vorteile von isl??

[protec 10]

würde gern mal wissen welche vorteile isl bietet?ist es schneller oder macht weniger fehler? oder doch lieber global bleiben und dot1q nutzen?

 

vielen dank

[xyCruiseryx 10]

Ich glaube zu wissen das ISL nur in einer CISCO Umgebung zu nutzen ist...wenn ein Mischwerk hast is ISL mit 802.1q zu tauschen

[daking 10]

Hola,

 

ISL bietet dir keine Vorteile. ISL ist ein pre 802.1Q cisco propiertäres Protokoll. Der Standard heisst nun 802.1Q ==> use dot1Q

 

Ciao

[Sailer 11]

...ISL bietet dir keine Vorteile....

 

das stimmt so auch nicht ganz:

ISL unterstützt eine größere Anzahl an VLANs als dot1Q (wers braucht)

ISL ist außerdem eine Encapsulation, daher gibt es so etwas wie ein "untagged VLAN" per Design nicht, was wiederum VLAN-Hopping von vornherein ausschließt.

 

Trotzdem möchte auch ich dir empfehlen bei dot1Q zu bleiben. ISL ist Cisco proprietär und wird meines Wissens auch von Cisco früher oder später nicht mehr supportet werden.

[daking 10]

Hola,

 

mit den VLANs hast du Recht ( wird jedoch nichts bringen, da die internen SPT Instanzen so wie der CAM da Probleme haben wird). Auch ISL ist ein Protokoll wie .1Q und packt (encapsuliert) andere Protokolle ein. Auch .1q unterstützt ein getaggtes native vlan, da sonst double tagged frames (also .1q in .1q Tunnel) unmöglich währen.

 

Warum sollte ISL nicht VLAN Hopping unterstützen?

 

 

Cisao

[Sailer 11]

Hola,

mit den VLANs hast du Recht ( wird jedoch nichts bringen, da die internen SPT Instanzen so wie der CAM da Probleme haben wird).

ein 45xx oder 65xx z.B. hat bestimmt kein Problem mit so vielen VLANs, der STP vielleicht schon eher aber da kann man immer noch auf MSTP umsteigen...

aber ist ja eher eine hypothetische Diskussion weil so viele VLANs ohnehin kaum jemand braucht.

 

 

Auch ISL ist ein Protokoll wie .1Q und packt (encapsuliert) andere Protokolle ein. Auch .1q unterstützt ein getaggtes native vlan, da sonst double tagged frames (also .1q in .1q Tunnel) unmöglich währen.

 

Nein, ISL ist kein Protokoll wie dot1Q, auch wenn sie den selben Zweck erfüllen

ISL ENKAPSULIERT d.h. packt den ursprünglichen Frame in ein neues Paket ein und am Ende des Trunks wieder aus

dot1Q TAGGT d.h. dem ursprünglichen Frame wird die VLAN-Information dazwischengeschoben (getagged)

 

 

Warum sollte ISL nicht VLAN Hopping unterstützen?

 

VLAN-Hopping wird wohl von keinem seriösen Hersteller "unterstützt", Microsoft unterstützt ja auch keine Bluescreens ;-)

VLAN-Hopping ist nur aus einem native VLAN (dot1q untagged) möglich, da es bei ISL aber etwas vergleichbares nicht gibt, besteht auch keine Gefahr auf ISL-Trunks.

(will dot1q hier aber nicht in ein falsches Licht rücken, auf einem sauber konfigurierten dot1q-Trunk besteht diese Gefahr natürlich auch nicht)

[daking 10]

Hallo,

 

hier noch abschliessend ein paarAnmerkungen:

 

zu 1: (wers braucht) --> richtig

ISL: maximal 1000 VLANs

1Q: maximal 4096 VLANs

 

zu 2:

 

-->

In computer networking, encapsulation is to include data from an upper layer protocol into a lower layer protocol. This is a method of abstraction for networking by allowing different layers to add features/functionality.

<--

 

ISL packt also den gesamten Ethernet Frame ein. 802.1Q packt also das gesamte IP Paket ein. IP packt also das gesamten TCP /UDP Segment ein. Das Einpacken eines Protokolls in

ein anderes nennt man dann encapsulation (das Auspacken decapsulation).

 

Cisco Seite:

 

Introduction

 

This document provides the basic information and a summary of the frame fields for Inter-Switch Link (ISL) and IEEE 802.1Q encapsulation.

 

Trunks are used to carry traffic that belongs to multiple VLANs between devices over the same link. A device can determine which VLAN the traffic belongs to by its VLAN identifier. The VLAN identifier is a tag that is encapsulated with the data. ISL and 802.1Q are two types of encapsulation that are used to carry data from multiple VLANs over trunk links.

 

ISL is a Cisco proprietary protocol for the interconnection of multiple switches and maintenance of VLAN information as traffic goes between switches. ISL provides VLAN trunking capabilities while it maintains full wire-speed performance on Ethernet links in full-duplex or half-duplex mode. ISL operates in a point-to-point environment and can support up to 1000 VLANs. In ISL, the original frame is encapsulated and an additional header is added before the frame is carried over a trunk link. At the receiving end, the header is removed and the frame is forwarded to the assigned VLAN. ISL uses Per VLAN Spanning Tree (PVST), which runs one instance of Spanning Tree Protocol (STP) per VLAN. PVST allows the optimization of root switch placement for each VLAN and supports the load balancing of VLANs over multiple trunk links.

 

802.1Q is the IEEE standard for tagging frames on a trunk and supports up to 4096 VLANs. In 802.1Q, the trunking device inserts a 4-byte tag into the original frame and recomputes the frame check sequence (FCS) before the device sends the frame over the trunk link. At the receiving end, the tag is removed and the frame is forwarded to the assigned VLAN. 802.1Q does not tag frames on the native VLAN. It tags all other frames that are transmitted and received on the trunk. When you configure an 802.1Q trunk, you must make sure that you configure the same native VLAN on both sides of the trunk. IEEE 802.1Q defines a single instance of spanning tree that runs on the native VLAN for all the VLANs in the network. This is called Mono Spanning Tree (MST). This lacks the flexibility and load balancing capability of PVST that is available with ISL. However, PVST+ offers the capability to retain multiple spanning tree topologies with 802.1Q trunking.

 

http://www.cisco.com/en/US/tech/tk389/tk390/technologies_tech_note09186a0080094665.shtml

 

zu 3:

Basic VLAN Hopping Attack:

 

• A station can spoof as a switch with ISL or 802.1Q signaling

(DTP signaling is usually required as well)

• The station is then member of all VLANs

• Requires a trunking favorable setting on the port (the SANS

paper is two years old)

 

Best practises:

 

• Always use a dedicated VLAN ID for all

trunk ports

• Disable unused ports and put them in an

unused VLAN

• Be paranoid: Do not use VLAN 1 for

anything

• Set all user ports to non-trunking

(DTP Off)

 

Ciao

[Sailer 11]

hallo daking,

 

danke für den ausführlichen Bericht.

Jetzt weiß ich auch endlich was der Unterschied zwischen PVST und PVST+ ist. Das konnte mir bisher noch niemand so recht beantworten :-)

 

 

Was die Anzahl der möglichen VLANs angeht hab ich mich wohl geirrt -> Sorry für die Fehlinformation!!!

Zu meiner Verteidigung muss ich aber sagen, dass ISL ein 15Bit Feld für die VLAN ID vorsieht (also über 32000 Werte). Hab aber auch noch mal in den BCMSN-Unterlagen nachgelesen und dort heißt es, dass davon nur die ersten 10 Bit verwendet werden. Begründung gibts dafür keine :-(

 

 

Bezüglich Encapsulation:

Auch wenn in dem Text beide Protokolle als Encapsulation bezeichnet werden stimmt das für dot1q schlichtweg nicht.

Eine Encapsulation setzt einen neuen Header vorraus, dot1q fügt aber nur ein zusätzliches Feld in den bestehenden Header ein.

 

 

Zum VLAN-Hopping noch mal:

Das beschriebene Verfahren (DTP ausnutzen) funktioniert natürlich für dot1q und ISL.

Wer Hackern VLAN-Hopping auf diese Art ermöglicht ist aber selber schuld und hats verdient :-) Wirklich gehoppt wird bei dieser Variante auch nicht weil der Angreifer dann von vorn herein schon in dem VLAN sitzt das er angreifen will.

"Echtes" VLAN-Hopping ist allerdings nur auf einem dot1q Trunk möglich da dabei die Eigenheit von dot1q ausgenutzt wird, dass das native VLAN unveränderte (untagged) Frames überträgt. Diese Eigenheit gibts bei ISL halt einfach nicht!

 

 

Gruß

Sailer

[daking 10]

Hallo,

 

ISL encapsulates the Ethernet frame with a 26-byte header and a 4-byte frame check sequence (FCS) for a total of 30 bytes of overhead. ISL requires a minimum Fast Ethernet connection between the two devices. The 15-bit VLAN field in the ISL header allows for the multiplexing of the VLANs on a single wire. ISL supports up to 1024 VLANs because Cisco switches use the lower 10 bits of the 15-bit field. The range of ISL packet sizes is 94 bytes (64-byte minimum Ethernet frame + 30-byte ISL overhead) to 1548 bytes (1518-byte maximum Ethernet frame + 30-byte ISL overhead). Each VLAN will have its own spanning-tree topology in an ISL trunking configuration. For instance, if there are two VLANS configured on an ISL trunk, each VLAN will have its own root and spanning-tree topology layout.

 

 

zu VLAN Hopping:

 

==>VLAN Hopping funktioniert an AccessPorts/Trunk Ports mit DTP enabled

Cisco 2950 and 3500XL switches do not support DTP and are always in a mode similar to

nonegotiate. If you turn trunking on for one of these devices, it will not negotiate with the

other end of the link and requires that the other link be configured to on or nonegotiate.

==>Cat6k Cat4k

default enabled

 

Du kannst nun durch double tagged frames zwischen den Switches von VLAN A(Source) in VLAN B(Destination) gelangen. Natürlich bekommst du keine Antwort, jedoch ist das für einen DOS ausreichend.

 

If you want to enable trunking and not send any DTP signaling, use the option

nonegotiate for switches that support that function. If you want to disable trunking

completely, use the off option for a COS switch or the no switchport mode trunk

command on an IOS switch.

 

konfigurierst du auf jedem trunk oder access port switchport nonegotiate?

 

--->pcap trace

Frame 5 (60 bytes on wire, 60 bytes captured)

Ethernet II, Src: 01:01:aa:aa:aa:aa (01:01:aa:aa:aa:aa), Dst: 01:ff:ff:ff:ff:ff (01:ff:ff:ff:ff:ff)

802.1Q Virtual LAN

802.1Q Virtual LAN

802.1Q Virtual LAN

802.1Q Virtual LAN

Internet Protocol, Src: 255.255.255.255 (255.255.255.255), Dst: 255.255.255.255 (255.255.255.255)

Internet Control Message Protocol

--->pcap trace

[Sailer 11]

Hallo!

 

Hmm, da steht aber auch nicht drin wofür die restlichen 5Bit vom VLAN-Feld sind

Eines der letzten Rätsel der Menschheit :)

 

 

 

--> konfigurierst du auf jedem trunk oder access port switchport nonegotiate?

 

Ja natürlich. Klingt vielleicht ein bisschen konservativ aber ich mag Dynamische Protokolle nicht besonders (außer beim Routing :p )-> ein Trunk soll ein Trunk sein, ein Access-Port ein Acces-Port, ein Channel ein Channel... Und wenn sich daran was ändert dann weils der Admin so wollte.

 

Auf Links zwischen Switches drehe ich daher immer alle dynamischen Protokolle ab (DTP, LACP,...)

Auf Access-Ports beginne ich die Konfiguration mit "switchport host" dann wird sowieso schon mal alles abgedreht was ein Host nicht braucht und STP-Portfast enabled. Das verkürzt übrigens die Zeit bis ein Host einen Link bekommt noch mal um ein paar Sekunden (also ich meine zusätzlich zum "STP-Portfast")

[daking 10]

Hola,

 

ju hu willkommen im club!!

 

warum islnicht mehr vlans unterstützt habe ich bis jetzt auch nicht gefunden. Denke da war nicht mehr eingeplant (na ja das sollte man noch genauer betrachten)?!?

 

 

Ciao

[Sailer 11]

ju hu willkommen im club!!

 

In welchem Club? "Club der konservativen Dynamik Verweigerer"? :D

 

Bezgl ISL:

Eingeplant muss es wohl irgendwo gewesen sein sonst hätten sie wohl nicht 15 Bit reserviert. Aber vielleicht sind sie nach ein paar Monaten drauf gekommen, dass niemand jemals 32000 VLANs brauchen wird bzw. aus Performancegründen nicht supportet werden kann :p