VLAN´s

[iktooe 10]

Hallo

Meine Frage richtet sich an Vlan´s.

Da wir erst seit kurzen mit Vlan´s arbeiten, habe ich noch nicht all zu viel Ahnung darüber.

 

Gibt es ein Meßgerät oder einen Sniffer der aus den Switches die diversen VLAN-Einträge rauslesen kann, bzw. gibt es irgend eine Möglichkeit (irgend ein Tool), einen Rechner im Vlan1 von einem PC im Vlan2 zu erreichen, oder ist das wirklich eine 100% sichere Abgrenzung.

 

Ich danke im Voraus

 

mfg IKTOOE

[scooby 10]

Hi,

 

also Vlan´s sind Broadcast Domain. Das heißt einfach das der Traffic der in einem VLAN entsteht auch in diesem VLan bleibt. Das heißt VLan1 und VLAN 2 können sich im normalfalle nicht unterhalten. Das Tool etc. von dem du redest ist ein Router. Dieser kann Vlan´s (Netzte) Verwalten und gegeneinander Routen. Das heißt über den Router der dann bei den PC´s als standart Gateway eingerichtet ist können sich die PC´s unterhalten.

Die VLan Einträge auslesen kann man über Netzwerkmanagement Systeme. Z.b. Cisco Works. Jenachdem wieviele Switche und wieviele Zeit du hast kannst du auch auf jeden Switch gehen und dir ein sh run ziehen und dir dann abschreiben welches VLAN Konfiguriert ist.

[mr._oiso 10]

Hallo iktooe

 

Zu Deiner Frage : Ja 100% sicher

 

Wie scooby schon sagte !

 

Sicherer jedoch wäre Vlan unter Cisco nur in ISL zu konfigurieren.

ISL = Inter Switch LInk (Cisco prop. Prot.)

ISL ist ein echtes Layer 2 Encapsulations Verfahren. Hier wird der

komplette IPv4 Frame eingepackt und für fast alle Netzadapter unlesbar, wenn da nicht ein "Switchport access vlan x" konfiguriert wird, welcher an einem Host connected Port den IPv4 Frame wieder auspackt und an den Host sendet.

Der Standard jedoch lautet 802.1q und ist echtes tagging im ToS Bit ! Hier wird die Vlan ID in den IPv4 Frame implementiert und von Host A bis Host B auch als IPv4 verschickt ! Ergo---unsicherer

Aber keine Sorge ! Es wirkt.

Selbst unter Windows lässt sich 802.1q konfigurieren !

 

Ein Tip :

 

Sollte es sich bei der Untersuchung nach der Vlan Konfiguration um einen Cisco Switch handeln, so reicht ein einfaches "sh run" oder "sh conf" nicht aus ! Nicht jeder Cisco Switch hat in der Konfiguration ein Interface in jedem seiner bekannten Vlan`s ! Besser wäre da ein "sh vlan" oder sogar "sh vlan database".

Hier erfährst Du mehr darüber was der Switch wirklich für Vlans kennt.

Bei Cisco ist das Schlüsselwort "VTP" Virtuelles Trunk Prot.

 

 

 

Beispiel Config 802.1q

 

http://www.cisco.com/en/US/tech/tk389/tk390/technologies_configuration_example09186a0080094784.shtml

 

Config ISL Trunk

 

http://www.cisco.com/en/US/tech/tk389/tk390/technologies_configuration_example09186a00800a875b.shtml

 

Understanding VTP

 

http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094c52.shtml

[scooby 10]

Hi,

 

das ist ein interessanter Ansatz Security beim Tagging. Diesen habe ich persöhnlich noch nie so gesehen.

Ich bin total von ISL abgekommen. Selbst Cisco sagt heutzutage ISL ist tod 802.1q ist das tagging lebt. Wenn du deine 3 dokumente durchliest siehst du unter dem Link von Cisco für 802.1Q Tagging das der Cisco 4000 2948G und 2980G mit CatOS nur 802.1q verstehen und kein ISL. Desweitern wenn man sich das Thema Voip anschaut baut Cisco dort auf 802.1Q Tagging.

Aus diesem Grunde setzte ich nur noch auf 802.1q. Desweitern ist es Hersteller übergreifend genormt und man hat keine großen Schwierigkeiten wenn man 2 Switche miteinader verbindet.

Aber das Thema Security muß ich mir mal in einer ruhigen Minute überlegen? Was konfigurierst du? ISL oder 802.1Q?

[iktooe 10]

Dnake für die Info, bin wieder ein bisschen schlauer geworden !!!

 

mfg iktooe

[mr._oiso 10]

Hi scooby

 

Du hast recht ! ISL wird von Cisco zukünftig nicht mehr

unterstützt. 802.1q ist nun mal Standard und wird hersteller-

übergreifend eingesetzt.

Darum konfiguriere ich auch nur noch 802.1q so weit es möglich ist.

 

 

Gruss

 

Mr._Oiso