Cyco 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Hallo! Ich stelle meine Frage einfach ma hier rein. Sollte am passensten sein :D Und zwar muss ich mich gerade mit VLAN's ein bissi beschäftigen und bin hier beim Frame Tagging ins Grübeln gekommen. Wer führt das Frame Tagging eigentlich aus (also die Erweiterung des Eth-Frames)? Macht das Switch oder schon die Clients? Wenn die Clients, müssen die dann speziell für 802.1Q konfiguriert werden, wie z.B. wenn ich das Frameformat 802.3 SNAP verwenden möchte. Oder wird der 802.1Q Header nur hinzugefügt, wenn das Paket über einen Trunked Port zu einem zweiten Switch gesendet wird, damit der dann weiß zu welchen VLAN das Paket gehört? Fragen über Fragen :confused: Wäre super, wenn ihr mir hierbei ein wenig Aufklärung geben könntet. Vielen Dank Cyco Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Das mit der Aufklärung überlasse ich Deinen Eltern :) Die gute Nachricht: VLAN-Tagging kann so ziemlich auf jeder OSI-Schicht erfolgen, gängig sind derzeit OSI1-OSI3. OSI1: Das Tagging wird am Switchport durchgeführt. OSI2: Das Tagging wird anhand der MAC-Adresse durchgeführt OSI3: Das Tagging wird anhand der IP-Adresse durchgeführt OSI1 ist das Gängigste und Einfachste, impliziert allerdings den grössten administrativen Aufwand. OSI2 und OSI3 erfordert entsprechend intelligentes Equipment, ist in Netzen ab einer bestimmten Grösse aber absolut gängig. Tagging auf dem NIC ist recht selten, die wenigsten Karten / Treiber können damit umgehen, ein Beispiel für solche Karten wären die (meisten) Server-Karten von Intel. SNAP ist nicht 802.3 sondern SNAP. Hast Du irgendwelche witzigen AT2-Sachen in einem alten Novell-Netz vor oder warum willst Du SNAP verwenden? Gruss Markus Zitieren Link zu diesem Kommentar
Cyco 10 Geschrieben 24. Juni 2006 Autor Melden Teilen Geschrieben 24. Juni 2006 Hallo! Nee...brauche das nur für eine Prüfung (also kein CISCO oda sonst was). Und warum ist SNAP nicht 802.3 SNAP? Wird doch überall so angegeben. Also bin dann gestern noch auf ne Seite gestoßen, in der geschrieben wird, dass der Frame immer nur um 802.1Q erweitert wird, wenn der Paket zu einem zweiter Switch übertragen wird. gruss Cyco Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 24. Juni 2006 Melden Teilen Geschrieben 24. Juni 2006 ja, der Tag landet nicht beim Zielclient. Daher kann kein Client "wissen" in welchem VLAN er sich befindet. Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 24. Juni 2006 Melden Teilen Geschrieben 24. Juni 2006 Das Einfachste für einen Switch ist wohl , die Tags dann in die Frames zu schreiben wenn der Frame in den Switch reinkommt - wenn der Frame nicht schon einen Tag hat, also über einen Trunk in den Switch kommt. Die Tags erst später in den Frame zu schreiben würde bedeuten: - Innerhalb des Switches gibt es getaggte (über einen trunk in den Switch gelangte) und ungetaggte (über einen Endgeräteport in den Switch gelangte) Frames - Rührei ist immer schlecht, speziell dann wenn es in Kombination mit Spiegelei auftritt; - Für jedes ungetaggte Frame das den Switch über einen Trunk verlässt muss der Switch nachsehen über welchen Port der Frame in den Switch reinkam um dann den Tag in den Frame zu schreiben - das dürfte wohl eine todsichere Methode sein um den Switch performancemässig das Genick zu brechen. De facto läuft es bei den aktuellen Switches i.d.R. wohl darauf hinaus, dass die Tags in dem Moment in den (ungetaggten) Frame geschrieben werden, in dem der Frame das VLAN verlässt dem der Port zugeordnet ist über den der Frame in den Switch gekommen ist - g**ler Satz :) Das ist aber meiner Meinung nach eher Stoff für eine philosophische Haarspalterdiskussion am Ethernet-Stammtisch. Man sollte wissen wo man was taggen kann und was die Vor- und Nachteile dabei sind. Mir ist kein Switch bekannt bei dem man administrativ explizit vorgeben kann an welcher Stelle getaggt wird. Die High-End-Eisen von Extreme und Foundry haben sehr viel Intelligenz in der Hardware (ASICS - besch**sen kompliziert in der Entwicklung und wenn der Entwickler einen schlechten Tag hatte kaum durch Software zu reparieren, wenn aber gut gemacht super performant), da wird man sich wohl hüten, die Komplexität durch verschiedene Tagging-Instanzen zu potenzieren - abgesehen davon dass man bestimmte Sachen ggf. nicht mehr konfigurieren kann wenn man sich für bestimmte Taggingverfahren entscheidet. Gruss Markus Zitieren Link zu diesem Kommentar
Cyco 10 Geschrieben 24. Juni 2006 Autor Melden Teilen Geschrieben 24. Juni 2006 Ok Danke... Dann habe ich noch eine Question in Bezug auf RIPv1. Was mir hier nicht einleuchtet ist, RIP kann wohl nur über 15 HOPs hinweg. Bedeutet das, wenn ein Datenpaket mit z.B. einem TTL von 115 auf den Weg geschickt wird, es dann bei einem TTL=99 verworfen wird? Is mir ehrlich gesagt bissl unklar. Was hat RIP mit demTTL im Datenpaket zu tun. RIP ist doch eigentlich nur für den dyn. Austausch der Routen zuständig. RIP kann es doch eigentlich völlig egal sein, welcher TTL im Paket ist, solange er nicht NULL ist. Was hat es mit diesen 15 Hops dann auf sich Vielen Dank nochma Cyco Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Hola, zu dieser Zeit ist man nicht von mehr ausgegangen. Desshalb ist RIP/RIPv2 nicht für grössere Netze geeignet. Die TTL wird pro Hop heruntergezählt um Routingloops zu verhindern. Das hat nichts mit RIP zu tun ==> ist ein IP Feature. Falls du nun RIP mit eine Standardroute am laufen hast werden die Packete mit Sicherheit mehr als 15 Hops weitergeleitet. Ciao Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Hola, hier noch eine kurze Anmerkung zu 802.1Q (aus Cisco sicht und auch Alcatel / Nortel ..): Alle Pakete werden bei einem Switch untagged über die Backplane des Switches geschickt. Da ist es absolut uninteressant, ob der Port trunk oder access ist. Die forwarding decision wird über die forwarding database (fdb) getroffen. somit ist klar wo das frame hin muss. Der VLAN Tag wird am egress Port (falls trunk) wieder neu generiert. Ciao Thomas Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Hola, denke war eher fib - forwarding information base.. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 27. Juni 2006 Melden Teilen Geschrieben 27. Juni 2006 hm...un daher ist wohl überhaupt möglich aus dem management VLAN mit gezielt gefälschten Frames in andere VLANs einzudringen ? Denn würden die Frames schon auf der Backplane des Switches getaggt sein, würde das ja auch nicht hinhaun. oder bin ich da am Holzweg ? Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 28. Juni 2006 Melden Teilen Geschrieben 28. Juni 2006 Hola, sorry. Holzweg. Bitte genauer den Angriff beschreiben. Danke Ciao Thomas Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 29. Juni 2006 Melden Teilen Geschrieben 29. Juni 2006 soweit ich weiß wär so ein Angriff eben nur aus dem VLAN1 mit hilfe einer speziellen NIC machbar, die FRames aus VLAN1 werden nämlich nicht getaggt und man könnte mit der richtigen Hard/Software "einfach" selber einen Tag verwenden, nömlich den eines anderen VLANs. und ich dachte eben das das nur deswegen geht, weil eben a. VLAN 1 ungetaggt ist und b am Backplane auch keinerlei tagging vorgenommen wird Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 29. Juni 2006 Melden Teilen Geschrieben 29. Juni 2006 Hi, ich denke mit den Angriffen meint ihr Vlan-Hopping.. In diesem PDF ist eine gute Erklärung dazu: http://www.decus.de/slides/sy2003/10_04/3b04.pdf Grüsse Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.