protec 10 Geschrieben 15. April 2006 Melden Teilen Geschrieben 15. April 2006 würde gern mal wissen welche vorteile isl bietet?ist es schneller oder macht weniger fehler? oder doch lieber global bleiben und dot1q nutzen? vielen dank Zitieren Link zu diesem Kommentar
xyCruiseryx 10 Geschrieben 15. April 2006 Melden Teilen Geschrieben 15. April 2006 Ich glaube zu wissen das ISL nur in einer CISCO Umgebung zu nutzen ist...wenn ein Mischwerk hast is ISL mit 802.1q zu tauschen Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 17. April 2006 Melden Teilen Geschrieben 17. April 2006 Hola, ISL bietet dir keine Vorteile. ISL ist ein pre 802.1Q cisco propiertäres Protokoll. Der Standard heisst nun 802.1Q ==> use dot1Q Ciao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 ...ISL bietet dir keine Vorteile.... das stimmt so auch nicht ganz: ISL unterstützt eine größere Anzahl an VLANs als dot1Q (wers braucht) ISL ist außerdem eine Encapsulation, daher gibt es so etwas wie ein "untagged VLAN" per Design nicht, was wiederum VLAN-Hopping von vornherein ausschließt. Trotzdem möchte auch ich dir empfehlen bei dot1Q zu bleiben. ISL ist Cisco proprietär und wird meines Wissens auch von Cisco früher oder später nicht mehr supportet werden. Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Hola, mit den VLANs hast du Recht ( wird jedoch nichts bringen, da die internen SPT Instanzen so wie der CAM da Probleme haben wird). Auch ISL ist ein Protokoll wie .1Q und packt (encapsuliert) andere Protokolle ein. Auch .1q unterstützt ein getaggtes native vlan, da sonst double tagged frames (also .1q in .1q Tunnel) unmöglich währen. Warum sollte ISL nicht VLAN Hopping unterstützen? Cisao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Hola,mit den VLANs hast du Recht ( wird jedoch nichts bringen, da die internen SPT Instanzen so wie der CAM da Probleme haben wird). ein 45xx oder 65xx z.B. hat bestimmt kein Problem mit so vielen VLANs, der STP vielleicht schon eher aber da kann man immer noch auf MSTP umsteigen... aber ist ja eher eine hypothetische Diskussion weil so viele VLANs ohnehin kaum jemand braucht. Auch ISL ist ein Protokoll wie .1Q und packt (encapsuliert) andere Protokolle ein. Auch .1q unterstützt ein getaggtes native vlan, da sonst double tagged frames (also .1q in .1q Tunnel) unmöglich währen. Nein, ISL ist kein Protokoll wie dot1Q, auch wenn sie den selben Zweck erfüllen ISL ENKAPSULIERT d.h. packt den ursprünglichen Frame in ein neues Paket ein und am Ende des Trunks wieder aus dot1Q TAGGT d.h. dem ursprünglichen Frame wird die VLAN-Information dazwischengeschoben (getagged) Warum sollte ISL nicht VLAN Hopping unterstützen? VLAN-Hopping wird wohl von keinem seriösen Hersteller "unterstützt", Microsoft unterstützt ja auch keine Bluescreens ;-) VLAN-Hopping ist nur aus einem native VLAN (dot1q untagged) möglich, da es bei ISL aber etwas vergleichbares nicht gibt, besteht auch keine Gefahr auf ISL-Trunks. (will dot1q hier aber nicht in ein falsches Licht rücken, auf einem sauber konfigurierten dot1q-Trunk besteht diese Gefahr natürlich auch nicht) Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 19. April 2006 Melden Teilen Geschrieben 19. April 2006 Hallo, hier noch abschliessend ein paarAnmerkungen: zu 1: (wers braucht) --> richtig ISL: maximal 1000 VLANs 1Q: maximal 4096 VLANs zu 2: --> In computer networking, encapsulation is to include data from an upper layer protocol into a lower layer protocol. This is a method of abstraction for networking by allowing different layers to add features/functionality. <-- ISL packt also den gesamten Ethernet Frame ein. 802.1Q packt also das gesamte IP Paket ein. IP packt also das gesamten TCP /UDP Segment ein. Das Einpacken eines Protokolls in ein anderes nennt man dann encapsulation (das Auspacken decapsulation). Cisco Seite: Introduction This document provides the basic information and a summary of the frame fields for Inter-Switch Link (ISL) and IEEE 802.1Q encapsulation. Trunks are used to carry traffic that belongs to multiple VLANs between devices over the same link. A device can determine which VLAN the traffic belongs to by its VLAN identifier. The VLAN identifier is a tag that is encapsulated with the data. ISL and 802.1Q are two types of encapsulation that are used to carry data from multiple VLANs over trunk links. ISL is a Cisco proprietary protocol for the interconnection of multiple switches and maintenance of VLAN information as traffic goes between switches. ISL provides VLAN trunking capabilities while it maintains full wire-speed performance on Ethernet links in full-duplex or half-duplex mode. ISL operates in a point-to-point environment and can support up to 1000 VLANs. In ISL, the original frame is encapsulated and an additional header is added before the frame is carried over a trunk link. At the receiving end, the header is removed and the frame is forwarded to the assigned VLAN. ISL uses Per VLAN Spanning Tree (PVST), which runs one instance of Spanning Tree Protocol (STP) per VLAN. PVST allows the optimization of root switch placement for each VLAN and supports the load balancing of VLANs over multiple trunk links. 802.1Q is the IEEE standard for tagging frames on a trunk and supports up to 4096 VLANs. In 802.1Q, the trunking device inserts a 4-byte tag into the original frame and recomputes the frame check sequence (FCS) before the device sends the frame over the trunk link. At the receiving end, the tag is removed and the frame is forwarded to the assigned VLAN. 802.1Q does not tag frames on the native VLAN. It tags all other frames that are transmitted and received on the trunk. When you configure an 802.1Q trunk, you must make sure that you configure the same native VLAN on both sides of the trunk. IEEE 802.1Q defines a single instance of spanning tree that runs on the native VLAN for all the VLANs in the network. This is called Mono Spanning Tree (MST). This lacks the flexibility and load balancing capability of PVST that is available with ISL. However, PVST+ offers the capability to retain multiple spanning tree topologies with 802.1Q trunking. http://www.cisco.com/en/US/tech/tk389/tk390/technologies_tech_note09186a0080094665.shtml zu 3: Basic VLAN Hopping Attack: • A station can spoof as a switch with ISL or 802.1Q signaling (DTP signaling is usually required as well) • The station is then member of all VLANs • Requires a trunking favorable setting on the port (the SANS paper is two years old) Best practises: • Always use a dedicated VLAN ID for all trunk ports • Disable unused ports and put them in an unused VLAN • Be paranoid: Do not use VLAN 1 for anything • Set all user ports to non-trunking (DTP Off) Ciao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 19. April 2006 Melden Teilen Geschrieben 19. April 2006 hallo daking, danke für den ausführlichen Bericht. Jetzt weiß ich auch endlich was der Unterschied zwischen PVST und PVST+ ist. Das konnte mir bisher noch niemand so recht beantworten :-) Was die Anzahl der möglichen VLANs angeht hab ich mich wohl geirrt -> Sorry für die Fehlinformation!!! Zu meiner Verteidigung muss ich aber sagen, dass ISL ein 15Bit Feld für die VLAN ID vorsieht (also über 32000 Werte). Hab aber auch noch mal in den BCMSN-Unterlagen nachgelesen und dort heißt es, dass davon nur die ersten 10 Bit verwendet werden. Begründung gibts dafür keine :-( Bezüglich Encapsulation: Auch wenn in dem Text beide Protokolle als Encapsulation bezeichnet werden stimmt das für dot1q schlichtweg nicht. Eine Encapsulation setzt einen neuen Header vorraus, dot1q fügt aber nur ein zusätzliches Feld in den bestehenden Header ein. Zum VLAN-Hopping noch mal: Das beschriebene Verfahren (DTP ausnutzen) funktioniert natürlich für dot1q und ISL. Wer Hackern VLAN-Hopping auf diese Art ermöglicht ist aber selber schuld und hats verdient :-) Wirklich gehoppt wird bei dieser Variante auch nicht weil der Angreifer dann von vorn herein schon in dem VLAN sitzt das er angreifen will. "Echtes" VLAN-Hopping ist allerdings nur auf einem dot1q Trunk möglich da dabei die Eigenheit von dot1q ausgenutzt wird, dass das native VLAN unveränderte (untagged) Frames überträgt. Diese Eigenheit gibts bei ISL halt einfach nicht! Gruß Sailer Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Hallo, ISL encapsulates the Ethernet frame with a 26-byte header and a 4-byte frame check sequence (FCS) for a total of 30 bytes of overhead. ISL requires a minimum Fast Ethernet connection between the two devices. The 15-bit VLAN field in the ISL header allows for the multiplexing of the VLANs on a single wire. ISL supports up to 1024 VLANs because Cisco switches use the lower 10 bits of the 15-bit field. The range of ISL packet sizes is 94 bytes (64-byte minimum Ethernet frame + 30-byte ISL overhead) to 1548 bytes (1518-byte maximum Ethernet frame + 30-byte ISL overhead). Each VLAN will have its own spanning-tree topology in an ISL trunking configuration. For instance, if there are two VLANS configured on an ISL trunk, each VLAN will have its own root and spanning-tree topology layout. zu VLAN Hopping: ==>VLAN Hopping funktioniert an AccessPorts/Trunk Ports mit DTP enabled Cisco 2950 and 3500XL switches do not support DTP and are always in a mode similar to nonegotiate. If you turn trunking on for one of these devices, it will not negotiate with the other end of the link and requires that the other link be configured to on or nonegotiate. ==>Cat6k Cat4k default enabled Du kannst nun durch double tagged frames zwischen den Switches von VLAN A(Source) in VLAN B(Destination) gelangen. Natürlich bekommst du keine Antwort, jedoch ist das für einen DOS ausreichend. If you want to enable trunking and not send any DTP signaling, use the option nonegotiate for switches that support that function. If you want to disable trunking completely, use the off option for a COS switch or the no switchport mode trunk command on an IOS switch. konfigurierst du auf jedem trunk oder access port switchport nonegotiate? --->pcap trace Frame 5 (60 bytes on wire, 60 bytes captured) Ethernet II, Src: 01:01:aa:aa:aa:aa (01:01:aa:aa:aa:aa), Dst: 01:ff:ff:ff:ff:ff (01:ff:ff:ff:ff:ff) 802.1Q Virtual LAN 802.1Q Virtual LAN 802.1Q Virtual LAN 802.1Q Virtual LAN Internet Protocol, Src: 255.255.255.255 (255.255.255.255), Dst: 255.255.255.255 (255.255.255.255) Internet Control Message Protocol --->pcap trace Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Hallo! Hmm, da steht aber auch nicht drin wofür die restlichen 5Bit vom VLAN-Feld sind Eines der letzten Rätsel der Menschheit :) --> konfigurierst du auf jedem trunk oder access port switchport nonegotiate? Ja natürlich. Klingt vielleicht ein bisschen konservativ aber ich mag Dynamische Protokolle nicht besonders (außer beim Routing :p )-> ein Trunk soll ein Trunk sein, ein Access-Port ein Acces-Port, ein Channel ein Channel... Und wenn sich daran was ändert dann weils der Admin so wollte. Auf Links zwischen Switches drehe ich daher immer alle dynamischen Protokolle ab (DTP, LACP,...) Auf Access-Ports beginne ich die Konfiguration mit "switchport host" dann wird sowieso schon mal alles abgedreht was ein Host nicht braucht und STP-Portfast enabled. Das verkürzt übrigens die Zeit bis ein Host einen Link bekommt noch mal um ein paar Sekunden (also ich meine zusätzlich zum "STP-Portfast") Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Hola, ju hu willkommen im club!! warum islnicht mehr vlans unterstützt habe ich bis jetzt auch nicht gefunden. Denke da war nicht mehr eingeplant (na ja das sollte man noch genauer betrachten)?!? Ciao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 ju hu willkommen im club!! In welchem Club? "Club der konservativen Dynamik Verweigerer"? :D Bezgl ISL: Eingeplant muss es wohl irgendwo gewesen sein sonst hätten sie wohl nicht 15 Bit reserviert. Aber vielleicht sind sie nach ein paar Monaten drauf gekommen, dass niemand jemals 32000 VLANs brauchen wird bzw. aus Performancegründen nicht supportet werden kann :p Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.