Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Praxisbeispiel I: Eine Firma (Großhändler) mit 4 Organisationsbereichen verfügt bisher über folgende IT-Infrastruktur: Organisationsbereich Anzahl der.

Veröffentlicht von:Warinot Stolzenburg Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Praxisbeispiel I: Eine Firma (Großhändler) mit 4 Organisationsbereichen verfügt bisher über folgende IT-Infrastruktur: Organisationsbereich Anzahl der."—  Präsentation transkript:

1 Praxisbeispiel I: Eine Firma (Großhändler) mit 4 Organisationsbereichen verfügt bisher über folgende IT-Infrastruktur: Organisationsbereich Anzahl der PC`s Netztyp Netzstruktur OB1 Geschäftsleitung/ Personalwesen 4 Peer-To-Peer Gemeinsamer 8-Port-Hub 10BaseT OB2 Buchhaltung 3 OB3 Einkauf 8 10Base2 OB4 Verkauf 12 Als Netzwerkkarten sind Combo-Karten mit BNC- und RJ45-Anschluss eingebaut. Das Netzwerk soll auf 100BaseT umgestellt werden und einen Internet- Zugang erhalten. Zusätzlich wird ein Datenbankserver beschafft. Aus Sicherheitsgründen sollen die Workstation der einzelnen Organisations- bereiche sowie der Server künftig in separaten Subnetzen liegen. Einstieg

2 Der Kunde schlägt folgende Netzstruktur vor:
Praxisbeispiel II: Der Kunde schlägt folgende Netzstruktur vor: Switch_OB1 Switch_OB2 Switch_OB4 Switch_OB3 Datenbankserver Einstieg Achtung hieraus muss bereits ersichtlich sein, dass 5 Subnetze verwendet werden, die über den Router angebunden werden. Frage: Welche bessere und günstigere Lösung für den Kunden gibt es, die auch allen Sicherheitsansprüchen gerecht wird? Hinweis: 1. Es sind 28 Switchports erforderlich! 2. Es werden Switch mit 24 Ports eingesetzt!

3 Eine Lösung: Einsatz von: Virtual Local Area Network = VLAN
Router Switch_1 24 Ports Switch_2 24 Ports Trunk Trunk VLAN_OB1 (4 Hosts) VLAN_OB3 (8 Hosts) VLAN_DBS (1 Server) VLAN_OB2 (3 Hosts) VLAN_OB4 (12 Hosts) Vorteile: Geringerer Geräteaufwand, d.h. kostengünstiger! Hohe Sicherheit durch Frame-Tagging (auf Layer 2); Eingriff nur am Switch mgl.! Netzlast wird reduziert, da jedes Subnetz eine eigene Broadcast-Domäne bildet! Arbeitsgruppen müssen nicht räumlich zusammengefasst sein. Bei Umzug eines Benutzers fallen ggf. keine administrativen Aufgaben an! Details: Über Trunk-Ports (in der Regel Fast Ethernet) werden zwei physikalische Switche zusammengeschaltet (Cluster) Durch VLAN wird dieser Cluster in logische Switche unterteilt. Logische Switche kommunizieren nicht untereinander. Deshalb bleiben Broadcasts im logischen Switch begrenzt. Der Router gewährt Interoperabilität der verschiedenen Gruppen (VLAN). Jedes VLAN erhält ein Layer-3-Subnetz, um Routing bei entsprechender Konfiguration zu ermöglichen. Router ist über ein Trunk-.Port an den Switch angeschlossen und übernimmt das Routing zwischen den verschiedenen Subnetzen. Entsprechend sind auf dem Router 5 Subinterfaces einzurichten! Es ist ein VLAN-based Spanning Tree (STP) möglich.

4 Virtual Local Area Network = VLAN
Gruppenarbeit: Recherchieren Sie in Zweierteams, um Beratungskompetenz zu erhalten, im Internet bzgl. VLAN folgende Punkte: 1. Definition von VLAN 2. Gründe für den Einsatz von VLAN 3. Welche (2) gängige Arten von Verfahren (technische Realisierung) gibt es? 4. Was wird bei VLAN beim Ethernet-Frame geändert (IEEE-Standard)? 5. Welche Arten/Varianten der VLAN-Zuordnung gibt es? 6. Welche der zwei Varianten ist sicherer und warum? 7. Welche zwei Arten von Links gibt es nach der Einrichtung von VLAN an einem Switch? Unterschied? 8. Wie kann Verkehr zwischen unterschiedlichen VLAN realisiert werden? Dokumentation: Erstellen Sie für sich bzgl. der 8 obigen Punkte eine Mitschrift. Zeitlicher Ablauf: 1. Recherche im Internet: 30 Minuten 2. Mündliche Vorstellung (Antwort auf Fragen) im Anschluss: 15 Minuten

5 Virtual Local Area Network = VLAN
Definition: Ein VLAN ist ein virtuelles lokales Netzwerk innerhalb eines physikalischen Netzwerkes, das von seiner Ausbreitung über mehrere Switche gehen kann. Gründe für den Einsatz von VLAN: Althergebrachte „geswitchte“ Netzwerke haben: 1. Mit steigender Zahl der angeschlossenen Stationen eine steigende Broadcast-Last. 2. Ein Sicherheitsproblem, da jede Station jede andere direkt ansprechen kann! -> Eine Lösung dieser zwei Probleme sind VLAN! -> Mit VLAN können auf einem Switch oder über mehrere Switche hinweg (auch standortübergreifend) virtuell getrennte Netze realisiert werden! -> Durch diese Bildung von „Subnetzen“ verringern sich die Broadcasts! -> Für Verbindungen zwischen den virtuell getrennten Netzen sind Layer Switche oder Router erforderlich (mehr Sicherheit)! -> Benutzer können virtuellen Gruppen zugeordnet werden (Management, Personalstelle, Finanzbuchhaltung, Vertrieb,...) -> Zusätzlich steigt die Flexibilität beim Umzug eines Benutzers!

6 Virtual Local Area Network = VLAN
2 Arten von Verfahren bzgl. der Ausprägung (technischen Realisierung) sind überwiegend im Einsatz, die sich auf dem Layer 2 wesentlich unterscheiden (-> Z.T. spezielle Frames der Hersteller): - IEEE 802.1Q -> Frame-Tagging -> DOT 1Q - ISL (Inter Switch Link): Cisco proprietär -> Encapsulation -> nur für Verbindung zwischen den Switchen [Achtung: kein Support mehr!] Funktionsweise/Aufbau (Ergänzung) des neuen Ethernet-Frames (IEEE 802.1Q): 1. Jedem VLAN wird eine eindeutige Nummer zugeordnet (VLAN-ID). 2. Größe VLAN-ID: 12 bit = 4096 VLAN möglich (VLAN 0 und 4095 nicht zulässig) 3. Ethernet-Frame wird um 4 Byte erweitert (Frame-Tagging) TPID (Tag Protocol Identifier); Fixwert 8100(H) -> 2 Byte Priority (Prioritätsinformationen) -> 3 Bit, z.B. zur Priorisierung von Sprache! CFI (Canonical Format Identifier) -> 1 Bit, für MAC-Adressinformationen, i.d.R ; d.h. Format ist kanonisch (am wenigsten significantes Bit kommt zuerst)! VID (VLAN Identifier); -> 12 Bit zur Identifizierung des zugehörigen VLAN! 4. Die Erweiterung (4 Byte) wird im Ethernet-Frame durch den Switch nach der Quell-Mac-Adresse vor dem Type- bzw. Length-Field eingeschoben. 5. Beim Aussenden des Frame an ein Endgerät wird das Tag wieder entfernt. Hinweise: Dot 1Q: Default-Konfiguration: Alle Ethernet-Ports sind im VLAN 1! Link-Typen: - Access Links -> Ports für VLAN´s -> kann nur 1 VLAN zugeordnet werden - Trunk-Links -> Ports für Verbindung Switch/Router -> Default: transportiert multiple VLAN´s -> VLAN können begrenzt werden. Konfiguration: Switch a) VLAN definieren und anlegen b) VLAN den Switch-Ports zuordnen und konfigurieren Router a) Subinterfaces (virtuelle If) bilden b) Encapsulation festlegen c) IP-Adresse zuweisen d) no shut (da administratively down) PC Default-Gateway einrichten (IP des Router-Sub-If)

7 Virtual Local Area Network = VLAN
2 Arten der VLAN-Zuordnung sind im praktischen Einsatz: - Statische VLAN: Ein Administrator weist den Ports der Switche eine bestimmte VLAN-ID zu. Vorteil: Umzüge im Netz laufen nur kontrolliert ab! Nachteil: Geringere Flexibilität wg. Beteiligung Administrator! - Dynamische VLAN: Der Switch erkennt beim Umzug eines Rechners die MAC Adresse und liest aus einer VLAN-Managementdatenbank die Konfiguration (VLAN) des Ports aus Hierfür ist ein eigenes Protokoll erforderlich! GARP (Generic Attribute Registration Protocol) VMPS (VLAN Membership Policy Sercer) -> Cisco propr. Sicherheitsaspekte: Als sicherste der beiden Varianten sind die statischen VLAN zu betrachten, da hier: 1. eine feste Zuordnung von Switch-Port zu einem VLAN vorliegt und (2. über Port-Security auch die MAC-Adresse hinterlegt ist.) -> Dies bedeutet für das Ausspähen von Daten muss ein physikalischer Zugang zu einem VLAN vorliegen (und die MAC-Adresse stimmen).

8 Virtual Local Area Network = VLAN
Verbindung von mehreren Switchen: Normalerweise transportiert ein Switch-Port nur den Datenverkehr für das VLAN dem er zugeordnet wurde (z.B. Access-Link). Deshalb ist für ein VLAN, das sich über mehrere Switche ausbreitet, eine „Trunk“-Leitung (Trunk-Link) zwischen den Switchen erforderlich. Eine Trunk-Leitung kann eine Vielzahl von VLANS transportieren. -> Bei IEEE 802.1Q sind es 4094 und bei ISL 1024 VLAN! Die Trunk-Leitung wird in der Regel über Fast Ethernet realisiert! Inter-VLAN-Routing: 1. Jedes VLAN bildet eine eigene Broadcast-Domäne! 2. Um Verkehr zwischen den VLANS zu vermitteln, z.B. wie im Ausgangs-Bsp. der Zugriff auf den Datenbankserver ist ein Router bzw. ein Layer-3-Switch erforderlich! 3. Der Router bzw. Layer-3-Switch wird ebenfalls über eine Trunk-Leitung an einen der Switche angebunden! Hinweise: Dot 1Q: Default-Konfiguration: Alle Ethernet-Ports sind im VLAN 1! Link-Typen: - Access Links -> Ports für VLAN´s -> kann nur 1 VLAN zugeordnet werden - Trunk-Links -> Ports für Verbindung Switch/Router -> Default: transportiert multiple VLAN´s -> VLAN können begrenzt werden. Konfiguration: Switch a) VLAN definieren und anlegen b) VLAN den Switch-Ports zuordnen und konfigurieren Router a) Subinterfaces (virtuelle If) bilden b) Encapsulation festlegen c) IP-Adresse zuweisen d) no shut (da administratively down) PC Default-Gateway einrichten (IP des Router-Sub-If)

9 Virtual Local Area Network = VLAN
Beispiel Übersicht VLAN:

10 Virtual Local Area Network = VLAN
Beispiel (2 Verfahren bzgl. des Trunk Link): 1. Standard: 2. Cisco: (proprietär)

11 Virtual Local Area Network = VLAN
Übung:

12 Virtual Local Area Network = VLAN
Managen von VLAN: Wenn VLAN in einem geswitchten Netzwerk definiert werden kann dies bei einem großen Netz auch einen großen Aufwand für den Administrator bedeuten. In größeren Cisco-Netzwerken wird deshalb zum Verteilen der VLANs auf den Switchen das VLAN Trunking Protocol (VTP) eingesetzt. Das VTP nutzt die Layer-2-Trunk-Frames um die VLAN-Informationen an eine Gruppe von Switchen ein einem Netzwerk zu kommunizieren. VTP managed über VTP-Domänen und VTP-Modes (Server, Client, Transparent) das Hinzufügen, Entfernen und Umbenennen von VLAN über alle Switche eines Netzwerkes von einer zentralen Stelle aus. Bei einem Switch muss bei der Konfiguration (z.B. Erstinbetriebnahme) die VTP-Domäne, der er zugehört und der VTP-Mode zugeordnet werden.

Herunterladen ppt "Praxisbeispiel I: Eine Firma (Großhändler) mit 4 Organisationsbereichen verfügt bisher über folgende IT-Infrastruktur: Organisationsbereich Anzahl der."

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Von Hubs zu VLANs.

Von Hubs zu VLANs.
Netzwerke und Zubehör von Lars Schulz.

Netzwerke und Zubehör von Lars Schulz.
Einführung/Praxisbeispiel:

Einführung/Praxisbeispiel:
Lokale und globale Netzwerke

Lokale und globale Netzwerke
Repeater und Hubs bei 10Base2 und 10BaseT bzw. 100BaseT

Repeater und Hubs bei 10Base2 und 10BaseT bzw. 100BaseT
Präsentation von Daniel Hörl

Präsentation von Daniel Hörl
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Anwendungsverteilung und räumliche Ausdehnung

Anwendungsverteilung und räumliche Ausdehnung
Von Torsten Burmester Hauke Buder Matthias Kaluza

Von Torsten Burmester Hauke Buder Matthias Kaluza
C.M. Presents D.A.R. und Ein Bisschen dies und das!

C.M. Presents D.A.R. und Ein Bisschen dies und das!
Computer-Netzwerke FGT-IT-12 Netzwerke planen und installieren

Computer-Netzwerke FGT-IT-12 Netzwerke planen und installieren
Lokale und globale Netzwerke

Lokale und globale Netzwerke
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Netze Vorlesung 11 Peter B. Ladkin

Netze Vorlesung 11 Peter B. Ladkin
2. Link Layer Lernziele: – Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.

2. Link Layer Lernziele: – Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Warum vernetzen Unternehmen ihre Rechner?

Warum vernetzen Unternehmen ihre Rechner?
Ideen für ein campusweites VLAN-Konzept

Ideen für ein campusweites VLAN-Konzept

Ähnliche Präsentationen

Google-Anzeigen