

1. 2. 3. 4. 5. Switch>enable Switch# clock set 09:21:34 09 May 2005 Switch#configure terminal Switch(config)# enable password catalyst Switch(config)#hostname Catalyst Wechsel vom Benutzer-EXEC-Modus in den privilegierten EXEC-Modus Einstellung der Uhrzeit und des Datums Wechselt in den Konfigurationsmodus Vergabe des Passworts catalyst Benennung des Gertes
Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1
6. 7. 8. 9.
Catalyst(config)#aaa new-model Catalyst(config)# aaa authentication dot1x default group radius Catalyst(config)# aaa authorization network default group radius Catalyst(config)# dot1x system-auth-control
Aktivierung von AAA Aktivierung der Authentifikation ber Radius-Server Switch wird fr alle Anfragen ber Netzwerkverbindungen durch RadiusAutorisierung aktiviert Aktivierung von IEEE 802.1x Authentifikation
Seite 46
10. 11. 12. 13.
Catalyst(config)#interface range fastEthernet 0/1 - 23 Catalyst(config-if-range)# switchport mode access Catalyst(config-if-range)# dot1x port-control auto Catalyst(config-if-range)# spanning-tree portfast Catalyst(config-if-range)#exit Catalyst(config)# Radius-server host 192.168.0.1 key test123
14. 15.
Legt fr die weitere Konfiguration einen Interfacebereich von Port 1-23 fest Der gewhlte Portbereich wird fr VLANs definiert Automatische Aktivierung von IEEE 802.1x auf dem gewhltem Portbereich Der gewhlte Portbereich wird aktiviert um bei bestehender Verbindung direkt das Forwarding zu nutzen Fhrt zurck in den Konfigurationsmodus Konfiguration der Parameter des Radius-Servers (IP und Passwort)
16. 17. 18. 19. 20. 21. 22. 23. 24. 25.
Catalyst(config)#vlan 2 Catalyst(config-vlan)# name Gast Catalyst(config-vlan)#exit Catalyst(config)#vlan 3 Catalyst(config-vlan)# name Lehrer_1 Catalyst(config-vlan)#exit Catalyst(config)#vlan 4 Catalyst(config-vlan)# name Lehrer_2 Catalyst(config-vlan)#exit Catalyst(config)#vlan 5
Erzeugt ein zweites VLAN Benennung des VLAN 2 in Gast Zurck in den Konfigurationsmodus Erzeugt ein drittes VLAN Benennung des VLAN 3 in Lehrer_1 Zurck in den Konfigurationsmodus Erzeugt ein viertes VLAN Benennung des VLAN 4 in Lehrer_2 Zurck in den Konfigurationsmodus Erzeugt ein fnftes VLAN Seite 47
Technikerarbeit Sommer 2005 26. 27. 28. 29. 30. Catalyst(config-vlan)# name Schueler_1 Catalyst(config-vlan)#exit Catalyst(config)#vlan 6 Catalyst(config-vlan)# name Schueler_2 Catalyst(config-vlan)#exit Benennung des VLAN 5 in Schueler_1 Zurck in den Konfigurationsmodus Erzeugt ein sechstes VLAN Benennung des VLAN 6 in Schueler_2 Zurck in den Konfigurationsmodus
31. 32. 33. 34. 35. 36. 37. 38. 39.
Catalyst(config)#interface vlan1 Catalyst(config-if)# ip address 192.168.0.6 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan2 Catalyst(config-if)# ip address 192.168.1.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan3 Catalyst(config-if)# ip address 192.168.2.1 255.255.255.0 Catalyst(config-if)#exit
Wechselt zu Interface VLAN 1 Vergabe der IP 192.168.0.6 / 24 an VLAN 1 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 2 Vergabe der IP 192.168.1.1 / 24 an VLAN 2 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 3 Vergabe der IP 192.168.2.1 / 24 an VLAN 3 Zurck in den Konfigurationsmodus Seite 48
Technikerarbeit Sommer 2005 40. 41. 42. 43. 44. 45. 46. 47. 48. Catalyst(config)#interface vlan4 Catalyst(config-if)# ip address 192.168.3.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan5 Catalyst(config-if)# ip address 192.168.4.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan6 Catalyst(config-if)# ip address 192.168.5.1 255.255.255.0 Catalyst(config-if)#exit Wechselt zu Interface VLAN 4 Vergabe der IP 192.168.3.1 / 24 an VLAN 4 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 5 Vergabe der IP 192.168.4.1 / 24 an VLAN 5 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 6 Vergabe der IP 192.168.5.1 / 24 an VLAN 6 Zurck in den Konfigurationsmodus
49. 50. 51.
Catalyst(config)#interface range fastEthernet 0/1 - 23 Catalyst(config-if-range)# switchport access vlan 2 Catalyst(config-if-range)#end
Legt fr die weitere Konfiguration einen Interfacebereich von Port 1-23 fest Ordnet unauthorisierte Clients in VLAN 2 (Gast-VLAN) ein Zurck in den privilegierten EXEC-Modus Seite 49
Technikerarbeit Sommer 2005 52. Catalyst#show vlan Zeigt berblick ber VLANs
53. 54.
Catalyst#write memory Catalyst#copy config.text tftp Address or name of remote host []? 192.168.0.10 Destination filename [config.text]? config.text
Sichert die Einstellungen in der config.text Datei Sichern der config.text von Flash auf PC ber TFTP - Angabe des TFTP Servers - Name der Zieldatei
Seite 50
13.2.0 Konfiguration des HP Procurve 2524

1. 2. 3. 4. 5. HP ProCurve Switch 2512>enable HP Procurve Switch 2512#config HP ProCurve Switch 2512(config)# clock set 05/09/2005 14:41 HP ProCurve Switch 2512(config)# hostname Procurve Procurve(config)#password all Wechselt in den EXEC-Modus Wechselt von dem Operator-EXECModus in den Manager-EXEC-Modus Einstellung der Uhrzeit und des Datums Benennung des Gerts Vergabe der Passwrter procurve Operator: nur Leseberechtigung Manager: Vollzugriff
Abb. 34: Konfiguration des HP Procurve 2524, Bild 1
6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Procurve(config)# vlan 1 Procurve(vlan-1)# name Admin_VLAN Procurve(vlan-1)# ip address 192.168.0.5 255.255.255.0 Procurve(vlan-1)# exit Procurve(config)# vlan 2 Procurve(vlan-2)# name Gast Procurve(vlan-2)# ip address 192.168.1.1 255.255.255.0 Procurve(vlan-2)# exit Procurve(config)# vlan 3 Procurve(vlan-3)# name Lehrer_1
Wechselt in erstes VLAN Benennung des VLAN 1 Admin_VLAN Vergabe der IP 192.168.0.5 / 24 an VLAN 1 Zurck in den Konfigurationsmodus Erzeugt ein zweites VLAN Benennung des VLAN 2 Gast Vergabe der IP 192.168.1.1 / 24 an VLAN 2 Zurck in den Konfigurationsmodus Erzeugt ein drittes VLAN Benennung des VLAN 3 Lehrer_1 Seite 51
Technikerarbeit Sommer 2005 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. Procurve(vlan-3)# ip address 192.168.2.1 255.255.255.0 Procurve(vlan-3)# exit Procurve(config)# vlan 4 Procurve(vlan-4)# name Lehrer_2 Procurve(vlan-4)# ip address 192.168.3.1 255.255.255.0 Procurve(vlan-4)# exit Procurve(config)# vlan 5 Procurve(vlan-5)# name Schueler_1 Procurve(vlan-5)# ip address 192.168.4.1 255.255.255.0 Procurve(vlan-5)# exit Procurve(config)# vlan 6 Procurve(vlan-6)# name Schueler_2 Procurve(vlan-6)# ip address 192.168.5.1 255.255.255.0 Procurve(vlan-6)# exit Vergabe der IP 192.168.2.1 / 24 an VLAN 3 Zurck in den Konfigurationsmodus Erzeugt ein viertes VLAN Benennung des VLAN 4 Lehrer_2 Vergabe der IP 192.168.3.1 / 24 an VLAN 4 Zurck in den Konfigurationsmodus Erzeugt ein fnftes VLAN Benennung des VLAN 5 Schueler_1 Vergabe der IP 192.168.4.1 / 24 an VLAN 5 Zurck in den Konfigurationsmodus Erzeugt ein sechstes VLAN Benennung des VLAN 6 Schueler_2 Vergabe der IP 192.168.5.1 / 24 an VLAN 6 Zurck in den Konfigurationsmodus
Seite 52
Technikerarbeit Sommer 2005 30. 31. 32. 33. 34. 35. Procurve(config)# radius-server host 192.168.0.1 key test123 Procurve(config)# aaa authentication port-access eapradius Procurve(config)# aaa portaccess authenticator active Procurve(config)# aaa portaccess authenticator ethernet 123 Procurve(config)# aaa portaccess authenticator ethernet 123 unauth-vid 2 Procurve(config)# aaa portaccess authenticator 1-11 authvid 3 Procurve(config)# port-security ethernet 1-11 learn-mode portaccess Procurve(config)# management-vlan 1 Procurve(config)# primary-vlan 2 Konfiguration der Parameter des Radius-Servers (IP und Passwort) Aktivierung des EAP kompatiblen Radius-Server fr die IEEE 802.1x Authentifikation Aktivierung von IEEE 802.1x Konfiguriert die Ports 1-23 als IEEE 802.1x Authentifizierungsports Legt Portbereich welche die unauthentifizierte Clients nach VLAN 2 Gast verbinden Legt Portbereich welche die authentifizierte Clients ab VLAN 3 verbinden (die Auswahl der VLANs wird ber Radius durchgefhrt) Aktiviert Sicherheitsfunktion, dass sich gleichzeitig nur ein Client ber den Port authentifizieren kann Definiert VLAN 1 als ManagementVLAN Definiert VLAN 2 als Primr-VLAN
36. 37. 38.
39. 40.
Procurve# write memory Procurve# copy startup-config tftp 192.168.0.10 startup-config
Sichert die Running-Config in Startup-Config Sichern der Startup-Config von Flash auf PC ber TFTP
Seite 53
14.0.0 Sicherheit im Netzwerk

Mit dem Ziel eines sicheren Netzwerkes, einer sicheren VLAN Zuweisung und einer sicheren portbasierenden Authentifizierung mussten, wie in vielen technischen Bereichen, auch bei diesem Projekt Sicherheitstests durchgefhrt werden. Um diese Tests so realittsnah wie mglich zu gestalten wurden spezielle Softwaretools wie Broadcom Advanched Control Suite 2 und Ethereal zur Hilfe genommen.
14.1.0 Netzwerkdiagnosesoftware
14.1.1 Broadcom Advanched Control Suite 2
Das Programm Advanched Control Suite 2 von Broadcom ist ein spezielles Software-Tool mit dem man von der Netzwerkkarte, zustzliche weitere virtuelle Netzadapter erstellen kann. Durch diese erstellten virtuellen Netzadapter kann man wiederum VLANs erzeugen und an das Netz, Ethernetframes senden die IEEE 802.1q Felder enthalten (also tagged). Downloadlink: http://www.broadcom.com/ Installation: Bei der Installation mssen folgende Komponenten ausgewhlt werden: - Advanced Suite - BASP Benutzung der Software: Schritt 1: Um ein VLAN zu erstellen auf den entsprechenden Netzwerkadapter klicken (VLAN erstellen)
Seite 54
Netzadapter auswhlen
VLAN erstellen
Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs
Schritt 2: Eigenschaften des neuen VLANs angeben: - VLAN-ID angeben - VLAN Name angeben - Auswhlen markiertes VLAN / unmarkiertes VLAN: Unmarkiertes VLAN aktiviert: es werden ganz normale Ethernetframes aus diesem virtuellen Netzweradapter gesendet (untagged) Unmarkiertes VLAN deaktiviert: es wird das 802.1q zu dem Frame hinzugefgt (tagged)
VLAN-ID
Auswahl:unmarkiert/markiert
VLAN Name Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs
Schritt 3: Mit OK Button besttigen und mit bernehmen Button die Erstellung des Virtuellen Netzadapters besttigen
Seite 55
14.1.2 Ethereal Network Protocol Analyzer

Ethereal ist ein kostenloser Netzwerk Protokoll Analysator mit grafischer Oberflche fr Unix und Windows. Ethereal mit WinPcap ermglicht es, den Datenverkehr in einem Netzwerk aufzuzeichnen und zu analysieren. Es ist auch mglich mit diversen Filtern zu arbeiten und nur bestimmte Packetarten zu betrachten. Downloadlink: http://www.ethereal.com/ Installation: Es mssen folgende Software-Komponenten installiert werden: - WinPcap_3_0 - Ethereal Benutzung der Software: Schritt 1: In der Menleiste Capture \ Start auswhlen und unter Interface den entsprechenden Netzadapter auswhlen und mit OK Button besttigen. Datenverkehr wird aufgezeichnet;
Auswahl des Netzadapters
Abb. 40: Ethereal, Auswahl des Netzadapters
Seite 56
Technikerarbeit Sommer 2005 Schritt 2: Das folgende Fenster zeigt eine prozentuale bersicht, welche Art von Ethernet Paketen zu dieser Zeit gerade ber den Netzwerkadapter fliesen. Mit dem Stop Button wird die Aufzeichnung durch Ethereal beendet
Abb. 41: Ethereal, Aufzeichnung Datenverkehr
Hier ein Beispiel einer Netzanalyse
Abb. 42: Ethereal, Netzanalyse
Seite 57
14.2.0 Sicherheitsprfungen der VLANs

Wie bereits im Vorwort erwhnt, ist es sehr wichtig im Netzwerk auf Sicherheitslcken zu achten. Nach vollendeter Konfiguration der beiden Switches sind nun einige Sicherheitstests notwendig um mglichst viele Sicherheitslcken auszuschlieen. Dazu wurden mgliche, nachfolgend erluterte Szenarien durchgespielt. Um in diesen Szenarien beschriebenen Sicherheitsprobleme auszuschlieen, wurden folgende Tests ausgefhrt. Test 1: Client A besitzt ein gltiges Zertifikat fr VLAN 4, hat sich an den Switch angeschlossen und wurde erfolgreich nach VLAN 4 authentifiziert. Frage: Ist der Client durch Benutzung von IEEE 802.1q in der Lage, mit den anderen als den ihm zugewiesenen VLANs zu kommunizieren?
Client A - Zertifikat fr VLAN 4 - IEEE 802.1q Workgroup Switch
Abb. 43: Sicherheitsprfung 1
Terminal
Test 2: Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden. Frage: Kann der Client, obwohl er nicht authentifiziert ist, mit irgendeinem VLAN kommunizieren?
Client A - kein bzw. kein gltiges Zertifikat Workgroup Switch

- IEEE 802.1q Terminal
Seite 58
Technikerarbeit Sommer 2005 Test 3: Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage getaggte Frames durch benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen. Frage: Kann der Client B ber den bereits fr Client A authentifizierten Switch-Port in irgendein VLAN kommunizieren?
Client A - Zertifikat fr VLAN 4 - IEEE 802.1q Terminal
Workgroup Switch
Hub
Client B - kein bzw. kein gltiges Zertifikat - IEEE 802.1q Laptop
14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950

Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch Cisco Catalyst 2950 mit folgenden Ergebnissen durchgefhrt: Ergebnisse Test 1.1: Client A und Client X sind erfolgreich in authentifiziert und befinden sich in VLAN 4. Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client X: Zertifikat fr VLAN 4 IP: 192.168.3.4
Abb. 46: Sicherheitstest 1, Cisco, Bild 1
Seite 59
Technikerarbeit Sommer 2005 Client X kann in VLAN 4 Client A erfolgreich anpingen.
Ergebnisse Test 1.2: Client A wurde in VLAN 4 erfolgreich authentifiziert Client X wurde in VLAN 5 authentifiziert anschlieend wurde TCP/IP deaktiviert und ein virtueller Netzadapter durch Broadcom erstellt. Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client X: Virtueller_Netzadapter: TCP/IP akt. 802.1x akt. EAP-TLS_CA Zertifikat akt.
IP: 192.168.3.5
Seite 60
Technikerarbeit Sommer 2005 Parameter des virtuellen Netzadapters
Pingversuch von Virtueller_Netzadpter an Client A gescheitert
Pingversuch von Client A an Virtueller_Netzadpter ebenfalls gescheitert
Clients A und X knnen miteinander nicht kommunizieren, da sie sich in unterschiedlichen VLANs befinden.
Ergebnisse Test 2: Seite 61
Technikerarbeit Sommer 2005 Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden. Um zu berprfen, ob der Client A mit VLAN 4 kommunizieren kann, obwohl er nicht authentifiziert ist, lauscht Client X mittels Ethereal den Datenverkehr dieses VLANs. Pingversuch von Client A an Client X ist erfolglos. Client A : ohne Zertifikat IEEE 802.1q Client X: Zertifikat fr VLAN 4 IP: 192.168.3.3
Client A kann den Client X nicht erreichen. Hiermit ist gewhrleistet, dass die VLANs vllig abgetrennt sind. Bei der Aufzeichnung auf Client X (Ethereal) kommen keine Ping-Pakete von Client A an. Daher ist die Sicherheit hier gewhrleistet.
Ergebnisse Test 3: Seite 62
Technikerarbeit Sommer 2005 Client A: Zertifikat fr VLAN 4 / IP: 192.168.3.3 Client B: ohne Zertifikat / IP: 192.168.3.4 IEEE 802.1q Client X: Zertifikat fr VLAN 3 / IP: 192.168.2.2 Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage, getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen. Der ClientB kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
Der Client B kann mit den Client X nicht kommunizieren.
Seite 63
14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524

Die im Kapitel 14.2.0 genannten Sicherheitstests wurden an dem Switch HP Procurve 2524 mit folgenden Ergebnissen durchgefhrt: Ergebnisse des Test 1.1: Client A und Client B sind erfolgreich authentifiziert und befinden sich in VLAN 3 bzw. VLAN 4
Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client B: Zertifikat fr VLAN 3 IP: 192.168.2.2
Abb. 57: Sicherheitstest 1, HP, Bild 1
Switch kann die authentifizierten VLAN Teilnehmer erfolgreich anpingen.
Seite 64
Technikerarbeit Sommer 2005 Client A konnte den Client B im VLAN 3 nicht anpingen.
Ergebnisse des Test 1.2: Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 802.1x akt. Authentifiziert Virtueller_Netzadapter Zertifikat akt. IP: 192.168.3.4 802.1x akt. nicht authentifiziert Client B Zertifikat fr VLAN 3 IP: 192.168.2.2
Erstellung eines virtuellen Netzadapters
Seite 65
Technikerarbeit Sommer 2005 Ping von virtuellen_Netzadapter an Client A in VLAN 4, keine Antwort.
Virtuellen_Netzadapter kann Client B in VLAN 3 nicht anpingen.
Virtuellen_Netzadapter kann Admin_VLAN nicht anpingen.
Von Switch konnte der Client B in VLAN3 angepingt werden, richtiger Weise konnte weder der Client A noch der Virtuelle_Netzadapter angepingt werden
Seite 66
Technikerarbeit Sommer 2005 Ergebnisse des Test 2: Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden, und versucht, durch Benutzung von IEEE 802.1q mit dem VLAN 3 zu kommunizieren. Client A kann VLAN 3 nicht erreichen.
Client A : ohne Zertifikat IEEE 802.1q VLAN 3: IP: 192.168.2.1 Client X: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client X kann mit VLAN 4 erfolgreich kommunizieren
Seite 67
Technikerarbeit Sommer 2005 Der Versuch zeigt, was passieren wrde, wenn es nicht sicher wre, also wenn die Pings den Zielrechner erreicht htte.
Ergebnisse des Test 3: Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client B: ohne Zertifikat IP: 192.168.3.4 IEEE 802.1q Client A: Zertifikat fr VLAN 3 IP: 192.168.2.2
Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.
Seite 68
Technikerarbeit Sommer 2005 Der Client B kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
Der Client B kann den Client X nicht erreichen
14.2.3 Fazit
Viele Netzwerkbesitzer trsten sich ber ihre Sicherheitslcken mit dem Satz Eindringlinge kommen ja doch berall hinein hinweg und ziehen es daher vor, keinerlei Sicherungen anzubringen und darauf zu hoffen dass alles gut wird. Anders, wie bei smtlichen Angelegenheiten im Leben, durchlief dieses funktionierende Projekt alle erdenklichen Sicherheitstests um mgliche Sicherheitslcken festzustellen und sie gegebenenfalls zu beseitigen. Dadurch hat sich herausgestellt, dass einige Nachverbesserungen unternommen werden mussten. An dieser Stelle ist zu erwhnen dass gerade die Sicherheit eines Netzes eine Eigenschaft ist, an der ein Stillstand einem Rckschritt gleich wre. Daher sind diese Tests keine Garantie fr die zuknftigen Anwendungen. Sicherheit muss kontinuierlich verbessert werden.
Seite 69
15.0.0 Schlusswort
Nach erfolgreicher Beendigung unserer Technikerarbeit knnen wir rckblickend sagen, trotz der Hhen und Tiefen die wir erlebt haben, dass wir uns sehr glcklich schtzen diese umfangreiche und anspruchsvolle Technikerarbeit gemeistert zu haben. Durch die Arbeit an diesem Projekt hatten wir die Gelegenheit viele Erfahrungen ber Netzwerktechnik und Hardwarekonfigurationen zu sammeln, die wir gerne in der weiteren Laufbahn unserer Kariere einsetzen werden. Daher mchten wir mit gutem Gewissen betonen, dass wir uns bestimmt wieder fr diese Technikerarbeit entscheiden wrden, wenn wir es uns noch einmal aussuchen drften. Darber hinaus haben wir die Mglichkeit gehabt, uns gegenseitig, und die anderen die an diesem Projekt beteiligt waren, besser kennen zu lernen.
Seite 70
16.0.0 Abbildungsverzeichnis
Abb. 1: VLAN Schema ................................................................................................8 Abb. 2: Wikipedia ......................................................................................................11 Abb. 3: Layer 1 VLAN................................................................................................15 Abb. 4: Layer 2 VLAN................................................................................................15 Abb. 5: Ethernet Framing-Fields vor dem Tagging....................................................18 Abb. 6: Ethernet Framing-Fields nach dem Tagging .................................................18 Abb. 7: Ausschnitt eines VLAN-Tags ........................................................................19 Abb. 8: Trunk-Verbindung .........................................................................................20 Abb. 9: IEEE 802.1x-Authentifizierung ......................................................................23 Abb. 10: Indikatoren Cisco Catalyst 2950 .................................................................28 Abb. 11: Front des HP Procurve 2524 Switch ...........................................................30 Abb. 12: Indikatoren HP Procurve 2524 ....................................................................32 Abb. 13: Tera Term Serial port setup ........................................................................34 Abb. 14: Tera Term New connection.........................................................................34 Abb. 15: PuTTY Verbindung ber das Intranet der GWS-Lrrach.............................35 Abb. 16: PuTTY Verbindung ber das Internet..........................................................36 Abb. 17: Einstellungen 3CDaemon ...........................................................................38 Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1 ......................................................40 Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2 ......................................................40 Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3 ......................................................41 Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server..........................................42 Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4 ......................................................42 Abb. 23: OS-Update HP Procurve 2524, Bild 1 .........................................................43 Abb. 24: OS-Update HP Procurve 2524, Bild 2 .........................................................43 Abb. 25: OS-Update HP Procurve 2524, Bild 3 .........................................................44 Abb. 26: OS-Update HP Procurve 2524, TFTP-Server .............................................44 Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1..................................................46 Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2..................................................46 Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3..................................................47 Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4..................................................48 Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5..................................................49 Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6..................................................50 Seite 71
Technikerarbeit Sommer 2005 Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7..................................................50 Abb. 34: Konfiguration des HP Procurve 2524, Bild 1 ...............................................51 Abb. 35: Konfiguration des HP Procurve 2524, Bild 2 ...............................................52 Abb. 36: Konfiguration des HP Procurve 2524, Bild 3 ...............................................53 Abb. 37: Konfiguration des HP Procurve 2524, Bild 4 ...............................................53 Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs.................55 Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs ...................55 Abb. 40: Ethereal, Auswahl des Netzadapters ..........................................................56 Abb. 41: Ethereal, Aufzeichnung Datenverkehr.........................................................57 Abb. 42: Ethereal, Netzanalyse .................................................................................57 Abb. 43: Sicherheitsprfung 1 ...................................................................................58 Abb. 44: Sicherheitsprfung 2 ...................................................................................58 Abb. 46: Sicherheitstest 1, Cisco, Bild 1....................................................................59 Abb. 47: Sicherheitstest 1, Cisco, Bild 2....................................................................60 Abb. 48: Sicherheitstest 1, Cisco, Bild 3....................................................................60 Abb. 49: Sicherheitstest 1, Cisco, Bild 4....................................................................60 Abb. 50: Sicherheitstest 1, Cisco, Bild 5....................................................................61 Abb. 51: Sicherheitstest 1, Cisco, Bild 6....................................................................61 Abb. 52: Sicherheitstest 1, Cisco, Bild 7....................................................................61 Abb. 53: Sicherheitstest 2, Cisco, Bild 1....................................................................62 Abb. 54: Sicherheitstest 2, Cisco, Bild 2....................................................................62 Abb. 55: Sicherheitstest 3, Cisco, Bild 1....................................................................63 Abb. 56: Sicherheitstest 3, Cisco, Bild 2....................................................................63 Abb. 57: Sicherheitstest 1, HP, Bild 1........................................................................64 Abb. 58: Sicherheitstest 1, HP, Bild 2........................................................................64 Abb. 59: Sicherheitstest 1, HP, Bild 3........................................................................65 Abb. 60: Sicherheitstest 1, HP, Bild 4........................................................................65 Abb. 61: Sicherheitstest 1, HP, Bild 5........................................................................66 Abb. 62: Sicherheitstest 1, HP, Bild 6........................................................................66 Abb. 63: Sicherheitstest 1, HP, Bild 7........................................................................66 Abb. 64: Sicherheitstest 1, HP, Bild 8........................................................................66 Abb. 65: Sicherheitstest 2, HP, Bild 1........................................................................67 Abb. 66: Sicherheitstest 2, HP, Bild 2........................................................................67 Abb. 67: Sicherheitstest 2, HP, Bild 3........................................................................68 Seite 72
Technikerarbeit Sommer 2005 Abb. 68: Sicherheitstest 3, HP, Bild 1........................................................................69 Abb. 69: Sicherheitstest 3, HP, Bild 2........................................................................69
Seite 73
17.0.0 Anhang
Im Anhang befinden sich folgende Dokumente: Konfigurationstext von Cisco Catalyst 2950 Konfigurationstext von HP Procurve 2524 Debug Radius Kommunikation Cisco Catalyst 2950 CD-Rom
Beiliegend befindet sich: Konfigurationsanleitung
Seite 74

2950 Cisco Router

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2950 Cisco Router

Uploaded by

Copyright:

Available Formats

Gewerbeschule Lrrach Gretherstrae 50 79539 Lrrach

Thema: Konfiguration von Netzwerkswitches fr portbasierende Authentifizierung und VLAN Zuweisung

Verfasser: Auftraggeber: Schule: Betreuer in der Schule: Zeitraum:

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005

3.0.0 Eidesstattliche Erklrung

Lrrach, den 12.05.2005

Schopfheim, den 12.05.2004

_________________________ Ycel Oktay

_________________________ Manuel Dollinger

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005

Abb. 1: VLAN Schema

Technikerarbeit Sommer 2005

5.2.0 Ziel der Technikerarbeit

5.2.2 Bereitgestellte Hardware

Technikerarbeit Sommer 2005

Technikerarbeit Sommer 2005

5.2.4 Verlauf der Technikerarbeit

Abb. 2: Wikipedia ______________________________ * 6 Wikipedia Enzyklopdie, http://de.wikipedia.org

Technikerarbeit Sommer 2005

5.3.0 Switches im Netzwerk der GWS-Lrrach

Technikerarbeit Sommer 2005

6.0.0 Funktionsweise eines VLANs

6.1.0 Realisierung von VLANs

6.1.1 Layer 1 VLAN

Technikerarbeit Sommer 2005

Abb. 3: Layer 1 VLAN

6.1.2 Layer 2 VLAN

Abb. 4: Layer 2 VLAN

Technikerarbeit Sommer 2005

6.1.3 Protokoll-basierendes VLAN

6.1.4 Regel-basierendes VLAN

6.2.0 Vorteile und Nachteile eines VLANs

Technikerarbeit Sommer 2005

7.0.0 VLAN Tagging (802.1Q Frame)

7.1.0 Funktionsweise VLAN Tagging

Abb. 5: Ethernet Framing-Fields vor dem Tagging

Ethernet Framing-Fields nach dem Tagging

Abb. 6: Ethernet Framing-Fields nach dem Tagging

Technikerarbeit Sommer 2005

7.1.1 Die Felder des 802.1Q/P

Ethertype VLAN 8100h 2 Byte

VLAN-ID Identifier 12 Bit

Abb. 7: Ausschnitt eines VLAN-Tags

Technikerarbeit Sommer 2005

Trunk-Verbindung Terminal Workgroup Switch Application Server

Technikerarbeit Sommer 2005

9.0.0 TACACS+ & IEEE 802.1x

9.1.0 AAA - Begriffsdefinitionen

Technikerarbeit Sommer 2005

9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung

Abb. 9: IEEE 802.1x-Authentifizierung

9.3.0 Sicherheit durch IEEE 802.1x

9.4.0 TACACS+ berblick

9.4.1 Funktion von TACACS

Technikerarbeit Sommer 2005 TACACS+ zustndig fr die Authentifizierung (Authentication), Autorisierung

Technikerarbeit Sommer 2005

10.0.0 Beschreibung der Hardware

10.1.0 Cisco Catalyst 2950

Abb. 10: Indikatoren Cisco Catalyst 2950