1 Einleitung

Leserbeitrag von dem Forenmitglied "Milky"

In dieser Dokumentation soll zunächst ein knapper Überblick über die Abläufe in Netzwerkmodellen und - protokollen gegeben werden, welche als Grundlage für den Einbau und die Konfiguration eines Switches dienen. Die Funktionsweise eines Switches, dessen Betriebssystem mit seinen Optionen und die Erstkonfiguration sollen an einem Cisco Catalyst 3560 G in Einzelschritten gezeigt werden. Der letzte Gliederungspunkt soll eine komplette Erstkonfiguration in chronologischer Reihenfolge mit allen nötigen Kommandozeilen veranschaulichen. Die Dokumentation ist außerdem Basis für eine Schulung. Es wird ein Grundwissen der Netzwerktechnik vorausgesetzt, dennoch werden viele Kausalzusammenhänge, besonders die Einordnung eines Switches an der logisch und physisch richtigen Stelle des Netzes, erklärt.
Zuletzt ist anzumerken, dass zwar die Softwareversionen verschiedener Switches und Serien ähnlich sind, dennoch aber Unterschiede auftreten. Deswegen orientiert sich der folgende Text am Cisco Catalyst 3560G.
2 Vereinbarung

Zum besseren Verständnis werden nachstehende Formatierungen verwendet:

Schlüsselwörter einer Textpassage werden fett dargestellt
Befehle zur Konfiguration werden in „Anführungszeichen“ gesetzt
Sonstige Hervorhebungen werden durch Kursivschrift getätigt
3 Referenzmodelle

Damit zwei Hosts, die in verschiedenen Netzen liegen und mit unterschiedlichen Netzmedien verbunden sind ohne Fehler miteinander kommunizieren können, braucht man eine Reihe von Regeln und Konventionen. Die zwei bekanntesten Regelwerke sind das OSI- Referenzmodell und das TCP/IP Modell.
3.1 OSI

Das OSI- Modell (Open System Interconnection) wurde von der ISO (International Organisation for Standardisation) manifestiert, um eine einfachere Koordination von Netzwerkprozessen zu ermöglichen und bessere Interoperabilität her zu stellen. Der modulare Aufbau besteht aus sieben Schichten, die sich wie folgt zusammensetzen:
[attachment=10]hard1.png[/attachment]
Auf jeder Schicht arbeiten verschiedene Protokolle und verschiedene Hardwarekomponenten. Sendet der Absender Daten, so durchlaufen diese alle sieben Schichten seiner Seite von Schicht 7 bis Schicht 1. Auf Empfängerseite geschieht dies in umgekehrter Reihenfolge:

Anwendungsschicht: Schnittstelle zum Benutzer, beispielsweise der Browser
Darstellungsschicht: Datenformate, Datenstrukturen, Syntax, …
Sitzungsschicht: Verwaltet die Sitzungen
Transportschicht: Transport der Daten zwischen den Endsystemen
Vermittlungsschicht: Auf Schicht 3 findet die logische Adressierung statt =>Routing
Sicherungsschicht: Hier wird die physikalische Verbindung zum Netz hergestellt (MAC, LLC)
Bitübertragungsschicht: Steckverbindungen, Kabel (RJ45), …

Jede dieser Schichten stellt für die darüber liegende Schicht Dienste zur Verfügung und nutzt gegebene Dienste. Aus diesem Grund werden die Daten beim Durchlauf durch das System gekapselt (encapsulation). Bei dieser Datenkapselung werden die Daten in chronologischer Reihenfolge von Bits zu Frames, zu Paketen und zu Segmenten zusammengefasst. Diese Einheiten werden PDUs (Protocol Data Unit) genannt. Jede Schicht fügt dann den entsprechenden Header hinzu oder bezieht ihre Informationen daraus (Bitheader, Frameheader, Paketheader, Segmentheader).
[attachment=9]hard2.png[/attachment]
Auf Schicht 1 befinden sich nur „dumme Geräte “ wie ein Hub. Er kann lediglich Daten weiterleiten und den Takt auffrischen. Ab Schicht 2 hingegen arbeiten „intelligente Geräte“. Ein Switch kann anhand der MAC- Adresse (Media Access Control) Entscheidungen treffen, über welchen Port er ein Paket leiten muss. Eine Ebene höher, auf Schicht 3, werden die Daten vom Router übernommen und (üblicherweise) über das WAN weitergesendet. Router benutzen die IP- Adresse für Routing Entscheidungen. Der Cisco Catalyst 3560 G ist zwar ein Switch, also ein Schicht 2 Gerät, dennoch hat er Schicht 3 – Eigenschaften.
3.2 TCP/IP

Das TCP/IP Protokoll (Transmission Control Protocol/ Internet Protocol) wird auch Internetprotokoll genannt. Es besteht im Gegensatz zum OSI- Modell nur aus 4 Schichten. Infolgedessen unterscheiden sich auch die Aufgaben der einzelnen Schichten, obwohl sie zum Teil identisch benannt sind.
3.3 Gegenüberstellung

Die Netzzugangsschicht beinhaltet Funktionen von Sicherungs- und Bitübertragungsschicht. Anwendungsschicht, Darstellungsschicht und Sitzungsschicht des OSI- Modells bilden die Anwendungsschicht des TCP/IP – Modells.
[attachment=8]hard3.png[/attachment]
4 Physische Installation eines Switches

Über den handwerklichen Einbau eines Switches in ein Netzwerk gibt es nicht viele Informationen. Der Switch wird fest in einem LAN- Schrank (Netzwerk- Verteilerschrank) verschraubt. Wenn möglich, sollte dieser Schrank abgesperrt sein, denn nur so ist sicherzustellen, dass niemand unrechtmäßig Hardware und Konfiguration manipuliert. Die Umgebungstemperatur darf auf Dauer nicht zu hoch sein, weswegen Rechenzentren in der Regel über Klimaanlagen verfügen. Mit der dauerhaften Erhöhung der Temperatur sinkt die Lebensdauer von Hardware! Gleiches gilt für die Luftfeuchtigkeit. Es gibt verschiedene Ansichten zu Optimaltemperaturen und idealer Luftfeuchte:20-25°C bei einer relativen Feuchtigkeit von ~ 55% wären absolut im akzeptablen Bereich. Schutz vor Überspannung bietet eine USV (unterbrechungsfreie Stromversorgung). Zwar nimmt ein Switch bei einem Stromausfall keinen technischen Schaden, dennoch ist es wichtig, dass zum Beispiel Core- Switches möglichst ausfallsicher arbeiten.
4.1 Erforderliche Medien der Schicht 1 des OSI Modell

Um die Erstkonfiguration eines Switches durchzuführen und den weiteren Zugriff auf die Konsole zu gewährleisten, müssen folgende Medien zur Verfügung stehen:

Rollover Kabel (serielles Kabel für den Zugriff auf den Konsolenport)
Straight Through Kabel
RJ45 an DB9 Adapter (oft für den Anschluss am Computer nötig)
Computer
Terminalemulationsprogramm (für den Zugriff auf das IOS)
4.2 Anschlüsse an einem Switch

Ein Switch verfügt über Netzwerkanschlüsse und einen Managementanschluss. Für die Erstkonfiguration über Konsole wird das Rollover Kabel mit Adapter an einen Computer und den Switch (Managementport) angeschlossen. Ist die Einrichtung der Telnetleitungen abgeschlossen, kann über Fernwartung (Straight Through Kabel) konfiguriert werden. Zusätzlich zu den 24 oder 48 Fast Ethernet Ports besitzt der Switch 4 Gigabit Ports.
5 Funktionsweise eines Switches

In einem Netzwerk mit mehreren Hosts benötigt man in der Regel einen Switch, um Datenkollisionen zu vermeiden. Ein Hub würde Daten einfach über alle Ports weitersenden, ein Switch hingegen filtert anhand der MAC- Adresse und verhindert so, dass Daten überhaupt an falsche Hosts gesendet werden.

Wie oben angesprochen befindet sich ein Switch auf Schicht 2 des OSI- Modells. Folglich trifft er Entscheidungen bezüglich der Weiterleitung von Paketen. Für diesen Vorgang verwendet er die MAC- Adressen der einzelnen Hosts im Netz.
5.1 CAM- Tabelle

Ein Switch „lernt“, während er arbeitet. Befinden sich drei Hosts in einem Netz, Host A, Host B und Host C, so ereignet sich Folgendes:

Host A sendet ein Paket an Host B
Der ungelernte Switch sendet das Paket an Host B und Host C
Host B erkennt, dass das Paket für ihn adressiert ist und gibt Rückantwort
Anhand der Rückantwort erkennt der Switch, an welchem Port Host B hängt
5.2 Flash/Rom/NVRAM/TFTP und Bootvorgang

Ähnlich einem Desktop- PC besteht auch ein Switch aus verschiedenen Hardwarekomponenten. Insbesondere die verschiedenen Speicher sind hier interessant. Um die Anwendungsbereiche der einzelnen Speicherformen besser verstehen zu können, wird der Bootvorgang eines Switches grafisch dargestellt:
[attachment=7]hard4.png[/attachment]
Grundsätzlich braucht man für den normalen IOS Betrieb eine Konfigurationsdatei und natürlich das IOS selbst. Nachdem man den Switch mit Strom verbunden hat, wird das Bootstrap- Programm aus dem ROM geladen. Dieser Bootstrap Lader enthält einfache Befehlszeilen, die unter anderem dafür verantwortlich sind, dass ein sogenannter POST (Power On Self Test), eine kurze Überprüfung der Hardware, beginnt. Ist die Hardware funktionsfähig, wird das IOS initialisiert. Es befindet sich im Flash – Speicher (nicht flüchtig). Am Ende des Bootvorgangs wird die im NVRAM (non volatile = nicht flüchtig) liegende Konfigurationsdatei geladen. Ab diesem Zeitpunkt werden verschiedene Switching Zwischenspeicher oder eingegebene Anweisungen im RAM gespeichert (flüchtig!) und erst mit dem Befehl „write“ oder „copy running-config startup-config“ in den NVRAM gespeichert (von der momentan laufenden Konfiguration wird in die Startkonfiguration gespeichert). Weiterhin gibt es die Möglichkeit Daten auf einen TFTP- Server zu speichern oder sie von dort zu beziehen. Findet der Switch beispielsweise beim Startvorgang keine Konfigurationsdatei im NVRAM, so versucht er diese auf einem TFTP Server zu finden. Erst, wenn hier auch keine Datei zur Verfügung steht, wird ein Setup Modus geladen. Dies entspricht einem nicht- konfigurierten Switch.
6 Cisco IOS und Konfigurationsdatei

Das Cisco IOS ist das Betriebssystem des Switches (Internetwork Operating System). Ohne Software ist Hardware quasi nutzlos, deswegen ist das IOS ein wichtiger Bestandteil dieser Dokumentation. Gleichzeitig braucht man einen zweiten Softwarebestandteil, nämlich die Konfigurationsdatei. In ihr werden alle eingerichteten Dienste und alle getätigten Einstellungen gespeichert.
6.1 Benutzerebenen

Vor allem aus Sicherheitsgründen ist das IOS in mehrere Ebenen unterteilt. Zunächst befinden Sie sich in der Benutzer- Ebene . Hier ist die Handlungsfähigkeit eingeschränkt. Dies wird in der Konsole durch „>“ gekennzeichnet. Erst in der nächsten Ebene, im privilegierten Modus (#) kann man Einstellungen vornehmen und hat Zugriff auf den sogenannten globalen Konfigurationsmodus und alle folgenden Schichten. Dieser Modus ist befugt, Änderungen an der Konfiguration von Router und allen Schnittstellen vorzunehmen. Auf allen Ebenen wird mit einer Befehlszeilenschnittstelle (Exec) gearbeitet.
[attachment=6]hard5.png[/attachment]
6.2 Kennwörter

Damit sich Unbefugte keinen Zugang zu Ebenen mit Konfigurationsmöglichkeit beschaffen, sind diese passwortgesichert. Der Wechsel vom benutzer- in den privilegierten Modus erfolgt durch das Enable Passwort. Dieses Passwort wird allerdings nicht verschlüsselt und ist somit relativ unsicher. Resultierend daraus gibt es noch ein zweites Passwort, um in diesen Modus zu gelangen: Enable Secret . Es wird mit einem MD5 Logarithmus verschlüsselt. Zwar gibt es die Möglichkeit, mit dem Befehl „service password encryption“ auch das Enable – Passwort verschlüsseln zu lassen. Jedoch ist dieser Schlüssel, im Gegensatz zum MD5 Schlüssel, nicht sehr sicher.
Des Weiteren sollte man auch die Telnet „Zuleitungen“ mit einem Passwort schützen.
6.3 Betriebsumgebungen

Die beschriebenen Vorgänge im IOS finden im Cisco IOS Modus statt. Zur Wiederherstellung nach Systemfehlern, zur Rücksetzung von Passwörtern oder für systemnahe Diagnosen erfordern den ROMmonitor . Will man das Flash- Abbild erneuern, so lautet die benötigte Betriebsumgebung Boot Rom .
6.4 Konfigurieren des Switches

In den folgenden Gliederungspunkten soll auf die eigentliche Konfiguration des Switches eingegangen werden.
6.5 Passwortvergabe

Nach dem Bootvorgang gelangen Sie direkt in den Setup Modus. Hier werden Ihnen zunächst Fragen bezüglich einer „erleichterten und kurzen“ Grundkonfiguration gestellt. Diese beantworten Sie mit „no“. Als ersten Schritt werden nun die Passwörter für den privilegierten Modus und die Telnet Verbindungen gesetzt. Wie bereits angesprochen empfiehlt es sich, das Enable Secret Passwort einzusetzen.
6.6 Hostname und IP Adresse

Sowie die Passwörter aktiv sind, geben Sie dem Switch zur besseren Identifizierung einen Hostnamen. In den meisten Fällen wird dieser Name einen unternehmensspezifischen Hintergrund haben. Außerdem vergeben Sie eine IP Adresse (natürlich mit Subnetz Maske), welche ebenfalls von der jeweiligen Netzstruktur mit Subnetzen und Subnetzmasken abhängig ist.
6.7 VLAN

Ein VLAN (= Virtual Local Area Network) ist ein virtuelles Netzwerk. Es befindet sich innerhalb eines anderen physischen Netzwerkes oder innerhalb der physischen Strukturen eines Switches. So ein logischer von der Verkabelung unabhängiger Aufbau inmitten eines geswitchten Netzes hat Vorteile bezüglich Sicherheit und Komplexität:

Netze können speziell nur für beispielsweise einen Unternehmensbereich verfügbar sein
Einzelne VLAN Netze sind voneinander getrennt, weder Unberechtigte noch Schadsoftware können in andere VLANs gelangen
Broadcast Domänen werden verkleinert =>Gesamtleistung des Netzes wird verbessert

Das native VLAN ist VLAN 1, es kann nicht gelöscht werden und ist Vorraussetzung für die Remotekonfiguration.
[attachment=5]hard6.png[/attachment]
6.8 Access und Trunk Ports

Zu dem Zweck konfiguriert man Switchports entweder als Access oder als Trunk Ports.

Ein Access Port liegt in einem einzigen VLAN. Konträr ist ein Trunk Port in mehrere VLANs involviert. Hierfür ist es notwendig, dass Pakete entsprechend ihrer VLAN Zugehörigkeit gekennzeichnet sind. Diese Methode heisst Tagging
6.9 Spanning Tree Protocol

Dieses Protokoll bewirkt, dass in einem geswitchten Netzwerk keine Schleifen entstehen. Ein festgelegter Root- Switch schickt regelmäßig „Hello Pakete“. Jeder Switch erhält dieses Paket an mehreren Ports und schaltet bis auf den Port, an dem das Paket zuerst ankam, alle Eingänge ab. So ist gewährleistet, dass zwar jeder Switch seine Daten erhält, aber keine Schleifen entstehen. Erhält ein Switch kein Hello Paket mehr, so setzt er die anderen Ports wieder in Betrieb. Auf diese Weise wird eine Redundanz ohne Schleifenbildung gewährleistet.
6.10 Banner

Für kurze unternehmensinterne Informationen eignet sich ein Banner. Dieser sollte jedoch nicht als Einladung für Unbefugte zu verstehen sein. Ein Text wie „Herzlich Willkommen“ zu Beginn einer Telnetsitzung sollte deswegen vermieden werden. Angaben zu systemverantwortlichen Personen hingegen wären sachgemäß.
6.11 Description

Hinter dem Begriff Description verbirgt sich eine einfache Schnittstellenbeschreibung. Um ein Firmennetzwerk o.Ä. übersichtlicher zu gestalten, sollte man neben einer ausführlichen Netzdokumentation auch einzelne Schnittstellen erläutern. Diese Beschreibung ist lediglich ein Kommentar, der Informationen wie benachbarte Router oder Netzte enthalten kann.
6.12 Radius Protocol und Triple- A- System

Ein weiterer Sicherheitsfaktor sind die AAA- Systeme:

Authentication: wer fragt an?
Authorization: was für Berechtigungen hat er?
Accounting: wie wird abgerechnet?

Hierzu gehört ein auf dem Server installiertes Protokoll (Radius), über welches der Switch Zugriffsrechte und Authentifizierungen abfragen kann. Die Überprüfung von Benutzername und Kennwort findet hier statt. Des Weiteren sind hier Benutzergruppen und zugehörige Rechte einzutragen. Diese Einstellungen werden auf dem Server zentral verwaltet.
7 Die Erstkonfiguration

Hier sollen nun alle Gliederungspunkte veranschaulicht und zugänglich gemacht werden, indem eine komplette Erstkonfiguration durchgeführt und kommentiert wird.
7.1 Ablauf einer Erstkonfiguration

Sobald ein Basiswissen über das IOS und die Befehlszeilenschnittstelle erlangt wurde, ist eine oberflächliche Konfiguration mühelos durchzuführen, da an jeder Stelle mit Eingabe eines Fragezeichens alle in diesem Abschnitt möglichen Befehle angezeigt werden. Mit Drücken der Leertaste oder der Eingabetaste kann man entweder eine Bildschirmseite oder nur Zeile für Zeile vorangehen. Für längere Befehle, welche wiederholt werden müssen (beispielsweise bei der Schnittstellenkonfiguration), gibt es einen Befehlspuffer. Dieser Puffer kann mit den Pfeiltasten gesteuert werden und enthält bis zu 256 Kommandos. Eine weitere Hilfe ist das Caret- Zeichen . Es markiert die Textstelle, an der möglicherweise ein Tippfehler oder ein falscher Befehl steht (das wäre der Fall, wenn Sie einen Befehl des privilegierten Modus im Benutzermodus eingeben wollen). Eine Fehlermeldung wird ausgegeben: % Invalid input detected at "^" marker . Will man eine konfigurierte Einstellung wieder rückgängig machen, setzt man das Wort no vor den entsprechenden Befehl (Beispiel:„no hostname Tokio“).
[attachment=4]hard7.png[/attachment]
[attachment=3]hard8.png[/attachment]
[attachment=2]hard9.png[/attachment]
[attachment=1]hard10.png[/attachment]
7.2 Konfiguration via Copy/Paste

Tauscht man einen Switch gegen ein äquivalentes Gerät, so steht oft eine vereinfachte Form der Konfiguration zur Verfügung. Ist der zu wechselnde Switch funktionsfähig, so kann man mit einem Emulationsprogramm wie Power Term die Konfiguration dieses Geräts in eine Textdatei speichern und mit Copy/Paste im neuen Gerät einpflegen. Über Kommunikation >Datei empfangen >ASCII >Dateiname erstellen Sie eine Textdatei, welche die Konfiguration enthalten wird.

Sobald die Textdatei erstellt ist, geben Sie den Befehl „show running-config“ am Switch ein und die komplette Auflistung aller Daten wird automatisch auch in die Textdatei übertragen. Ist der Datenabruf fertig, beenden Sie die Übertragung wie im Bild rechts dargestellt.
Einzelne Zeilen müssen nun noch bearbeitet werden:Die Textdatei muss mit der Zeile Version… beginnen und mit end schließen. Das Löschen von Kommentaren ist optional. Den Inhalt der fertigen Textdatei fügen Sie via Copy/Paste im globalen Konfigurationsmodus des neuen Switches ein. Ist der zu ersetzende Switch nicht mehr funktionsfähig, so kann man die Konfiguration eines gleichen Switches verwenden und lediglich individuelle Informationen, etwa die IP- Adresse, abändern.
Dieses Verfahren eignet sich auch für Sicherungskopien.
[attachment=0]hard11.png[/attachment]
8 Schlusswort

Abschließend gilt es zu sagen, dass diese Dokumentation als Basis einer Erstkonfiguration, jedoch nicht als komplette Konfigurationsanleitung eines Switches gesehen werden kann. Dies ist im vorgegebenen Rahmen nicht möglich. Zur Fehlerbehebung oder bei detaillierten Fragen ist in jedem Fall der Catalyst 3560 Switch Software Configuration Guide heranzuziehen. Dieses äußerst ausführliche Dokument finden Sie auf der Homepage der Firma Cisco Systems, Inc ( Cisco Systems, Inc).
Alle angegebenen IP- und Subnetzadressen sowie Hostnamen und andere Adressen sind frei erfundene Beispieldaten.
9 Literaturverzeichnis

Homepage der Firma Cisco (Konfigurationsguide Cisco Catalyst 3560G)
Cisco Curriculum Semester 1, 2 und 3
Cisco Packet Tracer v5.1 Application only
fotolia.de
wikipedia.de
Triple-A-Systeme
Radius Protocol
Tacacs+
VLAN Trunking Prot

Gruß raffisworld